Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie
Dotyczy: Windows Server 2012 R2, Windows Server 2012
Ten temat zawiera wprowadzenie do scenariusza związanego z funkcją DirectAccess, w którym jest stosowany jeden serwer DirectAccess umożliwiający wdrożenie funkcji DirectAccess w kilku prostych krokach.
Aby uzyskać informacje dotyczące alternatywnych ścieżek wdrażania, zobacz Ścieżki wdrożenia funkcji DirectAccess w systemie Windows Server.
Ważne
Aby wdrożyć funkcję DirectAccess za pomocą tego przewodnika, należy użyć serwera funkcji DirectAccess z systemem Windows Server® 2012 R2 lub Windows Server® 2012.
Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych
Możesz skorzystać z następujących tematów, aby zapoznać się z wymaganiami wstępnymi i innymi informacjami przed wdrożeniem funkcji DirectAccess w systemach Windows Server® 2012 R2 i Windows Server® 2012.
Opis scenariusza
W tym scenariuszu jeden komputer z systemem Windows Server 2012 R2 lub Windows Server 2012 jest w kilku prostych krokach konfigurowany jako serwer DirectAccess.
Prosty scenariusz zakłada konfigurację funkcji DirectAccess przy użyciu ustawień domyślnych w kilku prostych krokach kreatora, bez konieczności konfigurowania ustawień infrastruktury, na przykład urzędu certyfikacji lub grup zabezpieczeń usługi Active Directory.
Jeśli chcesz skonfigurować wdrożenie zaawansowane z użyciem ustawień niestandardowych, zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.
Jeśli chcesz skonfigurować funkcję DirectAccess z użyciem funkcji przeznaczonych dla przedsiębiorstw, takich jak klaster z równoważeniem obciążenia, wdrożenie w wielu lokacjach czy uwierzytelnianie dwuskładnikowe klienta, wykonaj czynności opisane w tym scenariuszu w celu skonfigurowania jednego serwera, a następnie skonfiguruj wymagane funkcje przeznaczone dla przedsiębiorstw zgodnie z tematem Wdrażanie dostępu zdalnego w dużej firmie.
W tym scenariuszu
Skonfigurowanie prostego serwera DirectAccess wymaga wykonania kilku czynności związanych z planowaniem i wdrożeniem.
Wymagania wstępne
Przed rozpoczęciem wdrażania tego scenariusza przejrzyj tę listę pod kątem ważnych wymagań:
- Zapora systemu Windows musi być włączona we wszystkich węzłach.
- Ten scenariusz ma zastosowanie tylko do komputerów klienckich z systemem Windows® 8.1 lub Windows® 8.
- Nie jest obsługiwany protokół ISATAP w sieci firmowej. Jeśli korzystasz z protokołu ISATAP, usuń go i skorzystaj z natywnego protokołu IPv6.
- Infrastruktura kluczy publicznych nie jest wymagana.
- Wdrażanie uwierzytelniania dwuskładnikowego nie jest obsługiwane. Do uwierzytelnienia są wymagane poświadczenia domeny.
- Funkcja DirectAccess zostaje automatycznie wdrożona na wszystkich komputerach przenośnych w bieżącej domenie.
- Ruch do Internetu nie przechodzi przez tunel funkcji DirectAccess. Konfiguracja wymuszonego tunelowania nie jest obsługiwana.
- Serwer DirectAccess jest serwerem lokalizacji sieciowej.
- Ochrony dostępu do sieci nie jest obsługiwana.
- Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet środowiska PowerShell.
- Aby przeprowadzić wdrożenie w wielu lokacjach, teraz lub w przyszłości, wykonaj instrukcje podane w temacie Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.
Kroki planowania
Planowanie odbywa się w dwóch etapach:
Planowanie infrastruktury funkcji DirectAccess — ten etap obejmuje planowanie wymagane w celu skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania funkcji DirectAccess. W jego zakres wchodzi planowanie topologii sieci i serwera oraz serwera lokalizacji sieciowej funkcji DirectAccess.
Planowanie wdrożenia funkcji DirectAccess — ten etap obejmuje planowanie wymagane w celu przygotowania do wdrożenia funkcji DirectAccess. Obejmuje planowanie dotyczące komputerów klienckich funkcji DirectAccess, wymagań uwierzytelniania serwerów i klientów, ustawień sieci VPN, serwerów infrastruktury oraz serwerów zarządzania i aplikacji.
Aby uzyskać szczegółowe informacje dotyczące etapów planowania, zobacz Planowanie zaawansowanego wdrożenia funkcji DirectAccess.
Kroki wdrażania
Wdrażanie odbywa się w trzech fazach:
Konfigurowanie infrastruktury funkcji DirectAccess — ta faza obejmuje konfigurowanie sieci i routingu, konfigurowanie ustawień zapory (jeśli to konieczne), konfigurowanie certyfikatów, ustawień serwerów DNS, usługi Active Directory i obiektów zasad grupy oraz konfigurowanie serwera lokalizacji sieciowej funkcji DirectAccess.
Konfigurowanie ustawień serwera DirectAccess — ta faza obejmuje czynności związane z konfiguracją komputerów klienckich funkcji DirectAccess, serwera DirectAccess, serwerów infrastruktury oraz serwerów aplikacji i zarządzania.
Weryfikacja wdrożenia — ta faza obejmuje czynności związane z weryfikacją prawidłowego działania wdrożenia.
Kroki wdrożenia są szczegółowo opisane w artykule Instalacja i konfiguracja podstawowego wdrożenia funkcji DirectAccess.
Zastosowania praktyczne
Wdrażanie na pojedynczym serwerze dostępu zdalnego ma następujące zalety:
Łatwość dostępu — jako klientów funkcji DirectAccess można skonfigurować zarządzane komputery klienckie z systemami Windows 8.1, Windows 8 i Windows® 7. Te komputery klienckie będą mieć za pośrednictwem funkcji DirectAccess dostęp do zasobów w sieci wewnętrznej zawsze, gdy mają połączenie internetowe, bez konieczności logowania się przez połączenie VPN. Komputery klienckie z innymi systemami operacyjnymi mogą łączyć się z siecią wewnętrzną za pośrednictwem tradycyjnych połączeń sieci VPN.
Łatwość zarządzania — administratorzy dostępu zdalnego mogą za pośrednictwem funkcji DirectAccess zdalnie zarządzać komputerami klienckimi funkcji DirectAccess połączonymi z Internetem nawet wówczas, gdy komputery klienckie nie znajdują się w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą zostać automatycznie skorygowane przez serwery zarządzania. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu tych samych kreatorów. Ponadto jedna konsola zarządzania dostępem zdalnym umożliwia zarządzanie wieloma serwerami dostępu zdalnego.
Role i funkcje uwzględnione w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:
Rola/funkcja |
Zadania realizowane w tym scenariuszu |
---|---|
Rola Dostęp zdalny |
Ta rola jest instalowana i odinstalowywana za pomocą konsoli Menedżera serwera lub środowiska Windows PowerShell. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki:
Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera:
|
Funkcja narzędzi do zarządzania dostępem zdalnym |
Ta funkcja jest instalowana w następujący sposób:
Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:
Występują następujące zależności:
|
Wymagania sprzętowe
Ten scenariusz ma następujące wymagania sprzętowe:
Wymagania dotyczące serwera:
Komputer spełniający wymagania sprzętowe systemu Windows Server 2012 R2 lub Windows Server 2012.
Serwer musi mieć zainstalowaną, włączoną i podłączoną do sieci lokalnej co najmniej jedną kartę sieciową. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmy, a druga z siecią zewnętrzną (Internet lub sieć prywatna).
Co najmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.
Wymagania dotyczące klienta:
Komputer kliencki musi działać pod kontrolą systemu Windows 8.1 lub Windows 8.
Ważne
Jeśli co najmniej jeden z komputerów klienckich działa pod kontrolą systemu Windows 7, należy użyć kreatora konfiguracji zaawansowanej. Kreator instalacji Wprowadzenie opisany w tym dokumencie nie obsługuje komputerów klienckich z systemem Windows 7. Zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi, aby zapoznać się z instrukcjami korzystania z funkcji DirectAccess przy użyciu komputerów klienckich z systemem Windows 7.
Uwaga
Klientami funkcji DirectAccess mogą być wyłącznie komputery z następującymi systemami: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise i Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwerów zarządzania:
- Jeśli włączono sieć VPN, ale nie skonfigurowano statycznej puli adresów IP, należy wdrożyć serwer DHCP w celu automatycznego przydzielania adresów IP do klientów sieci VPN.
Wymagany jest serwer DNS z systemem Windows Server 2008 SP2, Windows Server 2008 R2 lub Windows Server 2012.
Wymagania dotyczące oprogramowania
Istnieje szereg wymagań dotyczących tego scenariusza:
Wymagania dotyczące serwera:
Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć w obszarze brzegowym sieci wewnętrznej lub za brzegową zaporą sieciową albo innym urządzeniem.
Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub za urządzeniem będącym translatorem adresów sieciowych, urządzenie musi być skonfigurowane tak, aby zezwalało na przepływ ruchu z i do serwera dostępu zdalnego.
Osoba wdrażająca dostęp zdalny na serwerze musi mieć uprawnienia administratora lokalnego na serwerze i uprawnienia użytkownika domeny. Ponadto administrator musi też mieć uprawnienia do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji ograniczających wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do utworzenia filtru infrastruktury WMI na kontrolerze domeny.
Wymagania dotyczące klientów dostępu zdalnego:
Klienci funkcji DirectAccess muszą należeć do domeny. Domeny zawierające klientów mogą albo należeć do tego samego lasu co serwer dostępu zdalnego, albo mieć dwukierunkowe zaufanie z lasem serwera dostępu zdalnego.
Wymagane jest, aby komputery, które mają zostać skonfigurowane jako klienci funkcji DirectAccess, należały do grup zabezpieczeń usługi Active Directory. Jeśli podczas konfigurowania ustawień klienta funkcji DirectAccess nie określono grupy zabezpieczeń, obiekt zasad grupy klienta zostanie domyślnie zastosowany do wszystkich komputerów przenośnych w grupie zabezpieczeń Komputery domeny. Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.
Zobacz też
Poniższa tabela zawiera linki do dodatkowych zasobów.
Typ zawartości |
Odwołania |
---|---|
Dostęp zdalny w serwisie TechNet |
|
Ocena produktu |
Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess |
Narzędzia i ustawienia |
|
Zasoby społeczności |
|
Technologie pokrewne |