DirectAccess hozzáadása meglévő távelérési (VPN) telepítéshez

  • Cikk

 

Érvényes: Windows Server 2012 R2, Windows Server 2012

Megjegyzés: A Windows Server 2012 egyetlen távelérési szerepkörben egyesíti a DirectAccess és az útválasztási és távelérési szolgáltatást (RRSA). 

Ez a témakör bevezetőként szolgál a Távelérés engedélyezése DirectAccess-varázslóhoz, amely egy távelérési kiszolgáló ajánlott beállításokkal történő telepítésére szolgál egy virtuális magánhálózat (VPN) beállítását követően.

Központi telepítési dokumentációkészlet a Windows Server 2012 Távelérés (DirectAccess) szolgáltatásához

Az alábbiakban olyan témaköröket talál, amelyek segítséget nyújtanak a távelérés központi telepítésében három fő irányban:

  • Egyszerű

  • Speciális

  • Vállalati

Az ehhez a kiadáshoz elérhető, a távelérés felügyeletével és áttelepítésével kapcsolatos témakörök szintén szerepelnek a felsorolásban.

Mielőtt megkezdené a központi telepítést, tekintse át a nem támogatott konfigurációk, az ismert problémák és az előfeltételek alábbi felsorolását:

Alapszintű távelérés központi telepítése

Speciális távelérés központi telepítése

Távelérés központi telepítése vállalatban

A távelérés kezelése

A távelérés áttelepítése

Forgatókönyv leírása

Ebben a forgatókönyvben egy Windows Server 2012 rendszerű számítógép lesz távelérési kiszolgálóként konfigurálva az ajánlott beállításokkal a VPN telepítését és konfigurálását követően. Ha a Távelérés szolgáltatást vállalati szolgáltatásokkal kívánja konfigurálni, például terheléselosztásos fürttel, többhelyes konfigurációval vagy kétfaktoros ügyfél-hitelesítéssel, a témakörben ismertetett forgatókönyv végrehajtásával állítson be egy kiszolgálót, majd állítsa be a vállalati forgatókönyvet a(z) Távelérés vállalati üzembe helyezése című témakörben leírtak szerint.

Ebben az esetben

A távelérési kiszolgáló beállításához számos tervezési és központi telepítési lépés szükséges.

A tervezés lépései

A tervezés két fázisra osztható:

  1. A távelérési infrastruktúra tervezése

    Ebben a fázisban ismerteti a hálózati infrastruktúra beállításához szükséges tervezést, mielőtt a távelérés központi telepítését megkezdené. Ez magában foglalja a hálózat- és kiszolgálótopológia, a tanúsítványok, a DNS, az Active Directory és a csoportházirend-objektum konfigurálásának, valamint a DirectAccess hálózatihely-kiszolgálónak a tervezését.

  2. A távelérés központi telepítésének tervezése

    Ebben a fázisban ismerteti a távelérés központi telepítésének előkészítéséhez szükséges tervezési lépéseket. Ez magában foglalja a távelérési ügyfélszámítógépek, a kiszolgáló- és ügyfél-hitelesítési követelmények, valamint az infrastruktúra-kiszolgálók tervezését.

A központi telepítés lépései

A központi telepítés három fázisra osztható:

  1. A távelérési infrastruktúra konfigurálása

    Ebben a fázisban a hálózatot és az útválasztást, szükség esetén a tűzfalbeállításokat, a tanúsítványokat, a DNS-kiszolgálókat, az Active Directory és a csoportházirend-objektumok beállításait, valamint a DirectAccess hálózatihely-kiszolgálót konfigurálja.

  2. A távelérési kiszolgáló beállításainak konfigurálása

    Ebben a fázisban a távelérési ügyfélszámítógépeket, a távelérési kiszolgálót és az infrastruktúra-kiszolgálókat konfigurálja.

  3. A telepítés ellenőrzése

    Ebben a fázisban ellenőrzi, hogy a központi telepítés az elvárásoknak megfelelően működik-e.

Gyakorlati alkalmazásmódok

Egy távelérési kiszolgáló központi telepítése az alábbi előnyöket nyújtja:

  • Könnyű elérés

    A(z) Windows 8 vagy Windows 7 rendszert futtató felügyelt ügyfélszámítógépek DirectAccess-ügyfélszámítógépként konfigurálhatók. Az ilyen ügyfelek a DirectAccess szolgáltatáson keresztül bármikor hozzáférhetnek a belső hálózati erőforrásokhoz, ha az internethez csatlakoznak, és nem kell bejelentkezniük egy VPN-kapcsolatba. Az említett operációs rendszerektől eltérő rendszert futtató ügyfélszámítógépek VPN-en keresztül kapcsolódhatnak a belső hálózathoz. A DirectAccess és a VPN kezelése ugyanazon a konzolon, ugyanazokkal a varázslókkal történik.

  • Könnyű kezelés

    Az internetet elérő DirectAccess-ügyfélszámítógépeket távolról felügyelhetik a távelérési szolgáltatás rendszergazdái a DirectAccess szolgáltatással, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek meg nem felelő ügyfélszámítógépek automatikusan kijavíthatók a kezelési kiszolgálók használatával.

A forgatókönyvhöz szükséges szerepkörök és szolgáltatások

Az alábbi táblázat a forgatókönyvhöz szükséges szerepköröket és szolgáltatásokat tartalmazza:

Szerepkör/szolgáltatás

Támogatás a forgatókönyv számára

Távelérési szerepkör

A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával történik. A szerepkör magában foglalja a DirectAccess szolgáltatást, amely korábban a Windows Server 2008 R2 szolgáltatása volt, valamint az Útválasztás és távelérés szolgáltatást, amely korábban a Hálózati házirend- és elérési szolgáltatások (NPAS) kiszolgálói szerepkör alá tartozó szerepkör-szolgáltatás volt. A távelérési szerepkör két összetevőből áll:

  1. A DirectAccess és az Útválasztás és távelérés szolgáltatás (RRAS) VPN-je: a funkciók felügyelete a Távelérés kezelési konzolján történik.

  2. RRAS útválasztás: a funkciók felügyelete az Útválasztás és távelérés konzolon történik.

A Távelérés kiszolgálói szerepkör az alábbi kiszolgálói szerepköröktől függ:

  • Internet Information Services- (IIS-) webkiszolgáló: ez a szolgáltatás az alapértelmezett webes mintavétel, valamint a hálózatihely-kiszolgáló a távelérési kiszolgálón történő konfigurálásához szükséges.

  • Belső Windows-adatbázis: helyi nyilvántartásra szolgál a távelérési kiszolgálón.

Távelérés-kezelési eszközök szolgáltatás

A szolgáltatás telepítése az alábbiak szerint történhet:

  • Alapértelmezés szerint egy távelérési kiszolgálón a távelérési szerepkör telepítésekor. A Távoli felügyelet konzol felhasználói felületét és a Windows PowerShell-parancsmagokat támogatja.

  • Vagy a Távelérés kiszolgálói szerepkört nem futtató kiszolgálón. Ebben az esetben egy DirectAccess és VPN szolgáltatást futtató távelérési számítógép távoli felügyeletére használható.

A Távelérés-kezelési eszközök szolgáltatás az alábbiakat foglalja magában:

  • Távelérési grafikus felhasználói felület

  • Távelérési modul a Windows PowerShell szolgáltatáshoz

A függőségek például ezek lehetnek:

  • Csoportházirend kezelése konzol

  • RAS – csatlakozáskezelő felügyeleti csomag (CMAK)

  • Windows PowerShell 3.0

  • Grafikus felügyeleti eszközök és infrastruktúra

Hardverkövetelmények

A forgatókönyv hardverkövetelményei az alábbiak:

Kiszolgálókövetelmények 

  • A Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.

  • A kiszolgálónak legalább egy telepített, engedélyezett és a belső hálózathoz csatlakoztatott hálózati adapterrel kell rendelkeznie. Két adapter használata esetén ez egyik adaptert a belső vállalati hálózathoz, a másikat a külső hálózathoz (az internethez) kell csatlakoztatni.

  • Ha a Teredo szükséges IPv4–IPv6 átviteli protokollként, a kiszolgáló külső adaptere két egymást követő nyilvános IPv4-címet igényel. A DirectAccess engedélyezése varázsló nem engedélyezi a Teredót, még akkor sem, ha két egymást követő IP-cím is van. A Teredo engedélyezésével kapcsolatban tekintse meg a(z) DirectAccess-kiszolgáló központi telepítése speciális beállításokkal című témakört. Ha csak egyetlen IP-cím áll rendelkezésre, csak az IP-HTTPS használható átviteli protokollként.

  • Legalább egy tartományvezérlő. A távelérési kiszolgálónak és a DirectAccess-ügyfeleknek tartománytagoknak kell lenniük.

  • A DirectAccess engedélyezése varázsló tanúsítványokat igényel az IP-HTTPS protokollhoz és a hálózatihely-kiszolgálóhoz. Ha az SSTP VPN már használ valamilyen tanúsítványt, az IP-HTTPS esetén ugyanazt fogja használni a rendszer. Ha az SSTP VPN nincs konfigurálva, konfigurálhat egy tanúsítványt az IP-HTTPS számára, vagy használhat egy automatikusan létrehozott önaláírt tanúsítványt. A hálózatihely-kiszolgáló esetén konfigurálhat egy tanúsítványt, vagy használhat egy automatikusan létrehozott önaláírt tanúsítványt.

Ügyfélkövetelmények

  • Az ügyfélszámítógépeknek Windows 8 vagy a Windows 7 rendszert kell futtatniuk.

    Megjegyzés

    Kizárólag az alábbi operációs rendszerek használhatók DirectAccess-ügyfélként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

Infrastruktúra- és felügyeleti kiszolgálókra vonatkozó követelmények

  • A DirectAccess-ügyfélszámítógépek távoli felügyelete során az ügyfelek kommunikációt kezdeményeznek a kezelési kiszolgálókkal (például tartományvezérlőkkel, System Center Configuration-, és állapotjegyző (HRA-) kiszolgálókkal) olyan szolgáltatások esetén, amelyek Windows- és víruskereső-frissítéseket, valamint Hálózatvédelem (NAP) ügyfél-kompatibilitást foglalnak magukban. A szükséges kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.

  • Ha a távelérés NAP-kompatibilitást igényel, az NPS- és a HRA-kiszolgálót a távelérés központi telepítésének megkezdése előtt kell telepíteni.

  • Windows Server 2012, Windows Server 2008 R2 vagy Windows Server 2008 SP2 rendszerű DNS-kiszolgáló szükséges.

Szoftverkövetelmények

A forgatókönyv szoftverkövetelményei a következők:

Kiszolgálókövetelmények

  • A távelérési kiszolgálónak tartományi tagnak kell lennie. A kiszolgáló telepíthető a belső hálózat peremén, illetve tűzfal vagy egyéb eszköz mögött.

  • Ha a távelérési kiszolgáló egy peremhálózati tűzfal vagy NAT-eszköz mögött található, az eszközt úgy kell konfigurálni, hogy engedélyezze a távelérési kiszolgálótól érkező és az arra irányuló forgalmat.

  • A kiszolgálón a távelérés központi telepítését végző személynek a kiszolgálón helyi rendszergazdai engedélyekkel, valamint tartományi felhasználói engedélyekkel kell rendelkeznie. A rendszergazdának emellett engedélyekkel kell rendelkeznie a DirectAccess-telepítésben használt csoportházirend-objektumokhoz is. A DirectAccess telepítését a hordozható számítógépekre korlátozó szolgáltatások előnyeinek kihasználásához WMI-szűrő a tartományvezérlőn való létrehozására vonatkozó engedélyek szükségesek.

Távelérési ügyfelekre vonatkozó követelmények

  • A DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok tartozhatnak a távelérési kiszolgálóval megegyező erdőbe, vagy rendelkezhetnek kétirányú megbízhatósági kapcsolattal a távelérési kiszolgáló erdejével vagy tartományával.

  • Egy Active Directory biztonsági csoport szükséges, amely a DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmazza. Ha a DirectAccess-ügyfelek beállításainak konfigurálásakor nincs biztonsági csoport megadva, a rendszer alapértelmezés szerint az ügyfél csoportházirend-objektumát alkalmazza a Tartományi számítógépek biztonsági csoportban található összes hordozható számítógépre (amelyek DirectAccess-kompatibilisek). Kizárólag az alábbi operációs rendszerek használhatók DirectAccess-ügyfélként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

    Megjegyzés

    Ajánlott egy biztonsági csoport létrehozása minden olyan tartományhoz, amely DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmaz.

Lásd még:

Az alábbi táblázat további forrásokra mutató hivatkozásokat tartalmaz.

Tartalom típusa

Hivatkozások

Távelérés a TechNeten

Távelérés – TechCenter

Termékértékelés

A DirectAccess bemutatása hálózati terheléselosztással rendelkező fürtben

Többhelyes DirectAccess-konfiguráció bemutatása

Többhelyes DirectAccess-konfiguráció bemutatása

Telepítés

Távelérés

Eszközök és beállítások

Távelérési PowerShell-parancsmagok 

Közösségi források

Kapcsolódó technológiák

Az IPv6 működése