Share via

Fjärrhantera DirectAccess-klienter

  • Artikel

 

Gäller för: Windows Server 2012 R2, Windows Server 2012

Obs! Windows Server 2012 kombinerar DirectAccess and tjänsten Routning och fjärråtkomst till en enda fjärråtkomstroll.

Det här avsnittet ger en introduktion till ett avancerat scenario som du kan använda när du vill konfigurera en enda fjärråtkomstserver för fjärrhantering av DirectAccess-klienter.

Scenariobeskrivning

I det här scenariot konfigureras en enda dator som kör Windows Server 2012 som en fjärråtkomstserver med det enda syftet att fjärrhantera DirectAccess-klienter. Med det här scenariot kan du fjärrhantera klienter, men andra komponenter inaktiveras som du kan använda om du väljer en fullständig DirectAccess-distribution, inklusive klientåtkomst till interna nätverk, tvingad tunneltrafik, stark autentisering och NAP-efterlevnad.

System_CAPS_noteInformation

Om du vill konfigurera en grundläggande distribution med enbart enkla inställningar kan du läsa mer i Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden. I ett enkelt scenario kan du konfigurera fjärråtkomst med standardinställningar med hjälp av en guide. Du konfigurerar inte några infrastrukturinställningar, till exempel en certifikatutfärdare eller Active Directory-säkerhetsgrupper.

I detta scenario

Om du vill konfigurera en enskild fjärråtkomstserver för att hantera klienter, krävs ett antal steg för planering och distribution.

Planeringssteg

Planeringen av det här scenariot är uppdelad i två faser:

  1. Planera infrastrukturen för fjärråtkomst: I den här fasen planerar du nätverksinfrastrukturen innan du påbörjar distributionen av fjärråtkomst. Den innehåller planering för nätverket och servertopologin, certifikat, DNS (Domain Name System), Active Directory, grupprincipobjekt och DirectAccess-nätverksplatsservern.

  2. Planera distributionen av fjärråtkomst: I den här fasen förbereder du distributionen av fjärråtkomst. Den innehåller planering för fjärråtkomst av klientdatorer, server- och klientautentiseringskrav, VPN-inställningar, infrastruktur och hanteringsservrar.

Detaljerade anvisningar för planeringen finns i Planera distribution för fjärrhantering av DirectAccess-klienter.

Förutsättningar

Innan du börjar med det här scenariot bör du läsa igenom följande lista med viktiga krav:

  • Windows-brandväggen måste vara aktiverad på alla profiler.
  • DirectAccess stöder endast klienter som kör Windows 8.1, Windows 8 och Windows 7.
  • Det går inte att ändra principer utanför DirectAccess-hanteringskonsolen eller med Windows PowerShell-cmdletar.

Distributionssteg

Distributionen för det här scenariot är uppdelad i tre faser:

  1. Konfigurera infrastrukturen för fjärråtkomst: I det här steget konfigurerar du nätverket och routning, brandväggsinställningarna – om så behövs, certifikat, DNS-servrar, Active Directory och Grupprincipobjektinställningar och DirectAccess-nätverksplatsserver.

  2. Konfigurera inställningar för fjärråtkomstservern: I den här fasen konfigurerar du klientdatorer för fjärråtkomst, fjärråtkomstservern, infrastrukturservrar, samt hanterings- och programservrar.

  3. Verifiera distributionen: I det här steget kontrollerar du att distributionen fungerar såsom krävs.

Information om distributionssteg finns i Installera och konfigurera distribution för fjärrhantering av DirectAccess-klienter.

Praktiska tillämpningar

Att distribuera en enskild fjärråtkomstserver för att hantera DirectAccess-klienter har följande fördelar:

  • Hjälpmedel: Hanterade klientdatorer som kör Windows 8.1, Windows 8 eller Windows 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de är anslutna till Internet, utan att behöva logga in på en VPN-anslutning. Datorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via en VPN-anslutning. DirectAccess och VPN hanteras samma konsol och med samma uppsättning guider.

  • Enkel hantering: DirectAccess-klientdatorer som är anslutna till Internet kan fjärrhanteras av fjärråtkomstadministratörer med hjälp av DirectAccess, även om klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt med hjälp av hanteringsservrar.

Roller och funktioner som ingår i det här scenariot

I följande tabell visas de roller och funktioner som krävs för att planera och distribuera scenariot:

Roll/funktion

Hur den stöder det här scenariot

Fjärråtkomstroll

Rollen installeras och avinstalleras med konsolen i serverhanteraren eller med Windows PowerShell. Den här rollen omfattar både DirectAccess som tidigare var en funktion i Windows Server 2008 R2 och tjänster för routing och fjärråtkomst, som tidigare var en rolltjänst under serverrollen nätverkspolicy och åtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:

  1. DirectAccess och tjänster för routing och fjärråtkomst (RRAS) VPN – DirectAccess och VPN hanteras gemensamt i hanteringskonsolen för fjärråtkomst.

  2. RRAS-routning – RRAS-routningsfunktionerna hanteras i den äldre konsolen Routning och fjärråtkomst.

Serverrollen för fjärråtkomst är beroende av följande serverroller och funktioner:

  • Webbservern för Internet Information Services (IIS) – Funktionen krävs för att konfigurera nätverksplatsservern på fjärråtkomstservern och standardwebbavsökning.

  • Intern Windows-databas – Används för lokal redovisning på fjärråtkomstservern.

Funktionen Verktyg för fjärråtkomsthantering

Den här funktionen installeras på följande sätt:

  • Den installeras som standard på en fjärråtkomstserver när fjärråtkomstrollen har installerats samt stöder användargränssnittet för fjärrhanteringskonsolen samt Windows PowerShell-cmdletar.

  • Den kan också installeras på en server som inte kör serverrollen för fjärråtkomst. I det fallet används den för fjärrhantering av en fjärråtkomstdator som kör DirectAccess och VPN.

Funktionen Verktyg för fjärråtkomsthantering består av följande:

  • Fjärråtkomst-GUI

  • Fjärråtkomstmodul för Windows PowerShell

Beroenden är:

  • Konsolen Grupprinciphantering

  • Administration av RAS-anslutningshanteraren (CMAK)

  • Windows PowerShell 3.0

  • Verktyg för grafikhantering och infrastruktur

Maskinvarukrav

Följande maskinvarukrav finns för det här scenariot:

  • Serverkrav:

    • En dator som uppfyller maskinvarukraven för Windows Server 2012.

    • Servern måste ha minst ett nätverkskort installerat och aktiverat. När två kort används ska ett kort vara anslutet till det interna företagsnätverket och det andra kortet ska vara anslutet till det externa nätverket (Internet).

    • Om Teredo krävs som ett övergångsprotokoll från IPv4 till IPv6, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Om det finns en enskild IP-adress kan endast IP-HTTPS användas som övergångsprotokoll.

    • Minst en domänkontrollant. Fjärråtkomstservern och DirectAccess-klienterna måste vara medlemmar i domänen.

    • Om du inte vill använda självsignerade certifikat för IP-HTTPS eller nätverksplatsservern, eller om du vill använda klientcertifikat för klientens IPsec-autentisering krävs en certifikatutfärdarserver. Alternativt kan du begära certifikat från en offentlig certifikatutfärdare.

    • Om nätverksplatsservern inte finns på fjärråtkomstservern, krävs en separat webbserver för att köra den.

  • Klientkrav:

    • En klientdator måste köra Windows 8 eller Windows 7.

      System_CAPS_noteInformation

      Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.

  • Krav för infrastruktur och hanteringsserver:

    • Under fjärrhantering av DirectAccess-klientdatorer, initierar klienter kommunikation med hanteringsservrar, till exempel domänkontrollanter och System Center Configuration-servrar, för tjänster som innehåller uppdateringar av Windows och antivirusprogram samt NAP-klientkompatibilitet (Network Access Protection). De servrar som krävs bör distribueras innan du påbörjar distributionen av fjärråtkomst.

    • Om fjärråtkomsten kräver NAP-klientkompatibilitet, bör NPS- och HRS-servrarna distribueras innan du påbörjar distributionen av fjärråtkomst.

    • Om VPN är aktiverad krävs en DHCP-server för att automatiskt tilldela IP-adresser till VPN-klienter, om inte någon statisk adresspool används.

    • En DNS-server som kör Windows Server 2008 SP2, Windows Server 2008 R2 eller Windows Server 2012 krävs.

Programvarukrav

Det finns ett antal krav för det här scenariot:

  • Serverkrav:

    • Fjärråtkomstservern måste vara en domänmedlem. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en gränsbrandvägg eller annan enhet.

    • Om fjärråtkomstservern finns bakom en gränsbrandvägg eller NAT-enhet så måste enheten konfigureras för att tillåta trafik till och från fjärråtkomstservern.

    • Den person som distribuerar fjärråtkomst på servern måste ha lokala administratörsbehörigheter på servern och behörigheter för domänanvändare. Dessutom måste administratören ha behörigheter för de GPO:er som används för DirectAccess-distributionen. Om du vill använda de funktioner som begränsar en DirectAccess-distribution till enbart bärbara datorer, krävs endast behörighet att skapa ett WMI-filter på domänkontrollanten.

  • Klientkrav för fjärråtkomst:

    • DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller ha ett dubbelriktat förtroende med serverskogen eller domänen för fjärråtkomst.

    • En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningarna, tillämpas klientens grupprincipobjekt som standard på alla bärbara datorer i domändatorernas säkerhetsgrupp. Tänk på följande:

      Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller de datorer som kommer att konfigureras som DirectAccess-klienter.

Se även

Följande tabell innehåller länkar till ytterligare resurser.

Innehållstyp

Referenser

Fjärråtkomst på TechNet

Fjärråtkomst TechCenter

Produktutvärdering

Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB

Test Lab-guide: Visa en Multisite DirectAccess-distribution

Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID

Felsökning

Dokumentation över felsökning av fjärråtkomst, om det är tillgängligt.

Verktyg och inställningar

PowerShell-cmdletar för fjärråtkomst 

Gruppresurser

RRAS-produktteamets blogg | TechNet-forum för fjärråtkomst

DirectAccess Wiki-inlägg

Närliggande tekniker

Hur IPv6 fungerar