Удаленное управление клиентами DirectAccess

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

Примечание. Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа.

Данный раздел представляет собой введение в расширенный сценарий, который вы можете использовать, чтобы настроить сервер удаленного доступа для удаленного управления клиентами DirectAccess.

Описание сценария

В этом сценарии описывается настройка компьютера под управлением Windows Server 2012 в качестве сервера удаленного доступа с целью управления клиентами DirectAccess. С его помощью можно включить функцию удаленного управления клиентами, однако отключаются прочие возможности, активные при полноценном развертывании DirectAccess, такие как доступ клиентов к внутренним сетям, принудительное туннелирование, строгая проверка подлинности и соответствие требованиям NAP.

Примечание

Если требуется настроить базовое развертывание лишь с простыми настройками, см. раздел Развертывание одного сервера DirectAccess с помощью мастера начальной настройки. В простом сценарии вы можете настроить удаленный доступ с настройками по умолчанию при помощи мастера. Установка параметров инфраструктуры, таких как центр сертификации (CA) или группы безопасности Active Directory, не требуются.

Содержание сценария

Чтобы настроить одиночный сервер удаленного доступа для управления клиентами, требуется подробно спланировать действия и выполнить развертывание.

Шаги планирования

Планирование сценария разделено на два этапа:

  1. Планирование инфраструктуры удаленного доступа. Перед тем как приступить к развертыванию удаленного доступа, необходимо спланировать инфраструктуру сети. Требуется определить топологию сети и серверов, используемые сертификаты, систему доменных имен (DNS), Active Directory, объекты групповой политики (GPO), а также сервер сетевых расположений DirectAccess.

  2. Планирование развертывания удаленного доступа. На этом этапе вы осуществляете подготовку к развертыванию удаленного доступа. Необходимо продумать, какие клиентские компьютеры и серверы будут использоваться для удаленного доступа, определить требования к проверке подлинности, настройки VPN, инфраструктуру и серверы управления.

Более подробное описание процедур см. в разделе Планирование развертывания для удаленного управления клиентами DirectAccess.

Необходимые компоненты

Перед началом выполнения сценария ознакомьтесь со списком важных требований:

  • Брандмауэр Windows быть активен для всех профилей.
  • Технология DirectAccess поддерживается только в Windows 8.1, Windows 8 и Windows 7.
  • Изменение политик вне консоли управления DirectAccess или с помощью командлетов Windows PowerShell не поддерживается.

Шаги развертывания

Развертывание в этом сценарии разделено на три этапа:

  1. Настройка инфраструктуры удаленного доступа. На этом этапе вам следует настроить сеть и маршрутизацию, а также брандмауэр (при необходимости), сертификаты, DNS-серверы, Active Directory, объекты групповой политики и сервер сетевых расположений DirectAccess.

  2. Настройка параметров сервера удаленного доступа. На этом этапе вам следует настроить компьютеры клиентов удаленного доступа, сервер удаленного доступа, а также серверы инфраструктуры, управления и приложений.

  3. Проверка развертывания. На этом этапе вам следует проверить, работает ли развернутая конфигурация должным образом.

Более подробное описание процедур развертывания см. в разделе Установка и настройка развертывания для удаленного управления клиентами DirectAccess.

Практическое применение

Использование одиночного сервера удаленного доступа для управления клиентами DirectAccess дает следующие преимущества:

  • Простота доступа. Управляемые клиентские компьютеры на базе Windows 8.1, Windows 8 или Windows 7 можно настроить как компьютеры клиентов DirectAccess. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess, как только устанавливается подключение Интернету, без необходимости входить в профиль VPN-подключения. Клиенты, использующие другие ОС, могут подключится к внутренней сети с помощью VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одинаковых мастеров.

  • Простота управления. Администраторы удаленного доступа могут удаленно управлять компьютерами клиентов DirectAccess, подключенными к Интернету, даже если они находятся за пределами внутренней корпоративной сети. Параметры клиентских компьютеров, не соответствующих требованиям предприятия, можно автоматически исправить с помощью серверов управления.

Роли и компоненты, используемые в данном сценарии

В следующей таблице приводятся роли и компоненты, необходимые для планирования и развертывания этого сценария.

Роль/компонент

Способ поддержки сценария

Роль удаленного доступа

Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. Эта роль включает как DirectAccess, который раньше был компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые были службой роли в рамках роли сервера служб политики сети и доступа (NPAS). Роль удаленного доступа включает два компонента.

  1. DirectAccess и VPN маршрутизации и удаленного доступа (RRAS) — управление DirectAccess и VPN осуществляется через консоль управления удаленным доступом.

  2. Маршрутизация RRAS — управление компонентами маршрутизации RRAS осуществляется через устаревшую консоль маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера:

  • Веб-сервер Internet Information Services (IIS) — этот компонент необходим для настройки сервера сетевых расположений на сервере удаленного доступа и веб-пробы по умолчанию.

  • Внутренняя база данных Windows — используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • По умолчанию он устанавливается на сервер при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell.

  • При необходимости его также можно установить на сервере, где роль удаленного доступа не установлена. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

  • Графический пользовательский интерфейс удаленного доступа

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0

  • графические средства управления и инфраструктура.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

  • Требования к серверу.

    • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012.

    • На сервере должно быть установлено и включено не менее одного сетевого адаптера. Если используются два адаптера, один из них должен быть подключен к внутренней сети предприятия, а другой — к внешней (Интернету).

    • Если в качестве протокола перехода с IPv4 на IPv6 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один IP-адрес, в качестве протокола перехода можно использовать только IP-HTTPS.

    • Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.

    • Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, требуется сервер ЦС. Вы также можете запрашивать сертификаты у общедоступного ЦС.

    • Если сервер сетевых расположений находится не на сервере удаленного доступа, для него потребуется отдельный веб-сервер.

  • Требования к клиенту.

    • Клиентский компьютер должен работать под управлением Windows 8 или Windows 7.

      Примечание

      В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

  • Требования к серверу инфраструктуры и управления.

    • При удаленном управлении клиенты DirectAccess инициируют связь с серверами управления, такими как контроллеры доменов и серверы System Center Configuration, которые предоставляют им различные услуги, включая обновления Windows и антивирусной программы, а также контроль соответствия клиента требованиям защиты доступа к сети (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

    • Если для удаленного доступа требуется соответствие клиента NAP, серверы NPS и HRS необходимо развернуть до начала развертывания удаленного доступа.

    • Если включена VPN, необходим DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам, в случае когда статический пул адресов не используется.

    • Необходим DNS-сервер под управлением Windows Server 2008 SP2, Windows Server 2008 R2 или Windows Server 2012.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

  • Требования к серверу.

    • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

    • Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

    • Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

  • Требования к клиенту удаленного доступа.

    • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.

    • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена. Обратите внимание на следующие рекомендации.

      Рекомендуется создать группу безопасности для каждого домена, включающего компьютеры, которые будут управляться как клиенты DirectAccess.

См. также:

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Тип содержимого

Ссылок

Удаленный доступ на сайте TechNet

Технический центр удаленного доступа

Оценка продукта

Руководство по лаборатории тестирования: демонстрация DirectAccess в кластере с балансировкой сетевой нагрузки Windows

Руководство по лаборатории тестирования: Демонстрация многосайтового развертывания DirectAccess

Руководство по лаборатории тестирования: Демонстрация DirectAccess с проверкой подлинности OTP и RSA SecurID

Диагностика

Документация по диагностике удаленного доступа (при наличии).

Средства и параметры

Командлеты PowerShell удаленного доступа 

Ресурсы сообщества

Блог группы разработки RRAS | Форум TechNet, посвященный удаленному доступу

Статьи о DirectAccess в Википедии

Связанные технологии

Принцип работы IPv6