Wdrażanie pojedynczego serwera DirectAccess przy użyciu Kreatora Szybkiego Startu

Artykuł
2025-04-08
Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Ważne

Firma Microsoft zdecydowanie zaleca używanie zawsze włączonej sieci VPN zamiast funkcji DirectAccess dla nowych wdrożeń. Aby uzyskać więcej informacji, zobacz Always on VPN.

Ten artykuł zawiera wprowadzenie do scenariusza DirectAccess, który wykorzystuje pojedynczy serwer DirectAccess i pozwala na wdrożenie tej funkcji w kilku prostych krokach.

Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych

Poniższe tematy umożliwiają zapoznanie się z wymaganiami wstępnymi i innymi informacjami przed wdrożeniem funkcji DirectAccess.

Opis scenariusza

W tym scenariuszu komputer z systemem Windows Server jest skonfigurowany jako serwer funkcji DirectAccess z ustawieniami domyślnymi. Konfiguracja wymaga tylko kilku prostych kroków kreatora, bez potrzeby konfigurowania ustawień infrastruktury, takich jak urząd certyfikacji (CA) czy grupy zabezpieczeń Active Directory.

Uwaga

Jeśli chcesz skonfigurować wdrożenie zaawansowane przy użyciu ustawień niestandardowych, zobacz Wdrażanie pojedynczego serwera funkcji DirectAccess przy użyciu ustawień zaawansowanych

W tym scenariuszu

Aby skonfigurować podstawowy serwer funkcji DirectAccess, wymagane jest kilka kroków planowania i wdrażania.

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza zapoznaj się z tą listą pod kątem ważnych wymagań:

Zapora systemu Windows musi być włączona we wszystkich profilach
Ten scenariusz jest obsługiwany tylko wtedy, gdy komputery klienckie korzystają z systemu Windows 10, Windows 8.1 lub Windows 8.
Funkcja ISATAP w sieci firmowej nie jest obsługiwana. Jeśli używasz protokołu ISATAP, usuń go i użyj natywnego protokołu IPv6.
Infrastruktura kluczy publicznych nie jest wymagana.
Nie jest obsługiwane w zakresie wdrażania uwierzytelniania dwuskładnikowego. Poświadczenia domeny są wymagane do uwierzytelniania.
Automatycznie wdraża funkcję DirectAccess na wszystkich komputerach przenośnych w bieżącej domenie.
Ruch do Internetu nie przechodzi przez tunel funkcji DirectAccess. Konfiguracja wymuszonego tunelu nie jest obsługiwana.
Serwer lokalizacji sieciowej to serwer funkcji DirectAccess.
Ochrona dostępu do sieci (NAP) nie jest obsługiwana.
Zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet programu PowerShell nie jest obsługiwana.
Aby wdrożyć multilokacyjność, teraz lub w przyszłości, najpierw wdróż pojedynczy serwer DirectAccess z ustawieniami zaawansowanymi.

Kroki planowania

Planowanie jest podzielone na dwie fazy:

Planowanie infrastruktury DirectAccess. W tej fazie opisano planowanie wymagane do skonfigurowania infrastruktury sieciowej przed rozpoczęciem wdrażania funkcji DirectAccess. Planowanie obejmuje projektowanie topologii sieci i serwera oraz serwera lokalizacji sieciowej funkcji DirectAccess.
Planowanie wdrożenia funkcji DirectAccess. W tej fazie opisano kroki planowania wymagane do przygotowania do wdrożenia funkcji DirectAccess. Obejmuje planowanie komputerów klienckich korzystających z funkcji DirectAccess, wymagań dotyczących uwierzytelniania serwera i klienta, ustawień sieci VPN, serwerów infrastruktury, serwerów zarządzania oraz aplikacji.

Aby uzyskać szczegółowe instrukcje planowania, zobacz Planowanie zaawansowanego wdrożenia funkcji DirectAccess.

Kroki wdrażania

Wdrożenie jest podzielone na trzy fazy:

Konfigurowanie infrastruktury funkcji DirectAccess. Ta faza obejmuje konfigurowanie następujących składników:

Sieć i routing
Ustawienia zapory (jeśli jest to wymagane)
Certyfikaty
Serwery DNS
Ustawienia usługi Active Directory i Zasady Grupy
Serwer lokalizacji sieciowej funkcji DirectAccess

Konfigurowanie ustawień serwera DirectAccess. Ta faza obejmuje kroki konfigurowania komputerów klienckich DirectAccess, serwera DirectAccess, serwerów infrastruktury, serwerów zarządzania i aplikacji.
Weryfikowanie wdrożenia. Ta faza obejmuje kroki umożliwiające sprawdzenie, czy wdrożenie działa zgodnie z wymaganiami.

Aby uzyskać szczegółowe instrukcje wdrażania, zobacz Instalowanie i konfigurowanie podstawowej funkcji DirectAccess.

Zastosowania praktyczne

Wdrażanie pojedynczego serwera dostępu zdalnego zapewnia następujące korzyści:

Łatwość dostępu. Jako klientów funkcji DirectAccess można skonfigurować zarządzane komputery klienckie z systemem Windows 10, Windows 8.1, Windows 8 lub Windows 7. Ci klienci mogą uzyskiwać dostęp do zasobów sieci wewnętrznej za pośrednictwem funkcji DirectAccess w dowolnym momencie, gdy znajdują się w Internecie bez konieczności logowania się do połączenia sieci VPN. Komputery klienckie, które nie korzystają z jednego z tych systemów operacyjnych, mogą łączyć się z siecią wewnętrzną przy użyciu tradycyjnych połączeń sieci VPN.
Łatwość zarządzania. Komputery klienckie funkcji DirectAccess znajdujące się w Internecie mogą być zdalnie zarządzane przez administratorów dostępu zdalnego za pośrednictwem funkcji DirectAccess, nawet jeśli komputery klienckie nie znajdują się w wewnętrznej sieci firmowej. Komputery klienckie, które nie spełniają wymagań firmy, mogą być automatycznie korygowane przez serwery zarządzania. Zarówno funkcja DirectAccess, jak i sieć VPN są zarządzane w tej samej konsoli i tym samym zestawem kreatorów. Ponadto co najmniej jeden serwer dostępu zdalnego można zarządzać za pomocą jednej konsoli zarządzania dostępem zdalnym

Role i funkcje uwzględnione w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje wymagane w scenariuszu:

Rola/funkcja	Jak to wspiera ten scenariusz
Rola dostępu zdalnego	Rola jest instalowana i odinstalowana przy użyciu konsoli Menedżera serwera lub programu Windows PowerShell. Ta rola obejmuje zarówno funkcję DirectAccess, routing, jak i usługi dostępu zdalnego. Rola Dostępu zdalnego składa się z dwóch składników: 1. DirectAccess oraz usługi routingu i dostępu zdalnego (RRAS) VPN. Funkcja DirectAccess i sieć VPN są zarządzane razem w konsoli zarządzania dostępem zdalnym. 2. Routing RRAS. Funkcje routingu usługi RRAS są zarządzane w starszej konsoli routingu i dostępu zdalnego. Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera: — Serwer internetowy usług Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania serwera lokalizacji sieciowej na serwerze dostępu zdalnego oraz do ustawienia domyślnej sondy internetowej. — Wewnętrzna baza danych systemu Windows. Służy do ewidencjonowania aktywności lokalnej na serwerze dostępu zdalnego.
Funkcja narzędzi do zarządzania dostępem zdalnym	Ta funkcja jest zainstalowana w następujący sposób: — Jest instalowany domyślnie na serwerze dostępu zdalnego po zainstalowaniu roli dostępu zdalnego i obsługuje interfejs użytkownika konsoli zarządzania zdalnego i polecenia cmdlet programu Windows PowerShell. — Można ją opcjonalnie zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W tym przypadku jest używany do zdalnego zarządzania komputerem dostępu zdalnego z uruchomioną funkcją DirectAccess i siecią VPN. Funkcja Narzędzia do zarządzania dostępem zdalnym składa się z następujących składników: — Graficzny interfejs użytkownika dostępu zdalnego - Moduł dostępu zdalnego dla programu Windows PowerShell Zależności obejmują: — Konsola zarządzania zasadami grupy - Zestaw Administracyjny Menedżera Połączeń RAS (CMAK) — Windows PowerShell 3.0 - Graficzne narzędzia do zarządzania i infrastruktura

Rola/funkcja

Jak to wspiera ten scenariusz

Rola dostępu zdalnego

Rola jest instalowana i odinstalowana przy użyciu konsoli Menedżera serwera lub programu Windows PowerShell. Ta rola obejmuje zarówno funkcję DirectAccess, routing, jak i usługi dostępu zdalnego. Rola Dostępu zdalnego składa się z dwóch składników:

1. DirectAccess oraz usługi routingu i dostępu zdalnego (RRAS) VPN. Funkcja DirectAccess i sieć VPN są zarządzane razem w konsoli zarządzania dostępem zdalnym.
2. Routing RRAS. Funkcje routingu usługi RRAS są zarządzane w starszej konsoli routingu i dostępu zdalnego.

Rola serwera dostępu zdalnego jest zależna od następujących ról/funkcji serwera:

— Serwer internetowy usług Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania serwera lokalizacji sieciowej na serwerze dostępu zdalnego oraz do ustawienia domyślnej sondy internetowej.
— Wewnętrzna baza danych systemu Windows. Służy do ewidencjonowania aktywności lokalnej na serwerze dostępu zdalnego.

Funkcja narzędzi do zarządzania dostępem zdalnym

Ta funkcja jest zainstalowana w następujący sposób:

— Jest instalowany domyślnie na serwerze dostępu zdalnego po zainstalowaniu roli dostępu zdalnego i obsługuje interfejs użytkownika konsoli zarządzania zdalnego i polecenia cmdlet programu Windows PowerShell.
— Można ją opcjonalnie zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W tym przypadku jest używany do zdalnego zarządzania komputerem dostępu zdalnego z uruchomioną funkcją DirectAccess i siecią VPN.

Funkcja Narzędzia do zarządzania dostępem zdalnym składa się z następujących składników:

— Graficzny interfejs użytkownika dostępu zdalnego
- Moduł dostępu zdalnego dla programu Windows PowerShell

Zależności obejmują:

— Konsola zarządzania zasadami grupy
- Zestaw Administracyjny Menedżera Połączeń RAS (CMAK)
— Windows PowerShell 3.0
- Graficzne narzędzia do zarządzania i infrastruktura

Wymagania sprzętowe

Wymagania sprzętowe dla tego scenariusza obejmują następujące elementy:

Wymagania dotyczące serwera:
- Komputer spełniający wymagania sprzętowe systemu Windows Server 2016, Windows Server 2012 R2 lub Windows Server 2012.
- Serwer musi mieć zainstalowaną, włączoną i połączoną z siecią wewnętrzną co najmniej jedną kartę sieciową. Gdy są używane dwie karty, powinna istnieć jedna karta połączona z wewnętrzną siecią firmową i jedna połączona z siecią zewnętrzną (Internet lub sieć prywatna).
- Co najmniej jeden kontroler domeny. Serwer dostępu zdalnego i klienci funkcji DirectAccess muszą być członkami domeny.
Wymagania klienta:
- Na komputerze klienckim musi być uruchomiony system Windows 10, Windows 8.1 lub Windows 8.
  
  Ważne
  
  Jeśli na niektórych lub wszystkich komputerach klienckich jest uruchomiony system Windows 7, należy użyć Kreatora instalacji zaawansowanej. Kreator Startowy opisany w tym dokumencie nie obsługuje komputerów klienckich z systemem Windows 7. Aby uzyskać instrukcje dotyczące używania klientów systemu Windows 7 z funkcją DirectAccess, zobacz Deploy a Single DirectAccess Server with Advanced Settings (Wdrażanie pojedynczego serwera funkcji DirectAccess z ustawieniami zaawansowanymi).
  
  Uwaga
  
  Tylko następujące systemy operacyjne mogą być używane jako klienci funkcji DirectAccess: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise i Windows 7 Ultimate.
Wymagania dotyczące infrastruktury i serwera zarządzania:
- Jeśli sieć VPN jest włączona i nie skonfigurowano puli statycznych adresów IP, należy wdrożyć serwer DHCP, aby automatycznie przydzielić adresy IP klientom sieci VPN.
Wymagany jest serwer DNS z systemem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 z dodatkiem SP2 lub Windows Server 2008 R2.

Wymagania dotyczące oprogramowania

Poniżej przedstawiono wymagania dotyczące tego scenariusza:

Wymagania dotyczące serwera:
- Serwer dostępu zdalnego musi być członkiem domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej lub za zaporą brzegową lub innym urządzeniem.
- Jeśli serwer dostępu zdalnego znajduje się za zaporą brzegową lub urządzeniem NAT, urządzenie musi być skonfigurowane tak, aby zezwalało na ruch do i z serwera dostępu zdalnego.
- Osoba wdrażająca dostęp zdalny na serwerze wymaga uprawnień administratora lokalnego na serwerze i uprawnień użytkownika domeny. Ponadto administrator wymaga uprawnień do obiektów zasad grupy używanych we wdrożeniu funkcji DirectAccess. Aby korzystać z funkcji, które ograniczają wdrażanie funkcji DirectAccess tylko do komputerów przenośnych, wymagane są uprawnienia do tworzenia filtru WMI na kontrolerze domeny.
Wymagania klienta dostępu zdalnego:
- Klienci DirectAccess muszą być członkami domeny. Domeny zawierające klientów mogą należeć do tego samego lasu co serwer dostępu zdalnego lub mieć dwukierunkową relację zaufania z lasem serwera dostępu zdalnego.
- Grupa zabezpieczeń usługi Active Directory musi zawierać komputery, które zostaną skonfigurowane jako klienci funkcji DirectAccess. Jeśli grupa zabezpieczeń nie zostanie określona podczas konfigurowania ustawień klienta DirectAccess, domyślnie obiekt zasad grupy klienta jest stosowany na wszystkich komputerach przenośnych w grupie zabezpieczeń Komputery domeny. Tylko następujące systemy operacyjne mogą być używane jako klienci funkcji DirectAccess: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise i Windows 7 Ultimate.

Zobacz też

Poniższa tabela zawiera linki do dodatkowych zasobów.

Typ zawartości	Źródła
Dostęp zdalny w witrynie TechNet	Centrum techniczne dostępu zdalnego
Narzędzia i ustawienia	polecenia cmdlet zdalnego dostępu programu PowerShell
zasoby społeczności	wpisy wiki DirectAccess
powiązane technologie	Jak działa protokół IPv6

Udostępnij za pośrednictwem