DirectAccess toevoegen aan een bestaande RAS-implementatie (VPN)
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
Opmerking: Windows Server 2012 combineert DirectAccess en RRAS (Routing and Remote Access Service) tot één functie voor externe toegang.
In dit onderwerp krijgt u een inleiding in de wizard Remote Access Enable DirectAccess, die u gebruikt om één RAS-server te configureren met de aanbevolen instellingen nadat u al een VPN (virtueel particulier netwerk) hebt gemaakt.
Documentatieset voor de implementatie van Windows Server 2012 Remote Access (DirectAccess)
Hierna volgt een lijst met onderwerpen die u kunt gebruiken om Remote Access te implementeren met drie hoofdpaden:
Eenvoudig
Geavanceerd
Zakelijk
Onderwerpen die verwant zijn aan het beheer en de migratie van Remote Access, en die beschikbaar zijn voor deze versie, worden ook vermeld.
Voordat u uw implementatie begint, raadpleegt u de volgende lijst met niet-ondersteunde configuraties, bekende problemen en vereisten:
Eenvoudige implementatie van Remote Access
Implementatie van geavanceerde Remote Access
Remote Access in een onderneming implementeren
Meerdere RAS-Servers implementeren in een meerdere locaties-implementatie
Externe toegang implementeren in een omgeving met meerdere forests
Remote Access beheren
Remote Access migreren
Scenariobeschrijving
In dit scenario wordt één computer met Windows Server 2012 als RAS-server geconfigureerd met de aanbevolen instellingen nadat u al een VPN hebt geïnstalleerd en geconfigureerd. Als u Externe toegang wilt configureren met bedrijfsfuncties zoals een cluster met taakverdeling, een implementatie met meerdere sites of tweeledige clientauthenticatie, voert u het scenario uit dat in dit onderwerp wordt beschreven om één server te configureren en configureert u vervolgens het bedrijfsscenario zoals beschreven in Implementeer externe toegang in een onderneming.
In dit scenario
Als u één RAS-server wilt configureren, is een aantal planning- en implementatiestappen nodig.
Planningstappen
De planning wordt in twee fasen onderverdeeld.
De RAS-infrastructuur plannen
In deze fase beschrijft u de planning die nodig is om de netwerkinfrastructuur te configureren voordat u de RAS-implementatie start. De fase omvat planning voor de netwerk- en servertopologie, certificaten, DNS (Domain Name System), configuratie van Active Directory en GPO (Group Policy Object), en de DirectAccess-netwerklocatieserver.
De RAS-implementatie plannen
In deze fase beschrijft u de planningstappen die nodig zijn om de RAS-implementatie voor te bereiden. Het gaat hierbij om planning voor RAS-clientcomputers, server- en clientverificatievereisten, en infrastructuurservers.
Implementatiestappen
De implementatie is onderverdeeld in drie fasen:
De RAS-infrastructuur configureren
In deze fase configureert u het netwerk en de routering, de firewallinstellingen (indien nodig), certificaten, DNS-servers, instellingen voor Active Directory en GPO, en de DirectAccess-netwerklocatieserver.
Instellingen voor RAS-server configureren
In deze fase configureert u de RAS-clientcomputers, de RAS-server en de infrastructuurservers.
De implementatie controleren
In deze fase controleert u of de implementatie werkt zoals vereist.
Praktische toepassingen
Implementatie van één RAS-server biedt de volgende voordelen:
Betere toegankelijkheid
Beheerde clientcomputers met Windows 8 en Windows 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben toegang tot interne netwerkresources via DirectAccess wanneer ze zich op internet bevinden, zonder dat aanmelding bij een VPN-verbinding nodig is. Clientcomputers die niet op een van deze besturingssystemen worden uitgevoerd, kunnen via een VPN verbinding maken met het interne netwerk. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards.
Eenvoudiger beheer
DirectAccess-clientcomputers die toegang tot internet hebben, kunnen op afstand worden beheerd door RAS-beheerders met behulp van DirectAccess, zelfs wanneer de clientcomputers zich niet op het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan de vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers.
Rollen en functies die vereist zijn voor dit scenario
In de volgende tabel worden de rollen en functies vermeld die voor dit scenario zijn vereist:
Rol/functie |
Ondersteuning voor dit scenario |
---|---|
Functie Externe toegang |
De rol wordt geïnstalleerd en verwijderd met behulp van de Server Manager-console of Windows PowerShell. Deze rol omvat DirectAccess, een vroegere functie van Windows Server 2008 R2, en Routering en RAS, een vroegere rolservice onder de serverrol Services voor netwerkbeleid en -toegang. De rol Externe toegang bestaat uit twee onderdelen:
De Remote Access Server-rol is afhankelijk van de volgende serverfuncties:
|
De functie Programma's voor beheer van externe toegang |
Deze functie wordt als volgt geïnstalleerd:
De functie Programma's voor beheer van externe toegang bestaat uit:
Afhankelijkheden zijn:
|
Hardwarevereisten
De hardwarevereisten voor dit scenario zijn als volgt:
Serververeisten
Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.
Voor de server moet ten minste één netwerkadapter zijn geïnstalleerd, ingeschakeld en toegevoegd aan het interne netwerk. Wanneer twee adapters worden gebruikt, is de ene adapter verbonden met het interne bedrijfsnetwerk en de andere met het externe netwerk (internet).
Als Teredo is vereist als een IPv4- naar IPv6-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. De wizard DirectAccess inschakelen schakelt Teredo niet in, zelfs als er twee opeenvolgende IP-adressen aanwezig zijn. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor het inschakelen van Teredo. Als er één IP-adres beschikbaar is, kan alleen IP-HTTPS worden gebruikt als het overgangsprotocol.
Ten minste één domeincontroller. De RAS-server en de DirectAccess-clients moeten domeinleden zijn.
De wizard DirectAccess inschakelen vereist certificaten voor IP-HTTPS en de netwerklocatieserver. Als de SSTP VPN al een certificaat gebruikt, wordt dit opnieuw gebruikt voor IP-HTTPS. Als de SSTP VPN niet is geconfigureerd, kunt u een certificaat voor IP-HTTPS configureren of een automatisch gemaakt zelfondertekend certificaat gebruiken. Voor de netwerklocatieserver kunt u een certificaat configureren of een automatisch gemaakt zelfondertekend certificaat gebruiken.
Clientvereisten
Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.
Notitie
Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.
Vereisten voor infrastructuur- en beheerserver
Tijdens het externe beheer van DirectAccess-clientcomputers initiëren clients de communicatie met beheerservers, zoals domeincontrollers, System Center-configuratieservers en HRA-servers (Health Registration Authority) voor services met Windows en antivirusupdates en NAP-clientnaleving (Network Access Protection). De vereiste servers moeten worden geïmplementeerd voordat u Remote Access implementeert.
Als voor Remote Access NAP-clientnaleving is vereist, moeten NPS (Network Policy Server) en HRA worden geïmplementeerd voordat u Remote Access implementeert.
Er is een DNS-server vereist waarop Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008 met SP2 wordt uitgevoerd.
Softwarevereisten
De softwarevereisten voor dit scenario zijn als volgt:
Serververeisten
De RAS-server moet lid van een domein zijn. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een edge-firewall of ander apparaat.
Als de RAS-server zich achter een edge-firewall of NAT-apparaat (Network Address Translation) bevindt, moet het apparaat worden geconfigureerd om verkeer van en naar de RAS-server toe te staan.
De persoon die externe toegang op de server implementeert, heeft lokale beheerdersbevoegdheden op de server en domeingebruikersmachtigingen nodig. Daarnaast heeft de beheerder machtigingen nodig voor de GPO's die in de DirectAccess-implementatie worden gebruikt. Als u wilt profiteren van de functies die een DirectAccess-implementatie tot alleen mobiele computers beperken, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.
Remote Access-clientvereisten
DirectAccess-clients moet lid van een domein zijn. Domeinen die clients bevatten, kunnen deel uitmaken van hetzelfde forest als de RAS-server, of kunnen een tweerichtingvertrouwensrelatie hebben met het Remote Access-serverforest of domein.
Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als een beveiligingsgroep niet is opgegeven bij het configureren van instellingen voor DirectAccess-clients, wordt standaard het client-GPO toegepast op alle laptops (die in staat zijn tot DirectAccess) in de beveiligingsgroep Domeincomputers van het domein. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.
Notitie
Het is raadzaam om een beveiligingsgroep te maken voor elk domein dat computers bevat die worden geconfigureerd als DirectAccess-clients.
Zie ook
De volgende tabel bevat koppelingen naar aanvullende bronnen.
Inhoudstype |
Verwijzingen |
---|---|
Remote Access op TechNet |
|
Productevaluatie |
Demonstrate DirectAccess in a cluster with NLB (Engelstalig) Demonstrate a DirectAccess multisite deployment (Engelstalig) Demonstrate a DirectAccess multisite deployment (Engelstalig) |
Implementatie |
|
Hulpprogramma's en instellingen |
|
Communitybronnen. |
|
Verwante technologieën |