Zdalne zarządzanie klientami funkcji DirectAccess
Dotyczy: Windows Server 2012 R2, Windows Server 2012
Uwaga: W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny.
Ten temat zawiera wprowadzenie do zaawansowanego scenariusza skonfigurowania pojedynczego serwera dostępu zdalnego do zdalnego zarządzania klientami funkcji DirectAccess.
Opis scenariusza
W tym scenariuszu jeden komputer z systemem Windows Server 2012 jest konfigurowany jako serwer dostępu zdalnego, którego jedynym celem jest zdalne zarządzanie klientami funkcji DirectAccess. W tym scenariuszu włączone jest zdalne zarządzanie klientami, ale wyłączone są inne elementy, których można używać przy pełnym wdrożeniu funkcji DirectAccess, w tym uzyskiwanie przez klientów dostępu do sieci wewnętrznych, tunelowanie wymuszone, silne uwierzytelnianie i zgodność ochrony dostępu do sieci.
Uwaga
Jeśli chcesz skonfigurować wdrożenie podstawowe, tylko z prostymi ustawieniami, zobacz Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie. W tym prostym scenariuszu możesz skonfigurować dostęp zdalny z domyślnymi ustawieniami za pomocą kreatora. Nie konfigurujesz ustawień infrastruktury, takich jak urząd certyfikacji (CA) czy grupy zabezpieczeń usługi Active Directory.
W tym scenariuszu
Aby skonfigurować pojedynczy serwer dostępu zdalnego do zarządzania klientami, musisz wykonać kroki planowania i wdrożenia.
Kroki planowania
Planowanie scenariusza jest podzielone na dwa etapy:
Planowanie infrastruktury dostępu zdalnego. Na tym etapie następuje zaplanowanie infrastruktury sieciowej przed rozpoczęciem wdrożenia dostępu zdalnego. Obejmuje planowanie topologii sieci i serwerów, certyfikatów, systemu nazw domen (DNS), usługi Active Directory, obiektów zasad grupy (GPO) i serwera lokalizacji sieciowej funkcji DirectAccess.
Planowanie wdrożenia dostępu zdalnego. Na tym etapie następuje przygotowanie do wdrożenia dostępu zdalnego. Obejmuje on planowanie dotyczące komputerów klienckich dostępu zdalnego, wymagań uwierzytelniania klientów i serwerów, ustawień sieci VPN, infrastruktury oraz serwerów zarządzania.
Aby uzyskać szczegółowe informacje dotyczące etapów planowania, zobacz Planowanie wdrożenia do zdalnego zarządzania klientów funkcji DirectAccess.
Wymagania wstępne
Przed rozpoczęciem tego scenariusza przejrzyj poniższą listę ważnych wymagań:
- We wszystkich profilach musi być włączona Zapora systemu Windows.
- Funkcja DirectAccess obsługuje tylko klientów z systemem Windows 8.1, Windows 8 i Windows 7.
- Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub za pomocą poleceń cmdlet środowiska Windows PowerShell.
Kroki wdrażania
Wdrożenie tego scenariusza jest podzielone na trzy etapy:
Konfigurowanie infrastruktury dostępu zdalnego. Na tym etapie konfigurowane są następujące elementy: sieć i routing, ustawienia zapory (jeśli są wymagane), certyfikaty, serwery DNS, ustawienia usługi Active Directory i obiektów zasad grupy oraz serwer lokalizacji sieciowej funkcji DirectAccess.
Konfigurowanie ustawień serwera dostępu zdalnego. Na tym etapie konfigurowane są komputery klienckie dostępu zdalnego, serwer dostępu zdalnego, serwery infrastruktury oraz serwery zarządzania i aplikacji.
Weryfikacja wdrożenia. Na tym etapie należy upewnić się, że wdrożenie działa zgodnie z wymaganiami.
Aby uzyskać szczegółowe informacje dotyczące kroków wdrażania, zobacz Instalowanie i konfigurowanie wdrożenia do zdalnego zarządzania klientów funkcji DirectAccess.
Zastosowania praktyczne
Wdrożenie pojedynczego serwera dostępu zdalnego zarządzającego klientami funkcji DirectAccess daje następujące korzyści:
Łatwość dostępu. Zarządzane komputery klienckie z systemami Windows 8.1, Windows 8 lub Windows 7 mogą zostać skonfigurowane jako komputery klienckie funkcji DirectAccess. Tacy klienci mogą za pomocą funkcji DirectAccess uzyskać dostęp do zasobów w wewnętrznej sieci zawsze, gdy są połączeni z siecią Internet, bez potrzeby logowania się do połączenia sieci VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu zestawu tych samych kreatorów.
Łatwość zarządzania. Administratorzy dostępu zdalnego mogą za pomocą funkcji DirectAccess zdalnie zarządzać komputerami klienckim funkcji DirectAccess połączonymi z siecią Internet, nawet gdy te komputery klienckie nie znajdują się w wewnętrznej sieci firmy. Komputery klienckie, które nie spełniają firmowych wymagań, można automatycznie skorygować za pomocą serwerów zarządzania.
Role i funkcje zawarte w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje wymagane do zaplanowania i wdrożenia tego scenariusza.
Rola/funkcja |
Zadania realizowane w tym scenariuszu |
---|---|
Rola Dostęp zdalny |
Ta rola jest instalowana i odinstalowywana za pomocą konsoli Menedżera serwera lub środowiska Windows PowerShell. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki:
Rola serwera dostępu zdalnego jest zależna od następujących funkcji/ról serwera:
|
Funkcja narzędzi do zarządzania dostępem zdalnym |
Ta funkcja jest instalowana następująco:
Funkcja narzędzi do zarządzania dostępem zdalnym składa się z następujących części:
Zależności obejmują:
|
Wymagania sprzętowe
Ten scenariusz ma następujące wymagania sprzętowe:
Wymagania dotyczące serwera:
Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.
Serwer musi mieć zainstalowaną i włączoną co najmniej jedną kartę sieciową. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmową, a druga z siecią zewnętrzną (Internetem).
Jeśli jako protokół przejściowy z IPv4 do IPv6 jest wymagany protokół Teredo, zewnętrzna karta sieciowa serwera wymaga dwóch występujących kolejno publicznych adresów IPv4. Jeśli dostępny jest tylko jeden adres IP, jako protokołu przejściowego można użyć tylko protokołu IP-HTTPS.
Przynajmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.
Jeśli nie chcesz używać certyfikatów z podpisem własnym dla protokołu IP-HTTPS lub dla serwera lokalizacji sieciowej albo jeśli chcesz używać certyfikatów klienta do uwierzytelniania klientów za pomocą protokołu IPsec, wymagany jest serwer urzędu certyfikacji. Alternatywą jest żądanie certyfikatów od publicznego urzędu certyfikacji.
Jeśli serwer lokalizacji sieciowej nie znajduje się na serwerze dostępu zdalnego, do jego działania wymagany jest oddzielny serwer sieci Web.
Wymagania dotyczące klienta:
Na komputerze klienckim musi być uruchomiony system Windows 8 lub Windows 7.
Uwaga
Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwera zarządzania:
W trakcie zdalnego zarządzania komputerami klienckimi funkcji DirectAccess klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domeny czy serwery konfiguracji programu System Center, w celu uzyskania usług obejmujących m.in. aktualizacje systemu Windows i programu antywirusowego oraz zgodność klienta w zakresie ochrony dostępu do sieci (NAP). Wymagane serwery powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.
Jeśli dostęp zdalny wymaga zgodności klientów w zakresie ochrony dostępu do sieci, przed rozpoczęciem wdrażania dostępu zdalnego powinny być wdrożone serwery NPS i HRS.
Jeśli włączona jest sieć VPN, do automatycznego przydzielania adresów IP klientom sieci VPN wymagany jest serwer DHCP, o ile nie jest używana statyczna pula adresów.
Wymagany jest serwer DNS z systemem Windows Server 2008 SP2, Windows Server 2008 R2 lub Windows Server 2012.
Wymagania dotyczące oprogramowania
Istnieje szereg wymagań dotyczących tego scenariusza:
Wymagania dotyczące serwera:
Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć w obszarze brzegowym sieci wewnętrznej lub za brzegową zaporą sieciową albo innym urządzeniem.
Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub za urządzeniem będącym translatorem adresów sieciowych, urządzenie musi być skonfigurowane tak, aby zezwalało na przepływ ruchu z i do serwera dostępu zdalnego.
Osoba wdrażająca dostęp zdalny na serwerze musi mieć uprawnienia administratora lokalnego na tym serwerze i uprawnienia użytkownika domeny. Ponadto administrator musi też mieć uprawnienia do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji ograniczających wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do utworzenia filtru infrastruktury WMI na kontrolerze domeny.
Wymagania dotyczące klienta dostępu zdalnego:
Klienci funkcji DirectAccess muszą należeć do domeny. Domeny zawierające klientów mogą albo należeć do tego samego lasu co serwer dostępu zdalnego, albo mieć dwukierunkowe zaufanie z lasem lub domeną serwera dostępu zdalnego.
Wymagana jest grupa zabezpieczeń usługi Active Directory, która będzie zawierać komputery skonfigurowane jako klienci funkcji DirectAccess. Jeśli podczas konfigurowania ustawień klienta funkcji DirectAccess nie określono grupy zabezpieczeń, obiekt zasad grupy klienta zostanie domyślnie zastosowany do wszystkich komputerów przenośnych w grupie zabezpieczeń Komputery domeny. Uwagi:
Zaleca się utworzenie grupy zabezpieczeń dla każdej domeny zawierającej komputery, które będą skonfigurowane jako klienci funkcji DirectAccess.
Zobacz też
Poniższa tabela zawiera linki do dodatkowych zasobów.
Typ zawartości |
Odwołania |
---|---|
Dostęp zdalny w serwisie TechNet |
|
Ocena produktu |
Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess |
Rozwiązywanie problemów |
Dokumentacja na temat rozwiązywania problemów z dostępem zdalnym, jeśli jest dostępna. |
Narzędzia i ustawienia |
|
Zasoby społeczności |
Blog zespołu produktowego RRAS | Forum dostępu zdalnego w serwisie TechNet |
Technologie pokrewne |