使用入门向导部署单台 DirectAccess 服务器
适用对象:Windows Server 2012 R2, Windows Server 2012
本主题介绍使用单台 DirectAccess 服务器的 DirectAccess 方案,并让你能够通过几个简单的步骤部署 DirectAccess。
有关备用部署路径的信息,请参阅 Windows Server 中的 DirectAccess 部署路径。
重要
若要使用本指南部署 DirectAccess,必须使用运行 Windows Server® 2012 R2 或 Windows Server® 2012 的 DirectAccess 服务器。
在开始部署前,请参阅不受支持的配置、已知问题和先决条件的列表
使用 Windows Server® 2012 R2 和 Windows Server® 2012 部署 DirectAccess 前,可以使用以下主题查看先决条件和其他信息。
方案说明
在此方案中,只需几个简单的步骤,即可将运行 Windows Server 2012 R2 或 Windows Server 2012 的单台计算机配置为 DirectAccess 服务器。
在简单的方案中,只需几个简单的向导步骤,即可使用默认设置设置 DirectAccess,无需配置基础结构设置(例如证书颁发机构 (CA) 或 Active Directory 安全组)。
如果想要使用自定义设置配置高级部署,请参阅Deploy a Single DirectAccess Server with Advanced Settings
如果想要为 DirectAccess 配置企业功能(例如负载平衡的群集、多站点部署或双重客户端身份验证),请完成本主题所述的方案以设置单台服务器,然后使用 在企业中部署远程访问 设置所需的企业方案。
本方案内容
若要设置简单的 DirectAccess 服务器,需要执行多个规划和部署步骤。
必备条件
开始部署此方案前,请查看此列表了解重要要求:
- 必须在所有配置文件上启用 Windows 防火墙
- 仅在客户端计算机运行 Windows® 8.1 和 Windows® 8 时支持此方案。
- 企业网络中的 ISATAP 不受支持。 如果你使用的是 ISATAP,应该将其删除并使用本机 IPv6。
- 不需要公钥基础结构。
- 不支持部署双重身份验证。 身份验证需要域凭据。
- 自动将 DirectAccess 部署到当前域中的所有移动计算机。
- 到 Internet 的流量不通过 DirectAccess 隧道。 不支持强制隧道配置。
- DirectAccess 服务器是网络位置服务器。
- 不支持网络访问保护 (NAP)。
- 不支持在 DirectAccess 管理控制台或 PowerShell cmdlet 之外更改策略。
- 若要在现在或将来部署多站点,首先Deploy a Single DirectAccess Server with Advanced Settings。
规划步骤
规划分成以下两个阶段:
DirectAccess 基础结构的规划 — 本阶段介绍在开始 DirectAccess 部署前设置网络基础结构所需的规划。 它包括规划网络和服务器拓扑以及 DirectAccess 网络位置服务器。
DirectAccess 部署的规划 — 本阶段介绍准备 DirectAccess 部署所需的规划步骤。 它包括规划 DirectAccess 客户端计算机、服务器和客户端身份验证要求、VPN 设置、基础设施服务器以及管理和应用程序服务器。
有关详细的规划步骤,请参阅规划高级 DirectAccess 部署。
部署步骤
部署分成以下三个阶段:
配置 DirectAccess 基础结构 — 本阶段包括配置网络和路由、配置防火墙设置(如果需要)、配置证书、DNS 服务器、Active Directory 和 GPO 设置以及 DirectAccess 网络位置服务器。
配置 DirectAccess 服务器设置 — 本阶段包括配置 DirectAccess 客户端计算机、DirectAccess 服务器、基础结构服务器、管理和应用程序服务器的步骤。
验证部署 — 本阶段包括验证部署是否按要求工作的步骤。
有关详细的部署步骤,请参阅安装和配置基础 DirectAccess。
实际的应用程序
部署单一远程访问服务器可提供以下优势:
轻松访问 — 可以将运行 Windows 8.1、Windows 8 和 Windows® 7 的托管客户端计算机配置为 DirectAccess 客户端。 这些客户端只要位于 Internet 上,就可以随时通过 DirectAccess 访问内部网络资源,无须登录 VPN 连接。 未运行这些操作系统之一的客户端计算机可以通过使用传统 VPN 连接来连接到内部网络。
轻松管理 — 远程访问管理员可以通过 DirectAccess 远程管理 Internet 上的 DirectAccess 客户端计算机,即使客户端计算机不在内部公司网络中也可以。 管理服务器可以自动修正不符合公司要求的客户端计算机。 DirectAccess 和 VPN 由同一控制台管理并具有相同的向导集。 此外,可从单个远程访问管理控制台管理一台或多台远程访问服务器
本方案所包括的角色和功能
下表列出了本方案所需的角色和功能:
角色/功能 |
如何支持本方案 |
|---|---|
远程访问角色 |
使用服务器管理器控制台或 Windows PowerShell 安装或卸载此角色。 本角色包括 DirectAccess(以前是 Windows Server 2008 R2 中的功能)以及路由和远程访问服务(以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务)。 远程访问角色由以下两个组件组成:
远程访问服务器角色依赖以下服务器角色/功能:
|
远程访问管理工具功能 |
此功能的安装如下所述:
远程访问管理工具功能包括以下各项:
依赖项包括:
|
硬件要求
本方案的硬件要求包括以下各项:
服务器要求:
满足 Windows Server 2012 R2 或 Windows Server 2012 的硬件要求的计算机。
服务器必须至少安装和启用了一个网络适配器,并连接至内部网络。 当使用两个适配器时,应有一个适配器连接至内部企业网络,另一个连接至外部网络(Internet 或专用网络)。
至少一个域控制器。 远程访问服务器和 DirectAccess 客户端都必须是域成员。
客户端的要求:
客户端计算机必须运行 Windows 8.1 或 Windows 8。
重要
如果某些或所有客户端计算机运行的是 Windows 7,则必须使用高级安装向导。 本文档所述的入门安装向导不支持运行 Windows 7 的客户端计算机。 有关如何将 Windows 7 客户端与 DirectAccess 一起使用的说明,请参阅Deploy a Single DirectAccess Server with Advanced Settings。
备注
只能将以下操作系统用作 DirectAccess 客户端:Windows® 8.1 企业版、Windows Server 2012 R2、Windows Server 2012、Windows® 8 企业版、Windows Server 2008 R2、Windows 7 企业版 和 Windows 7 旗舰版。
基础机构和管理服务器要求:
- 如果启用了 VPN 且没有配置静态 IP 地址池,则必须部署 DHCP 服务器以将 IP 地址自动分配给 VPN 客户端。
需要一台运行 Windows Server 2008 SP2、Windows Server 2008 R2 或 Windows Server 2012 的 DNS 服务器。
软件要求
存在许多对本方案的要求。
服务器要求:
远程访问客户端必须使用 V.90 调制解调器。 可以将服务器部署在内部网络边缘,或边缘防火墙或其他设备的后面。
如果远程访问服务器位于边缘防火墙或 NAT 设备的后面,则该设备必须配置为允许远程访问服务器进出流量。
在服务器上部署远程访问需要拥有服务器本地管理员权限和域用户权限。 此外,管理员需要具备在 DirectAccess 部署中使用 GPO 的权限。 若要利用将 DirectAccess 部署局限在移动计算机的功能,需要在域控制器上创建 WMI 筛选器的权限。
远程访问客户端要求:
DirectAccess 客户端必须是域成员。 包含客户端的域可以属于与远程访问服务器相同的林,或拥有远程访问服务器林的双向信任。
包含配置为 DirectAccess 客户端的的计算机需要 Active Directory 安全组。 如果配置 DirectAccess 客户端设置时未指定安全组,客户端 GPO 默认应用于 Domain Computers 安全组中的所有便携式计算机。 仅可将以下操作系统用作 DirectAccess 客户端:Windows Server 2012、Windows Server 2008 R2、Windows 8 企业版Windows 7 企业版 和 Windows 7 旗舰版。
另请参阅
下表提供其他资源的链接。
内容类型 |
参考 |
|---|---|
在 TechNet 上的远程访问 |
|
产品评估 |
测试实验室指南:在采用 Windows NLB 的群集中演示 DirectAccess |
工具和设置 |
|
社区资源 |
|
相关技术 |