Lägg till DirectAccess i en befintlig fjärråtkomstdistribution (VPN)
Gäller för: Windows Server 2012 R2, Windows Server 2012
Obs! Windows Server 2012 kombinerar DirectAccess and tjänsten Routning och fjärråtkomst till en enda fjärråtkomstroll.
Det här avsnittet ger en introduktion till guiden för att aktivera DirectAccess med fjärråtkomst, som används för att ställa in en enskild RAS-server med rekommenderade inställningar när du redan har skapat ett virtuellt privat nätverk (VPN).
Distributionsdokumentationen för Windows Server 2012 fjärråtkomst (DirectAccess)
Nedan följer en lista över ämnen som du kan använda för att distribuera fjärråtkomst via tre huvudsakliga sökvägar:
Grundläggande
Avancerad
Företag
Information om att hantera och migrera fjärråtkomst som är tillgänglig för den här versionen visas också.
Innan du börjar din distribution, se följande lista över konfigurationer som inte stöds, kända problem och nödvändiga komponenter:
Grundläggande distribution av fjärråtkomst
Avancerad distribution av fjärråtkomst
Distribution av fjärråtkomst i ett företag
Hantera fjärråtkomst
Migrera fjärråtkomst
Scenariobeskrivning
I det här fallet konfigureras en enda dator som kör Windows Server 2012 som en RAS-server med rekommenderade inställningar när du redan har installerat och konfigurerat VPN. Om du vill konfigurera RAS med företagsfunktioner, t.ex ett belastningsutjämnat kluster, distribution på flera platser eller tvåfaktorautentisering av klienter, slutför du scenariot såsom beskrivs i det här avsnittet för att ställa in en enskild server och konfigurera sedan företagsscenariot enligt beskrivningen i Distribuera fjärråtkomst i ett företag.
I detta scenario
Om du vill konfigurera en enda RAS-server krävs ett antal steg för planering och distribution.
Planeringssteg
Planeringen är uppdelad i två steg:
Planera infrastruktur för fjärråtkomst
I det här steget beskrivs den planering som krävs för att ställa in nätverksinfrastrukturen innan du börjar distributionen av fjärråtkomst. Det innehåller planering för nätverket och servertopologin, certifikat, (Domain Name System), Active Directory och konfiguration av grupprincipobjektet (GPO) och DirectAccess-nätverksplatsserver.
Planera distribution av fjärråtkomst
I det här steget beskrivs de planeringssteg som krävs för att förbereda för distribution av fjärråtkomst. Det innehåller planering för fjärråtkomst av klientdatorer, server- och klientautentiseringskrav och infrastrukturservrar.
Distributionssteg
Distributionen är uppdelat i tre steg:
Konfigurera infrastruktur för fjärråtkomst
I det här steget konfigurerar du nätverket och routning, brandväggsinställningarna (om det behövs), certifikat, DNS-servrar, Active Directory och Grupprincipobjektinställningar och DirectAccess-nätverksplatsserver.
Konfigurera inställningar för RAS-server
I det här steget konfigurerar du klientdatorer för fjärråtkomst, RAS-servern och infrastrukturservrar.
Kontrollera distributionen
I det här steget kontrollerar du att distributionen fungerar såsom krävs.
Praktiska tillämpningar
Distribution av en enskild RAS-server innehåller följande:
Hjälpmedel
Hanterade klientdatorer som kör Windows 8 och Windows 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet, utan att behöva logga in på en VPN-anslutning. Datorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via en VPN-anslutning. DirectAccess och VPN hanteras samma konsol och med samma uppsättning guider.
Enkel hantering
DirectAccess-klientdatorer som har tillgång till Internet kan fjärrhanteras av fjärråtkomstadministratörer med hjälp av DirectAccess, även om klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar.
Roller och funktioner som krävs för det här scenariot
I följande tabell visas de roller och funktioner som krävs för scenariot:
Roll/funktion |
Hur den stöds i detta scenario |
---|---|
Fjärråtkomstroll |
Rollen installeras och avinstalleras med hjälp av Serverhanterarkonsolen eller Windows PowerShell. Den här rollen omfattar både DirectAccess som tidigare var en funktion i Windows Server 2008 R2 och tjänster för routning och fjärråtkomst som tidigare var en rolltjänst under serverrollen för nätverksprincip och åtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:
Serverrollen för fjärråtkomst är beroende av följande serverfunktioner:
|
Funktionen Verktyg för hantering av fjärråtkomst |
Den här funktionen installeras på följande sätt:
Funktionen Verktyg för hantering av fjärråtkomst består av följande:
Beroenden inkluderar:
|
Maskinvarukrav
Följande maskinvarukrav finns för det här scenariot:
Serverkrav
En dator som uppfyller maskinvarukraven för Windows Server 2012.
Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används ska ett kort vara anslutet till det interna företagsnätverket och det andra kortet ska vara anslutet till det externa nätverket (Internet).
Om Teredo krävs som ett övergångsprotokoll från IPv4 till IPv6, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Guiden Aktivera DirectAccess aktiverar inte Teredo, även om det finns två på varandra följande IP-adresser. Om du vill aktivera Teredo se Distribuera en DirectAccess-server med avancerade inställningar. Om det finns en enskild IP-adress kan endast IP-HTTPS användas som övergångsprotokoll.
Minst en domänkontrollant. Fjärråtkomstservern och DirectAccess-klienterna måste vara medlemmar i domänen.
Guiden Aktivera DirectAccess kräver certifikat för IP-HTTPS och nätverksplatsservern. Om SSTP VPN redan använder ett certifikat, återanvänds det för IP-HTTPS. Om SSTP VPN inte har konfigurerats kan du konfigurera ett certifikat för IP-HTTPS eller använda ett självsignerat certifikat som skapas automatiskt. För nätverksplatsservern kan du konfigurera ett certifikat eller använda ett självsignerat certifikat som skapas automatiskt.
Klientkrav
En klientdator måste köra Windows 8 eller Windows 7.
Information Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.
Krav för infrastruktur och hanteringsserver
Under fjärrhantering av DirectAccess-klientdatorer, initierar klienter kommunikation med hanteringsservrar, till exempel domänkontrollanter, servrar för konfiguration av systemcenter och HRA-servrar (Health Registration Authority) för tjänster som omfattar uppdateringar av Windows och antivirusprogram och klientgodkännande av Network Access Protection (NAP). De begärda servrarna ska distribueras innan du börjar distributionen av fjärråtkomst.
Om fjärråtkomst kräver klientgodkännande av NAP, distribueras Network Policy Server (NPS) och HRA innan du börjar distributionen av fjärråtkomst.
En DNS-server som kör Windows Server 2012, Windows Server 2008 R2 eller Windows Server 2008 med SP2 krävs.
Programvarukrav
Följande programvarukrav finns för det här scenariot:
Serverkrav
Fjärråtkomstservern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.
Om servern finns bakom en kantbrandvägg eller en Network Address Translation (NAT) måste enheten konfigureras för att tillåta trafik till och från servern.
Den person som distribuerar fjärråtkomst på servern behöver ha lokal administratörsbehörighet på servern och användarbehörigheter för domänen. Dessutom måste administratören ha behörigheter för grupprincipobjekt som används i DirectAccess-distribution. Om du vill dra nytta av de funktioner som begränsar en DirectAccess-distribution till bärbara datorer krävs endast behörighet att skapa ett WMI-filter på domänkontrollanten.
Klientkrav för fjärråtkomst
DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller de kan ha ett dubbelriktat förtroende med fjärråtkomstserverskogen eller domänen.
En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningar som standard, tillämpas klientens Grupprincipobjekt på alla bärbara datorer (som har DirectAccess-kapacitet) i domändatorernas säkerhetsgrupp. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.
Information Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller datorer som kommer att konfigureras som DirectAccess-klienter.
Se även
Följande tabell innehåller länkar till ytterligare resurser.
Innehållstyp |
Referenser |
---|---|
Fjärråtkomst på TechNet |
|
Produktutvärdering |
Visa DirectAccess i ett kluster med utjämning av nätverksbelastning |
Distribution |
|
Verktyg och inställningar |
|
Gruppresurser |
|
Närliggande tekniker |