Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

DirectAccess hozzáadása meglévő távelérési (VPN) telepítéshez

James McIllece|Utoljára frissítve:: 2017. 03. 10.
|
1 Közreműködő

Vonatkozik: Windows Server 2016

A forgatókönyv leírása

Ebben a forgatókönyvben egy egyetlen számítógép futtatja a Windows Server 2016, Windows Server 2012 R2 vagy Windows Server 2012 van konfigurálva az ajánlott beállításokkal DirectAccess-kiszolgálóként után már telepített és konfigurált VPN. Ha azt szeretné, konfigurálhatja a DirectAccess szolgáltatást vállalati szolgáltatásokkal, például terheléselosztásos fürttel, többhelyes konfigurációval vagy kétfaktoros ügyfél-hitelesítés, az egyetlen kiszolgáló beállítása a témakörben ismertetett forgatókönyv végrehajtásához, majd állítsa be a vállalati forgatókönyvet leírtak szerint távelérés központi telepítése vállalatban.

Ebben a forgatókönyvben

A távelérési kiszolgáló beállításához számos tervezési és telepítési lépés szükség.

Tervezési lépések

Tervezés két fázisra osztható:

  1. A távelérési infrastruktúra tervezése

    Ebben a fázisban ismerteti a távelérés központi telepítésének megkezdése előtt a hálózati infrastruktúra beállításához szükséges tervezést. A hálózati és Kiszolgálótopológia, tanúsítványok, tartománynévrendszer (DNS), az Active Directory és a csoportházirend-objektumot (GPO) konfigurációs és a DirectAccess hálózatihely-kiszolgáló megtervezését foglalja magában.

  2. A távelérés központi telepítésének tervezése

    Ebben a fázisban ismerteti a távelérés központi telepítésének előkészítéséhez szükséges tervezési lépéseket. Ez magában foglalja a távelérési ügyfélszámítógépeket, a kiszolgáló és a ügyfél-hitelesítési követelmények és az infrastruktúra-kiszolgálók.

Üzembe helyezési lépéseket

Központi telepítés három fázisra osztható:

  1. A távelérési infrastruktúra konfigurálása

    Ebben a fázisban a hálózat és útválasztási, tűzfal beállításait (ha szükséges), tanúsítványok, DNS-kiszolgálók, Active Directory és a csoportházirend-Objektumok beállításait, és konfigurálja a DirectAccess hálózatihely-kiszolgáló.

  2. Távelérési kiszolgáló beállításainak konfigurálása

    Ebben a fázisban konfigurálja a távelérési ügyfélszámítógépeket, a távelérési kiszolgáló és az infrastruktúra-kiszolgálókat.

  3. A telepítés ellenőrzése

    Ebben a fázisban ellenőrzi, hogy a telepítés az elvárásoknak megfelelően működik szükséges.

Gyakorlati alkalmazások

Egy önálló távelérési kiszolgáló központi telepítése az alábbi előnyöket nyújtja:

  • Könnyű kezelés

    Felügyelt ügyfélszámítógépek DirectAccess-ügyfélszámítógépek számára a Windows 8 és Windows 7 rendszert futtató számítógépek konfigurálhatók. Ezek az ügyfelek belső hálózati erőforrásokhoz DirectAccess szolgáltatáson keresztül bármikor hozzáférhetnek az interneten, jelentkezzen be a VPN-kapcsolat nélkül találhatók. A következő operációs rendszerek nem futnak ügyfélszámítógépek a belső hálózaton a VPN-Kapcsolaton keresztül csatlakozhat. DirectAccess és VPN kezelése ugyanazon a konzolon, ugyanazokkal a varázslókkal történik.

  • A könnyű kezelés

    Internet-hozzáféréssel rendelkező DirectAccess-ügyfélszámítógépeket távolról felügyelhetik a távelérési szolgáltatás rendszergazdái a DirectAccess szolgáltatással, még akkor is, ha az ügyfélszámítógépek nem a belső vállalati hálózaton találhatók. A vállalati követelményeknek meg nem felelő ügyfélszámítógépek automatikusan kijavíthatók a kezelési kiszolgálók.

Ehhez a forgatókönyvhöz szükséges szerepkörök és szolgáltatások

A következő táblázat a szerepköröket és szolgáltatásokat, ehhez a forgatókönyvhöz szükséges:

Szerepkör/szolgáltatásHogyan támogatja a példánkban szereplő
Távelérési szerepkörA szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol vagy a Windows PowerShell használatával. A szerepkör magában foglalja a DirectAccess szolgáltatást, amely korábban szolgáltatása volt a Windows Server 2008 R2 és az Útválasztás és távelérés szolgáltatást, amely korábban a hálózati házirend- és elérési szolgáltatások (NPAS) kiszolgálói szerepkör alá tartozó szerepkör-szolgáltatás volt. A távelérési szerepkör két összetevőből áll:

1. A DirectAccess és az Útválasztás és távelérés szolgáltatás (RRAS VPN): felügyelete, a távelérés kezelési konzolján.
2. RRAS útválasztás: Felügyelete az Útválasztás és távelérés konzolon történik.

A távelérési kiszolgáló szerepkör az alábbi kiszolgálói funkcióktól függ:

– Internet Information Services (IIS) webkiszolgálón: az alapértelmezett webes mintavétel, valamint a távelérési kiszolgáló a hálózatihely-kiszolgáló konfigurálásához szükséges.
– Belső Windows-adatbázis: Helyi nyilvántartásra szolgál a a távelérési kiszolgáló.
Távelérés-kezelési eszközök szolgáltatásEz a szolgáltatás telepítve van a következő:

-Alapértelmezés szerint egy távelérési kiszolgálón a távelérési szerepkör telepítésekor. A távoli felügyelet konzol felhasználói felületét és a Windows PowerShell-parancsmagokat támogatja.
– Opcionálisan a távelérés kiszolgálói szerepkört nem futtató kiszolgálón telepítve. Ebben az esetben egy DirectAccess és VPN szolgáltatást futtató távelérési számítógép távoli felügyeletére szolgál azt.

A távelérés-kezelési eszközök szolgáltatás az alábbiakat foglalja magában:

-Távelérési grafikus felhasználói felület
-A Windows PowerShell távelérési modul

A függőségek az alábbiak:

– A Csoportházirend kezelése konzol
-RAS Csatlakozáskezelő felügyeleti csomag (CMAK)
– A Windows PowerShell 3.0-s
-A grafikus felügyeleti eszközök és infrastruktúra

Hardverkövetelmények

Ez a forgatókönyv hardverkövetelményei a következők:

Kiszolgálókövetelmények

  • A Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.

  • A kiszolgálón telepített, engedélyezett és a belső hálózathoz csatlakoztatott legalább egy hálózati adapterrel kell rendelkeznie. Ha két adapter használata esetén nem kell egy adaptert a belső vállalati hálózaton, a másikat a külső hálózathoz csatlakozni (Internet).

  • Ha a Teredo szükséges IPv4 – IPv6 átviteli protokollként, akkor a kiszolgáló külső adapterének két egymást követő nyilvános IPv4-címet igényel. A DirectAccess engedélyezése varázsló nem engedélyezi a Teredót, még akkor is, ha két egymást követő IP-címek találhatók. Ha egy IP-cím áll rendelkezésre, csak az IP-HTTPS használható átviteli protokollként.

  • Legalább egy tartományvezérlő. A távelérési kiszolgáló és a DirectAccess-ügyfeleknek tartománytagoknak kell lenniük.

  • A DirectAccess engedélyezése varázsló tanúsítványokat igényel az IP-HTTPS és a hálózatihely-kiszolgáló. Ha az SSTP VPN már használ egy tanúsítványt, az IP-HTTPS újból használni. Ha az SSTP VPN nincs konfigurálva, konfigurálhat egy tanúsítványt az IP-HTTPS, vagy használhat egy automatikusan létrehozott önaláírt tanúsítványt. A hálózatihely-kiszolgáló esetén konfigurálhat egy tanúsítványt, vagy használhat egy automatikusan létrehozott önaláírt tanúsítványt.

Ügyfél-követelmények

  • Windows 8 vagy Windows 7 egy ügyfélszámítógépet kell futnia.

    Megjegyzés

    Az alábbi operációs rendszerek használhatók DirectAccess-ügyfelek: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

Infrastruktúra- és kezelésikiszolgáló-követelmények

  • A DirectAccess-ügyfélszámítógépek távoli felügyelete során ügyfelek kommunikációt kezdeményeznek a kezelési kiszolgálók, például tartományvezérlőkkel, System Center configuration-kiszolgálók és állapotjegyző (HRA) kiszolgálók szolgáltatásokhoz, a Windows és víruskereső-frissítéseket, valamint hálózatvédelem (NAP) ügyfél-kompatibilitást foglalnak magukban. A szükséges kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.

  • Ha a távelérési ügyfél NAP-kompatibilitást igényel, a hálózati házirend-kiszolgáló (NPS) és a HRA kell telepíteni a távelérés központi telepítésének megkezdése előtt.

  • A Windows Server 2012, Windows Server 2008 R2 vagy Windows Server 2008 SP2-n futtató DNS-kiszolgáló szükség.

Szoftverkövetelmények meghatározása

Ez a forgatókönyv szoftverkövetelményei a következők:

Kiszolgálókövetelmények

  • A távelérési kiszolgáló egy tartomány tagja kell lennie. A kiszolgáló telepíthető a peremhálózaton, a belső hálózaton, vagy egy peremhálózati tűzfal vagy egyéb eszköz mögött.

  • Ha a távelérési kiszolgáló egy peremhálózati tűzfal vagy cím címfordítási (NAT-) eszköz mögött található, az eszközt úgy kell konfigurálni a távelérési kiszolgálótól érkező és az adatforgalom engedélyezéséhez.

  • A kiszolgálón a távelérés központi telepítését végző személynek a kiszolgálón helyi rendszergazdai engedélyekkel, valamint tartományi felhasználói engedélyekkel kell rendelkeznie. A rendszergazdának emellett engedélyekkel kell a DirectAccess-telepítésben használt csoportházirend-objektumokhoz. A DirectAccess telepítését a hordozható számítógépekre korlátozó szolgáltatások előnyeinek kihasználása érdekében csak a tartományvezérlő egy WMI-szűrő létrehozásához szükséges engedélyek szükségesek.

Távoli ügyfelekre vonatkozó követelmények

  • DirectAccess-ügyfeleknek tartománytagoknak kell lenniük. Ügyfeleket tartalmazó tartományok tartozhatnak a távelérési kiszolgálóval megegyező erdőbe, vagy rendelkezhetnek kétirányú megbízhatósági kapcsolattal a távelérési kiszolgáló erdejével vagy tartományával.

  • Egy Active Directory biztonsági csoport szükséges a DirectAccess-ügyfélként konfigurált számítógépek tartalmazza. Ha egy biztonsági csoport alapértelmezés szerint a DirectAccess-ügyfelek beállításainak konfigurálásakor nincs megadva, az ügyfél csoportházirend-Objektumot alkalmazza a található összes hordozható számítógépre (amelyek DirectAccess-kompatibilisek) a tartományi számítógépek biztonsági csoportban. Az alábbi operációs rendszerek használhatók DirectAccess-ügyfelek: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise és Windows 7 Ultimate.

    Megjegyzés

    Azt javasoljuk, hogy minden egyes tartományhoz, amely tartalmazza a DirectAccess-ügyfélként konfigurált számítógépek biztonsági csoport létrehozása.

© 2017 Microsoft