Развертывание одного сервера DirectAccess с помощью мастера начальной настройки

Применимо к:Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и представлена несложная процедура развертывания DirectAccess.

Сведения о других возможных путях развертывания см. в разделе Развертывания DirectAccess в Windows Server.

Перед началом развертывания рекомендуется ознакомиться со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Следующие разделы содержат предварительные условия и другие сведения, с которыми необходимо ознакомиться перед началом развертывания DirectAccess с Windows Server® 2012 R2 и Windows Server® 2012.

• DirectAccess неподдерживаемые конфигурации

• DirectAccess известные проблемы

• Необходимые условия для развертывания DirectAccess

Описание сценария

В этом сценарии один компьютер под управлением Windows Server 2012 R2 или Windows Server 2012 настраивается как сервер DirectAccess в рамках простой процедуры.

1. В этом простом сценарии DirectAccess с параметрами по умолчанию настраивается с помощью нескольких простых шагов мастера, при этом не нужно настраивать параметры инфраструктуры, такие как центр сертификации (CA) или группы безопасности Active Directory.

2. Сведения о настройке расширенного развертывания с пользовательскими параметрами см. в разделе Развертывание одного сервера DirectAccess с расширенными параметрами.

3. Если вы хотите настроить DirectAccess с корпоративными компонентами, такими как кластер балансировки нагрузки, многосайтовое развертывание или двухфакторная проверка подлинности клиента, выполните описанный в этом разделе сценарий, чтобы настроить отдельный сервер, а затем настройте требуемый корпоративный сценарий, используя сведения из раздела Развертывание удаленного доступа на предприятии.

Содержание сценария

Чтобы настроить простой сервер DirectAccess, требуется несколько шагов планирования и развертывания.

Предварительные условия

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

• Брандмауэр Windows должен быть включен для всех профилей.

• Этот сценарий поддерживается только в том случае, когда клиентские компьютеры работают под управлением Windows® 8.1 и Windows® 8.

• ISATAP в корпоративной сети не поддерживается. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

• Инфраструктура открытых ключей (PKI) не требуется.

• Для развертывания не поддерживается двухфакторная проверка подлинности. Для проверки подлинности требуются учетные данные домена.

• DirectAccess автоматически развертывается на всех мобильных компьютерах в текущем домене.

• Трафик в Интернет не передается по туннелю DirectAccess. Конфигурация принудительного туннелирования не поддерживается.

• Сервер DirectAccess действует как сервер сетевых расположений.

• Защита доступа к сети (NAP) не поддерживается.

• Изменение политик вне консоли управления DirectAccess или командлетов PowerShell не поддерживается.

• Для развертывания многосайтовой конфигурации сейчас или в будущем сначала выполните процедуру Развертывание одного сервера DirectAccess с расширенными параметрами.

Шаги планирования

Планирование разделено на два этапа.

1. Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование до начала развертывания DirectAccess, необходимое для настройки сетевой инфраструктуры. Включает в себя планирование топологий сети и серверов, а также сервера сетевых расположений DirectAccess.

2. Планирование развертывания DirectAccess. На этом этапе описываются шаги планирования, необходимые для подготовки развертывания DirectAccess. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений.

Более подробное описание шагов планирования см. в разделе Планирование расширенного развертывания DirectAccess.

Шаги развертывания

Развертывание разделено на три этапа.

1. Настройка инфраструктуры DirectAccess. Этот этап включает в себя настройку сети и маршрутизации, при необходимости настройку параметров брандмауэра, настройку сертификатов, DNS-серверов, параметров Active Directory и объектов групповой политики, сервера сетевых расположений DirectAccess.

2. Настройка параметров сервера DirectAccess. Этот этап включает в себя действия по настройке клиентских компьютеров DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.

3. Проверка развертывания. Этот этап включает в себя действия для проверки правильной работы развертывания.

Более подробное описание шагов развертывания см. в разделе Установка и настройка базового DirectAccess.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа.

• Легкость доступа. Управляемые клиентские компьютеры с ОС Windows 8.1, Windows 8 и Windows® 7 можно настроить как клиенты DirectAccess. Эти клиенты могут получать доступ к ресурсам внутренней сети через DirectAccess в любое время, когда они находятся в Интернете, без необходимости входа в VPN-подключение. Клиентские компьютеры, использующие другие операционные системы, могут подключаться к внутренней сети с помощью традиционных VPN-подключений.

• Упрощенное управление. Администраторы удаленного доступа могут осуществлять удаленное управление расположенными в Интернете клиентскими компьютерами DirectAccess через DirectAccess даже в том случае, если эти компьютеры находятся за пределами внутренней сети предприятия. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления удаленным доступом можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

• Требования к серверу.

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012 R2 или Windows Server 2012.

  • Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).

  • Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.

• Требования к клиенту.

  • Клиентский компьютер должен работать под управлением Windows 8.1 или Windows 8.

    Важно!

    Если некоторые или все клиентские компьютеры работают под управлением Windows 7, необходимо использовать мастер расширенной настройки. Мастер начальной настройки, описанный в этом документе, не поддерживает клиентские компьютеры под управлением Windows 7. В разделе Развертывание одного сервера DirectAccess с расширенными параметрами приведены инструкции по использованию клиентов Windows 7 с DirectAccess.

    Примечание

    В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows® 8.1 Корпоративная, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Корпоративная и Windows 7 Максимальная.

• Требования к серверу инфраструктуры и управления.

  • Если включена виртуальная частная сеть (VPN) и пул статических IP-адресов не настроен, необходимо развернуть DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам.

• Требуется DNS-сервер, работающий под управлением Windows Server 2008 SP2, Windows Server 2008 R2 или Windows Server 2012.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

• Требования к серверу.

  • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

  • Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

  • Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

• Требования к клиенту удаленного доступа.

  • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом сервера удаленного доступа.

  • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена. В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

См. также:

В следующей таблице перечислены ссылки на дополнительные ресурсы.