Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Server 2016 en Windows Server 2012 combineren DirectAccess- en RAS-VPN (Remote Access Service) in één RAS-functie. Externe toegang kan worden geïmplementeerd in een aantal bedrijfsscenario's. Dit overzicht bevat een inleiding tot het bedrijfsscenario voor het implementeren van RAS-servers in een configuratie met meerdere locaties.
Beschrijving van scenario
In een implementatie met meerdere locaties worden twee of meer RAS-servers of serverclusters geïmplementeerd en geconfigureerd als verschillende toegangspunten op één locatie of in verspreide geografische locaties. Door meerdere toegangspunten op één locatie te implementeren, is serverredundantie mogelijk of voor de uitlijning van RAS-servers met bestaande netwerkarchitectuur. Implementatie op geografische locatie zorgt voor efficiënt gebruik van resources, omdat externe clientcomputers verbinding kunnen maken met interne netwerkbronnen met behulp van een ingangspunt dat het dichtst bij hen ligt. Verkeer over een implementatie met meerdere locaties kan worden gedistribueerd en gebalanceerd door een externe wereldwijde load balancer.
Een implementatie met meerdere locaties ondersteunt clientcomputers met Windows 10, Windows 8 of Windows 7. Clientcomputers met Windows 10 of Windows 8 identificeren automatisch een toegangspunt of de gebruiker kan handmatig een toegangspunt selecteren. Automatische toewijzing vindt plaats in de volgende prioriteitsvolgorde:
Gebruik een invoerpunt dat handmatig door de gebruiker is geselecteerd.
Gebruik een toegangspunt dat is geïdentificeerd door een externe globale load balancer als deze is geïmplementeerd.
Gebruik het dichtstbijzijnde toegangspunt dat wordt geïdentificeerd door de clientcomputer met behulp van een automatisch testmechanisme.
Ondersteuning voor clients met Windows 7 moet handmatig worden ingeschakeld op elk toegangspunt en het selecteren van een ingangspunt door deze clients wordt niet ondersteund.
Vereiste voorwaarden
Bekijk deze lijst voor belangrijke vereisten voordat u begint met het implementeren van dit scenario:
Implementeer één DirectAccess-server met geavanceerde instellingen voordat u een implementatie met meerdere locaties uitvoert.
Windows 7-clients maken altijd verbinding met een specifieke site. Ze kunnen geen verbinding maken met de dichtstbijzijnde site op basis van de locatie van de client (in tegenstelling tot Windows 10-, 8- of 8.1-clients).
Het wijzigen van beleid buiten de DirectAccess-beheerconsole of PowerShell-cmdlets wordt niet ondersteund.
Er moet een openbare-sleutelinfrastructuur worden geïmplementeerd.
Zie voor meer informatie: Test Lab Guide Mini-Module: Basic PKI voor Windows Server 2012.
Het bedrijfsnetwerk moet IPv6 zijn ingeschakeld. Als u ISATAP gebruikt, moet u deze verwijderen en systeemeigen IPv6 gebruiken.
In dit scenario
Het implementatiescenario voor meerdere locaties omvat een aantal stappen:
Implementeer één DirectAccess-server met geavanceerde instellingen. Eén RAS-server met geavanceerde instellingen moet worden geïmplementeerd voordat u een implementatie met meerdere locaties instelt.
Plan een implementatie voor meerdere locaties. Voor het bouwen van een implementatie met meerdere locaties vanaf één server zijn een aantal extra planningsstappen vereist, waaronder naleving van vereisten voor meerdere locaties en planning voor Active Directory-beveiligingsgroepen, groepsbeleidsobjecten (GPO's), DNS- en clientinstellingen.
Configureer een implementatie voor meerdere locaties. Dit bestaat uit een aantal configuratiestappen, waaronder de voorbereiding van de Active Directory-infrastructuur, de configuratie van de bestaande RAS-server en de toevoeging van meerdere RAS-servers als toegangspunten voor de implementatie van meerdere locaties.
Problemen met een implementatie met meerdere locaties oplossen. In deze sectie over probleemoplossing wordt een aantal van de meest voorkomende fouten beschreven die kunnen optreden bij het implementeren van externe toegang in een implementatie met meerdere locaties.
Praktische toepassingen
Een implementatie met meerdere locaties biedt het volgende:
Verbeterde prestaties: een implementatie met meerdere locaties stelt clientcomputers in staat toegang te krijgen tot interne resources met behulp van externe toegang om verbinding te maken met behulp van het dichtstbijzijnde en meest geschikte toegangspunt. Efficiënte toegang van clients tot interne bronnen, en de snelheid van internetaanvragen van clients die via DirectAccess worden gerouteerd, is verbeterd. Verkeer tussen toegangspunten kan worden verdeeld met behulp van een externe globale load balancer.
Met de functie "Beheer-gemak-Multisite" kunnen beheerders de implementatie van externe toegang afstemmen op een implementatie van Active Directory-sites, wat een vereenvoudigde architectuur biedt. Gedeelde instellingen kunnen eenvoudig worden ingesteld op toegangspuntservers of clusters. Instellingen voor externe toegang kunnen worden beheerd vanaf een van de servers in de implementatie of extern met behulp van Remote Server Administration Tools (RSAT). Bovendien kan de volledige implementatie van meerdere locaties worden bewaakt vanuit één beheerconsole voor externe toegang.
Rollen en functies die zijn opgenomen in dit scenario
De volgende tabel bevat de rollen en functies die in dit scenario worden gebruikt.
| Rol/functie | Hoe dit scenario wordt ondersteund |
|---|---|
| Rol voor externe toegang | De rol wordt geïnstalleerd en verwijderd met behulp van de serverbeheerconsole. Het omvat zowel DirectAccess, die voorheen een functie was in Windows Server 2008 R2, als Routerings- en RAS-services (RRAS), die voorheen een functieservice was onder de serverfunctie Netwerkbeleid en toegangsservices (NPAS). De rol voor externe toegang bestaat uit twee onderdelen: - DirectAccess en Routing and Remote Access Services (RRAS) VPN-DirectAccess en VPN worden samen beheerd in de beheerconsole voor externe toegang. Afhankelijkheden zijn als volgt: - IIS-webserver (Internet Information Services): deze functie is vereist voor het configureren van de netwerklocatieserver en de standaardwebtest. |
| Functie voor managementhulpmiddelen voor externe toegang | Deze functie wordt als volgt geïnstalleerd: - Deze wordt standaard geïnstalleerd op een server voor Externe Toegang wanneer de rol voor Externe Toegang is geïnstalleerd en ondersteunt de gebruikersinterface van de console voor Externe Beheer. De functie Hulpprogramma's voor beheer van externe toegang bestaat uit het volgende: - EXTERNE toegang GUI en opdrachtregelprogramma's Afhankelijkheden zijn onder andere: - Console groepsbeleidsbeheer |
Hardwarevereisten
Hardwarevereisten voor dit scenario zijn onder andere:
Ten minste twee RAS-computers die moeten worden verzameld in een implementatie met meerdere locaties.
Als u het scenario wilt testen, is ten minste één computer met Windows 8 en geconfigureerd als een DirectAccess-client vereist. Als u het scenario wilt testen voor clients met Windows 7, is ten minste één computer met Windows 7 vereist.
Als u verkeer wilt verdelen over toegangspuntservers, is er een externe globale load balancer van een externe leverancier vereist.
Softwarevereisten
Softwarevereisten voor dit scenario zijn onder andere:
Softwarevereisten voor implementatie van één server.
Naast softwarevereisten voor één server zijn er een aantal specifieke vereisten voor meerdere sites:
IPsec-verificatievereisten: In een implementatie met meerdere locaties moet DirectAccess worden geïmplementeerd met IPsec-machinecertificaatverificatie. De optie voor het uitvoeren van IPsec-verificatie met behulp van de RAS-server als een Kerberos-proxy wordt niet ondersteund. Er is een interne CA vereist voor het implementeren van de IPsec-certificaten.
IP-HTTPS- en netwerklocatieserververeisten- Certificaten die vereist zijn voor IP-HTTPS en de netwerklocatieserver moeten worden uitgegeven door een CA. De optie voor het gebruik van certificaten die automatisch worden uitgegeven en zelfondertekend door de RAS-server wordt niet ondersteund. Certificaten kunnen worden uitgegeven door een interne CA of door een externe certificeringsinstantie van derden.
Active Directory-vereisten: er is ten minste één Active Directory-site vereist. De RAS-server moet zich op de site bevinden. Voor snellere updatetijden wordt aanbevolen dat elke site een beschrijfbare domeincontroller heeft, hoewel dit niet verplicht is.
Vereisten voor beveiligingsgroepen zijn als volgt:
Eén beveiligingsgroep is vereist voor alle Windows 8-clientcomputers uit alle domeinen. Het wordt aanbevolen om voor elk domein een unieke beveiligingsgroep van deze clients te maken.
Een unieke beveiligingsgroep met Windows 7-computers is vereist voor elk toegangspunt dat is geconfigureerd ter ondersteuning van Windows 7-clients. Het wordt aanbevolen om een unieke beveiligingsgroep te hebben voor elk toegangspunt in elk domein.
Computers mogen niet worden opgenomen in meer dan één beveiligingsgroep met DirectAccess-clients. Als klanten zijn opgenomen in meerdere groepen, werkt naamresolutie voor klantverzoeken niet zoals verwacht.
GPO-vereisten-GPO's kunnen handmatig worden gemaakt voordat externe toegang wordt geconfigureerd of automatisch worden gemaakt tijdens de implementatie van externe toegang. De vereisten zijn als volgt:
Voor elk domein is een uniek groepsbeleidsobject voor de client vereist.
Een server GPO is vereist voor elk toegangspunt in het domein waarin het toegangspunt zich bevindt. Dus als meerdere toegangspunten zich in hetzelfde domein bevinden, zijn er meerdere server-GPO's (één voor elk toegangspunt) in het domein.
Een uniek groepsbeleidsobject (GPO) voor Windows 7-clients is vereist voor elk toegangspunt dat is ingeschakeld voor het ondersteunen van Windows 7-clients, voor elk domein.
Bekende problemen
Hier volgen bekende problemen bij het configureren van een scenario met meerdere locaties:
Meerdere toegangspunten in hetzelfde IPv4-subnet. Als u meerdere toegangspunten toevoegt in hetzelfde IPv4-subnet, wordt er een ip-adresconflict weergegeven en wordt het DNS64-adres voor het toegangspunt niet geconfigureerd zoals verwacht. Dit probleem treedt op wanneer IPv6 niet is geïmplementeerd op de interne interfaces van de servers in het bedrijfsnetwerk. U kunt dit probleem voorkomen door de volgende Windows PowerShell-opdracht uit te voeren op alle huidige en toekomstige RAS-servers:
Set-NetIPInterface -InterfaceAlias <InternalInterfaceName> -AddressFamily IPv6 -DadTransmits 0Als het openbare adres dat is opgegeven voor DirectAccess-clients om verbinding te maken met de RAS-server een achtervoegsel heeft dat is opgenomen in NRPT, werkt DirectAccess mogelijk niet zoals verwacht. Zorg ervoor dat de NRPT een uitzondering heeft voor de openbare naam. In een implementatie met meerdere locaties moeten uitzonderingen worden toegevoegd voor de openbare namen van alle toegangspunten. Houd er rekening mee dat deze uitzonderingen automatisch worden toegevoegd als geforceerde tunneling is ingeschakeld. Ze worden verwijderd als geforceerde tunneling is uitgeschakeld.
Wanneer u de Windows PowerShell-cmdlet Disable-DAMultiSite gebruikt, hebben de parameters WhatIf en Confirm geen effect. Multisite wordt uitgeschakeld en Windows 7 GPO's worden verwijderd.
Wanneer Windows 7-clients die DCA gebruiken in een implementatie met meerdere locaties worden bijgewerkt naar Windows 8, werkt de netwerkconnectiviteitsassistent niet. Dit probleem kan worden opgelost voordat de clientupgrade wordt uitgevoerd door de Windows 7 GPO's te wijzigen met behulp van de volgende Windows PowerShell-cmdlets:
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"Als de client al is bijgewerkt, verplaatst u de clientcomputer naar de Windows 8-beveiligingsgroep.
Wanneer u de instellingen van de domeincontroller wijzigt met behulp van de Windows PowerShell-cmdlet Set-DAEntryPointDC, wordt er een waarschuwing weergegeven die aangeeft dat de opgegeven computernaamparameter een RAS-server is in een ander toegangspunt dan het laatste dat is toegevoegd aan de implementatie van meerdere locaties. Er wordt een waarschuwing weergegeven die aangeeft dat de opgegeven server pas wordt bijgewerkt nadat het volgende beleid is vernieuwd. De werkelijke server(s) die niet zijn bijgewerkt, kunnen worden weergegeven met behulp van de configuratiestatus in het DASHBOARD van de beheerconsole voor externe toegang. Dit veroorzaakt geen functionele problemen, maar u kunt gpupdate /force uitvoeren op de server(s) die niet zijn bijgewerkt om de configuratiestatus onmiddellijk bijgewerkt te krijgen.
Wanneer multisite wordt geïmplementeerd in een bedrijfsnetwerk met alleen IPv4, wijzigen zowel het IPv6-voorvoegsel van het interne netwerk als het DNS64-adres. Het adres in de firewallregels die DNS-query's naar de DNS64-service toestaan, wordt echter niet bijgewerkt. U kunt dit probleem oplossen door de volgende Windows PowerShell-opdrachten uit te voeren nadat u het IPv6-voorvoegsel van het interne netwerk hebt gewijzigd:
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSessionAls DirectAccess is geïmplementeerd toen een bestaande ISATAP-infrastructuur aanwezig was, wordt bij het verwijderen van een toegangspunt dat een ISATAP-host was, het IPv6-adres van de DNS64-service verwijderd uit de DNS-serveradressen van alle DNS-achtervoegsels in de NRPT.
U kunt dit probleem oplossen door in de wizard Infrastructuurserver instellen op de pagina DNS de DNS-achtervoegsels te verwijderen die zijn gewijzigd en opnieuw toe te voegen met de juiste DNS-serveradressen door te klikken op Detecteren in het dialoogvenster DNS-serveradressen .