Zdalne zarządzanie klientami funkcji DirectAccess

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Uwaga: W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny.

Ten temat zawiera wprowadzenie do zaawansowanego scenariusza skonfigurowania pojedynczego serwera dostępu zdalnego do zdalnego zarządzania klientami funkcji DirectAccess.

Opis scenariusza

W tym scenariuszu jeden komputer z systemem Windows Server 2012 jest konfigurowany jako serwer dostępu zdalnego, którego jedynym celem jest zdalne zarządzanie klientami funkcji DirectAccess. W tym scenariuszu włączone jest zdalne zarządzanie klientami, ale wyłączone są inne elementy, których można używać przy pełnym wdrożeniu funkcji DirectAccess, w tym uzyskiwanie przez klientów dostępu do sieci wewnętrznych, tunelowanie wymuszone, silne uwierzytelnianie i zgodność ochrony dostępu do sieci.

Uwaga

Jeśli chcesz skonfigurować wdrożenie podstawowe, tylko z prostymi ustawieniami, zobacz Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie. W tym prostym scenariuszu możesz skonfigurować dostęp zdalny z domyślnymi ustawieniami za pomocą kreatora. Nie konfigurujesz ustawień infrastruktury, takich jak urząd certyfikacji (CA) czy grupy zabezpieczeń usługi Active Directory.

W tym scenariuszu

Aby skonfigurować pojedynczy serwer dostępu zdalnego do zarządzania klientami, musisz wykonać kroki planowania i wdrożenia.

Kroki planowania

Planowanie scenariusza jest podzielone na dwa etapy:

1. Planowanie infrastruktury dostępu zdalnego. Na tym etapie następuje zaplanowanie infrastruktury sieciowej przed rozpoczęciem wdrożenia dostępu zdalnego. Obejmuje planowanie topologii sieci i serwerów, certyfikatów, systemu nazw domen (DNS), usługi Active Directory, obiektów zasad grupy (GPO) i serwera lokalizacji sieciowej funkcji DirectAccess.

2. Planowanie wdrożenia dostępu zdalnego. Na tym etapie następuje przygotowanie do wdrożenia dostępu zdalnego. Obejmuje on planowanie dotyczące komputerów klienckich dostępu zdalnego, wymagań uwierzytelniania klientów i serwerów, ustawień sieci VPN, infrastruktury oraz serwerów zarządzania.

Aby uzyskać szczegółowe informacje dotyczące etapów planowania, zobacz Planowanie wdrożenia do zdalnego zarządzania klientów funkcji DirectAccess.

Wymagania wstępne

Przed rozpoczęciem tego scenariusza przejrzyj poniższą listę ważnych wymagań:

• We wszystkich profilach musi być włączona Zapora systemu Windows.

• Funkcja DirectAccess obsługuje tylko klientów z systemem Windows 8.1, Windows 8 i Windows 7.

• Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub za pomocą poleceń cmdlet środowiska Windows PowerShell.

Kroki wdrażania

Wdrożenie tego scenariusza jest podzielone na trzy etapy:

1. Konfigurowanie infrastruktury dostępu zdalnego. Na tym etapie konfigurowane są następujące elementy: sieć i routing, ustawienia zapory (jeśli są wymagane), certyfikaty, serwery DNS, ustawienia usługi Active Directory i obiektów zasad grupy oraz serwer lokalizacji sieciowej funkcji DirectAccess.

2. Konfigurowanie ustawień serwera dostępu zdalnego. Na tym etapie konfigurowane są komputery klienckie dostępu zdalnego, serwer dostępu zdalnego, serwery infrastruktury oraz serwery zarządzania i aplikacji.

3. Weryfikacja wdrożenia. Na tym etapie należy upewnić się, że wdrożenie działa zgodnie z wymaganiami.

Aby uzyskać szczegółowe informacje dotyczące kroków wdrażania, zobacz Instalowanie i konfigurowanie wdrożenia do zdalnego zarządzania klientów funkcji DirectAccess.

Zastosowania praktyczne

Wdrożenie pojedynczego serwera dostępu zdalnego zarządzającego klientami funkcji DirectAccess daje następujące korzyści:

• Łatwość dostępu. Zarządzane komputery klienckie z systemami Windows 8.1, Windows 8 lub Windows 7 mogą zostać skonfigurowane jako komputery klienckie funkcji DirectAccess. Tacy klienci mogą za pomocą funkcji DirectAccess uzyskać dostęp do zasobów w wewnętrznej sieci zawsze, gdy są połączeni z siecią Internet, bez potrzeby logowania się do połączenia sieci VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu zestawu tych samych kreatorów.

• Łatwość zarządzania. Administratorzy dostępu zdalnego mogą za pomocą funkcji DirectAccess zdalnie zarządzać komputerami klienckim funkcji DirectAccess połączonymi z siecią Internet, nawet gdy te komputery klienckie nie znajdują się w wewnętrznej sieci firmy. Komputery klienckie, które nie spełniają firmowych wymagań, można automatycznie skorygować za pomocą serwerów zarządzania.

Role i funkcje zawarte w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje wymagane do zaplanowania i wdrożenia tego scenariusza.

Rola/funkcja	Zadania realizowane w tym scenariuszu
Rola Dostęp zdalny	Ta rola jest instalowana i odinstalowywana za pomocą konsoli Menedżera serwera lub środowiska Windows PowerShell. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki: Funkcję DirectAccess oraz sieć VPN z usługami Routingu i dostępu zdalnego (RRAS) — do wspólnego zarządzania funkcją DirectAccess i siecią VPN służy konsola Zarządzania dostępem zdalnym. Routing RRAS — do zarządzania funkcjami routingu RRAS służy starsza konsola Routingu i dostępu zdalnego. Rola serwera dostępu zdalnego jest zależna od następujących funkcji/ról serwera: Serwer sieci Web usług Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania zarówno serwera lokalizacji sieciowej na serwerze dostępu zdalnego, jak i domyślnej funkcji badania sieci Web. Wewnętrzna baza danych systemu Windows — służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.
Funkcja narzędzi do zarządzania dostępem zdalnym	Ta funkcja jest instalowana następująco: Instalowana domyślnie na serwerze dostępu zdalnego wraz z instalacją roli Dostęp zdalny — obsługuje interfejs użytkownika konsoli zarządzania dostępem zdalnym oraz polecenia cmdlet środowiska Windows PowerShell. Może być opcjonalnie zainstalowana na serwerze, na którym nie ma roli serwera dostępu zdalnego. W takim przypadku służy do zdalnego zarządzania komputerem dostępu zdalnego, który korzysta z funkcji DirectAccess i sieci VPN. Funkcja narzędzi do zarządzania dostępem zdalnym składa się z następujących części: Graficzny interfejs użytkownika dostępu zdalnego Moduł dostępu zdalnego dla środowiska Windows PowerShell Zależności obejmują: Konsola zarządzania zasadami grupy Zestaw administracyjny menedżera połączeń RAS (CMAK) Środowisko Windows PowerShell 3.0. Infrastruktura i narzędzia do zarządzania w trybie graficznym

Wymagania sprzętowe

Ten scenariusz ma następujące wymagania sprzętowe:

• Wymagania dotyczące serwera:

  • Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.

  • Serwer musi mieć zainstalowaną i włączoną co najmniej jedną kartę sieciową. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmową, a druga z siecią zewnętrzną (Internetem).

  • Jeśli jako protokół przejściowy z IPv4 do IPv6 jest wymagany protokół Teredo, zewnętrzna karta sieciowa serwera wymaga dwóch występujących kolejno publicznych adresów IPv4. Jeśli dostępny jest tylko jeden adres IP, jako protokołu przejściowego można użyć tylko protokołu IP-HTTPS.

  • Przynajmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.

  • Jeśli nie chcesz używać certyfikatów z podpisem własnym dla protokołu IP-HTTPS lub dla serwera lokalizacji sieciowej albo jeśli chcesz używać certyfikatów klienta do uwierzytelniania klientów za pomocą protokołu IPsec, wymagany jest serwer urzędu certyfikacji. Alternatywą jest żądanie certyfikatów od publicznego urzędu certyfikacji.

  • Jeśli serwer lokalizacji sieciowej nie znajduje się na serwerze dostępu zdalnego, do jego działania wymagany jest oddzielny serwer sieci Web.

• Wymagania dotyczące klienta:

  • Na komputerze klienckim musi być uruchomiony system Windows 8 lub Windows 7.

    Uwaga

    Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.

• Wymagania dotyczące infrastruktury i serwera zarządzania:

  • W trakcie zdalnego zarządzania komputerami klienckimi funkcji DirectAccess klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domeny czy serwery konfiguracji programu System Center, w celu uzyskania usług obejmujących m.in. aktualizacje systemu Windows i programu antywirusowego oraz zgodność klienta w zakresie ochrony dostępu do sieci (NAP). Wymagane serwery powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.

  • Jeśli dostęp zdalny wymaga zgodności klientów w zakresie ochrony dostępu do sieci, przed rozpoczęciem wdrażania dostępu zdalnego powinny być wdrożone serwery NPS i HRS.

  • Jeśli włączona jest sieć VPN, do automatycznego przydzielania adresów IP klientom sieci VPN wymagany jest serwer DHCP, o ile nie jest używana statyczna pula adresów.

  • Wymagany jest serwer DNS z systemem Windows Server 2008 SP2, Windows Server 2008 R2 lub Windows Server 2012.

Wymagania dotyczące oprogramowania

Istnieje szereg wymagań dotyczących tego scenariusza:

• Wymagania dotyczące serwera:

  • Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć w obszarze brzegowym sieci wewnętrznej lub za brzegową zaporą sieciową albo innym urządzeniem.

  • Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub za urządzeniem będącym translatorem adresów sieciowych, urządzenie musi być skonfigurowane tak, aby zezwalało na przepływ ruchu z i do serwera dostępu zdalnego.

  • Osoba wdrażająca dostęp zdalny na serwerze musi mieć uprawnienia administratora lokalnego na tym serwerze i uprawnienia użytkownika domeny. Ponadto administrator musi też mieć uprawnienia do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji ograniczających wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do utworzenia filtru infrastruktury WMI na kontrolerze domeny.

• Wymagania dotyczące klienta dostępu zdalnego:

  • Klienci funkcji DirectAccess muszą należeć do domeny. Domeny zawierające klientów mogą albo należeć do tego samego lasu co serwer dostępu zdalnego, albo mieć dwukierunkowe zaufanie z lasem lub domeną serwera dostępu zdalnego.

  • Wymagana jest grupa zabezpieczeń usługi Active Directory, która będzie zawierać komputery skonfigurowane jako klienci funkcji DirectAccess. Jeśli podczas konfigurowania ustawień klienta funkcji DirectAccess nie określono grupy zabezpieczeń, obiekt zasad grupy klienta zostanie domyślnie zastosowany do wszystkich komputerów przenośnych w grupie zabezpieczeń Komputery domeny. Uwagi:

    Zaleca się utworzenie grupy zabezpieczeń dla każdej domeny zawierającej komputery, które będą skonfigurowane jako klienci funkcji DirectAccess.

Zobacz też

Poniższa tabela zawiera linki do dodatkowych zasobów.

Typ zawartości	Odwołania
Dostęp zdalny w serwisie TechNet	Serwis TechCenter dostępu zdalnego
Ocena produktu	Przewodnik po laboratorium testowym: prezentacja funkcji DirectAccess w klastrze z modułem równoważenia obciążenia sieciowego systemu Windows Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess Przewodnik laboratorium testowego: Funkcja DirectAccess z hasłem Jednorazowym uwierzytelniania i RSA SecurID prezentują
Rozwiązywanie problemów	Dokumentacja na temat rozwiązywania problemów z dostępem zdalnym, jeśli jest dostępna.
Narzędzia i ustawienia	Polecenia cmdlet programu PowerShell dla dostępu zdalnego
Zasoby społeczności	Blog zespołu produktowego RRAS | Forum dostępu zdalnego w serwisie TechNet Wpisy na stronie typu wiki dotyczące funkcji DirectAccess
Technologie pokrewne	Jak działa protokół IPv6