遠端管理 DirectAccess 用戶端
適用於: Windows Server 2012 R2, Windows Server 2012
**注意:**Windows Server 2012 將 DirectAccess 以及「路由及遠端存取服務」(RRAS) 合併成一個遠端存取角色。
本主題提供一個進階案例簡介,您可以使用這個案例設定單一「遠端存取」伺服器來遠端管理 DirectAccess 用戶端。
案例描述
在這個案例中,是將執行 Windows Server 2012 的單一電腦設定為「遠端存取」伺服器,且其唯一用途就是遠端管理 DirectAccess 用戶端。 這個案例可用來遠端管理用戶端,但是如果您選取完整 DirectAccess 部署,則會停用您可以使用的其他元件,包括內部網路的用戶端存取、強制通道、增強式驗證及 NAP 規範。
注意事項 |
---|
如果您想要設定只具有簡單設定的基本部署,請參閱<使用快速入門精靈部署單一 DirectAccess 伺服器>。 在簡單案例中,您可以使用精靈以預設設定來設定「遠端存取」。 您不需設定基礎結構設定,例如憑證授權單位 (CA) 或 Active Directory 安全性群組。 |
在這個案例中
若要設定單一「遠端存取」伺服器來管理用戶端,需要一些規劃和部署步驟。
規劃步驟
這個案例的規劃分成兩個階段:
規劃遠端存基礎結構:在這個階段中,您會在開始部署「遠端存取」之前,先規劃網路基礎結構。 它包含為網路和伺服器拓撲、憑證、「網域名稱系統」(DNS)、Active Directory、「群組原則物件」(GPO) 及 DirectAccess 網路位置伺服器做規劃。
規劃遠端取部署:在這個階段中,您會為「遠端存取」部署做準備。 它包含為「遠端存取」用戶端電腦、伺服器和用戶端驗證需求、VPN 設定、基礎結構及管理伺服器做規劃。
如需詳細的規劃步驟,請參閱<規劃遠端管理 DirectAccess 用戶端的部署>。
必要條件
開始進行這個案例之前,請先檢閱這份重要需求清單:
- 必須在所有設定檔啟用 Windows 防火牆。
- DirectAccess 只支援執行 Windows 8.1、Windows 8 及 Windows 7 的用戶端。
- 不支援在 DirectAccess 管理主控台以外或使用 Windows PowerShell Cmdlet 來變更原則。
部署步驟
這個案例的部署分成三個階段:
設定遠端存取基礎結構:在此階段中,您要設定網路及路由、防火牆設定 (如果需要)、憑證、DNS 伺服器、Active Directory 和 GPO 設定,以及 DirectAccess 網路位置伺服器。
設定遠端存取伺服器設定:在這個階段中,您會設定「遠端存取」用戶端電腦、「遠端存取」伺服器、基礎結構伺服器,以及管理和應用程式伺服器。
驗證部署:在此階段中,您要確認部署如預期運作。
如需詳細的部署步驟,請參閱<安裝和設定遠端管理 DirectAccess 用戶端的部署>。
實際應用
部署單一「遠端存取」伺服器來管理 DirectAccess 用戶端可提供下列好處:
易於存取:管理的用戶端電腦如果執行 Windows 8.1、Windows 8 或 Windows 7,就可以設定成 DirectAccess 用戶端電腦。 這些用戶端只要連線到網際網路便可隨時透過 DirectAccess 存取內部網路資源,而不需登入 VPN 連線。 未執行上述作業系統的用戶端電腦可以透過 VPN 連線到內部網路。 DirectAccess 和 VPN 都在同一個主控台,以及使用相同的一組精靈進行管理。
易於管理:「遠端存取」系統管理員可以透過 DirectAccess,從遠端管理連線到網際網路的 DirectAccess 用戶端電腦,即使用戶端電腦不位於公司內部網路上也可以。 對於不符合公司需求的用戶端電腦,可以使用管理伺服器來自動修復。
這個案例包含的角色與功能
下表列出規劃和部署本案例所需的角色和功能。
角色/功能 |
如何支援本案例 |
---|---|
遠端存取角色 |
這個角色是利用伺服器管理員主控台或 Windows PowerShell 安裝和解除安裝。 這個角色包含 DirectAccess (以前是 Windows Server 2008 R2 的功能)、 路由及遠端存取服務 (以前是網路原則與存取服務 (NPAS) 伺服器角色底下的角色服務)。 遠端存取角色包含兩個元件:
「遠端存取伺服器角色」取決於下列伺服器角色/功能:
|
遠端存取管理工具功能 |
這個功能的安裝方式如下:
遠端存取管理工具功能包含以下各項:
依存項目包括:
|
硬體需求
本案例需要的硬體如下所示:
伺服器需求:
一部符合 Windows Server 2012 硬體需求的電腦。
伺服器必須至少安裝以及啟用一張網路介面卡。 使用兩張介面卡時,必須有一張介面卡連線到公司內部網路,另一張連線到外部網路 (網際網路)。
如果 Teredo 必須當作 IPv4 到 IPv6 的轉換通訊協定,則伺服器的外部介面卡需要兩個連續的公用 IPv4 位址。 如果只有一個 IP 位址可用,則只能使用 IP-HTTPS 做為轉換通訊協定。
至少一個網域控制站。 遠端存取伺服器和 DirectAccess 用戶端必須是網域成員。
如果 IP-HTTPS 或網路位置伺服器不使用自我簽署的憑證,或者需要使用用戶端憑證來驗證用戶端 IPsec,則需要 CA 伺服器。 您也可以從公用 CA 要求憑證。
如果網路位置伺服器不是位於「遠端存取」伺服器上,則需要一個個別的網頁伺服器來執行它。
用戶端需求:
用戶端電腦必須執行 Windows 8 或 Windows 7。
注意事項 只有下列作業系統可以用來做為 DirectAccess 用戶端:Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 企業版 及 Windows 7 旗艦版。
基礎結構和管理伺服器需求:
進行 DirectAccess 用戶端電腦的遠端管理時,用戶端會起始與管理伺服器 (例如網域控制站和 System Center Configuration Server) 的通訊以使用服務,包括 Windows 和防毒更新及「網路存取保護」(NAP) 用戶端規範。 開始部署「遠端存取」之前,應該先部署必要的伺服器。
如果「遠端存取」需要用戶端 NAP 規範,則開始部署「遠端存取」之前,應該先部署 NPS 和 HRS 伺服器。
如果啟用 VPN,而且在未使用靜態位址集區的情況下,需要 DHCP 伺服器自動分配 IP 給 VPN 用戶端。
執行 Windows Server 2008 SP2、Windows Server 2008 R2 或 Windows Server 2012 的 DNS 為必備項目。
軟體需求
本案例的一些需求:
伺服器需求:
遠端存取伺服器必須是網域成員。 伺服器可以部署到內部網路的邊緣,或者在邊緣防火牆或其他裝置的後面。
如果遠端存取伺服器是位在邊緣防火牆或 NAT 裝置後面,則裝置必須設定成允許遠端存取伺服器的連入和連出通訊。
負責在伺服器部署「遠端存取」的人員,須具備伺服器的本機系統管理員身分以及擁有網域使用者權限。 此外,系統管理員需要具備部署 DirectAccess 所使用之 GPO 的權限。 如果想利用這些功能,將 DirectAccess 只部署到行動電腦上,必須具備在網域控制站建立 WMI 篩選器的權限。
遠端存取用戶端需求:
DirectAccess 用戶端必須是網域成員。 包含用戶端的網域可以和遠端存取伺服器屬於相同的樹系,或者與遠端存取伺服器或網域存在雙向信任的關係。
準備一個 Active Directory 安全性群組,只要會設定成 DirectAccess 用戶端的電腦,全部放到這個群組中。 如果在設定 DirectAccess 用戶端設定時未指定安全性群組,預設會在網域電腦安全性群組的所有膝上型電腦套用用戶端 GPO。 請注意以下幾點:
我們建議您為每個包含設定為 DirectAccess 用戶端電腦的網域建立安全性群組。
另請參閱
下表提供其他資源的連結。
內容類型 |
參考 |
---|---|
TechNet 的遠端存取 |
|
產品評估 |
|
疑難排解 |
疑難排解遠端存取文件 (如有提供)。 |
工具及設定 |
|
社群資源 |
|
相關技術 |