Deploy a Single DirectAccess Server with Advanced Settings

项目
04/12/2023
适用于:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

重要

Microsoft 强烈建议对新部署使用 Always On VPN 而不是 DirectAccess。有关详细信息，请参阅 Always On VPN。

本主题介绍使用单台 DirectAccess 服务器并让你能够使用高级设置部署 DirectAccess 的 DirectAccess 方案。

在开始部署之前，请参阅不受支持的配置、已知问题和先决条件的列表

部署 DirectAccess 前，可以使用以下主题查看先决条件和其他信息。

方案描述

在此方案中，运行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的单台计算机配置为具有高级设置的 DirectAccess 服务器。

注意

如果你仅希望使用简单的设置来配置基本部署，请参阅 Deploy a Single DirectAccess Server Using the Getting Started Wizard。在简单的方案中，将通过向导使用默认设置配置 DirectAccess，而无需配置基础结构设置，例如，证书颁发机构 (CA) 或 Active Directory 安全组。

本方案内容

若要使用高级设置来设置单个 DirectAccess 服务器，必须完成几个规划和部署步骤。

先决条件

在开始之前，你可以查看以下要求。

必须在所有配置文件上启用 Windows 防火墙。
DirectAccess 服务器是网络位置服务器。
你希望在其中安装 DirectAccess 服务器的域中的所有无线计算机都已启用 DirectAccess。当你部署 DirectAccess 时，它会在当前域中的所有移动计算机上自动启用。

重要

部署 DirectAccess 时，不支持某些技术和配置。

不支持企业网络中的站点内自动隧道寻址协议 (ISATAP)。如果你正在使用 ISATAP，应将其删除并使用本机 IPv6。

规划步骤

规划分成以下两个阶段：

规划 DirectAccess 基础结构。本阶段描述在开始 DirectAccess 部署之前设置网络基础结构所需的规划。它包括规划网络和服务器拓扑、计划证书、DNS、Active Directory 和组策略对象 (GPO) 配置以及 DirectAccess 网络位置服务器。
规划 DirectAccess 部署。本阶段描述准备 DirectAccess 部署所需的规划步骤。它包括规划 DirectAccess 客户端计算机、服务器和客户端身份验证要求、VPN 设置、基础设施服务器以及管理和应用程序服务器。

部署步骤

部署分成以下三个阶段：

配置 DirectAccess 基础结构。本阶段包括配置网络和路由、配置防火墙设置（如有必要）、配置证书、DNS 服务器、Active Directory 和 GPO 设置以及 DirectAccess 网络位置服务器。
配置 DirectAccess 服务器设置。本阶段包括用于配置 DirectAccess 客户端计算机、DirectAccess 服务器、基础结构服务器、管理和应用程序服务器的步骤。
验证部署。本阶段包括用于验证 DirectAccess 部署的步骤。

有关详细的部署步骤，请参阅安装和配置高级 DirectAccess。

实际的应用程序

部署单个 DirectAccess 服务器可提供以下功能：

轻松访问。运行 Windows 10、Windows 8.1、Windows 8 和 Windows 7 的托管客户端计算机可以配置为 DirectAccess 客户端计算机。这些客户端只要位于 Internet 上，就可以随时通过 DirectAccess 访问内部网络资源，无须登录 VPN 连接。未运行这些操作系统之一的客户端计算机可以通过 VPN 连接到内部网络。
易于管理。远程访问管理员可以通过 DirectAccess 远程管理 Internet 上的 DirectAccess 客户端计算机，即使客户端计算机不在企业内部网络中也是如此。管理服务器可以自动修正不符合公司要求的客户端计算机。 DirectAccess 和 VPN 由同一控制台管理并具有相同的向导集。此外，可从单个远程访问管理控制台管理一台或多台 DirectAccess 服务器

本方案所需的角色和功能

下表列出了本方案所需的角色和功能：

角色/功能	如何支持本方案
远程访问角色	使用服务器管理器控制台或 Windows PowerShell 安装或卸载此角色。本角色包括 DirectAccess 和路由以及远程访问服务 (RRAS)。远程访问角色由以下两个组件组成： 1. DirectAccess 和 RRAS VPN。在远程访问管理控制台中一起管理 DirectAccess 和 VPN。 2. RRAS 路由。 RRAS 路由功能可在旧式路由和远程访问控制台中加以管理。远程访问服务器角色取决于以下服务器角色/功能： - Internet Information Services (IIS) Web 服务器 - 在 DirectAccess 服务器上配置网络位置服务器和默认 Web 探测时需要使用此功能。 - Windows 内部数据库。用于 DirectAccess 服务器上的本地计帐。
远程访问管理工具功能	此功能的安装如下所述： - 在安装远程访问角色时，DirectAccess 服务器上将默认安装该功能，并且此功能支持远程管理控制台用户界面和 Windows PowerShell cmdlet。 - 它还可以选择性地安装在不运行 DirectAccess 服务器角色的服务器上。在这种情况下，它可用于远程管理运行 DirectAccess 和 VPN 的远程访问计算机。远程访问管理工具功能包括以下各项： - 远程访问图形用户界面 (GUI) - Windows PowerShell 的远程访问模块依赖项包括： - 组策略管理控制台 - RAS 连接管理器管理工具包 (CMAK) - Windows PowerShell 3.0 - 图形管理工具和基础结构

角色/功能

如何支持本方案

远程访问角色

使用服务器管理器控制台或 Windows PowerShell 安装或卸载此角色。本角色包括 DirectAccess 和路由以及远程访问服务 (RRAS)。远程访问角色由以下两个组件组成：

1. DirectAccess 和 RRAS VPN。在远程访问管理控制台中一起管理 DirectAccess 和 VPN。
2. RRAS 路由。 RRAS 路由功能可在旧式路由和远程访问控制台中加以管理。

远程访问服务器角色取决于以下服务器角色/功能：

- Internet Information Services (IIS) Web 服务器 - 在 DirectAccess 服务器上配置网络位置服务器和默认 Web 探测时需要使用此功能。
- Windows 内部数据库。用于 DirectAccess 服务器上的本地计帐。

远程访问管理工具功能

此功能的安装如下所述：

- 在安装远程访问角色时，DirectAccess 服务器上将默认安装该功能，并且此功能支持远程管理控制台用户界面和 Windows PowerShell cmdlet。
- 它还可以选择性地安装在不运行 DirectAccess 服务器角色的服务器上。在这种情况下，它可用于远程管理运行 DirectAccess 和 VPN 的远程访问计算机。

远程访问管理工具功能包括以下各项：

- 远程访问图形用户界面 (GUI)
- Windows PowerShell 的远程访问模块

依赖项包括：

- 组策略管理控制台
- RAS 连接管理器管理工具包 (CMAK)
- Windows PowerShell 3.0
- 图形管理工具和基础结构

硬件要求

本方案的硬件要求包括以下各项：

服务器要求：
- 一台满足 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 硬件要求的计算机。
- 服务器必须至少安装和启用了一个网络适配器，并连接至内部网络。当使用两个适配器时，应有一个适配器连接至内部企业网络，另一个连接至外部网络（Internet 或专用网络）。
- 如果需要 Teredo 作为 IPv4 到 IPv6 转换协议，则服务器的外部适配器需要两个连续的公用 IPv4 地址。如果单个 IP 地址可用，那么仅 IP-HTTPS 可以用作转换协议。
- 至少一个域控制器。 DirectAccess 服务器和 DirectAccess 客户端都必须是域成员。
- 如果你不希望为 IP-HTTPS 或网络位置服务器使用自签名证书，或者如果你希望使用客户端 IPsec 身份验证的客户端证书，则需要证书颁发机构 (CA)。或者，你可以从公共 CA 申请证书。
- 如果网络位置服务器未位于 DirectAccess 服务器上，则需要单独的 Web 服务器来运行它。
客户端的要求：
- 一台必须运行 Windows 10、Windows 8 或 Windows 7 的客户端计算机。
  
  注意
  
  以下操作系统可以用作 DirectAccess 客户端：Windows 10、Windows Server 2012 R2、Windows Server 2012、Windows 8 企业版、Windows 7 企业版和 Windows 7 旗舰版。
基础机构和管理服务器要求：
- 在远程管理 DirectAccess 客户端计算机期间，客户端启动与管理服务器的通信，例如域控制器、System Center Configuration Server 以及健康注册机构 (HRA) 服务器，这些服务器均可提供 Windows 和防病毒更新以及网络访问保护 (NAP) 客户端兼容性等服务。开始远程访问部署之前，先部署所需的服务器。
- 如果远程访问需要客户端 NAP 合规性，则在开始远程访问部署之前，应该先部署 NPS 和 HRS 服务器
- 如果启用了 VPN，则在不使用静态地址池的情况下，需要使用 DHCP 服务器，以将 IP 地址自动分配给 VPN 客户端。

软件要求

存在许多对本方案的要求。

服务器要求：
- DirectAccess 服务器必须是域成员。可以将服务器部署在内部网络边缘，或边缘防火墙或其他设备的后面。
- 如果 DirectAccess 服务器位于边缘防火墙或 NAT 设备的后面，则该设备必须配置为允许 DirectAccess 服务器进出流量。
- 在服务器上部署远程访问需要拥有服务器本地管理员权限和域用户权限。此外，管理员需要具备在 DirectAccess 部署中使用 GPO 的权限。若要利用将 DirectAccess 部署局限在移动计算机的功能，需要在域控制器上创建 WMI 筛选器的权限。
远程访问客户端要求：
- DirectAccess 客户端必须是域成员。含有客户端的域可属于与 DirectAccess 服务器相同的林，或者拥有 DirectAccess 服务器林或域的双向信任。
- 包含配置为 DirectAccess 客户端的的计算机需要 Active Directory 安全组。如果配置 DirectAccess 客户端设置时未指定安全组，客户端 GPO 默认应用于 Domain Computers 安全组中的所有便携式计算机。
  
  注意
  
  建议你为包含 DirectAccess 客户端计算机的每个域创建安全组。
  
  重要
  
  如果在 DirectAccess 部署中启用了 Teredo，并且希望提供对 Windows 7 客户端的访问权限，请确保将客户端升级到带 SP1 的 Windows 7。使用 Windows 7 RTM 的客户端将无法通过 Teredo 进行连接。但是，这些客户端仍将能够通过 IP-HTTPS 连接到企业网络。

另请参阅

下表提供其他资源的链接。

内容类型	参考
部署	Windows Server 中的 DirectAccess 部署路径使用入门向导部署单个 DirectAccess 服务器
工具和设置	远程访问 PowerShell cmdlet
社区资源	DirectAccess 生存指南 DirectAccess Wiki 条目
相关技术	IPv6 的工作方式

通过