Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Important
Firma Microsoft zdecydowanie zaleca używanie zawsze włączonej sieci VPN zamiast funkcji DirectAccess dla nowych wdrożeń. Aby uzyskać więcej informacji, zobacz Always on VPN (Zawsze włączona sieć VPN).
Ten temat wprowadza do scenariusza DirectAccess, który korzysta z pojedynczego serwera DirectAccess i umożliwia wdrożenie DirectAccess z ustawieniami zaawansowanymi.
Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych
Poniższe tematy umożliwiają zapoznanie się z wymaganiami wstępnymi i innymi informacjami przed wdrożeniem funkcji DirectAccess.
Opis scenariusza
W tym scenariuszu pojedynczy komputer z systemem Windows Server 2016, Windows Server 2012 R2 lub Windows Server 2012 jest skonfigurowany jako serwer funkcji DirectAccess z ustawieniami zaawansowanymi.
Note
Jeśli chcesz skonfigurować podstawowe wdrożenie tylko z prostymi ustawieniami, zobacz Wdróż pojedynczy serwer DirectAccess przy użyciu Kreatora konfiguracji początkowej. W prostym scenariuszu funkcja DirectAccess jest konfigurowana z ustawieniami domyślnymi przy użyciu kreatora, bez konieczności konfigurowania ustawień infrastruktury, takich jak urząd certyfikacji (CA) lub grupy zabezpieczeń usługi Active Directory.
W tym scenariuszu
Aby skonfigurować pojedynczy serwer funkcji DirectAccess z ustawieniami zaawansowanymi, należy wykonać kilka kroków planowania i wdrażania.
Prerequisites
Przed rozpoczęciem możesz przejrzeć następujące wymagania.
Zapora systemu Windows musi być włączona we wszystkich profilach.
Serwer DirectAccess jest serwerem lokalizacji sieciowej.
Chcesz, aby wszystkie komputery bezprzewodowe w domenie, w której instalujesz serwer DirectAccess, miały włączoną funkcję DirectAccess. Podczas wdrażania funkcji DirectAccess jest ona automatycznie włączona na wszystkich komputerach przenośnych w bieżącej domenie.
Important
Niektóre technologie i konfiguracje nie są obsługiwane podczas wdrażania funkcji DirectAccess.
- Intra-Site protokół ISATAP (Automatic Tunnel Addressing Protocol) w sieci firmowej nie jest obsługiwany. Jeśli używasz protokołu ISATAP, musisz go usunąć i użyć natywnego protokołu IPv6.
Kroki planowania
Planowanie jest podzielone na dwie fazy:
Planowanie infrastruktury DirectAccess. W tej fazie opisano planowanie wymagane do skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania funkcji DirectAccess. Obejmuje planowanie topologii sieci i serwera, planowanie certyfikatów, DNS, konfigurację Active Directory i obiektów zasad grupy (GPO) oraz serwera lokalizacji sieciowej DirectAccess.
Planowanie wdrożenia funkcji DirectAccess. W tej fazie opisano kroki planowania wymagane do przygotowania do wdrożenia funkcji DirectAccess. Obejmuje planowanie komputerów klienckich korzystających z funkcji DirectAccess, wymagań dotyczących uwierzytelniania serwera i klienta, ustawień sieci VPN, serwerów infrastruktury, serwerów zarządzania oraz aplikacji.
Kroki wdrażania
Wdrożenie jest podzielone na trzy fazy:
Konfigurowanie infrastruktury DirectAccess. Ta faza obejmuje konfigurowanie sieci i routingu, konfigurowanie ustawień zapory, jeśli to konieczne, konfigurowanie certyfikatów, serwerów DNS, ustawień usługi Active Directory, zasad grupy GPO oraz serwera lokalizacji sieciowej funkcji DirectAccess.
Konfigurowanie ustawień serwera funkcji DirectAccess. Ta faza obejmuje kroki konfigurowania komputerów klienckich DirectAccess, serwera DirectAccess, serwerów infrastruktury, serwerów zarządzania i aplikacji.
Weryfikowanie wdrożenia. Ta faza obejmuje kroki weryfikacji wdrożenia funkcji DirectAccess.
Aby uzyskać szczegółowe instrukcje wdrażania, zobacz Instalowanie i konfigurowanie zaawansowanej funkcji DirectAccess.
Zastosowania praktyczne
Wdrażanie pojedynczego serwera DirectAccess zapewnia następujące korzyści:
Łatwość dostępu. Zarządzane komputery klienckie z systemem Windows 10, Windows 8.1, Windows 8 i Windows 7 można skonfigurować jako komputery klienckie funkcji DirectAccess. Ci klienci mogą uzyskiwać dostęp do zasobów sieci wewnętrznej za pośrednictwem funkcji DirectAccess w dowolnym momencie, gdy znajdują się w Internecie bez konieczności logowania się do połączenia sieci VPN. Komputery klienckie, na których nie działa jeden z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną za pośrednictwem sieci VPN.
Łatwość zarządzania. Komputery klienckie funkcji DirectAccess znajdujące się w Internecie mogą być zdalnie zarządzane przez administratorów dostępu zdalnego za pośrednictwem funkcji DirectAccess, nawet jeśli komputery klienckie nie znajdują się w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą być automatycznie korygowane przez serwery zarządzania. Zarówno funkcja DirectAccess, jak i sieć VPN są zarządzane w tej samej konsoli i tym samym zestawem kreatorów. Ponadto co najmniej jeden serwer funkcji DirectAccess można zarządzać za pomocą jednej konsoli zarządzania dostępem zdalnym
Role i funkcje wymagane w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje wymagane w tym scenariuszu:
| Role/feature | Jak to wspiera ten scenariusz |
|---|---|
| Rola dostępu zdalnego | Rola jest instalowana i odinstalowana przy użyciu konsoli Menedżera serwera lub programu Windows PowerShell. Ta rola obejmuje zarówno funkcję DirectAccess, jak i usługi routingu i dostępu zdalnego (RRAS). Rola Dostępu zdalnego składa się z dwóch składników: 1. Funkcja DirectAccess i sieć VPN usługi RRAS. Funkcja DirectAccess i sieć VPN są zarządzane razem w konsoli zarządzania dostępem zdalnym. 2. Routing RRAS. Funkcje routingu usługi RRAS są zarządzane w starszej konsoli routingu i dostępu zdalnego. Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera: |
| Funkcja narzędzi do zarządzania dostępem zdalnym | Ta funkcja jest zainstalowana w następujący sposób: — Jest instalowany domyślnie na serwerze DirectAccess, gdy zainstalowana jest rola dostępu zdalnego, i obsługuje konsolę zarządzania zdalnego oraz polecenia cmdlet programu Windows PowerShell. Funkcja Narzędzia do zarządzania dostępem zdalnym składa się z następujących elementów: - Graficzny interfejs użytkownika dostępu zdalnego (GUI) Zależności obejmują: — Konsola zarządzania zasadami grupy |
Wymagania sprzętowe
Wymagania sprzętowe dla tego scenariusza obejmują następujące elementy:
Wymagania dotyczące serwera:
Komputer spełniający wymagania sprzętowe systemu Windows Server 2016, Windows Server 2012 R2 lub Windows Server 2012.
Serwer musi mieć zainstalowaną, włączoną i połączoną z siecią wewnętrzną co najmniej jedną kartę sieciową. Gdy są używane dwie karty, powinna istnieć jedna karta połączona z wewnętrzną siecią firmową i jedna połączona z siecią zewnętrzną (Internet lub sieć prywatna).
Jeśli Teredo jest wymagany jako protokół przejściowy z IPv4 do IPv6, zewnętrzna karta serwera wymaga dwóch kolejnych publicznych adresów IPv4. Jeśli dostępny jest jeden adres IP, jako protokół przejściowy można użyć tylko IP-HTTPS.
Co najmniej jeden kontroler domeny. Serwer funkcji DirectAccess i klienci funkcji DirectAccess muszą być członkami domeny.
Urząd certyfikacji (CA) jest wymagany, jeśli nie chcesz używać certyfikatów z podpisem własnym dla IP-HTTPS lub serwera lokalizacji sieciowej, lub jeśli chcesz używać certyfikatów klienta do uwierzytelniania IPsec klienta. Alternatywnie można zażądać certyfikatów z publicznego urzędu certyfikacji.
Jeśli serwer lokalizacji sieciowej nie znajduje się na serwerze funkcji DirectAccess, do jego uruchomienia wymagany jest oddzielny serwer sieci Web.
Wymagania klienta:
Na komputerze klienckim musi być uruchomiony system Windows 10, Windows 8 lub Windows 7.
Note
Następujące systemy operacyjne mogą być używane jako klienci funkcji DirectAccess: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows 7 Enterprise lub Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwera zarządzania:
Podczas zdalnego zarządzania komputerami klienckimi DirectAccess, klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domeny, serwery konfiguracji System Center oraz serwery autorytetu rejestrowania kondycji (HRA), dla usług obejmujących aktualizacje Windows i oprogramowania antywirusowego oraz zgodność klienta z ochroną dostępu do sieci (NAP). Wymagane serwery należy wdrożyć przed rozpoczęciem wdrażania dostępu zdalnego.
Jeśli dostęp zdalny wymaga zgodności z zasadami NAP klienta, serwery NPS i HRS należy wdrożyć przed rozpoczęciem wdrażania dostępu zdalnego.
Jeśli sieć VPN jest włączona, serwer DHCP jest wymagany do automatycznego przydzielania adresów IP klientom sieci VPN, jeśli nie jest używana pula statycznych adresów.
Wymagania dotyczące oprogramowania
W tym scenariuszu istnieje wiele wymagań:
Wymagania dotyczące serwera:
Serwer funkcji DirectAccess musi być członkiem domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej lub za zaporą brzegową lub innym urządzeniem.
Jeśli serwer funkcji DirectAccess znajduje się za zaporą brzegową lub urządzeniem NAT, urządzenie musi być skonfigurowane tak, aby zezwalało na ruch do i z serwera funkcji DirectAccess.
Osoba wdrażająca dostęp zdalny na serwerze wymaga uprawnień administratora lokalnego na serwerze i uprawnień użytkownika domeny. Ponadto administrator wymaga uprawnień do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby korzystać z funkcji, które ograniczają wdrażanie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do tworzenia filtru WMI na kontrolerze domeny.
Wymagania klienta dostępu zdalnego:
Klienci funkcji DirectAccess muszą być członkami domeny. Domeny zawierające klientów mogą należeć do tego samego lasu co serwer DirectAccess lub mieć dwukierunkową relację zaufania z lasem albo domeną serwera DirectAccess.
Grupa zabezpieczeń usługi Active Directory musi zawierać komputery, które zostaną skonfigurowane jako klienci funkcji DirectAccess. Jeśli nie określono grupy zabezpieczeń podczas konfigurowania ustawień klienta DirectAccess, domyślnie zasady grupy klienta są stosowane na wszystkich laptopach w grupie zabezpieczeń Komputery domenowe.
Note
Zaleca się utworzenie grupy zabezpieczeń dla każdej domeny zawierającej komputery klienckie funkcji DirectAccess.
Important
Jeśli włączono usługę Teredo we wdrożeniu funkcji DirectAccess i chcesz zapewnić dostęp do klientów z systemem Windows 7, upewnij się, że klienci są uaktualnini do systemu Windows 7 z dodatkiem SP1. Klienci korzystający z systemu Windows 7 RTM nie będą mogli nawiązać połączenia za pośrednictwem usługi Teredo. Jednak ci klienci nadal będą mogli łączyć się z siecią firmową za pośrednictwem protokołu IP-HTTPS.
Zobacz także
Poniższa tabela zawiera linki do dodatkowych zasobów.
| Typ zawartości | References |
|---|---|
| Deployment |
Ścieżki wdrażania funkcji DirectAccess w systemie Windows Server Wdróż pojedynczy serwer DirectAccess przy użyciu Kreatora konfiguracji początkowej |
| Narzędzia i ustawienia | Polecenia cmdlet programu PowerShell dostępu zdalnego |
| Zasoby społeczności | Przewodnik przetrwania DirectAccess |
| Powiązane technologie | Jak działa protokół IPv6 |