Distribuera en DirectAccess-server med avancerade inställningar

  • Artikel

 

Gäller för: Windows Server 2012 R2, Windows Server 2012

Det här avsnittet innehåller en introduktion till DirectAccess-scenariot som använder en enda DirectAccess-server och som gör att du kan distribuera DirectAccess med avancerade inställningar.

Du kan också distribuera grundläggande DirectAccess och DirectAccess för företagsmiljöer. Information om alternativa distributionssätt finns i DirectAccess distribution vägar i Windows Server.

  • Om du vill konfigurera en grundläggande distribution med enbart enkla inställningar, kan du läsa mer i Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden. I det enkla scenariot konfigureras DirectAccess med standardinställningar med hjälp av en guide, utan om du behöver konfigurera infrastrukturinställningar som en certifikatutfärdare (CA) eller Active Directory-säkerhetsgrupper.

  • Om du vill konfigurera DirectAccess med funktioner för företagsnätverk, exempelvis ett belastningsutjämnade kluster, multisite-distribution och tvåfaktors-klientautentisering, så kan du slutföra det scenario som beskrivs i det här avsnittet för att konfigurera en enskild server och sedan implementera företagsscenariot som beskrivs i Distribuera fjärråtkomst i ett företag.

Viktigt

För att distribuera DirectAccess med hjälp av den här guiden så måste du använda dig av en DirectAccess-server som kör Windows Server® 2012 R2 eller Windows Server® 2012.

I detta scenario

Om du vill konfigurera en DirectAccess-server med avancerade inställningar måste du slutföra flera steg för planering och distribution.

Förutsättningar

Innan du börjar bör du gå igenom följande krav.

  • Windows-brandväggen måste vara aktiverad på alla profiler.

  • DirectAccess-servern är nätverksplatsservern.

  • Du vill att alla trådlösa datorer i domänen där installerar DirectAccess-servern ska vara DirectAccess-aktiverade. När du distribuerar DirectAccess aktiveras det automatiskt på alla bärbara datorer i den aktuella domänen.

Viktigt

Vissa tekniker och konfigurationer stöds inte när du distribuerar DirectAccess.

  • ISATAP (Intra-Site automatisk Tunnel Addressing Protocol) i företagsnätverket stöds inte. Om du använder ISATAP måste du ta bort den och använda intern IPv6.

Planeringssteg

Planeringen är uppdelad i två steg:

  1. Planera för DirectAccess-infrastrukturen. Den här fasen beskriver den planering som krävs för att ställa in nätverksinfrastrukturen innan du påbörjar en DirectAccess-distribution. Den omfattar planering av nätverks- och servertopologi, planering av certifikat, DNS, Active Directory och grupprincipobjektkonfiguration (GPO) och DirectAccess-nätverksplatsservern.

  2. Planera för DirectAccess-distribution. I den här fasen beskrivs planeringsstegen som krävs för att förbereda för DirectAccess-distribution. Den omfattar planering för DirectAccess-klientdatorer, server- och klientautentiseringskrav, VPN-inställningar, infrastrukturservrar, hanterings- och programservrar.

För detaljerade planeringssteg, se Planera en avancerad DirectAccess-distribution.

Distributionssteg

Distributionen är uppdelat i tre steg:

  1. Konfigurering av DirectAccess-infrastrukturen. Den här fasen inkluderar konfigurering av nätverk och routning, konfigurering av brandväggsinställningar om så behövs, konfigurering av certifikat, DNS-servrar, Active Directory- och GPO-inställningar samt DirectAccess-nätverksplatsservern.

  2. Konfigurering av inställningar för DirectAccess-servern. Denna fas omfattar steg för att konfigurera DirectAccess-klientdatorer, DirectAccess-servern, infrastrukturservrar, hanterings- och programservrar.

  3. Kontroll av distributionen. Denna fas omfattar åtgärder för att kontrollera DirectAccess-distributionen.

För detaljerade distributionssteg, se Installera och konfigurera avancerad DirectAccess.

Praktiska tillämpningar

Att distribuera en enstaka DirectAccess-server ger följande:

  • Enkel åtkomst. Hanterade klientdatorer som kör Windows® 8.1, Windows® 8 och Windows® 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet, utan att du behöver logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via VPN.

  • Enkel hantering. DirectAccess-klientdatorer som är på Internet kan fjärrhanteras av fjärråtkomstadministratörer via DirectAccess, även när klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar. Både DirectAccess och VPN hanteras i samma konsol och med samma uppsättning guider. Dessutom kan en eller flera DirectAccess-servrar hanteras från en enda hanteringskonsol för fjärråtkomst

Roller och funktioner som krävs för det här scenariot

I följande tabell visas de roller och funktioner som krävs för scenariot:

Roll/funktion

Hur den stöds i detta scenario

Fjärråtkomstroll

Rollen installeras och avinstalleras med hjälp av Serverhanterarens konsol eller Windows PowerShell. Den här rollen omfattar både DirectAccess och tjänster för routing and fjärråtkomst (RRAS). Fjärråtkomstrollen består av två komponenter:

  1. DirectAccess och RRAS VPN – DirectAccess och VPN hanteras tillsammans i hanteringskonsolen för fjärråtkomst.

  2. RRAS-routning – RRAS-routningsfunktionerna hanteras i den äldre konsolen Routning och fjärråtkomst.

Fjärråtkomstserverrollen är beroende av följande serverroller\funktioner:

  • Webbserver för Internet Information Services (IIS) – Den här funktionen krävs för att konfigurera nätverksplatsservern på DirectAccess-servern och standardwebbavsökningen.

  • Intern Windows-databas – Används för lokal redovisning på DirectAccess-servern.

Funktionen Verktyg för hantering av fjärråtkomst

Den här funktionen installeras på följande sätt:

  • Den installeras som standard på en DirectAccess-server när DirectAccess-rollen är installerad, samt stöder fjärrhanteringskonsolens användargränssnitt och Windows PowerShell-cmdletar.

  • Den kan också installeras på en server som inte kör DirectAccess-serverrollen. Den används i det här fallet för fjärrhantering av en fjärråtkomstdator som kör DirectAccess och VPN.

Funktionen Verktyg för hantering av fjärråtkomst består av följande:

  • Fjärråtkomst för grafiskt användargränssnitt (GUI)

  • Fjärråtkomstmodul för Windows PowerShell

Beroenden inkluderar:

  • Konsolen Grupprinciphantering

  • Administration av anslutningshanteraren för fjärråtkomst (CMAK)

  • Windows PowerShell 3.0

  • Verktyg för grafikhantering och infrastruktur

Maskinvarukrav

Följande maskinvarukrav finns för det här scenariot:

  • Serverkrav:

    • En dator som uppfyller maskinvarukraven för Windows Server 2012.

    • Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används bör ett kort vara anslutet till det interna företagsnätverket och ett som är anslutet till det externa nätverket (Internet eller privat nätverk).

    • Om Teredo krävs som ett övergångsprotokoll från IPv4 till IPv6, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Om det finns en enskild IP-adress kan endast IP-HTTPS användas som övergångsprotokoll.

    • Minst en domänkontrollant. DirectAccess-servern och DirectAccess-klienterna måste vara domänmedlemmar.

    • Om du inte vill använda självsignerade certifikat för IP-HTTPS eller nätverksplatsservern eller om du vill använda certifikat för IPsec-klientautentisering, krävs en certifikatutfärdare (CA). Alternativt kan du begära certifikat från en offentlig certifikatutfärdare.

    • Om nätverksplatsservern inte finns på DirectAccess-servern krävs en separat webbserver för att köra den.

  • Klientkrav:

    • En klientdator måste köra Windows 8 eller Windows 7.

      System_CAPS_noteInformation

      Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.

  • Krav för infrastruktur och hanteringsserver:

    • Klienter initierar kommunikationen med hanteringsservrar, till exempel domänkontrollanter och System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) för tjänster som omfattar Windows- och antivirusuppdateringar och NAP-klientkompatibilitet (Network Access Protection) vid fjärrstyrning av klientdatorer med direktåtkomst. De servrar som krävs bör distribueras innan du påbörjar distributionen av fjärråtkomst.

    • Om fjärråtkomsten kräver NAP-klientkompatibilitet, måste NPS- och HRS-servrarna distribueras innan distributionen av fjärråtkomst påbörjas

    • Om VPN är aktiverad krävs en DHCP-server för att automatiskt tilldela IP-adresser till VPN-klienter, om inte någon statisk adresspool används.

Programvarukrav

Det finns ett antal krav för det här scenariot:

  • Serverkrav:

    • DirectAccess-servern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.

    • Om DirectAccess-servern finns bakom en gränsbrandvägg eller NAT-enhet, måste enheten konfigureras för att tillåta trafik till och från DirectAccess-servern.

    • Den person som distribuerar fjärråtkomst på servern behöver ha lokal administratörsbehörighet för servern och användarbehörigheter för domänen. Dessutom måste administratören ha behörigheter för de grupprincipobjekt som används i DirectAccess-distributionen. För att dra nytta av funktioner som begränsar DirectAccess-distribution till bärbara datorer så krävs behörigheter att skapa ett WMI-filter på domänkontrollern.

  • Klientkrav för fjärråtkomst:

    • DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som DirectAccess-servern eller har ett dubbelriktat förtroende med DirectAccess-serverskogen eller domänen.

    • En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningarna, tillämpas klientens grupprincipobjekt som standard på alla bärbara datorer i domändatorernas säkerhetsgrupp. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise och Windows 7 Ultimate.

      System_CAPS_noteInformation

      Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller DirectAccess-klientdatorer.

      Viktigt

      Om du har aktiverat Teredo i din DirectAccess-distribution och vill ge åtkomst till Windows 7-klienter, se då till att klienterna är uppgraderade till Windows 7 med SP1. Klienter som använder Windows 7 RTM kommer inte kunna ansluta via Teredo. Dessa klienter kommer dock fortfarande att kunna ansluta till företagsnätverket via IP-HTTPS.

Se även

Följande tabell innehåller länkar till ytterligare resurser.

Innehållstyp

Referenser

Fjärråtkomst på TechNet

Fjärråtkomst TechCenter

Produktutvärdering

Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB

Test Lab-guide: Visa en Multisite DirectAccess-distribution

Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID

Distribution

DirectAccess distribution vägar i Windows Server

Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden

Distribuera fjärråtkomst i ett företag

Verktyg och inställningar

PowerShell-cmdletar för fjärråtkomst 

Gruppresurser

DirectAccess Överlevnadsguide

DirectAccess Wiki-inlägg

Närliggande tekniker

Hur IPv6 fungerar