Distribuera en DirectAccess-server med avancerade inställningar
Gäller för: Windows Server 2012 R2, Windows Server 2012
Det här avsnittet innehåller en introduktion till DirectAccess-scenariot som använder en enda DirectAccess-server och som gör att du kan distribuera DirectAccess med avancerade inställningar.
Du kan också distribuera grundläggande DirectAccess och DirectAccess för företagsmiljöer. Information om alternativa distributionssätt finns i DirectAccess distribution vägar i Windows Server.
Om du vill konfigurera en grundläggande distribution med enbart enkla inställningar, kan du läsa mer i Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden. I det enkla scenariot konfigureras DirectAccess med standardinställningar med hjälp av en guide, utan om du behöver konfigurera infrastrukturinställningar som en certifikatutfärdare (CA) eller Active Directory-säkerhetsgrupper.
Om du vill konfigurera DirectAccess med funktioner för företagsnätverk, exempelvis ett belastningsutjämnade kluster, multisite-distribution och tvåfaktors-klientautentisering, så kan du slutföra det scenario som beskrivs i det här avsnittet för att konfigurera en enskild server och sedan implementera företagsscenariot som beskrivs i Distribuera fjärråtkomst i ett företag.
Viktigt
För att distribuera DirectAccess med hjälp av den här guiden så måste du använda dig av en DirectAccess-server som kör Windows Server® 2012 R2 eller Windows Server® 2012.
I detta scenario
Om du vill konfigurera en DirectAccess-server med avancerade inställningar måste du slutföra flera steg för planering och distribution.
Förutsättningar
Innan du börjar bör du gå igenom följande krav.
Windows-brandväggen måste vara aktiverad på alla profiler.
DirectAccess-servern är nätverksplatsservern.
Du vill att alla trådlösa datorer i domänen där installerar DirectAccess-servern ska vara DirectAccess-aktiverade. När du distribuerar DirectAccess aktiveras det automatiskt på alla bärbara datorer i den aktuella domänen.
Viktigt
Vissa tekniker och konfigurationer stöds inte när du distribuerar DirectAccess.
-
ISATAP (Intra-Site automatisk Tunnel Addressing Protocol) i företagsnätverket stöds inte. Om du använder ISATAP måste du ta bort den och använda intern IPv6.
Planeringssteg
Planeringen är uppdelad i två steg:
Planera för DirectAccess-infrastrukturen. Den här fasen beskriver den planering som krävs för att ställa in nätverksinfrastrukturen innan du påbörjar en DirectAccess-distribution. Den omfattar planering av nätverks- och servertopologi, planering av certifikat, DNS, Active Directory och grupprincipobjektkonfiguration (GPO) och DirectAccess-nätverksplatsservern.
Planera för DirectAccess-distribution. I den här fasen beskrivs planeringsstegen som krävs för att förbereda för DirectAccess-distribution. Den omfattar planering för DirectAccess-klientdatorer, server- och klientautentiseringskrav, VPN-inställningar, infrastrukturservrar, hanterings- och programservrar.
För detaljerade planeringssteg, se Planera en avancerad DirectAccess-distribution.
Distributionssteg
Distributionen är uppdelat i tre steg:
Konfigurering av DirectAccess-infrastrukturen. Den här fasen inkluderar konfigurering av nätverk och routning, konfigurering av brandväggsinställningar om så behövs, konfigurering av certifikat, DNS-servrar, Active Directory- och GPO-inställningar samt DirectAccess-nätverksplatsservern.
Konfigurering av inställningar för DirectAccess-servern. Denna fas omfattar steg för att konfigurera DirectAccess-klientdatorer, DirectAccess-servern, infrastrukturservrar, hanterings- och programservrar.
Kontroll av distributionen. Denna fas omfattar åtgärder för att kontrollera DirectAccess-distributionen.
För detaljerade distributionssteg, se Installera och konfigurera avancerad DirectAccess.
Praktiska tillämpningar
Att distribuera en enstaka DirectAccess-server ger följande:
Enkel åtkomst. Hanterade klientdatorer som kör Windows® 8.1, Windows® 8 och Windows® 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet, utan att du behöver logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via VPN.
Enkel hantering. DirectAccess-klientdatorer som är på Internet kan fjärrhanteras av fjärråtkomstadministratörer via DirectAccess, även när klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar. Både DirectAccess och VPN hanteras i samma konsol och med samma uppsättning guider. Dessutom kan en eller flera DirectAccess-servrar hanteras från en enda hanteringskonsol för fjärråtkomst
Roller och funktioner som krävs för det här scenariot
I följande tabell visas de roller och funktioner som krävs för scenariot:
Roll/funktion |
Hur den stöds i detta scenario |
---|---|
Fjärråtkomstroll |
Rollen installeras och avinstalleras med hjälp av Serverhanterarens konsol eller Windows PowerShell. Den här rollen omfattar både DirectAccess och tjänster för routing and fjärråtkomst (RRAS). Fjärråtkomstrollen består av två komponenter:
Fjärråtkomstserverrollen är beroende av följande serverroller\funktioner:
|
Funktionen Verktyg för hantering av fjärråtkomst |
Den här funktionen installeras på följande sätt:
Funktionen Verktyg för hantering av fjärråtkomst består av följande:
Beroenden inkluderar:
|
Maskinvarukrav
Följande maskinvarukrav finns för det här scenariot:
Serverkrav:
En dator som uppfyller maskinvarukraven för Windows Server 2012.
Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används bör ett kort vara anslutet till det interna företagsnätverket och ett som är anslutet till det externa nätverket (Internet eller privat nätverk).
Om Teredo krävs som ett övergångsprotokoll från IPv4 till IPv6, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Om det finns en enskild IP-adress kan endast IP-HTTPS användas som övergångsprotokoll.
Minst en domänkontrollant. DirectAccess-servern och DirectAccess-klienterna måste vara domänmedlemmar.
Om du inte vill använda självsignerade certifikat för IP-HTTPS eller nätverksplatsservern eller om du vill använda certifikat för IPsec-klientautentisering, krävs en certifikatutfärdare (CA). Alternativt kan du begära certifikat från en offentlig certifikatutfärdare.
Om nätverksplatsservern inte finns på DirectAccess-servern krävs en separat webbserver för att köra den.
Klientkrav:
En klientdator måste köra Windows 8 eller Windows 7.
Information Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.
Krav för infrastruktur och hanteringsserver:
Klienter initierar kommunikationen med hanteringsservrar, till exempel domänkontrollanter och System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) för tjänster som omfattar Windows- och antivirusuppdateringar och NAP-klientkompatibilitet (Network Access Protection) vid fjärrstyrning av klientdatorer med direktåtkomst. De servrar som krävs bör distribueras innan du påbörjar distributionen av fjärråtkomst.
Om fjärråtkomsten kräver NAP-klientkompatibilitet, måste NPS- och HRS-servrarna distribueras innan distributionen av fjärråtkomst påbörjas
Om VPN är aktiverad krävs en DHCP-server för att automatiskt tilldela IP-adresser till VPN-klienter, om inte någon statisk adresspool används.
Programvarukrav
Det finns ett antal krav för det här scenariot:
Serverkrav:
DirectAccess-servern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.
Om DirectAccess-servern finns bakom en gränsbrandvägg eller NAT-enhet, måste enheten konfigureras för att tillåta trafik till och från DirectAccess-servern.
Den person som distribuerar fjärråtkomst på servern behöver ha lokal administratörsbehörighet för servern och användarbehörigheter för domänen. Dessutom måste administratören ha behörigheter för de grupprincipobjekt som används i DirectAccess-distributionen. För att dra nytta av funktioner som begränsar DirectAccess-distribution till bärbara datorer så krävs behörigheter att skapa ett WMI-filter på domänkontrollern.
Klientkrav för fjärråtkomst:
DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som DirectAccess-servern eller har ett dubbelriktat förtroende med DirectAccess-serverskogen eller domänen.
En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningarna, tillämpas klientens grupprincipobjekt som standard på alla bärbara datorer i domändatorernas säkerhetsgrupp. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise och Windows 7 Ultimate.
Information Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller DirectAccess-klientdatorer.
Viktigt
Om du har aktiverat Teredo i din DirectAccess-distribution och vill ge åtkomst till Windows 7-klienter, se då till att klienterna är uppgraderade till Windows 7 med SP1. Klienter som använder Windows 7 RTM kommer inte kunna ansluta via Teredo. Dessa klienter kommer dock fortfarande att kunna ansluta till företagsnätverket via IP-HTTPS.
Se även
Följande tabell innehåller länkar till ytterligare resurser.
Innehållstyp |
Referenser |
---|---|
Fjärråtkomst på TechNet |
|
Produktutvärdering |
Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB Test Lab-guide: Visa en Multisite DirectAccess-distribution Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID |
Distribution |
DirectAccess distribution vägar i Windows Server Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden |
Verktyg och inställningar |
|
Gruppresurser |
|
Närliggande tekniker |