在企业中部署远程访问
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
本主题提供适用于企业的 DirectAccess 方案的简介。
重要
若要使用本指南部署 DirectAccess,必须使用运行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的 DirectAccess 服务器。
在开始部署之前,请参阅不受支持的配置、已知问题和先决条件的列表
方案描述
远程访问具有一系列企业功能,包括部署用 Windows 网络负载平衡 (NLB) 或外部负载平衡器平衡的群集负载中的多台远程访问服务器、使用处于不同地理位置的远程访问服务器设置多站点部署以及使用一次性密码 (OTP) 部署带有双因素客户端身份验证的 DirectAccess。
本方案内容
每个企业方案均载于含有计划和部署说明的文档中。 有关详细信息,请参阅:
实际的应用程序
远程访问企业方案具有以下优势:
提高了可用性。 在群集中部署多台远程访问服务器提供了可伸缩性、可提升吞吐量并可增加用户数量。 平衡群集的负载可实现高可用性。 如果群集中的服务器出现故障,远程用户可继续通过群集中的其他服务器访问企业内部网络。 故障是透明的,因为客户端使用虚拟的 IP (VIP) 地址连接到群集。
易于管理。 使用在其中一台群集服务器上运行的远程访问管理控制台,可以将群集或多站点部署作为单个实体进行配置和管理。 此外,多站点部署可让管理员根据 Active Directory 站点的情况部署远程访问,从而简化体系结构。 可在各个群集服务器之间或所有的多站点入口点服务器上轻松设置共享设置。 可从群集或部署中的任何服务器,或远程使用远程服务器管理工具 (RSAT) 对远程访问设置进行管理。 此外,可从单个远程访问管理控制台监视整个群集或多站点部署。
成本效益。 远程访问多站点部署允许企业在与客户端位置对应的多个站点中部署远程访问服务器。 不管在哪里,这可为远程客户端提供可预见的访问体验,并通过将 Internet 上的客户端流量路由到最近的远程访问服务器,降低成本和减少 Intranet 带宽。
安全性。 利用一次性密码 (OTP)(而非共享的 Active Directory 密码)部署强客户端身份验证可提高安全性。
本方案所包括的角色和功能
下表列出了本企业方案所需的角色和功能。
| 角色/功能 | 如何支持本方案 |
|---|---|
| 远程访问服务器角色 | 该角色可使用服务器管理器控制台加以安装和卸载。 本角色包括 DirectAccess(以前是 Windows Server 2008 R2 中的功能)以及路由和远程访问服务(以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务)。 远程访问角色由以下两个组件组成: 1. DirectAccess 以及路由和远程访问服务 (RRAS) VPN - DirectAccess 和 VPN 在同一个远程访问管理控制台中加以管理。 远程访问服务器角色取决于以下服务器功能: - Internet 信息服务 (IIS) – 配置网络位置服务器和默认的 Web 探测时,需要此功能。 |
| 远程访问管理工具功能 | 此功能的安装如下所述: - 默认情况下,当安装远程访问角色时,此功能会安装在远程访问服务器上,并且此功能支持远程管理控制台用户界面。 远程访问管理工具功能包括以下各项: 1. 远程访问 GUI 和命令行工具 依赖项包括: 1. 组策略管理控制台 |
| Windows NLB | 此功能可让多台远程访问服务器的负载平衡。 |