Dodawanie funkcji DirectAccess do istniejącego wdrożenia dostępu zdalnego (VPN)

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Uwaga: W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. 

Ten temat zawiera wprowadzenie do Kreatora włączania funkcji DirectAccess dostępu zdalnego, który służy do konfigurowania pojedynczego serwera dostępu zdalnego z zalecanymi ustawieniami po uprzednim skonfigurowaniu wirtualnej sieci prywatnej (VPN).

Zestaw dokumentacji wdrażania dla funkcji dostępu zdalnego w systemie Windows Server 2012 (funkcja DirectAccess)

Poniżej przedstawiono listę tematów, które mogą być przydatne podczas wdrażania dostępu zdalnego trzema głównymi ścieżkami:

• Podstawowe

• Zaawansowane

• Enterprise

Wymieniono także dostępne dla tej wersji tematy dotyczące zarządzania dostępem zdalnym i migracją dostępu zdalnego.

Przed rozpoczęciem wdrażania zapoznaj się z poniższą listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych:

• Funkcja DirectAccess nieobsługiwane konfiguracje

• Funkcja DirectAccess znane problemy

• Wymagania wstępne dotyczące wdrażania funkcji DirectAccess

Podstawowe wdrożenie dostępu zdalnego

• Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie

  • Przewodnik po laboratorium testowym: pokaz uproszczonej konfiguracji funkcji DirectAccess w środowisku testowym obsługującym tylko protokół IPv4 w systemie Windows Server 2012

Zaawansowane wdrażanie dostępu zdalnego

• Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi 

  • Przewodnik po laboratorium testowym: pokaz konfiguracji pojedynczego serwera funkcji DirectAccess w środowisku mieszanym obsługującym protokoły IPv4 i IPv6 w systemie Windows Server 2012

Wdrażanie dostępu zdalnego w przedsiębiorstwie

• Planowanie wydajności funkcji DirectAccess

• Wdrażanie dostępu zdalnego w klastrze 

  • Przewodnik po laboratorium testowym: prezentacja funkcji DirectAccess w klastrze z modułem równoważenia obciążenia sieciowego systemu Windows

• Wdrażanie wielu serwerów dostępu zdalnego w wielu lokacjach wdrożenia

  • Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess

• Wdrażanie dostępu zdalnego z uwierzytelnianiem OTP

  • Przewodnik laboratorium testowego: Funkcja DirectAccess z hasłem Jednorazowym uwierzytelniania i RSA SecurID prezentują

• Wdrażanie funkcji dostępu zdalnego w środowisku wielu lasów

• Przyłączanie do domeny funkcji DirectAccess w trybie offline

Zarządzanie dostępem zdalnym

• Monitorowanie i ewidencjonowanie aktywności zdalnego dostępu

• Zdalne zarządzanie klientami funkcji DirectAccess

Migrowanie dostępu zdalnego

• Migrowanie dostępu zdalnego do systemu Windows Server 2012

• Migrowanie funkcji DirectAccess z programu Forefront UAG z dodatkiem SP1 do systemu Windows Server 2012

Opis scenariusza

W tym scenariuszu po zainstalowaniu i skonfigurowaniu sieci VPN jeden komputer z systemem Windows Server 2012 jest konfigurowany jako serwer dostępu zdalnego z zalecanymi ustawieniami. Aby skonfigurować dostęp zdalny z funkcjami przedsiębiorstwa, na przykład klaster z równoważeniem obciążenia, wdrożenie w wielu lokacjach lub dwuskładnikowe uwierzytelnianie klienta, należy wykonać scenariusz opisany w tym temacie w celu skonfigurowania jednego serwera, a następnie zrealizować scenariusz przedsiębiorstwa, zgodnie z opisem w temacie Wdrażanie dostępu zdalnego w dużej firmie.

W tym scenariuszu

Aby skonfigurować pojedynczy serwer dostępu zdalnego, wymagane jest wykonanie kilku kroków dotyczących planowania i wdrażania.

Kroki planowania

Planowanie odbywa się w dwóch etapach:

1. Planowanie infrastruktury dostępu zdalnego

   W tej fazie jest opisywane planowanie wymagane do skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania dostępu zdalnego. Obejmuje to planowanie topologii sieci i serwerów, certyfikatów, systemu nazw domen (DNS, Domain Name System), konfiguracji usługi Active Directory i obiektu zasad grupy oraz serwera lokalizacji sieciowej funkcji DirectAccess.

2. Planowanie wdrożenia dostępu zdalnego

   W tej fazie są opisywane kroki planowania wymagane w celu przygotowania do wdrożenia dostępu zdalnego. Obejmuje to planowanie dla komputerów klienckich dostępu zdalnego, planowanie wymagań uwierzytelniania serwerów i klientów oraz planowanie serwerów infrastruktury.

Etapy wdrażania

Wdrażanie odbywa się w trzech fazach:

1. Konfigurowanie infrastruktury dostępu zdalnego

   W tej fazie są konfigurowane następujące elementy: sieć i routing, ustawienia zapory (w razie potrzeby), certyfikaty, serwery DNS, ustawienia usługi Active Directory i obiektu zasad grupy oraz serwer lokalizacji sieciowej funkcji DirectAccess.

2. Skonfiguruj ustawienia serwera dostępu zdalnego

   W tej fazie są konfigurowane następujące elementy: komputery klienckie dostępu zdalnego, serwer dostępu zdalnego i serwery infrastruktury.

3. Weryfikacja wdrażania

   W tej fazie należy zweryfikować, czy wdrożenie działa zgodnie z wymaganiami.

Zastosowania praktyczne

Wdrażanie na pojedynczym serwerze dostępu zdalnego ma następujące zalety:

• Łatwość dostępu

  Zarządzane komputery klienckie z systemem Windows 8 lub Windows 7 można skonfigurować jako komputery klienckie funkcji DirectAccess. Ci klienci mogą uzyskiwać dostęp do wewnętrznych zasobów sieciowych za pomocą funkcji DirectAccess zawsze, gdy znajdują się w Internecie, bez konieczności logowania się przez połączenie VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN. Funkcje DirectAccess i VPN są zarządzane z tej samej konsoli i przy użyciu zestawu tych samych kreatorów.

• Łatwość zarządzania

  Komputery klienckie funkcji DirectAccess, które mają dostęp do Internetu, mogą być zarządzane zdalnie przez administratorów dostępu zdalnego przy użyciu funkcji DirectAccess nawet wtedy, gdy nie znajdują się one w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą zostać automatycznie skorygowane przez serwery zarządzania.

Role i funkcje wymagane dla tego scenariusza

W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:

Rola/funkcja	Zadania realizowane w tym scenariuszu
Rola dostępu zdalnego	Rola jest instalowana i odinstalowywana za pomocą konsoli Menedżer serwera lub środowiska Windows PowerShell. Ta rola obejmuje funkcję DirectAccess, która wcześniej była funkcją systemu Windows Server 2008 R2, oraz Usługi Routing i dostęp zdalny, które wcześniej były usługami roli serwera Usług zasad sieciowych i dostępu sieciowego. Rola dostępu zdalnego zawiera dwa składniki: Funkcja DirectAccess oraz wirtualna sieć prywatna z usługami Routing i dostęp zdalny: zarządzane w konsoli zarządzania dostępem zdalnym. Routing w usługach RRAS: zarządzane w konsoli Routing i dostęp zdalny. Rola serwera dostępu zdalnego jest zależna od następujących funkcji serwera: Serwer sieci Web usług Internet Information Services (IIS): wymagany do skonfigurowania serwera lokalizacji sieciowej na serwerze dostępu zdalnego i domyślnej funkcji badania sieci Web. Wewnętrzna baza danych systemu Windows: służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.
Funkcja narzędzi do zarządzania dostępem zdalnym	Ta funkcja jest instalowana w następujący sposób: Domyślnie na serwerze dostępu zdalnego po zainstalowaniu roli dostępu zdalnego. Obsługuje interfejs użytkownika konsoli zarządzania zdalnego i polecenia cmdlet środowiska Windows PowerShell. Opcjonalnie instalowana na serwerze bez roli serwera dostępu zdalnego. W takim przypadku służy do zdalnego zarządzania komputerem dostępu zdalnego z działającymi funkcjami DirectAccess i VPN. Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki: Graficzny interfejs użytkownika dostępu zdalnego Moduł dostępu zdalnego dla programu Windows PowerShell Występują następujące zależności: Konsola zarządzania zasadami grupy Zestaw administracyjny menedżera połączeń RAS (CMAK) Windows PowerShell 3.0 Infrastruktura i narzędzia zarządzania w trybie graficznym

Wymagania sprzętowe

Ten scenariusz ma następujące wymagania sprzętowe:

Wymagania dotyczące serwera 

• Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.

• Na serwerze musi być zainstalowana, włączona i połączona z siecią wewnętrzną co najmniej jedna karta sieciowa. Gdy są używane dwie karty, jedna powinna być połączona z wewnętrzną siecią firmową, a druga z siecią zewnętrzną (Internetem).

• Jeśli do obsługi przejścia ze środowiska IPv4 do IPv6 jest wymagany protokół Teredo, karta zewnętrzna serwera wymaga dwóch kolejnych publicznych adresów IPv4. Kreator włączania funkcji DirectAccess nie włącza protokołu Teredo, nawet jeśli są przypisane dwa kolejne adresy IP. Aby włączyć protokół Teredo, zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi. Jeśli jest dostępny jeden adres IP, jako protokół przejścia może być używany tylko protokół IP-HTTPS.

• Co najmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą należeć do domeny.

• Kreator włączania funkcji DirectAccess wymaga certyfikatów dla protokołu IP-HTTPS i serwera lokalizacji sieciowej. Jeśli dla protokołu SSTP w sieci VPN jest już używany certyfikat, zostanie on użyty ponownie dla protokołu IP-HTTPS. Jeśli protokół SSTP w sieci VPN nie został skonfigurowany, można skonfigurować certyfikat dla protokołu IP-HTTPS lub użyć automatycznie tworzonego certyfikatu z podpisem własnym. Dla serwera lokalizacji sieciowej można skonfigurować certyfikat lub użyć utworzonego automatycznie certyfikatu z podpisem własnym.

Wymagania dotyczące klientów

• Na komputerze klienckim musi być uruchomiony system Windows 8 lub Windows 7.

  Uwaga

  Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.

Wymagania dotyczące infrastruktury i serwera zarządzania

• W trakcie zdalnego zarządzania komputerami klienckimi funkcji DirectAccess klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domen, serwery konfiguracji programu System Center i serwery urzędu rejestrowania kondycji, w celu uzyskania dostęp do usług, które obejmują aktualizacje oprogramowania antywirusowego i systemu Windows oraz zgodność klienta ochrony dostępu do sieci. Wymagane serwery powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.

• Jeśli dostęp zdalny wymaga klienta ze zgodnością ochrony dostępu do sieci, serwer zasad sieciowych i urząd rejestrowania kondycji powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.

• Wymagany jest serwer DNS z systemem Windows Server 2012, Windows Server 2008 R2 lub Windows Server 2008 z dodatkiem SP2.

Wymagania dotyczące oprogramowania

Wymagania dotyczące oprogramowania w tym scenariuszu obejmują:

Wymagania dotyczące serwera

• Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej albo za zaporą brzegową lub innym urządzeniem.

• Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub urządzeniem z translacją adresów sieciowych (NAT), urządzenie musi być skonfigurowane tak, aby zezwalało na ruch do i od serwera dostępu zdalnego.

• Osoba, która wdraża dostęp zdalny na serwerze, musi mieć uprawnienia administratora lokalnego na serwerze i uprawnienia użytkownika domeny. Ponadto administrator wymaga uprawnień do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby skorzystać z funkcji, które ograniczają wdrożenie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do tworzenia filtru infrastruktury WMI na kontrolerze domeny.

Wymagania dotyczące klienta dostępu zdalnego

• Klienci funkcji DirectAccess muszą być członkami domeny. Domeny zawierające klientów mogą należeć do tego samego lasu co serwer dostępu zdalnego, albo mogą mieć dwukierunkowe zaufanie z lasem lub domeną serwera dostępu zdalnego.

• Wymagane jest, aby komputery, które mają zostać skonfigurowane jako klienci funkcji DirectAccess, należały do grup zabezpieczeń usługi Active Directory. Jeśli podczas konfigurowania ustawień klientów funkcji DirectAccess grupa zabezpieczeń nie zostanie określona, obiekt zasad grupy klienta zostanie domyślnie zastosowany na wszystkich komputerach przenośnych (obsługujących funkcję DirectAccess) w grupie zabezpieczeń Komputery domeny. Klientami funkcji DirectAccess mogą być tylko komputery z następującymi systemami operacyjnymi: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise oraz Windows 7 Ultimate.

  Uwaga

  Zaleca się utworzenie grupy zabezpieczeń dla każdej domeny, która zawiera komputery wyznaczone do skonfigurowania jako klienci funkcji DirectAccess.

Zobacz też

Poniższa tabela zawiera linki do dodatkowych zasobów.

Typ zawartości	Odwołania
Dostęp zdalny w serwisie TechNet	Serwis TechCenter dostępu zdalnego
Ocena produktu	Prezentacja funkcji DirectAccess w klastrze z funkcją NLB Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji Prezentacja wdrożenia funkcji DirectAccess obejmującego wiele lokacji
Wdrażanie	Dostęp zdalny
Narzędzia i ustawienia	Polecenia cmdlet programu PowerShell dla dostępu zdalnego
Zasoby społeczności	Blog zespołu produktowego usługi RRAS Wpisy na stronie typu wiki dotyczące funkcji DirectAccess
Technologie pokrewne	Jak działa protokół IPv6