Exportovat (0) Tisk
Rozbalit vše

Co je nového ve službě vzdáleného přístupu

Publikováno: srpen 2013

Aktualizováno: červenec 2014

Platí pro: Windows 8.1, Windows Server 2012, Windows Server 2012 R2



Toto téma popisuje nové nebo změněné funkce vzdáleného přístupu v systémech Windows Server 2012 R2, Windows 8.1 a Windows Server 2012.

V tomto tématu:

Vzdálený přístup v systému Windows Server 2012 R2 nabízí vylepšenou podporu těchto oblastí:

Se systémem Windows Server 2012 R2 můžou hostitelé nasazovat víceklientské brány S2S (Site-to-Site) a tím zajistit připojení z různých sítí v lokalitách klientů k virtuálním sítím vyhrazeným pro příslušné klienty v síti hostitele. Virtuální síť klienta může být postavená na Virtualizaci sítě Hyper-V nebo na síti VLAN u hostitele. Jedna instance brány je schopná obsluhovat několik klientů s překrývajícími se adresními prostory IP adres. Tím se oproti nasazení samostatné instance brány pro každého klienta maximalizuje efektivita u hostitele. Brána služby Směrování a vzdálený přístup (RRAS) je čistě softwarové řešení, které se dá nasadit na několik instancí víceklientských serverů RRAS za účelem vyrovnávání zatížení.

V systému Windows Server 2012 můžou hostitelé umožnit transparentní přístup VPN k virtuálním počítačům, které jsou replikované v cloudu, a to i v případě takového selhání, kdy přestane fungovat celá lokalita klienta. Windows Server 2012 s jednou bránou RRAS, která může obsluhovat několik klientů s překrývajícími se adresními prostory IP adres, snižuje kapitálové a provozní výdaje hostitelů. Brána RRAS je čistě softwarové řešení, které se dá nasadit na několik instancí víceklientských serverů RRAS za účelem vyrovnávání zatížení.

Protokol BGP (Border Gateway Protocol) v systému Windows Server 2012 využívá rozhraní S2S (Site-to-Site) RRAS k dynamické distribuci a poznávání tras. Tato funkce umožňuje hostitelům (hlavně poskytovatelům infrastruktury jako služby – IaaS) nasadit na víceklientskou bránu RRAS S2S protokol BGP, aby brána poznala, jaké pakety je potřeba směrovat do internetu, do místních sítí klienta a do virtuální sítě klienta u hostitele, a pak je správně nasměrovala. Bránu RRAS se zapnutým protokolem BGP můžou podniky nasadit taky ve svojí místní hraniční síti, aby se daly interní trasy distribuovat zabezpečenými tunely na jiné hraniční brány (stejného podniku ve fyzických nebo virtuálních sítích).

Proxy soubory webové aplikace je nová služba role vzdáleného přístupu v systému Windows Server 2012 R2. Proxy webových aplikací zajišťuje funkce reverzního proxy serveru pro webové aplikace uvnitř podnikové sítě, aby k nim uživatelé měli přístup z jakéhokoli zařízení mimo podnikovou síť. Organizace můžou podle potřeby poskytovat selektivní nebo podmíněný přístup k těmto webovým aplikacím. Proxy webových aplikací taky nabízí integrované funkce proxy serveru služby AD FS (Active Directory Federation Services). Další informace najdete v tématu Průvodce nasazením služby proxy webových aplikací.

Vzdálený přístup ve Windows 8.1 nabízí vylepšenou podporu těchto oblastí:

Funkce automaticky aktivovaného připojení VPN (nebo taky aplikací aktivovaného připojení VPN) ve Windows 8.1 otevře při spuštění aplikace připojení VPN a tím předdefinovaným aplikacím umožní automaticky se připojit k podnikovým sítím. Můžete definovat, pro jaké aplikace má být automatická aktivace dostupná, a vzdálený přístup můžete omezit na základě identity uživatele a identity počítače, ze kterého se uživatel k prostředku dostává. Díky tomu je zajištěný zabezpečený a spolehlivý přístup k podnikovým prostředkům z různých zařízení. Další informace najdete v tématu Windows Server 2012 R2 Test Lab Guide: Demonstrate VPN Auto trigger.

Systém Windows 8.1 pro procesory x86, amd64 (a ARM ve Windows RT 8.1) podporuje modul plug-in SSL VPN nejen od Microsoftu, ale taky od těchto dodavatelů VPN:

  • Dell SonicWall, Inc.

  • Juniper Networks, Inc.

  • F5 Networks, Inc.

  • Checkpoint Software Technologies, Ltd.

Modul plug-in VPN od jiného dodavatele než Microsoftu taky podporuje podobnou rutinu prostředí Windows PowerShell ke konfiguraci automaticky aktivovaného připojení VPN. Profily připojení VPN se dají na automatickou aktivaci konfigurovat na základě názvu DNS. Pro aplikaci můžete profily nakonfigurovat taky v prostředí Windows PowerShell nebo ve správě mobilních zařízení od Microsoftu.

Podporu modulů plug-in VPN od jiných dodavatelů než Microsoftu zajišťují příslušní partneři. V následující tabulce jsou uvedené odkazy na dokumenty těchto partnerů.

 

Poskytovatel modulu plug-in VPN

Dokument podpory

SonicWall

Uživatelská příručka k produktu SonicWall Mobile Connect pro Windows 8.1

Juniper

F5 Networks

CheckPoint

Podpora rozšířené konfigurace VPN ve Windows 8.1 umožňuje použít ke konfiguraci připojení VPN jednu sadu konfiguračních rutin prostředí Windows PowerShell, takže se nemusí používat několik skriptů. Tato funkce taky zlepšuje správu mobilních zařízení od Microsoftu, protože umožňuje automaticky konfigurovat všechna potřebná nastavení mobilních zařízení bez spouštění dalších skriptů.

Rozšířený protokol IPsec ve Windows 8.1 umožňuje v tunelech založených na tomto protokolu používat šifrovací standardy Suite-B nebo si nakonfigurovat vlastní šifrování. Používání těchto standardů a konfigurací můžete u klientů VPN nastavit pomocí snadno použitelných rutin prostředí Windows PowerShell. Můžete taky rozhodnout, jaký klientský certifikát se vybere pro určité připojení VPN.

Ve Windows 8 se profily VPN vytvářejí nebo upravují v zobrazení Plocha. Ve Windows 8.1 můžete profily připojení VPN vytvářet a upravovat v Nastavení počítače, abyste nemuseli v zobrazení Plocha procházet celou řadou nabídek. Tato nová možnost úpravy profilů VPN je optimalizovaná a zjednodušená pro dotykové obrazovky. K rozšířeným vlastnostem se dá v případě potřeby dál dostat z plochy.

Vzdálený přístup ve Windows Serveru 2012 nabízí vylepšenou podporu těchto oblastí:

Jádro serveru představuje minimální variantu instalace serveru navrženou tak, aby nezabírala tolik místa na disku, měla menší požadavky na servis a správu a nedávala tolik prostoru pro útoky na operační systém. Systém jádra serveru nepodporuje grafické uživatelské rozhraní a správci musí všechny potřebné úkoly spojené s konfigurací dělat na příkazovém řádku nebo pomocí nástrojů pro vzdálenou správu.

V systémech Windows Server 2012 a Windows Server 2012 R2 zahrnuje instalace jádra serveru podporu role serveru vzdáleného přístupu pro DirectAccess i RRAS.

V systémech Windows Server 2012 a Windows Server 2012 R2 tuto novou roli serveru vzdáleného přístupu plně podporuje prostředí Windows PowerShell, které můžete použít k instalaci, konfiguraci a monitorování. Roli serveru vzdáleného přístupu můžete nakonfigurovat taky přes vzdálenou správu serveru.

V technologii DirectAccess v systému Windows Server 2008 R2 chybí rozhraní pro skriptování a rozhraní příkazového řádku, které by umožňovalo konfiguraci. Systémy Windows Server 2012 R2 a Windows Server 2012 plně podporují prostředí Windows PowerShell pro nastavení, konfiguraci, správu, monitorování a řešení potíží s rolí serveru vzdáleného přístupu, včetně služeb rolí DirectAccess, RRAS a Proxy webových aplikací.

Monitorovací a diagnostické funkce serveru RRAS i DirectAccess jsou v systému Windows Server 2008 R2 omezené. V případě DirectAccess zahrnují monitorovací funkce jenom základní monitorování stavu serveru DirectAccess a jeho součástí. Data monitorování a dostupné statistické údaje nemají pro správce velký význam ani užitek.

Monitorování stavu uživatelů a serverů v systému Windows Server 2012 umožňuje správci pochopit chování připojení a klientů DirectAccess. Konzola monitorování se používá ke sledování zatížení serveru DirectAccess, aktivity uživatelů a aktuálního využití prostředků. Správce tyto informace použije k rozpoznání potenciálně nežádoucích nebo nevhodných aktivit uživatelů. Z konzoly monitorování se dá taky zapnout diagnostické trasování.

Správci řešení vzdáleného přístupu potřebují monitorovat nejenom připojené uživatele, ale i prostředky, ke kterým uživatelé přistupují. Když si uživatelé stěžují, že se na některý server nebo k nějaké sdílené složce nedá přes vzdálený přístup dostat, nemají správci v současnosti v konzole vzdáleného přístupu žádnou možnost, jak zjistit, jestli se k příslušnému prostředku dokážou úspěšně dostat jiní uživatelé. K řešení potíží, třeba při nadměrné spotřebě šířky pásma u některých uživatelů, je většinou potřeba použít několik nástrojů a aplikací.

Pokud chcete v nové konzole pro správu serveru vzdáleného přístupu otevřít řídicí panel, vyberte v navigačním podokně kartu Řídicí panel. Řídicí panel zobrazuje celkový provozní stav, aktivitu vzdálených klientů a jejich stav. Správce taky může přímo na řídicím panelu zobrazovat rychlé sestavy.

Řídicí panel monitorování zobrazuje souhrnné údaje o stavu připojení vzdálených klientů pro následující položky. Informace se generují z příslušných čítačů sledování výkonu a údajů monitorování účtů.

  • Celkový počet vzdálených klientů, kteří jsou právě připojení (patří sem vzdálení klienti DirectAccess i VPN)

  • Celkový počet klientů DirectAccess, kteří jsou právě připojení (jenom celkový počet klientů připojených přes DirectAccess)

  • Celkový počet klientů VPN, kteří jsou právě připojení (jenom celkový počet klientů připojených přes VPN)

  • Celkový počet jedinečných uživatelů, kteří jsou připojení (patří sem uživatelé připojení přes DirectAccess i VPN, vychází se z aktivních připojení)

  • Celkový počet kumulativních připojení (celkový počet připojení obsloužených serverem vzdáleného přístupu od posledního restartování serveru)

  • Maximální počet vzdáleně připojených klientů (maximální počet vzdálených uživatelů současně připojených k serveru vzdáleného přístupu od posledního restartování serveru)

  • Celkové množství přenesených dat (celkové množství příchozích a odchozích přenosů serveru vzdáleného přístupu přes DirectAccess i VPN od posledního restartování serveru)

    1. Příchozí přenosy (celkové množství bajtů/přenosů na server/bránu vzdáleného přístupu)

    2. Odchozí přenosy (celkové množství bajtů/přenosů ze serveru/brány vzdáleného přístupu)

Při nasazení v clusteru se v souhrnu o aktivitě a stavu vzdálených klientů na řídicím panelu vzdáleného přístupu zobrazují celkové hodnoty pro všechny uzly clusteru.

Správci se můžou podívat na seznam všech aktuálně připojených vzdálených uživatelů. Kliknutím na jméno vzdáleného uživatele taky můžou zobrazit seznam všech prostředků, ke kterým uživatel přistupuje. Když správci v konzole pro správu vzdáleného přístupu vyberou odkaz Stav vzdáleného klienta, zobrazí se jim statistické údaje o vzdálených uživatelích. Statistické údaje o uživatelích je možné filtrovat podle kritérií, které se vybírají pomocí těchto polí:

 

Název pole

Hodnota

Uživatelské jméno

Uživatelské jméno nebo alias vzdáleného uživatele. Jestli chcete vybrat skupinu uživatelů, můžete použít zástupné znaky, třeba contoso\* nebo *\administrator. Když nezadáte doménu, předpokládá se zápis *\uživatelské_jméno.

Název hostitele

Název účtu počítače vzdáleného uživatele. Dá se zadat taky IPv4 nebo IPv6 adresa.

Typ

Buď DirectAccess, nebo VPN. Když vyberete DirectAccess, zobrazí se všichni vzdálení uživatelé, kteří se připojují přes DirectAccess. Když vyberete VPN, zobrazí se všichni vzdálení uživatelé, kteří se připojují přes VPN.

Adresa ISP

IPv4 nebo IPv6 adresa vzdáleného uživatele.

IPv4 adresa

Vnitřní IPv4 adresa tunelu, který propojuje vzdáleného uživatele s podnikovou sítí.

IPv6 adresa

Vnitřní IPv6 adresa tunelu, který propojuje vzdáleného uživatele s podnikovou sítí.

Protokol/tunel

Technologie přechodu používaná vzdáleným klientem. Pro uživatele DirectAccess je to Teredo, 6to4 nebo IP-HTTPS a pro uživatele VPN je to PPTP, L2TP, SSTP nebo IKEv2.

Byl získán přístup k prostředku.

Všichni uživatelé, kteří přistupují k určitému podnikovému prostředku nebo koncovému bodu. Hodnota odpovídající tomuto poli je název hostitele nebo IP adresa serveru nebo koncového bodu.

Server

Server vzdáleného přístupu, ke kterému jsou klienti připojení. Týká se jenom nasazení v clusteru nebo ve víc lokalitách.

Tato funkce umožňuje správcům spravovat a sledovat stav nasazení vzdáleného přístupu z centrální konzoly monitorování. V případě zjištění problému, který vyžaduje pozornost, se správcům zobrazí upozornění. Rozhraní zobrazuje podrobné diagnostické informace a kroky k vyřešení problému.

Uzel Řídicí panel stromu konzoly zobrazuje stav serveru vzdáleného přístupu, včetně stavu infrastruktury vzdáleného přístupu a souvisejících součástí. Dál jsou tu informace o tom, jestli je konfigurace správně distribuovaná do koncových bodů.

Uzel Provozní stav serveru stromu konzoly zobrazuje stav serveru vzdáleného přístupu, včetně stavu infrastruktury vzdáleného přístupu a souvisejících součástí. Kliknutím na určitou součást můžou správci zobrazit podrobnosti o jejím stavu, historii změn a monitorování.

Když jsou servery vzdáleného přístupu nasazené v clusteru nebo ve víc lokalitách, dělá se vyhodnocení u všech serverů v takovém nasazení asynchronně a potom jsou tyto servery uvedené i s jejich celkovým stavem. Správci se můžou v seznamu serverů posouvat a můžou rozbalit nebo sbalit zobrazení součástí serveru DirectAccess a VPN.

K součástem vzdáleného přístupu s monitory stavu, které se zobrazují v podokně provozního stavu serveru, patří:

  • 6to4

  • DNS

  • DNS64

  • Řadič domény

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • Servery pro správu

  • NAT64

  • Síťové adaptéry

  • Server síťového umístění

  • Zabezpečení sítě (IPsec DoSP)

  • Služby

  • Teredo

  • Vyrovnávání zatížení

  • Adresování VPN

  • Připojení VPN

Řešení potíží se vzdáleným připojením přes RRAS a DirectAccess může být hodně složité, protože dostupné možnosti protokolování jsou v současné době omezené. Správci k vyřešení potíží většinou potřebují záznamy o sledování sítě a trasování RRAS, protože protokoly Prohlížeče událostí nejsou moc užitečné ani závazné.

Systémy Windows Server 2012 R2 a Windows Server 2012 nabízejí pro řešení potíží se vzdáleným přístupem následující vylepšení diagnostických funkcí:

  • Podrobné protokolování událostí pro DirectAccess

    Správci můžou k rozpoznávání problémů a analýzám kapacity a výkonu použít vylepšené protokolování událostí. Protokoly událostí jsou standardizované, aby bylo zajištěné jednotné prostředí s ostatními síťovými součástmi.

  • Trasování a zachytávání paketů

    Integrované trasování umožňuje, aby správci jedním kliknutím snadno shromažďovali protokoly trasování a zachytávali síťové pakety. Trasování se zachytáváním paketů i korelace protokolů probíhá v jednom procesu, když správce v podokně Úkoly klikne na úkol Spustit trasování.

  • Korelace protokolů

    Tato funkce umožňuje díky sjednocenému trasování ve Windows jedním kliknutím automaticky shromáždit a korelovat protokoly pro různé součásti DirectAccess. Události shromážděné z různých součástí se korelací ID aktivit konsolidují do jediného souboru. ID aktivit jsou identifikátory GUID, které označují určitý úkol nebo akci. Když součást protokoluje nějakou událost, přidruží k ní ID aktivity. Součást pak předá toto ID nebo událost přenosu mapovanou k tomuto ID jiné součásti, která provádí další úkol ve scénáři. Tímto způsobem se ID aktivity součásti přidružuje k událostem protokolu. Při analýze výsledného trasovacího souboru je tak možné zrekonstruovat vztah mezi různými součástmi, které jsou pro určitý scénář podstatné.

  • Zapnutí a prohlížení protokolů

    Trasování je možné zapnout z podokna Úkoly řídicího panelu monitorování nebo na příkazovém řádku, kde taky můžete určit úrovně protokolování, klíčová slova a filtry. Ke čtení a prohlížení vygenerovaných souborů ETL sjednoceného trasování můžete použít Sledování sítě.

Servery vzdáleného přístupu se systémem Windows Server 2012 nebo Windows Server 2012 R2 můžou k monitorování účtů využít stávající nasazení serveru RADIUS nebo Interní databázi Windows. Informace a historické údaje o stavu zatížení a serveru jsou dostupné prostřednictvím systémových čítačů sledování výkonu a uchovávají se v úložišti monitorování účtů Interní databáze Windows. Pokaždé, když server vzdáleného přístupu přijme nebo odpojí připojení, se všechny statistické údaje o vzdálených uživatelích (včetně koncových bodů, ke kterým uživatelé přistupují) uloží do úložiště monitorování účtů jako jedna relace. Detaily relace tak budou později přístupné pro účely generování sestav a auditování.

Funkce monitorování účtů a generování sestav, kterou nabízí role serveru vzdáleného přístupu, umožňuje měřit určité metriky. K dostupným metrikám patří počet uživatelů připojených k určitému serveru DirectAccess a celkový počet přenesených bajtů. Pokud chtějí správci identifikovat způsoby přenosů a využití (včetně jejich historie), můžou vytvářet vlastní sestavy.

Funkce DirectAccess a RRAS pro vytváření sestav umožňují správcům generovat podrobné sestavy o využití, které obsahují různé statistické údaje, třeba o vzdálených uživatelích, dostupnosti serveru a zatížení. Při generování sestav o využití se využívají záznamy úložiště monitorování účtů doručené pošty. Pokud chcete generovat sestavy o využití, musíte zapnout monitorování účtů doručené pošty do místní Interní databáze Windows. Ke generování sestav nejde použít monitorování účtů NPS/RADIUS.

Sestava o využití zobrazuje historii využití, včetně informací o tom, kteří uživatelé se vzdáleně připojili, k jakým prostředkům přistupovali, jaký byl celkový počet jedinečných uživatelů a jaké bylo maximální generované zatížení serveru. Správci můžou vybrat určitý časový rámec, za který se budou data generovat.

Připojení z různých míst je funkce systémů Windows Server 2012 R2 a Windows Server 2012, která zajišťuje síťové připojení umožňující poskytovatelům hostingových služeb migrovat svoje aplikace a infrastrukturu do cloudu. Tato funkce zahrnuje řešení připojení Site-to-Site VPN v tunelovém režimu IKEv2 (Internet Key Exchange verze 2) a rozhraní pro správu. Windows Server 2008 R2 má podporu protokolu IKEv2 pro připojení VPN zahrnutou ve službě RRAS. Připojení VPN pomocí protokolu IKEv2 zajišťuje odolnost klienta VPN v případě, že přechází z jedné sítě do jiné nebo přepíná z bezdrátového připojení na připojení drátové. Díky protokolům IKEv2 a IPsec je zajištěná podpora metod silného ověřování a šifrování. Funkce služby RRAS v systémech Windows Server 2012 R2 a Windows Server 2012 jsou vylepšené tak, aby umožňovaly použití protokolu IKEv2 pro připojení Site-to-Site VPN.

Počínaje systémem Windows Server 2012 R2 se některé funkce služby Směrování a vzdálený přístup (RRAS) už nepoužívají. V tomto operačním systému sice ještě jsou, ale postupně ze služby RRAS úplně zmizí. Na základě těchto informací můžete u aplikací, kódů nebo jiných věcí, ve kterých se tyto funkce používají, začít plánovat využívání alternativních metod.

Následující funkce služby RRAS sice v systému Windows Server 2012 R2 ještě jsou, ale pro další verze operačního systému se považují za zastaralé.

  • Ovladač RAS/ICS pro překlad adres: Ovladač RAS/ICS (Remote Access Service Internet Connection Sharing) nahradí služba WINNAT (Windows Network Address Translation).

  • RQC/RQS: Funkce karanténní kontroly přístupu k síti je zastaralá. Další informace o karanténní kontrole přístupu k síti na serveru NPS (Network Policy Server) najdete v tématu Karanténní kontrola přístupu k síti.

  • Nepodporované typy zařízení tunelu: Patří sem všechny typy zařízení tunelu s výjimkou zařízení pro telefonické připojení, širokopásmové připojení a připojení PPPOE (Point-to-Point Over Ethernet).

  • Podpora RIP/MIB: Protokol RIP (Routing Information Protocol) a soubor MIB (Management Information Base) jsou zastaralé.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2015 Microsoft