中小型企业中的安全远程访问

本指南将如何帮助你？ 本指南阐释了如何使用户通过各种已连接 Internet 的设备从任何位置轻松且安全地访问公司数据。

本指南介绍规定性、经测试的设计以及实现解决方案，即经过集中数据存储、配置网络以进行远程访问以及限制数据访问权限，有助于给你的网络用户提供安全的远程访问。

本解决方案指南的内容：

• 方案、问题陈述和目标

• 针对本解决方案推荐哪种设计？

• 我们为什么推荐此设计？

• 实现本解决方案的高级步骤有哪些？

下图说明了本解决方案指南所针对的问题和方案。

 有关远程数据访问的问题

方案、问题陈述和目标

本节介绍示例组织的方案、问题和目标。

方案

该组织属于小到中型规模，拥有多达 100 个用户和 200 台设备。它正在寻找某种途径，以便用户不在本地和使用各种与 Internet 连接的设备时都可以安全访问公司数据。 无论是在现场还是异地，用户都无法持续访问公司资源。 网络用户走出办公室后就无法访问文件。 因此，网络用户将公司数据保存在其移动设备上或者通过电子邮件发送。 他们使用电脑发送有关工作数据的电子邮件，并且当远程工作时他们可以从笔记本电脑上将数据用电子邮件发送到办公室。 有时在下班后，用户需要使用各种设备（比如平板电脑、平板或笔记本电脑）处理文件或访问数据。但是，当在异地时，他们无法使用业务线应用程序。

问题陈述

该组织希望解决以下问题：

• 用户在办公室网络之外缺乏安全途径来访问公司数据及业务线应用程序。

• 用户在移动设备上缺乏安全途径来访问网络资源。

• 用户会在多个设备上保存公司数据（比如，工作时保存在电脑上，远程时保存在笔记本电脑上）。 这将产生多个难以跟踪和查找的文件版本。

• 因为用户没有在个人联网设备上安装业务线应用程序，致使用户无法工作，从而造成财务损失。

组织目标

你的组织正在寻找一个解决方案，使你能够：

• 让办公室网络之外的用户安全访问公司数据和资源。

• 让用户能够在移动设备上访问网络资源。

• 消除因用户在网络外部处理本地副本时创建的多个文件版本而引起的版本冲突。 

• 防止因在办公室外无法访问业务线应用程序而引起的财务损失。

针对本解决方案推荐哪种设计？

如何从运行 Windows Server 2012 R2 Essentials 的服务器或安装有 Windows Server 2012 R2 角色（在文档的余下部分称为 Windows Server Essentials 体验）的 Standard 和 Datacenter 版的 Windows Server Essentials 体验 上存储、保护以及远程访问公司数据，下图对此进行了说明。

使位于网络外部的用户安全访问数据的解决方案设计

Windows Server 2012 R2 Essentials（适合最多 25 个用户和 50 台设备使用）和安装有 Windows Server 2012 R2 角色的 Standard 和 Datacenter 版的 Windows Server Essentials 体验（适合最多 100 个用户和 200 台电脑使用）为小到中型规模的企业提供解决方案，以使用户可以通过各种 Internet 连接设备轻松且安全地访问公司数据。

下表列出了解决方案设计的 Windows Server 2012 R2 Essentials 和 Windows Server Essentials 体验 中包含的技术，并介绍了选择此设计的原因。

我们为什么推荐此设计？

本部分介绍设计注意事项和为产生最终解决方案设计所做的决策的详细信息。 它还为此解决方案中所使用的每个功能提供了推荐的配置或使用方法。

Windows Server Essentials 仪表板

Windows Server 2012 R2 Essentials 和 Windows Server Essentials 体验 中的 Windows Server Essentials 仪表板可帮助你快速地访问服务器的关键信息和管理功能，而无需使用多个本机 Windows Server Administration 工具。 例如，通过使用仪表板，你可以在服务器文件夹中创建和管理用户帐户以及管理数据。

建议： 使用 Windows Server Essentials 仪表板在网络中执行大多数的管理任务。 你可以从仪表板上运行任务和向导，从而以最佳方式配置服务器功能。 通过使用仪表板，你还可以基于每个用户配置对网络资源（如共享文件夹、客户端计算机和 VPN）的远程访问权限。

存储空间

用于为公司数据提供高可用性和弹性存储的选项中包括使用附带常见服务器硬件的内置 RAID 控制器。 借助此存储选项，你可以提供所需的存储可用性和弹性，但它可能相对比较复杂且成本高昂。

与此相反，你可以使用存储空间功能创建低成本、有弹性、可动态扩展的数据卷来存储企业数据，而不是将其存储在标准硬盘驱动器上。 存储空间包含显示在仪表板的“硬盘驱动器”选项卡上的虚拟硬盘驱动器 (VHD)。

存储空间可帮助你将文件保存到两个或多个驱动器上，以便驱动器出现故障时保持文件安全。 借助存储空间，你可以通过将行业标准硬盘驱动器分组为存储池，然后基于存储池中的可用容量创建 VHD（称为存储空间），来虚拟化服务器存储。 你可以使用这些存储空间将公司数据存储在一个中心位置中，而不是使所有用户都将数据保存在其电脑上。

建议： 对于少于 10 位用户的小型企业，使用至少三个 SAS 或 SATA 驱动器 — 一个驱动器用于备份操作系统，其他两个用于存储空间。 我们建议至少使用两个附带镜像复原能力的驱动器来创建存储空间。

对于用户数超过 10 的小型企业或用户数最多为 100 的中型企业，使用存储空间配置至少三个 SAS 驱动器 - 一个驱动器用于备份操作系统，其他两个驱动器用于存储空间。 我们还建议提供支持添加更多驱动器以用于扩展的服务器机壳。

服务器文件夹

你可以将位于客户端计算机上的公司数据存储在一个中心位置中，而不是使所有用户都将文件保存在其电脑上。

将文件存储在服务器文件夹中可确保你的文件易于备份和访问。 它们位于可从所有客户端进行访问的位置中。 因为需要使用经过身份验证的网络凭据才能访问文件，所以文件是安全的。

建议： 在一个存储空间驱动器上创建服务器文件夹并为各个部门或项目创建单独的服务器文件夹。 例如，如果存在财务部，则可以创建一个名为“财务”的文件夹。 在存储空间驱动器上创建服务器文件夹可以提高数据可用性（由于镜像）。

我们还建议为服务器文件夹设置配额，以便在服务器文件夹达到其容量上限时发出警报。 当向你发出警报时，你可以删除服务器文件夹中的文件以增加存储可用空间，也可以为服务器文件夹添加更多空间并调整其配额设置。

用户和组管理

用户帐户和用户组帐户帮助你指定允许用户访问公司数据的权限。 这可防止非预期用户访问公司数据。 你可以轻松地管理网络资源的访问权限，方法是从 Windows Server Essentials 仪表板的“用户”选项卡为所有网络用户创建用户帐户。

此外，你可以创建用户组帐户，并且将用户帐户添加为成员。 一个用户组帐户中的所有成员使用相同的服务器资源安全访问级别。 组成员身份简化了资源管理，因为你可以在一个页面上为一组用户指定权限。 这与打开网络中每位用户的属性页来分配相关的文件夹权限相反。

建议： 基于你公司现有的部门或公司内员工正在进行的各种项目，创建包含各种用户组成员的用户帐户。 在创建用户组时，你可以将一组权限分配给将适用于其所有成员的用户组。 例如，如果有一组用户在财务部门 A 中工作，则可以创建一个名为“部门 A 用户组”的用户组帐户，然后将相关的用户帐户添加到此组。 接下来，你可以为“部门 A 用户组”分配权限，以访问名为“财务”的服务器文件夹。

对于你的网络中的每个用户帐户，你可以配置远程访问权限，具体取决于用于远程访问的方法（如远程 Web 访问或 VPN）。 你也可以配置访问网络资源（如服务器文件夹和客户端计算机）的权限。 例如，你可以为“VPN 用户”和“RWA 用户”创建用户组、为这些组配置远程访问权限，然后添加需要远程访问这些组的用户帐户。

设备管理

若要使用户能够从网络中的计算机访问服务器文件夹，必须将用户计算机连接到服务器。 将计算机连接到服务器具有以下优点：

• 使网络用户通过使用用户帐户可安全访问存储在服务器上的数据。

• 使你能够从仪表板管理客户端计算机。

• 通过使用组策略设置保护网络中的客户端计算机。

• 定期备份客户端计算机上的数据。

• 监视客户端计算机的运行状况。

建议： 将你想要管理的所有计算机（本地或远程）连接到服务器，以便你可以从 Windows Server Essentials 仪表板的“设备”选项卡，而不是使用本地服务器工具“Active Directory 用户和计算机”管理它们。

Windows Server Essentials 中的组策略设置

你可以在 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 中通过打开文件夹重定向来使用“实现组策略向导”以集中数据。 此外，通过强制使 Windows 更新、Windows Defender 以及 Windows 防火墙对所有网络中的客户端计算机保持打开状态，使用此向导有助于保持你的网络安全。 将不再需要最终用户在他们的电脑上打开这些设置。

建议： 我们建议你不要关闭 Windows Server Essentials 中的组策略设置。

随处访问

当配置随处访问功能（远程 Web 访问和 VPN）时，使网络用户能够从拥有 Internet 连接的任何位置、在任何时间以及在几乎任何设备上都可以访问服务器资源。

建议： 运行设置随处访问向导，以设置远程 Web 访问和虚拟专用网络。 修复该向导完成时报告的问题。

远程 Web 访问

远程 Web 访问提供流线型触摸式浏览器体验：从几乎任何具有 Internet 连接的位置使用几乎任何设备访问应用程序和数据。

建议： 配置远程 Web 访问的用户和用户组的权限，以便远程用户可以从远程位置安全地访问数据。

虚拟专用网络

虚拟专用网络 (VPN) 连接使在家中或旅途中工作的用户可以使用公用网络（例如 Internet）提供的基础结构来访问专用网络上的服务器。

建议： 配置 VPN 用户和用户组的权限，以便远程用户可以通过安全 VPN 连接与你的服务器相连接。

My Server 2012 R2 应用

My Server 应用允许你从运行 Windows 8.1、Windows 8 或 Windows RT 操作系统的设备中，连接到资源并在你的 Windows Server Essentials 服务器上执行一些简单的管理性任务。 在 My Server 中，你可以管理用户、设备和警报，并使用服务器上的共享文件。 脱机时，你可以继续处理你最近在 My Server 中访问的文件，并且在你下次连接时，你的脱机更改将自动与服务器同步。

建议： 在运行 Windows 8.1、Windows 8 或 Windows RT 操作系统的任何设备上安装“我的服务器”应用，并使用“我的服务器”访问你的服务器上的文档。

实现本解决方案的高级步骤有哪些？

可以按照本部分中的步骤来实现该解决方案。 在继续执行下一步之前，请务必验证是否已正确部署每个步骤。

1. 打开“随处访问”。

   借助随处访问，你可以管理远程 Web 访问和 VPN 功能。 若要打开远程 Web 访问和 VPN，从仪表板的“设置”页上的“随处访问”选项卡中运行“设置随处访问向导”。 若要打开远程 Web 访问，请按照管理远程 Web 访问中的说明进行操作。 若要打开 VPN，请按照管理 Windows Server Essentials [blue] 中的 VPN 中的说明进行操作。

2. 设置域名。

   若要设置域名，请运行设置域名向导并按照管理远程 Web 访问中的说明进行操作。 如果你没有现有的域名，你可以在设置域名向导期间，获取免费的 Microsoft 个性化域名（例如，yourhostname.remotewebaccess.com）。

3. 在服务器上创建存储空间。 

   若要创建存储空间，请按照在 Windows Server Essentials 中管理服务器存储的“创建存储空间”部分中的说明进行操作。

   还可以通过使用 New-WssStorageSpace Windows PowerShell cmdlet 创建新的双向镜像存储空间。

   创建存储空间后，请验证它是否在仪表板的“硬盘驱动器”选项卡上列出。

4. 根据需要，针对各个部门或数据类型创建服务器文件夹。

   若要创建服务器文件夹，请按照添加或移动服务器文件夹中的说明进行操作。

   备注

   如果你的组织共享了已经使用的文件夹，也将各种设备上存储的数据移动到你在此步骤中创建的服务器文件夹。

   当你使用添加文件夹向导创建新的服务器文件夹时，为确保数据的高可用性，请在“键入文件夹名称和说明”页上的“位置”字段中，将该文件夹存储在其默认位置中，即你在第 1 步创建的存储空间中。 验证你创建的所有服务器文件夹是否都已在仪表板的“存储”选项卡上列出。

   你也可以使用 Add-WssFolder Windows PowerShell cmdlet 添加服务器文件夹。 有关详细信息，请参阅 Add-WssFolder。

5. 创建用户帐户和用户组。

   为网络中的所有用户创建用户帐户，然后再基于组织中的部门和项目创建用户组。 你还可以根据远程访问的方法创建用户组，例如，通过 VPN 访问数据的用户或者通过远程 Web 访问来访问数据的用户。

   接下来，基于与用户关联的部门、项目或远程访问方法，将这些用户帐户添加到相关的用户组。 有关创建用户帐户的分步说明，请参阅添加用户帐户。 有关用户组的详细信息，请参阅在 Windows Server Essentials [H2] 中管理用户帐户。

   验证是否所有用户帐户和用户组都已在仪表板的“用户”和“用户组”选项卡上列出。

6. 为服务器文件夹分配用户访问权限。

   若要将权限分配给用户帐户，以便用户可以访问服务器文件夹，请按照管理对服务器文件夹的访问中的说明进行操作。

   授予用户访问权限后，可以通过从仪表板查看用户帐户的属性，验证、查看或修改任何用户帐户的网络资源权限。 有关详细信息，请参阅在 Windows Server Essentials [H2] 中管理用户帐户。

7. 将网络中的所有客户端计算机都连接到服务器。

   所有客户端都需要连接到运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器。 在将客户端连接到运行 Windows Server Essentials 的服务器之前，请检查以下内容：

   • 客户端计算机支持的操作系统

   • 将计算机连接到服务器的先决条件

   在网络中的所有计算机上运行“将计算机连接到服务器向导”，无论是本地计算机还是远程计算机都是如此。 有关将客户端计算机连接到运行 Windows Server Essentials 体验 的服务器的分步说明，请参阅将计算机连接到服务器。

   在将客户端计算机连接到服务器后，请验证该计算机的名称是否在仪表板的“设备”选项卡上列出。 你可以通过在仪表板的任务窗格中列出的管理任务管理连接到服务器的所有计算机。 有关详细信息，请参阅使用仪表板管理设备。

8. 为用户帐户和网络设备配置远程访问权限。

   将远程访问权限分配给用户可以用来进行远程连接的用户帐户和网络设备。 可以使用远程 Web 访问，通过 VPN 连接或通过远程桌面会话进行此连接。 有关分步说明，请参阅在 Windows Server Essentials [H2] 中管理用户帐户中的以下部分：

   • 授予用户帐户远程桌面权限

   • 允许用户建立对计算机的远程桌面会话

   • 更改用户帐户的远程访问权限

   • 更改用户帐户的虚拟网络权限

9. 实现组策略设置。

   若要在 Windows Server Essentials 中实现组策略设置，请启用文件夹重定向、Windows Defender、Windows 防火墙和 Windows 更新的设置，如针对文件夹重定向和安全性配置组策略设置中所述。

   在实现组策略设置后，验证任务“配置组策略设置”是否出现在“设备”选项卡中。

10. 安装 My Server 2012 R2 应用。

    在 Windows Phone 和运行 Windows 8.1 和 Windows 8 的设备上安装 My Server 2012 R2 应用。 你可以从 Windows 应用商店为运行 Windows 的设备安装 My Server 2012 R2 应用。 有关使用此应用的详细信息，请参阅使用“我的服务器”应用连接到 Windows Server Essentials [SBS8]。

    你可以从 Windows Phone 应用商店中在你的 Windows Phone 上安装 My Server 2012 R2 应用。 验证 My Server 应用是否已经安装在你的设备上。 有关 My Server 2012 R2 手机应用的信息，请参阅博客文章 My Server 2012 R2 Windows 和 Windows Phone 应用。

    若要在 Windows Server Essentials 中成功地将 My Server 2012 R2 应用用于 Windows Phone 和运行 Windows 8.1 或 Windows 8 的设备，你必须首先在设备上安装服务器证书。 该证书使你可以从本地网络中将设备连接到运行 Windows Server Essentials 的服务器。 有关安装服务器证书的分步说明，请参阅使用“我的服务器”应用连接到 Windows Server Essentials [SBS8] 中的“如何从我的本地网络连接到我的服务器”部分。

完成上述步骤后，本文档中列出的你的组织的目标都将得到满足，如下所示：

• 网络用户可以使用远程 Web 访问或 VPN 从办公室网络外安全地访问公司数据和资源。

• 用户可以使用远程 Web 访问、VPN 或 My Server 2012 R2 应用通过各种移动设备访问网络资源。

• 用户可以在网络之外工作，因此当他们在远程工作时无需再使用本地副本。 这将消除多个文件版本引起的版本冲突。

• 因为网络用户可以在下班后，通过使用 VPN 或使用远程 Web 访问来创建与现场客户端计算机的远程桌面会话，从而访问他们的业务线应用，以便防止业务损失。

另请参阅