Шаг 1. Настройка расширенной инфраструктуры DirectAccess

В этом разделе описывается, как настроить инфраструктуру, необходимую для расширенного развертывания службы удаленного доступа, в котором используется один сервер DirectAccess в смешанной среде с поддержкой IPv4 и IPv6. Перед началом действий по развертыванию убедитесь, что вы выполнили действия по планированию, описанные в разделе "Планирование расширенного развертывания DirectAccess".

Задача Description
1.1. Настройка сетевых параметров сервера Настройте сетевые параметры на сервере DirectAccess.
1.2. Настройка принудительного туннелирования Настройте принудительное туннелирование.
1.3. Настройка маршрутизации в корпоративной сети Настройте маршрутизацию в корпоративной сети.
1.4. Настройка брандмауэров При необходимости настройте дополнительные брандмауэры.
1.5. Настройка центров сертификации и сертификатов Настройте центр сертификации (ЦС), если необходимо, и другие шаблоны сертификатов, требуемые для развертывания.
1.6. Настройка DNS-сервера Настройте параметры системы DNS для сервера DirectAccess.
1.7. Настройка Active Directory Присоедините клиентские компьютеры и сервер DirectAccess к домену Active Directory.
1.8. Настройка объектов групповой политики Если необходимо, настройте объекты групповой политики для развертывания.
1.9. Настройка групп безопасности Настройте группы безопасности, которые будут содержать клиентские компьютеры DirectAccess, и другие группы безопасности, необходимые для развертывания.
1.10. Настройка сервера сетевых расположений Настройте сервер сетевых расположений, в том числе установите сертификат веб-сайта сервера сетевых расположений.

Примечание.

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

1.1. Настройка сетевых параметров сервера

Для развертывания с одним сервером в среде, использующей IPv4 и IPv6, необходимо настроить следующие параметры сетевого интерфейса. Все IP-адреса настраиваются с помощью параметров адаптера изменений в Центре сети и общего доступа Windows.

Топология пограничных вычислений

  • Два последовательных общедоступных статичных IPv4- или IPv6-адреса, доступных из Интернета

    Примечание.

    Для Teredo необходимы два общедоступных адреса. Если вы не используете Teredo, вы можете настроить один общедоступный статичный IPv4-адрес.

  • Один внутренний статичный IPv4- или IPv6-адрес

За устройством NAT (с двумя сетевыми адаптерами)

  • Один статичный IPv4- или IPv6-адрес, доступный из интернета

  • Один внутренний статичный IPv4- или IPv6-адрес, доступный из внутренней сети

За устройством NAT (с одним сетевым адаптером)

  • Один внутренний статичный IPv4- или IPv6-адрес, доступный из внутренней сети

Примечание.

Если сервер DirectAccess с двумя или несколькими сетевыми адаптерами (один определен в профиле домена, а другой — в общедоступном или частном профиле) настроен с топологией с одним сетевым адаптером, мы рекомендуем выполнить следующие действия.

  • Убедитесь, что второй сетевой адаптер и все дополнительные адаптеры определены в профиле домена.

  • Если второй сетевой адаптер не может быть настроен для профиля домена, политика DirectAccess IPsec должна быть вручную ограничена всеми профилями с помощью следующей команды Windows PowerShell после настройки DirectAccess:

    $gposession = Open-NetGPO "PolicyStore <Name of the server GPO>
Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any
Save-NetGPO "GPOSession $gposession

1.2. Настройка принудительного туннелирования

Принудительное туннелирование можно настроить с помощью мастера настройки удаленного доступа. Соответствующий параметр доступен в виде флажка в мастере настройки удаленных клиентов. Данный параметр влияет только на клиенты DirectAccess. Если VPN включено, VPN-клиенты будут по умолчанию использовать принудительное туннелирование. Администраторы могут изменить этот параметр для VPN-клиентов из профиля клиента.

Если установить флажок принудительного туннелирования, происходит следующее:

  • Включается принудительное туннелирование для клиентов DirectAccess.

  • Добавляет любую запись в таблицу политики разрешения имен (NRPT) для клиентов DirectAccess, что означает, что весь трафик DNS будет переходить на внутренние сетевые DNS-серверы.

  • Клиенты DirectAccess настраиваются для постоянного использования технологии туннелирования IP-HTTPS.

Чтобы интернет-ресурсы были доступными для клиентов DirectAccess, которые используют принудительное туннелирование, можно воспользоваться прокси-сервером, который может принимать IPv6-запросы для интернет-ресурсов и преобразовывать их в запросы для интернет-ресурсов с IPv4-адресацией. Чтобы настроить прокси-сервер для интернет-ресурсов, следует изменить запись по умолчанию в таблице NRPT и добавить прокси-сервер. Это можно сделать с помощью командлетов удаленного доступа или DNS модуля PowerShell. Например, используйте командлет удаленного доступа PowerShell следующим образом:

Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>

Примечание.

Если DirectAccess и VPN включены на одном сервере и VPN находится в режиме принудительного туннелирования, а сервер развернут в пограничной топологии или за устройством NAT (с двумя сетевыми адаптерами, один из которых подключен к домену, а другой — к частной сети), интернет-трафик VPN не может пересылаться через внешний интерфейс сервера DirectAccess. Для реализации такого сценария организациям следует развернуть службу удаленного доступа на сервере за брандмауэром в топологии с одним сетевым адаптером. Или же организации могут использовать отдельный прокси-сервер во внутренней сети, чтобы пересылать интернет-трафик от VPN-клиентов.

Примечание.

Если организация использует веб-прокси для клиентов DirectAccess, чтобы получать доступ к интернет-ресурсам, а корпоративный прокси-сервер не может обрабатывать ресурсы внутренней сети, клиенты DirectAccess не смогут получить доступ к внутренним ресурсам, если они находятся за пределами интрасети. Чтобы позволить клиентам DirectAccess получать доступ к внутренним ресурсам в таком сценарии, вручную создайте записи NRPT для суффиксов внутренней сети, используя страницу "DNS" мастера настройки инфраструктуры. Не применяйте параметры прокси-сервера для этих суффиксов NRPT. Суффиксы следует заполнить записями DNS-сервера по умолчанию.

1.3. Настройка маршрутизации в корпоративной сети

Настройте маршрутизацию в корпоративной сети следующим образом.

  • Если в организации используется сеть со встроенной поддержкой IPv6, добавьте маршрут, чтобы маршрутизаторы во внутренней сети направляли IPv6-трафик через сервер DirectAccess.

  • Вручную настройте маршруты IPv4 и IPv6 организации на серверах DirectAccess. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 организации (/48) пересылался во внутреннюю сеть Для IPv4-трафика добавьте явные маршруты, чтобы пересылать его во внутреннюю сеть.

1.4. Настройка брандмауэров

Если вы используете при развертывании дополнительные брандмауэры, примените следующие исключения брандмауэра для трафика удаленного доступа при выходе в Интернет, когда сервер DirectAccess находится в сети IPv4:

  • Teredo traffic"User Datagram Protocol (UDP) destination port 3544 inbound, and UDP source port 3544 outbound.

  • 6to4-трафик"IP-протокол 41 входящий и исходящий трафик.

  • IP-HTTPS"Протокол управления передачей (TCP) конечный порт 443 и исходящий порт ИСТОЧНИКА TCP 443. Если на сервере DirectAccess один сетевой адаптер, а сервер сетевых расположений находится на сервере DirectAccess, также требуется TCP-порт 62000.

    Примечание.

    Это исключение должно быть настроено на сервере DirectAccess, в то время как настройка всех остальных исключений осуществляется на пограничном брандмауэре.

Примечание.

В отношении трафика Teredo и 6to4 эти исключения должны применяться для обоих последовательных общедоступных IPv4-адресов для выхода в Интернет на сервере DirectAccess. Для IP-HTTPS исключения необходимо применять только к тому адресу, которому соответствует общедоступное имя сервера.

Если вы используете дополнительные брандмауэры, примените следующие исключения брандмауэра для трафика удаленного доступа при выходе в Интернет, когда сервер DirectAccess находится в сети IPv6:

  • Протокол IP 50

  • UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.

  • Протокол сообщений управления Интернетом для трафика IPv6 (ICMPv6) входящий и исходящий трафик только для реализаций Teredo.

При использовании дополнительных брандмауэров применяйте следующие исключения внутреннего сетевого брандмауэра для трафика удаленного доступа:

  • ISATAP"Protocol 41 inbound and outbound

  • Протоколы TCP/UDP для всех типов трафика IPv4/IPv6

  • Протокол ICMP для всех типов трафика IPv4/IPv6

1.5. Настройка центров сертификации и сертификатов

Удаленный доступ в Windows Server 2012 позволяет выбирать между использованием сертификатов для проверки подлинности компьютера или с помощью встроенного прокси-сервера Kerberos, который проходит проверку подлинности с помощью имен пользователей и паролей. Также необходимо настроить сертификат IP-HTTPS на сервере DirectAccess.

Дополнительные сведения см. в разделе "Службы сертификатов Active Directory".

1.5.1. Настройка проверки подлинности IPsec

Для использования проверки подлинности IPsec необходимо установить сертификат компьютера на сервере DirectAccess и на всех клиентах DirectAccess. Сертификат должен быть выдан внутренним центром сертификации (ЦС), а серверы и клиенты DirectAccess должны доверять цепочке ЦС, который выдает корневой и промежуточные сертификаты.

Настройка проверки подлинности IPsec

  1. В внутреннем ЦС определите, будет ли вы использовать шаблон сертификата компьютера или создадите новый шаблон сертификата, как описано в разделе "Создание шаблонов сертификатов".

    Примечание.

    Если вы создаете новый шаблон, для него необходимо настроить клиентскую проверку подлинности.

  2. Если необходимо, разверните шаблон сертификата. Дополнительные сведения см. в разделе "Развертывание шаблонов сертификатов".

  3. Если необходимо, настройте для шаблона сертификата автоматическую регистрацию. Дополнительные сведения см. в разделе "Настройка автоматической регистрации сертификата".

1.5.2 Настройка шаблонов сертификатов

Если для выдачи сертификатов используется внутренний ЦС, необходимо настроить шаблон для сертификата IP-HTTPS и сертификата веб-сайта сервера сетевых расположений.

Настройка шаблона сертификата

  1. В внутреннем ЦС создайте шаблон сертификата, как описано в разделе "Создание шаблонов сертификатов".

  2. Разверните шаблон сертификата, как описано в разделе Развертывание шаблонов сертификатов.

1.5.3. Настройка сертификата IP-HTTPS

Для проверки подлинности подключений IP-HTTPS на сервере DirectAccess службе удаленного доступа требуется сертификат IP-HTTPS. Для проверки подлинности IP-HTTPS доступно три вида сертификатов.

Общедоступный сертификат

Общедоступный сертификат предоставляется сторонним поставщиком. Если имя субъекта сертификата не содержит подстановочные знаки, это должен быть URL-адрес с полным доменным именем и возможностью внешнего разрешения, используемый только для подключений IP-HTTPS сервера DirectAccess.

Частный сертификат

Если вы используете частный сертификат, необходимы следующие компоненты (если они не существуют):

  • Сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS. Субъектом сертификата должно быть полное доменное имя с возможностью внешнего разрешения, доступное из Интернета. Сертификат основан на шаблоне сертификата, созданном с помощью инструкций в 1.5.2. Настройка шаблонов сертификатов.

  • Точка распространения списка отзыва сертификатов (CRL), доступная через Интернет.

Самозаверяющий сертификат

Если вы используете самозаверяющий сертификат, необходимы следующие компоненты (если они не существуют):

  • Сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS. Субъектом сертификата должно быть полное доменное имя с возможностью внешнего разрешения, доступное из Интернета.

  • Точка распространения списка отзыва сертификатов (CRL), доступная через Интернет.

Примечание.

Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.

Убедитесь, что сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS, отвечает следующим требованиям.

  • Общее имя сертификата должно совпадать с именем узла IP-HTTPS.

  • В поле "Тема" укажите полное доменное имя URL-адреса IP-HTTPS.

  • В поле Улучшенное использование ключа введите идентификатор объекта проверки подлинности сервера (OID).

  • В поле Точки распространения CRL укажите точку распространения CRL, доступную клиентам DirectAccess, подключенным к Интернету.

  • У сертификата IP-HTTPS должен быть закрытый ключ.

  • Сертификат IP-HTTPS необходимо импортировать непосредственно в личное хранилище сертификатов.

  • В имени сертификатов IP-HTTPS может быть постановочный знак.

Установка сертификата IP-HTTPS из внутреннего ЦС

  1. На сервере DirectAccess: на начальном экране введитеmmc.exe и нажмите клавишу ВВОД.

  2. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

  3. В диалоговом окне "Добавить или удалить оснастки" нажмите кнопку "Сертификаты", нажмите кнопку "Добавить", выберите "Учетная запись компьютера", "Далее", "Локальный компьютер", "Готово" и нажмите кнопку "ОК".

  4. В дереве консоли оснастки "Сертификаты" откройте сертификаты (локальный компьютер)\Personal\Certificates.

  5. Щелкните правой кнопкой мыши сертификаты, наведите указатель на все задачи и нажмите кнопку "Запросить новый сертификат".

  6. Нажмите кнопку Далее дважды.

  7. На странице "Запрос сертификатов" установите флажок для созданного ранее шаблона сертификата (дополнительные сведения см. в разделе 1.5.2 Настройка шаблонов сертификатов). При необходимости нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата.

  8. В диалоговом окне "Свойства сертификата" на вкладке "Тема" в области "Имя субъекта" в поле "Тип" выберите "Общее имя".

  9. В поле "Значение" укажите IPv4-адрес внешнего адаптера сервера DirectAccess или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку "Добавить".

  10. В области "Альтернативное имя " в поле "Тип" выберите DNS.

  11. В поле "Значение" укажите IPv4-адрес внешнего адаптера сервера DirectAccess или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку "Добавить".

  12. На вкладке "Общие " в понятном имени можно ввести имя, которое поможет определить сертификат.

  13. На вкладке "Расширения" щелкните стрелку рядом с расширенным использованием ключа и убедитесь, что проверка подлинности сервера отображается в списке выбранных параметров .

  14. Нажмите кнопку "ОК", нажмите кнопку "Регистрация" и нажмите кнопку "Готово".

  15. В области сведений оснастки "Сертификаты" убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.

1.6. Настройка DNS-сервера

Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.

Создание сервера расположения сети

  1. На внутреннем DNS-сервере внутренней сети: на начальном экране введитеdnsmgmt.msc и нажмите клавишу ВВОД.

  2. В левой области консоли диспетчера DNS разверните зону подстановки для вашего домена. Щелкните правой кнопкой мыши домен и щелкните новый узел (A или AAAA).

  3. В диалоговом окне "Новый узел" в поле IP-адреса:

    • В поле "Имя" (используется родительское доменное имя, если пустое) введите DNS-имя веб-сайта сервера расположения сети (это имя, которое клиенты DirectAccess используют для подключения к серверу сетевого расположения).

    • Введите IPv4 или IPv6-адрес сервера сетевого расположения, а затем нажмите кнопку "Добавить узел" и нажмите кнопку "ОК".

  4. В диалоговом окне "Новый узел":

    • В поле "Имя" (используется родительское доменное имя, если пустое) введите DNS-имя веб-пробы (имя веб-пробы по умолчанию — directaccess-webprobehost).

    • В поле IP-адреса введите IPv4 или IPv6-адрес веб-пробы, а затем нажмите кнопку "Добавить узел".

    • Повторите этот процесс для directaccess-corpconnectivityhost и всех созданных вручную проверяющих подключений.

  5. В диалоговом окне DNS нажмите кнопку "ОК" и нажмите кнопку "Готово".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Также следует настроить записи DNS для следующих компонентов:

  • СЕРВЕР IP-HTTPS

    У клиентов DirectAccess должна быть возможность разрешения DNS-имени сервера DirectAccess из Интернета.

  • Проверка отзыва CRL

    DirectAccess использует проверку отзыва сертификатов для подключения IP-HTTPS между клиентами DirectAccess и сервером DirectAccess, а также для HTTPS-подключений между клиентом DirectAccess и сервером сетевых расположений. В обоих случаях у клиентов DirectAccess должна быть возможность разрешения расположения точки распространения CRL и доступа к ней.

  • ISATAP

    Протокол ISATAP использует туннелирование, чтобы позволить клиентам DirectAccess подключаться к серверу DirectAccess по IPv4-интернету, инкапсулируя пакеты IPv6 в заголовке IPv4. Служба удаленного доступа использует ISATAP для установки IPv6-подключений к узлам ISATAP в интрасети. В сетевой среде без встроенной поддержки IPv6 сервер DirectAccess автоматически настраивается как маршрутизатор ISATAP. Требуется поддержка разрешения имени ISATAP.

1.7. Настройка Active Directory

Сервер DirectAccess и все клиентские компьютеры DirectAccess должны быть присоединены к домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:

  • домена в том же лесу, что и сервер DirectAccess;

  • домены в лесах с двусторонним отношением доверия с лесом сервера DirectAccess;

  • домену с двусторонним отношением доверия с доменом сервера DirectAccess.

Присоединение сервера DirectAccess к домену

  1. В диспетчер сервера щелкните локальный сервер. В области сведений перейдите по ссылке Имя компьютера.

  2. В диалоговом окне Свойства системы щелкните Имя компьютера, а затем Изменить.

  3. В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе "Член" нажмите кнопку "Домен", а затем введите имя домена, к которому требуется присоединиться к серверу (например, corp.contoso.com), а затем нажмите кнопку "ОК".

  4. При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.

  5. Когда появится диалоговое окно, которое приветствует вас в домене, нажмите кнопку "ОК".

  6. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

  7. В диалоговом окне Свойства системы нажмите кнопку Закрыть.

  8. При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.

Присоединение клиентских компьютеров к домену

  1. На начальном экране введитеexplorer.exe и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши значок компьютера и выберите пункт "Свойства".

  3. На странице "Система" щелкните "Дополнительные параметры системы".

  4. В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.

  5. В имени компьютера введите имя компьютера, если имя компьютера также изменяется при присоединении сервера к домену. В разделе "Член" нажмите кнопку "Домен", а затем введите имя домена, к которому требуется присоединиться к серверу (например, corp.contoso.com), а затем нажмите кнопку "ОК".

  6. При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.

  7. Когда появится диалоговое окно, которое приветствует вас в домене, нажмите кнопку "ОК".

  8. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

  9. В диалоговом окне Свойства системы нажмите кнопку Закрыть.

  10. При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Примечание.

При вводе следующей команды add-Computer необходимо указать учетные данные домена.

Add-Computer -DomainName <domain_name>
Restart-Computer

1.8. Настройка объектов групповой политики

Для развертывания удаленного доступа требуется не менее двух объектов групповой политики:

  • один содержит параметры для сервера DirectAccess;

  • другой содержит параметры для клиентских компьютеров DirectAccess.

При настройке удаленного доступа мастер автоматически создает необходимые объекты групповой политики. Но если организация принудительно применяет соглашение об именовании, вы можете ввести имя в диалоговом окне "Объект групповой политики" в консоли управления удаленным доступом. Дополнительные сведения см. в статье 2.7. Сводка по конфигурации и альтернативные объекты групповой политики. Если у вас есть разрешения на создание, будет создан GPO. Если у вас нет требуемых разрешений для создания GPO, их необходимо настроить до настройки службы удаленного доступа.

Сведения о создании объектов групповой политики см. в разделе "Создание и изменение объекта групповой политики".

Внимание

Администраторы могут вручную связать объекты групповой политики DirectAccess с подразделением организации, выполнив следующие действия.

  1. Перед настройкой DirectAccess свяжите созданные GPO с соответствующими подразделениями.
  2. Во время настройки DirectAccess укажите группу безопасности для клиентских компьютеров.
  3. Администратор удаленного доступа может иметь разрешения на связывание объектов групповой политики с доменом. В любом из этих случаев объекты групповой политики будут настроены автоматически. Если объекты групповой политики уже привязаны к подразделению, связи не будут удалены и эти GPO не будут привязаны к домену. Для объекта групповой политики сервера подразделение должно включать объект-компьютер сервера. В противном случае объект групповой политики будет связан с корневым каналом домена.
  4. Если вы не связывались с подразделением перед запуском мастера DirectAccess, после завершения настройки администратор домена может связать объекты групповой политики DirectAccess с необходимыми подразделениями. Связь с доменом можно удалить. Дополнительные сведения см. в разделе "Связывание объекта групповой политики".

Примечание.

Если объект групповой политики был создан вручную, возможно, объект групповой политики не будет доступен во время настройки DirectAccess. Объект групповой политики, возможно, не был реплицирован на ближайший контроллер домена на компьютер управления. В этом случае администратор может дождаться завершения репликации или выполнить принудительную репликацию.

1.8.1. Настройка объектов групповой политики удаленного доступа с ограниченными разрешениями

В развертывании с использованием промежуточных и производственных объектов групповой политики администратор домена должен выполнить следующие действия.

  1. Получить список GPO, необходимых для развертывания службы удаленного доступа, у администратора удаленного доступа. Дополнительные сведения см. в разделе 1.8 Планирование объектов групповой политики.

  2. Для каждого GPO, запрошенного администратором удаленного доступа, создайте пару GPO с разными именами. Первый из них будет использовать как промежуточный GPO, а второй — как производственный.

    Сведения о создании объектов групповой политики см. в разделе "Создание и изменение объекта групповой политики".

  3. Сведения о связывании рабочих объектов групповой политики см. в разделе "Связывание объекта групповой политики".

  4. Предоставьте администраторам удаленного доступа параметры правки, удалите и измените разрешения безопасности для всех промежуточных объектов групповой политики. Дополнительные сведения см. в разделе "Делегирование разрешений" для группы или пользователя в объекте групповой политики.

  5. Запретить администраторам удаленного доступа разрешения на связывание объектов групповой политики во всех доменах (или убедиться, что администратор удаленного доступа не имеет таких разрешений). Дополнительные сведения см. в разделе "Делегирование разрешений для связывания объектов групповой политики".

Когда администраторы удаленного доступа настраивают службу удаленного доступа, они всегда должны указывать только промежуточные GPO (а не производственные). Это справедливо для начальной настройки удаленного доступа и для выполнения дополнительных операций настройки, для которых требуются дополнительные GPO, например при добавлении точек входа в развертывание на нескольких сайтах или активации клиентских компьютеров в дополнительных доменах.

После внесения изменений в конфигурацию удаленного доступа администратором удаленного доступа администратор домена должен проверить настройки в промежуточных GPO и скопировать их в производственные GPO с помощью следующей процедуры.

Совет

Выполните следующую процедуру после каждого изменения конфигурации удаленного доступа.

Копирование параметров в производственные объекты групповой политики

  1. Убедитесь, что все промежуточные GPO в развертывании службы удаленного доступа были реплицированы во все контроллеры домена в используемом домене. Это необходимо для импорта последней конфигурации в производственные GPO. Дополнительные сведения см. в разделе "Проверка состояния инфраструктуры групповой политики".

  2. Экспортируйте параметры, создав резервную копию всех промежуточных GPO в развертывании удаленного доступа. Дополнительные сведения см. в статье "Резервное копирование объекта групповой политики".

  3. Для каждого производственного GPO измените фильтры безопасности в соответствии с фильтрами соответствующего промежуточного GPO. Дополнительные сведения см. в разделе "Фильтрация с помощью групп безопасности".

    Примечание.

    Это необходимо, так как параметры импорта не копируют фильтр безопасности исходного объекта групповой политики.

  4. Для каждого производственного GPO импортируйте параметры из резервной копии соответствующего промежуточного GPO следующим образом:

    1. В консоли управления групповыми политиками (GPMC) разверните узел объектов групповой политики в лесу и домене, содержащий рабочий объект групповой политики, в который будут импортированы параметры.

    2. Щелкните правой кнопкой мыши объект групповой политики и выберите пункт "Импорт параметров".

    3. В мастере импорта параметров на странице приветствия нажмите кнопку "Далее".

    4. На странице групповой политики резервного копирования нажмите кнопку "Резервное копирование".

    5. В диалоговом окне "Резервное копирование объекта групповой политики" в поле "Расположение" введите путь к расположению, в котором вы хотите сохранить резервные копии групповой политики, или нажмите кнопку "Обзор", чтобы найти папку.

    6. В поле "Описание" введите описание рабочей групповой политики и нажмите кнопку "Создать резервную копию".

    7. После завершения резервного копирования нажмите кнопку "ОК", а затем на странице групповой политики резервного копирования нажмите кнопку "Далее".

    8. На странице "Расположение резервного копирования" введите путь к расположению, в котором резервная копия соответствующего промежуточного объекта групповой политики была сохранена на шаге 2, или нажмите кнопку "Обзор", чтобы найти папку, а затем нажмите кнопку "Далее".

    9. На странице исходной групповой политики установите флажок "Показать только последнюю версию каждого объекта групповой политики", чтобы скрыть старые резервные копии и выбрать соответствующий промежуточный объект групповой политики. Нажмите кнопку "Просмотреть параметры", чтобы просмотреть параметры удаленного доступа, прежде чем применять их к рабочему объекту групповой политики, а затем нажмите кнопку "Далее".

    10. На странице "Сканирование резервного копирования " нажмите кнопку "Далее" и нажмите кнопку "Готово".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

  • Чтобы создать резервную копию промежуточного объекта групповой политики клиента DirectAccess "Параметры клиента DirectAccess — промежуточное" в домене "corp.contoso.com" в папку резервного копирования "C:\Backups":

    $backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'

  • Чтобы просмотреть фильтрацию безопасности промежуточного объекта групповой политики клиента DirectAccess "Параметры клиента DirectAccess — промежуточное" в домене "corp.contoso.com":

    Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}

  • Чтобы добавить группу безопасности "клиенты corp.contoso.com\DirectAccess" в фильтр безопасности объекта групповой политики клиента DirectAccess "Параметры клиента DirectAccess" в домене "corp.contoso.com":

    Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType Group

  • Чтобы импортировать параметры из резервной копии в объект групповой политики рабочего клиента DirectAccess "Параметры клиента DirectAccess" в домене "corp.contoso.com":

    Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'

1.9. Настройка групп безопасности

Параметры DirectAccess, содержащиеся в объекте групповой политики клиентского компьютера, применяются только к компьютерам, которые являются членами групп безопасности, которые указываются при настройке удаленного доступа. Кроме того, если вы используете группы безопасности для управления серверами приложений, необходимо создать группу безопасности для этих серверов.

Создание группы безопасности для клиентов DirectAccess

  1. На начальном экране введите dsa.msc и нажмите клавишу ВВОД. В консоли Пользователи и компьютеры Active Directory в левой области разверните домен, содержащий группу безопасности, щелкните правой кнопкой мыши "Пользователи", наведите указатель мыши на "Создать" и нажмите кнопку "Группа".

  2. В диалоговом окне "Новый объект — группа" в поле "Имя группы" введите имя группы безопасности.

  3. В разделе "Область группы" нажмите кнопку "Глобальный" и в разделе "Тип группы", нажмите кнопку "Безопасность" и нажмите кнопку "ОК".

  4. Дважды щелкните группу безопасности клиентских компьютеров DirectAccess и в диалоговом окне свойств щелкните вкладку "Члены ".

  5. На вкладке Члены группы щелкните Добавить.

  6. В диалоговом окне выбора пользователей, контактов, компьютеров или учетных записей служб выберите клиентские компьютеры, которые требуется включить для DirectAccess, а затем нажмите кнопку "ОК".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

1.10. Настройка сервера сетевых расположений

Сервер сетевых расположений должен обладать высоким уровнем доступности и действительным SSL-сертификатом, которому доверяют клиенты DirectAccess. Для сервера сетевых расположений можно использовать один из следующих типов сертификатов:

  • Частный сертификат

    Этот сертификат основан на шаблоне сертификата, созданном с помощью инструкций в 1.5.2. Настройка шаблонов сертификатов.

  • Самозаверяющий сертификат

    Примечание.

    Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.

Для каждого типа сертификата требуется создать следующие элементы, если они еще не существуют:

  • Сертификат веб-сайта, используемый для сервера сетевых расположений. Субъектом этого сертификата должен быть URL-адрес сервера сетевых расположений.

  • Точка распространения CRL с высоким уровнем доступности из внутренней сети.

Примечание.

Если веб-сайт сервера сетевых расположений находится на сервере DirectAccess, веб-сайт создается автоматически при настройке удаленного доступа. Сайт привязан к указанному сертификату сервера.

Установка сертификата сервера сетевых расположений из внутреннего ЦС

  1. На сервере, на котором размещен веб-сайт сервера сетевого расположения: на начальном экране введитеmmc.exe и нажмите клавишу ВВОД.

  2. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

  3. В диалоговом окне "Добавить или удалить оснастки" нажмите кнопку "Сертификаты", нажмите кнопку "Добавить", выберите "Учетная запись компьютера", "Далее", "Локальный компьютер", "Готово" и нажмите кнопку "ОК".

  4. В дереве консоли оснастки "Сертификаты" откройте сертификаты (локальный компьютер)\Personal\Certificates.

  5. Щелкните правой кнопкой мыши сертификаты, наведите указатель на все задачи и нажмите кнопку "Запросить новый сертификат".

  6. Нажмите кнопку Далее дважды.

  7. На странице "Запрос сертификатов" установите флажок для шаблона сертификата, созданного с помощью инструкций в 1.5.2. Настройка шаблонов сертификатов. При необходимости нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата.

  8. В диалоговом окне "Свойства сертификата" на вкладке "Тема" в области "Имя субъекта" в поле "Тип" выберите "Общее имя".

  9. В поле "Значение" введите полное доменное имя веб-сайта сервера сетевого расположения и нажмите кнопку "Добавить".

  10. В области "Альтернативное имя " в поле "Тип" выберите DNS.

  11. В поле "Значение" введите полное доменное имя веб-сайта сервера сетевого расположения и нажмите кнопку "Добавить".

  12. На вкладке "Общие " в понятном имени можно ввести имя, которое поможет определить сертификат.

  13. Нажмите кнопку "ОК", нажмите кнопку "Регистрация" и нажмите кнопку "Готово".

  14. В области сведений оснастки "Сертификаты" убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.

Настройка сервера сетевых расположений

  1. Настройте веб-сайт на сервере с высоким уровнем доступности. Для него контент не требуется, но для проверки вы можете определить страницу по умолчанию, с сообщением, которое видят клиенты при подключении.

    Примечание.

    Это действие не требуется, если веб-сайт сервера сетевых расположений размещен на сервере DirectAccess.

  2. Привяжите сертификат HTTPS-сервера к веб-сайту. Общее имя сертификата должно совпадать с именем сайта сервера сетевых расположений. Убедитесь, что клиенты DirectAccess доверяют ЦС, выдающему сертификат.

    Примечание.

    Это действие не требуется, если веб-сайт сервера сетевых расположений размещен на сервере DirectAccess.

  3. Настройте сайт CRL с высоким уровнем доступности из внутренней сети.

    Точки распространения CRL можно получить с помощью:

    • Веб-серверы с помощью URL-адреса на основе HTTP, например: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl

    • Файловые серверы, к которым обращается универсальный UNC-путь, например \\crl.corp.contoso.com\crld\corp-APP1-CA.crl

    Если внутренняя точка распространения CRL доступна только по IPv6, необходимо настроить правило безопасности брандмауэра Windows в режиме повышенной безопасности, чтобы исключить защиту IPsec IPv6-адреса интрасети для IPv6-адресов точек распространения CRL.

  4. Убедитесь, что клиенты DirectAccess во внутренней сети могут разрешить имя сервера сетевых расположений. Убедитесь, что это имя не разрешается клиентами DirectAccess в Интернете.