Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Microsoft raadt u ten zeerste aan AlwaysOn VPN te gebruiken in plaats van DirectAccess voor nieuwe implementaties. Zie AlwaysOn VPN-voor meer informatie.
In dit onderwerp vindt u een inleiding tot het DirectAccess-scenario dat gebruikmaakt van één DirectAccess-server en waarmee u DirectAccess in een paar eenvoudige stappen kunt implementeren.
Voordat u begint met implementeren, raadpleegt u de lijst met niet-ondersteunde configuraties, bekende problemen en vereisten
U kunt de volgende onderwerpen gebruiken om de vereisten en andere informatie te controleren voordat u DirectAccess implementeert.
Beschrijving van scenario
In dit scenario wordt een Windows Server-computer geconfigureerd als een DirectAccess-server met standaardinstellingen. Voor de configuratie zijn slechts enkele eenvoudige wizardstappen vereist, zonder dat u infrastructuurinstellingen zoals een certificeringsinstantie (CA) of Active Directory-beveiligingsgroepen hoeft te configureren.
Opmerking
Als u een geavanceerde implementatie met aangepaste instellingen wilt configureren, raadpleegt u Eén DirectAccess-server implementeren met geavanceerde instellingen
In dit scenario
Als u een eenvoudige DirectAccess-server wilt instellen, zijn er verschillende plannings- en implementatiestappen vereist.
Vereiste voorwaarden
Bekijk deze lijst voor belangrijke vereisten voordat u begint met het implementeren van dit scenario:
Windows Firewall moet zijn ingeschakeld voor alle profielen
Dit scenario wordt alleen ondersteund wanneer op uw clientcomputers Windows 10, Windows 8.1 of Windows 8 wordt uitgevoerd.
ISATAP in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u deze verwijderen en systeemeigen IPv6 gebruiken.
Er is geen openbare-sleutelinfrastructuur vereist.
Niet ondersteund voor het implementeren van tweeledige verificatie. Domeinreferenties zijn vereist voor verificatie.
Hiermee wordt DirectAccess automatisch geïmplementeerd op alle mobiele computers in het huidige domein.
Verkeer naar internet gaat niet via de DirectAccess-tunnel. Configuratie van geforceerde tunnel wordt niet ondersteund.
DirectAccess-server is de netwerklocatieserver.
NAP (Network Access Protection) wordt niet ondersteund.
Het wijzigen van beleid buiten de DirectAccess-beheerconsole of PowerShell-cmdlets wordt niet ondersteund.
Als u nu of in de toekomst meerdere sites wilt implementeren, implementeert u eerst één DirectAccess-server met geavanceerde instellingen.
Planningsstappen
Planning is onderverdeeld in twee fasen:
Planning voor de DirectAccess-infrastructuur. In deze fase wordt de planning beschreven die nodig is om de netwerkinfrastructuur in te stellen voordat de DirectAccess-implementatie wordt gestart. Planning omvat het ontwerp van de netwerk- en servertopologie en de DirectAccess-netwerklocatieserver.
Planning voor de DirectAccess-implementatie. In deze fase worden de planningsstappen beschreven die nodig zijn om de DirectAccess-implementatie voor te bereiden. Het omvat planning voor DirectAccess-clientcomputers, server- en clientverificatievereisten, VPN-instellingen, infrastructuurservers en beheer- en toepassingsservers.
Zie Een geavanceerde DirectAccess-implementatie plannen voor gedetailleerde planningsstappen.
Installatiestappen
Implementatie is onderverdeeld in drie fasen:
- De DirectAccess-infrastructuur configureren. Deze fase omvat het configureren van de volgende onderdelen:
- Netwerk en routering
- Firewallinstellingen (indien nodig)
- Certificaten
- DNS-servers
- Instellingen voor Active Directory en GPO
- DirectAccess-netwerklocatieserver
DirectAccess-serverinstellingen configureren. Deze fase omvat stappen voor het configureren van DirectAccess-clientcomputers, de DirectAccess-server, infrastructuurservers, beheer en toepassingsservers.
De implementatie verifiëren. Deze fase bevat stappen om te controleren of de implementatie werkt zoals vereist.
Zie Basic DirectAccess installeren en configureren voor gedetailleerde implementatiestappen.
Praktische toepassingen
Het implementeren van één RAS-server biedt de volgende voordelen:
Toegankelijkheid. U kunt beheerde clientcomputers met Windows 10, Windows 8.1, Windows 8 of Windows 7 configureren als DirectAccess-clients. Deze clients hebben toegang tot interne netwerkresources via DirectAccess wanneer ze zich op internet bevinden zonder zich aan te melden bij een VPN-verbinding. Clientcomputers waarop een van deze besturingssystemen niet wordt uitgevoerd, kunnen verbinding maken met het interne netwerk met behulp van traditionele VPN-verbindingen.
Eenvoudig beheer. DirectAccess-clientcomputers die zich op het internet bevinden, kunnen extern worden beheerd door Remote Access beheerders via DirectAccess, zelfs als de clientcomputers zich niet in het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan de bedrijfsvereisten, kunnen automatisch worden hersteld door beheerservers. Zowel DirectAccess als VPN worden beheerd in dezelfde console en met dezelfde set wizards. Bovendien kunnen een of meer RAS-servers worden beheerd vanuit één beheerconsole voor externe toegang
Rollen en functies die zijn opgenomen in dit scenario
De volgende tabel bevat de rollen en functies die vereist zijn voor het scenario:
| Rol/functie | Hoe dit scenario wordt ondersteund |
|---|---|
| Rol voor externe toegang | De rol wordt geïnstalleerd en verwijderd met behulp van de Serverbeheer-console of Windows PowerShell. Deze rol omvat zowel DirectAccess, Routering als Ras-services. De rol voor externe toegang bestaat uit twee onderdelen: 1. DirectAccess en routerings- en externe toegangsdiensten (RRAS) VPN. DirectAccess en VPN worden samen beheerd in de beheerconsole voor externe toegang. De RAS-serverfunctie is afhankelijk van de volgende serverrollen/-functies: - IIS-webserver (Internet Information Services): deze functie is vereist voor het configureren van de netwerklocatieserver op de RAS-server en de standaardwebtest. |
| Functie voor managementhulpmiddelen voor externe toegang | Deze functie wordt als volgt geïnstalleerd: - Deze wordt standaard geïnstalleerd op een Remote Access-server wanneer de Remote Access-rol is geïnstalleerd en ondersteunt de gebruikersinterface van de Remote Management-console en Windows PowerShell-cmdlets. De functie Hulpprogramma's voor beheer van externe toegang bestaat uit de volgende onderdelen: - GUI voor externe toegang Afhankelijkheden zijn onder andere: - Console groepsbeleidsbeheer |
Hardwarevereisten
Hardwarevereisten voor dit scenario zijn onder andere:
Serververeisten:
Een computer die voldoet aan de hardwarevereisten voor Windows Server 2016, Windows Server 2012 R2 of Windows Server 2012.
Op de server moet ten minste één netwerkadapter zijn geïnstalleerd, ingeschakeld en verbonden met het interne netwerk. Wanneer twee adapters worden gebruikt, moet er één adapter zijn verbonden met het interne bedrijfsnetwerk en één adapter die is verbonden met het externe netwerk (internet of particulier netwerk).
Ten minste één domeincontroller. De RAS-server en DirectAccess-clients moeten domeinleden zijn.
Clientvereisten:
Op een clientcomputer moet Windows 10, Windows 8.1 of Windows 8 worden uitgevoerd.
Belangrijk
Als op sommige of alle clientcomputers Windows 7 wordt uitgevoerd, moet u de wizard Geavanceerde installatie gebruiken. De wizard Aan de slag instellen die in dit document wordt beschreven, biedt geen ondersteuning voor clientcomputers waarop Windows 7 wordt uitgevoerd. Zie Een enkele DirectAccess-server implementeren met geavanceerde instellingen voor instructies over het gebruik van Windows 7-clients met DirectAccess.
Opmerking
Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise en Windows 7 Ultimate.
Vereisten voor infrastructuur- en beheerserver:
- Als VPN is ingeschakeld en een groep vaste IP-adressen niet is geconfigureerd, moet u een DHCP-server implementeren om automatisch IP-adressen toe te wijzen aan VPN-clients.
Een DNS-server met Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 of Windows Server 2008 R2 is vereist.
Softwarevereisten
Hieronder ziet u de vereisten voor dit scenario:
Serververeisten:
De RAS-server moet lid zijn van een domein. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een randfirewall of een ander apparaat.
Als de RAS-server zich achter een edge-firewall of NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer van en naar de RAS-server toe te staan.
De persoon die externe toegang op de server implementeert, vereist lokale beheerdersmachtigingen op de server en domeingebruikersmachtigingen. Daarnaast vereist de beheerder machtigingen voor de groepsbeleidsobjecten die worden gebruikt in de DirectAccess-implementatie. Als u wilt profiteren van de functies die directAccess-implementatie beperken tot alleen mobiele computers, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.
Vereisten voor remote access-clients:
DirectAccess-clients moeten domeinleden zijn. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de RAS-server of een tweerichtingsvertrouwensrelatie hebben met het RAS-serverforest.
Een Active Directory-beveiligingsgroep moet de computers bevatten die worden geconfigureerd als DirectAccess-clients. Als een beveiligingsgroep niet is opgegeven bij het configureren van DirectAccess-clientinstellingen, wordt standaard het groepsbeleidsobject van de client toegepast op alle laptopcomputers in de beveiligingsgroep Domeincomputers. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.
Zie ook
De volgende tabel bevat koppelingen naar aanvullende resources.
| Inhoudstype | Verwijzingen |
|---|---|
| Externe toegang op TechNet | TechCenter voor externe toegang |
| Hulpprogramma's en instellingen | PowerShell-cmdlets voor Externe toegang |
| gemeenschapsbronnen | DirectAccess Wiki-vermeldingen |
| verwante technologieën | Hoe IPv6 werkt |