DirectAccess-clients extern beheren

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Opmerking: Windows Server 2012 combineert DirectAccess en RRAS (Routing and Remote Access Service) tot één functie voor externe toegang.

Dit onderwerp bevat een inleiding tot een geavanceerd scenario dat u kunt gebruiken voor het instellen van een enkele RAS-server voor extern beheer van DirectAccess-clients.

Scenariobeschrijving

In dit scenario wordt een enkele computer met Windows Server 2012 geconfigureerd als een RAS-server met als enig doel het op afstand beheren van DirectAccess-clients. Dit scenario maakt het externe beheer van clients mogelijk, maar schakelt andere onderdelen uit die u kunt gebruiken als u een volledige DirectAccess-implementatie selecteert, inclusief clienttoegang tot interne netwerken, geforceerde tunneling, sterke authenticatie en NAP-compatibiliteit.

Notitie

Zie Eén DirectAccess-Server implementeren met de wizard Aan de slag als u een eenvoudige implementatie wilt configureren met alleen eenvoudige instellingen. In het eenvoudige scenario kunt u Externe toegang instellen met de standaardinstellingen met een wizard. U configureert geen infrastructuurinstellingen, zoals een certificeringsinstantie (CA) of Active Directory-beveiligingsgroepen.

In dit scenario

Een aantal stappen voor planning en implementatie zijn vereist om één RAS-server in te stellen voor het beheren van clients.

Planningstappen

De planning voor dit scenario is onderverdeeld in twee fasen:

  1. De RAS-infrastructuur plannen: In deze fase plant u de netwerkinfrastructuur voordat u begint met de implementatie van Externe toegang. U plant onder andere de netwerk- en servertopologie, certificaten, DNS (Domain Name System), Active Directory, groepsbeleidsobjecten (GPO's) en de DirectAccess-netwerklocatieserver.

  2. De RAS-implementatie plannen: In deze fase bereidt u de implementatie van Externe toegang voor. U plant onder andere RAS-clientcomputers, authenticatievereisten voor server en client, VPN-instellingen, infrastructuur en beheerservers.

Zie Plan de implementatie voor extern beheer van DirectAccess-Clients voor gedetailleerde planningstappen.

Vereisten

Neem voordat u aan dit scenario begint deze lijst door voor belangrijke vereisten:

  • Windows firewall moet zijn ingeschakeld op alle profielen.
  • DirectAccess ondersteunt alleen clients met Windows 8.1, Windows 8 en Windows 7.
  • Wijzigen van beleid buiten de DirectAccess-beheerconsole of met behulp van Windows PowerShell-cmdlets wordt niet ondersteund.

Implementatiestappen

Implementatie voor dit scenario is onderverdeeld in drie fasen:

  1. De RAS-infrastructuur configureren: In deze fase configureert u het netwerk en de routering, de firewallinstellingen (indien nodig), certificaten, DNS-servers, instellingen voor Active Directory en GPO, en de DirectAccess-netwerklocatieserver.

  2. RAS-serverinstellingen configureren: In deze fase configureert u RAS-clientcomputers, de RAS-server, infrastructuurservers en beheer- en toepassingsservers.

  3. De implementatie controleren: In deze fase controleert u of de implementatie werkt zoals vereist.

Zie Installeren en configureren van de implementatie voor extern beheer van DirectAccess-Clients voor gedetailleerde implementatiestappen.

Praktische toepassingen

De implementatie van één RAS-server voor het beheren van DirectAccess-clients biedt de volgende voordelen:

  • Eenvoudige toegang: Beheerde clientcomputers met Windows 8.1, Windows 8 of Windows 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben op elk gewenst moment toegang tot interne netwerkbronnen via DirectAccess wanneer ze zijn verbonden met internet, zonder zich aan te hoeven melden bij een VPN-verbinding. Clientcomputers die niet op een van deze besturingssystemen worden uitgevoerd, kunnen via een VPN verbinding maken met het interne netwerk. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards.

  • Eenvoudig beheer: DirectAccess-clientcomputers die zijn verbonden met internet kunnen op afstand worden beheerd door beheerders van externe toegang via DirectAccess, zelfs wanneer de clientcomputers zich niet op het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan vereisten van het bedrijf kunnen automatisch worden hersteld met behulp van beheerservers.

Functies en onderdelen binnen dit scenario

In de volgende tabel staan de functies en onderdelen die nodig zijn om dit scenario te plannen en te implementeren.

Functie/onderdeel

Ondersteuning voor dit scenario

Functie Externe toegang

De functie kan worden geïnstalleerd en verwijderd met de console Serverbeheer of Windows PowerShell. Deze functie omvat zowel DirectAccess, voorheen een functie in Windows Server 2008 R2, en Routering en RAS, voorheen een functieservice onder de serverfunctie Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen:

  1. DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.

  2. RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS.

De serverfunctie Externe toegang is afhankelijk van de volgende serverfuncties/-onderdelen:

  • Internet Information Services (IIS)-webserver: deze functie is vereist voor het configureren van de netwerklocatieserver op de RAS-server en de standaard webcontrole.

  • Windows Internal Database: gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

  • Deze functie wordt standaard geïnstalleerd op een RAS-server wanneer de functie Externe toegang is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface van de console Extern beheer en de Windows PowerShell-cmdlets.

  • De functie kan eventueel worden geïnstalleerd op een server zonder de serverfunctie Externe toegang. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma's voor beheer van externe toegang bestaat uit:

  • Remote Access-gebruikersinterface

  • Remote Access-module voor Windows PowerShell

Afhankelijkheden zijn:

  • Console Groepsbeleidsbeheer

  • CMAK (Administration Kit voor Verbindingsbeheer) van RAS

  • Windows PowerShell 3.0

  • Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn als volgt:

  • Vereisten voor server:

    • Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.

    • De server moet ten minste één netwerkadapter hebben geïnstalleerd en ingeschakeld. Wanneer twee adapters worden gebruikt, is de ene adapter verbonden met het interne bedrijfsnetwerk en de andere met het externe netwerk (internet).

    • Als Teredo is vereist als een IPv4- naar IPv6-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. Als er slechts één IP-adres beschikbaar is, kan alleen IP-HTTPS worden gebruikt als overgangsprotocol.

    • Ten minste één domeincontroller. De RAS-server en de DirectAccess-clients moeten domeinleden zijn.

    • Een CA-server is vereist als u geen zelfondertekende certificaten voor IP-HTTPS of de netwerklocatieserver wilt gebruiken, of als u clientcertificaten voor IPsec-clientauthenticatie wilt gebruiken. U kunt ook certificaten aanvragen bij een openbare CA.

    • Als de netwerklocatieserver zich niet op de RAS-server bevindt, is een afzonderlijke webserver vereist om deze uit te voeren.

  • Vereisten voor de client:

    • Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.

      Notitie

      Alleen de volgende besturingssystemen kunnen worden gebruikt als DirectAccess-clients: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise en Windows 7 Ultimate.

  • Vereisten voor serverinfrastructuur en -beheer:

    • Tijdens het externe beheer van DirectAccess-clientcomputers starten clients communicatie met beheerservers zoals domeincontrollers en System Center Configuration Servers, voor onder meer services als Windows- en antivirusprogramma-updates en clientcompatibiliteit voor Beveiliging van netwerktoegang (NAP). De vereiste servers moeten worden geïmplementeerd voordat u begint met de implementatie van Externe toegang.

    • Als Externe toegang NAP-clientcompatibiliteit vereist, moeten NPS- en HRS-servers worden geïmplementeerd voordat u begint met de implementatie van Externe toegang

    • Als VPN is ingeschakeld, is een DHCP-server vereist voor het automatisch toewijzen van IP-adressen aan VPN-clients, als er geen statische adresgroep wordt gebruikt.

    • Een DNS-server met Windows Server 2008 SP2, Windows Server 2008 R2 of Windows Server 2012 is vereist.

Softwarevereisten

Er zijn een aantal vereisten voor dit scenario:

  • Vereisten voor server:

    • De RAS-server moet een domeinlid zin. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een edge-firewall of ander apparaat.

    • Als de RAS-server zich achter een randfirewall of NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer toe te staan van en naar de RAS-server.

    • De persoon die externe toegang op de server implementeert, heeft lokale administratormachtigingen op de server en domeingebruikersmachtigingen nodig. Bovendien heeft de beheerder machtigingen nodig voor de groepsbeleidsobjecten die worden gebruikt in de DirectAccess-implementatie. Om te profiteren van de functies die DirectAccess-implementatie tot alleen draagbare computers beperken, zijn machtigingen voor het maken van een WMI-filter op de domeincontroller vereist.

  • Vereisten voor RAS-clients:

    • DirectAccess-clients moet lid van een domein zijn. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de RAS-server of een tweerichtingsvertrouwensrelatie hebben met het RAS-serverforest of -domein.

    • Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Als er geen beveiligingsgroep wordt opgegeven bij het configureren van de instellingen voor de DirectAccess-client, wordt standaard het client-groepsbeleidsobject toegepast op alle laptopcomputers in de beveiligingsgroep Domeincomputers. Let op het volgende:

      Het is raadzaam om een beveiligingsgroep te maken voor elk domein dat computers bevat die worden geconfigureerd als DirectAccess-clients.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype

Verwijzingen

Remote Access op TechNet

Remote Access TechCenter (Engelstalig)

Productevaluatie

Testlabhandleiding: DirectAccess demonstreren in een cluster met Windows NLB

Testlab Guide: Demonstreren een Multisite DirectAccess-implementatie

Testlab Guide: Demonstreren DirectAccess met OTP-verificatie en RSA SecurID

Problemen oplossen

Los problemen op met documentatie van Externe toegang, indien beschikbaar.

Hulpprogramma's en instellingen

PowerShell-cmdlets voor externe toegang 

Communitybronnen.

RRAS-productteamblog | TechNet-forum voor externe toegang

DirectAccess Wiki-vermeldingen

Verwante technologieën

How IPv6 works (Engelstalig)