Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Microsoft, yeni dağıtımlar için DirectAccess yerine Always On VPN kullanmanızı kesinlikle önerir. Daha fazla bilgi için bkz. Always on VPN.
Bu konu, tek bir DirectAccess sunucusu kullanan DirectAccess senaryosuna giriş sağlar ve gelişmiş ayarlarla DirectAccess'i dağıtmanıza olanak tanır.
Dağıtmaya başlamadan önce desteklenmeyen yapılandırmalar, bilinen sorunlar ve önkoşullar listesine bakın
DirectAccess'i dağıtmadan önce önkoşulları ve diğer bilgileri gözden geçirmek için aşağıdaki konuları kullanabilirsiniz.
DirectAccess’i Dağıtmak için Önkoşulları
Senaryo açıklaması
Bu senaryoda, Windows Server 2016, Windows Server 2012 R2 veya Windows Server 2012 çalıştıran tek bir bilgisayar gelişmiş ayarlara sahip bir DirectAccess sunucusu olarak yapılandırılır.
Uyarı
Basit bir dağıtımı yalnızca basit ayarlarla yapılandırmak istiyorsanız bkz. Başlarken Sihirbazı kullanarak Tek Bir DirectAccess Sunucusu Dağıtma. Basit senaryoda DirectAccess, sertifika yetkilisi (CA) veya Active Directory güvenlik grupları gibi altyapı ayarlarını yapılandırmaya gerek kalmadan bir sihirbaz kullanılarak varsayılan ayarlarla yapılandırılır.
Bu senaryoda
Gelişmiş ayarlarla tek bir DirectAccess sunucusu ayarlamak için çeşitli planlama ve dağıtım adımlarını tamamlamanız gerekir.
Önkoşullar
Başlamadan önce aşağıdaki gereksinimleri gözden geçirebilirsiniz.
Windows Güvenlik Duvarı tüm profillerde etkinleştirilmelidir.
DirectAccess sunucusu, ağ konumu sunucusudur.
DirectAccess sunucusunu yüklediğiniz etki alanındaki tüm kablosuz bilgisayarların DirectAccess etkin olmasını istiyorsunuz. DirectAccess'i dağıttığınızda, geçerli etki alanındaki tüm mobil bilgisayarlarda otomatik olarak etkinleştirilir.
Önemli
DirectAccess'i dağıttığınızda bazı teknolojiler ve yapılandırmalar desteklenmez.
- Şirket ağındaki Intra-Site Otomatik Tünel Adresleme Protokolü (ISATAP) desteklenmez. ISATAP kullanıyorsanız, bunu kaldırmanız ve yerel IPv6 kullanmanız gerekir.
Planlama adımları
Planlama iki aşamaya ayrılır:
DirectAccess altyapısını planlama. Bu aşama, DirectAccess dağıtımına başlamadan önce ağ altyapısını ayarlamak için gereken planlamayı açıklar. Ağ ve sunucu topolojisi, sertifika planlaması, DNS, Active Directory ve Grup İlkesi nesnesi (GPO) yapılandırmasını ve DirectAccess ağ konumu sunucusunu planlamayı içerir.
DirectAccess dağıtımına yönelik planlama. Bu aşama, DirectAccess dağıtımına hazırlanmak için gereken planlama adımlarını açıklar. DirectAccess istemci bilgisayarları, sunucu ve istemci kimlik doğrulaması gereksinimleri, VPN ayarları, altyapı sunucuları ve yönetim ve uygulama sunucuları için planlamayı içerir.
Dağıtım adımları
Dağıtım üç aşamaya ayrılır:
DirectAccess altyapısını yapılandırma. Bu aşama ağ ve yönlendirmeyi yapılandırmayı, gerekirse güvenlik duvarı ayarlarını yapılandırmayı, sertifikaları, DNS sunucularını, Active Directory ve GPO ayarlarını ve DirectAccess ağ konumu sunucusunu yapılandırmayı içerir.
DirectAccess sunucu ayarlarını yapılandırma. Bu aşama DirectAccess istemci bilgisayarlarını, DirectAccess sunucusunu, altyapı sunucularını, yönetim ve uygulama sunucularını yapılandırma adımlarını içerir.
Dağıtımın doğrulanması. Bu aşama, DirectAccess dağıtımını doğrulama adımlarını içerir.
Ayrıntılı dağıtım adımları için bkz. Gelişmiş DirectAccessYükleme ve Yapılandırma .
Pratik uygulamalar
Tek bir DirectAccess sunucusu dağıtmak aşağıdakileri sağlar:
Erişim kolaylığı. Windows 10, Windows 8.1, Windows 8 ve Windows 7 çalıştıran yönetilen istemci bilgisayarlar DirectAccess istemci bilgisayarları olarak yapılandırılabilir. Bu istemciler, bir VPN bağlantısında oturum açmaya gerek kalmadan, İnternet'te bulundukları her zaman DirectAccess aracılığıyla iç ağ kaynaklarına erişebilir. Bu işletim sistemlerinden birini çalıştırmayan istemci bilgisayarlar VPN aracılığıyla iç ağa bağlanabilir.
Yönetim kolaylığı. İnternet'te bulunan DirectAccess istemci bilgisayarları, istemci bilgisayarlar iç şirket ağında yer almasa bile DirectAccess üzerinden Uzaktan Erişim yöneticileri tarafından uzaktan yönetilebilir. Şirket gereksinimlerini karşılamayan istemci bilgisayarlar yönetim sunucuları tarafından otomatik olarak düzeltilebilir. Hem DirectAccess hem de VPN aynı konsolda ve aynı sihirbaz kümesiyle yönetilir. Ayrıca, bir veya daha fazla DirectAccess sunucusu tek bir Uzaktan Erişim Yönetimi konsolundan yönetilebilir
Bu senaryo için gereken roller ve özellikler
Aşağıdaki tabloda, bu senaryo için gereken roller ve özellikler listelenmiştir:
| Rol/özellik | Bu senaryoyu nasıl destekliyor? |
|---|---|
| Uzaktan Erişim rolü | Rol, Sunucu Yöneticisi konsolu veya Windows PowerShell kullanılarak yüklenir ve kaldırılır. Bu rol hem DirectAccess hem de Yönlendirme ve Uzaktan Erişim Hizmetleri'ni (RRAS) kapsar. Uzaktan Erişim rolü iki bileşenden oluşur: 1. DirectAccess ve RRAS VPN. DirectAccess ve VPN, Uzaktan Erişim Yönetimi konsolunda birlikte yönetilir. 2. RRAS Yönlendirme. RRAS yönlendirme özellikleri eski Yönlendirme ve Uzaktan Erişim konsolunda yönetilir. Uzaktan Erişim sunucu rolü aşağıdaki sunucu rollerine/özelliklerine bağlıdır: |
| Uzaktan Erişim Yönetim Araçları özelliği | Bu özellik aşağıdaki gibi yüklenir: - Uzaktan Erişim rolü yüklendiğinde varsayılan olarak bir DirectAccess sunucusuna yüklenir ve Uzaktan Yönetim konsolu kullanıcı arabirimini ve Windows PowerShell cmdlet'lerini destekler. Uzaktan Erişim Yönetim Araçları özelliği aşağıdakilerden oluşur: - Uzaktan Erişim grafik kullanıcı arabirimi (GUI) Bağımlılıklar şunlardır: - Grup İlkesi Yönetim Konsolu |
Donanım gereksinimleri
Bu senaryo için donanım gereksinimleri şunlardır:
Sunucu gereksinimleri:
Windows Server 2016, Windows Server 2012 R2 veya Windows Server 2012 için donanım gereksinimlerini karşılayan bir bilgisayar.
Sunucuda en az bir ağ bağdaştırıcısı yüklü, etkin ve iç ağa bağlı olmalıdır. İki bağdaştırıcı kullanıldığında, iç şirket ağına bağlı bir bağdaştırıcı ve dış ağa (İnternet veya özel ağ) bağlı bir bağdaştırıcı olmalıdır.
IPv4'e IPv6 geçiş protokolü olarak Teredo gerekiyorsa, sunucunun dış bağdaştırıcısı iki ardışık genel IPv4 adresi gerektirir. Tek bir IP adresi varsa, geçiş protokolü olarak yalnızca IP-HTTPS kullanılabilir.
En az bir etki alanı denetleyicisi. DirectAccess sunucusu ve DirectAccess istemcileri etki alanı üyesi olmalıdır.
IP-HTTPS veya ağ konumu sunucusu için otomatik olarak imzalanan sertifikalar kullanmak istemiyorsanız veya istemci IPsec kimlik doğrulaması için istemci sertifikalarını kullanmak istiyorsanız bir sertifika yetkilisi (CA) gerekir. Alternatif olarak, bir genel CA'dan sertifika isteyebilirsiniz.
Ağ konumu sunucusu DirectAccess sunucusunda değilse, bunu çalıştırmak için ayrı bir web sunucusu gerekir.
İstemci gereksinimleri:
İstemci bilgisayar Windows 10, Windows 8 veya Windows 7 çalıştırıyor olmalıdır.
Uyarı
Aşağıdaki işletim sistemleri DirectAccess istemcileri olarak kullanılabilir: Windows 10, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows 7 Enterprise veya Windows 7 Ultimate.
Altyapı ve yönetim sunucusu gereksinimleri:
DirectAccess istemci bilgisayarlarının uzaktan yönetimi sırasında istemciler, Windows ve virüsten koruma güncelleştirmeleri ve Ağ Erişim Koruması (NAP) istemci uyumluluğu içeren hizmetler için etki alanı denetleyicileri, System Center Yapılandırma Sunucuları ve Sistem Durumu Kayıt Yetkilisi (HRA) sunucuları gibi yönetim sunucularıyla iletişim başlatır. Gerekli sunucular Uzaktan Erişim dağıtımına başlamadan önce dağıtılmalıdır.
Uzaktan Erişim istemci NAP uyumluluğu gerektiriyorsa uzaktan erişim dağıtımına başlamadan önce NPS ve HRS sunucuları dağıtılmalıdır
VPN etkinse, statik adres havuzu kullanılmıyorsa IP adreslerini VPN istemcilerine otomatik olarak ayırmak için bir DHCP sunucusu gerekir.
Yazılım gereksinimleri
Bu senaryo için bir dizi gereksinim vardır:
Sunucu gereksinimleri:
DirectAccess sunucusu bir etki alanı üyesi olmalıdır. Sunucu, iç ağın kenarında veya kenar güvenlik duvarının veya başka bir cihazın arkasına dağıtılabilir.
DirectAccess sunucusu bir uç güvenlik duvarının veya NAT cihazının arkasında bulunuyorsa, cihazın DirectAccess sunucusuna gelen ve giden trafiğe izin verecek şekilde yapılandırılması gerekir.
Sunucuda uzaktan erişim dağıtan kişi, sunucuda yerel yönetici izinleri ve etki alanı kullanıcı izinleri gerektirir. Ayrıca yönetici, DirectAccess dağıtımında kullanılan GPO'lar için izinlere ihtiyaç duyar. DirectAccess dağıtımını yalnızca mobil bilgisayarlarla kısıtlayan özelliklerden yararlanmak için, etki alanı denetleyicisinde WMI filtresi oluşturma izinleri gerekir.
Uzaktan Erişim istemci gereksinimleri:
DirectAccess istemcileri etki alanı üyeleri olmalıdır. İstemcileri içeren etki alanları DirectAccess sunucusuyla aynı ormana ait olabilir veya DirectAccess sunucu ormanı ya da etki alanıyla karşılıklı bir güven ilişkisi kurabilir.
DirectAccess istemcileri olarak yapılandırılacak bilgisayarları içermesi için bir Active Directory güvenlik grubu gereklidir. DirectAccess istemci ayarları yapılandırılırken bir güvenlik grubu belirtilmezse, varsayılan olarak istemci GPO'sunun Etki Alanı Bilgisayarları güvenlik grubundaki tüm dizüstü bilgisayarlara uygulanması gerekir.
Uyarı
DirectAccess istemci bilgisayarlarını içeren her etki alanı için bir güvenlik grubu oluşturmanız önerilir.
Önemli
DirectAccess dağıtımınızda Teredo'yu etkinleştirdiyseniz ve Windows 7 istemcilerine erişim sağlamak istiyorsanız, istemcilerin SP1 ile Windows 7'ye yükseltildiğinden emin olun. Windows 7 RTM kullanan istemciler Teredo üzerinden bağlanamaz. Ancak, bu istemciler IP-HTTPS üzerinden şirket ağına bağlanmaya devam edebilir.
Ayrıca bkz.
Aşağıdaki tabloda ek kaynaklara bağlantılar sağlanmaktadır.
| İçerik türü | Kaynaklar |
|---|---|
| Dağıtım | Windows Server'da DirectAccess Dağıtım Yolları Başlarken Sihirbazı'nı Kullanarak Tek Bir DirectAccess Sunucusu Dağıtma |
| Araçları ve ayarları | Uzaktan Erişim PowerShell komut setlerini |
| topluluk kaynakları | DirectAccess Hayatta Kalma Kılavuzu |
| İlgili teknolojiler | IPv6 nasıl çalışır? |