Eén DirectAccess-server implementeren met geavanceerde instellingen

Artikel
08/03/2016

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Dit onderwerp bevat een inleiding tot het DirectAccess-scenario dat één DirectAccess-server gebruikt en stelt u in staat om DirectAccess te implementeren met geavanceerde instellingen.

U kunt ook Basic DirectAccess en DirectAccess implementeren voor Enterprise-omgevingen. Zie Paden voor DirectAccess-implementatie in WindowsServer voor informatie over alternatieve implementatiepaden.

Zie Eén DirectAccess-Server implementeren met de wizard Aan de slag als u een eenvoudige implementatie wilt configureren met alleen eenvoudige instellingen. DirectAccess wordt in het eenvoudige scenario met standaardinstellingen geconfigureerd met behulp van een wizard, zonder dat u de instellingen van de infrastructuur zoals een certificeringsinstantie (CA) of Active Directory-beveiligingsgroepen hoeft te configureren.
Als u DirectAccess wilt configureren met Enterprise-netwerkfuncties, zoals een cluster met taakverdeling, implementatie op meerdere locaties of tweeledige clientauthenticatie, kunt u het scenario dat wordt beschreven in dit onderwerp voor het configureren van één server voltooien en vervolgens het Enterprise-scenario implementeren, zoals beschreven in Implementeer externe toegang in een onderneming.

Belangrijk

Als u DirectAccess wilt implementeren aan de hand van deze gids, moet u een DirectAccess-server gebruiken waarop Windows Server® 2012 R2 of Windows Server® 2012 wordt uitgevoerd.

In dit scenario

Als u één DirectAccess-server met geavanceerde instellingen wilt instellen, moet u verschillende stappen voor planning en implementatie uitvoeren.

Vereisten

Voordat u begint, kunt u de volgende vereisten bekijken.

Windows Firewall moet zijn ingeschakeld op alle profielen.
De DirectAccess-server is de netwerklocatieserver.
U wilt dat alle draadloze computers in het domein waar u de DirectAccess-server installeert DirectAccess hebben ingeschakeld. Wanneer u DirectAccess implementeert, wordt het automatisch ingeschakeld op alle mobiele computers in het huidige domein.

Belangrijk

Sommige technologieën en configuraties worden niet ondersteund wanneer u DirectAccess implementeert.

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u dit verwijderen en systeemeigen IPv6 gebruiken.

Planningstappen

De planning bestaat uit twee fasen:

De DirectAccess-infrastructuur plannen. In deze fase wordt beschreven hoe u de netwerkinfrastructuur moet instellen voordat u begint met de DirectAccess-implementatie. Deze fase omvat het plannen van de netwerk- en servertopologie, certificaatplanning, configuratie van DNS, Active Directory en Groepsbeleidsobject (GPO) en de DirectAccess-netwerklocatieserver.
De DirectAccess-implementatie plannen. In deze fase worden de planningstappen beschreven die nodig zijn om de DirectAccess-implementatie voor te bereiden. Deze fase omvat het plannen van DirectAccess-clientcomputers, server- en clientauthenticatievereisten, VPN-instellingen, infrastructuurservers en beheer- en toepassingsservers.

Zie Een geavanceerde DirectAccess-implementatie plannen voor gedetailleerde planningstappen.

Implementatiestappen

De implementatie is onderverdeeld in drie fasen:

De DirectAccess-infrastructuur configureren. In deze fase configureert u netwerk en routering, indien nodig de firewall-instellingen, certificaten, DNS-servers, Active Directory- en GPO-instellingen en de DirectAccess-netwerklocatieserver.
DirectAccess-serverinstellingen configureren. In deze fase configureert u clientcomputers voor DirectAccess, de DirectAccess-server, infrastructuurservers en beheer- en toepassingsservers.
De implementatie verifiëren. Deze fase bevat stappen om de DirectAccess-implementatie te controleren.

Zie Geavanceerde DirectAccess installeren en configureren voor gedetailleerde implementatiestappen.

Praktische toepassingen

Implementatie van één DirectAccess-server biedt het volgende:

Gemakkelijke toegang. Beheerde clientcomputers met Windows® 8.1, Windows® 8 of Windows® 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben via DirectAccess toegang tot interne netwerkbronnen op elk moment dat ze zijn verbonden met internet, zonder zich te hoeven aanmelden bij een VPN-verbinding. Clientcomputers zonder een van deze besturingssystemen kunnen verbinding maken met het interne netwerk via een VPN.
Gemakkelijk beheer. DirectAccess-clientcomputers die met internet zijn verbonden, kunnen via DirectAccess extern worden beheerd door externe-toegangbeheerders, ook als de clientcomputers zich niet in het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards. Bovendien kunnen een of meer DirectAccess-servers worden beheerd vanaf één beheerconsole voor externe toegang

Rollen en functies die vereist zijn voor dit scenario

In de volgende tabel worden de rollen en functies vermeld die voor dit scenario zijn vereist:

Rol/functie	Ondersteuning voor dit scenario
RAS-functie	De rol wordt geïnstalleerd en verwijderd met gebruik van de Serverbeheerconsole of Windows PowerShell. Deze rol omvat zowel DirectAccess als Routing and Remote Access Services (RRAS). De rol Externe toegang bestaat uit twee onderdelen: DirectAccess en RRAS VPN: DirectAccess en VPN worden samen beheerd in de beheerconsole voor externe toegang. RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS. De serverrol voor externe toegang is afhankelijk van de volgende serverrollen/-functies: Internet Information Services (IIS)-webserver: deze functie is vereist om de netwerklocatieserver te configureren op de DirectAccess-server en de standaard webcontrole. Windows Internal Database: gebruikt voor lokale accounting op de DirectAccess-server.
De functie Programma's voor beheer van externe toegang	Deze functie wordt als volgt geïnstalleerd: Deze is standaard geïnstalleerd op een DirectAccess-server wanneer de functie Externe toegang is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface voor de console Extern beheer en de Windows PowerShell-cmdlets. Deze kan eventueel worden geïnstalleerd op een server zonder de functie van de DirectAccess-server. In dit geval wordt de functie gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN. De functie Programma's voor beheer van externe toegang bestaat uit: Externe toegang grafische gebruikersinterface (GUI) RAS-module voor Windows PowerShell Afhankelijkheden zijn: Console Groepsbeleidsbeheer CMAK (Administration Kit voor Verbindingsbeheer) van RAS Windows PowerShell 3.0 Grafische beheerprogramma's en infrastructuur

RAS-functie

De rol wordt geïnstalleerd en verwijderd met gebruik van de Serverbeheerconsole of Windows PowerShell. Deze rol omvat zowel DirectAccess als Routing and Remote Access Services (RRAS). De rol Externe toegang bestaat uit twee onderdelen:

DirectAccess en RRAS VPN: DirectAccess en VPN worden samen beheerd in de beheerconsole voor externe toegang.
RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS.

De serverrol voor externe toegang is afhankelijk van de volgende serverrollen/-functies:

Internet Information Services (IIS)-webserver: deze functie is vereist om de netwerklocatieserver te configureren op de DirectAccess-server en de standaard webcontrole.
Windows Internal Database: gebruikt voor lokale accounting op de DirectAccess-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

Deze is standaard geïnstalleerd op een DirectAccess-server wanneer de functie Externe toegang is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface voor de console Extern beheer en de Windows PowerShell-cmdlets.
Deze kan eventueel worden geïnstalleerd op een server zonder de functie van de DirectAccess-server. In dit geval wordt de functie gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma's voor beheer van externe toegang bestaat uit:

Externe toegang grafische gebruikersinterface (GUI)
RAS-module voor Windows PowerShell

Afhankelijkheden zijn:

Console Groepsbeleidsbeheer
CMAK (Administration Kit voor Verbindingsbeheer) van RAS
Windows PowerShell 3.0
Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

Hardwarevereisten voor dit scenario zijn:

Vereisten voor server:
- Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.
- De server moet ten minste één netwerkadapter hebben die is geïnstalleerd, ingeschakeld en verbonden met het interne netwerk. Wanneer twee adapters worden gebruikt, moet de ene adapter zijn verbonden met het interne bedrijfsnetwerk en moet de andere adapter zijn verbonden met het externe netwerk (internet of particulier netwerk).
- Als Teredo is vereist als een IPv4- naar IPv6-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. Als er slechts één IP-adres beschikbaar is, kan alleen IP-HTTPS worden gebruikt als overgangsprotocol.
- Ten minste één domeincontroller. De DirectAccess-server en de DirectAccess-clients moeten domeinleden zijn.
- Een certificeringsinstantie (CA) is vereist als u geen zelfondertekende certificaten voor IP-HTTPS- of de netwerklocatieserver wilt gebruiken of als u clientcertificaten voor IPsec-clientauthenticatie wilt gebruiken. U kunt ook certificaten aanvragen bij een openbare CA.
- Als de netwerklocatieserver zich niet op de DirectAccess-server bevindt, is een aparte webserver vereist om deze uit te voeren.
Vereisten voor de client:
- Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.
  
  Notitie
  
  Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.
Vereisten voor serverinfrastructuur en -beheer:
- Tijdens het externe beheer van DirectAccess-clientcomputers starten clients communicatie met beheerservers zoals domeincontrollers, System Center Configuration Servers en servers met statusregistratieautoriteit (HRA) voor onder meer services als Windows- en antivirusprogramma-updates en clientcompatibiliteit voor Beveiliging van netwerktoegang (NAP). De vereiste servers moeten worden geïmplementeerd voordat u begint met de implementatie van Externe toegang.
- Als Externe toegang NAP-clientcompatibiliteit vereist, moeten NPS- en HRS-servers worden geïmplementeerd voordat u begint met de implementatie van Externe toegang
- Als VPN is ingeschakeld, is een DHCP-server vereist voor het automatisch toewijzen van IP-adressen aan VPN-clients, als er geen statische adresgroep wordt gebruikt.

Softwarevereisten

Er zijn een aantal vereisten voor dit scenario:

Vereisten voor de server:
- De DirectAccess-server moet een domeinlid zijn. De server kan worden geïmplementeerd aan de rand van het interne netwerk, of achter een edge-firewall of ander apparaat.
- Als de DirectAccess-server zich achter een randfirewall of een NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer toe te staan van en naar de DirectAccess-server.
- De persoon die externe toegang op de server implementeert, heeft lokale administratormachtigingen op de server en domeingebruikersmachtigingen nodig. Bovendien heeft de beheerder machtigingen nodig voor de groepsbeleidsobjecten die worden gebruikt in de DirectAccess-implementatie. Om te profiteren van de functies die DirectAccess-implementatie tot alleen draagbare computers beperken, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.
Vereisten voor RAS-client:
- DirectAccess-clients moeten leden zijn van een domein. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de DirectAccess-server, of een tweerichtingsvertrouwensrelatie hebben met het DirectAccess-serverforest of -domein.
- Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als er geen beveiligingsgroep wordt opgegeven bij het configureren van de instellingen voor de DirectAccess-client, wordt standaard het client-groepsbeleidsobject toegepast op alle laptopcomputers in de beveiligingsgroep Domeincomputers. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise en Windows 7 Ultimate.
  
  Notitie
  
  Het wordt aanbevolen om een beveiligingsgroep voor elk domein met DirectAccess-clientcomputers te maken.
  
  Belangrijk
  
  Als u Teredo hebt ingeschakeld in de DirectAccess-implementatie en u wilt toegang bieden tot Windows 7 clients, zorgt u ervoor dat de clients worden bijgewerkt naar Windows 7 met SP1. Clients die gebruikmaken van Windows 7 RTM kunnen geen verbinding maken via Teredo. Deze clients kunnen echter nog steeds via IP-HTTPS verbinding maken met het bedrijfsnetwerk.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype	Verwijzingen
Remote Access op TechNet	Remote Access TechCenter (Engelstalig)
Productevaluatie	Testlabhandleiding: DirectAccess demonstreren in een cluster met Windows NLB Testlab Guide: Demonstreren een Multisite DirectAccess-implementatie Testlab Guide: Demonstreren DirectAccess met OTP-verificatie en RSA SecurID
Implementatie	Paden voor DirectAccess-implementatie in WindowsServer Eén DirectAccess-Server implementeren met de wizard Aan de slag Implementeer externe toegang in een onderneming
Hulpprogramma's en instellingen	PowerShell-cmdlets voor externe toegang
Communitybronnen.	DirectAccess Survival Guide (Engelstalig) DirectAccess Wiki-vermeldingen (Engelstalig)
Verwante technologieën	How IPv6 works (Engelstalig)