De opties voor externe toegang in Windows Server onderzoeken
De RAS-serverfunctie in Windows Server biedt meerdere opties voor externe toegang. Elke optie vertegenwoordigt een unieke technologie die organisaties zoals Contoso kunnen gebruiken voor toegang tot interne resources vanuit kantoren op externe locaties of via internet. De technologie die Contoso IT besluit te gebruiken, is afhankelijk van hun specifieke bedrijfsdoelen.
Ondersteunde functies voor externe toegang
Windows Server ondersteunt verschillende functies voor externe toegang.
VPN
Met VPN-verbindingen kunnen gebruikers die extern werken (bijvoorbeeld van thuis, een klantsite of een openbaar draadloos toegangspunt) toegang krijgen tot apps en gegevens in het privénetwerk van een organisatie met behulp van de infrastructuur die een openbaar netwerk, zoals internet, biedt.
Vanuit het perspectief van de gebruiker is het VPN een punt-naar-punt-verbinding tussen een computer, de VPN-client en de server van een organisatie. De exacte infrastructuur van het gedeelde of openbare netwerk is niet relevant omdat deze voor de gebruiker lijkt alsof de gegevens via een toegewezen privékoppeling worden verzonden.
Windows Server ondersteunt een aantal verschillende configuraties met VPN's, waaronder site-naar-site en externe toegang, weergegeven in de volgende afbeelding.
Routebepaling
Windows Server kan fungeren als een router- of NAT-apparaat (Network Address Translation) tussen twee interne netwerken of tussen internet en het interne netwerk. Routering werkt met routeringstabellen en ondersteunt routeringsprotocollen, waaronder:
- Routing Information Protocol (RIP) versie 2.
- Internet Group Management Protocol (IGMP).
- Dhcp-relayagent (Dynamic Host Configuration Protocol).
Aanbeveling
Hoewel u Windows Server voor deze routeringstaken kunt gebruiken, is het ongebruikelijk dat de meeste organisaties speciale hardwareapparaten hebben om deze taken uit te voeren.
Webtoepassingsproxy
Webtoepassingsproxy biedt functionaliteit voor omgekeerde proxy's voor gebruikers die toegang moeten hebben tot de interne webtoepassingen van hun organisatie vanaf internet. WebToepassingsproxy autoreert gebruikers vooraf met behulp van de volgende opties:
- Ad FS-technologie (Active Directory Federation Services), waarbij webtoepassingsproxy fungeert als een AD FS-proxy.
- PassThrough-verificatie, waarbij de gepubliceerde toepassing, niet webtoepassingsproxy, verificatie uitvoert.
DirectAccess
Met DirectAccess kunnen externe gebruikers veilig toegang krijgen tot bedrijfsresources, zoals e-mailservers, gedeelde mappen en interne websites, zonder verbinding te maken met een virtueel particulier netwerk (VPN). DirectAccess biedt ook een verhoogde productiviteit voor mobiele werknemers door zowel binnen als buiten het kantoor dezelfde connectiviteitservaring te bieden.
Belangrijk
Windows 10 Enterprise- en Education-edities ondersteunen DirectAccess.
Overzicht van toegang tot externe toepassingen
Toegang tot externe toepassingen is een belangrijk onderdeel van het ondersteunen van mobiele gebruikers en gebruikers in externe kantoren. Hoe u externe toegang tot apps biedt, is afhankelijk van de architectuur van de app. Voor alle apps moet u er echter voor zorgen dat externe toegang tot de app veilig is.
Externe toegang tot gegevensbestanden
Wanneer u een VPN of DirectAccess gebruikt voor toegang tot gegevensbestanden zoals Microsoft Word-documenten of Microsoft Excel-spreadsheets, kan het langer duren om bestanden te openen en te sluiten dan wanneer u op kantoor bent, maar de prestaties zijn doorgaans acceptabel. De tragere prestaties zijn voornamelijk te maken met tragere netwerksnelheden op externe locaties en via internet.
Externe toegang tot bureaublad-apps
Voor apps die gebruikmaken van gedeelde gegevensopslag, zoals een database, veroorzaakt het gebruik van een VPN of DirectAccess vaak trage prestaties. De meeste ontwikkelaars optimaliseren hun apps niet om tragere verbindingen met hoge latentie uit te voeren. De apps hebben dus veel communicatiegesprekken met de back-endgegevensopslag. De extra latentie voor elke oproep telt tot zeer trage prestaties.
Ter ondersteuning van apps met gedeelde gegevensopslag is het gebruikelijk om Extern bureaublad-services (RDS) te implementeren. Wanneer u RDS implementeert, wordt de app geïnstalleerd op een Extern bureaublad-sessiehost (RD Session Host) in het interne netwerk dat wordt gedeeld door meerdere gebruikers. De app blijft dicht bij de gegevens, zodat netwerklatentie geen prestatieproblemen veroorzaakt.
Aanbeveling
Gebruikers maken verbinding met de RD Session Host met behulp van de Extern bureaublad-client die gebruikmaakt van Remote Desktop Protocol (RDP).
Externe toegang tot web-apps
Web-apps hebben goede prestaties voor tragere en hogere latentienetwerken. Dit komt doordat de toepassingslogica wordt opgeslagen op een webserver die zich dicht bij de toepassingsgegevens bevindt. Er wordt slechts een beperkte hoeveelheid gegevens op het scherm verzonden naar de webbrowser. Dit betekent dat web-apps geschikt zijn voor gebruik door mobiele gebruikers en externe kantoren.
Het HTTPS-protocol dat communicatie versleutelt, wordt doorgaans gebruikt voor web-apps. Dit zorgt ervoor dat gegevens niet kunnen worden onderschept tijdens de overdracht, maar de meeste bedrijven vereisen ook dat de web-app wordt geïsoleerd van internet door een omgekeerde proxy. Externe gebruikers communiceren met een omgekeerde proxy in een perimeternetwerk en de omgekeerde proxy communiceert met de web-app op het interne netwerk.
Belangrijk
Webtoepassingsproxy fungeert als een omgekeerde proxy voor web-apps.
Externe toegang beheren in Windows Server
Nadat u de rasfunctie hebt geïnstalleerd op een server waarop Windows Server wordt uitgevoerd, kunt u de rol beheren met behulp van de beheerconsole voor externe toegang en de console Routering en externe toegang of Windows PowerShell.
Beheerconsole voor externe toegang
Met de beheerconsole voor externe toegang kunt u DirectAccess, virtuele particuliere netwerken (VPN) en webtoepassingsproxy beheren. Wanneer u deze console voor het eerst opent, gebruikt u een interface op basis van een wizard om instellingen voor externe toegang te configureren op basis van uw bedrijfsvereisten.
Nadat u de eerste instellingen voor externe toegang hebt geconfigureerd, kunt u uw externe toegangsoplossing beheren met de opties die in de volgende tabel worden beschreven.
| Optie | Beschrijving |
|---|---|
| Configuratie | U kunt de instellingen voor externe toegang bewerken met behulp van wizards en met behulp van de grafische weergave van de huidige netwerkconfiguratie in de console. |
| Bedieningspaneel | U kunt de algehele status van servers en clients bewaken die deel uitmaken van uw externe toegangsoplossing. |
| Bewerkingsstatus | U hebt toegang tot gedetailleerde informatie over de status van de servers die deel uitmaken van uw externe toegangsoplossing. |
| Status van externe client | U hebt toegang tot gedetailleerde informatie over de status van de clients die verbinding maken met uw externe toegangsoplossing. |
| Berichtgeving | U kunt historische rapporten genereren over verschillende parameters, zoals het gebruik van externe toegang, toegangsgegevens, verbindingsdetails en statistieken over serverbelasting. |
Routerings- en RAS-console
U kunt de console Routering en externe toegang gebruiken om een server met Windows Server als NAT-apparaat te configureren, als router voor zowel IPv4- als IPv6-protocollen, als DHCP-proxy en als EEN VPN-server. Nadat u de configuratie hebt voltooid, kunt u de externe toegangsoplossing beheren met behulp van de opties die in de volgende tabel worden beschreven.
| Optie | Beschrijving |
|---|---|
| Serverstatus | U kunt de status van de RAS-server, de poorten in gebruik en hoe lang de server operationeel is. |
| Ras-client, poorten, logboekregistratie en beleid voor externe toegang | U kunt de clientstatus, poortstatus en gedetailleerde informatie over logboekregistratie bewaken over clients die zijn verbonden met de RAS-server. |
| IPv4 | U kunt de IPv4-instellingen zoals NAT, IPv4-routering met statische routes en deze routeringsprotocollen configureren: RIP versie 2, IGMP en de DHCP Relay-agent. |
| IPv6 | U kunt IPv6-instellingen configureren, zoals IPv6-routering met statische routes en het routeringsprotocol van de DHCP Relay-agent. |
