在企业中部署远程访问

项目
05/08/2016

适用对象：Windows Server 2012 R2, Windows Server 2012

本主题提供适用于企业的 DirectAccess 方案的简介。

有关备用部署路径的信息，请参阅在 Windows Server 中的 DirectAccess 部署路径。

重要

若要使用本指南部署 DirectAccess，必须使用运行 Windows Server® 2012 R2 或 Windows Server® 2012 的 DirectAccess 服务器。

在开始部署之前，请参阅不受支持的配置、已知问题和先决条件的列表

方案说明

远程访问具有一系列企业功能，包括部署用 Windows 网络负载平衡 (NLB) 或外部负载平衡器平衡的群集负载中的多台远程访问服务器、使用处于不同地理位置的远程访问服务器设置多站点部署以及使用一次性密码 (OTP) 部署带有双因素客户端身份验证的 DirectAccess。

本方案内容

每个企业方案均载于含有计划和部署说明的文档中。有关更多信息，请参阅：

实际的应用程序

远程访问企业方案具有以下优势：

提高可用性—在群集中部署多台远程访问服务器具有可伸缩性、可提升吞吐量并可增加用户数量。平衡群集的负载可实现高可用性。如果群集中的服务器出现故障，远程用户可继续通过群集中的其他服务器访问企业内部网络。故障是透明的，因为客户端使用虚拟的 IP (VIP) 地址连接到群集。
易于管理—使用在其中一台群集服务器上运行的远程访问管理控制台，以单个实体的方式对群集或多站点部署进行配置和管理。此外，多站点部署可让管理员根据 Active Directory 站点的情况部署远程访问，从而简化体系结构。可在各个群集服务器之间或所有的多站点入口点服务器上轻松设置共享设置。可从群集或部署中的任何服务器，或远程使用远程服务器管理工具 (RSAT) 对远程访问设置进行管理。此外，可从单个远程访问管理控制台监视整个群集或多站点部署。
具成本效益—远程访问多站点部署可让企业在与客户端位置相应的多站点中部署远程访问服务器。不管在哪里，这可为远程客户端提供可预见的访问体验，并通过将 Internet 上的客户端流量路由到最近的远程访问服务器，降低成本和减少 Intranet 带宽。
安全—利用一次性密码 (OTP)（而非共享的 Active Directory 密码）部署强客户端身份验证可提高安全性。

本方案所包括的角色和功能

下表列出了本企业方案所需的角色和功能。

角色/功能	如何支持本方案
远程访问服务器角色	该角色可使用服务器管理器控制台加以安装和卸载。本角色包括 DirectAccess（以前是 Windows Server 2008 R2 中的功能）以及路由和远程访问服务（以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务）。远程访问角色由以下两个组件组成： DirectAccess 以及路由和远程访问服务 (RRAS) VPN—DirectAccess 和 VPN 在同一个远程访问管理控制台中加以管理。 RRAS 路由—RRAS 路由功能可在旧式路由和远程访问控制台中加以管理。远程访问服务器角色取决于以下服务器功能： Internet 信息服务 (IIS) – 配置网络位置服务器和默认的 Web 探测时，需要此功能。组策略管理控制台功能 – DirectAccess 在 Active Directory 中创建和管理组策略对象 (GPO) 时需要此功能，且此功能必须安装为服务器角色所必需的功能。
远程访问管理工具功能	此功能的安装如下所述：默认情况下，当安装远程访问角色时，此功能安装在远程访问服务器上，并支持远程管理控制台用户界面。此外，它还可以安装在不运行远程访问服务器角色的服务器上。在这种情况下，它可用于远程管理运行 DirectAccess 和 VPN 的远程访问计算机。远程访问管理工具功能包括以下各项：远程访问 GUI 和命令行工具 Windows PowerShell 的远程访问模块依赖项包括：组策略管理控制台 RAS 连接管理器管理工具包 (CMAK) Windows PowerShell 3.0 图形管理工具和基础结构
Windows NLB	此功能可让多台远程访问服务器的负载平衡。

远程访问服务器角色

该角色可使用服务器管理器控制台加以安装和卸载。本角色包括 DirectAccess（以前是 Windows Server 2008 R2 中的功能）以及路由和远程访问服务（以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务）。远程访问角色由以下两个组件组成：

DirectAccess 以及路由和远程访问服务 (RRAS) VPN—DirectAccess 和 VPN 在同一个远程访问管理控制台中加以管理。
RRAS 路由—RRAS 路由功能可在旧式路由和远程访问控制台中加以管理。

远程访问服务器角色取决于以下服务器功能：

Internet 信息服务 (IIS) – 配置网络位置服务器和默认的 Web 探测时，需要此功能。
组策略管理控制台功能 – DirectAccess 在 Active Directory 中创建和管理组策略对象 (GPO) 时需要此功能，且此功能必须安装为服务器角色所必需的功能。

远程访问管理工具功能

此功能的安装如下所述：

默认情况下，当安装远程访问角色时，此功能安装在远程访问服务器上，并支持远程管理控制台用户界面。
此外，它还可以安装在不运行远程访问服务器角色的服务器上。在这种情况下，它可用于远程管理运行 DirectAccess 和 VPN 的远程访问计算机。

远程访问管理工具功能包括以下各项：

远程访问 GUI 和命令行工具
Windows PowerShell 的远程访问模块

依赖项包括：

组策略管理控制台
RAS 连接管理器管理工具包 (CMAK)
Windows PowerShell 3.0
图形管理工具和基础结构

Windows NLB

此功能可让多台远程访问服务器的负载平衡。

另请参阅

下表提供其他资源的链接。

内容类型	参考
在 TechNet 上的远程访问	Remote Access TechCenter
产品评估	使用 NLB 在群集中演示 DirectAccess 演示 DirectAccess 多站点部署演示 DirectAccess 多站点部署
部署	使用入门向导部署单台 DirectAccess 服务器使用高级设置部署单个 DirectAccess 服务器
工具和设置	远程访问 PowerShell cmdlet
社区资源	RRAS 产品团队博客 \| 远程访问 TechNet 论坛 DirectAccess Wiki 条目
相关技术	IPv6 的工作方式

Share via