Lägg till DirectAccess i en befintlig fjärråtkomstdistribution (VPN)

  • Artikel

 

Gäller för: Windows Server 2012 R2, Windows Server 2012

Obs! Windows Server 2012 kombinerar DirectAccess and tjänsten Routning och fjärråtkomst till en enda fjärråtkomstroll. 

Det här avsnittet ger en introduktion till guiden för att aktivera DirectAccess med fjärråtkomst, som används för att ställa in en enskild RAS-server med rekommenderade inställningar när du redan har skapat ett virtuellt privat nätverk (VPN).

Distributionsdokumentationen för Windows Server 2012 fjärråtkomst (DirectAccess)

Nedan följer en lista över ämnen som du kan använda för att distribuera fjärråtkomst via tre huvudsakliga sökvägar:

  • Grundläggande

  • Avancerad

  • Företag

Information om att hantera och migrera fjärråtkomst som är tillgänglig för den här versionen visas också.

Innan du börjar din distribution, se följande lista över konfigurationer som inte stöds, kända problem och nödvändiga komponenter:

Grundläggande distribution av fjärråtkomst

Avancerad distribution av fjärråtkomst

Distribution av fjärråtkomst i ett företag

Hantera fjärråtkomst

Migrera fjärråtkomst

Scenariobeskrivning

I det här fallet konfigureras en enda dator som kör Windows Server 2012 som en RAS-server med rekommenderade inställningar när du redan har installerat och konfigurerat VPN. Om du vill konfigurera RAS med företagsfunktioner, t.ex ett belastningsutjämnat kluster, distribution på flera platser eller tvåfaktorautentisering av klienter, slutför du scenariot såsom beskrivs i det här avsnittet för att ställa in en enskild server och konfigurera sedan företagsscenariot enligt beskrivningen i Distribuera fjärråtkomst i ett företag.

I detta scenario

Om du vill konfigurera en enda RAS-server krävs ett antal steg för planering och distribution.

Planeringssteg

Planeringen är uppdelad i två steg:

  1. Planera infrastruktur för fjärråtkomst

    I det här steget beskrivs den planering som krävs för att ställa in nätverksinfrastrukturen innan du börjar distributionen av fjärråtkomst. Det innehåller planering för nätverket och servertopologin, certifikat, (Domain Name System), Active Directory och konfiguration av grupprincipobjektet (GPO) och DirectAccess-nätverksplatsserver.

  2. Planera distribution av fjärråtkomst

    I det här steget beskrivs de planeringssteg som krävs för att förbereda för distribution av fjärråtkomst. Det innehåller planering för fjärråtkomst av klientdatorer, server- och klientautentiseringskrav och infrastrukturservrar.

Distributionssteg

Distributionen är uppdelat i tre steg:

  1. Konfigurera infrastruktur för fjärråtkomst

    I det här steget konfigurerar du nätverket och routning, brandväggsinställningarna (om det behövs), certifikat, DNS-servrar, Active Directory och Grupprincipobjektinställningar och DirectAccess-nätverksplatsserver.

  2. Konfigurera inställningar för RAS-server

    I det här steget konfigurerar du klientdatorer för fjärråtkomst, RAS-servern och infrastrukturservrar.

  3. Kontrollera distributionen

    I det här steget kontrollerar du att distributionen fungerar såsom krävs.

Praktiska tillämpningar

Distribution av en enskild RAS-server innehåller följande:

  • Hjälpmedel

    Hanterade klientdatorer som kör Windows 8 och Windows 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet, utan att behöva logga in på en VPN-anslutning. Datorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via en VPN-anslutning. DirectAccess och VPN hanteras samma konsol och med samma uppsättning guider.

  • Enkel hantering

    DirectAccess-klientdatorer som har tillgång till Internet kan fjärrhanteras av fjärråtkomstadministratörer med hjälp av DirectAccess, även om klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar.

Roller och funktioner som krävs för det här scenariot

I följande tabell visas de roller och funktioner som krävs för scenariot:

Roll/funktion

Hur den stöds i detta scenario

Fjärråtkomstroll

Rollen installeras och avinstalleras med hjälp av Serverhanterarkonsolen eller Windows PowerShell. Den här rollen omfattar både DirectAccess som tidigare var en funktion i Windows Server 2008 R2 och tjänster för routning och fjärråtkomst som tidigare var en rolltjänst under serverrollen för nätverksprincip och åtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:

  1. VPN för DirectAccess och Tjänster för Routning och fjärråtkomst (RRAS): Hanteras i konsolen för hantering av fjärråtkomst.

  2. RRAS-routning: Hanteras i konsolen för routning och fjärråtkomst.

Serverrollen för fjärråtkomst är beroende av följande serverfunktioner:

  • Internet Information Services (IIS)-webbserver: krävs för att konfigurera nätverksplats på fjärråtkomstservern och standard för webbavsökning.

  • Intern Windows-databas: Används för lokal redovisning på fjärråtkomstservern.

Funktionen Verktyg för hantering av fjärråtkomst

Den här funktionen installeras på följande sätt:

  • Som standard på en RAS-server när fjärråtkomstrollen har installerats. Stöder användargränssnittet för fjärrhanteringskonsol och Windows PowerShell-cmdlet:ar.

  • Den kan eventuellt installeras på en server som inte kör serverrollen för fjärråtkomst. Den används i det här fallet för fjärrhantering av en RAS-dator som kör DirectAccess och VPN.

Funktionen Verktyg för hantering av fjärråtkomst består av följande:

  • Fjärråtkomst-GUI

  • Fjärråtkomstmodul för Windows PowerShell

Beroenden inkluderar:

  • Konsolen Grupprinciphantering

  • Administration av anslutningshanteraren för fjärråtkomst (CMAK)

  • Windows PowerShell 3.0

  • Verktyg för grafikhantering och infrastruktur

Maskinvarukrav

Följande maskinvarukrav finns för det här scenariot:

Serverkrav 

  • En dator som uppfyller maskinvarukraven för Windows Server 2012.

  • Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används ska ett kort vara anslutet till det interna företagsnätverket och det andra kortet ska vara anslutet till det externa nätverket (Internet).

  • Om Teredo krävs som ett övergångsprotokoll från IPv4 till IPv6, måste det externa kortet i servern ha två på varandra följande offentliga IPv4-adresser. Guiden Aktivera DirectAccess aktiverar inte Teredo, även om det finns två på varandra följande IP-adresser. Om du vill aktivera Teredo se Distribuera en DirectAccess-server med avancerade inställningar. Om det finns en enskild IP-adress kan endast IP-HTTPS användas som övergångsprotokoll.

  • Minst en domänkontrollant. Fjärråtkomstservern och DirectAccess-klienterna måste vara medlemmar i domänen.

  • Guiden Aktivera DirectAccess kräver certifikat för IP-HTTPS och nätverksplatsservern. Om SSTP VPN redan använder ett certifikat, återanvänds det för IP-HTTPS. Om SSTP VPN inte har konfigurerats kan du konfigurera ett certifikat för IP-HTTPS eller använda ett självsignerat certifikat som skapas automatiskt. För nätverksplatsservern kan du konfigurera ett certifikat eller använda ett självsignerat certifikat som skapas automatiskt.

Klientkrav

  • En klientdator måste köra Windows 8 eller Windows 7.

    System_CAPS_noteInformation

    Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.

Krav för infrastruktur och hanteringsserver

  • Under fjärrhantering av DirectAccess-klientdatorer, initierar klienter kommunikation med hanteringsservrar, till exempel domänkontrollanter, servrar för konfiguration av systemcenter och HRA-servrar (Health Registration Authority) för tjänster som omfattar uppdateringar av Windows och antivirusprogram och klientgodkännande av Network Access Protection (NAP). De begärda servrarna ska distribueras innan du börjar distributionen av fjärråtkomst.

  • Om fjärråtkomst kräver klientgodkännande av NAP, distribueras Network Policy Server (NPS) och HRA innan du börjar distributionen av fjärråtkomst.

  • En DNS-server som kör Windows Server 2012, Windows Server 2008 R2 eller Windows Server 2008 med SP2 krävs.

Programvarukrav

Följande programvarukrav finns för det här scenariot:

Serverkrav

  • Fjärråtkomstservern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.

  • Om servern finns bakom en kantbrandvägg eller en Network Address Translation (NAT) måste enheten konfigureras för att tillåta trafik till och från servern.

  • Den person som distribuerar fjärråtkomst på servern behöver ha lokal administratörsbehörighet på servern och användarbehörigheter för domänen. Dessutom måste administratören ha behörigheter för grupprincipobjekt som används i DirectAccess-distribution. Om du vill dra nytta av de funktioner som begränsar en DirectAccess-distribution till bärbara datorer krävs endast behörighet att skapa ett WMI-filter på domänkontrollanten.

Klientkrav för fjärråtkomst

  • DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller de kan ha ett dubbelriktat förtroende med fjärråtkomstserverskogen eller domänen.

  • En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningar som standard, tillämpas klientens Grupprincipobjekt på alla bärbara datorer (som har DirectAccess-kapacitet) i domändatorernas säkerhetsgrupp. Endast följande operativsystem kan användas som DirectAccess-klienter: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise Windows 7 Enterprise och Windows 7 Ultimate.

    System_CAPS_noteInformation

    Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller datorer som kommer att konfigureras som DirectAccess-klienter.

Se även

Följande tabell innehåller länkar till ytterligare resurser.

Innehållstyp

Referenser

Fjärråtkomst på TechNet

Fjärråtkomst TechCenter

Produktutvärdering

Visa DirectAccess i ett kluster med utjämning av nätverksbelastning

Visa en DirectAccess-distribution för flera platser

Visa en DirectAccess-distribution för flera platser

Distribution

Remote Access

Verktyg och inställningar

PowerShell-cmdletar för fjärråtkomst 

Gruppresurser

Närliggande tekniker

Så här fungerar IPv6