Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Scenariusz wdrażania zdalnego zarządzania klientami DirectAccess używa tej technologii do utrzymywania klientów przez Internet. W tej sekcji opisano scenariusz, w tym jej fazy, role, funkcje i linki do dodatkowych zasobów.
Systemy Windows Server 2016 i Windows Server 2012 łączą DirectAccess oraz usługę routingu i zdalnego dostępu (RRAS) VPN w jedną rolę dostępu zdalnego.
Uwaga
Oprócz tego tematu dostępne są następujące tematy dotyczące zarządzania dostępem zdalnym.
Opis scenariusza
Komputery klienckie funkcji DirectAccess są połączone z intranetem za każdym razem, gdy są połączone z Internetem, niezależnie od tego, czy użytkownik zalogował się do komputera. Mogą być zarządzane jako zasoby intranetowe i przechowywane na bieżąco ze zmianami zasad grupy, aktualizacjami systemu operacyjnego, aktualizacjami oprogramowania chroniącego przed złośliwym kodem i innymi zmianami organizacyjnymi.
W niektórych przypadkach serwery intranetowe lub komputery muszą inicjować połączenia z klientami DirectAccess. Na przykład technicy wsparcia mogą używać połączeń pulpitu zdalnego do łączenia się z klientami DirectAccess i rozwiązywania ich problemów. Ten scenariusz umożliwia zachowanie istniejącego rozwiązania dostępu zdalnego na potrzeby łączności użytkowników podczas korzystania z funkcji DirectAccess na potrzeby zdalnego zarządzania.
DirectAccess zapewnia konfigurację wspierającą zdalne zarządzanie klientami. Można użyć opcji kreatora wdrażania, która ogranicza tworzenie zasad tylko do tych potrzebnych do zdalnego zarządzania komputerami klienckimi.
Uwaga
W tym wdrożeniu opcje konfiguracji na poziomie użytkownika, takie jak wymuszone tunelowanie, integracja z ochroną dostępu do sieci (NAP) i uwierzytelnianie dwuskładnikowe nie są dostępne.
W tym scenariuszu
Scenariusz wdrażania zdalnego zarządzania klientami funkcji DirectAccess obejmuje następujące kroki planowania i konfigurowania.
Planowanie wdrożenia
Istnieje tylko kilka wymagań dotyczących komputera i sieci na potrzeby planowania tego scenariusza. To na przykład:
Topologia sieci i serwera: za pomocą funkcji DirectAccess można umieścić serwer dostępu zdalnego na brzegu intranetu lub za urządzeniem translatora adresów sieciowych lub zaporą.
Serwer lokalizacji sieciowej DirectAccess: Serwer lokalizacji sieciowej jest używany przez klientów DirectAccess do określenia, czy znajdują się one w sieci wewnętrznej. Serwer lokalizacji sieciowej można zainstalować na serwerze funkcji DirectAccess lub na innym serwerze.
Klienci funkcji DirectAccess: zdecyduj, które zarządzane komputery zostaną skonfigurowane jako klienci funkcji DirectAccess.
Konfigurowanie wdrożenia
Konfigurowanie wdrożenia składa się z wielu kroków. Są to:
Konfigurowanie infrastruktury: skonfiguruj ustawienia DNS, dołącz serwer i komputery klienckie do domeny, jeśli jest to wymagane, i skonfiguruj grupy zabezpieczeń usługi Active Directory.
W tym scenariuszu wdrażania obiekty zasad grupy (GPO) są tworzone automatycznie przez dostęp zdalny. Aby uzyskać zaawansowane opcje obiektu zasad grupy certyfikatów, zobacz Wdrażanie zaawansowanego dostępu zdalnego.
Konfigurowanie serwera dostępu zdalnego i ustawień sieci: konfigurowanie kart sieciowych, adresów IP i routingu.
Konfigurowanie ustawień certyfikatu: w tym scenariuszu wdrażania Kreator rozpoczynania pracy tworzy certyfikaty z podpisem własnym, więc nie ma potrzeby konfigurowania bardziej zaawansowanej infrastruktury certyfikatów.
Skonfiguruj serwer lokalizacji sieciowej: w tym scenariuszu serwer lokalizacji sieciowej jest instalowany na serwerze dostępu zdalnego.
Planowanie serwerów zarządzania funkcji DirectAccess: Administratorzy mogą zdalnie zarządzać komputerami klienckimi funkcji DirectAccess znajdującymi się poza siecią firmową przy użyciu Internetu. Serwery zarządzania obejmują komputery używane podczas zdalnego zarządzania klientami (na przykład serwery aktualizacji).
Skonfiguruj serwer dostępu zdalnego: zainstaluj rolę dostępu zdalnego i uruchom Kreatora wprowadzenia funkcji DirectAccess, aby skonfigurować funkcję DirectAccess.
Sprawdź wdrożenie: przetestuj klienta, aby upewnić się, że jest w stanie nawiązać połączenie z siecią wewnętrzną i Internetem przy użyciu funkcji DirectAccess.
Zastosowania praktyczne
Wdrożenie jednego serwera dostępu zdalnego na potrzeby zarządzania klientami funkcji DirectAccess zapewnia następujące elementy:
Łatwość dostępu: zarządzane komputery klienckie z systemem Windows 8 lub Windows 7 można skonfigurować jako komputery klienckie funkcji DirectAccess. Ci klienci mogą uzyskiwać dostęp do zasobów sieci wewnętrznej za pośrednictwem funkcji DirectAccess w dowolnym momencie, gdy są połączeni z Internetem bez konieczności logowania się do połączenia sieci VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN. DirectAccess i sieć VPN są zarządzane w tej samej konsoli i przy użyciu takiego samego zestawu kreatorów.
Łatwość zarządzania: komputery klienckie funkcji DirectAccess połączone z Internetem mogą być zdalnie zarządzane przez administratorów dostępu zdalnego za pomocą funkcji DirectAccess, nawet jeśli komputery klienckie nie znajdują się w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą być automatycznie korygowane przez serwery zarządzania. Co najmniej jeden serwer dostępu zdalnego można zarządzać za pomocą jednej konsoli zarządzania dostępem zdalnym.
Role i funkcje uwzględnione w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje wymagane w scenariuszu:
| Rola lub funkcja | Jak to wspiera ten scenariusz |
|---|---|
| Rola dostępu zdalnego | Ta rola jest instalowana i odinstalowana przy użyciu konsoli Menedżera serwera lub programu Windows PowerShell. Ta rola obejmuje DirectAccess, który wcześniej był funkcją w systemie Windows Server 2008 R2, oraz usługi routingu i dostępu zdalnego, które wcześniej były usługami roli w ramach roli serwera Usług Zasad Sieciowych i Dostępu (NPAS). Rola Dostępu zdalnego składa się z dwóch składników: 1. Usługa VPN DirectAccess i Usługi Routingu i Zdalnego Dostępu (RRAS): DirectAccess i VPN są zarządzane w konsoli zarządzania dostępem zdalnym. Rola serwera dostępu zdalnego jest zależna od następujących funkcji: - Serwer sieci Web (IIS): wymagane do skonfigurowania serwera lokalizacji sieciowej i domyślnej sondy sieci Web. |
| Funkcja narzędzi do zarządzania dostępem zdalnym | Ta funkcja jest zainstalowana w następujący sposób: — Domyślnie na serwerze dostępu zdalnego, gdy rola dostępu zdalnego jest zainstalowana i obsługuje interfejs użytkownika konsoli zarządzania zdalnego. Ta funkcja składa się z następujących elementów: - Interfejs graficzny dostępu zdalnego i narzędzia wiersza polecenia Zależności obejmują: — Konsola zarządzania zasadami grupy |
Wymagania sprzętowe
Wymagania sprzętowe dla tego scenariusza obejmują następujące elementy:
Wymagania dotyczące serwera
Komputer spełniający wymagania sprzętowe systemu Windows Server 2016. Aby uzyskać więcej informacji, zobacz Wymagania systemowe systemu Windows Server 2016.
Serwer musi mieć zainstalowaną i włączoną co najmniej jedną kartę sieciową. Powinien być tylko jeden adapter połączony z firmową siecią wewnętrzną i tylko jeden połączony z siecią zewnętrzną (Internet).
Jeśli Teredo jest wymagany jako protokół przejściowy IPv6 do IPv4, zewnętrzny adapter serwera wymaga dwóch sąsiednich publicznych adresów IPv4. Jeśli jest dostępna jedna karta sieciowa, jako protokół przejściowy można używać tylko IP-HTTPS.
Co najmniej jeden kontroler domeny. Serwery dostępu zdalnego i klienci funkcji DirectAccess muszą być członkami domeny.
Urząd certyfikacji jest wymagany na serwerze, jeśli nie chcesz używać certyfikatów z podpisem własnym dla IP-HTTPS lub serwera lokalizacji sieciowej, lub jeśli chcesz użyć certyfikatów klienta do uwierzytelniania IPsec klienta.
Wymagania klienta
- Na komputerze klienckim musi być uruchomiony system Windows 10 lub Windows 8 lub Windows 7.
Wymagania dotyczące infrastruktury i serwera zarządzania
Podczas zdalnego zarządzania komputerami klienckimi DirectAccess, klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domeny, serwery konfiguracji System Center i serwery Urzędu Rejestracji Kondycji (HRA). Te serwery zapewniają usługi, które obejmują aktualizacje systemu Windows i oprogramowania antywirusowego oraz zgodność klienta ochrony dostępu do sieci (NAP). Przed rozpoczęciem wdrażania dostępu zdalnego należy wdrożyć wymagane serwery.
Wymagany jest serwer DNS z systemem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 lub Windows Server 2008 z dodatkiem SP2.
Wymagania dotyczące oprogramowania
Wymagania dotyczące oprogramowania dla tego scenariusza obejmują następujące elementy:
Wymagania dotyczące serwera
Serwer dostępu zdalnego musi być członkiem domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej lub za zaporą brzegową lub innym urządzeniem.
Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub urządzeniem NAT, urządzenie musi być skonfigurowane tak, aby zezwalało na ruch do i z serwera dostępu zdalnego.
Administratorzy, którzy wdrażają serwer dostępu zdalnego, wymagają uprawnień administratora lokalnego na serwerze i uprawnieniach użytkownika domeny. Ponadto administrator wymaga uprawnień do obiektów zasad grupy używanych przy wdrażaniu DirectAccess. Aby korzystać z funkcji, które ograniczają wdrażanie funkcji DirectAccess tylko do komputerów przenośnych, uprawnienia administratora domeny są wymagane na kontrolerze domeny do utworzenia filtru WMI.
Jeśli serwer lokalizacji sieciowej nie znajduje się na serwerze dostępu zdalnego, wymagany jest oddzielny serwer do uruchomienia.
Wymagania klienta dostępu zdalnego
Klienci DirectAccess muszą być członkami domeny. Domeny zawierające klientów mogą należeć do tego samego lasu co serwer dostępu zdalnego lub mogą mieć dwukierunkową relację zaufania z lasem lub domeną serwera dostępu zdalnego.
Grupa zabezpieczeń usługi Active Directory musi zawierać komputery, które zostaną skonfigurowane jako klienci funkcji DirectAccess. Komputery nie powinny być uwzględnione w więcej niż jednej grupie zabezpieczeń, która obejmuje klientów DirectAccess. Jeśli klienci są uwzględnini w wielu grupach, rozpoznawanie nazw dla żądań klientów nie będzie działać zgodnie z oczekiwaniami.