Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden

  • Artikel

 

Gäller för: Windows Server 2012 R2, Windows Server 2012

Det här ger en introduktion till DirectAccess-scenariot som använder en enskild DirectAccess-server och låter dig distribuera DirectAccess i några enkla steg.

Information om alternativa distributionssätt finns i DirectAccess distribution vägar i Windows Server.

Viktigt

För att distribuera DirectAccess med hjälp av den här guiden så måste du använda dig av en DirectAccess-server som kör Windows Server® 2012 R2 eller Windows Server® 2012.

Innan du börjar distributionen bör du se över listan över icke-stödda konfigurationer, kända problem och förutsättningar

Du kan använda följande avsnitt för att se över förutsättningar och annan information innan du distribuerar DirectAccess med Windows Server® 2012 R2 och Windows Server® 2012.

Scenario-beskrivning

I det här fallet konfigureras en enskild dator som antingen kör Windows Server 2012 R2 eller Windows Server 2012 som en DirectAccess-server i några enkla steg.

  1. I det enkla scenariot konfigureras DirectAccess med standardinställningar med hjälp av en enkel guide, utan något behov av att konfigurera inställningar för infrastruktur som en certifikatutfärdare (CA) eller Active Directory säkerhetsgrupper.

  2. Om du vill konfigurera en avancerad distribution med anpassade inställningar, se Distribuera en DirectAccess-server med avancerade inställningar

  3. Om du vill konfigurera DirectAccess med företagsfunktioner, som exempelvis ett belastningsutjämnat kluster, distribution över flera platser, eller tvåstegsautentisering av klienter så slutför du scenariot som det beskrivs i det här avsnittet för att ställa in en enskild server och konfigurerar sedan det önskade företagsscenariot med hjälp av Distribuera fjärråtkomst i ett företag.

I detta scenario

Om du vill konfigurera en enkel DirectAccess-server så krävs ett antal steg för planering och distribution.

Förutsättningar

Innan du börjar distribuera det här scenariot, se över den här listan för viktiga krav:

  • Windows-brandvägg måste vara aktiverad på alla profiler.
  • Det här scenariot stöds endast när dina klientdatorer kör Windows® 8.1 och Windows® 8.
  • ISATAP i företagsnätverket stöds inte. Om du använder ISATAP bör du ta bort det och använda inbyggd IPv6.
  • En infrastruktur för offentliga nycklar krävs inte.
  • Stöds inte för distribution av tvåstegs-autentisering. Autentiseringsuppgifter för domänen krävs för autentisering.
  • Distribuerar automatiskt DirectAccess till alla bärbara datorer i den nuvarande domänen.
  • Trafik mot Internet går inte över DirectAccess-tunneln. Konfiguration med tunnelkrav stöds inte.
  • DirectAccess-servern är nätverksplatsservern.
  • Nätverksåtkomstskydd (NAP) stöds inte.
  • Att ändra policys utanför hanteringskonsolen för DirectAccess eller PowerShell cmdlets stöds inte.

Planeringssteg

Planeringen är uppdelad i två faser:

  1. Planering för DirectAccess infrastruktur - Den här fasen beskriver den planering som krävs för att ställa in nätverksinfrastrukturen innan du påbörjar en DirectAccess-distribution. Den inkluderar planering av nätverks- och servertopologin och DirectAccess nätverksplatsservern.

  2. Planering för DirectAccess distribution—Den här fasen beskriver de planeringssteg som krävs för att förbereda för DirectAccess distribution. Den omfattar planering för DirectAccess-klientdatorer, autentiseringskrav för server och klienter, VPN-inställningar, infrastrukturservrar samt hanterings- och applikationsservrar.

För detaljerade planeringssteg, se Planera en avancerad DirectAccess-distribution.

Distributionssteg

Distributionen är uppdelad i tre faser:

  1. Konfiguration av DirectAccess-infrastruktur—Den här fasen omfattar konfiguration av nätverk och routing, konfiguration av brandväggsinställningar vid behov, konfiguration av certifikat, DNS-servrar, Active Directory och GPO-inställningar samt DirectAccess nätverksplatsservern.

  2. Konfiguration av DirectAccess serverinställningar—Den här fasen inkluderar steg för konfiguration av DirectAccess klientdatorer, DirectAccess-servern, infrastrukturservrar, hanterings- och applikationsservrar.

  3. Verifiering av distributionen—Den här fasen inkluderar steg för att verifiera att distributionen fungerar som den ska.

För detaljerade distributionssteg, se Installera och konfigurera grundläggande DirectAccess.

Praktiska tillämpningar

Att distribuera en enskild server för fjärråtkomst ger följande:

  • Enkel åtkomst—Du kan konfigurera hanterade klientdatorer som kör Windows 8,1, Windows 8, och Windows® 7 som DirectAccess-klienter. Dessa klienter har åtkomst till interna nätverksresurser via DirectAccess närhelst de befinner sig på Internet, utan att de behöver logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via traditionella VPN-anslutningar.

  • Enkel hantering—DirectAccess-klientdatorer som befinner sig på Internet kan fjärrhanteras via fjärråtkomst-administratörer via DirectAccess, även när klientdatorerna inte befinner sig på det interna företagsnätverket. Klientdatorer som inte uppfyller företagskraven kan automatiskt åtgärdas av hanteringsservrar. Både DirectAccess och VPN hanteras i samma konsol och med samma uppsättning guider. Dessutom kan en eller flera fjärråtkomst-servrar hanteras från en enda hanteringskonsol för fjärråtkomst

Roller och funktioner som ingår i det här scenariot

Följande tabell listar de roller och funktioner som krävs för scenariot:

Roll/funktion

Hur den stöder det här scenariot

Fjärråtkomstroll

Rollen installeras och avinstalleras med konsolen i serverhanteraren eller med Windows PowerShell. Den här rollen omfattar både DirectAccess som tidigare var en funktion i Windows Server 2008 R2 och tjänster för routing och fjärråtkomst, som tidigare var en rolltjänst under serverrollen nätverkspolicy och åtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:

  1. DirectAccess och tjänster för routing och fjärråtkomst (RRAS) VPN – DirectAccess och VPN hanteras gemensamt i hanteringskonsolen för fjärråtkomst.

  2. RRAS-routing – RRAS-routingfunktioner hanteras i den bakåtkompatibla konsolen för routing och fjärråtkomst.

Serverroller för fjärråtkomst är beroende av följande serverroller/funktioner:

  • Webbserver för Internet Information Services (IIS) – Den här funktionen krävs för att konfigurera nätverksplatsservern på fjärråtkomstservern och standard-webbavsökning.

  • Intern Windows-databas – Används för lokal redovisning på fjärråtkomstservern.

Funktionen Verktyg för fjärråtkomsthantering

Den här funktionen installeras på följande sätt:

  • Den installeras som standard på en fjärransluten server när fjärråtkomstrollen installeras, och den stöder fjärrhanteringskonsolens användargränssnitt och Windows PowerShell-cmdletar.

  • Den kan också alternativt installeras på en server som inte kör serverrollen för fjärråtkomst. I det fallet används den för fjärrhantering av en fjärråtkomstdator som kör DirectAccess och VPN.

Funktionen Verktyg för fjärråtkomsthantering består av följande:

  • Fjärråtkomst-GUI

  • Fjärråtkomstmodul för Windows PowerShell

Beroenden är:

  • Konsolen Grupprinciphantering

  • Administration av RAS-anslutningshanteraren (CMAK)

  • Windows PowerShell 3.0

  • Verktyg för grafikhantering och infrastruktur

Maskinvarukrav

Följande maskinvarukrav finns för det här scenariot:

  • Serverkrav:

    • En dator som uppfyller maskinvarukraven för Windows Server 2012 R2 eller Windows Server 2012.

    • Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används bör ett kort vara anslutet till det interna företagsnätverket och ett anslutet till det externa nätverket (Internet eller privat nätverk).

    • Minst en domänkontroller. Fjärråtkomstservern och DirecAccess-klienterna måste vara domänmedlemmar.

  • Klientkrav:

    • En klientdator måste köra antingen Windows 8,1 eller Windows 8.

      Viktigt

      Om några eller alla dina klientdatorer kör Windows 7 så måste du använda den avancerade installationsguiden. Installationsguiden komma igång som beskrivs i det här dokumentet, stöder inte klientdatorer som kör Windows 7. Se Distribuera en DirectAccess-server med avancerade inställningar för anvisningar om hur du använder Windows 7-klienter med DirectAccess.

      System_CAPS_noteInformation

      Det är bara följande operativsystem som kan användas som DirectAccess-klienter: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise, och Windows 7 Ultimate.

  • Krav för infrastruktur- och hanteringsserver:

    • Om VPN är aktiverat och en statisk IP-adresspool inte har konfigurerats så måste du distribuera en DHCP-server för att allokera IP-adresser automatiskt till VPN-klienter.

  • En DNS-server som kör Windows Server 2008 SP2, Windows Server 2008 R2 eller Windows Server 2012 krävs.

Programvarukrav

Det finns ett antal krav för det här scenariot:

  • Serverkrav:

    • Fjärråtkomstservern måste vara en domänmedlem. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en gränsbrandvägg eller annan enhet.

    • Om fjärråtkomstservern finns bakom en gränsbrandvägg eller NAT-enhet så måste enheten konfigureras för att tillåta trafik till och från fjärråtkomstservern.

    • Den person som distribuerar fjärråtkomst på servern måste ha lokala administratörsbehörigheter på servern och behörigheter för domänanvändare. Dessutom måste administratören ha behörigheter för de GPO:er som används för DirectAccess-distributionen. För att dra nytta av funktioner som begränsar DirectAccess-distribution till bärbara datorer så krävs behörigheter att skapa ett WMI-filter på domänkontrollern.

  • Klientkrav för fjärråtkomst:

    • DirectAccess-klienter måste vara domänmedlemmar. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern, eller ha ett dubbelriktat förtroende med fjärråtkomst-serverskogen.

    • En Active Directory-säkerhetsgrupp måste innehålla de datorer som ska konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar inställningarna för DirectAccess-klienterna så kommer klient-GPO:n implementeras på alla bärbara datorer i säkerhetsgruppen domändatorer som standard. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.

Se även

Följande tabell innehåller länkar till ytterligare resurser.

Innehållstyp

Referenser

Fjärråtkomst på TechNet

Fjärråtkomst TechCenter

Produktutvärdering

Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB

Test Lab-guide: Visa en Multisite DirectAccess-distribution

Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID

Verktyg och inställningar

PowerShell-cmdletar för fjärråtkomst 

Gruppresurser

DirectAccess Wiki-inlägg

Närliggande tekniker

Hur IPv6 fungerar