DirectAccess-ügyfelek távoli kezelése
Érvényes: Windows Server 2012 R2, Windows Server 2012
Megjegyzés: A Windows Server 2012 egyetlen távelérési szerepkörben egyesíti a DirectAccess és az útválasztási és távelérési szolgáltatást (RRSA).
A jelen témakör bevezetőként szolgál ahhoz a speciális forgatókönyvhöz, amely egy távelérési kiszolgáló beállításához használható DirectAccess-ügyfelek távoli kezeléséhez.
Forgatókönyv leírása
Ebben a forgatókönyvben egy Windows Server 2012 rendszert futtató számítógép lesz távelérési kiszolgálóként konfigurálva a DirectAccess-ügyfelek távoli felügyeletének kizárólagos céljával. A forgatókönyv használata lehetővé teszi az ügyfelek távoli felügyeletét, azonban letilt más összetevőket, amelyeket egy teljes DirectAccess-telepítést választva használhatna, beleértve az ügyfelek hozzáférését a belső hálózatokhoz, a kényszerített bújtatást, az erős hitelesítést és a NAP-kompatibilitást.
Megjegyzés
Ha alapszintű központi telepítést kíván konfigurálni egyszerű beállításokkal, tekintse meg a(z) DirectAccess-kiszolgáló központi telepítése az Első lépések varázslóval című cikket. Az egyszerű forgatókönyvben a távelérést egy varázsló segítségével az alapértelmezett beállításokkal állíthatja be. Nem kell konfigurálnia az infrastruktúra-beállításokat, például hitelesítésszolgáltatót vagy Active Directory biztonsági csoportokat.
Ebben az esetben
Az ügyfelek felügyeletére szolgáló távelérési kiszolgáló beállításához számos tervezési és központi telepítési lépés szükséges.
A tervezés lépései
A forgatókönyvvel kapcsolatos tervezés két fázisra osztható:
A távelérési infrastruktúra tervezése: ebben a fázisban tervezi meg a hálózati infrastruktúrát, mielőtt a távelérés központi telepítését megkezdené. Ez magában foglalja a hálózat- és kiszolgálótopológia, a tanúsítványok, a DNS, az Active Directory, a csoportházirend-objektumok (GPO-k), valamint a DirectAccess hálózatihely-kiszolgáló tervezését.
A távelérés központi telepítésének tervezése: ebben a fázisban előkészíti a távelérés központi telepítését. Ez magában foglalja a távelérési ügyfélszámítógépek, a kiszolgáló- és ügyfél-hitelesítési követelmények, a VPN-beállítások, az infrastruktúra és a kezelési kiszolgálók tervezését.
A tervezés részletes lépései: A távoli felügyeleti DirectAccess-ügyfelek központi telepítési terv.
Előfeltételek
Mielőtt elkezdené a forgatókönyvet, tekintse át a fontos követelmények alábbi listáját:
- A Windows tűzfalat mindegyik profilban engedélyezni kell.
- A DirectAccess csak a Windows 8.1, Windows 8 és Windows 7 rendszert futtató ügyfeleket támogatja.
- A házirendek a DirectAccess kezelési konzolján kívüli vagy Windows PowerShell-parancsmagok használatával történő módosítása nem támogatott.
A központi telepítés lépései
A forgatókönyvvel kapcsolatos központi telepítés három fázisra osztható:
A távelérési infrastruktúra konfigurálása: ebben a fázisban a hálózatot és az útválasztást, szükség esetén a tűzfalbeállításokat, a tanúsítványokat, a DNS-kiszolgálókat, az Active Directory és a csoportházirend-objektumok beállításait, valamint a DirectAccess hálózatihely-kiszolgálót konfigurálja.
A távelérési kiszolgáló beállításainak konfigurálása: ebben a fázisban a távelérési ügyfélszámítógépeket, a távelérési kiszolgálót, az infrastruktúra-kiszolgálókat, valamint a felügyeleti és alkalmazáskiszolgálókat konfigurálja.
A telepítés ellenőrzése: ebben a fázisban ellenőrzi, hogy a központi telepítés az elvárásoknak megfelelően működik-e.
A telepítés részletes lépései: Telepíti és konfigurálja a távoli felügyeleti DirectAccess-ügyfelek központi telepítés.
Gyakorlati alkalmazásmódok
A DirectAccess-ügyfelek felügyeletére szolgáló távelérési kiszolgáló központi telepítése az alábbi előnyöket nyújtja:
Egyszerű elérés: a Windows 8.1, Windows 8 vagy Windows 7 rendszerű, felügyelt ügyfélszámítógépek DirectAccess-ügyfélszámítógépként konfigurálhatók. Az ilyen ügyfelek a DirectAccess szolgáltatáson keresztül bármikor hozzáférhetnek a belső hálózati erőforrásokhoz, ha az internethez csatlakoznak, és nem kell bejelentkezniük egy VPN-kapcsolatba. Az említett operációs rendszerektől eltérő rendszert futtató ügyfélszámítógépek VPN-en keresztül kapcsolódhatnak a belső hálózathoz. A DirectAccess és a VPN kezelése ugyanazon a konzolon, ugyanazokkal a varázslókkal történik.
Egyszerű felügyelet: az internethez csatlakozó DirectAccess-ügyfélszámítógépeket távolról felügyelhetik a távelérési szolgáltatás rendszergazdái a DirectAccess szolgáltatással, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek meg nem felelő ügyfélszámítógépek automatikusan kijavíthatók a kezelési kiszolgálók használatával.
A forgatókönyvben szereplő szerepkörök és szolgáltatások
Az alábbi táblázat a forgatókönyv tervezéséhez és telepítéséhez szükséges szerepköröket és szolgáltatásokat tartalmazza.
Szerepkör/szolgáltatás |
Támogatás a forgatókönyv számára |
---|---|
Távelérési szerepkör |
A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával történik. A szerepkör magában foglalja a DirectAccess szolgáltatást, amely korábban a Windows Server 2008 R2 szolgáltatása volt, valamint az Útválasztás és távelérés szolgáltatást, amely korábban a Hálózati házirend- és elérési szolgáltatások (NPAS) kiszolgálói szerepkör alá tartozó szerepkör-szolgáltatás volt. A távelérési szerepkör két összetevőből áll:
A Távelérés kiszolgálói szerepkör az alábbi kiszolgálói szerepköröktől/szolgáltatásoktól függ:
|
Távelérés-kezelési eszközök szolgáltatás |
A szolgáltatás telepítése az alábbiak szerint történhet:
A Távelérés-kezelési eszközök szolgáltatás az alábbiakat foglalja magában:
A függőségek az alábbiak:
|
Hardverkövetelmények
A forgatókönyv hardverkövetelményei az alábbiak:
Kiszolgálókövetelmények:
A(z) Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.
A kiszolgálónak legalább egy telepített és engedélyezett hálózati adapterrel kell rendelkeznie. Két adapter használata esetén ez egyik adaptert a belső vállalati hálózathoz, a másikat a külső hálózathoz (az internethez) kell csatlakoztatni.
Ha a Teredo szükséges IPv4–IPv6 átviteli protokollként, a kiszolgáló külső adaptere két egymást követő nyilvános IPv4-címet igényel. Ha csak egyetlen IP-cím áll rendelkezésre, csak az IP-HTTPS használható átviteli protokollként.
Legalább egy tartományvezérlő. A távelérési kiszolgálónak és a DirectAccess-ügyfeleknek tartománytagoknak kell lenniük.
Egy hitelesítésszolgáltató-kiszolgáló is szükséges, ha nem kíván önaláírt tanúsítványokat használni az IP-HTTPS vagy a hálózatihely-kiszolgáló esetében, illet ha az ügyféltanúsítványokat az ügyfelek IPsec-hitelesítéséhez kívánja használni. Tanúsítványokat nyilvános hitelesítésszolgáltatótól is igényelhet.
Ha a hálózatihely-kiszolgáló nem a távelérési kiszolgálón található, a futtatásához egy külön webkiszolgáló szükséges.
Ügyfélkövetelmények:
Az ügyfélszámítógépeknek a(z) Windows 8 vagy a Windows 7 rendszert kell futtatniuk.
Megjegyzés
Kizárólag az alábbi operációs rendszerek használhatók DirectAccess-ügyfélként: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.
Infrastruktúra- és kezelésikiszolgáló-követelmények:
A DirectAccess-ügyfélszámítógépek távoli felügyelete során az ügyfelek kommunikációt kezdeményeznek a kezelési kiszolgálókkal (például tartományvezérlőkkel és System Center Configuration-kiszolgálókkal) olyan szolgáltatások esetén, amelyek Windows- és víruskereső-frissítéseket, valamint Hálózatvédelem (NAP) ügyfél-kompatibilitást foglalnak magukban. A szükséges kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Ha a távelérés NAP-kompatibilitást igényel, az NPS- és HRS-kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Ha VPN lett engedélyezve, egy DHCP-kiszolgáló szükséges az IP-címek automatikus kiosztásához a VPN-ügyfelek számára, ha a rendszer nem használ statikus címkészletet.
Windows Server 2008 SP2, Windows Server 2008 R2 vagy Windows Server 2012 rendszert futtató DNS-kiszolgáló szükséges.
Szoftverkövetelmények
A forgatókönyvre több követelmény is vonatkozik:
Kiszolgálókövetelmények:
A távelérési kiszolgálónak tartománytagnak kell lennie. A kiszolgáló telepíthető a belső hálózat peremén, illetve tűzfal vagy egyéb eszköz mögött.
Ha a távelérési kiszolgáló egy peremhálózati tűzfal vagy NAT-eszköz mögött található, az eszközt úgy kell konfigurálni, hogy engedélyezze a távelérési kiszolgálótól érkező és az arra irányuló forgalmat.
A kiszolgálón a távelérés központi telepítését végző személynek a kiszolgálón helyi rendszergazdai engedélyekkel, valamint tartományi felhasználói engedélyekkel kell rendelkeznie. A rendszergazdának emellett engedélyekkel kell rendelkeznie a DirectAccess-telepítésben használt csoportházirend-objektumokhoz is. A DirectAccess telepítését a hordozható számítógépekre korlátozó szolgáltatások előnyeinek kihasználásához WMI-szűrő a tartományvezérlőn való létrehozására vonatkozó engedélyek szükségesek.
Távelérési ügyfelekre vonatkozó követelmények:
A DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok tartozhatnak a távelérési kiszolgálóval megegyező erdőbe, vagy rendelkezhetnek kétirányú megbízhatósági kapcsolattal a távelérési kiszolgáló erdejével vagy tartományával.
Egy Active Directory biztonsági csoport szükséges, amely a DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmazza. Ha a DirectAccess-ügyfelek beállításainak konfigurálásakor nincs biztonsági csoport megadva, a rendszer alapértelmezés szerint az ügyfél csoportházirend-objektumát alkalmazza a Tartományi számítógépek biztonsági csoportban található összes hordozható számítógépre. Vegye figyelembe a következőket:
Ajánlott egy biztonsági csoport létrehozása minden olyan tartományhoz, amely DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmaz.
Lásd még:
Az alábbi táblázat további forrásokra mutató hivatkozásokat tartalmaz.
Tartalom típusa |
Hivatkozások |
---|---|
Távelérés a TechNeten |
|
Termékértékelés |
Tesztlabor-útmutató: A DirectAccess többhelyszínű központi telepítésének bemutatására Tesztlabor-útmutató: Például a DirectAccess OTP-hitelesítés és az RSA SecurID |
Hibaelhárítás |
Távelérés hibaelhárítási dokumentációja, ha elérhető. |
Eszközök és beállítások |
|
Közösségi források |
Az RRAS termékért felelős csapat blogja | A távelérés TechNet-fóruma |
Kapcsolódó technológiák |