Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Important
Microsoft rekommenderar starkt att du använder Always On VPN i stället för DirectAccess för nya distributioner. Mer information finns i Always on VPN.
Det här avsnittet innehåller en introduktion till DirectAccess-scenariot som använder en enda DirectAccess-server och gör att du kan distribuera DirectAccess med avancerade inställningar.
Innan du börjar distribuera kan du läsa listan över konfigurationer som inte stöds, kända problem och förutsättningar
Du kan använda följande avsnitt för att granska krav och annan information innan du distribuerar DirectAccess.
Scenariobeskrivning
I det här scenariot konfigureras en enda dator som kör antingen Windows Server 2016, Windows Server 2012 R2 eller Windows Server 2012 som en DirectAccess-server med avancerade inställningar.
Note
Om du bara vill konfigurera en grundläggande distribution med enkla inställningar kan du läsa Distribuera en enskild DirectAccess-server med hjälp av guiden Komma igång. I det enkla scenariot konfigureras DirectAccess med standardinställningar med hjälp av en guide, utan att du behöver konfigurera infrastrukturinställningar som en certifikatutfärdare (CA) eller Active Directory-säkerhetsgrupper.
I det här scenariot
Om du vill konfigurera en enskild DirectAccess-server med avancerade inställningar måste du utföra flera planerings- och distributionssteg.
Prerequisites
Innan du börjar kan du granska följande krav.
Windows-brandväggen måste vara aktiverad för alla profiler.
DirectAccess-servern är nätverksplatsservern.
Du vill att alla trådlösa datorer i domänen där du installerar DirectAccess-servern ska vara DirectAccess-aktiverade. När du distribuerar DirectAccess aktiveras det automatiskt på alla mobila datorer i den aktuella domänen.
Important
Vissa tekniker och konfigurationer stöds inte när du distribuerar DirectAccess.
- Intra-Site ISATAP (Automatic Tunnel Addressing Protocol) i företagsnätverket stöds inte. Om du använder ISATAP måste du ta bort det och använda intern IPv6.
Planeringssteg
Planeringen är uppdelad i två faser:
Planering för DirectAccess-infrastrukturen. I den här fasen beskrivs den planering som krävs för att konfigurera nätverksinfrastrukturen innan du påbörjar DirectAccess-distributionen. Den omfattar planering av nätverks- och servertopologi, certifikatplanering, KONFIGURATION av DNS-, Active Directory- och grupprincipobjekt (GPO) och DirectAccess-nätverksplatsservern.
Planering av DirectAccess-distributionen. I den här fasen beskrivs de planeringssteg som krävs för att förbereda för DirectAccess-distributionen. Den omfattar planering för DirectAccess-klientdatorer, server- och klientautentiseringskrav, VPN-inställningar, infrastrukturservrar och hanterings- och programservrar.
Implementeringssteg
Distributionen är uppdelad i tre faser:
Konfigurera DirectAccess-infrastrukturen. I den här fasen ingår att konfigurera nätverk och routning, konfigurera brandväggsinställningar om det behövs, konfigurera certifikat, DNS-servrar, Active Directory- och GPO-inställningar och DirectAccess-nätverksplatsservern.
Konfigurera DirectAccess-serverinställningar. Den här fasen innehåller steg för att konfigurera DirectAccess-klientdatorer, DirectAccess-servern, infrastrukturservrar, hanterings- och programservrar.
Verifiera distributionen. Den här fasen innehåller steg för att verifiera DirectAccess-distributionen.
Detaljerade distributionssteg finns i Installera och konfigurera Advanced DirectAccess.
Praktiska tillämpningar
När du distribuerar en enskild DirectAccess-server får du följande:
Enkel åtkomst. Hanterade klientdatorer som kör Windows 10, Windows 8.1, Windows 8 och Windows 7 kan konfigureras som DirectAccess-klientdatorer. Dessa klienter kan komma åt interna nätverksresurser via DirectAccess när de finns på Internet utan att behöva logga in på en VPN-anslutning. Klientdatorer som inte kör något av dessa operativsystem kan ansluta till det interna nätverket via VPN.
Enkel hantering. DirectAccess-klientdatorer som finns på Internet kan fjärrhanteras av fjärråtkomstadministratörer via DirectAccess, även om klientdatorerna inte finns i det interna företagsnätverket. Klientdatorer som inte uppfyller företagets krav kan åtgärdas automatiskt av hanteringsservrar. Både DirectAccess och VPN hanteras i samma konsol och med samma uppsättning guider. Dessutom kan en eller flera DirectAccess-servrar hanteras från en enda fjärråtkomsthanteringskonsol
Roller och funktioner som krävs för det här scenariot
I följande tabell visas de roller och funktioner som krävs för det här scenariot:
| Role/feature | Hur det stöder det här scenariot |
|---|---|
| Fjärråtkomstroll | Rollen installeras och avinstalleras med hjälp av Serverhanteraren-konsolen eller Windows PowerShell. Den här rollen omfattar både DirectAccess och Routning och Fjärråtkomsttjänster (RRAS). Fjärråtkomstrollen består av två komponenter: 1. DirectAccess och RRAS VPN. DirectAccess och VPN hanteras tillsammans i konsolen för hantering av fjärråtkomst. 2. RRAS-routning. RRAS-routningsfunktioner hanteras i den äldre routnings- och fjärråtkomstkonsolen. Fjärråtkomstserverrollen är beroende av följande serverroller/funktioner: |
| Funktionen Verktyg för fjärråtkomsthantering | Den här funktionen installeras på följande sätt: – Den installeras som standard på en DirectAccess-server när fjärråtkomstrollen är installerad och stöder användargränssnittet för fjärrhanteringskonsolen och Windows PowerShell-cmdletar. Funktionen Verktyg för fjärråtkomsthantering består av följande: – Grafiskt användargränssnitt för fjärråtkomst (GUI) Beroenden omfattar: – Konsolen för grupprinciphantering |
Maskinvarukrav
Maskinvarukrav för det här scenariot omfattar följande:
Serverkrav:
En dator som uppfyller maskinvarukraven för Windows Server 2016, Windows Server 2012 R2 eller Windows Server 2012 .
Servern måste ha minst ett nätverkskort installerat, aktiverat och anslutet till det interna nätverket. När två kort används bör det finnas ett kort som är anslutet till det interna företagsnätverket och ett som är anslutet till det externa nätverket (Internet eller privat nätverk).
Om Teredo krävs som ett övergångsprotokoll för IPv4 till IPv6 kräver serverns externa kort två offentliga IPv4-adresser i följd. Om en enskild IP-adress är tillgänglig kan endast IP-HTTPS användas som övergångsprotokoll.
Minst en domänkontrollant. DirectAccess-servern och DirectAccess-klienterna måste vara domänmedlemmar.
En certifikatutfärdare (CA) krävs om du inte vill använda självsignerade certifikat för IP-HTTPS eller nätverksplatsservern, eller om du vill använda klientcertifikat för klient-IPsec-autentisering. Du kan också begära certifikat från en offentlig certifikatutfärdare.
Om nätverksplatsservern inte finns på DirectAccess-servern krävs en separat webbserver för att köra den.
Klientkrav:
En klientdator måste köra Windows 10, Windows 8 eller Windows 7.
Note
Följande operativsystem kan användas som DirectAccess-klienter: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows 7 Enterprise eller Windows 7 Ultimate.
Infrastruktur- och hanteringsserverkrav:
Under fjärrhantering av DirectAccess-klientdatorer initierar klienter kommunikation med hanteringsservrar som domänkontrollanter, System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) för tjänster som omfattar Windows- och antivirusuppdateringar och NAP-klientefterlevnad (Network Access Protection). De servrar som krävs ska distribueras innan fjärråtkomstdistributionen påbörjas.
Om fjärråtkomst kräver NAP-klientefterlevnad bör NPS- och HRS-servrar distribueras innan fjärråtkomstdistributionen påbörjas
Om VPN är aktiverat krävs en DHCP-server för att allokera IP-adresser automatiskt till VPN-klienter, om en statisk adresspool inte används.
Programvarukrav
Det finns ett antal krav för det här scenariot:
Serverkrav:
DirectAccess-servern måste vara domänmedlem. Servern kan distribueras i utkanten av det interna nätverket eller bakom en gränsbrandvägg eller annan enhet.
Om DirectAccess-servern finns bakom en gränsbrandvägg eller NAT-enhet måste enheten konfigureras för att tillåta trafik till och från DirectAccess-servern.
Den person som distribuerar fjärråtkomst på servern kräver lokal administratörsbehörighet på servern och domänanvändarbehörigheter. Dessutom kräver administratören behörigheter för GPO:erna som används i Direktåtkomst-distributionen. För att kunna dra nytta av de funktioner som begränsar DirectAccess-distributionen endast till mobila datorer krävs behörigheter för att skapa ett WMI-filter på domänkontrollanten.
Klientkrav för fjärråtkomst:
DirectAccess-klienter måste vara domänmedlemmar. Domäner som innehåller klienter kan tillhöra samma skogsträd som DirectAccess-servern eller ha ett ömsesidigt förtroende med DirectAccess-serverns skog eller med domänen.
En Active Directory-säkerhetsgrupp krävs för att innehålla de datorer som ska konfigureras som DirectAccess-klienter. Om en säkerhetsgrupp inte anges när du konfigurerar DirectAccess-klientinställningar, tillämpas klient-GPO:t per standardinställning på alla bärbara datorer i säkerhetsgruppen Domändatorer.
Note
Vi rekommenderar att du skapar en säkerhetsgrupp för varje domän som innehåller DirectAccess-klientdatorer.
Important
Om du har aktiverat Teredo i DirectAccess-distributionen och vill ge åtkomst till Windows 7-klienter kontrollerar du att klienterna uppgraderas till Windows 7 med SP1. Klienter som använder Windows 7 RTM kommer inte att kunna ansluta via Teredo. Dessa klienter kommer dock fortfarande att kunna ansluta till företagsnätverket via IP-HTTPS.
Se även
Följande tabell innehåller länkar till ytterligare resurser.
| Innehållstyp | References |
|---|---|
| Deployment |
Distributionssökvägar för DirectAccess i Windows Server Distribuera en enskild DirectAccess-server med hjälp av guiden Komma igång |
| Verktyg och inställningar | PowerShell-cmdletar för fjärråtkomst |
| Gemenskapsresurser | Överlevnadsguide för DirectAccess |
| Relaterade tekniker | Hur IPv6 fungerar |