DirectAccess hozzáadása meglévő távelérési (VPN)-környezethez

A következőre érvényes:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Important

A Microsoft erősen javasolja, hogy az Always On VPN-t használja a DirectAccess helyett az új üzembe helyezésekhez. További információ: Always on VPN.

Forgatókönyv leírása

Ebben a forgatókönyvben a Windows Server 2016, a Windows Server 2012 R2 vagy a Windows Server 2012 rendszert futtató egyetlen számítógép DirectAccess-kiszolgálóként van konfigurálva az ajánlott beállításokkal, miután már telepítette és konfigurálta a VPN-t. Ha vállalati funkciókkal, például elosztott terhelésű fürttel, többhelyes üzembe helyezéssel vagy kéttényezős ügyfélhitelesítéssel szeretné konfigurálni a DirectAccess szolgáltatást, valósítsa meg az egyetlen kiszolgáló beállítását a jelen témakörben ismertetettek szerint, majd konfigurálja a vállalati forgatókönyvet a távelérés központi telepítése vállalati környezetben című cikkben leírtak alapján.

Ebben a szituációban

Egyetlen távelérési kiszolgáló beállításához számos tervezési és üzembe helyezési lépésre van szükség.

Tervezési lépések

A tervezés két fázisból áll:

A távelérési infrastruktúra megtervezése

Ebben a fázisban a hálózati infrastruktúra a távelérés üzembe helyezésének megkezdése előtt történő beállításához szükséges tervezést ismerteti. Ez magában foglalja a hálózati és kiszolgálótopológia, a tanúsítványok, a tartománynévrendszer (DNS), az Active Directory és a csoportházirend-objektum (GPO) konfigurációjának tervezését, valamint a DirectAccess hálózati helykiszolgálót.
A távelérés üzembe helyezésének megtervezése

Ebben a fázisban a távelérés üzembe helyezésére való felkészüléshez szükséges tervezési lépéseket ismertetjük. Magában foglalja a távelérési ügyfélszámítógépek, a kiszolgáló- és ügyfélhitelesítési követelmények, valamint az infrastruktúra-kiszolgálók tervezését.

Üzembe helyezési lépések

Az üzembe helyezés három fázisból áll:

A távelérési infrastruktúra konfigurálása

Ebben a fázisban konfigurálja a hálózatot és az útválasztást, a tűzfalbeállításokat (ha szükséges), a tanúsítványokat, a DNS-kiszolgálókat, az Active Directory és a csoportházirend-objektum beállításait, valamint a DirectAccess hálózati helykiszolgálót.
Távelérési kiszolgáló beállításainak konfigurálása

Ebben a fázisban konfigurálja a távelérési ügyfélszámítógépeket, a távelérési kiszolgálót és az infrastruktúra-kiszolgálókat.
Az üzembe helyezés ellenőrzése

Ebben a fázisban ellenőrizze, hogy az üzembe helyezés szükség szerint működik-e.

Gyakorlati alkalmazások

Egyetlen távelérési kiszolgáló üzembe helyezése a következőket biztosítja:

Könnyű kezelés

A Windows 8 és a Windows 7 rendszert futtató felügyelt ügyfélszámítógépek DirectAccess ügyfélszámítógépként konfigurálhatók. Ezek az ügyfelek bármikor hozzáférhetnek a belső hálózati erőforrásokhoz a DirectAccessen keresztül, amikor az interneten találhatók, anélkül, hogy VPN-kapcsolatra kellene bejelentkezniük. Az ilyen operációs rendszereket nem futtató ügyfélszámítógépek VPN-en keresztül csatlakozhatnak a belső hálózathoz. A DirectAccess és a VPN kezelése ugyanabban a konzolban és ugyanazon varázslókészlettel történik.
Könnyű kezelés

Az internethez hozzáféréssel rendelkező DirectAccess-ügyfélszámítógépeket a távelérési rendszergazdák távolról kezelhetik a DirectAccess használatával, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek nem megfelelő ügyfélszámítógépeket a felügyeleti kiszolgálók automatikusan szervizelhetik.

Ehhez a forgatókönyvhöz szükséges szerepkörök és funkciók

Az alábbi táblázat az ehhez a forgatókönyvhöz szükséges szerepköröket és funkciókat sorolja fel:

Role/feature	Hogyan támogatja ezt a forgatókönyvet?
Távelérési szerepkör	A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával történik. Ez a szerepkör magában foglalja a DirectAccesst, amely korábban a Windows Server 2008 R2 egyik funkciója volt, valamint az Útválasztási és távelérési szolgáltatások szolgáltatást, amely korábban a hálózati házirend- és hozzáférési szolgáltatások (NPAS) kiszolgálói szerepkörének szerepköre volt. A távelérési szerepkör két összetevőből áll: 1. DirectAccess és Irányító és Távoli Elérés Szolgáltatások (RRAS) VPN: A távelérés-kezelési konzolban felügyelt. 2. RRAS-útválasztás: Az útválasztási és távelérési konzolon felügyelve. A távelérési kiszolgáló szerepkör a következő kiszolgálói funkcióktól függ: - Internet Information Services (IIS) webkiszolgáló:A hálózati hely kiszolgálójának a távelérési kiszolgálón való konfigurálásához és az alapértelmezett webes mintavételhez szükséges. - Belső Windows-adatbázis: A távelérési kiszolgálón történő helyi könyveléshez használatos.
Távelérés-kezelési eszközök funkció	Ez a funkció a következőképpen van telepítve: – A távelérési szerepkör telepítésekor alapértelmezés szerint egy távelérési kiszolgálón. Támogatja a távfelügyeleti konzol felhasználói felületét és a Windows PowerShell-parancsmagokat. – Opcionálisan telepíthető olyan kiszolgálóra, amely nem futtatja a távhozzáférési kiszolgálói szerepkört. Ebben az esetben a DirectAccesst és VPN-t futtató távelérési számítógép távfelügyeletére szolgál. A távelérés-kezelési eszközök funkció a következőkből áll: - Távelérési grafikus felhasználói felület – Távelérési modul a Windows PowerShellhez A függőségek a következők: - Csoportházirend felügyeleti konzolja - RAS Connection Manager Adminisztrációs Készlet (CMAK) - Windows PowerShell 3.0 - Grafikus felügyeleti eszközök és infrastruktúra

Role/feature

Hogyan támogatja ezt a forgatókönyvet?

Távelérési szerepkör

A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával történik. Ez a szerepkör magában foglalja a DirectAccesst, amely korábban a Windows Server 2008 R2 egyik funkciója volt, valamint az Útválasztási és távelérési szolgáltatások szolgáltatást, amely korábban a hálózati házirend- és hozzáférési szolgáltatások (NPAS) kiszolgálói szerepkörének szerepköre volt. A távelérési szerepkör két összetevőből áll:

1. DirectAccess és Irányító és Távoli Elérés Szolgáltatások (RRAS) VPN: A távelérés-kezelési konzolban felügyelt.
2. RRAS-útválasztás: Az útválasztási és távelérési konzolon felügyelve.

A távelérési kiszolgáló szerepkör a következő kiszolgálói funkcióktól függ:

- Internet Information Services (IIS) webkiszolgáló:A hálózati hely kiszolgálójának a távelérési kiszolgálón való konfigurálásához és az alapértelmezett webes mintavételhez szükséges.
- Belső Windows-adatbázis: A távelérési kiszolgálón történő helyi könyveléshez használatos.

Távelérés-kezelési eszközök funkció

Ez a funkció a következőképpen van telepítve:

– A távelérési szerepkör telepítésekor alapértelmezés szerint egy távelérési kiszolgálón. Támogatja a távfelügyeleti konzol felhasználói felületét és a Windows PowerShell-parancsmagokat.
– Opcionálisan telepíthető olyan kiszolgálóra, amely nem futtatja a távhozzáférési kiszolgálói szerepkört. Ebben az esetben a DirectAccesst és VPN-t futtató távelérési számítógép távfelügyeletére szolgál.

A távelérés-kezelési eszközök funkció a következőkből áll:

- Távelérési grafikus felhasználói felület
– Távelérési modul a Windows PowerShellhez

A függőségek a következők:

- Csoportházirend felügyeleti konzolja
- RAS Connection Manager Adminisztrációs Készlet (CMAK)
- Windows PowerShell 3.0
- Grafikus felügyeleti eszközök és infrastruktúra

Hardverkövetelmények

A forgatókönyv hardverkövetelményei a következők:

Kiszolgálói követelmények

A Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.
A kiszolgálónak legalább egy hálózati adapterrel kell rendelkeznie, amely telepítve, engedélyezve és csatlakoztatva van a belső hálózathoz. Két adapter használata esetén egy adapternek kell csatlakoznia a belső vállalati hálózathoz, egy pedig a külső hálózathoz (internethez).
Ha a Teredo IPv4-ről IPv6-áttűnési protokollra van szükség, a kiszolgáló külső adapteréhez két egymást követő nyilvános IPv4-cím szükséges. A DirectAccess engedélyezése varázsló nem engedélyezi a Teredót, még akkor sem, ha két egymást követő IP-cím van jelen. Ha egyetlen IP-cím érhető el, csak IP-HTTPS használható áttűnési protokollként.
Legalább egy tartományvezérlő. A távelérési kiszolgálónak és a DirectAccess-ügyfélnek tartománytagnak kell lennie.
A DirectAccess engedélyezése varázsló tanúsítványokat igényel a IP-HTTPS és a hálózati helykiszolgáló számára. Ha az SSTP VPN már használ tanúsítványt, a rendszer újra felhasználja az IP-HTTPS-hez. Ha az SSTP VPN nincs konfigurálva, konfigurálhat tanúsítványt a IP-HTTPS-hoz, vagy használhat automatikusan létrehozott ön-aláírt tanúsítványt. A hálózatihely-kiszolgálóhoz konfigurálhat tanúsítványt, vagy használhat automatikusan létrehozott önaláírt tanúsítványt.

Ügyfélkövetelmények

Az ügyfélszámítógépnek Windows 8 vagy Windows 7 rendszert kell futtatnia.

Note

Csak a következő operációs rendszerek használhatók DirectAccess-ügyfelekként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

Az infrastruktúra és a felügyeleti kiszolgáló követelményei

A DirectAccess-ügyfélszámítógépek távoli kezelése során az ügyfelek kezdeményeznek kommunikációt a felügyeleti kiszolgálókkal, például a tartományvezérlőkkel, a System Center konfigurációs kiszolgálóival és az állapotregisztrációs szolgáltató (HRA) kiszolgálóival olyan szolgáltatások esetében, amelyek tartalmazzák a Windows- és víruskereső-frissítéseket, valamint a Network Access Protection (NAP) ügyfélmegfelelőségét. A szükséges kiszolgálókat a távelérés üzembe helyezése előtt telepíteni kell.
Ha a távelérés ügyféloldali NAP-megfelelőséget igényel, a távelérés üzembe helyezése előtt telepíteni kell a hálózati házirend-kiszolgálót (NPS) és a HRA-t.
Windows Server 2012, Windows Server 2008 R2 vagy Windows Server 2008 SP2 rendszert futtató DNS-kiszolgáló szükséges.

Szoftverkövetelmények

A forgatókönyv szoftverkövetelményei a következők:

Kiszolgálói követelmények

A távelérési kiszolgálónak tartománytagnak kell lennie. A kiszolgáló üzembe helyezhető a belső hálózat peremhálózatán, vagy egy peremhálózati tűzfal vagy más eszköz mögött.
Ha a távelérési kiszolgáló egy peremhálózati tűzfal vagy hálózati címfordító (NAT) eszköz mögött található, az eszközt úgy kell konfigurálni, hogy engedélyezze a távelérési kiszolgálóra érkező és onnan érkező forgalmat.
A kiszolgálón távelérést telepítő személynek helyi rendszergazdai engedélyekre és tartományi felhasználói engedélyekre van szüksége. Emellett a rendszergazdának engedélyre van szüksége a DirectAccess üzembe helyezéséhez használt csoportházirend-objektumokhoz. Ahhoz, hogy kihasználhassa azokat a funkciókat, amelyek csak a mobilszámítógépekre korlátozzák a DirectAccess-telepítést, a WMI-szűrő tartományvezérlőn való létrehozására vonatkozó engedélyekre van szükség.

Távelérési ügyfélkövetelmények

A DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok ugyanahhoz az erdőhöz tartozhatnak, mint a távelérési kiszolgáló, vagy kétirányú megbízhatósági kapcsolattal rendelkezhetnek a távelérési kiszolgáló erdőjével vagy tartományával.
Az Active Directory biztonsági csoportnak tartalmaznia kell a DirectAccess-ügyfelekként konfigurálni kívánt számítógépeket. Ha a DirectAccess-ügyfélbeállítások konfigurálásakor nincs megadva biztonsági csoport, akkor alapértelmezés szerint az ügyfél csoportházirend-objektuma az összes, a tartományi számítógépek biztonsági csoportjában lévő DirectAccess-kompatibilis laptopra lesz alkalmazva. Csak a következő operációs rendszerek használhatók DirectAccess-ügyfelekként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

Note

Javasoljuk, hogy hozzon létre egy biztonsági csoportot minden olyan tartományhoz, amely DirectAccess-ügyfélként konfigurált számítógépeket tartalmaz.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-07-14