Развертывание одного сервера DirectAccess с расширенными параметрами

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Внимание

Корпорация Майкрософт настоятельно рекомендует использовать VPN AlwaysOn вместо DirectAccess для новых развертываний. Дополнительные сведения см. в разделе Always on VPN.

В этом разделе приведены общие сведения о сценарии DirectAccess, который использует один сервер DirectAccess и позволяет развертывать DirectAccess с дополнительными параметрами.

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Перед развертыванием DirectAccess можно использовать следующие разделы, чтобы просмотреть предварительные требования и другие сведения.

Описание сценария

В этом сценарии один компьютер под управлением Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, настроен как сервер DirectAccess с расширенными параметрами.

Примечание.

Если требуется настроить базовое развертывание лишь с простыми настройками, см. раздел Deploy a Single DirectAccess Server Using the Getting Started Wizard. В простом сценарии DirectAccess настраивается с параметрами по умолчанию с помощью мастера, при этом отсутствует необходимость настраивать параметры инфраструктуры, такие как центр сертификации (ЦС) или группы безопасности Active Directory.

Содержание сценария

Чтобы настроить один сервер DirectAccess с расширенными параметрами, необходимо выполнить несколько этапов планирования и развертывания.

Необходимые компоненты

Прежде чем начать, изучите следующие требования.

  • Брандмауэр Windows должен быть включен для всех профилей.

  • Сервер DirectAccess действует как сервер сетевых расположений.

  • Вы хотите, чтобы все беспроводные компьютеры в домене, где установлен сервер DirectAccess, могли использовать DirectAccess. При развертывании службы DirectAccess она автоматически активируется на всех мобильных компьютерах в текущем домене.

Внимание

Некоторые технологии и конфигурации не поддерживаются при развертывании DirectAccess.

  • Протокол ISATAP не поддерживается для корпоративных сетей. Если вы используете ISATAP, необходимо удалить его и использовать IPv6.

Шаги планирования

Планирование разделено на два этапа.

  1. Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование до начала развертывания DirectAccess, необходимое для настройки сетевой инфраструктуры. На этом этапе планируются топология сети и серверов, сертификаты, DNS, конфигурация Active Directory и объектов групповой политики (GPO), а также сервер сетевых расположений DirectAccess.

  2. Планирование развертывания DirectAccess. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений.

Шаги развертывания

Развертывание разделено на три этапа.

  1. Настройка инфраструктуры DirectAccess. Этот этап включает в себя настройку сети и маршрутизации, при необходимости — настройку параметров брандмауэра, настройку сертификатов, DNS-серверов, параметров Active Directory и объектов групповой политики, сервера сетевых расположений DirectAccess.

  2. Настройка параметров сервера DirectAccess. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.

  3. Проверка развертывания. На этом этапе выполняется проверка развертывания DirectAccess.

Более подробное описание процедур развертывания см. в разделе Install and Configure Advanced DirectAccess.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера DirectAccess.

  • Упрощенный доступ. Управляемые клиентские компьютеры под управлением Windows 10, Windows 8.1, Windows 8 и Windows 7 можно настроить как клиентские компьютеры DirectAccess. Эти клиенты могут получать доступ к ресурсам внутренней сети через DirectAccess в любое время, когда они находятся в Интернете, без необходимости входа в VPN-подключение. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN.

  • Упрощенное управление. Администраторы могут управлять клиентскими компьютерами DirectAccess, расположенными в Интернете, через DirectAccess с помощью удаленного доступа, даже если эти компьютеры не находятся во внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления DirectAccess можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, необходимые для данного сценария

В следующей таблице перечислены роли и компоненты, необходимые для данного сценария.

Роль/компонент Способ поддержки сценария
Роль удаленного доступа Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. В эту роль входят и DirectAccess, и службы маршрутизации и удаленного доступа (RRAS). Роль удаленного доступа включает два компонента.

1. DirectAccess и RRAS VPN. DirectAccess и VPN управляются вместе в консоли управления удаленным доступом.
2. Маршрутизация RRAS. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера:

— веб-сервер службы IIS (IIS) — эта функция необходима для настройки сервера расположения сети на сервере DirectAccess и веб-пробы по умолчанию.
- внутренняя база данных Windows. Используется для локального учета на сервере DirectAccess.
Средства управления удаленным доступом Этот компонент устанавливается описанным ниже образом.

— Он устанавливается по умолчанию на сервере DirectAccess при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell.
— Его можно установить на сервере, не на котором выполняется роль сервера DirectAccess. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

— графический пользовательский интерфейс удаленного доступа (GUI)
— модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

— консоль управления групповыми политиками
— пакет диспетчер подключений Администратор istration Kit (CMAK)
— Windows PowerShell 3.0
— графические средства управления и инфраструктура

Требования к аппаратному обеспечению

Для этого сценария действуют следующие требования к оборудованию.

  • Требования к серверу.

    • Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

    • Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).

    • Если в качестве протокола перехода с IPv4 на IPv6 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один IP-адрес, в качестве протокола перехода можно использовать только IP-HTTPS.

    • Минимум один контроллер домена. Сервер DirectAccess и клиенты DirectAccess должны быть членами домена.

    • Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, требуется центр сертификации (ЦС). Вы также можете запрашивать сертификаты у общедоступного ЦС.

    • Если сервер сетевых расположений находится не на сервере DirectAccess, для него потребуется отдельный веб-сервер.

  • Требования к клиенту.

    • Клиентский компьютер должен работать под управлением Windows 10, Windows 8 или Windows 7.

      Примечание.

      Следующие операционные системы можно использовать в качестве клиентов DirectAccess: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Корпоративная, Windows 7 Корпоративная или Windows 7 Максимальная.

  • Требования к серверу инфраструктуры и управления.

    • Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности для служб, которые включают обновления Windows и антивирусной программы и соответствие клиента принципам защиты сетевого доступа (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

    • Если для удаленного доступа требуется соответствие клиента требованиям NAP, серверы NPS и HRS необходимо развернуть до начала развертывания удаленного доступа.

    • Если включена VPN, необходим DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам, в случае когда статический пул адресов не используется.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

  • Требования к серверу.

    • Сервер DirectAccess должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

    • Если сервер DirectAccess расположен после пограничного брандмауэра или устройства NAT, устройство необходимо настроить, чтобы передавать трафик на сервер DirectAccess и от него.

    • Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

  • Требования к клиенту удаленного доступа.

    • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером DirectAccess или иметь двустороннее доверие с лесом или доменом сервера DirectAccess.

    • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена.

      Примечание.

      Рекомендуется создать группу безопасности для каждого домена, содержащего клиентские компьютеры DirectAccess.

      Внимание

      Если вы включили Teredo в развертывании DirectAccess и хотите предоставить доступ к клиентам Windows 7, убедитесь, что клиенты обновлены до Windows 7 с пакетом обновления 1 (SP1). Клиенты, использующие Windows 7 RTM, не смогут подключаться через Teredo. Однако они по-прежнему смогут подключиться к корпоративной сети по протоколу IP-HTTPS.

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Content type Ссылки
Развертывание Пути развертывания DirectAccess в Windows Server

Развертывание одного сервера DirectAccess с помощью мастера начальной настройки
Средства и параметры Командлеты PowerShell для удаленного доступа
Ресурсы сообщества Руководство по выживанию DirectAccess

Вики-записи DirectAccess
Связанные технологии Как работает IPv6