DirectAccess-kiszolgáló központi telepítése speciális beállításokkal
Érvényes: Windows Server 2012 R2, Windows Server 2012
Ez a témakör egy ismerteti az egy DirectAccess-kiszolgálós DirectAccess-forgatókönyvet, és lehetővé teszi a DirectAccess speciális beállításokkal történő telepítését.
A DirectAccess egyszerű és vállalati környezetekben való telepítése is lehetséges. Az alternatív üzembe helyezési elérési utakról a következő témakörben talál további információt: A Windows Server DirectAccess telepítés elérési utak.
Ha alapszintű központi telepítést kíván konfigurálni egyszerű beállításokkal, tekintse meg a(z) DirectAccess-kiszolgáló központi telepítése az Első lépések varázslóval című cikket. Az egyszerű forgatókönyvben a DirectAccess alapértelmezett beállításait egy varázsló adja meg, és nem kell konfigurálnia az infrastruktúra-beállításokat, például a hitelesítésszolgáltatót vagy az Active Directory biztonsági csoportokat.
Ha a DirectAccesst vállalati hálózati szolgáltatásokkal kívánja konfigurálni, például terheléselosztásos fürttel, többhelyes konfigurációval vagy kétfaktoros ügyfél-hitelesítéssel, a témakörben ismertetett forgatókönyv végrehajtásával állítson be egy kiszolgálót, majd kövesse a(z) Távelérés vállalati üzembe helyezése című témakörben ismertetett vállalati forgatókönyvet.
Fontos
Ha a jelen útmutató alapján kívánja üzembe helyezni a DirectAccesst, Windows Server® 2012 R2-t vagy Windows Server® 2012-t futtató DirectAccess-kiszolgálót kell használnia.
Ebben az esetben
Egyetlen DirectAccess-kiszolgáló speciális beállításokkal való konfigurálásához több tervezési és telepítési lépést kell végrehajtania.
Előfeltételek
Mielőtt elkezdené, áttekintheti a következő követelményeket.
A Windows tűzfalat mindegyik profilban engedélyezni kell.
A hálózatihely-kiszolgáló DirectAccess-kiszolgáló.
A DirectAccess-kiszolgáló telepítéséhez használt tartományban minden vezeték nélküli számítógépen engedélyezni kell a DirectAccesst. A DirectAccess telepítésekor a rendszer automatikusan engedélyezi azt az aktuális tartomány minden hordozható számítógépén.
Fontos
A DirectAccess telepítése során egyes technológiák és konfigurációk nem támogatottak.
-
Az ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) a vállalati hálózatban nem támogatott. Ha ISATAP-kapcsolatot használ, távolítsa el, és használjon natív IPv6-kapcsolatot.
A tervezés lépései
A tervezés két fázisra osztható:
A DirectAccess-infrastruktúra megtervezése. Ez a fázis ismerteti a hálózati infrastruktúra beállításához szükséges terveket, mielőtt megkezdené a DirectAccess telepítését. Ez magában foglalja a hálózat- és kiszolgálótopológia, a tanúsítványtervezés, a DNS, az Active Directory és a csoportházirend-objektum konfigurálásának, valamint a DirectAccess hálózatihely-kiszolgálónak a tervezését.
A DirectAccess telepítésének megtervezése. Ez a fázis leírja a DirectAccess telepítésének előkészítéséhez szükséges tervezési lépéseket. Ez magában foglalja a DirectAccess-ügyfélszámítógépek, a kiszolgáló- és ügyfél-hitelesítési követelmények, a VPN-beállítások, az infrastruktúra-kiszolgálók, valamint a kezelési és alkalmazáskiszolgálók tervezését.
A tervezés részletes lépései: A DirectAccess speciális központi telepítésének megtervezése.
A központi telepítés lépései
A központi telepítés három fázisra osztható:
A DirectAccess-infrastruktúra beállítása. Ebben a fázisban a hálózatot és az útválasztást, szükség esetén a tűzfalbeállításokat, a tanúsítványokat, a DNS-kiszolgálókat, az Active Directory és a csoportházirend-objektumok beállításait, valamint a DirectAccess hálózatihely-kiszolgálót konfigurálja.
DirectAccess-kiszolgálóbeállítások konfigurálása. Ebben a fázisban a DirectAccess-ügyfélszámítógépeket, a DirectAccess-kiszolgálót, az infrastruktúra-kiszolgálókat, valamint a felügyeleti és alkalmazáskiszolgálókat konfigurálja.
A telepítés ellenőrzése. Ez a fázis a DirectAccess-telepítés ellenőrzésének lépéseit tartalmazza.
A telepítés részletes lépései: Speciális DirectAccess telepítése és konfigurálása.
Gyakorlati alkalmazásmódok
Egy önálló DirectAccess-kiszolgáló központi telepítése az alábbi előnyöket nyújtja:
Könnyű elérés. A(z) Windows® 8.1, Windows® 8 és Windows® 7 rendszert futtató felügyelt ügyfélszámítógépek DirectAccess-ügyfélszámítógépként konfigurálhatók. Az ilyen ügyfelek a DirectAccess szolgáltatáson keresztül bármikor hozzáférhetnek a belső hálózati erőforrásokhoz, ha az internethez csatlakoznak, és nem kell bejelentkezniük egy VPN-kapcsolatba. Az említett operációs rendszerektől eltérő rendszert futtató ügyfélszámítógépek VPN-en keresztül kapcsolódhatnak a belső hálózathoz.
Könnyű kezelés. Az interneten található DirectAccess-ügyfélszámítógépeket távolról felügyelhetik a távelérési szolgáltatás rendszergazdái a DirectAccess szolgáltatással, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek meg nem felelő ügyfélszámítógépek automatikusan kijavíthatók a kezelési kiszolgálók használatával. A DirectAccess és a VPN kezelése ugyanazon a konzolon, ugyanazokkal a varázslókkal történik. Ezenkívül egy vagy több DirectAccess-kiszolgáló kezelhető egyetlen Távelérés-kezelési konzolon
A forgatókönyvhöz szükséges szerepkörök és szolgáltatások
Az alábbi táblázat a forgatókönyvhöz szükséges szerepköröket és szolgáltatásokat tartalmazza:
Szerepkör/szolgáltatás |
Támogatás a forgatókönyv számára |
---|---|
Távelérési szerepkör |
A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával történik. Ez a szerepkör magában foglalja a DirectAccess és az Útválasztás és távelérés szolgáltatást (RRAS) is. A távelérési szerepkör két összetevőből áll:
A Távelérés kiszolgálói szerepkör az alábbi kiszolgálói szerepköröktől/szolgáltatásoktól függ:
|
Távelérés-kezelési eszközök szolgáltatás |
A szolgáltatás telepítése az alábbiak szerint történhet:
A Távelérés-kezelési eszközök szolgáltatás az alábbiakat foglalja magában:
A függőségek például ezek lehetnek:
|
Hardverkövetelmények
A forgatókönyv hardverkövetelményei az alábbiak:
Kiszolgálókövetelmények:
A Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.
A kiszolgálónak legalább egy telepített, engedélyezett és a belső hálózathoz csatlakoztatott hálózati adapterrel kell rendelkeznie. Két adapter használata esetén ez egyik adaptert a belső vállalati hálózathoz, a másikat a külső hálózathoz (az internethez vagy magánhálózathoz) kell csatlakoztatni.
Ha a Teredo szükséges IPv4–IPv6 átviteli protokollként, a kiszolgáló külső adaptere két egymást követő nyilvános IPv4-címet igényel. Ha csak egyetlen IP-cím áll rendelkezésre, csak az IP-HTTPS használható átviteli protokollként.
Legalább egy tartományvezérlő. A DirectAccess-kiszolgálónak és a DirectAccess-ügyfeleknek tartománytagoknak kell lenniük.
Egy hitelesítésszolgáltató is szükséges, ha nem kíván önaláírt tanúsítványokat használni az IP-HTTPS vagy a hálózatihely-kiszolgáló esetében, illet ha az ügyféltanúsítványokat az ügyfelek IPsec-hitelesítéséhez kívánja használni. Tanúsítványokat nyilvános hitelesítésszolgáltatótól is igényelhet.
Ha a hálózatihely-kiszolgáló nem a DirectAccess-kiszolgálón található, a futtatásához egy külön webkiszolgáló szükséges.
Ügyfélkövetelmények:
Az ügyfélszámítógépeknek a(z) Windows 8 vagy a Windows 7 rendszert kell futtatniuk.
Megjegyzés
Kizárólag az alábbi operációs rendszerek használhatók DirectAccess-ügyfélként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.
Infrastruktúra- és kezelésikiszolgáló-követelmények:
A DirectAccess-ügyfélszámítógépek távoli felügyelete során az ügyfelek kommunikációt kezdeményeznek a kezelési kiszolgálókkal (például tartományvezérlőkkel, System Center Configuration- és állapotjegyző (HRA-) kiszolgálókkal) olyan szolgáltatások esetén, amelyek Windows- és víruskereső-frissítéseket, valamint Hálózatvédelem (NAP) ügyfél-kompatibilitást foglalnak magukban. A szükséges kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Ha a távelérés NAP-kompatibilitást igényel, az NPS- és HRS-kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Ha VPN lett engedélyezve, egy DHCP-kiszolgáló szükséges az IP-címek automatikus kiosztásához a VPN-ügyfelek számára, ha a rendszer nem használ statikus címkészletet.
Szoftverkövetelmények
A forgatókönyvre több követelmény is vonatkozik:
Kiszolgálókövetelmények:
A DirectAccess-kiszolgálónak tartománytagnak kell lennie. A kiszolgáló telepíthető a belső hálózat peremén, illetve tűzfal vagy egyéb eszköz mögött.
Ha a DirectAccess-kiszolgáló egy peremhálózati tűzfal vagy NAT-eszköz mögött található, az eszközt úgy kell konfigurálni, hogy átengedje a DirectAccess-kiszolgálótól érkező és az arra irányuló forgalmat.
A kiszolgálón a távelérés központi telepítését végző személynek a kiszolgálón helyi rendszergazdai engedélyekkel, valamint tartományi felhasználói engedélyekkel kell rendelkeznie. A rendszergazdának emellett engedélyekkel kell rendelkeznie a DirectAccess-telepítésben használt csoportházirend-objektumokhoz is. A DirectAccess telepítését a hordozható számítógépekre korlátozó szolgáltatások lehetőségeinek kihasználásához engedély szükséges egy WMI-szűrőnek a tartományvezérlőn való létrehozására.
Távelérési ügyfelekre vonatkozó követelmények:
A DirectAccess-ügyfeleknek tartománytagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok tartozhatnak a DirectAccess-kiszolgálóval megegyező erdőbe, vagy rendelkezhetnek kétirányú megbízhatósági kapcsolattal a DirectAccess-kiszolgáló erdejével vagy tartományával.
Egy Active Directory biztonsági csoport szükséges, amely a DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmazza. Ha a DirectAccess-ügyfelek beállításainak konfigurálásakor nincs biztonsági csoport megadva, a rendszer alapértelmezés szerint az ügyfél csoportházirend-objektumát alkalmazza a Tartományi számítógépek biztonsági csoportban található összes hordozható számítógépre. Kizárólag az alábbi operációs rendszerek használhatók DirectAccess-ügyfélként: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise és Windows 7 Ultimate.
Megjegyzés
Ajánlott egy biztonsági csoport létrehozása minden olyan tartományhoz, amely DirectAccess-ügyfélszámítógépeket tartalmaz.
Fontos
Ha a Teredo engedélyezve van a DirectAccess-telepítésben, és hozzáférést kíván biztosítani a(z) Windows 7-ügyfelek számára, győződjön meg arról, hogy az ügyfelek a(z) Windows 7 SP1 rendszerre vannak frissítve. A(z) Windows 7 rendszert használó ügyfelek nem tudnak kapcsolódni a Teredo használatával. Ezek az ügyfelek azonban IP-HTTPS kapcsolaton keresztül továbbra is kapcsolódni tudnak a vállalati hálózathoz.
Lásd még:
Az alábbi táblázat további forrásokra mutató hivatkozásokat tartalmaz.
Tartalom típusa |
Hivatkozások |
---|---|
Távelérés a TechNeten |
|
Termékértékelés |
Tesztkörnyezet-Útmutató: Bemutatják a DirectAccess többhelyes telepítés Tesztkörnyezet-Útmutató: Bemutatják, egyszeri jelszó-hitelesítés és RSA SecurID DirectAccess |
Telepítés |
A Windows Server DirectAccess telepítés elérési utak DirectAccess-kiszolgáló központi telepítése az Első lépések varázslóval |
Eszközök és beállítások |
|
Közösségi források |
|
Kapcsolódó technológiák |