Eén DirectAccess-Server implementeren met de wizard Aan de slag

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Dit onderwerp bevat een inleiding tot het DirectAccess-scenario dat één DirectAccess-server gebruikt en stelt u in staat om DirectAccess te implementeren met enkele eenvoudige stappen.

Zie Paden voor DirectAccess-implementatie in WindowsServer voor informatie over alternatieve implementatiemethoden.

Belangrijk

Als u DirectAccess wilt implementeren aan de hand van deze gids, moet u een DirectAccess-server gebruiken waarop Windows Server® 2012 R2 of Windows Server® 2012 wordt uitgevoerd.

Raadpleeg voordat u met de implementatie begint de lijst met niet-ondersteunde configuraties, bekende problemen en vereisten

U kunt de volgende onderwerpen gebruiken om vereisten en andere informatie te bekijken voordat u DirectAccess met Windows Server® 2012 R2 en Windows Server® 2012 implementeert.

Scenariobeschrijving

In dit scenario wordt een computer met Windows Server 2012 R2 of Windows Server 2012 in een paar eenvoudige stappen geconfigureerd als DirectAccess-server.

  1. In het eenvoudige scenario wordt DirectAccess geconfigureerd met standaardinstellingen met behulp van een wizard. Hierbij hoeft u geen infrastructuurinstellingen zoals een certificeringsinstantie (CA) of Active Directory-beveiligingsgroepen te configureren.

  2. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen als u een geavanceerde implementatie met aangepaste instellingen wilt configureren

  3. Als u DirectAccess wilt configureren met bedrijfsfuncties zoals een cluster met taakverdeling, een implementatie met meerdere sites of tweeledige clientverificatie, voltooit u het scenario dat in dit onderwerp wordt beschreven om één server te configureren en configureert u vervolgens het vereiste bedrijfsscenario met Implementeer externe toegang in een onderneming.

In dit scenario

Als u één DirectAccess-server wilt configureren, moet u verschillende planning- en implementatiestappen uitvoeren.

Vereisten

Controleer voordat u aan dit implementatiescenario begint deze lijst met belangrijke vereisten:

  • Windows firewall moet zijn ingeschakeld op alle profielen
  • Dit scenario wordt alleen ondersteund als op de clientcomputers Windows® 8.1 en Windows® 8 worden uitgevoerd.
  • ISATAP in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u deze verwijderen en systeemeigen IPv6 gebruiken.
  • Een openbare-sleutelstructuur (Public Key Infrastructure, PKI) is niet vereist.
  • Niet ondersteund voor implementatie van tweeledige verificatie. Domeinreferenties zijn vereist voor verificatie.
  • Hiermee wordt DirectAccess automatisch geïmplementeerd op alle mobiele computers in het huidige domein.
  • Verkeer naar internet verloopt niet via de DirectAccess-tunnel. Configuratie van force tunneling wordt niet ondersteund.
  • De DirectAccess-server is de netwerklocatieserver.
  • Netwerktoegangsbeveiliging (NAP) wordt niet ondersteund.
  • Beleidswijzigingen buiten de DirectAccess-beheerconsole of met PowerShell-cmdlets worden niet ondersteund.

Planningstappen

De planning wordt in twee fasen onderverdeeld.

  1. De DirectAccess-infrastructuur plannen: in deze fase worden de planningstappen beschreven die nodig zijn om de netwerkinfrastructuur in te stellen voordat u begint met de DirectAccess-implementatie. Het omvat het plannen van de netwerk- en servertopologie en de DirectAccess-netwerklocatieserver.

  2. De DirectAccess-implementatie plannen: in deze fase worden de planningstappen beschreven die nodig zijn om de DirectAccess-implementatie voor te bereiden. Dit omvat het plannen van DirectAccess-clientcomputers, server- en clientauthenticatievereisten, VPN-instellingen, infrastructuurservers en beheer- en toepassingsservers.

Zie Een geavanceerde DirectAccess-implementatie plannen voor gedetailleerde planningstappen.

Implementatiestappen

De implementatie is onderverdeeld in drie fasen:

  1. De DirectAccess-infrastructuur configureren: deze fase bestaat uit het configureren van netwerk en routering, firewallinstellingen (indien nodig), certificaten, DNS-servers, Active Directory en groepsbeleidsobjectinstellingen en de DirectAccess-netwerklocatieserver.

  2. DirectAccess-serverinstellingen configureren: deze fase bestaat uit stappen voor het configureren van de DirectAccess-clientcomputers, de DirectAccess-server, infrastructuurservers, beheer- en toepassingsservers.

  3. Het verifiëren van de implementatie: deze fase bevat stappen om te controleren of de implementatie naar behoren functioneert.

Zie Eenvoudige DirectAccess installeren en configureren voor gedetailleerde implementatiestappen.

Praktische toepassingen

Implementatie van één RAS-server biedt de volgende voordelen:

  • Toegankelijkheid: u kunt beheerde clientcomputers met Windows 8.1, Windows 8 of Windows® 7 configureren als DirectAccess-clients. Deze clients hebben op elk gewenst moment toegang tot interne netwerkbronnen via DirectAccess wanneer ze zich op internet bevinden, zonder zich aan te hoeven melden bij een VPN-verbinding. Clientcomputers zonder een van deze besturingssystemen kunnen verbinding maken met het interne netwerk via traditionele VPN-verbindingen.

  • Eenvoudig beheer: DirectAccess-clientcomputers die met internet zijn verbonden, kunnen via DirectAccess extern worden beheerd door externe-toegangbeheerders, ook als de clientcomputers zich niet in het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan de vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards. Bovendien kunnen een of meer RAS-servers worden beheerd vanaf één beheerconsole voor externe toegang

Functies en onderdelen binnen dit scenario

In de volgende tabel ziet u de benodigde functies en onderdelen voor dit scenario:

Functie/onderdeel

Ondersteuning voor dit scenario

Functie Externe toegang

De functie kan worden geïnstalleerd en verwijderd met de console Serverbeheer of Windows PowerShell. Deze functie omvat zowel DirectAccess, voorheen een functie in Windows Server 2008 R2, en Routering en RAS, voorheen een functieservice onder de serverfunctie Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen:

  1. DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.

  2. RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS.

De serverfunctie Externe toegang is afhankelijk van de volgende serverfuncties/-onderdelen:

  • Internet Information Services (IIS)-webserver: dit onderdeel is vereist voor het configureren van de netwerklocatieserver op de RAS-server en de standaardwebtest.

  • Windows Internal Database: gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Dit onderdeel wordt als volgt geïnstalleerd:

  • Dit onderdeel wordt standaard geïnstalleerd op een RAS-server wanneer de functie Externe toegang is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface van de console Extern beheer en de Windows PowerShell-cmdlets.

  • Desgewenst kan dit onderdeel worden geïnstalleerd op een server zonder de serverfunctie Externe toegang. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma's voor beheer van externe toegang bestaat uit:

  • Remote Access-gebruikersinterface

  • Remote Access-module voor Windows PowerShell

Afhankelijkheden zijn:

  • Console Groepsbeleidsbeheer

  • CMAK (Administration Kit voor Verbindingsbeheer) van RAS

  • Windows PowerShell 3.0

  • Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn als volgt:

  • Vereisten voor de server:

    • Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012 R2 of Windows Server 2012.

    • De server moet ten minste één netwerkadapter hebben die is geïnstalleerd, ingeschakeld en verbonden met het interne netwerk. Wanneer twee adapters worden gebruikt, moet de ene adapter zijn verbonden met het interne bedrijfsnetwerk en de andere met het externe netwerk (internet of particulier netwerk).

    • Ten minste één domeincontroller. De RAS-server en de DirectAccess-clients moeten domeinleden zijn.

  • Vereisten voor de client:

    • Op een clientcomputer moet Windows 8.1 of Windows 8 worden uitgevoerd.

      Belangrijk

      Als op een of meer van de clientcomputers Windows 7 wordt uitgevoerd, gebruikt u de wizard Geavanceerde configuratie. Clientcomputers waarop Windows 7 wordt uitgevoerd, worden niet ondersteund in de installatiewizard Aan de slag die in dit document wordt beschreven. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor instructies voor het gebruik van Windows 7-clients met DirectAccess.

      Notitie

      Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise en Windows 7 Ultimate.

  • Vereisten voor infrastructuur- en beheerserver:

    • Als VPN is ingeschakeld en er geen vaste IP-adresgroep is geconfigureerd, is een DHCP-server vereist voor het automatisch toewijzen van IP-adressen aan VPN-clients.

  • Een DNS-server met Windows Server 2008 SP2, Windows Server 2008 R2 of Windows Server 2012 is vereist.

Softwarevereisten

Er zijn een aantal vereisten voor dit scenario:

  • Vereisten voor server:

    • De RAS-server moet een domeinlid zin. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een edge-firewall of ander apparaat.

    • Als de RAS-server zich achter een randfirewall of NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer toe te staan van en naar de RAS-server.

    • De persoon die externe toegang op de server implementeert, heeft lokale administratormachtigingen op de server en domeingebruikersmachtigingen nodig. Bovendien heeft de beheerder machtigingen nodig voor de groepsbeleidsobjecten die worden gebruikt in de DirectAccess-implementatie. Om te profiteren van de functies die DirectAccess-implementatie beperken tot alleen draagbare computers, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.

  • Vereisten voor RAS-client:

    • DirectAccess-clients moeten leden zijn van een domein. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de RAS-server of een tweerichtingsvertrouwensrelatie hebben met het RAS-serverforest.

    • Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als er geen beveiligingsgroep wordt opgegeven bij het configureren van de instellingen voor de DirectAccess-client, wordt standaard het client-groepsbeleidsobject toegepast op alle laptopcomputers in de beveiligingsgroep Domeincomputers. Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype

Verwijzingen

Remote Access op TechNet

Remote Access TechCenter (Engelstalig)

Productevaluatie

Testlabhandleiding: DirectAccess demonstreren in een cluster met Windows NLB

Testlab Guide: Demonstreren een Multisite DirectAccess-implementatie

Testlab Guide: Demonstreren DirectAccess met OTP-verificatie en RSA SecurID

Hulpprogramma's en instellingen

PowerShell-cmdlets voor externe toegang 

Communitybronnen.

DirectAccess Wiki-vermeldingen (Engelstalig)

Verwante technologieën

How IPv6 works (Engelstalig)