Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Important
A Microsoft erősen javasolja, hogy az Always On VPN-t használja a DirectAccess helyett az új üzembe helyezésekhez. További információ: Always on VPN.
Ez a témakör bemutatja az egyetlen DirectAccess-kiszolgálót használó DirectAccess-forgatókönyvet, és lehetővé teszi a DirectAccess speciális beállításokkal történő üzembe helyezését.
A telepítés megkezdése előtt tekintse meg a nem támogatott konfigurációk, ismert problémák és előfeltételek listáját
A DirectAccess üzembe helyezése előtt az alábbi témakörökben áttekintheti az előfeltételeket és egyéb információkat.
DirectAccess- üzembe helyezésének előfeltételei
Forgatókönyv leírása
Ebben a forgatókönyvben a Windows Server 2016, a Windows Server 2012 R2 vagy a Windows Server 2012 rendszert futtató egyetlen számítógép DirectAccess-kiszolgálóként van konfigurálva speciális beállításokkal.
Note
Ha csak egyszerű beállításokkal szeretne alapszintű üzembe helyezést konfigurálni, olvassa el Egyetlen DirectAccess-kiszolgáló üzembe helyezése az Első lépések varázslóvalcímű témakört. Az egyszerű forgatókönyvben a DirectAccess alapértelmezett beállításokkal van konfigurálva egy varázsló használatával, anélkül, hogy konfigurálnia kellene az infrastruktúra beállításait, például a hitelesítésszolgáltatót (CA) vagy az Active Directory biztonsági csoportokat.
Ebben a szituációban
Ha egyetlen DirectAccess-kiszolgálót szeretne speciális beállításokkal beállítani, több tervezési és üzembe helyezési lépést kell végrehajtania.
Prerequisites
A kezdés előtt áttekintheti a következő követelményeket.
A Windows tűzfalat minden profilon engedélyezni kell.
A DirectAccess-kiszolgáló a hálózati hely kiszolgálója.
Azt szeretné, hogy a DirectAccess-kiszolgálót telepítő tartomány összes vezeték nélküli számítógépe DirectAccess-kompatibilis legyen. A DirectAccess üzembe helyezésekor az automatikusan engedélyezve lesz az aktuális tartomány összes mobileszközén.
Important
A DirectAccess telepítésekor egyes technológiák és konfigurációk nem támogatottak.
- Intra-Site vállalati hálózatban nem támogatott az automatikus alagútcímzési protokoll (ISATAP). Ha ISATAP-t használ, el kell távolítania, és natív IPv6-ot kell használnia.
Tervezési lépések
A tervezés két fázisból áll:
DirectAccess-infrastruktúra tervezése. Ez a fázis a hálózati infrastruktúra DirectAccess-telepítés megkezdése előtti beállításához szükséges tervezést ismerteti. Ez magában foglalja a hálózati és kiszolgálótopológia, a tanúsítványtervezés, a DNS, az Active Directory és a csoportházirend-objektum (GPO) konfigurálásának tervezését, valamint a DirectAccess hálózati helykiszolgálót.
DirectAccess üzembe helyezésitervezése. Ez a fázis a DirectAccess üzembe helyezésére való felkészüléshez szükséges tervezési lépéseket ismerteti. Magában foglalja a DirectAccess-ügyfélszámítógépek tervezését, a kiszolgáló- és ügyfélhitelesítési követelményeket, a VPN-beállításokat, az infrastruktúra-kiszolgálókat, valamint a felügyeleti és alkalmazáskiszolgálók használatát.
Üzembe helyezési lépések
Az üzembe helyezés három fázisból áll:
A DirectAccess-infrastruktúrakonfigurálása. Ez a fázis magában foglalja a hálózat és az útválasztás konfigurálását, szükség esetén a tűzfalbeállítások konfigurálását, a tanúsítványok, a DNS-kiszolgálók, az Active Directory és a csoportházirend-objektum beállításait, valamint a DirectAccess hálózati helykiszolgáló konfigurálását.
A DirectAccess-kiszolgáló beállításainak konfigurálása. Ez a fázis a DirectAccess ügyfélszámítógépek, a DirectAccess-kiszolgáló, az infrastruktúra-kiszolgálók, a felügyeleti és az alkalmazáskiszolgálók konfigurálásának lépéseit tartalmazza.
Az üzembe helyezésiellenőrzése. Ez a fázis a DirectAccess üzembe helyezésének ellenőrzésére vonatkozó lépéseket tartalmazza.
Részletes üzembe helyezési lépésekért lásd: Advanced DirectAccesstelepítése és konfigurálása.
Gyakorlati alkalmazások
Egyetlen DirectAccess-kiszolgáló üzembe helyezése a következőket biztosítja:
Könnyű hozzáférés. A Windows 10, Windows 8.1, Windows 8 és Windows 7 rendszerű felügyelt ügyfélszámítógépek DirectAccess ügyfélszámítógépként konfigurálhatók. Ezek az ügyfelek bármikor hozzáférhetnek a belső hálózati erőforrásokhoz a DirectAccessen keresztül, amikor az interneten találhatók anélkül, hogy VPN-kapcsolatra kellene bejelentkezniük. Az ilyen operációs rendszereket nem futtató ügyfélszámítógépek VPN-en keresztül csatlakozhatnak a belső hálózathoz.
Könnyű kezelés. Az interneten található DirectAccess-ügyfélszámítógépeket távolról is felügyelhetik a távelérési rendszergazdák a DirectAccessen keresztül, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek nem megfelelő ügyfélszámítógépeket a felügyeleti kiszolgálók automatikusan szervizelhetik. A DirectAccess és a VPN is ugyanabban a konzolban és ugyanazon varázslókészlettel van felügyelve. Emellett egy vagy több DirectAccess-kiszolgáló kezelhető egyetlen távelérés-kezelési konzolról
Ehhez a forgatókönyvhöz szükséges szerepkörök és funkciók
Az alábbi táblázat az ehhez a forgatókönyvhöz szükséges szerepköröket és funkciókat sorolja fel:
| Role/feature | Hogyan támogatja ezt a forgatókönyvet? |
|---|---|
| Távelérési szerepkör | A szerepkör telepítése és eltávolítása a Server Manager konzol vagy a Windows PowerShell használatával történik. Ez a szerepkör magában foglalja a DirectAccess és az Útválasztás és Távelérési szolgáltatások (RRAS) szolgáltatást is. A távelérési szerepkör két összetevőből áll: 1. DirectAccess és RRAS VPN. A DirectAccess és a VPN együttes kezelése a távelérés-kezelési konzolon. 2. RRAS-útválasztás. Az RRAS útválasztási funkcióit az örökölt útválasztási és távelérési konzol kezeli. A távelérési kiszolgálói szerepkör a következő kiszolgálói szerepköröktől/szolgáltatásoktól függ: |
| Távelérés-kezelési eszközök funkció | Ez a funkció a következőképpen van telepítve: – A távelérési szerepkör telepítésekor alapértelmezés szerint a DirectAccess-kiszolgálón van telepítve, és támogatja a távfelügyeleti konzol felhasználói felületét és a Windows PowerShell-parancsmagokat. A távelérés-kezelési eszközök funkció a következőkből áll: - Távoli hozzáférés grafikus felhasználói felülete (GUI) A függőségek a következők: - Csoportházirend felügyeleti konzolja |
Hardverkövetelmények
A forgatókönyv hardverkövetelményei a következők:
Kiszolgálói követelmények:
Olyan számítógép, amely megfelel a Windows Server 2016, a Windows Server 2012 R2 vagy a Windows Server 2012 hardverkövetelményeinek.
A kiszolgálónak legalább egy hálózati adapterrel kell rendelkeznie, amely telepítve, engedélyezve és csatlakoztatva van a belső hálózathoz. Két adapter használata esetén egy adapternek kell csatlakoznia a belső vállalati hálózathoz, egy pedig a külső hálózathoz (internethez vagy magánhálózathoz).
Ha a Teredo IPv4-ről IPv6-áttűnési protokollra van szükség, a kiszolgáló külső adapteréhez két egymást követő nyilvános IPv4-cím szükséges. Ha egyetlen IP-cím érhető el, akkor csak IP-HTTPS használható áttűnési protokollként.
Legalább egy tartományvezérlő. A DirectAccess-kiszolgálónak és a DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük.
Hitelesítésszolgáltatóra (CA) van szükség, ha nem szeretne önaláírt tanúsítványokat használni IP-HTTPS vagy a hálózati hely kiszolgálójához, vagy ha ügyféltanúsítványokat szeretne használni az ügyfél IPsec-hitelesítéséhez. Másik lehetőségként tanúsítványokat is kérhet egy nyilvános hitelesítésszolgáltatótól.
Ha a hálózati hely kiszolgálója nem a DirectAccess-kiszolgálón található, a futtatásához külön webkiszolgálóra van szükség.
Ügyfélkövetelmények:
Az ügyfélszámítógépnek Windows 10, Windows 8 vagy Windows 7 rendszert kell futtatnia.
Note
A következő operációs rendszerek használhatók DirectAccess-ügyfelekként: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows 7 Enterprise vagy Windows 7 Ultimate.
Az infrastruktúra és a felügyeleti kiszolgáló követelményei:
A DirectAccess-ügyfélszámítógépek távoli kezelése során az ügyfelek olyan felügyeleti kiszolgálókkal kezdeményeznek kommunikációt, mint a tartományvezérlők, a System Center konfigurációs kiszolgálók és az állapotregisztrációs szolgáltató (HRA) kiszolgálói olyan szolgáltatások, amelyek tartalmazzák a Windows és a víruskereső frissítéseket, valamint a Hálózati hozzáférés-védelem (NAP) ügyfélmegfelelőségét. A szükséges kiszolgálókat a távelérés üzembe helyezésének megkezdése előtt kell üzembe helyezni.
Ha a távelérés ügyfél NAP-megfelelőséget igényel, az NPS- és HRS-kiszolgálókat a távelérés üzembe helyezésének megkezdése előtt telepíteni kell.
Ha a VPN engedélyezve van, a DHCP-kiszolgálónak automatikusan ki kell osztania az IP-címeket a VPN-ügyfeleknek, ha nem használ statikus címkészletet.
Szoftverkövetelmények
Ehhez a forgatókönyvhöz számos követelmény szükséges:
Kiszolgálói követelmények:
A DirectAccess-kiszolgálónak tartománytagnak kell lennie. A kiszolgáló üzembe helyezhető a belső hálózat peremhálózatán, vagy egy peremhálózati tűzfal vagy más eszköz mögött.
Ha a DirectAccess-kiszolgáló peremhálózati tűzfal vagy NAT-eszköz mögött található, az eszközt úgy kell konfigurálni, hogy engedélyezze a DirectAccess-kiszolgálóra és onnan érkező forgalmat.
A kiszolgálón távelérést telepítő személynek helyi rendszergazdai engedélyekre és tartományi felhasználói engedélyekre van szüksége. Emellett a rendszergazdának engedélyre van szüksége a DirectAccess üzembe helyezéséhez használt csoportházirend-objektumokhoz. Ahhoz, hogy kihasználhassa a DirectAccess üzembe helyezését csak a mobilszámítógépekre korlátozó funkciókat, a tartományvezérlőn wmI-szűrő létrehozására vonatkozó engedélyekre van szükség.
Távelérési ügyfélkövetelmények:
A DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok ugyanahhoz az erdőhöz tartozhatnak, mint a DirectAccess-kiszolgáló, vagy kétirányú megbízhatósági kapcsolattal rendelkezhetnek a DirectAccess-kiszolgáló erdőjével vagy tartományával.
Az Active Directory biztonsági csoportnak tartalmaznia kell a DirectAccess-ügyfelekként konfigurálni kívánt számítógépeket. Ha a DirectAccess-ügyfélbeállítások konfigurálásakor nincs megadva biztonsági csoport, akkor alapértelmezés szerint az ügyfél csoportházirend-objektuma a Tartományi számítógépek biztonsági csoportjának összes laptopján kerül alkalmazásra.
Note
Javasoljuk, hogy hozzon létre egy biztonsági csoportot minden olyan tartományhoz, amely DirectAccess-ügyfélszámítógépeket tartalmaz.
Important
Ha engedélyezte a Teredo-t a DirectAccess-telepítésben, és hozzáférést szeretne biztosítani a Windows 7-ügyfelekhez, győződjön meg arról, hogy az ügyfelek sp1-sel frissítve vannak a Windows 7-re. A Windows 7 RTM-et használó ügyfelek nem fognak tudni csatlakozni a Teredo-ra. Ezek az ügyfelek azonban ip-HTTPS-en keresztül továbbra is csatlakozhatnak a vállalati hálózathoz.
Lásd még
Az alábbi táblázat további erőforrásokra mutató hivatkozásokat tartalmaz.
| Tartalomtípus | References |
|---|---|
| Deployment |
DirectAccess üzembe helyezési útvonalai a Windows Serverhez Egyetlen DirectAccess-kiszolgáló üzembe helyezése az Első lépések varázslóval |
| Eszközök és beállítások | Távoli elérés PowerShell-parancsmagok |
| Közösségi erőforrások | DirectAccess túlélési útmutató |
| Kapcsolódó technológiák | Az IPv6 működése |