DirectAccess İstemcilerini Uzaktan Yönetme
Uygulama Alanı: Windows Server 2012 R2, Windows Server 2012
Not: Windows Server 2012, DirectAccess ile Yönlendirme ve Uzaktan Erişim Hizmeti'ni (RRAS) tek bir Uzaktan Erişim rolünde birleştirir.
Bu konu başlığında, DirectAccess istemcilerinin uzaktan yönetimi için tek bir Uzaktan Erişim sunucusu kurmak üzere kullanabileceğiniz ileri düzey bir senaryoya giriş yapılmaktadır.
Senaryo tanımı
Bu senaryoda, Windows Server 2012 çalıştıran tek bir bilgisayar yalnızca uzaktan DirectAccess istemcilerini yönetmek amacıyla, Uzaktan Erişim sunucusu olarak yapılandırılır. Bu senaryonun kullanılması istemcilerin uzaktan yönetimine olanak sağlar; ancak iç ağlara istemci erişimi, zorlamalı tünel, güçlü kimlik doğrulaması ve NAP uyumluluğunu da içeren tam bir DirectAccess dağıtımı seçmeniz halinde kullanabileceğiniz diğer bileşenleri devre dışı bırakır.
Not
Yalnızca basit ayarlarla temel bir dağıtım yapılandırmak istiyorsanız, bkz. Başlarken Sihirbazı'nı Kullanarak tek bir DirectAccess Sunucusu Dağıtma. Basit senaryoda, bir sihirbaz kullanarak Uzaktan Erişimi varsayılan ayarlarla kurabilirsiniz. Sertifika yetkilisi (CA) veya Active Directory güvenlik grupları gibi altyapı ayarlarını yapılandırmazsınız.
Bu senaryoda
İstemcileri yönetmek üzere tek bir Uzaktan Erişim sunucusu kurmak için bazı planlama ve dağıtım adımlarına gerek vardır.
Planlama adımları
Bu senaryonun planlaması iki aşamaya ayrılır:
Uzaktan Erişim altyapısını planlama: Bu aşamada, Uzaktan Erişim dağıtımına başlamadan önce ağ alt yapısını planlarsınız. Ağ ve sunucu topolojisi, sertifikalar, Etki Alanı Adı Sistemi (DNS), Active Directory, Grup İlkesi Nesneleri (GPO) ve DirectAccess ağ konumu sunucusu için planlamayı kapsar.
Uzaktan Erişim dağıtımını planlama: Bu aşamada, Uzaktan Erişim dağıtımı için hazırlık yaparsınız. Uzaktan Erişim istemci bilgisayarları, sunucu ve istemci kimlik doğrulama gereksinimleri, VPN ayarları, altyapı ve yönetim sunucuları için planlamayı kapsar.
Ayrıntılı planlama adımları için, bkz. DirectAccess istemcileri, uzaktan yönetim dağıtımını planlama.
Önkoşullar
Bu senaryoya başlamadan önce önemli gereksinimler listesini gözden geçirin:
- Windows güvenlik duvarı tüm profillerde etkinleştirilmiş olmalıdır.
- DirectAccess yalnızca Windows 8.1, Windows 8 ve Windows 7 ile çalışan istemcileri destekler.
- Windows PowerShell cmdlet'lerini kullanarak veya DirectAccess yönetim konsolunun dışında ilkeleri değiştirmek desteklenmez.
Dağıtım adımları
Bu senaryo için dağıtım üç aşamaya ayrılır:
Uzaktan Erişim altyapısını yapılandırma: Bu aşamada ağ ve yönlendirmeyi, gerekiyorsa güvenlik duvarı ayarlarını, sertifikaları, DNS sunucularını, Active Directory ve GPO ayarlarını, DirectAccess ağ konumu sunucusunu yapılandırırsınız.
Uzaktan Erişim sunucusu ayarlarını yapılandırma: Bu aşamada, Uzaktan Erişim istemci bilgisayarlarını, Uzaktan Erişim sunucusunu, altyapı sunucularını, yönetim ve uygulama sunucularını yapılandırırsınız.
Dağıtımı doğrulama: Bu aşamada, dağıtımın gerektiği gibi çalıştığını doğrularsınız.
Ayrıntılı dağıtım adımları için bkz. Yükleme ve dağıtım DirectAccess istemcileri, uzaktan yönetimi için yapılandırma.
Pratik uygulamalar
DirectAccess istemcilerini yönetmek için tek bir Uzaktan Erişim sunucusu dağıtmak aşağıdaki avantajları sağlar:
Erişim kolaylığı: Windows 8.1, Windows 8 veya Windows 7 çalıştıran yönetilen istemci bilgisayarları, DirectAccess istemci bilgisayarları olarak yapılandırılabilir. Bu istemciler, bir VPN bağlantısında oturum açmaya gerek olmadan, İnternet'e bağlı oldukları herhangi bir zamanda DirectAccess aracılığıyla iç ağ kaynaklarına erişim sağlayabilir. Bu işletim sistemlerinden biri ile çalışan istemci bilgisayarlar VPN üzerinden iç ağa bağlanabilir. DirectAccess ve VPN aynı konsolda ve aynı sihirbaz grubuyla yönetilir.
Yönetim kolaylığı: İnternet’e bağlı DirectAccess istemci bilgisayarları, iç kurumsal ağda olmadıkları zaman bile DirectAccess aracılığıyla uzaktan erişim yöneticileri tarafından uzaktan yönetilebilir. Kurumsal gereksinimleri karşılamayan istemci bilgisayarlar, yönetim sunucuları kullanılarak otomatik olarak düzeltilebilir.
Bu senaryoya dahil edilen roller ve özellikler
Aşağıdaki tabloda, bu senaryoyu planlamak ve dağıtmak için gereken roller ve özellikler listelenmektedir.
Rol/özellik |
Bu senaryoyu nasıl destekler |
---|---|
Uzaktan Erişim rolü |
Bu rol, Sunucu Yöneticisi konsolu veya Windows PowerShell kullanılarak yüklenir ve kaldırılır. Bu rol, hem önceden Windows Server 2008 R2’deki bir özellik olan DirectAccess’i hem de önceden Ağ İlkesi ve Erişim Hizmetleri (NPAS) sunucu rolü kapsamında bir rol hizmeti olan Yönlendirme ve Uzaktan Erişim Hizmetleri’ni kapsar. Uzaktan Erişim rolü iki bileşenden oluşur:
Uzaktan Erişim Sunucusu Rolü aşağıdaki sunucu rollerine/özelliklerine bağlıdır:
|
Uzaktan Erişim Yönetim Araçları özelliği |
Bu özellik, aşağıdaki gibi yüklenir:
Uzaktan Erişim Yönetimi Araçları özelliği şunlardan oluşur:
Bağımlılıklar şunları içerir:
|
Donanım gereksinimleri
Bu senaryo için donanım gereksinimleri şunları içerir:
Sunucu gereksinimleri:
Windows Server 2012 donanım gereksinimlerini karşılayan bir bilgisayar.
Sunucuya takılmış ve etkinleştirilmiş en az bir ağ bağdaştırıcısı olmalıdır. İki bağdaştırıcı kullanıldığında, iç şirket ağına bağlı bir bağdaştırıcı ve dış ağa (İnternet) bağlı bir bağdaştırıcı olmalıdır.
IPv4 ila IPv6 geçiş protokolü olarak Teredo gerekiyorsa, sunucunun dış bağdaştırıcısı için iki ardışık genel IPv4 adresine ihtiyaç vardır. Tek bir IP adresi varsa, bu durumda geçiş protokolü olarak yalnızca IP-HTTPS kullanılabilir.
En az bir etki alanı denetleyicisi. Uzaktan Erişim sunucusu ve DirectAccess istemcileri etki alanı üyeleri olmalıdır.
IP-HTTPS veya ağ konumu sunucusu için otomatik olarak imzalanan sertifikalar kullanmak istemiyorsanız veya istemci IPsec kimlik doğrulaması için istemci sertifikaları kullanmak istiyorsanız bir CA sunucusuna gerek vardır. Alternatif olarak, genel bir CA'dan sertifika isteğinde bulunabilirsiniz.
Ağ konumu sunucusu Uzaktan Erişim sunucusunda değilse, onu çalıştıracak ayrı bir web sunucusu gerekir.
İstemci gereksinimleri:
İstemci bilgisayarlar Windows 8 veya Windows 7 çalıştırılmalıdır.
Not
DirectAccess istemcisi olarak yalnızca şu işletim sistemleri kullanılabilir: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise ve Windows 7 Ultimate.
Altyapı ve yönetim sunucusu gereksinimleri:
DirectAccess istemci bilgisayarlarının uzaktan yönetimi sırasında, Windows ve virüsten koruma yazılımı güncelleştirmeleri ve Ağ Erişimi Koruması (NAP) istemci uyumluluğunu içeren hizmetler için, istemciler iletişimi etki alanı denetleyicileri ve System Center Configuration Sunucuları gibi yönetim sunucularıyla başlatır. Gerekli sunucular, Uzaktan Erişim dağıtımına başlamadan önce dağıtılmalıdır.
Uzaktan erişim için istemci NAP uyumluluğu gerekiyorsa, uzaktan erişim dağıtımına başlamadan önce NPS ve HRS sunucuları dağıtılmalıdır.
VPN etkinse ve statik bir adres havuzu kullanılmıyorsa, IP adreslerini VPN istemcilerine otomatik olarak ayırmak için DHCP sunucu gerekir.
Windows Server 2008 SP2; Windows Server 2008 R2 veya Windows Server 2012 çalıştıran bir DNS sunucusu gerekir.
Yazılım gereksinimleri
Bu senaryo için çeşitli gereksinimler vardır:
Sunucu gereksinimleri:
Uzaktan Erişim sunucusunun bir etki alanının üyesi olması gerekir. Sunucu, iç ağın sınırına veya sınır güvenlik duvarı ya da başka bir cihazın arkasına dağıtılabilir.
Uzaktan Erişim sunucusu bir sınır güvenlik duvarı ya da NAT cihazının arkasında bulunuyorsa, cihaz yapılandırması Uzaktan Erişim sunucusuna giden ve sunucudan gelen trafiğe izin verecek şekilde yapılmalıdır.
Sunucuda uzaktan erişimi dağıtan kişinin, sunucu üzerinde yerel yönetici izinlerine ve etki alanı kullanıcısı izinlerine sahip olması gerekir. Ayrıca, yönetici DirectAccess dağıtımında kullanılan GPO'lar için izinlere gerek duyar. DirectAccess dağıtımını yalnızca mobil bilgisayarlar ile kısıtlayan özelliklerden yararlanmak için, etki alanı denetleyicisinde WMI filtresi oluşturma izinlerine gerek vardır.
Uzaktan erişim istemcisi gereksinimleri:
DirectAccess istemcilerinin etki alanı üyesi olması gerekir. İstemcileri içeren etki alanları Uzaktan Erişim sunucusu ile aynı gruba ait olabilir veya Uzaktan Erişim sunucusu grubu ya da etki alanı ile aralarında iki yönlü güven bulunabilir.
DirectAccess istemcisi olarak yapılandırılacak bilgisayarları içine alacak bir Active Directory güvenlik grubuna gerek vardır. DirectAccess istemci ayarlarını yapılandırırken bir güvenlik grubu belirtilmezse, Etki Alanı Bilgisayarları güvenlik grubundaki tüm dizüstü bilgisayarlara varsayılan olarak istemci GPO'su uygulanır. Aşağıdakilere dikkat edin:
DirectAccess istemcisi olarak yapılandırılacak bilgisayarları içeren her etki alanı için bir güvenlik grubu oluşturmanızı öneririz.
Ayrıca bkz.
Aşağıdaki tabloda ek kaynakların bağlantıları verilmektedir:
İçerik türü |
Başvurular |
---|---|
TechNet üzerindeki Uzaktan Erişim |
|
Ürün değerlendirmesi |
Test Laboratuvarı Kılavuzu: Windows NLB ile bir Kümede DirectAccess gösterme Test laboratuvarı Kılavuzu: DirectAccess çok siteli dağıtım gösterir Test laboratuvarı Kılavuzu: OTP kimlik doğrulaması ve RSA Securıd ile DirectAccess gösterir |
Sorun giderme |
Uzaktan Erişim Sorunlarını Giderme belgeleri (varsa). |
Araçlar ve ayarlar |
|
Topluluk kaynakları |
|
İlgili teknolojiler |