Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Important
Microsoft důrazně doporučuje používat vpn AlwaysOn místo Technologie DirectAccess pro nová nasazení. Další informace naleznete v tématu AlwaysOn VPN.
Toto téma obsahuje úvod ke scénáři DirectAccess, který používá jeden server DirectAccess, a umožňuje nasadit DirectAccess v několika jednoduchých krocích.
Než začnete s nasazením, podívejte se na seznam nepodporovaných konfigurací, známých problémů a požadavků.
Následující témata můžete použít ke kontrole požadavků a dalších informací před nasazením technologie DirectAccess.
Požadavky pro nasazení DirectAccess
Popis scénáře
V tomto scénáři je počítač s Windows Serverem nakonfigurovaný jako server DirectAccess s výchozím nastavením. Konfigurace vyžaduje jenom několik jednoduchých kroků průvodce, aniž byste museli konfigurovat nastavení infrastruktury, jako je certifikační autorita nebo skupiny zabezpečení služby Active Directory.
Note
Pokud chcete nakonfigurovat pokročilé nasazení s vlastním nastavením, přečtěte si téma Nasazení jednoho serveru DirectAccess s rozšířenými nastaveními.
V tomto scénáři
Pokud chcete nastavit základní server DirectAccess, vyžaduje se několik kroků plánování a nasazení.
Prerequisites
Než začnete tento scénář nasazovat, projděte si tento seznam důležitých požadavků:
Brána Windows Firewall musí být povolená ve všech profilech.
Tento scénář se podporuje jenom v případě, že klientské počítače používají Windows 10, Windows 8.1 nebo Windows 8.
ISATAP v podnikové síti se nepodporuje. Pokud používáte ISATAP, měli byste ho odebrat a použít nativní protokol IPv6.
Infrastruktura veřejného klíče není nutná.
Nepodporuje se nasazení dvoufaktorového ověřování. Pro ověřování se vyžadují přihlašovací údaje domény.
Automaticky nasadí Technologii DirectAccess do všech mobilních počítačů v aktuální doméně.
Provoz do internetu neprochází tunelem DirectAccess. Vynucení konfigurace tunelu není podporováno.
Server DirectAccess slouží jako server pro síťovou identifikaci.
Architektura NAP (Network Access Protection) není podporovaná.
Změna zásad mimo konzolu pro správu DirectAccess nebo rutiny PowerShellu se nepodporuje.
Pokud chcete nasadit více lokalit, nyní nebo v budoucnu, nejprve nasaďte jeden server DirectAccess s rozšířeným nastavením.
Kroky plánování
Plánování je rozděleno do dvou fází:
Plánování infrastruktury DirectAccess. Tato fáze popisuje plánování potřebné k nastavení síťové infrastruktury před zahájením nasazení Technologie DirectAccess. Plánování zahrnuje návrh topologie sítě a serveru a server síťového umístění DirectAccess.
Plánování nasazení technologie DirectAccess Tato fáze popisuje kroky plánování potřebné k přípravě nasazení Technologie DirectAccess. Zahrnuje plánování klientských počítačů DirectAccess, požadavků na ověřování serveru a klientů, nastavení sítě VPN, serverů infrastruktury a správy a aplikačních serverů.
Podrobný postup plánování najdete v tématu Plánování nasazení rozšířené technologie DirectAccess.
Postup nasazení
Nasazení je rozdělené do tří fází:
- Konfigurace infrastruktury DirectAccess Tato fáze zahrnuje konfiguraci následujících komponent:
- Síť a směrování
- Nastavení brány firewall (v případě potřeby)
- Certificates
- Servery DNS
- Nastavení služby Active Directory a objektu zásad zásad zabezpečení
- Server síťového umístění DirectAccess
Konfigurace nastavení serveru DirectAccess Tato fáze zahrnuje kroky pro konfiguraci klientských počítačů DirectAccess, serveru DirectAccess, serverů infrastruktury, správy a aplikačních serverů.
Ověření nasazení Tato fáze zahrnuje kroky k ověření, že nasazení funguje podle potřeby.
Podrobné kroky nasazení najdete v tématu Instalace a konfigurace základní technologie DirectAccess.
Praktické aplikace
Nasazení jednoho serveru vzdáleného přístupu poskytuje následující výhody:
Ease-of-access. Spravované klientské počítače se systémem Windows 10, Windows 8.1, Windows 8 nebo Windows 7 můžete nakonfigurovat jako klienty DirectAccess. Tito klienti mají přístup k interním síťovým prostředkům přes DirectAccess, kdykoli se nacházejí na internetu, aniž by se museli přihlašovat k připojení VPN. Klientské počítače, na kterých není spuštěný některý z těchto operačních systémů, se můžou připojit k interní síti pomocí tradičních připojení VPN.
Ease-of-management. Klientské počítače DirectAccess umístěné na internetu můžou vzdáleně spravovat správci vzdáleného přístupu přes DirectAccess, i když klientské počítače nejsou umístěné v interní podnikové síti. Klientské počítače, které nesplňují podnikové požadavky, je možné automaticky napravit servery pro správu. DirectAccess i VPN se spravují ve stejné konzole a se stejnou sadou průvodců. Kromě toho lze jeden nebo více serverů vzdáleného přístupu spravovat z jedné konzoly pro správu vzdáleného přístupu.
Role a funkce zahrnuté v tomto scénáři
Následující tabulka uvádí role a funkce požadované pro daný scénář:
| Role/feature | Jak to podporuje tento scénář |
|---|---|
| Role vzdáleného přístupu | Role se nainstaluje a odinstaluje pomocí konzoly Správce serveru nebo Windows PowerShellu. Tato role zahrnuje DirectAccess, Směrování a Služby vzdáleného přístupu. Role vzdáleného přístupu se skládá ze dvou komponent: 1. DirectAccess a VPN služba Směrování a vzdálený přístup (RRAS). Technologie DirectAccess a VPN se spravují společně v konzole pro správu vzdáleného přístupu. Role serveru vzdáleného přístupu závisí na následujících rolích nebo funkcích serveru: – Webový server Internetové informační služby (IIS) – Tato funkce je nutná ke konfiguraci serveru síťového umístění na serveru vzdáleného přístupu a výchozí webové sondy. |
| Funkce Nástroje pro správu vzdáleného přístupu | Tato funkce je nainstalovaná takto: – Ve výchozím nastavení se instaluje na server vzdáleného přístupu, když je nainstalovaná role vzdáleného přístupu, a podporuje uživatelské rozhraní konzoly pro vzdálenou správu a rutiny Prostředí Windows PowerShell. Funkce Nástroje pro správu vzdáleného přístupu se skládá z následujících součástí: – Grafické uživatelské rozhraní vzdáleného přístupu Mezi závislosti patří: – Konzola pro správu zásad skupiny |
Požadavky na hardware
Požadavky na hardware pro tento scénář zahrnují následující:
Požadavky na server:
Počítač, který splňuje požadavky na hardware pro Windows Server 2016, Windows Server 2012 R2 nebo Windows Server 2012 .
Server musí mít nainstalovaný, povolený a připojený alespoň jeden síťový adaptér a připojený k interní síti. Při použití dvou adaptérů by měl být jeden adaptér připojený k interní podnikové síti a jeden připojený k externí síti (internet nebo privátní síť).
Alespoň jeden řadič domény. Server vzdáleného přístupu a klienti DirectAccess musí být členy domény.
Požadavky klienta:
Na klientském počítači musí běžet Windows 10, Windows 8.1 nebo Windows 8.
Important
Pokud některé nebo všechny klientské počítače používají systém Windows 7, musíte použít Průvodce pokročilým nastavením. Průvodce instalací Začínáme popsaný v tomto dokumentu nepodporuje klientské počítače se systémem Windows 7. Pokyny k používání klientů s Windows 7 s DirectAccessem najdete v tématu Nasazení jednoho serveru DirectAccess s pokročilým nastavením .
Note
Jako klienty DirectAccess se dají použít jenom následující operační systémy: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise a Windows 7 Ultimate.
Požadavky na infrastrukturu a server pro správu:
- Pokud je povolená síť VPN a není nakonfigurovaný fond statických IP adres, musíte nasadit server DHCP, který automaticky přidělí IP adresy klientům VPN.
Je vyžadován server DNS se systémem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 nebo Windows Server 2008 R2.
Softwarové požadavky
Níže jsou uvedené požadavky pro tento scénář:
Požadavky na server:
Server vzdáleného přístupu musí být členem domény. Server je možné nasadit na hranici vnitřní sítě nebo za hraničním firewallem či jiným zařízením.
Pokud je server vzdáleného přístupu umístěný za hraniční bránou firewall nebo zařízením NAT, musí být zařízení nakonfigurované tak, aby povolovalo provoz na server vzdáleného přístupu a ze serveru vzdáleného přístupu.
Osoba, která nasazuje vzdálený přístup na server, vyžaduje oprávnění místního správce na serveru a oprávnění uživatele domény. Kromě toho správce vyžaduje oprávnění pro GPO (objekty zásad skupiny) používané v nasazení DirectAccess. Pokud chcete využít výhod funkcí, které omezují nasazení Technologie DirectAccess jenom na mobilní počítače, vyžadují se oprávnění k vytvoření filtru rozhraní WMI na řadiči domény.
Požadavky na klienta vzdáleného přístupu:
Klienti DirectAccess musí být členy domény. Domény obsahující klienty můžou patřit do stejné doménové struktury jako server vzdáleného přístupu nebo mají obousměrný vztah důvěryhodnosti s doménovou strukturou serveru vzdáleného přístupu.
Skupina zabezpečení služby Active Directory musí obsahovat počítače, které budou nakonfigurovány jako klienti DirectAccess. Pokud není při konfiguraci nastavení klienta DirectAccess zadána skupina zabezpečení, ve výchozím nastavení se objekt zásad skupiny klienta použije na všech přenosných počítačích ve skupině zabezpečení Domain Computers. Jako klienty DirectAccess lze použít pouze následující operační systémy: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 , Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise a Windows 7 Ultimate.
Viz také
Následující tabulka obsahuje odkazy na další zdroje informací.
| Typ obsahu | References |
|---|---|
| Vzdálený přístup na TechNetu | TechCenter pro vzdálený přístup |
| Nástroje a nastavení | Cmdlety PowerShellu pro vzdálený přístup |
| Komunitní zdroje | Položky wikiwebu DirectAccess |
| Související technologie | jak funguje IPv6 |