Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie

Artykuł
08/03/2016

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Ten temat zawiera wprowadzenie do scenariusza związanego z funkcją DirectAccess, w którym jest stosowany jeden serwer DirectAccess umożliwiający wdrożenie funkcji DirectAccess w kilku prostych krokach.

Aby uzyskać informacje dotyczące alternatywnych ścieżek wdrażania, zobacz Ścieżki wdrożenia funkcji DirectAccess w systemie Windows Server.

Ważne

Aby wdrożyć funkcję DirectAccess za pomocą tego przewodnika, należy użyć serwera funkcji DirectAccess z systemem Windows Server® 2012 R2 lub Windows Server® 2012.

Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych

Możesz skorzystać z następujących tematów, aby zapoznać się z wymaganiami wstępnymi i innymi informacjami przed wdrożeniem funkcji DirectAccess w systemach Windows Server® 2012 R2 i Windows Server® 2012.

Opis scenariusza

W tym scenariuszu jeden komputer z systemem Windows Server 2012 R2 lub Windows Server 2012 jest w kilku prostych krokach konfigurowany jako serwer DirectAccess.

Prosty scenariusz zakłada konfigurację funkcji DirectAccess przy użyciu ustawień domyślnych w kilku prostych krokach kreatora, bez konieczności konfigurowania ustawień infrastruktury, na przykład urzędu certyfikacji lub grup zabezpieczeń usługi Active Directory.
Jeśli chcesz skonfigurować wdrożenie zaawansowane z użyciem ustawień niestandardowych, zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.
Jeśli chcesz skonfigurować funkcję DirectAccess z użyciem funkcji przeznaczonych dla przedsiębiorstw, takich jak klaster z równoważeniem obciążenia, wdrożenie w wielu lokacjach czy uwierzytelnianie dwuskładnikowe klienta, wykonaj czynności opisane w tym scenariuszu w celu skonfigurowania jednego serwera, a następnie skonfiguruj wymagane funkcje przeznaczone dla przedsiębiorstw zgodnie z tematem Wdrażanie dostępu zdalnego w dużej firmie.

W tym scenariuszu

Skonfigurowanie prostego serwera DirectAccess wymaga wykonania kilku czynności związanych z planowaniem i wdrożeniem.

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza przejrzyj tę listę pod kątem ważnych wymagań:

Zapora systemu Windows musi być włączona we wszystkich węzłach.

Ten scenariusz ma zastosowanie tylko do komputerów klienckich z systemem Windows® 8.1 lub Windows® 8.

Nie jest obsługiwany protokół ISATAP w sieci firmowej. Jeśli korzystasz z protokołu ISATAP, usuń go i skorzystaj z natywnego protokołu IPv6.

Infrastruktura kluczy publicznych nie jest wymagana.

Wdrażanie uwierzytelniania dwuskładnikowego nie jest obsługiwane. Do uwierzytelnienia są wymagane poświadczenia domeny.

Funkcja DirectAccess zostaje automatycznie wdrożona na wszystkich komputerach przenośnych w bieżącej domenie.

Ruch do Internetu nie przechodzi przez tunel funkcji DirectAccess. Konfiguracja wymuszonego tunelowania nie jest obsługiwana.

Serwer DirectAccess jest serwerem lokalizacji sieciowej.

Ochrony dostępu do sieci nie jest obsługiwana.

Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet środowiska PowerShell.

Aby przeprowadzić wdrożenie w wielu lokacjach, teraz lub w przyszłości, wykonaj instrukcje podane w temacie Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.

Kroki planowania

Planowanie odbywa się w dwóch etapach:

Planowanie infrastruktury funkcji DirectAccess — ten etap obejmuje planowanie wymagane w celu skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania funkcji DirectAccess. W jego zakres wchodzi planowanie topologii sieci i serwera oraz serwera lokalizacji sieciowej funkcji DirectAccess.
Planowanie wdrożenia funkcji DirectAccess — ten etap obejmuje planowanie wymagane w celu przygotowania do wdrożenia funkcji DirectAccess. Obejmuje planowanie dotyczące komputerów klienckich funkcji DirectAccess, wymagań uwierzytelniania serwerów i klientów, ustawień sieci VPN, serwerów infrastruktury oraz serwerów zarządzania i aplikacji.

Aby uzyskać szczegółowe informacje dotyczące etapów planowania, zobacz Planowanie zaawansowanego wdrożenia funkcji DirectAccess.

Kroki wdrażania

Wdrażanie odbywa się w trzech fazach:

Konfigurowanie infrastruktury funkcji DirectAccess — ta faza obejmuje konfigurowanie sieci i routingu, konfigurowanie ustawień zapory (jeśli to konieczne), konfigurowanie certyfikatów, ustawień serwerów DNS, usługi Active Directory i obiektów zasad grupy oraz konfigurowanie serwera lokalizacji sieciowej funkcji DirectAccess.
Konfigurowanie ustawień serwera DirectAccess — ta faza obejmuje czynności związane z konfiguracją komputerów klienckich funkcji DirectAccess, serwera DirectAccess, serwerów infrastruktury oraz serwerów aplikacji i zarządzania.
Weryfikacja wdrożenia — ta faza obejmuje czynności związane z weryfikacją prawidłowego działania wdrożenia.

Kroki wdrożenia są szczegółowo opisane w artykule Instalacja i konfiguracja podstawowego wdrożenia funkcji DirectAccess.

Zastosowania praktyczne

Wdrażanie na pojedynczym serwerze dostępu zdalnego ma następujące zalety:

Łatwość dostępu — jako klientów funkcji DirectAccess można skonfigurować zarządzane komputery klienckie z systemami Windows 8.1, Windows 8 i Windows® 7. Te komputery klienckie będą mieć za pośrednictwem funkcji DirectAccess dostęp do zasobów w sieci wewnętrznej zawsze, gdy mają połączenie internetowe, bez konieczności logowania się przez połączenie VPN. Komputery klienckie z innymi systemami operacyjnymi mogą łączyć się z siecią wewnętrzną za pośrednictwem tradycyjnych połączeń sieci VPN.
Łatwość zarządzania — administratorzy dostępu zdalnego mogą za pośrednictwem funkcji DirectAccess zdalnie zarządzać komputerami klienckimi funkcji DirectAccess połączonymi z Internetem nawet wówczas, gdy komputery klienckie nie znajdują się w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą zostać automatycznie skorygowane przez serwery zarządzania. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu tych samych kreatorów. Ponadto jedna konsola zarządzania dostępem zdalnym umożliwia zarządzanie wieloma serwerami dostępu zdalnego.

Role i funkcje uwzględnione w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:

Rola/funkcja	Zadania realizowane w tym scenariuszu
Rola Dostęp zdalny	Ta rola jest instalowana i odinstalowywana za pomocą konsoli Menedżera serwera lub środowiska Windows PowerShell. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki: Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym. Routing RRAS — Funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny. Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera: Serwer sieci Web usług Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania zarówno serwera lokalizacji sieciowej na serwerze dostępu zdalnego, jak i domyślnej funkcji badania sieci Web. Wewnętrzna baza danych systemu Windows — Służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.
Funkcja narzędzi do zarządzania dostępem zdalnym	Ta funkcja jest instalowana w następujący sposób: Jest instalowana domyślnie na serwerze dostępu zdalnego, jeśli zainstalowano rolę dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego oraz polecenia cmdlet programu Windows PowerShell. Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN. Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki: Graficzny interfejs użytkownika dostępu zdalnego Moduł dostępu zdalnego dla programu Windows PowerShell Występują następujące zależności: Konsola zarządzania zasadami grupy Zestaw administracyjny menedżera połączeń RAS Środowisko Windows PowerShell 3.0. Infrastruktura i narzędzia do zarządzania w trybie graficznym

Rola Dostęp zdalny

Ta rola jest instalowana i odinstalowywana za pomocą konsoli Menedżera serwera lub środowiska Windows PowerShell. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki:

Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym.
Routing RRAS — Funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny.

Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera:

Serwer sieci Web usług Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania zarówno serwera lokalizacji sieciowej na serwerze dostępu zdalnego, jak i domyślnej funkcji badania sieci Web.
Wewnętrzna baza danych systemu Windows — Służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.

Funkcja narzędzi do zarządzania dostępem zdalnym

Ta funkcja jest instalowana w następujący sposób:

Jest instalowana domyślnie na serwerze dostępu zdalnego, jeśli zainstalowano rolę dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego oraz polecenia cmdlet programu Windows PowerShell.
Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN.

Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:

Graficzny interfejs użytkownika dostępu zdalnego
Moduł dostępu zdalnego dla programu Windows PowerShell

Występują następujące zależności:

Konsola zarządzania zasadami grupy
Zestaw administracyjny menedżera połączeń RAS
Środowisko Windows PowerShell 3.0.
Infrastruktura i narzędzia do zarządzania w trybie graficznym

Wymagania sprzętowe

Ten scenariusz ma następujące wymagania sprzętowe:

Wymagania dotyczące serwera:
- Komputer spełniający wymagania sprzętowe systemu Windows Server 2012 R2 lub Windows Server 2012.
- Serwer musi mieć zainstalowaną, włączoną i podłączoną do sieci lokalnej co najmniej jedną kartę sieciową. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmy, a druga z siecią zewnętrzną (Internet lub sieć prywatna).
- Co najmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.
Wymagania dotyczące klienta:
- Komputer kliencki musi działać pod kontrolą systemu Windows 8.1 lub Windows 8.
  
  Ważne
  
  Jeśli co najmniej jeden z komputerów klienckich działa pod kontrolą systemu Windows 7, należy użyć kreatora konfiguracji zaawansowanej. Kreator instalacji Wprowadzenie opisany w tym dokumencie nie obsługuje komputerów klienckich z systemem Windows 7. Zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi, aby zapoznać się z instrukcjami korzystania z funkcji DirectAccess przy użyciu komputerów klienckich z systemem Windows 7.
  
  Uwaga
  
  Klientami funkcji DirectAccess mogą być wyłącznie komputery z następującymi systemami: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise i Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwerów zarządzania:
- Jeśli włączono sieć VPN, ale nie skonfigurowano statycznej puli adresów IP, należy wdrożyć serwer DHCP w celu automatycznego przydzielania adresów IP do klientów sieci VPN.
Wymagany jest serwer DNS z systemem Windows Server 2008 SP2, Windows Server 2008 R2 lub Windows Server 2012.

Wymagania dotyczące oprogramowania

Istnieje szereg wymagań dotyczących tego scenariusza:

Wymagania dotyczące serwera:
- Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć w obszarze brzegowym sieci wewnętrznej lub za brzegową zaporą sieciową albo innym urządzeniem.
- Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub za urządzeniem będącym translatorem adresów sieciowych, urządzenie musi być skonfigurowane tak, aby zezwalało na przepływ ruchu z i do serwera dostępu zdalnego.
- Osoba wdrażająca dostęp zdalny na serwerze musi mieć uprawnienia administratora lokalnego na serwerze i uprawnienia użytkownika domeny. Ponadto administrator musi też mieć uprawnienia do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji ograniczających wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do utworzenia filtru infrastruktury WMI na kontrolerze domeny.
Wymagania dotyczące klientów dostępu zdalnego:
- Klienci funkcji DirectAccess muszą należeć do domeny. Domeny zawierające klientów mogą albo należeć do tego samego lasu co serwer dostępu zdalnego, albo mieć dwukierunkowe zaufanie z lasem serwera dostępu zdalnego.
- Wymagane jest, aby komputery, które mają zostać skonfigurowane jako klienci funkcji DirectAccess, należały do grup zabezpieczeń usługi Active Directory. Jeśli podczas konfigurowania ustawień klienta funkcji DirectAccess nie określono grupy zabezpieczeń, obiekt zasad grupy klienta zostanie domyślnie zastosowany do wszystkich komputerów przenośnych w grupie zabezpieczeń Komputery domeny. Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.

Zobacz też

Poniższa tabela zawiera linki do dodatkowych zasobów.

Typ zawartości	Odwołania
Dostęp zdalny w serwisie TechNet	Serwis TechCenter dostępu zdalnego
Ocena produktu	Przewodnik po laboratorium testowym: prezentacja funkcji DirectAccess w klastrze z modułem równoważenia obciążenia sieciowego systemu Windows Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess Przewodnik laboratorium testowego: Funkcja DirectAccess z hasłem Jednorazowym uwierzytelniania i RSA SecurID prezentują
Narzędzia i ustawienia	Polecenia cmdlet programu PowerShell dla dostępu zdalnego
Zasoby społeczności	Wpisy na stronie typu wiki dotyczące funkcji DirectAccess
Technologie pokrewne	Jak działa protokół IPv6

Udostępnij za pośrednictwem