Hantera fjärråtkomst
Gäller för: Windows Server 2012 R2, Windows Server 2012
Distributionsscenariot för DirectAccess fjärrklienthantering använder DirectAccess för att underhålla klienter via Internet. I det här avsnittet beskrivs scenariot med faser, roller, funktioner och länkar till ytterligare resurser.
Obs! Windows Server 2012 kombinerar DirectAccess and tjänsten Routning och fjärråtkomst till en enda fjärråtkomstroll.
.jpeg "System_CAPS_note") Information |
|---|
Utöver det här avsnittet finns även följande avsnitt som behandlar fjärråtkomsthantering. |
Scenariobeskrivning
DirectAccess-klientdatorer är anslutna till intranätet när de är anslutna till Internet, oavsett om användaren har loggat in på datorn eller inte. De kan hanteras som intranätresurser och uppdateras genom grupprincipändringar, uppdateringar av operativsystemet, uppdateringar av program mot skadlig kod och andra organisatoriska förändringar.
I vissa fall måste intranätservrar eller datorer initiera anslutningar till DirectAccess-klienter. Help Dtechnicians kan t.ex. använda anslutningar till fjärrskrivbord för att ansluta till och felsöka DirectAccess-fjärrklienter. I det här scenariot kan du behålla din befintliga fjärråtkomstlösning, istället för användarens anslutning, när du använder DirectAccess för fjärrhantering.
DirectAccess i Windows Server 2012 tillhandahåler en konfiguration som stöder fjärrhantering av DirectAccess-klienter. Du kan använda ett distributionsguidesalternativ som begränsar skapandet av principer till enbart de som krävs för fjärrhantering av klientdatorer.
| Information |
|---|
I den här distributionen är konfigurationsalternativ på användarnivå, som t.ex. tvingad tunneltrafik, NAP-integrering och tvåfaktorsautentisering, inte tillgängliga. |
I detta scenario
Distributionsscenariot för DirectAccess fjärrklienthantering innehåller följande planerings- och konfigurationssteg.
Planera distributionen
Planeringen av det här scenariot ställer bara ett fåtal krav på dator och nätverk. Dessa är:
Nätverks- och servertopologi: Med DirectAccess kan du placera din RAS-server i utkanten av intranätet eller bakom en NAT-enhet eller brandvägg.
DirectAccess-nätverksplatsserver:Nätverksplatsservern används av DirectAccess-klienter för att fastställa om de finns i det interna nätverket eller inte. Nätverksplatsservern kan installeras på DirectAccess-servern eller på en annan server.
DirectAccess-klienter:Bestämma vilka hanterade datorer som ska konfigureras som direktåtkomstklienter.
Konfigurera distributionen
Att konfigurera distributionen omfattar ett antal olika steg. De är:
Konfigurera infrastrukturen: Konfigurera DNS-inställningarna, anslut server- och klientdatorerna till en domän om så behövs, och konfigurera Active Directory-säkerhetsgrupper.
I det här distributionsscenariot skapas grupprincipobjekt automatiskt genom fjärråtkomst. Mer information om avancerade alternativ för certifikatsgrupprincipobjekt finns i Distribuera en DirectAccess-server med avancerade inställningar.
Konfigurera fjärråtkomstservern och nätverksinställningar: Konfigurera nätverkskort, IP-adresser och routning.
Konfigurera inställningar för certifikat: I detta distributionsscenario skapar guiden Komma igång ett självsignerat certifikat, så du behöver inte konfigurera den mer avancerade certifikatinfrastrukturen som beskrivs i avsnittet Distribuera en DirectAccess-server med avancerade inställningar.
Konfigurera nätverksplatsserver: I det här scenariot är nätverksplatsservern installerad på fjärråtkomstservern.
Planera DirectAccess-hanteringsservrar: Administratörer kan fjärrhantera DirectAccess-klientdatorer som finns utanför företagsnätverk genom att använda Internet. Hanteringsservrar kan vara datorer som används under fjärrklienthantering (t.ex. uppdateringsservrar).
Konfigurera fjärråtkomstservern: Installera fjärråtkomstrollen och kör DirectAccess-guiden Komma igång när du ska konfigurera DirectAccess.
Kontroller distributionen: Testa en klient för att kontrollera att den kan ansluta till det interna nätverket och Internet genom att använda DirectAccess.
Praktiska tillämpningar
Att distribuera en enstaka fjärråtkomstserver för hantering av DirectAccess-klienter ger följande:
Hjälpmedel: Hanterade klientdatorer som kör Windows 8 eller Windows 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter har åtkomst till interna nätverksresurser via DirectAccess när de är anslutna till Internet, utan att behöva logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via VPN. DirectAccess och VPN hanteras samma konsol och med samma uppsättning guider.
Enkel hantering: DirectAccess-klientdatorer som är anslutna till Internet kan fjärrhanteras av fjärråtkomstadministratörer som använder DirectAccess, även när klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagskraven kan automatiskt åtgärdas av hanteringsservrar. En eller flera fjärråtkomstservrar kan hanteras från en enda hanteringskonsol för fjärråtkomst.
Roller och funktioner som ingår i det här scenariot
I följande tabell visas de roller och funktioner som krävs för scenariot:
Roll eller funktion |
Hur den stöds i detta scenario |
|---|---|
Fjärråtkomstroll |
Den här rollen installerar och avinstallerar du med hjälp av serverhanterarkonsolen eller Windows PowerShell. Den här rollen omfattar DirectAccess, som tidigare var en funktion i Windows Server 2008 R2 och Tjänster för Routning och fjärråtkomst, som tidigare var en rolltjänst i serverrollen Nätverkprincip- och nätverksåtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:
Fjärråtkomstserverrollen är beroende av följande funktioner:
|
Funktionen Verktyg för fjärråtkomsthantering |
Den här funktionen installeras på följande sätt:
Den här funktionen består av följande:
Beroenden är:
|
Maskinvarukrav
Följande maskinvarukrav finns för det här scenariot:
Serverkrav
En dator som uppfyller maskinvarukraven för Windows Server 2012. Mer information finns i Installera Windows Server 2012.
Servern måste ha minst ett nätverkskort installerat och aktiverat. Det bör bara finnas ett nätverkskort anslutet till det interna företagsnätverket, och bara ett som är anslutet till det externa nätverket (Internet).
Om Teredo krävs som ett övergångsprotokoll från IPv6 till IPv4, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Om det finns ett enda nätverkskort tillgängligt, så kan endast IP-HTTPS användas som övergångsprotokoll.
Minst en domänkontrollant. Fjärråtkomstservrar och DirectAccess-klienterna måste vara medlemmar i domänen.
Om du inte vill använda självsignerade certifikat för IP-HTTPS eller nätverksplatsservern eller om du vill använda certifikat för IPsec-klientautentisering, krävs en certifikatutfärdare på servern.
Klientkrav
- En klientdator måste köra Windows 8 eller Windows 7.
Krav för infrastruktur och hanteringsserver
Klienter initierar kommunikationen med hanteringsservrar, t.ex. domänkontrollanter och System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) vid fjärrstyrning av DirectAccess-klientdatorer. De här servrarna tillhandahåller tjänster som Windows- och antivirusuppdateringar och NAP-klientkompatibilitet. Du bör distribuera de servrar som krävs innan du påbörjar fjärråtkomstdistributionen.
En DNS-server som kör Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 eller Windows Server 2008 med SP2 krävs.
Programvarukrav
Följande programvarukrav finns för det här scenariot:
Serverkrav
Fjärråtkomstservern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en gränsbrandvägg eller annan enhet.
Om fjärråtkomstservern finns bakom en gränsbrandvägg eller NAT-enhet, måste enheten konfigureras för att tillåta trafik till och från fjärråtkomstservern.
Administratörer som distribuerar fjärråtkomstservrar måste ha lokal administratörsbehörighet på servern och domänanvändarbehörigheter. Dessutom måste administratören ha behörigheter för grupprincipobjekt som används för DirectAccess-distribution. Om du vill dra nytta av de funktioner som begränsar DirectAccess-distributionen till enbart bärbara datorer måste du ha domänadministratörsbehörigheter för domänkontrollanten för att kunna skapa ett WMI-filter.
Om nätverksplatsservern inte finns på fjärråtkomstservern krävs en separat server för att köra den.
Klientkrav för fjärråtkomst
DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller de kan ha ett dubbelriktat förtroende med fjärråtkomstserverskogen eller domänen.
En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Datorer som ska inte ingå i mer än en säkerhetsgrupp som innehåller DirectAccess-klienter. Om klienter ingår i flera grupper fungerar inte namnmatchning för klientförfrågningar som förväntat.
Se även
Följande tabell innehåller länkar till ytterligare resurser.
Innehållstyp |
Referenser |
|---|---|
Fjärråtkomst på TechNet |
|
Produktutvärdering |
Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB Test Lab-guide: Visa en Multisite DirectAccess-distribution Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID |
Verktyg och inställningar |
|
Gruppresurser |
|
Närliggande tekniker |