Развертывание одного сервера DirectAccess с помощью мастера начальной настройки

Внимание

Корпорация Майкрософт настоятельно рекомендует использовать VPN AlwaysOn вместо DirectAccess для новых развертываний. Дополнительные сведения см. в разделе Always on VPN.

В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и представлена несложная процедура развертывания DirectAccess.

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Перед развертыванием DirectAccess можно использовать следующие разделы, чтобы просмотреть предварительные требования и другие сведения.

Описание сценария

В этом сценарии компьютер Windows Server настраивается как сервер DirectAccess с параметрами по умолчанию. Для настройки требуется только несколько простых шагов мастера, без необходимости настраивать параметры инфраструктуры, такие как центр сертификации (ЦС) или группы безопасности Active Directory.

Примечание.

Сведения о настройке расширенного развертывания с пользовательскими параметрами см. в разделе Deploy a Single DirectAccess Server with Advanced Settings.

Содержание сценария

Чтобы настроить базовый сервер DirectAccess, необходимо выполнить несколько шагов планирования и развертывания.

Необходимые компоненты

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

  • Брандмауэр Windows должен быть включен для всех профилей.

  • Этот сценарий поддерживается только в том случае, если клиентские компьютеры работают под управлением Windows 10, Windows 8.1 или Windows 8.

  • ISATAP в корпоративной сети не поддерживается. Если вы используете ISATAP, удалите его и используйте собственный IPv6.

  • Инфраструктура открытого ключа не требуется.

  • Для развертывания не поддерживается двухфакторная проверка подлинности. Для проверки подлинности требуются учетные данные домена.

  • DirectAccess автоматически развертывается на всех мобильных компьютерах в текущем домене.

  • Трафик в Интернет не проходит через туннель DirectAccess. Настройка принудительного туннеля не поддерживается.

  • Сервер DirectAccess действует как сервер сетевых расположений.

  • Защита доступа к сети (NAP) не поддерживается.

  • Изменение политик за пределами консоль управления DirectAccess или командлетов PowerShell не поддерживается.

  • Чтобы развернуть мультисайт, теперь или в будущем сначала разверните один сервер DirectAccess с дополнительными параметрами.

Шаги планирования

Планирование разделено на два этапа.

  1. Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование, необходимое для настройки сетевой инфраструктуры перед началом развертывания DirectAccess. Планирование включает в себя проектирование топологии сети и сервера и сервера сетевого расположения DirectAccess.

  2. Планирование развертывания DirectAccess. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений.

Подробные инструкции по планированию см. в разделе "Планирование расширенного развертывания DirectAccess".

Шаги развертывания

Развертывание разделено на три этапа.

  1. Настройка инфраструктуры DirectAccess. Этот этап включает настройку следующих компонентов:
  • Сеть и маршрутизация
  • Параметры брандмауэра (при необходимости)
  • Сертификаты
  • Серверы DNS
  • Параметры Active Directory и групповой политики
  • Сервер сетевого расположения DirectAccess

  1. Настройка параметров сервера DirectAccess. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.

  2. Проверка развертывания. На этом этапе содержатся шаги, чтобы убедиться, что развертывание работает должным образом.

Более подробное описание шагов развертывания см. в разделе Install and Configure Basic DirectAccess.

Практическое применение

Развертывание одного сервера удаленного доступа обеспечивает следующие преимущества:

  • Простота доступа. Вы можете настроить управляемые клиентские компьютеры под управлением Windows 10, Windows 8.1, Windows 8 или Windows 7 в качестве клиентов DirectAccess. Эти клиенты могут получать доступ к внутренним сетевым ресурсам через DirectAccess в любое время, когда они находятся в Интернете, не требуя входа в VPN-подключение. Клиентские компьютеры, не работающие под управлением одной из этих операционных систем, могут подключаться к внутренней сети с помощью традиционных VPN-подключений.

  • Простота управления. Клиентские компьютеры DirectAccess, расположенные в Интернете, можно удаленно управлять администраторами удаленного доступа через DirectAccess, даже если клиентские компьютеры не находятся во внутренней корпоративной сети. Клиентские компьютеры, которые не соответствуют корпоративным требованиям, могут быть автоматически исправлены серверами управления. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления удаленным доступом можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент Способ поддержки сценария
Роль удаленного доступа Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. Эта роль включает как DirectAccess, маршрутизацию, так и удаленные службы Access. Роль удаленного доступа включает два компонента.

1. VPN DirectAccess и маршрутизация и удаленная службы Access (RRAS). DirectAccess и VPN управляются вместе в консоли управления удаленным доступом.
2. Маршрутизация RRAS. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера:

— веб-сервер службы IIS (IIS) — эта функция необходима для настройки сервера расположения сети на сервере удаленного доступа и веб-пробы по умолчанию.
- внутренняя база данных Windows. Используется для локального учета на сервере удаленного доступа.
Средства управления удаленным доступом Этот компонент устанавливается описанным ниже образом.

— Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell.
— Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае он используется для удаленного управления компьютером удаленного доступа под управлением DirectAccess и VPN.

Функция средств удаленного управления доступом состоит из следующих компонентов:

— графический интерфейс удаленного доступа
— модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

— консоль управления групповыми политиками
— набор администрирования диспетчер подключений RAS (CMAK)
— Windows PowerShell 3.0
— графические средства управления и инфраструктура

Требования к аппаратному обеспечению

Для этого сценария действуют следующие требования к оборудованию.

  • Требования к серверу.

    • Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

    • Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).

    • Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.

  • Требования к клиенту.

    • Клиентский компьютер должен работать под управлением Windows 10, Windows 8.1 или Windows 8.

      Внимание

      Если некоторые или все клиентские компьютеры работают под управлением Windows 7, необходимо использовать мастер расширенной установки. Мастер установки начала работы, описанный в этом документе, поддерживает клиентские компьютеры под управлением Windows 7. Инструкции по использованию клиентов Windows 7 с DirectAccess см. в статье "Развертывание одного сервера DirectAccess с дополнительными параметрами ".

      Примечание.

      В качестве клиентов DirectAccess можно использовать только следующие операционные системы: Windows 10 Корпоративная, Windows 8.1 Корпоративная, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Корпоративная, Windows Server 2008 R2, Windows 7 Корпоративная и Windows 7 Максимальная.

  • Требования к серверу инфраструктуры и управления.

    • Если VPN включен и пул статических IP-адресов не настроен, необходимо развернуть DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам.

  • Dns-сервер под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2 требуется.

Требования к программному обеспечению

Ниже приведены требования для этого сценария:

  • Требования к серверу.

    • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

    • Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

    • Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

  • Требования к клиенту удаленного доступа.

    • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом сервера удаленного доступа.

    • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если группа безопасности не указана при настройке параметров клиента DirectAccess, по умолчанию объект групповой политики клиента применяется ко всем компьютерам ноутбука в группе безопасности доменных компьютеров. В качестве клиентов DirectAccess можно использовать только следующие операционные системы: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Content type Ссылки
Удаленный доступ в TechNet TechCenter для удаленного доступа
Средства и параметры Командлеты PowerShell для удаленного доступа
Ресурсы сообщества Вики-записи DirectAccess
Связанные технологии Как работает IPv6