Wdrażanie dostępu zdalnego w dużej firmie

Artykuł
05/08/2016

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Ten temat zawiera wprowadzenie do scenariusza funkcji DirectAccess dla przedsiębiorstwa.

Aby uzyskać informacje dotyczące alternatywnych ścieżek wdrażania, zobacz DirectAccess ścieżki wdrażania w systemie Windows Server.

Ważne

Aby wdrożyć funkcję DirectAccess za pomocą tego przewodnika, należy użyć serwera funkcji DirectAccess z systemem Windows Server® 2012 R2 lub Windows Server® 2012.

Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych

Opis scenariusza

Dostęp zdalny obejmuje kilka funkcji dla przedsiębiorstw, takich jak wdrażanie wielu serwerów dostępu zdalnego w klastrze z równoważeniem obciążenia sieciowego (NLB) systemu Windows lub zewnętrznym równoważeniem obciążenia, konfigurowanie wdrożenia obejmującego wiele lokacji z serwerami dostępu zdalnego znajdującymi się w rozproszonych lokalizacjach geograficznych i wdrażanie funkcji DirectAccess z dwuskładnikowym uwierzytelnianiem klientów za pomocą hasła jednorazowego (OTP).

W tym scenariuszu

Poszczególne scenariusze dla przedsiębiorstw opisano w dokumentach zawierających instrukcje dotyczące planowania i wdrażania. Aby uzyskać więcej informacji, zobacz:

Zastosowania praktyczne

Scenariusz dostępu zdalnego dla przedsiębiorstw zapewnia następujące korzyści:

Większa dostępność — wdrożenie wielu serwerów dostępu zdalnego w klastrze zapewnia skalowalność i większą wydajność (większa przepływność i liczba użytkowników). Równoważenie obciążenia klastra zapewnia wysoki poziom dostępności. Jeżeli serwer w klastrze ulegnie awarii, użytkownicy zdalni nadal mogą uzyskać dostęp do wewnętrznej sieci firmy za pośrednictwem innego serwera w klastrze. Tryb failover jest niewidoczny, ponieważ klienci łączą się z klastrem przy użyciu wirtualnego adresu IP (VIP).
Łatwość zarządzania — można konfigurować wdrożenie klastra lub wdrożenie obejmujące wiele lokacji i zarządzać nim jak jedną jednostką przy użyciu konsoli Zarządzanie dostępem zdalnym uruchomionej na jednym z serwerów klastra. Ponadto wdrożenie w wielu lokacjach umożliwia administratorom dopasowanie wdrożenia dostępu zdalnego do witryn usługi Active Directory w celu uproszczenia architektury. Ustawienia udostępnione można łatwo konfigurować na serwerach klastra lub wszystkich serwerach wejściowych konfiguracji z wieloma lokacjami. Ustawieniami dostępu zdalnego można zarządzać za pomocą dowolnego serwera w klastrze lub wdrożeniu albo zdalnie — za pomocą Narzędzi administracji zdalnej serwera (RSAT). Ponadto cały klaster lub wdrożenie obejmujące wiele lokacji można monitorować przy użyciu jednej konsoli Zarządzanie dostępem zdalnym.
Ekonomiczność — wdrożenie dostępu zdalnego obejmujące wiele lokacji umożliwia przedsiębiorstwom wdrażanie serwerów dostępu zdalnego w wielu lokacjach odpowiadających lokalizacjom klientów. Zapewnia to przewidywalny dostęp dla klientów zdalnych niezależnie od lokalizacji oraz umożliwia zmniejszenie kosztów i wymaganej przepustowości intranetu dzięki kierowaniu ruchu związanego z obsługą klientów przez Internet do najbliższego serwera dostępu zdalnego.
Bezpieczeństwo — wdrożenie silnego uwierzytelniania klientów przy użyciu hasła jednorazowego (OTP) zamiast standardowego hasła usługi Active Directory umożliwia podwyższenie poziomu bezpieczeństwa.

Role i funkcje uwzględnione w tym scenariuszu

Poniższa tabela zawiera listę ról i funkcji używanych w scenariuszu dla przedsiębiorstwa.

Rola/funkcja	Znaczenie w tym scenariuszu
Rola serwera dostępu zdalnego	Ta rola jest instalowana i odinstalowywana przy użyciu konsoli Menedżer serwera. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki: Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym. Routing RRAS — Funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny. Rola serwera dostępu zdalnego jest zależna od następujących funkcji serwera: Internetowe usługi informacyjne (IIS) — ta funkcja jest wymagana do konfigurowania serwera lokalizacji sieciowej i domyślnej funkcji badania sieci Web. Konsola zarządzania zasadami grupy — ta funkcja jest wymagana przez funkcję DirectAccess do tworzenia obiektów zasad grupy (GPO) i zarządzania nimi w usłudze Active Directory i musi być zainstalowana jako wymagana funkcja dla roli serwera.
Funkcja narzędzi do zarządzania dostępem zdalnym	Ta funkcja jest instalowana w następujący sposób: Jest instalowana domyślnie na serwerze dostępu zdalnego, gdy instalowana jest rola dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego. Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN. Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki: Graficzny interfejs użytkownika i narzędzia wiersza polecenia dostępu zdalnego Moduł dostępu zdalnego dla programu Windows PowerShell Występują następujące zależności: Konsola zarządzania zasadami grupy Zestaw administracyjny menedżera połączeń RAS Środowisko Windows PowerShell 3.0. Infrastruktura i narzędzia do zarządzania w trybie graficznym
Funkcja NLB systemu Windows	Ta funkcja umożliwia równoważenia obciążenia wielu serwerów dostępu zdalnego.

Rola serwera dostępu zdalnego

Ta rola jest instalowana i odinstalowywana przy użyciu konsoli Menedżer serwera. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki:

Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym.
Routing RRAS — Funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny.

Rola serwera dostępu zdalnego jest zależna od następujących funkcji serwera:

Internetowe usługi informacyjne (IIS) — ta funkcja jest wymagana do konfigurowania serwera lokalizacji sieciowej i domyślnej funkcji badania sieci Web.
Konsola zarządzania zasadami grupy — ta funkcja jest wymagana przez funkcję DirectAccess do tworzenia obiektów zasad grupy (GPO) i zarządzania nimi w usłudze Active Directory i musi być zainstalowana jako wymagana funkcja dla roli serwera.

Funkcja narzędzi do zarządzania dostępem zdalnym

Ta funkcja jest instalowana w następujący sposób:

Jest instalowana domyślnie na serwerze dostępu zdalnego, gdy instalowana jest rola dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego.
Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN.

Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:

Graficzny interfejs użytkownika i narzędzia wiersza polecenia dostępu zdalnego
Moduł dostępu zdalnego dla programu Windows PowerShell

Występują następujące zależności:

Konsola zarządzania zasadami grupy
Zestaw administracyjny menedżera połączeń RAS
Środowisko Windows PowerShell 3.0.
Infrastruktura i narzędzia do zarządzania w trybie graficznym

Funkcja NLB systemu Windows

Ta funkcja umożliwia równoważenia obciążenia wielu serwerów dostępu zdalnego.

Zobacz też

Poniższa tabela zawiera linki do dodatkowych zasobów.

Typ zawartości	Odwołania
Dostęp zdalny w serwisie TechNet	Serwis TechCenter dostępu zdalnego
Ocena produktu	Prezentacja funkcji DirectAccess w klastrze z funkcją NLB Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji
Wdrażanie	Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi
Narzędzia i ustawienia	Polecenia cmdlet programu PowerShell dla dostępu zdalnego
Zasoby społeczności	Blog zespołu produktowego RRAS \| Forum dostępu zdalnego w serwisie TechNet Wpisy na stronie typu wiki dotyczące funkcji DirectAccess
Technologie pokrewne	Jak działa protokół IPv6

Udostępnij za pośrednictwem