Dodawanie funkcji DirectAccess do istniejącego wdrożenia dostępu zdalnego (VPN)
Dotyczy: Windows Server 2012 R2, Windows Server 2012
Uwaga: W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny.
Ten temat zawiera wprowadzenie do Kreatora włączania funkcji DirectAccess dostępu zdalnego, który służy do konfigurowania pojedynczego serwera dostępu zdalnego z zalecanymi ustawieniami po uprzednim skonfigurowaniu wirtualnej sieci prywatnej (VPN).
Zestaw dokumentacji wdrażania dla funkcji dostępu zdalnego w systemie Windows Server 2012 (funkcja DirectAccess)
Poniżej przedstawiono listę tematów, które mogą być przydatne podczas wdrażania dostępu zdalnego trzema głównymi ścieżkami:
Podstawowe
Zaawansowane
Enterprise
Wymieniono także dostępne dla tej wersji tematy dotyczące zarządzania dostępem zdalnym i migracją dostępu zdalnego.
Przed rozpoczęciem wdrażania zapoznaj się z poniższą listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych:
Podstawowe wdrożenie dostępu zdalnego
Zaawansowane wdrażanie dostępu zdalnego
Wdrażanie dostępu zdalnego w przedsiębiorstwie
Wdrażanie wielu serwerów dostępu zdalnego w wielu lokacjach wdrożenia
Przyłączanie do domeny funkcji DirectAccess w trybie offline
Zarządzanie dostępem zdalnym
Migrowanie dostępu zdalnego
Opis scenariusza
W tym scenariuszu po zainstalowaniu i skonfigurowaniu sieci VPN jeden komputer z systemem Windows Server 2012 jest konfigurowany jako serwer dostępu zdalnego z zalecanymi ustawieniami. Aby skonfigurować dostęp zdalny z funkcjami przedsiębiorstwa, na przykład klaster z równoważeniem obciążenia, wdrożenie w wielu lokacjach lub dwuskładnikowe uwierzytelnianie klienta, należy wykonać scenariusz opisany w tym temacie w celu skonfigurowania jednego serwera, a następnie zrealizować scenariusz przedsiębiorstwa, zgodnie z opisem w temacie Wdrażanie dostępu zdalnego w dużej firmie.
W tym scenariuszu
Aby skonfigurować pojedynczy serwer dostępu zdalnego, wymagane jest wykonanie kilku kroków dotyczących planowania i wdrażania.
Kroki planowania
Planowanie odbywa się w dwóch etapach:
Planowanie infrastruktury dostępu zdalnego
W tej fazie jest opisywane planowanie wymagane do skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania dostępu zdalnego. Obejmuje to planowanie topologii sieci i serwerów, certyfikatów, systemu nazw domen (DNS, Domain Name System), konfiguracji usługi Active Directory i obiektu zasad grupy oraz serwera lokalizacji sieciowej funkcji DirectAccess.
Planowanie wdrożenia dostępu zdalnego
W tej fazie są opisywane kroki planowania wymagane w celu przygotowania do wdrożenia dostępu zdalnego. Obejmuje to planowanie dla komputerów klienckich dostępu zdalnego, planowanie wymagań uwierzytelniania serwerów i klientów oraz planowanie serwerów infrastruktury.
Etapy wdrażania
Wdrażanie odbywa się w trzech fazach:
Konfigurowanie infrastruktury dostępu zdalnego
W tej fazie są konfigurowane następujące elementy: sieć i routing, ustawienia zapory (w razie potrzeby), certyfikaty, serwery DNS, ustawienia usługi Active Directory i obiektu zasad grupy oraz serwer lokalizacji sieciowej funkcji DirectAccess.
Skonfiguruj ustawienia serwera dostępu zdalnego
W tej fazie są konfigurowane następujące elementy: komputery klienckie dostępu zdalnego, serwer dostępu zdalnego i serwery infrastruktury.
Weryfikacja wdrażania
W tej fazie należy zweryfikować, czy wdrożenie działa zgodnie z wymaganiami.
Zastosowania praktyczne
Wdrażanie na pojedynczym serwerze dostępu zdalnego ma następujące zalety:
Łatwość dostępu
Zarządzane komputery klienckie z systemem Windows 8 lub Windows 7 można skonfigurować jako komputery klienckie funkcji DirectAccess. Ci klienci mogą uzyskiwać dostęp do wewnętrznych zasobów sieciowych za pomocą funkcji DirectAccess zawsze, gdy znajdują się w Internecie, bez konieczności logowania się przez połączenie VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu zestawu tych samych kreatorów.
Łatwość zarządzania
Komputery klienckie funkcji DirectAccess, które mają dostęp do Internetu, mogą być zarządzane zdalnie przez administratorów dostępu zdalnego przy użyciu funkcji DirectAccess nawet wtedy, gdy nie znajdują się one w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą zostać automatycznie skorygowane przez serwery zarządzania.
Role i funkcje wymagane dla tego scenariusza
W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:
Rola/funkcja |
Zadania realizowane w tym scenariuszu |
---|---|
Rola dostępu zdalnego |
Rola jest instalowana i odinstalowywana za pomocą konsoli Menedżer serwera lub środowiska Windows PowerShell. Ta rola obejmuje funkcję DirectAccess, która wcześniej była funkcją systemu Windows Server 2008 R2, oraz Usługi Routing i dostęp zdalny, które wcześniej były usługami roli serwera Usług zasad sieciowych i dostępu sieciowego. Rola dostępu zdalnego zawiera dwa składniki:
Rola serwera dostępu zdalnego jest zależna od następujących funkcji serwera:
|
Funkcja narzędzi do zarządzania dostępem zdalnym |
Ta funkcja jest instalowana w następujący sposób:
Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:
Występują następujące zależności:
|
Wymagania sprzętowe
Ten scenariusz ma następujące wymagania sprzętowe:
Wymagania dotyczące serwera
Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.
Na serwerze musi być zainstalowana, włączona i połączona z siecią wewnętrzną co najmniej jedna karta sieciowa. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmową, a druga z siecią zewnętrzną (Internetem).
Jeśli do obsługi przejścia ze środowiska IPv4 do IPv6 jest wymagany protokół Teredo, karta zewnętrzna serwera wymaga dwóch kolejnych publicznych adresów IPv4. Kreator włączania funkcji DirectAccess nie włącza protokołu Teredo, nawet jeśli są przypisane dwa kolejne adresy IP. Aby włączyć protokół Teredo, zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi. Jeśli jest dostępny jeden adres IP, jako protokół przejścia może być używany tylko protokół IP-HTTPS.
Co najmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.
Kreator włączania funkcji DirectAccess wymaga certyfikatów dla protokołu IP-HTTPS i serwera lokalizacji sieciowej. Jeśli dla protokołu SSTP w sieci VPN jest już używany certyfikat, zostanie on użyty ponownie dla protokołu IP-HTTPS. Jeśli protokół SSTP w sieci VPN nie został skonfigurowany, można skonfigurować certyfikat dla protokołu IP-HTTPS lub użyć automatycznie tworzonego certyfikatu z podpisem własnym. Dla serwera lokalizacji sieciowej można skonfigurować certyfikat lub użyć utworzonego automatycznie certyfikatu z podpisem własnym.
Wymagania dotyczące klientów
Na komputerze klienckim musi być uruchomiony system Windows 8 lub Windows 7.
Uwaga
Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwera zarządzania
W trakcie zdalnego zarządzania komputerami klienckimi funkcji DirectAccess klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domen, serwery konfiguracji programu System Center i serwery urzędu rejestrowania kondycji, w celu uzyskania dostęp do usług, które obejmują aktualizacje oprogramowania antywirusowego i systemu Windows oraz zgodność klienta ochrony dostępu do sieci. Wymagane serwery powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.
Jeśli dostęp zdalny wymaga klienta ze zgodnością ochrony dostępu do sieci, serwer zasad sieciowych i urząd rejestrowania kondycji powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.
Wymagany jest serwer DNS z systemem Windows Server 2012, Windows Server 2008 R2 lub Windows Server 2008 z dodatkiem SP2.
Wymagania dotyczące oprogramowania
Wymagania dotyczące oprogramowania w tym scenariuszu obejmują:
Wymagania dotyczące serwera
Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej albo za zaporą brzegową lub innym urządzeniem.
Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub urządzeniem z translacją adresów sieciowych (NAT), urządzenie musi być skonfigurowane tak, aby zezwalało na ruch do i od serwera dostępu zdalnego.
Osoba, która wdraża dostęp zdalny na serwerze, musi mieć uprawnienia administratora lokalnego na serwerze i uprawnienia użytkownika domeny. Ponadto administrator wymaga uprawnień do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji, które ograniczają wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do tworzenia filtru infrastruktury WMI na kontrolerze domeny.
Wymagania dotyczące klienta dostępu zdalnego
Klienci funkcji DirectAccess muszą być członkami domeny. Domeny zawierające klientów mogą należeć do tego samego lasu co serwer dostępu zdalnego, albo mogą mieć dwukierunkowe zaufanie z lasem lub domeną serwera dostępu zdalnego.
Wymagane jest, aby komputery, które mają zostać skonfigurowane jako klienci funkcji DirectAccess, należały do grup zabezpieczeń usługi Active Directory. Jeśli podczas konfigurowania ustawień klientów funkcji DirectAccess grupa zabezpieczeń nie zostanie określona, obiekt zasad grupy klienta zostanie domyślnie zastosowany na wszystkich komputerach przenośnych (obsługujących funkcję DirectAccess) w grupie zabezpieczeń Komputery domeny. Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.
Uwaga
Zaleca się utworzenie grupy zabezpieczeń dla każdej domeny, która zawiera komputery wyznaczone do skonfigurowania jako klienci funkcji DirectAccess.
Zobacz też
Poniższa tabela zawiera linki do dodatkowych zasobów.
Typ zawartości |
Odwołania |
---|---|
Dostęp zdalny w serwisie TechNet |
|
Ocena produktu |
Prezentacja funkcji DirectAccess w klastrze z funkcją NLB Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji |
Wdrażanie |
|
Narzędzia i ustawienia |
|
Zasoby społeczności |
|
Technologie pokrewne |