Eén DirectAccess-server implementeren met geavanceerde instellingen
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
Dit onderwerp bevat een inleiding tot het DirectAccess-scenario dat één DirectAccess-server gebruikt en stelt u in staat om DirectAccess te implementeren met geavanceerde instellingen.
U kunt ook Basic DirectAccess en DirectAccess implementeren voor Enterprise-omgevingen. Zie Paden voor DirectAccess-implementatie in WindowsServer voor informatie over alternatieve implementatiepaden.
Zie Eén DirectAccess-Server implementeren met de wizard Aan de slag als u een eenvoudige implementatie wilt configureren met alleen eenvoudige instellingen. DirectAccess wordt in het eenvoudige scenario met standaardinstellingen geconfigureerd met behulp van een wizard, zonder dat u de instellingen van de infrastructuur zoals een certificeringsinstantie (CA) of Active Directory-beveiligingsgroepen hoeft te configureren.
Als u DirectAccess wilt configureren met Enterprise-netwerkfuncties, zoals een cluster met taakverdeling, implementatie op meerdere locaties of tweeledige clientauthenticatie, kunt u het scenario dat wordt beschreven in dit onderwerp voor het configureren van één server voltooien en vervolgens het Enterprise-scenario implementeren, zoals beschreven in Implementeer externe toegang in een onderneming.
Belangrijk
Als u DirectAccess wilt implementeren aan de hand van deze gids, moet u een DirectAccess-server gebruiken waarop Windows Server® 2012 R2 of Windows Server® 2012 wordt uitgevoerd.
In dit scenario
Als u één DirectAccess-server met geavanceerde instellingen wilt instellen, moet u verschillende stappen voor planning en implementatie uitvoeren.
Vereisten
Voordat u begint, kunt u de volgende vereisten bekijken.
Windows Firewall moet zijn ingeschakeld op alle profielen.
De DirectAccess-server is de netwerklocatieserver.
U wilt dat alle draadloze computers in het domein waar u de DirectAccess-server installeert DirectAccess hebben ingeschakeld. Wanneer u DirectAccess implementeert, wordt het automatisch ingeschakeld op alle mobiele computers in het huidige domein.
Belangrijk
Sommige technologieën en configuraties worden niet ondersteund wanneer u DirectAccess implementeert.
-
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u dit verwijderen en systeemeigen IPv6 gebruiken.
Planningstappen
De planning bestaat uit twee fasen:
De DirectAccess-infrastructuur plannen. In deze fase wordt beschreven hoe u de netwerkinfrastructuur moet instellen voordat u begint met de DirectAccess-implementatie. Deze fase omvat het plannen van de netwerk- en servertopologie, certificaatplanning, configuratie van DNS, Active Directory en Groepsbeleidsobject (GPO) en de DirectAccess-netwerklocatieserver.
De DirectAccess-implementatie plannen. In deze fase worden de planningstappen beschreven die nodig zijn om de DirectAccess-implementatie voor te bereiden. Deze fase omvat het plannen van DirectAccess-clientcomputers, server- en clientauthenticatievereisten, VPN-instellingen, infrastructuurservers en beheer- en toepassingsservers.
Zie Een geavanceerde DirectAccess-implementatie plannen voor gedetailleerde planningstappen.
Implementatiestappen
De implementatie is onderverdeeld in drie fasen:
De DirectAccess-infrastructuur configureren. In deze fase configureert u netwerk en routering, indien nodig de firewall-instellingen, certificaten, DNS-servers, Active Directory- en GPO-instellingen en de DirectAccess-netwerklocatieserver.
DirectAccess-serverinstellingen configureren. In deze fase configureert u clientcomputers voor DirectAccess, de DirectAccess-server, infrastructuurservers en beheer- en toepassingsservers.
De implementatie verifiëren. Deze fase bevat stappen om de DirectAccess-implementatie te controleren.
Zie Geavanceerde DirectAccess installeren en configureren voor gedetailleerde implementatiestappen.
Praktische toepassingen
Implementatie van één DirectAccess-server biedt het volgende:
Gemakkelijke toegang. Beheerde clientcomputers met Windows® 8.1, Windows® 8 of Windows® 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben via DirectAccess toegang tot interne netwerkbronnen op elk moment dat ze zijn verbonden met internet, zonder zich te hoeven aanmelden bij een VPN-verbinding. Clientcomputers zonder een van deze besturingssystemen kunnen verbinding maken met het interne netwerk via een VPN.
Gemakkelijk beheer. DirectAccess-clientcomputers die met internet zijn verbonden, kunnen via DirectAccess extern worden beheerd door externe-toegangbeheerders, ook als de clientcomputers zich niet in het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards. Bovendien kunnen een of meer DirectAccess-servers worden beheerd vanaf één beheerconsole voor externe toegang
Rollen en functies die vereist zijn voor dit scenario
In de volgende tabel worden de rollen en functies vermeld die voor dit scenario zijn vereist:
Rol/functie |
Ondersteuning voor dit scenario |
---|---|
RAS-functie |
De rol wordt geïnstalleerd en verwijderd met gebruik van de Serverbeheerconsole of Windows PowerShell. Deze rol omvat zowel DirectAccess als Routing and Remote Access Services (RRAS). De rol Externe toegang bestaat uit twee onderdelen:
De serverrol voor externe toegang is afhankelijk van de volgende serverrollen/-functies:
|
De functie Programma's voor beheer van externe toegang |
Deze functie wordt als volgt geïnstalleerd:
De functie Programma's voor beheer van externe toegang bestaat uit:
Afhankelijkheden zijn:
|
Hardwarevereisten
Hardwarevereisten voor dit scenario zijn:
Vereisten voor server:
Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.
De server moet ten minste één netwerkadapter hebben die is geïnstalleerd, ingeschakeld en verbonden met het interne netwerk. Wanneer twee adapters worden gebruikt, moet de ene adapter zijn verbonden met het interne bedrijfsnetwerk en moet de andere adapter zijn verbonden met het externe netwerk (internet of particulier netwerk).
Als Teredo is vereist als een IPv4- naar IPv6-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. Als er slechts één IP-adres beschikbaar is, kan alleen IP-HTTPS worden gebruikt als overgangsprotocol.
Ten minste één domeincontroller. De DirectAccess-server en de DirectAccess-clients moeten domeinleden zijn.
Een certificeringsinstantie (CA) is vereist als u geen zelfondertekende certificaten voor IP-HTTPS- of de netwerklocatieserver wilt gebruiken of als u clientcertificaten voor IPsec-clientauthenticatie wilt gebruiken. U kunt ook certificaten aanvragen bij een openbare CA.
Als de netwerklocatieserver zich niet op de DirectAccess-server bevindt, is een aparte webserver vereist om deze uit te voeren.
Vereisten voor de client:
Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.
Notitie
Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.
Vereisten voor serverinfrastructuur en -beheer:
Tijdens het externe beheer van DirectAccess-clientcomputers starten clients communicatie met beheerservers zoals domeincontrollers, System Center Configuration Servers en servers met statusregistratieautoriteit (HRA) voor onder meer services als Windows- en antivirusprogramma-updates en clientcompatibiliteit voor Beveiliging van netwerktoegang (NAP). De vereiste servers moeten worden geïmplementeerd voordat u begint met de implementatie van Externe toegang.
Als Externe toegang NAP-clientcompatibiliteit vereist, moeten NPS- en HRS-servers worden geïmplementeerd voordat u begint met de implementatie van Externe toegang
Als VPN is ingeschakeld, is een DHCP-server vereist voor het automatisch toewijzen van IP-adressen aan VPN-clients, als er geen statische adresgroep wordt gebruikt.
Softwarevereisten
Er zijn een aantal vereisten voor dit scenario:
Vereisten voor de server:
De DirectAccess-server moet een domeinlid zijn. De server kan worden geïmplementeerd aan de rand van het interne netwerk, of achter een edge-firewall of ander apparaat.
Als de DirectAccess-server zich achter een randfirewall of een NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer toe te staan van en naar de DirectAccess-server.
De persoon die externe toegang op de server implementeert, heeft lokale administratormachtigingen op de server en domeingebruikersmachtigingen nodig. Bovendien heeft de beheerder machtigingen nodig voor de groepsbeleidsobjecten die worden gebruikt in de DirectAccess-implementatie. Om te profiteren van de functies die DirectAccess-implementatie tot alleen draagbare computers beperken, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.
Vereisten voor RAS-client:
DirectAccess-clients moeten leden zijn van een domein. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de DirectAccess-server, of een tweerichtingsvertrouwensrelatie hebben met het DirectAccess-serverforest of -domein.
Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als er geen beveiligingsgroep wordt opgegeven bij het configureren van de instellingen voor de DirectAccess-client, wordt standaard het client-groepsbeleidsobject toegepast op alle laptopcomputers in de beveiligingsgroep Domeincomputers. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise en Windows 7 Ultimate.
Notitie
Het wordt aanbevolen om een beveiligingsgroep voor elk domein met DirectAccess-clientcomputers te maken.
Belangrijk
Als u Teredo hebt ingeschakeld in de DirectAccess-implementatie en u wilt toegang bieden tot Windows 7 clients, zorgt u ervoor dat de clients worden bijgewerkt naar Windows 7 met SP1. Clients die gebruikmaken van Windows 7 RTM kunnen geen verbinding maken via Teredo. Deze clients kunnen echter nog steeds via IP-HTTPS verbinding maken met het bedrijfsnetwerk.
Zie ook
De volgende tabel bevat koppelingen naar aanvullende bronnen.
Inhoudstype |
Verwijzingen |
---|---|
Remote Access op TechNet |
|
Productevaluatie |
Testlabhandleiding: DirectAccess demonstreren in een cluster met Windows NLB Testlab Guide: Demonstreren een Multisite DirectAccess-implementatie Testlab Guide: Demonstreren DirectAccess met OTP-verificatie en RSA SecurID |
Implementatie |
Paden voor DirectAccess-implementatie in WindowsServer Eén DirectAccess-Server implementeren met de wizard Aan de slag |
Hulpprogramma's en instellingen |
|
Communitybronnen. |
|
Verwante technologieën |