远程管理 DirectAccess 客户端
适用对象:Windows Server 2012 R2, Windows Server 2012
**注意:**Windows Server 2012 将 DirectAccess 与路由及远程访问服务 (RRAS) 合并到了单个远程访问角色中。
本主题介绍一个高级方案,可以使用该方案来设置用于远程管理 DirectAccess 客户端的单个远程访问服务器。
方案说明
在此方案中,将一台运行 Windows Server 2012 的计算机配置为仅用于远程管理 DirectAccess 客户端的远程访问服务器。 使用该方案使你能够远程管理客户端,但它会禁用其他组件,包括从客户端访问内部网络、强制隧道、强身份验证和 NAP 兼容性;如果你选择完全 DirectAccess 部署,就可以使用这些组件。
备注
如果你仅希望使用简单的设置来配置基本部署,请参阅使用入门向导部署单台 DirectAccess 服务器。 在简单的方案中,你可以通过向导来使用默认设置对远程访问进行设置。 不用配置基础结构设置,如证书颁发机构 (CA) 或 Active Directory 安全组。
本方案内容
若要设置单个远程访问服务器来管理客户端,需要执行多个规划和部署步骤。
规划步骤
对于此方案的规划分为两个阶段:
规划远程访问基础结构:在此阶段中,你将在开始远程访问部署之前先规划网络基础结构。 它包括规划网络和服务器拓扑、证书、域名系统 (DNS)、Active Directory、组策略对象 (GPO) 和 DirectAccess 网络位置服务器。
规划远程访问部署:在此阶段中,准备进行远程访问部署。 它包括规划远程访问客户端计算机、服务器和客户端身份验证要求、VPN 设置、基础结构以及管理服务器。
有关详细的规划步骤,请参阅规划用于远程管理 DirectAccess 客户端部署。
必备条件
在开始此方案之前,请查看此列表以注意重要要求:
- 必须在所有配置文件上启用 Windows 防火墙。
- DirectAccess 仅支持运行 Windows 8.1、Windows 8 和 Windows 7 的客户端。
- 不支持在 DirectAccess 管理控制台之外或通过使用 Windows PowerShell cmdlet 更改策略。
部署步骤
对于此方案的部署分为三个阶段:
配置远程访问基础结构:在此阶段中,你将配置网络和路由、防火墙设置(如果需要)、证书、DNS 服务器、Active Directory 和 GPO 设置以及 DirectAccess 网络位置服务器。
配置远程访问服务器设置:在此阶段中,你将配置远程访问客户端计算机、远程访问服务器、基础结构服务器以及管理和应用程序服务器。
验证部署:在此阶段中,你将验证部署是否按要求工作。
有关详细的部署步骤,请参阅安装和配置用于远程管理 DirectAccess 客户端部署。
实际的应用程序
部署单个远程访问服务器以管理 DirectAccess 客户端可提供以下优势:
轻松使用:运行 Windows 8.1、Windows 8 或 Windows 7 的托管客户端计算机可以配置为 DirectAccess 客户端计算机。 这些客户端只要连接到 Internet 上,就可以随时通过 DirectAccess 访问内部网络资源,而无须登录 VPN 连接。 未运行这些操作系统之一的客户端计算机可以通过 VPN 连接到内部网络。 DirectAccess 和 VPN 由同一控制台管理并使用相同的向导集。
轻松管理:即使客户端计算机不位于内部企业网络上,远程访问管理员也可以通过 DirectAccess 远程管理连接到 Internet 的 DirectAccess 客户端计算机。 可以通过使用管理服务器自动修正不符合企业要求的客户端计算机。
本方案所包括的角色和功能
下表列出规划和部署此方案所需的角色和功能。
角色/功能 |
如何支持本方案 |
|---|---|
远程访问角色 |
使用服务器管理器控制台或 Windows PowerShell 安装或卸载此角色。 本角色包括 DirectAccess(以前是 Windows Server 2008 R2 中的功能)以及路由和远程访问服务(以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务)。 远程访问角色由以下两个组件组成:
远程访问服务器角色依赖以下服务器角色\功能:
|
远程访问管理工具功能 |
此功能的安装如下所述:
远程访问管理工具功能包括以下各项:
依赖项包括:
|
硬件要求
本方案的硬件要求包括以下各项:
服务器要求:
满足 Windows Server 2012 的硬件要求的计算机。
服务器必须至少安装和启用了一个网络适配器。 当使用两个适配器时,应有一个适配器连接至内部企业网络,另一个连接至外部网络 (Internet)。
如果需要 Teredo 作为 IPv4 到 IPv6 转换协议,则服务器的外部适配器需要两个连续的公用 IPv4 地址。 如果单个 IP 地址可用,那么仅 IP-HTTPS 可以用作转换协议。
至少一个域控制器。 远程访问服务器和 DirectAccess 客户端都必须是域成员。
如果你不希望使用 IP-HTTPS 或网络位置服务器的自签名证书,或者如果你希望使用客户端 IPsec 身份验证的客户端证书,则需要 CA 服务器。 或者,你可以从公共 CA 申请证书。
如果网络位置服务器不在远程访问服务器上,则需要单独的 Web 服务器来运行它。
客户端的要求:
客户端计算机必须运行 Windows 8 或 Windows 7。
备注
仅可将以下操作系统用作 DirectAccess 客户端:Windows Server 2012、Windows Server 2008 R2、Windows 8 企业版Windows 7 企业版 和 Windows 7 旗舰版。
基础机构和管理服务器要求:
在远程管理 DirectAccess 客户端计算机期间,客户端启动与管理服务器(例如,域控制器和系统中心配置服务器)的通信,以提供 Windows 和防病毒更新以及网络访问保护 (NAP) 客户端兼容性等服务。 开始远程访问部署之前,先部署所需的服务器。
如果远程访问需要客户端 NAP 符合性,则在开始远程访问部署之前,先部署 NPS 和 HRS 服务器
如果启用了 VPN,则在不使用静态地址池的情况下,需要使用 DHCP 服务器,以将 IP 地址自动分配给 VPN 客户端。
运行 Windows Server 2008 SP2 的 DNS 服务器;Windows Server 2008 R2;或需要使用 Windows Server 2012。
软件要求
存在许多对本方案的要求。
服务器要求:
远程访问客户端必须使用 V.90 调制解调器。 可以将服务器部署在内部网络边缘,或边缘防火墙或其他设备的后面。
如果远程访问服务器位于边缘防火墙或 NAT 设备的后面,则该设备必须配置为允许远程访问服务器进出流量。
在服务器上部署远程访问需要拥有服务器本地管理员权限和域用户权限。 此外,管理员需要具备在 DirectAccess 部署中使用 GPO 的权限。 若要利用将 DirectAccess 部署局限在移动计算机的功能,需要在域控制器上创建 WMI 筛选器的权限。
远程访问服务器客户端要求:
DirectAccess 客户端必须是域成员。 含有客户端的域可属于与远程访问服务器相同的林,或拥有远程访问服务器林或域的双向信任。
包含配置为 DirectAccess 客户端的的计算机需要 Active Directory 安全组。 如果配置 DirectAccess 客户端设置时未指定安全组,客户端 GPO 默认应用于 Domain Computers 安全组中的所有便携式计算机。 注意以下各项:
我们建议你为每个包含将配置为 DirectAccess 客户端的计算机的域创建安全组。
另请参阅
下表提供其他资源的链接。
内容类型 |
参考 |
|---|---|
在 TechNet 上的远程访问 |
|
产品评估 |
测试实验室指南:在采用 Windows NLB 的群集中演示 DirectAccess |
疑难解答 |
解决远程访问文档的问题(可用时)。 |
工具和设置 |
|
社区资源 |
|
相关技术 |