使用進階設定部署單一 DirectAccess 伺服器

發行項
06/12/2016

適用於: Windows Server 2012 R2, Windows Server 2012

本主題提供使用單一 DirectAccess 伺服器並可讓您使用進階設定部署 DirectAccess 的 DirectAccess 案例簡介。

您也可以部署基本 DirectAccess 和適用於企業環境的 DirectAccess。如需替代部署路徑的詳細資訊，請參閱＜在 Windows Server 中的 DirectAccess 部署路徑＞。

如果您要設定只具有簡單設定的基本部署，請參閱＜使用快速入門精靈部署單一 DirectAccess 伺服器＞。在簡單案例中，會使用精靈以預設設定來設定 DirectAccess，而不需要設定基礎結構設定，例如憑證授權單位 (CA) 或 Active Directory 安全性群組。
如果您要在 DirectAccess 設定企業網路功能 (例如負載平衡叢集、多站台部署或雙因素用戶端驗證)，您可以完成本主題中所述的案例來設定單一伺服器，然後如＜在企業中部署遠端存取＞中所述實作企業案例。

重要

若要使用本指南來部署 DirectAccess，您必須使用執行 Windows Server® 2012 R2 或 Windows Server® 2012 的 DirectAccess 伺服器。

在這個案例中

若要使用進階設定來設定單一 DirectAccess 伺服器，您必須完成數個規劃和部署步驟。

必要條件

在開始之前，您可以先檢閱下列需求。

必須在所有設定檔啟用 Windows 防火牆。
DirectAccess 伺服器是網路位置伺服器。
您想要讓安裝 DirectAccess 伺服器之網域中的所有無線電腦都支援 DirectAccess。部署 DirectAccess 時，它會自動在目前網域中的所有攜帶型電腦上啟用。

重要

部署 DirectAccess 時，不支援某些技術和設定。

不支援公司網路中的「內部網站自動通道定址通訊協定」(ISATAP)。如果您使用 ISATAP，則必須將它移除，然後使用原生的 IPv6。

規劃步驟

規劃可以分成兩個階段：

為 DirectAccess 基礎結構做規劃。這個階段描述在開始 DirectAccess 部署之前設定網路基礎結構所需的規劃。它包含規劃網路和伺服器拓撲、憑證規劃、DNS、Active Directory 及群組原則物件 (GPO) 設定，以及 DirectAccess 網路位置伺服器。
為 DirectAccess 部署做規劃。這個階段描述為 DirectAccess 部署做準備所需的規劃步驟。它包含為 DirectAccess 用戶端電腦、伺服器和用戶端驗證需求、VPN 設定、基礎結構伺服器，以及管理和應用程式伺服器做規劃。

如需詳細的規劃步驟，請參閱＜規劃進階 DirectAccess 部署＞。

部署步驟

部署可以分成三個階段：

設定 DirectAccess 基礎結構。這個階段包含設定網路和路由、視需要設定防火牆設定、設定憑證、DNS 伺服器、Active Directory 和 GPO 設定，以及 DirectAccess 網路位置伺服器。
設定 DirectAccess 伺服器設定。這個階段包含設定 DirectAccess 用戶端電腦、DirectAccess 伺服器、基礎結構伺服器、管理和應用程式伺服器的步驟。
確認部署。這個階段包括確認 DirectAccess 部署的步驟。

如需詳細的部署步驟，請參閱＜安裝和設定進階 DirectAccess＞。

實際應用

部署單一 DirectAccess 伺服器可提供下列好處：

容易存取。可將執行 Windows® 8.1、Windows® 8 和 Windows® 7 的受管理用戶端管理設定為 DirectAccess 用戶端電腦。這些用戶端可以隨時透過 DirectAccess 連接位於網際網路上的內部網路資源，無須登入 VPN 網路。未執行上述作業系統的用戶端電腦可以透過 VPN 連接內部網路。
容易管理。「遠端存取」系統管理員可以透過 DirectAccess，從遠端管理網際網路上的 DirectAccess 用戶端電腦，即使用戶端電腦不位於公司內部網路上也可以。管理伺服器可以自動修復不符合公司規定的用戶端電腦。 DirectAccess 和 VPN 都是在同一個主控台以及使用相同的一組精靈進行管理。此外，只要單一的「遠端存取管理主控台」就可以管理一或多部 DirectAccess 伺服器。

本案例所需的角色與功能

下表列出本案例所需的角色與功能：

角色/功能	如何支援本案例
遠端存取角色	這個角色是利用伺服器管理員主控台或 Windows PowerShell 安裝和解除安裝。這個角色同時包含 DirectAccess 和「路由及遠端存取服務」(RRAS)。遠端存取角色包含兩個元件： DirectAccess 和 RRAS VPN - 管理 DirectAccess 和 VPN 時，是在「遠端存取管理主控台」中一起管理。 RRAS 路由 - RRAS 路由功能則是在舊版路由及遠端存取主控台中管理。「遠端存取」伺服器角色取決於下列伺服器角色/功能： Internet Information Services (IIS) 網頁伺服器 - 設定 DirectAccess 伺服器上的網路位置伺服器和預設 Web 探查時，需要這個功能。 Windows 內部資料庫 - 用於 DirectAccess 伺服器上的本機計量。
遠端存取管理工具功能	這個功能的安裝方式如下：安裝「遠端存取」角色時，預設會在 DirectAccess 伺服器上安裝這個功能，並且可支援「遠端管理主控台」使用者介面和 Windows PowerShell Cmdlet。您可以視需要將它安裝在不是執行 DirectAccess 伺服器角色的伺服器上。在這種情況下，它是用於從遠端管理那些執行 DirectAccess 和 VPN 的遠端存取電腦。遠端存取管理工具功能包含以下各項：「遠端存取」圖形化使用者介面 (GUI) 適用於 Windows PowerShell 的遠端存取模組依存項目包括：群組原則管理主控台 RAS 連線管理員系統管理組件 (CMAK) Windows PowerShell 3.0 圖形化管理工具與基礎結構

遠端存取角色

這個角色是利用伺服器管理員主控台或 Windows PowerShell 安裝和解除安裝。這個角色同時包含 DirectAccess 和「路由及遠端存取服務」(RRAS)。遠端存取角色包含兩個元件：

DirectAccess 和 RRAS VPN - 管理 DirectAccess 和 VPN 時，是在「遠端存取管理主控台」中一起管理。
RRAS 路由 - RRAS 路由功能則是在舊版路由及遠端存取主控台中管理。

「遠端存取」伺服器角色取決於下列伺服器角色/功能：

Internet Information Services (IIS) 網頁伺服器 - 設定 DirectAccess 伺服器上的網路位置伺服器和預設 Web 探查時，需要這個功能。
Windows 內部資料庫 - 用於 DirectAccess 伺服器上的本機計量。

遠端存取管理工具功能

這個功能的安裝方式如下：

安裝「遠端存取」角色時，預設會在 DirectAccess 伺服器上安裝這個功能，並且可支援「遠端管理主控台」使用者介面和 Windows PowerShell Cmdlet。
您可以視需要將它安裝在不是執行 DirectAccess 伺服器角色的伺服器上。在這種情況下，它是用於從遠端管理那些執行 DirectAccess 和 VPN 的遠端存取電腦。

遠端存取管理工具功能包含以下各項：

「遠端存取」圖形化使用者介面 (GUI)
適用於 Windows PowerShell 的遠端存取模組

依存項目包括：

群組原則管理主控台
RAS 連線管理員系統管理組件 (CMAK)
Windows PowerShell 3.0
圖形化管理工具與基礎結構

硬體需求

本案例需要的硬體如下所示：

伺服器需求：
- 一部符合 Windows Server 2012 硬體需求的電腦。
- 伺服器必須至少安裝並啟用一張網路介面卡，並連接到內部網路。使用兩張介面卡時，應該有一張介面卡連接到內部公司網路，另一張連接到外部網路 (網際網路或私人網路)。
- 如果 Teredo 必須當作 IPv4 到 IPv6 的轉換通訊協定，則伺服器的外部介面卡需要兩個連續的公用 IPv4 位址。如果只有一個 IP 位址可用，則只能使用 IP-HTTPS 做為轉換通訊協定。
- 至少一個網域控制站。 DirectAccess 伺服器和 DirectAccess 用戶端必須是網域成員。
- 如果您不想要將自我簽署憑證用於 IP-HTTPS 或網路位置伺服器，或是想要使用用戶端憑證來進行用戶端 IPsec 驗證，則需要憑證授權單位 (CA)。您也可以從公用 CA 要求憑證。
- 如果網路位置伺服器不是位於 DirectAccess 伺服器上，則需要一個個別的網頁伺服器來執行它。

用戶端需求：

用戶端電腦必須執行 Windows 8 或 Windows 7。

注意事項
只有下列作業系統可以用來做為 DirectAccess 用戶端：Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 企業版及 Windows 7 旗艦版。

基礎結構和管理伺服器需求：
- 從遠端管理 DirectAccess 用戶端電腦時，用戶端會與管理伺服器進行通訊，例如網域控制站、系統中心設定伺服器以及健康情況登錄授權單位 (HRA) 伺服器，以便使用各種服務，其中包含 Windows 和防毒更新以及網路存取保護 (NAP) 用戶端規範。開始部署「遠端存取」之前，應該先部署必要的伺服器。
- 如果「遠端存取」需要用戶端 NAP 規範，則開始部署「遠端存取」之前，應該先部署 NPS 和 HRS 伺服器。
- 如果啟用 VPN，而且在未使用靜態位址集區的情況下，需要 DHCP 伺服器自動分配 IP 給 VPN 用戶端。

軟體需求

本案例的一些需求：

伺服器需求：
- DirectAccess 伺服器必須是網域成員。伺服器可以部署到內部網路的邊緣，或者在邊緣防火牆或其他裝置的後面。
- 如果 DirectAccess 伺服器位於邊緣防火牆或 NAT 裝置後面，則必須設定裝置來允許連到 DirectAccess 伺服器和從此伺服器連入的流量。
- 負責在伺服器部署「遠端存取」的人員，須具備伺服器的本機系統管理員身分以及擁有網域使用者權限。此外，系統管理員需要具備部署 DirectAccess 所使用之 GPO 的權限。如果想利用這些功能，將 DirectAccess 只部署到行動電腦上，必須具備在網域控制站建立 WMI 篩選器的權限。
遠端存取用戶端需求：
- DirectAccess 用戶端必須是網域成員。包含用戶端的網域可以與 DirectAccess 伺服器屬於相同的樹系，或是與 DirectAccess 伺服器樹系或網域具有雙向信任關係。
- 準備一個 Active Directory 安全性群組，只要會設定成 DirectAccess 用戶端的電腦，全部放到這個群組中。如果在設定 DirectAccess 用戶端設定時未指定安全性群組，預設會在網域電腦安全性群組的所有膝上型電腦套用用戶端 GPO。只有下列作業系統可以做為 DirectAccess 用戶端：Windows Server 2012 R2、Windows 8.1 Enterprise、Windows Server 2012、Windows 8 企業版、Windows Server 2008 R2、Windows 7 企業版和 Windows 7 旗艦版。
  
  注意事項
  
  建議您為每個包含 DirectAccess 用戶端電腦的網域都建立一個安全性群組。
  
  重要
  
  如果您已經在部署中啟用 Teredo，且要為 Windows 7 用戶端提供存取權限，請確定您已將用戶端升級為 Windows 7 (含 SP1)。使用 Windows 7 RTM 的用戶端將無法透過 Teredo 進行連線。不過，這些用戶端仍然可以透過 IP-HTTPS 連線到公司網路。

注意事項
建議您為每個包含 DirectAccess 用戶端電腦的網域都建立一個安全性群組。

另請參閱

下表提供其他資源的連結。

內容類型	參考
TechNet 的遠端存取	遠端存取 TechCenter
產品評估	測試實驗室指南：示範在具備 Windows NLB 功能的叢集中使用 DirectAccess 測試實驗室指南：示範 DirectAccess 多站台部署測試實驗室指南：示範使用 OTP 驗證和 RSA SecurID 的 DirectAccess
部署	在 Windows Server 中的 DirectAccess 部署路徑使用快速入門精靈部署單一 DirectAccess 伺服器在企業中部署遠端存取
工具及設定	遠端存取 PowerShell Cmdlet
社群資源	DirectAccess 存續指南 DirectAccess Wiki 內容
相關技術	IPv6 的運作方式

共用方式為