DirectAccess İstemcilerini Uzaktan Yönetme

  • Makale

 

Uygulama Alanı: Windows Server 2012 R2, Windows Server 2012

Not: Windows Server 2012, DirectAccess ile Yönlendirme ve Uzaktan Erişim Hizmeti'ni (RRAS) tek bir Uzaktan Erişim rolünde birleştirir.

Bu konu başlığında, DirectAccess istemcilerinin uzaktan yönetimi için tek bir Uzaktan Erişim sunucusu kurmak üzere kullanabileceğiniz ileri düzey bir senaryoya giriş yapılmaktadır.

Senaryo tanımı

Bu senaryoda, Windows Server 2012 çalıştıran tek bir bilgisayar yalnızca uzaktan DirectAccess istemcilerini yönetmek amacıyla, Uzaktan Erişim sunucusu olarak yapılandırılır. Bu senaryonun kullanılması istemcilerin uzaktan yönetimine olanak sağlar; ancak iç ağlara istemci erişimi, zorlamalı tünel, güçlü kimlik doğrulaması ve NAP uyumluluğunu da içeren tam bir DirectAccess dağıtımı seçmeniz halinde kullanabileceğiniz diğer bileşenleri devre dışı bırakır.

Not

Yalnızca basit ayarlarla temel bir dağıtım yapılandırmak istiyorsanız, bkz. Başlarken Sihirbazı'nı Kullanarak tek bir DirectAccess Sunucusu Dağıtma. Basit senaryoda, bir sihirbaz kullanarak Uzaktan Erişimi varsayılan ayarlarla kurabilirsiniz. Sertifika yetkilisi (CA) veya Active Directory güvenlik grupları gibi altyapı ayarlarını yapılandırmazsınız.

Bu senaryoda

İstemcileri yönetmek üzere tek bir Uzaktan Erişim sunucusu kurmak için bazı planlama ve dağıtım adımlarına gerek vardır.

Planlama adımları

Bu senaryonun planlaması iki aşamaya ayrılır:

  1. Uzaktan Erişim altyapısını planlama: Bu aşamada, Uzaktan Erişim dağıtımına başlamadan önce ağ alt yapısını planlarsınız. Ağ ve sunucu topolojisi, sertifikalar, Etki Alanı Adı Sistemi (DNS), Active Directory, Grup İlkesi Nesneleri (GPO) ve DirectAccess ağ konumu sunucusu için planlamayı kapsar.

  2. Uzaktan Erişim dağıtımını planlama: Bu aşamada, Uzaktan Erişim dağıtımı için hazırlık yaparsınız. Uzaktan Erişim istemci bilgisayarları, sunucu ve istemci kimlik doğrulama gereksinimleri, VPN ayarları, altyapı ve yönetim sunucuları için planlamayı kapsar.

Ayrıntılı planlama adımları için, bkz. DirectAccess istemcileri, uzaktan yönetim dağıtımını planlama.

Önkoşullar

Bu senaryoya başlamadan önce önemli gereksinimler listesini gözden geçirin:

  • Windows güvenlik duvarı tüm profillerde etkinleştirilmiş olmalıdır.
  • DirectAccess yalnızca Windows 8.1, Windows 8 ve Windows 7 ile çalışan istemcileri destekler.
  • Windows PowerShell cmdlet'lerini kullanarak veya DirectAccess yönetim konsolunun dışında ilkeleri değiştirmek desteklenmez.

Dağıtım adımları

Bu senaryo için dağıtım üç aşamaya ayrılır:

  1. Uzaktan Erişim altyapısını yapılandırma: Bu aşamada ağ ve yönlendirmeyi, gerekiyorsa güvenlik duvarı ayarlarını, sertifikaları, DNS sunucularını, Active Directory ve GPO ayarlarını, DirectAccess ağ konumu sunucusunu yapılandırırsınız.

  2. Uzaktan Erişim sunucusu ayarlarını yapılandırma: Bu aşamada, Uzaktan Erişim istemci bilgisayarlarını, Uzaktan Erişim sunucusunu, altyapı sunucularını, yönetim ve uygulama sunucularını yapılandırırsınız.

  3. Dağıtımı doğrulama: Bu aşamada, dağıtımın gerektiği gibi çalıştığını doğrularsınız.

Ayrıntılı dağıtım adımları için bkz. Yükleme ve dağıtım DirectAccess istemcileri, uzaktan yönetimi için yapılandırma.

Pratik uygulamalar

DirectAccess istemcilerini yönetmek için tek bir Uzaktan Erişim sunucusu dağıtmak aşağıdaki avantajları sağlar:

  • Erişim kolaylığı: Windows 8.1, Windows 8 veya Windows 7 çalıştıran yönetilen istemci bilgisayarları, DirectAccess istemci bilgisayarları olarak yapılandırılabilir. Bu istemciler, bir VPN bağlantısında oturum açmaya gerek olmadan, İnternet'e bağlı oldukları herhangi bir zamanda DirectAccess aracılığıyla iç ağ kaynaklarına erişim sağlayabilir. Bu işletim sistemlerinden biri ile çalışan istemci bilgisayarlar VPN üzerinden iç ağa bağlanabilir. DirectAccess ve VPN aynı konsolda ve aynı sihirbaz grubuyla yönetilir.

  • Yönetim kolaylığı: İnternet’e bağlı DirectAccess istemci bilgisayarları, iç kurumsal ağda olmadıkları zaman bile DirectAccess aracılığıyla uzaktan erişim yöneticileri tarafından uzaktan yönetilebilir. Kurumsal gereksinimleri karşılamayan istemci bilgisayarlar, yönetim sunucuları kullanılarak otomatik olarak düzeltilebilir.

Bu senaryoya dahil edilen roller ve özellikler

Aşağıdaki tabloda, bu senaryoyu planlamak ve dağıtmak için gereken roller ve özellikler listelenmektedir.

Rol/özellik

Bu senaryoyu nasıl destekler

Uzaktan Erişim rolü

Bu rol, Sunucu Yöneticisi konsolu veya Windows PowerShell kullanılarak yüklenir ve kaldırılır. Bu rol, hem önceden Windows Server 2008 R2’deki bir özellik olan DirectAccess’i hem de önceden Ağ İlkesi ve Erişim Hizmetleri (NPAS) sunucu rolü kapsamında bir rol hizmeti olan Yönlendirme ve Uzaktan Erişim Hizmetleri’ni kapsar. Uzaktan Erişim rolü iki bileşenden oluşur:

  1. DirectAccess ve Yönlendirme ve Uzaktan Erişim Hizmetleri (RRAS) VPN: DirectAccess ve VPN, Uzaktan Erişim Yönetimi konsolunda birlikte yönetilirler.

  2. RRAS Yönlendirme — RRAS yönlendirme özellikleri eski Yönlendirme ve Uzaktan Erişim konsolunda yönetilir.

Uzaktan Erişim Sunucusu Rolü aşağıdaki sunucu rollerine/özelliklerine bağlıdır:

  • Internet Information Services (IIS) Web Sunucusu – Uzaktan Erişim sunucusunda ağ konumu sunucusunu ve varsayılan web araştırmasını yapılandırmak için bu özelliğe gerek vardır.

  • Windows İç Veritabanı — Uzaktan Erişim sunucusunda yerel hesaplar için kullanılır.

Uzaktan Erişim Yönetim Araçları özelliği

Bu özellik, aşağıdaki gibi yüklenir:

  • Uzaktan Erişim rolü yüklendiğinde Uzaktan Erişim sunucusuna varsayılan olarak yüklenir ve Uzaktan Yönetim konusu kullanıcı arabirimini ve Windows PowerShell cmdlet'lerini destekler.

  • Uzaktan Erişim sunucusu rolünü çalıştırmayan bir sunucuya isteğe bağlı olarak yüklenebilir. Bu durumda, DirectAccess ve VPN çalıştıran bir Uzaktan Erişim bilgisayarının uzaktan yönetimi için kullanılır.

Uzaktan Erişim Yönetimi Araçları özelliği şunlardan oluşur:

  • Uzaktan Erişim GUI'si

  • Windows PowerShell için Uzaktan Erişim modülü

Bağımlılıklar şunları içerir:

  • Grup İlkesi Yönetim Konsolu

  • RAS Bağlantı Yöneticisi Yönetim Paketi (CMAK)

  • Windows PowerShell 3.0

  • Grafiksel Yönetim Araçları ve Altyapı

Donanım gereksinimleri

Bu senaryo için donanım gereksinimleri şunları içerir:

  • Sunucu gereksinimleri:

    • Windows Server 2012 donanım gereksinimlerini karşılayan bir bilgisayar.

    • Sunucuya takılmış ve etkinleştirilmiş en az bir ağ bağdaştırıcısı olmalıdır. İki bağdaştırıcı kullanıldığında, iç şirket ağına bağlı bir bağdaştırıcı ve dış ağa (İnternet) bağlı bir bağdaştırıcı olmalıdır.

    • IPv4 ila IPv6 geçiş protokolü olarak Teredo gerekiyorsa, sunucunun dış bağdaştırıcısı için iki ardışık genel IPv4 adresine ihtiyaç vardır. Tek bir IP adresi varsa, bu durumda geçiş protokolü olarak yalnızca IP-HTTPS kullanılabilir.

    • En az bir etki alanı denetleyicisi. Uzaktan Erişim sunucusu ve DirectAccess istemcileri etki alanı üyeleri olmalıdır.

    • IP-HTTPS veya ağ konumu sunucusu için otomatik olarak imzalanan sertifikalar kullanmak istemiyorsanız veya istemci IPsec kimlik doğrulaması için istemci sertifikaları kullanmak istiyorsanız bir CA sunucusuna gerek vardır. Alternatif olarak, genel bir CA'dan sertifika isteğinde bulunabilirsiniz.

    • Ağ konumu sunucusu Uzaktan Erişim sunucusunda değilse, onu çalıştıracak ayrı bir web sunucusu gerekir.

  • İstemci gereksinimleri:

    • İstemci bilgisayarlar Windows 8 veya Windows 7 çalıştırılmalıdır.

      Not

      DirectAccess istemcisi olarak yalnızca şu işletim sistemleri kullanılabilir: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise ve Windows 7 Ultimate.

  • Altyapı ve yönetim sunucusu gereksinimleri:

    • DirectAccess istemci bilgisayarlarının uzaktan yönetimi sırasında, Windows ve virüsten koruma yazılımı güncelleştirmeleri ve Ağ Erişimi Koruması (NAP) istemci uyumluluğunu içeren hizmetler için, istemciler iletişimi etki alanı denetleyicileri ve System Center Configuration Sunucuları gibi yönetim sunucularıyla başlatır. Gerekli sunucular, Uzaktan Erişim dağıtımına başlamadan önce dağıtılmalıdır.

    • Uzaktan erişim için istemci NAP uyumluluğu gerekiyorsa, uzaktan erişim dağıtımına başlamadan önce NPS ve HRS sunucuları dağıtılmalıdır.

    • VPN etkinse ve statik bir adres havuzu kullanılmıyorsa, IP adreslerini VPN istemcilerine otomatik olarak ayırmak için DHCP sunucu gerekir.

    • Windows Server 2008 SP2; Windows Server 2008 R2 veya Windows Server 2012 çalıştıran bir DNS sunucusu gerekir.

Yazılım gereksinimleri

Bu senaryo için çeşitli gereksinimler vardır:

  • Sunucu gereksinimleri:

    • Uzaktan Erişim sunucusunun bir etki alanının üyesi olması gerekir. Sunucu, iç ağın sınırına veya sınır güvenlik duvarı ya da başka bir cihazın arkasına dağıtılabilir.

    • Uzaktan Erişim sunucusu bir sınır güvenlik duvarı ya da NAT cihazının arkasında bulunuyorsa, cihaz yapılandırması Uzaktan Erişim sunucusuna giden ve sunucudan gelen trafiğe izin verecek şekilde yapılmalıdır.

    • Sunucuda uzaktan erişimi dağıtan kişinin, sunucu üzerinde yerel yönetici izinlerine ve etki alanı kullanıcısı izinlerine sahip olması gerekir. Ayrıca, yönetici DirectAccess dağıtımında kullanılan GPO'lar için izinlere gerek duyar. DirectAccess dağıtımını yalnızca mobil bilgisayarlar ile kısıtlayan özelliklerden yararlanmak için, etki alanı denetleyicisinde WMI filtresi oluşturma izinlerine gerek vardır.

  • Uzaktan erişim istemcisi gereksinimleri:

    • DirectAccess istemcilerinin etki alanı üyesi olması gerekir. İstemcileri içeren etki alanları Uzaktan Erişim sunucusu ile aynı gruba ait olabilir veya Uzaktan Erişim sunucusu grubu ya da etki alanı ile aralarında iki yönlü güven bulunabilir.

    • DirectAccess istemcisi olarak yapılandırılacak bilgisayarları içine alacak bir Active Directory güvenlik grubuna gerek vardır. DirectAccess istemci ayarlarını yapılandırırken bir güvenlik grubu belirtilmezse, Etki Alanı Bilgisayarları güvenlik grubundaki tüm dizüstü bilgisayarlara varsayılan olarak istemci GPO'su uygulanır. Aşağıdakilere dikkat edin:

      DirectAccess istemcisi olarak yapılandırılacak bilgisayarları içeren her etki alanı için bir güvenlik grubu oluşturmanızı öneririz.

Ayrıca bkz.

Aşağıdaki tabloda ek kaynakların bağlantıları verilmektedir:

İçerik türü

Başvurular

TechNet üzerindeki Uzaktan Erişim

Uzaktan Erişim için TechCenter

Ürün değerlendirmesi

Test Laboratuvarı Kılavuzu: Windows NLB ile bir Kümede DirectAccess gösterme

Test laboratuvarı Kılavuzu: DirectAccess çok siteli dağıtım gösterir

Test laboratuvarı Kılavuzu: OTP kimlik doğrulaması ve RSA Securıd ile DirectAccess gösterir

Sorun giderme

Uzaktan Erişim Sorunlarını Giderme belgeleri (varsa).

Araçlar ve ayarlar

Uzaktan Erişim PowerShell cmdlet’leri 

Topluluk kaynakları

RRAS Ürün Ekibi blogu | Uzaktan Erişim TechNet Forumu

DirectAccess Wiki girişleri

İlgili teknolojiler

IPv6 nasıl çalışır?