Table of contents
TOC
摺疊目錄
展開目錄

部署的單一 DirectAccess 伺服器的進階設定

James McIllece|上次更新日期: 2017/3/10
|
1 投稿人

適用於︰ Windows Server 2016

此主題介紹 DirectAccess 案例中,使用單一 DirectAccess 伺服器,並且可讓您部署 DirectAccess 的進階設定。

部署在您開始之前,請查看不支援的設定、已知的問題,以及必要條件清單

您可以使用下列主題部署 DirectAccess 之前檢視必要條件和其他資訊。

案例

在本案例中,執行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012、一部電腦設定為 DirectAccess 伺服器的進階設定。

注意事項

如果您想要設定基本部署簡單的設定,請查看單一 DirectAccess 伺服器使用部署取得精靈中。 在簡單案例中,DirectAccess 是使用精靈之後,不需要設定基礎結構設定,例如憑證授權單位」或「Active Directory 安全性群組設定使用預設設定。

在本案例

若要設定單一 DirectAccess 伺服器的進階設定時,您必須先完成規劃及部署的幾個步驟。

必要條件

在您開始之前,您可以檢視下列需求。

  • Windows 防火牆必須用所有設定檔。

  • 網路位置伺服器 DirectAccess 伺服器。

  • 您想要在您安裝會 DirectAccess 式 DirectAccess 伺服器網域中的所有 wireless 電腦。 當您部署 DirectAccess 時,它會自動支援目前網域中的所有行動裝置版的電腦上。

重要事項

您部署 DirectAccess 時,不支援部分技術和設定。

  • 不支援站台自動通道處理通訊協定 (ISATAP) 中的企業網路。 如果您使用 ISATAP,您必須將它移除,並使用原始之 IPv6。

步驟次的計劃

計畫分為兩個階段︰

  1. 計畫 DirectAccess 基礎結構。 這個階段描述設定之後,再開始 DirectAccess 部署的基礎結構網路所需的計劃。 它包括計劃網路與伺服器拓撲、憑證規劃、DNS、Active Directory 及群組原則物件 (GPO) 設定及 DirectAccess 網路位置伺服器。

  2. 計畫 DirectAccess 部署。 這個階段描述準備 DirectAccess 部署所需的計劃步驟。 它包括 DirectAccess client 電腦、伺服器和 client 驗證的需求,VPN 設定、基礎結構伺服器與管理應用程式的伺服器。

部署步驟

部署分成三階段︰

  1. 設定 DirectAccess 基礎結構。 這個階段包含設定網路與路由、設定防火牆必要時,設定憑證、DNS 伺服器、Active Directory 和 GPO 設定,以及 DirectAccess 網路位置伺服器。

  2. 設定 DirectAccess 伺服器。 這個階段包含 DirectAccess client 電腦、DirectAccess 伺服器、基礎結構伺服器、管理和應用程式的伺服器設定步驟。

  3. 確認部署。 這個階段包含步驟以確認 DirectAccess 部署。

詳細的部署的步驟,查看安裝和設定進階 DirectAccess

實用的應用程式

部署單一 DirectAccess 伺服器提供下列功能︰

  • 輕鬆存取。 管理的 client 執行 Windows 10、Windows 8.1、Windows 8 和 Windows 7 的電腦可以設定為 DirectAccess client 電腦。 這些戶端可以存取連絡資源 DirectAccess 透過任何不需要登入的 VPN 連接位於網際網路的時間。 Client 不執行一種作業系統的電腦可以連接到透過 VPN 連絡。

  • 管理輕鬆。 DirectAccess client 的電腦位於網際網路上可從遠端管理來存取系統管理員透過 DirectAccess,即使 client 的電腦不會位於副連絡。 可以管理的伺服器來自動在於 client 的電腦不符合副需求。 在同一部主機與精靈的管理 DirectAccess 和 VPN。 此外,可以一或多個 DirectAccess 伺服器管理從單一遠端管理存取主控台

角色和本案例中所需的功能

下表列出的角色和所需本案例中的功能︰

角色/功能它如何支援此案例
遠端存取的角色角色安裝和使用伺服器管理員主機或 Windows PowerShell 解除安裝。 這個角色包含 DirectAccess 和路由及遠端存取服務 (RRAS)。 有兩個元件包含遠端存取的角色︰

1.DirectAccess 和 RRAS VPN。 DirectAccess 和 VPN 是一起管理遠端存取 Management console 中。
2.RRAS 路由。 在舊版路由及遠端存取主控台管理 RRAS 路由功能。

存取遠端伺服器的角色是下列 server 角色/功能而定︰

網際網路資訊服務 (IIS) 的網頁伺服器-所需的網路位置上設定伺服器 DirectAccess 伺服器,並預設網頁偵測到是此功能。
Windows 內部資料庫中。 用於本機計量 DirectAccess 伺服器上。
遠端存取管理工具功能這項功能會安裝,如下所示︰

-安裝 DirectAccess 伺服器預設當遠端存取角色安裝時,並支援遠端 Management console 使用者介面與 Windows PowerShell cmdlet。
-它可以選擇安裝無法執行 DirectAccess 伺服器角色伺服器上。 在本案例中,這適用於遠端執行 DirectAccess 和 VPN 存取遠端電腦管理。

遠端存取管理工具功能包括下列項目︰

-遠端存取圖形使用者介面 (GUI)
-適用於 Windows PowerShell 遠端存取模組

相依包括︰

群組原則管理主機
RAS 連接管理員管理套件 (CMAK)
Windows PowerShell 3.0
圖形管理工具與基礎結構

硬體需求

這個案例硬體需求,包括︰

  • 伺服器需求︰

    • 符合 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的硬體需求的電腦。

    • 伺服器必須安裝、支援,以及連接至連絡至少的網路介面卡。 兩個介面卡使用時,那里應該介面卡連接到企業連絡,以及一個連接到外部網路(網際網路或私人網路)。

    • 如果 Teredo 為 IPv6 轉換通訊協定 IPv4,請外接的介面卡的伺服器會需要兩個連續公用 IPv4 位址。 如果使用單一 IP 位址,然後只的 IP HTTPS 可以當做轉換通訊協定。

    • 至少網域控制站。 DirectAccess 伺服器」與「DirectAccess 用必須網域成員。

    • 如果您不想使用自動簽署的憑證 IP-HTTPS 或網路位置伺服器,或如果您想要使用 client IPsec 驗證憑證的取代,client 需要憑證授權單位。 或者,您可以要求憑證從公用 CA。

    • 網路位置伺服器不 DirectAccess 伺服器,不同的網頁伺服器需要執行它。

  • Client 需求︰

    • Client 的電腦必須執行 Windows 10、Windows 8 或 Windows 7。

      注意事項

      在下列作業系統可做為 DirectAccess 戶端︰ Windows 10、Windows Server 2012 R2、Windows Server 2012、Windows 8 企業版、Windows 7 企業版或 Windows 7 旗艦版。

  • 基礎結構及管理伺服器需求︰

    • 在遠端 DirectAccess client 電腦的管理、戶端起始例如網域控制站、系統中心設定伺服器、和服務,包括 Windows 和防毒軟體更新,以及網路的存取保護 (NAP) client compliance 健康授權單位 (HRA) 伺服器管理伺服器通訊。 應該會開始遠端存取部署之前部署所需的伺服器。

    • 如果遠端存取需要 client NAP 規範,應該之後,再開始遠端存取部署部署 NPS 和小時伺服器

    • 如果 VPN 支援,DHCP 伺服器,才能配置 IP 位址會自動 VPN 戶端,若未使用的靜態地址集區。

軟體需求

有一些本案例需求︰

  • 伺服器需求︰

    • DirectAccess 伺服器必須網域成員。 在 edge 連絡,或之後 edge 防火牆或其他裝置伺服器可以部署。

    • 如果 edge 防火牆」或「NAT 裝置位於 DirectAccess 伺服器,裝置必須允許流量 DirectAccess 伺服器設定。

    • 部署遠端伺服器上的存取權的人需要本地系統管理員權限的伺服器上,以及網域使用者權限。 此外,系統管理員需要 Gpo 用於 DirectAccess 部署的權限。 若要利用功能限制 DirectAccess 部署行動裝置版的電腦,權限的網域控制站建立剔除所需。

  • 遠端存取 client 需求︰

    • DirectAccess 戶端必須網域成員。 包含戶端網域可以屬於相同森林為 DirectAccess 伺服器,或雙向信任 DirectAccess 伺服器森林或網域。

    • 包含的電腦,都將設定為 DirectAccess 戶端需要 Active Directory 安全性群組。 如果安全性群組未指定 DirectAccess client 設定時,預設 client GPO 會套用至所有網域的電腦安全性群組中的膝上型電腦。

      注意事項

      建議您建立包含 DirectAccess client 電腦的每個網域的安全性群組。

      重要事項

      如果您有支援 Teredo DirectAccess 部署中,,而您想要提供存取權的 Windows 7 戶端時,請確定戶端升級到 Windows 7 sp1。 使用 Windows 7 RTM 將無法再透過 Teredo 連接。 不過,下列戶端將仍然可以透過 IP-HTTPS 企業網路。

也請

下表提供額外的資源的連結。

Content 類型資訊尋找參考資料
部署在 Windows Server DirectAccess 部署路徑

部署單一 DirectAccess 伺服器使用取得入門的精靈
工具和設定遠端存取 PowerShell cmdlet
社群資源DirectAccess 的生存指南

DirectAccess Wiki 項目
相關的技術IPv6 的運作方式
© 2017 Microsoft