Implementeer externe toegang in een onderneming

Artikel
08/03/2016

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Dit onderwerp bevat een inleiding tot het DirectAccess-scenario voor ondernemingen.

Zie Paden voor DirectAccess-implementatie in WindowsServer voor informatie over alternatieve implementatiemethoden.

Belangrijk

Als u DirectAccess wilt implementeren aan de hand van deze gids, moet u een DirectAccess-server gebruiken waarop Windows Server® 2012 R2 of Windows Server® 2012 wordt uitgevoerd.

Raadpleeg voordat u met de implementatie begint de lijst met niet-ondersteunde configuraties, bekende problemen en vereisten

Scenariobeschrijving

Externe toegang bevat een aantal bedrijfsonderdelen, zoals het implementeren van meerdere servers voor externe toegang (RAS-servers) in een cluster, waarbij de taken zijn verdeeld met Windows Network Load Balancing (NLB) of een externe taakverdeling. Hierbij wordt een implementatie op meerdere locaties ingesteld met RAS-servers op verspreide geografische locaties en vindt een implementatie plaats van DirectAccess met tweeledige clientauthenticatie met behulp van een eenmalig wachtwoord (OTP).

In dit scenario

Elke bedrijfsscenario wordt beschreven in een document met instructies voor planning en implementatie. Zie voor meer informatie

Praktische toepassingen

Bedrijfsscenario's voor Externe toegang bieden het volgende:

Verhoogde beschikbaarheid : het implementeren van meerdere RAS-servers in een cluster biedt schaalbaarheid en verhoogt de doorvoercapaciteit en het aantal gebruikers. Het verdelen van de taken binnen het cluster biedt maximale beschikbaarheid. Als een server in het cluster te maken krijgt met een storing, kunnen externe gebruikers toegang tot het interne bedrijfsnetwerk blijven houden via een andere server in het cluster. Failover is transparant als clients verbinding maken met het cluster via een virtueel IP-adres (VIP).
Eenvoudig beheer: een cluster of implementatie op meerdere locaties kan als één entiteit worden geconfigureerd en beheerd, waarbij de beheerconsole voor externe toegang op een van de clusterservers wordt uitgevoerd. Bovendien kunnen administrators binnen een implementatie op meerdere locaties Externe toegang implementeren in Active Directory-sites, wat een vereenvoudigde architectuur mogelijk maakt. Gedeelde instellingen kunnen gemakkelijk op clusterservers of op alle toegangspuntservers op meerdere locaties worden ingesteld. Instellingen voor Externe toegang kunnen worden beheerd vanaf elke server in het cluster of de implementatie, of extern met Beheerhulpprogramma's voor externe servers. Daarnaast kan het hele cluster of de implementatie op meerdere locaties worden gecontroleerd vanuit één beheerconsole voor externe toegang.
Kostenbesparing: dankzij een implementatie van Externe toegang op meerdere locaties kunnen bedrijven RAS-servers implementeren op meerdere locaties die overeenkomen met de clientlocaties. Dit biedt voorspelbare toegang voor externe clients, ongeacht de locatie. Bovendien worden zo de kosten en de intranetbandbreedte verminderd door clientverkeer via internet om te leiden naar de dichtstbijzijnde RAS-server.
Veiligheid: het implementeren van krachtige clientauthenticatie met een eenmalig wachtwoord (OTP) in plaats van een standaard Active Directory-wachtwoord verhoogt de veiligheid.

Rollen en functies binnen dit scenario

De volgende tabel bevat de functies en onderdelen die in het bedrijfsscenario worden gebruikt.

Rol/functie	Ondersteuning voor dit scenario
Serverfunctie voor Externe toegang	Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze rol omvat zowel DirectAccess, dat voorheen een functie was in Windows Server 2008 R2, en Routering en RAS die eerder een rolservice waren onder de serverrol Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen: DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd. RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS. De serverfunctie voor Remote Access is afhankelijk van de volgende serveronderdelen: Internet Information Services (IIS): dit onderdeel is vereist om de netwerklocatieserver en de standaardwebtest te configureren. Console Groepsbeleidsbeheer: dit onderdeel wordt vereist door DirectAccess voor het maken en beheren van de groepsbeleidsobjecten in Active Directory. Het moet worden geïnstalleerd als vereist onderdeel voor de serverfunctie.
De functie Programma's voor beheer van externe toegang	Deze functie wordt als volgt geïnstalleerd: De functie wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer. Deze kan desgewenst worden geïnstalleerd op een server die niet de rol van RAS-server vervult. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN. De functie Programma’s voor beheer van externe toegang bestaat uit het volgende: GUI en opdrachtregelprogramma's voor externe toegang RAS-module voor Windows PowerShell Afhankelijkheden zijn: Console Groepsbeleidsbeheer CMAK (Administration Kit voor Verbindingsbeheer) van RAS Windows PowerShell 3.0 Grafische beheerprogramma's en infrastructuur
Windows NLB	Dit onderdeel maakt taakverdeling binnen meerdere RAS-servers mogelijk.

Serverfunctie voor Externe toegang

Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze rol omvat zowel DirectAccess, dat voorheen een functie was in Windows Server 2008 R2, en Routering en RAS die eerder een rolservice waren onder de serverrol Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen:

DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.
RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS.

De serverfunctie voor Remote Access is afhankelijk van de volgende serveronderdelen:

Internet Information Services (IIS): dit onderdeel is vereist om de netwerklocatieserver en de standaardwebtest te configureren.
Console Groepsbeleidsbeheer: dit onderdeel wordt vereist door DirectAccess voor het maken en beheren van de groepsbeleidsobjecten in Active Directory. Het moet worden geïnstalleerd als vereist onderdeel voor de serverfunctie.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

De functie wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer.
Deze kan desgewenst worden geïnstalleerd op een server die niet de rol van RAS-server vervult. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma’s voor beheer van externe toegang bestaat uit het volgende:

GUI en opdrachtregelprogramma's voor externe toegang
RAS-module voor Windows PowerShell

Afhankelijkheden zijn:

Console Groepsbeleidsbeheer
CMAK (Administration Kit voor Verbindingsbeheer) van RAS
Windows PowerShell 3.0
Grafische beheerprogramma's en infrastructuur

Windows NLB

Dit onderdeel maakt taakverdeling binnen meerdere RAS-servers mogelijk.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype	Verwijzingen
Remote Access op TechNet	Remote Access TechCenter (Engelstalig)
Productevaluatie	Demonstrate DirectAccess in a cluster with NLB (Engelstalig) Demonstrate a DirectAccess multisite deployment (Engelstalig) Demonstrate a DirectAccess multisite deployment (Engelstalig)
Implementatie	Eén DirectAccess-Server implementeren met de wizard Aan de slag Eén DirectAccess-server implementeren met geavanceerde instellingen
Hulpprogramma's en instellingen	PowerShell-cmdlets voor externe toegang
Communitybronnen.	RRAS-productteamblog \| TechNet-forum voor externe toegang DirectAccess Wiki-vermeldingen
Verwante technologieën	How IPv6 works (Engelstalig)

Delen via