Delen via

Remote Access beheren

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

In het implementatiescenario voor DirectAccess-beheer van externe clients wordt DirectAccess gebruikt voor het beheer van clients via internet. In dit gedeelte wordt het scenario beschreven, inclusief de bijbehorende fasen, rollen, functies en koppelingen naar aanvullende informatiebronnen.

Opmerking: Windows Server 2012 combineert DirectAccess en RRAS (Routing and Remote Access Service) tot één functie voor externe toegang.

Notitie

Naast dit onderwerp zijn de volgende onderwerpen over RAS-beheer beschikbaar.

Scenariobeschrijving

DirectAccess-clientcomputers zijn verbonden met het intranet wanneer ze zijn verbonden met internet, ongeacht of de gebruiker is aangemeld bij de computer. Ze kunnen worden beheerd als intranetbronnen en worden bijgewerkt met groepsbeleidswijzigingen, besturingssysteemupdates, antimalwareupdates en andere organisatorische wijzigingen.

In sommige gevallen moeten intranetservers of computers verbinding maken met DirectAccess-clients. Help Dtechnicians kan bijvoorbeeld externe bureaubladverbindingen gebruiken om verbinding te maken met externe DirectAccess-clients voor het oplossen van problemen. In dit scenario kunt u uw bestaande RAS-oplossing behouden voor gebruikersverbindingen, terwijl u DirectAccess gebruikt voor extern beheer.

DirectAccess in Windows Server 2012 biedt een configuratie die extern beheer van DirectAccess-clients ondersteunt. U hebt de mogelijkheid om een implementatiewizard te gebruiken die uitsluitend de beleidsregels maakt die nodig zijn voor extern beheer van clientcomputers.

Notitie

In deze implementatie zijn configuratieopties op gebruikersniveau, zoals geforceerde tunneling, NAP-integratie (Network Access Protection) en tweeledige verificatie, niet beschikbaar.

In dit scenario

Het implementatiescenario voor DirectAccess-beheer van externe clients omvat de volgende stappen voor het plannen en configureren.

De implementatie plannen

Er zijn slechts een paar computer- en netwerkvereisten voor de planning van dit scenario. Ze omvatten:

  • Netwerk- en servertopologie: Met DirectAccess kunt u uw RAS-server aan de rand van uw intranet of achter een NAT-apparaat (Network Address Translation) of firewall plaatsen.

  • DirectAccess-netwerklocatieserver: De netwerklocatieserver wordt door DirectAccess-clients gebruikt om te bepalen of ze zich in het interne netwerk bevinden. De netwerklocatieserver kan worden gehost op de DirectAccess-server of op een andere server.

  • DirectAccess-clients: Bepaal welke beheerde computers worden geconfigureerd als DirectAccess-clients.

De implementatie configureren

De configuratie van uw implementatie bestaat uit een aantal stappen. Deze omvatten:

  1. De infrastructuur configureren: De DNS-instellingen configureren, de server en clientcomputers zo nodig aan een domein toevoegen en Active Directory-beveiligingsgroepen configureren.

    In dit implementatiescenario worden GPO's (Group Policy Objects, groepsbeleidsobjecten) automatisch gemaakt door Externe toegang. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor geavanceerde GPO-opties voor certificaten.

  2. RAS-server en netwerkinstellingen configureren: Netwerkadapters, IP-adressen en routering configureren.

  3. Certificaatinstellingen configureren: In dit implementatiescenario worden zelfondertekende certificaten gemaakt door de wizard Aan de slag. Daarom is het niet nodig om de meer geavanceerde certificaatinfrastructuur te configureren die wordt beschreven in het onderwerp Eén DirectAccess-server implementeren met geavanceerde instellingen.

  4. De netwerklocatieserver configureren: In dit scenario wordt de netwerklocatieserver op de RAS-server geïnstalleerd.

  5. DirectAccess-beheerservers plannen: Beheerders kunnen DirectAccess-clientcomputers die zich buiten het bedrijfsnetwerk bevinden extern beheren via internet. Beheerservers zijn onder andere computers die worden gebruikt voor extern clientbeheer (zoals updateservers).

  6. De RAS-server configureren: De RAS-rol installeren en de wizard Aan de slag van DirectAccess uitvoeren om DirectAccess te configureren.

  7. De implementatie controleren: Een client testen om te controleren of deze verbinding kan maken met het interne netwerk en internet via DirectAccess.

Praktische toepassingen

De implementatie van één RAS-server voor het beheren van DirectAccess-clients biedt het volgende:

  • Eenvoudige toegang: Beheerde clientcomputers met Windows 8 of Windows 7 kunnen worden geconfigureerd als DirectAccess-clientcomputers. Deze clients hebben toegang tot interne netwerkbronnen via DirectAccess telkens wanneer ze zijn verbonden met internet, zonder zich aan te hoeven melden bij een VPN-verbinding. Clientcomputers zonder een van deze besturingssystemen kunnen verbinding maken met het interne netwerk via een VPN. DirectAccess en VPN worden beheerd in dezelfde console en met dezelfde set wizards.

  • Eenvoudig beheer: DirectAccess-clientcomputers die zijn verbonden met internet kunnen op afstand worden beheerd door beheerders van externe toegang via DirectAccess, zelfs wanneer de clientcomputers zich niet in het interne bedrijfsnetwerk bevinden. Clientcomputers die niet voldoen aan vereisten van uw bedrijf, kunnen automatisch worden hersteld door beheerservers. Een of meer RAS-servers kunnen worden beheerd vanaf één beheerconsole voor externe toegang

Rollen en functies binnen dit scenario

In de volgende tabel ziet u de benodigde functies en onderdelen voor dit scenario:

Rol of functie

Ondersteuning voor dit scenario

RAS-functie

Deze rol wordt geïnstalleerd en verwijderd met behulp van de serverbeheerconsole of Windows PowerShell. Deze rol omvat DirectAccess, een vroegere functie van Windows Server 2008 R2, en Routering en RAS, een vroegere rolservice onder de serverrol Services voor netwerkbeleid en -toegang. De rol Externe toegang bestaat uit twee onderdelen:

  1. DirectAccess en de RRAS-VPN (Routing and Remote Access Services): DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.

  2. RRAS: Functies worden beheerd in de console Routering en RAS.

De Remote Access Server-rol is afhankelijk van de volgende serverfuncties:

  • Webserver (IIS): Vereist voor het configureren van de netwerklocatieserver en de standaardwebtest.

  • Windows Internal Database: Gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

  • Wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer.

  • Kan optioneel worden geïnstalleerd op een server waarop niet de RAS-serverrol wordt uitgevoerd. In dat geval wordt de server gebruikt voor extern beheer van een RAS-server.

Deze functie bestaat uit het volgende:

  • GUI en opdrachtregelprogramma's voor externe toegang

  • Remote Access-module voor Windows PowerShell

Afhankelijkheden zijn:

  • Console Groepsbeleidsbeheer

  • CMAK (Administration Kit voor Verbindingsbeheer) van RAS

  • Windows PowerShell 3.0

  • Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn als volgt:

Serververeisten

  • Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012. Zie Windows Server 2012 installeren voor meer informatie.

  • De server moet ten minste één netwerkadapter hebben geïnstalleerd en ingeschakeld. Er mag maximaal één adapter met het interne bedrijfsnetwerk en maximaal één adapter met het externe netwerk (internet) zijn verbonden.

  • Als Teredo is vereist als een IPv6-naar-IPv4-overgangsprotocol, moet de externe adapter van de server twee opeenvolgende openbare IPv4-adressen hebben. Als er maar één netwerkadapter beschikbaar is, kan alleen IP-HTTPS worden gebruikt als overgangsprotocol.

  • Ten minste één domeincontroller. De RAS-server en de DirectAccess-clients moeten domeinleden zijn.

  • Een certificeringsinstantie is vereist op de server als u geen zelfondertekende certificaten voor IP-HTTPS- of de netwerklocatieserver wilt gebruiken of als u clientcertificaten voor IPsec-clientauthenticatie wilt gebruiken.

Clientvereisten

  • Op een clientcomputer moet Windows 8 of Windows 7 worden uitgevoerd.

Vereisten voor infrastructuur- en beheerserver

  • Tijdens het externe beheer van DirectAccess-clientcomputers starten clients communicatie met beheerservers zoals domeincontrollers, System Center Configuration Servers en servers met statusregistratieautoriteit (HRA). Deze servers bieden onder meer services als Windows- en antivirusupdates en clientcompatibiliteit voor Beveiliging van netwerktoegang (NAP). U moet de vereiste servers implementeren voordat u externe toegang implementeert.

  • Er is een DNS-server vereist waarop Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008 met SP2 wordt uitgevoerd.

Softwarevereisten

De softwarevereisten voor dit scenario zijn als volgt:

Serververeisten

  • De RAS-server moet lid van een domein zijn. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een edge-firewall of ander apparaat.

  • Als de RAS-server zich achter een edge-firewall of een NAT-apparaat bevindt, moet het apparaat worden geconfigureerd om verkeer toe te staan van en naar de RAS-server.

  • Beheerders die een RAS-server implementeren, hebben lokale beheerdersbevoegdheden op de server en domeingebruikersmachtigingen nodig. Daarnaast heeft de beheerder machtigingen nodig voor de GPO's die in de DirectAccess-implementatie worden gebruikt. Als u wilt profiteren van de functies die een DirectAccess-implementatie tot alleen mobiele computers beperken, zijn domeinbeheerdersmachtigingen op de domeincontroller vereist voor het maken van een WMI-filter.

  • Als de netwerklocatieserver zich niet op de RAS-server bevindt, is een afzonderlijke server vereist om deze uit te voeren.

Remote Access-clientvereisten

  • DirectAccess-clients moet lid van een domein zijn. Domeinen die clients bevatten, kunnen deel uitmaken van hetzelfde forest als de RAS-server, of kunnen een tweerichtingvertrouwensrelatie hebben met het Remote Access-serverforest of domein.

  • Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten. Computers moeten niet worden opgenomen in meer dan een beveiligingsgroep met DirectAccess-clients. Als clients zijn opgenomen in meerdere groepen, werkt naamomzetting voor clientaanvragen niet zoals verwacht.

Zie ook

De volgende tabel bevat koppelingen naar aanvullende bronnen.

Inhoudstype

Verwijzingen

Remote Access op TechNet

Remote Access TechCenter (Engelstalig)

Productevaluatie

Testlabhandleiding: DirectAccess demonstreren in een cluster met Windows NLB

Test Lab Guide: Een DirectAccess-implementatie voor meerdere locaties demonstreren

Test Lab Guide: DirectAccess met OTP verificatie en SecurID RSA demonstreren

Hulpprogramma's en instellingen

PowerShell-cmdlets voor externe toegang 

Communitybronnen.

RRAS-productteamblog | TechNet-forum voor externe toegang

DirectAccess Wiki-vermeldingen

Verwante technologieën

How IPv6 works (Engelstalig)