Развертывание одного сервера DirectAccess с расширенными параметрами

Применимо к:Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и который позволяет развернуть DirectAccess с расширенными параметрами.

Также можно развернуть базовую конфигурацию DirectAccess и DirectAccess для корпоративных сред. Сведения о других возможных сценариях развертывания см. в разделе Развертывания DirectAccess в Windows Server.

• Если требуется настроить базовое развертывание лишь с простыми настройками, см. раздел Развертывание одного сервера DirectAccess с помощью мастера начальной настройки. В простом сценарии DirectAccess настраивается с параметрами по умолчанию с помощью мастера, при этом отсутствует необходимость настраивать параметры инфраструктуры, такие как центр сертификации (ЦС) или группы безопасности Active Directory.

• Если вы хотите настроить DirectAccess с корпоративными сетевыми компонентами, такими как кластер с балансировкой нагрузки, многосайтовое развертывание или двухфакторная проверка подлинности клиента, реализуйте описанный в этом разделе сценарий, чтобы настроить единый сервер, а затем реализуйте корпоративный сценарий, как описано в разделе Развертывание удаленного доступа на предприятии.

Содержание сценария

Чтобы настроить один сервер DirectAccess с расширенными параметрами, необходимо выполнить несколько этапов планирования и развертывания.

Необходимые компоненты

Прежде чем начать, изучите следующие требования.

• Брандмауэр Windows должен быть включен для всех профилей.

• Сервер DirectAccess действует как сервер сетевых расположений.

• Вы хотите, чтобы все беспроводные компьютеры в домене, где установлен сервер DirectAccess, могли использовать DirectAccess. При развертывании службы DirectAccess она автоматически активируется на всех мобильных компьютерах в текущем домене.

Шаги планирования

Планирование разделено на два этапа.

1. Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование до начала развертывания DirectAccess, необходимое для настройки сетевой инфраструктуры. На этом этапе планируются топология сети и серверов, сертификаты, DNS, конфигурация Active Directory и объектов групповой политики (GPO), а также сервер сетевых расположений DirectAccess.

2. Планирование развертывания DirectAccess. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений.

Более подробное описание процедур см. в разделе Планирование расширенного развертывания DirectAccess.

Шаги развертывания

Развертывание разделено на три этапа.

1. Настройка инфраструктуры DirectAccess. Этот этап включает в себя настройку сети и маршрутизации, при необходимости — настройку параметров брандмауэра, настройку сертификатов, DNS-серверов, параметров Active Directory и объектов групповой политики, сервера сетевых расположений DirectAccess.

2. Настройка параметров сервера DirectAccess. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.

3. Проверка развертывания. На этом этапе выполняется проверка развертывания DirectAccess.

Более подробное описание процедур развертывания см. в разделе Установка и настройка DirectAccess с расширенными параметрами.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера DirectAccess.

• Упрощенный доступ. Управляемые клиентские компьютеры под управлением Windows® 8.1, Windows® 8 и Windows® 7 можно настроить как клиентские компьютеры DirectAccess. Эти клиенты могут получать доступ к ресурсам внутренней сети через DirectAccess в любое время, когда они находятся в Интернете, без необходимости входа в VPN-подключение. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN.

• Упрощенное управление. Администраторы могут управлять клиентскими компьютерами DirectAccess, расположенными в Интернете, через DirectAccess с помощью удаленного доступа, даже если эти компьютеры не находятся во внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления DirectAccess можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, необходимые для данного сценария

В следующей таблице перечислены роли и компоненты, необходимые для данного сценария.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

• Требования к серверу.

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012.

  • Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).

  • Если в качестве протокола перехода с IPv4 на IPv6 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один IP-адрес, в качестве протокола перехода можно использовать только IP-HTTPS.

  • Минимум один контроллер домена. Сервер DirectAccess и клиенты DirectAccess должны быть членами домена.

  • Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, требуется центр сертификации (ЦС). Вы также можете запрашивать сертификаты у общедоступного ЦС.

  • Если сервер сетевых расположений находится не на сервере DirectAccess, для него потребуется отдельный веб-сервер.

• Требования к клиенту.

  • Клиентский компьютер должен работать под управлением Windows 8 или Windows 7.

    Примечание

    В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

• Требования к серверу инфраструктуры и управления.

  • Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности для служб, которые включают обновления Windows и антивирусной программы и соответствие клиента принципам защиты сетевого доступа (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

  • Если для удаленного доступа требуется соответствие клиента требованиям NAP, серверы NPS и HRS необходимо развернуть до начала развертывания удаленного доступа.

  • Если включена VPN, необходим DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам, в случае когда статический пул адресов не используется.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

• Требования к серверу.

  • Сервер DirectAccess должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

  • Если сервер DirectAccess расположен после пограничного брандмауэра или устройства NAT, устройство необходимо настроить, чтобы передавать трафик на сервер DirectAccess и от него.

  • Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

• Требования к клиенту удаленного доступа.

  • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером DirectAccess или иметь двустороннее доверие с лесом или доменом сервера DirectAccess.

  • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена. В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012 R2, Windows 8.1 Корпоративная, Windows Server 2012, Windows 8 Корпоративная, Windows Server 2008 R2, Windows 7 Корпоративная и Windows 7 Максимальная.

    Примечание

    Рекомендуется создать группу безопасности для каждого домена, содержащего клиентские компьютеры DirectAccess.

    Важно!

    Если вы включили Teredo в развертывании DirectAccess и хотите предоставить доступ клиентам под управлением Windows 7, необходимо обновить клиенты до Windows 7 с пакетом обновления 1 (SP1). Клиенты, использующие Windows 7 RTM, не смогут подключаться по протоколу Teredo. Однако они по-прежнему смогут подключиться к корпоративной сети по протоколу IP-HTTPS.

См. также:

В следующей таблице перечислены ссылки на дополнительные ресурсы.