使用快速入門精靈部署單一 DirectAccess 伺服器

發行項
10/05/2023
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

重要

Microsoft 強烈建議您使用 Always On VPN 來進行新的部署，而不是 DirectAccess。如需詳細資訊，請參閱 Always on VPN。

本主題提供使用單一 DirectAccess 伺服器並可讓您使用一些簡單的步驟部署 DirectAccess 的 DirectAccess 案例簡介。

在開始部署之前，請參閱不支援的設定清單、已知問題和先決條件

您可以先使用下列主題來檢閱先決條件和其他資訊，再部署 DirectAccess。

案例描述

在此案例中，Windows Server 電腦會設定為具有預設設定的 DirectAccess 伺服器。設定僅需要幾個簡單的精靈步驟，無需設定任何的基礎結構設定，例如憑證授權單位 (CA) 或 Active Directory 安全性群組。

注意

如果您想要利用自訂設定來設定進階部署，請參閱 Deploy a Single DirectAccess Server with Advanced Settings

在這個案例中

若要設定基本的 DirectAccess 伺服器，需要執行數個規劃和部署步驟。

必要條件

開始部署這個案例之前，請先檢閱這份重要需求清單：

必須在所有設定檔啟用 Windows 防火牆
只有在用戶端電腦執行 Windows 10、Windows 8.1 或 Windows 8 時，才支援此案例。
不支援公司網路中 ISATAP。如果您使用 ISATAP，則應該將它移除，然後使用原生的 IPv6。
公開金鑰基礎結構不是必要項目。
不支援部署雙因素驗證。需要網域認證以進行驗證。
自動將 DirectAccess 部署到目前網域中的所有攜帶型電腦。
網際網路的流量不會通過 DirectAccess 通道。不支援強制通道組態。
DirectAccess 伺服器是網路位置伺服器。
不支援「網路存取保護」(NAP)。
不支援在 DirectAccess 管理主控台以外或使用 PowerShell Cmdlet 來變更原則。
若要立即或在未來部署多個站點，請先使用進階設定部署單一 DirectAccess 伺服器。

規劃步驟

規劃可以分成兩個階段：

為 DirectAccess 基礎結構做規劃。此階段描述在開始 DirectAccess 部署之前設定網路基礎結構所需的規劃。規劃包括網路和伺服器拓撲以及 DirectAccess 網路位置伺服器的設計。
為 DirectAccess 部署做規劃。這個階段描述為 DirectAccess 部署做準備所需的規劃步驟。它包含為 DirectAccess 用戶端電腦、伺服器和用戶端驗證需求、VPN 設定、基礎結構伺服器，以及管理和應用程式伺服器做規劃。

如需詳細的規劃步驟，請參閱規劃進階 DirectAccess 部署。

部署步驟

部署可以分成三個階段：

設定 DirectAccess 基礎結構。此階段包括設定下列的元件：

網路和路由
防火牆設定（如有需要）
憑證
DNS 伺服器
Active Directory 和 GPO 設定
DirectAccess 網路位置伺服器

設定 DirectAccess 伺服器設定。這個階段包含設定 DirectAccess 用戶端電腦、DirectAccess 伺服器、基礎結構伺服器、管理和應用程式伺服器的步驟。
確認部署。此階段包括驗證部署是否按要求運作的步驟。

如需詳細的部署步驟，請參閱 Install and Configure Basic DirectAccess。

實際應用

部署單一的遠端存取伺服器可以提供以下優點：

容易存取。您可以將執行 Windows 10、Windows 8.1、Windows 8 或 Windows 7 的受管理用戶端電腦設定為 DirectAccess 用戶端。這些用戶端可以隨時透過 DirectAccess 連接位於網際網路上的內部網路資源，無須登入 VPN 網路。未執行上述作業系統的用戶端電腦可以使用傳統 VPN 連線，連線到內部網路。
容易管理。「遠端存取」系統管理員可以透過 DirectAccess，從遠端管理網際網路上的 DirectAccess 用戶端電腦，即使用戶端電腦不位於公司內部網路上也可以。管理伺服器可以自動修復不符合公司規定的用戶端電腦。 DirectAccess 和 VPN 都是在同一個主控台以及使用相同的一組精靈進行管理。此外，只要一部遠端存取管理主控台就可以管理一或多部遠端存取伺服器。

這個案例包含的角色與功能

下表列出本案例必備的角色和功能：

角色/功能	如何支援本案例
遠端存取角色	這個角色是利用伺服器管理員主控台或 Windows PowerShell 安裝和解除安裝。此角色同時包含 DirectAccess 和 Routing and Remote Access Services。遠端存取角色包含兩個元件： 1.DirectAccess 和 Routing and Remote Access Services (RRAS) VPN。 DirectAccess 和 VPN 會在 [遠端存取管理] 主控台中一起受管理。 2.RRAS 路由。 RRAS 路由功能是在舊版 [路由及遠端存取] 主控台中進行管理。遠端存取伺服器角色需要以下伺服器角色/功能： - 網際網路資訊服務 (IIS) 網頁伺服器 - 設定遠端存取伺服器上的網路位置伺服器和預設 Web 探查時，需要這個功能。 - Windows 內部資料庫。用於遠端存取伺服器上的本機帳戶處理。
遠端存取管理工具功能	這個功能的安裝方式如下： - 根據預設值，安裝遠端存取角色時，會在遠端存取伺服器安裝這個功能，而且可以支援遠端管理主控台使用者介面和 Windows PowerShell Cmdlet。 - 它可以視情況安裝到不是執行遠端存取伺服器角色的伺服器上。在此情況下，它是用於遠端管理執行 DirectAccess 和 VPN 的遠端存取電腦。遠端存取管理工具功能包含以下元件： - 遠端存取 GUI - 適用於 Windows PowerShell 的遠端存取模組依存項目包括： - 群組原則管理主控台 - RAS 連線管理員系統管理組件 (CMAK) - Windows PowerShell 3.0 - 圖形化管理工具與基礎結構

角色/功能

如何支援本案例

遠端存取角色

這個角色是利用伺服器管理員主控台或 Windows PowerShell 安裝和解除安裝。此角色同時包含 DirectAccess 和 Routing and Remote Access Services。遠端存取角色包含兩個元件：

1.DirectAccess 和 Routing and Remote Access Services (RRAS) VPN。 DirectAccess 和 VPN 會在 [遠端存取管理] 主控台中一起受管理。
2.RRAS 路由。 RRAS 路由功能是在舊版 [路由及遠端存取] 主控台中進行管理。

遠端存取伺服器角色需要以下伺服器角色/功能：

- 網際網路資訊服務 (IIS) 網頁伺服器 - 設定遠端存取伺服器上的網路位置伺服器和預設 Web 探查時，需要這個功能。
- Windows 內部資料庫。用於遠端存取伺服器上的本機帳戶處理。

遠端存取管理工具功能

這個功能的安裝方式如下：

- 根據預設值，安裝遠端存取角色時，會在遠端存取伺服器安裝這個功能，而且可以支援遠端管理主控台使用者介面和 Windows PowerShell Cmdlet。
- 它可以視情況安裝到不是執行遠端存取伺服器角色的伺服器上。在此情況下，它是用於遠端管理執行 DirectAccess 和 VPN 的遠端存取電腦。

遠端存取管理工具功能包含以下元件：

- 遠端存取 GUI
- 適用於 Windows PowerShell 的遠端存取模組

依存項目包括：

- 群組原則管理主控台
- RAS 連線管理員系統管理組件 (CMAK)
- Windows PowerShell 3.0
- 圖形化管理工具與基礎結構

硬體需求

本案例需要的硬體如下所示：

伺服器需求：
- 符合 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 硬體需求的電腦。
- 伺服器必須至少安裝並啟用一張網路介面卡，並連接到內部網路。使用兩張介面卡時，應該有一張介面卡連接到內部公司網路，另一張連接到外部網路 (網際網路或私人網路)。
- 至少一個網域控制站。遠端存取伺服器和 DirectAccess 用戶端必須是網域成員。
用戶端需求：
- 用戶端電腦必須執行 Windows 10、Windows 8.1 或 Windows 8。
  
  重要
  
  如果部分或所有用戶端電腦執行 Windows 7，則您必須使用 [進階安裝精靈]。本文件中所述的 [使用者入門安裝精靈] 不支援執行 Windows 7 的用戶端電腦。如需如何搭配 DirectAccess 使用 Windows 7 用戶端的指示，請參閱使用進階設定部署單一 DirectAccess 伺服器。
  
  注意
  
  只有下列的作業系統可用作 DirectAccess 用戶端：Windows 10 Enterprise、Windows 8.1 Enterprise、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 8 Enterprise、Windows Server 2008 R2、Windows 7 Enterprise 和 Windows 7 Ultimate 。
基礎結構和管理伺服器需求：
- 如果啟用 VPN，而且未設定靜態 IP 位址集區，您必須部署 DHCP 伺服器以自動配置 IP 位址給 VPN 用戶端。
需要執行 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 SP2 或 Windows Server 2008 R2 的 DNS 伺服器。

軟體需求

以下是此案例的需求：

伺服器需求：
- 遠端存取伺服器必須是網域成員。伺服器可以部署到內部網路的邊緣，或者在邊緣防火牆或其他裝置的後面。
- 如果遠端存取伺服器是位在邊緣防火牆或 NAT 裝置後面，則裝置必須設定成允許遠端存取伺服器的連入和連出通訊。
- 負責在伺服器部署「遠端存取」的人員，須具備伺服器的本機系統管理員身分以及擁有網域使用者權限。此外，系統管理員需要具備部署 DirectAccess 所使用之 GPO 的權限。如果想利用這些功能，將 DirectAccess 只部署到行動電腦上，必須具備在網域控制站建立 WMI 篩選器的權限。
遠端存取用戶端需求：
- DirectAccess 用戶端必須是網域成員。包含用戶端的網域可以和遠端存取伺服器屬於相同的樹系，或者與遠端存取伺服器樹系存在雙向信任的關係。
- 準備一個 Active Directory 安全性群組，只要會設定成 DirectAccess 用戶端的電腦，全部放到這個群組中。如果在設定 DirectAccess 用戶端設定時未指定安全性群組，預設會在網域電腦安全性群組的所有膝上型電腦套用用戶端 GPO。只有下列的作業系統可用作 DirectAccess 用戶端：Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise 和 Windows 7 Ultimate。

另請參閱

下表提供其他資源的連結。

Content type	參考資料
TechNet 的遠端存取	遠端存取 TechCenter
工具及設定	遠端存取 PowerShell Cmdlet
社群資源	DirectAccess Wiki 項目
相關技術	IPv6 的運作方式

共用方式為