DirectAccess toevoegen aan een bestaande RAS-implementatie (VPN)

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Opmerking: Windows Server 2012 combineert DirectAccess en RRAS (Routing and Remote Access Service) tot één functie voor externe toegang. 

In dit onderwerp krijgt u een inleiding in de wizard Remote Access Enable DirectAccess, die u gebruikt om één RAS-server te configureren met de aanbevolen instellingen nadat u al een VPN (virtueel particulier netwerk) hebt gemaakt.

Documentatieset voor de implementatie van Windows Server 2012 Remote Access (DirectAccess)

Hierna volgt een lijst met onderwerpen die u kunt gebruiken om Remote Access te implementeren met drie hoofdpaden:

  • Eenvoudig

  • Geavanceerd

  • Zakelijk

Onderwerpen die verwant zijn aan het beheer en de migratie van Remote Access, en die beschikbaar zijn voor deze versie, worden ook vermeld.

Voordat u uw implementatie begint, raadpleegt u de volgende lijst met niet-ondersteunde configuraties, bekende problemen en vereisten:

Eenvoudige implementatie van Remote Access

Implementatie van geavanceerde Remote Access

Remote Access in een onderneming implementeren

Remote Access beheren

Remote Access migreren

Scenariobeschrijving

In dit scenario wordt één computer met Windows Server 2012 als RAS-server geconfigureerd met de aanbevolen instellingen nadat u al een VPN hebt geïnstalleerd en geconfigureerd. Als u Externe toegang wilt configureren met bedrijfsfuncties zoals een cluster met taakverdeling, een implementatie met meerdere sites of tweeledige clientauthenticatie, voert u het scenario uit dat in dit onderwerp wordt beschreven om één server te configureren en configureert u vervolgens het bedrijfsscenario zoals beschreven in Implementeer externe toegang in een onderneming.

In dit scenario

Als u één RAS-server wilt configureren, is een aantal planning- en implementatiestappen nodig.

Planningstappen

De planning wordt in twee fasen onderverdeeld.

  1. De RAS-infrastructuur plannen

    In deze fase beschrijft u de planning die nodig is om de netwerkinfrastructuur te configureren voordat u de RAS-implementatie start. De fase omvat planning voor de netwerk- en servertopologie, certificaten, DNS (Domain Name System), configuratie van Active Directory en GPO (Group Policy Object), en de DirectAccess-netwerklocatieserver.

  2. De RAS-implementatie plannen

    In deze fase beschrijft u de planningstappen die nodig zijn om de RAS-implementatie voor te bereiden. Het gaat hierbij om planning voor RAS-clientcomputers, server- en clientverificatievereisten, en infrastructuurservers.

Implementatiestappen

De implementatie is onderverdeeld in drie fasen:

  1. De RAS-infrastructuur configureren

    In deze fase configureert u het netwerk en de routering, de firewallinstellingen (indien nodig), certificaten, DNS-servers, instellingen voor Active Directory en GPO, en de DirectAccess-netwerklocatieserver.

  2. Instellingen voor RAS-server configureren

    In deze fase configureert u de RAS-clientcomputers, de RAS-server en de infrastructuurservers.

  3. De implementatie controleren

    In deze fase controleert u of de implementatie werkt zoals vereist.

Praktische toepassingen

Implementatie van één RAS-server biedt de volgende voordelen:

  • Betere toegankelijkheid

    Beheerde clientcomputers met Windows 8 en Windows 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben toegang tot interne netwerkresources via DirectAccess wanneer ze zich op internet bevinden, zonder dat aanmelding bij een VPN-verbinding nodig is. Clientcomputers die niet op een van deze besturingssystemen worden uitgevoerd, kunnen via een VPN verbinding maken met het interne netwerk. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards.

  • Eenvoudiger beheer

    DirectAccess-clientcomputers die toegang tot internet hebben, kunnen op afstand worden beheerd door RAS-beheerders met behulp van DirectAccess, zelfs wanneer de clientcomputers zich niet op het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan de vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers.

Rollen en functies die vereist zijn voor dit scenario

In de volgende tabel worden de rollen en functies vermeld die voor dit scenario zijn vereist:

Rol/functie

Ondersteuning voor dit scenario

Functie Externe toegang

De rol wordt geïnstalleerd en verwijderd met behulp van de Server Manager-console of Windows PowerShell. Deze rol omvat DirectAccess, een vroegere functie van Windows Server 2008 R2, en Routering en RAS, een vroegere rolservice onder de serverrol Services voor netwerkbeleid en -toegang. De rol Externe toegang bestaat uit twee onderdelen:

  1. DirectAccess en de RRAS-VPN (Routing and Remote Access Services): wordt beheerd in de beheerconsole voor externe toegang.

  2. RRAS-routering: wordt beheerd in de console voor routering en RAS.

De Remote Access Server-rol is afhankelijk van de volgende serverfuncties:

  • IIS (Internet Information Services) Web Server: vereist voor de configuratie van de netwerklocatieserver op de RAS-server, en de standaard webcontrole.

  • Windows Interne Database: wordt gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

  • Standaard op een RAS-server wanneer de Remote Access-rol is geïnstalleerd. Ondersteunt de Remote Management-gebruikersinterface en Windows PowerShell-cmdlets.

  • Optioneel geïnstalleerd op een server waarop niet de RAS-serverrol wordt uitgevoerd. De functie wordt in dit geval gebruikt voor extern beheer van een Remote Access-computer waarop DirectAccess en VPN worden uitgevoerd.

De functie Programma's voor beheer van externe toegang bestaat uit:

  • Remote Access-gebruikersinterface

  • Remote Access-module voor Windows PowerShell

Afhankelijkheden zijn:

  • Console Groepsbeleidsbeheer

  • CMAK (Administration Kit voor Verbindingsbeheer) van RAS

  • Windows PowerShell 3.0

  • Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn als volgt:

Serververeisten 

  • Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.

  • Voor de server moet ten minste één netwerkadapter zijn geïnstalleerd, ingeschakeld en toegevoegd aan het interne netwerk. Wanneer twee adapters worden gebruikt, is de ene adapter verbonden met het interne bedrijfsnetwerk en de andere met het externe netwerk (internet).

  • Als Teredo is vereist als een IPv4- naar IPv6-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. De wizard DirectAccess inschakelen schakelt Teredo niet in, zelfs als er twee opeenvolgende IP-adressen aanwezig zijn. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor het inschakelen van Teredo. Als er één IP-adres beschikbaar is, kan alleen IP-HTTPS worden gebruikt als het overgangsprotocol.

  • Ten minste één domeincontroller. De RAS-server en de DirectAccess-clients moeten domeinleden zijn.

  • De wizard DirectAccess inschakelen vereist certificaten voor IP-HTTPS en de netwerklocatieserver. Als de SSTP VPN al een certificaat gebruikt, wordt dit opnieuw gebruikt voor IP-HTTPS. Als de SSTP VPN niet is geconfigureerd, kunt u een certificaat voor IP-HTTPS configureren of een automatisch gemaakt zelfondertekend certificaat gebruiken. Voor de netwerklocatieserver kunt u een certificaat configureren of een automatisch gemaakt zelfondertekend certificaat gebruiken.

Clientvereisten

  • Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.

    Notitie

    Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.

Vereisten voor infrastructuur- en beheerserver

  • Tijdens het externe beheer van DirectAccess-clientcomputers initiëren clients de communicatie met beheerservers, zoals domeincontrollers, System Center-configuratieservers en HRA-servers (Health Registration Authority) voor services met Windows en antivirusupdates en NAP-clientnaleving (Network Access Protection). De vereiste servers moeten worden geïmplementeerd voordat u Remote Access implementeert.

  • Als voor Remote Access NAP-clientnaleving is vereist, moeten NPS (Network Policy Server) en HRA worden geïmplementeerd voordat u Remote Access implementeert.

  • Er is een DNS-server vereist waarop Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008 met SP2 wordt uitgevoerd.

Softwarevereisten

De softwarevereisten voor dit scenario zijn als volgt:

Serververeisten

  • De RAS-server moet lid van een domein zijn. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een edge-firewall of ander apparaat.

  • Als de RAS-server zich achter een edge-firewall of NAT-apparaat (Network Address Translation) bevindt, moet het apparaat worden geconfigureerd om verkeer van en naar de RAS-server toe te staan.

  • De persoon die externe toegang op de server implementeert, heeft lokale beheerdersbevoegdheden op de server en domeingebruikersmachtigingen nodig. Daarnaast heeft de beheerder machtigingen nodig voor de GPO's die in de DirectAccess-implementatie worden gebruikt. Als u wilt profiteren van de functies die een DirectAccess-implementatie tot alleen mobiele computers beperken, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.

Remote Access-clientvereisten

  • DirectAccess-clients moet lid van een domein zijn. Domeinen die clients bevatten, kunnen deel uitmaken van hetzelfde forest als de RAS-server, of kunnen een tweerichtingvertrouwensrelatie hebben met het Remote Access-serverforest of domein.

  • Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als een beveiligingsgroep niet is opgegeven bij het configureren van instellingen voor DirectAccess-clients, wordt standaard het client-GPO toegepast op alle laptops (die in staat zijn tot DirectAccess) in de beveiligingsgroep Domeincomputers van het domein. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.

    Notitie

    Het is raadzaam om een beveiligingsgroep te maken voor elk domein dat computers bevat die worden geconfigureerd als DirectAccess-clients.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype

Verwijzingen

Remote Access op TechNet

Remote Access TechCenter (Engelstalig)

Productevaluatie

Demonstrate DirectAccess in a cluster with NLB (Engelstalig)

Demonstrate a DirectAccess multisite deployment (Engelstalig)

Demonstrate a DirectAccess multisite deployment (Engelstalig)

Implementatie

Externe toegang

Hulpprogramma's en instellingen

PowerShell-cmdlets voor externe toegang 

Communitybronnen.

Verwante technologieën

How IPv6 works (Engelstalig)