Шаг 2. Планирование расширенных развертываний DirectAccess

Следующий шаг для развертывания расширенного DirectAccess на одном сервере с IPv4 и IPv6 после планирования инфраструктуры DirectAccess — планирование параметров в мастере настройки удаленного доступа.

2.1. Планирование развертывания клиентов

При планировании развертывания клиентов необходимо принять три решения:

1. Будет ли DirectAccess доступен только для мобильных устройств или же для любых компьютеров?

   При настройке клиентов DirectAccess в мастере настройки DirectAccess вы можете разрешить только мобильным компьютерам в указанных группах безопасности подключаться с использованием DirectAccess. Если вы запретите доступ для мобильных устройств, будет автоматически настроен фильтр WMI, чтобы убедиться, что объект групповой политики клиента DirectAccess применяется только к мобильным устройствам из указанных групп безопасности. Чтобы активировать этот параметр, администратору удаленного доступа требуются разрешения безопасности "Создание" и "Изменение" для создания и редактирования фильтров WMI объекта групповой политики (GPO).

2. В какие группы безопасности будут входить компьютеры клиентов DirectAccess?

   Параметры клиентов DirectAccess содержатся в GPO клиента DirectAccess. Этот объект GPO применяется к компьютерам, входящим в группы безопасности, указанные в мастере настройки клиента DirectAccess. Можно разрешить использование групп безопасности в любом поддерживаемом домене. Дополнительные сведения см. в разделе 1.7 Планирование служб домен Active Directory.

   Перед настройкой DirectAccess следует создать группы безопасности. Вы можете добавить компьютеры в группу безопасности после завершения развертывания DirectAccess, но если вы добавите клиентские компьютеры не из домена, в котором размещена группа безопасности, GPO клиента не будет применен к этим клиентам. Например, если вы создали SG1 в домене А для клиентов DirectAccess и затем добавили в эту группу клиентов из домена Б, GPO клиента не будет применен к клиентам из домена Б. Чтобы избежать этого, создайте новую группу безопасности клиентов для каждого домена с клиентскими компьютерами DirectAccess. Кроме того, если вы не хотите создать новую группу безопасности, запустите командлет Windows PowerShell Add-DAClient с именем нового объекта групповой политики для нового домена.

3. Какие параметры вы настроите для помощника подключения к сети?

   Помощник подключения к сети выполняется на клиентских компьютерах и предоставляет дополнительные сведения о подключении DirectAccess к конечным пользователям. В мастере настройки клиента DirectAccess можно настроить следующие компоненты:

   • Средства проверки подключения

     Создается веб-проба по умолчанию, которую клиенты используют для проверки подключения к внутренней сети. Имя по умолчанию:

     https://directaccess-WebProbeHost.<domain_name>

     Это имя следует вручную зарегистрировать в системе DNS. Вы можете создать другие средства проверки подключения с помощью других веб-адресов по протоколу HTTP или ping. Для каждого средства проверки подключения должна существовать DNS-запись.

   • Адрес электронной почты службы технической поддержки

     Если у конечных пользователей возникают проблемы с подключением к DirectAccess, они могут отправить сообщение электронной почты, содержащее данные диагностики, администратору DirectAccess, чтобы устранить проблему.

   • Имя подключения DirectAccess

     Укажите имя подключения DirectAccess, чтобы помочь конечным пользователям определить подключение DirectAccess на их компьютере.

   • Разрешить клиентам DirectAccess использовать локальное разрешение имен

     Клиентам требуется способ для локального разрешения имен. Если вы позволяете клиентам DirectAccess использовать локальное разрешение имен, конечные пользователи смогут применять локальные DNS-серверы для разрешения имен. Если конечные пользователи применяют локальные DNS-серверы, DirectAccess не отправляет запросы разрешения для однокомпонентных имен на внутренний корпоративный DNS-сервер. Вместо этого используется локальное разрешение имен (с протоколами LLMNR и NetBIOS через TCP/IP).

2.2. Планирование развертывания серверов DirectAccess

При планировании развертывания сервера DirectAccess проанализируйте следующие решения:

• Топология сети

  При развертывании сервера DirectAccess доступно две топологии:

  • Два сетевых адаптера. При использовании двух сетевых адаптеров DirectAccess можно настроить с одним адаптером, напрямую подключенным к Интернету, и другим адаптером, подключенным к внутренней сети. Или же сервер устанавливается за пограничным устройством, например брандмауэром или маршрутизатором. В этой конфигурации один сетевой адаптер подключается непосредственно к сети периметра, а второй — к внутренней сети.

  • Один сетевой адаптер. В этой конфигурации сервер DirectAccess устанавливается за пограничным устройством, например брандмауэром или маршрутизатором. Сетевой адаптер подключается к внутренней сети.

  Дополнительные сведения о выборе топологии для развертывания см. в разделе 1.1 Планирование топологии сети и параметров.

• Адрес ConnectTo

  Клиентские компьютеры используют адрес ConnectTo для подключения к серверу DirectAccess. Выбранный адрес должен совпадать с именем субъекта сертификата IP-HTTPS, развернутого для подключения IP-HTTPS, и должен быть доступным в общедоступном DNS.

• Сетевые адаптеры

  Мастер настройки сервера удаленного доступа автоматически обнаруживает сетевые адаптеры, настроенные на сервере DirectAccess. Убедитесь, что выбраны правильные адаптеры.

• Сертификат IP-HTTPS

  Мастер настройки сервера удаленного доступа автоматически обнаруживает сертификат для подключения IP-HTTPS. Имя субъекта выбранного сертификата должно соответствовать адресу ConnectTo. Если используются самозаверяющие сертификаты, вы можете использовать сертификат, созданный серверов удаленного доступа автоматически.

• Префиксы IPv6

  Если мастер настройки сервера удаленного доступа определяет, что для сетевых адаптеров развернут протокол IPv6, он автоматически заполняет префиксы IPv6 для внутренней сети, префикс IPv6, который будет назначен клиентским компьютерам DirectAccess, и префикс IPv6, который будет назначен клиентским компьютерам VPN. Если созданные автоматически префиксы не подходят для собственной инфраструктуры IPv6, необходимо изменить их вручную. Дополнительные сведения см. в разделе 1.1 Планирование топологии сети и параметров.

• Аутентификация

  Определите, как клиенты DirectAccess будут проходить проверку подлинности на сервере DirectAccess:

  • Аутентификация пользователя. Вы можете применять проверку подлинности с использованием учетных данных Active Directory или двухфакторную проверку подлинности. Дополнительные сведения о проверке подлинности с помощью двухфакторной проверки подлинности см. в статье "Развертывание удаленного доступа с помощью проверки подлинности OTP".

  • Проверка подлинности компьютера. Для проверки подлинности компьютеров можно использовать сертификаты или сервер DirectAccess, действующий как прокси-сервер Kerberos от лица клиента. Дополнительные сведения см. в статье о требованиях к сертификату плана 1.3.

  • Клиенты Windows 7. По умолчанию клиентские компьютеры под управлением Windows 7 не могут подключаться к развертыванию Windows Server 2012 R2 или Windows Server 2012 DirectAccess. Если у вас есть клиенты в вашей организации под управлением Windows 7, и они требуют удаленного доступа к внутренним ресурсам, вы можете разрешить им подключаться. Все клиентские компьютеры, которым требуется предоставить доступ к внутренним ресурсам, должны входить в группу безопасности, указанную в мастере настройки клиента DirectAccess.

    Примечание.

    Для подключения клиентов под управлением Windows 7 с помощью DirectAccess требуется проверка подлинности сертификата компьютера.

• Конфигурация VPN

  Прежде чем настроить DirectAccess, решите, будете ли вы предоставлять VPN-доступ к удаленным клиентам без поддержки DirectAccess. Следует предоставить VPN-доступ, если в организации есть клиентские компьютеры, не поддерживающие подключение к DirectAccess (так как они неуправляемые или используют операционную систему, для которой DirectAccess не поддерживается). Мастер настройки сервера удаленного доступа позволяет настроить, как назначаются IP-адреса (с помощью DHCP или пула статических адресов) и как VPN-клиенты проходят проверку подлинности (с помощью Active Directory или сервера RADIUS).

2.3. Планирование серверов инфраструктуры

Для DirectAccess необходимы три типа серверов инфраструктуры:

• DNS-серверы. Дополнительные сведения см. в статье 1.4. Требования к DNS плана

• Сервер расположения сети. Дополнительные сведения см. в разделе 1.5 Планирование сервера сетевых расположений

• Серверы управления. Дополнительные сведения см . на серверах управления планами 1.6.

2.4. Планирование серверов приложений

Серверы приложений — это серверы в корпоративной сети, которые доступны клиентским компьютерам по подключению DirectAccess. Чтобы определить серверы приложений, их нужно добавить в группу безопасности. После этого GPO сервера приложений применяется к серверам в этой группе.

При необходимости можно принудительно применять сквозную проверку подлинности и шифрование между клиентом DirectAccess и выбранными внутренними серверами приложений. Если вы настроили сквозную проверку подлинности, клиенты DirectAccess используют транспортную политику IPsec. Она требует, чтобы проверка подлинности и защита трафика сеансов IPsec терминировались на указанных серверах приложений. В этом случае сервер удаленного доступа перенаправляет прошедшие проверку подлинности и защищенные сеансы IPsec на серверы приложений.

По умолчанию при расширении проверки подлинности на серверы приложений, полезные данные между клиентом DirectAccess и сервером приложений шифруются. Вы можете отключить шифрование трафика и использовать только проверку подлинности. Однако это менее безопасно, чем использование проверки подлинности и шифрования, и оно поддерживается только для серверов приложений под управлением операционных систем Windows Server 2008 R2 или Windows Server 2012.

2.5. Планирование использования DirectAccess со сторонними VPN-клиентами

Некоторые сторонние VPN-клиенты не создают подключения в папке "Сетевые подключения". Из-за этого DirectAccess может определить, что подключение к интрасети недоступно, хотя на самом деле подключение к VPN установлено, а подключение к интрасети доступно. Это происходит, когда сторонние VPN-клиенты регистрируют свои интерфейсы как типы конечных точек NDIS. Можно обеспечить сосуществование с такими типами VPN-клиентов, задав на клиентах DirectAccess значение 1 для следующего параметра реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\ShowDomainEndpointInterfaces (REG_DWORD)

Некоторые VPN-клиенты используют конфигурацию с раздельным туннелированием, что позволяет компьютеру VPN-клиента подключаться к Интернету напрямую без передачи трафика через VPN-подключение к интрасети.

Обычно конфигурации с раздельным туннелированием оставляют параметр шлюза по умолчанию на VPN-клиенте не настроенным или равным 0.0.0.0. Это можно проверить, установив VPN-подключение к интрасети и просмотрев полученную конфигурацию с помощью средства командной строки Ipconfig.exe.

Если для VPN-подключения шлюз по умолчанию равен 0.0.0.0, VPN-клиент настроен подобным образом. По умолчанию клиент DirectAccess не определяет конфигурации с раздельным туннелированием. Чтобы это исправить и реализовать сосуществование с такими конфигурациями VPN-клиентов, задайте значение 1 для следующего параметра реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ EnableNoGatewayLocationDetection (REG_DWORD)

Предыдущий шаг

• Шаг 1. Планирование инфраструктуры DirectAccess