Управление удаленным доступом

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

В сценарии развертывания управления удаленными клиентами DirectAccess компонент DirectAccess используется для поддержки работы клиентов через Интернет. В этом разделе описывается сценарий, включая этапы, роли, компоненты и ссылки на дополнительные ресурсы.

Примечание. Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа.

Примечание

Помимо этой статьи доступны следующие разделы об управлении удаленным доступом.

Описание сценария

Клиентские компьютеры DirectAccess подключаются к интрасети при каждом подключении к Интернету, независимо от того, выполнил ли пользователь вход в систему компьютера. Ими можно управлять как ресурсами интрасети, обеспечивая соответствие изменениям групповой политики, обновлениям операционной системы, обновлениям решений по защите от вредоносных программ и другим организационным изменениям.

В некоторых случаях серверам или компьютерам интрасети необходимо инициировать подключения к клиентам DirectAccess. Например, сотрудники службы поддержки могут использовать подключения удаленного рабочего стола для соединения с удаленными клиентами DirectAccess и устранения их неполадок. Этот сценарий позволяет обеспечивать подключение пользователей с помощью существующего решения удаленного доступа, используя DirectAccess лишь для удаленного управления.

DirectAccess в Windows Server 2012 обеспечивает конфигурацию, которая поддерживает удаленное управление клиентами DirectAccess. Вы можете использовать параметр мастера развертывания, ограничивающий создание политик лишь теми, которые необходимы для удаленного управления клиентскими компьютерами.

Примечание

В рамках этого развертывания параметры настройки на уровне пользователя, например принудительное туннелирование, интеграция защиты доступа к сети (NAP) и двухфакторная проверка подлинности, становятся недоступными.

Содержание сценария

Далее описываются этапы планирования и настройки сценария развертывания управления удаленными клиентами DirectAccess.

Планирование развертывания

Существует несколько требований к компьютерам и сети для планирования данного сценария, в том числе:

  • Топология сети и серверов. С помощью DirectAccess вы можете поместить сервер удаленного доступа на периферии вашей интрасети либо после устройства преобразования сетевых адресов или брандмауэра.

  • Сервер сетевых расположений DirectAccess. Сервер сетевых расположений используется клиентами DirectAccess, чтобы определить, находятся ли они во внутренней сети. Сервер сетевых расположений можно установить на сервере DirectAccess или на другом сервере.

  • Клиенты DirectAccess. Решите, какие управляемые компьютеры будут настроены как клиенты DirectAccess.

Настройка развертывания

Настройка развертывания состоит из нескольких этапов. К таким средствам относятся следующие.

  1. Настройка инфраструктуры. Настройте параметры DNS, при необходимости включите сервер и клиентские компьютеры в домен и настройте группы безопасности Active Directory.

    В данном сценарии развертывания объекты групповой политики (GPO) создаются автоматически службой удаленного доступа. Сведения о расширенных параметрах GPO сертификата см. в разделе Развертывание одного сервера DirectAccess с расширенными параметрами.

  2. Настройка сервера удаленного доступа и сетевых параметров. Настройте сетевые адаптеры, IP-адреса и маршрутизацию.

  3. Настройка параметров сертификата. В этом сценарии развертывания мастер начальной настройки создает самозаверяющие сертификаты, поэтому не требуется настраивать более сложную инфраструктуру сертификации, которая описывается в статье Развертывание одного сервера DirectAccess с расширенными параметрами.

  4. Настройка сервера сетевых расположений. В данном сценарии сервер сетевых расположений устанавливается на сервере удаленного доступа.

  5. Планирование серверов управления DirectAccess. Администраторы могут удаленно управлять клиентскими компьютерами DirectAccess, размещенными за пределами корпоративной сети, через Интернет. Серверы управления включают компьютеры (например, серверы обновления), которые используются во время управления удаленными клиентами.

  6. Настройка сервера удаленного доступа. Установите роль удаленного доступа и запустите мастер начальной настройки DirectAccess для настройки DirectAccess.

  7. Проверка развертывания. Протестируйте клиенты DirectAccess, чтобы гарантировать, что они могут подключаться к внутренней сети и Интернету с помощью DirectAccess.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа для управления клиентами DirectAccess.

  • Простота доступа. Управляемые клиентские компьютеры на базе Windows 8 и Windows 7 можно настроить в качестве клиентских компьютеров DirectAccess. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess, как только устанавливается подключение Интернету, без необходимости входить в профиль VPN-подключения. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одинаковых мастеров.

  • Простота управления. Администраторы удаленного доступа могут удаленно управлять клиентскими компьютерами DirectAccess, подключенными к Интернету, даже если они находятся за пределами внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Одним или несколькими серверами удаленного доступа можно управлять с одной консоли управления удаленным доступом.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль или компонент

Способ поддержки сценария

Роль удаленного доступа

Эту роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. В эту роль входит как DirectAccess, служивший ранее компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента.

  1. DirectAccess и VPN служб маршрутизации и удаленного доступа (RRAS): управление через консоль удаленного доступа.

  2. RRAS: управление через консоль маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих компонентов:

  • Веб-сервер (IIS). Требуется для настройки сервера сетевых расположений и веб-пробы по умолчанию.

  • Внутренняя база данных Windows. Используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.

  • Он устанавливается как дополнительный компонент на сервере, на котором не выполняется роль удаленного доступа. В этом случае компонент будет использоваться для удаленного управления сервером удаленного доступа.

Эта функция включает в себя следующие компоненты:

  • графический интерфейс пользователя удаленного доступа и программы командной строки;

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0;

  • графические средства управления и инфраструктура.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

Требования к серверу

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012. Дополнительные сведения см. в разделе Установка Windows Server 2012.

  • На сервере должно быть установлено и включено не менее одного сетевого адаптера. Только один адаптер должен быть подключен к внутренней корпоративной сети, и только один — к внешней сети (Интернету).

  • Если в качестве протокола перехода с IPv6 на IPv4 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один сетевой адаптер, в качестве протокола перехода можно использовать только IP-HTTPS.

  • Минимум один контроллер домена. Серверы удаленного доступа и клиенты DirectAccess должны быть членами домена.

  • Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, на сервере необходимо установить центр сертификации (ЦС).

Требования к клиенту

  • Клиентский компьютер должен работать под управлением Windows 8 или Windows 7.

Требования к серверу инфраструктуры и управления

  • Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности. Эти серверы предоставляют службы, которые включают обновления Windows и антивирусных программ и средства проверки клиентов на соответствие требованиям защиты доступа к сети (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

  • Необходим DNS-сервер под управлением Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 или Windows Server 2008 с пакетом обновления 2 (SP2).

Требования к программному обеспечению

Для этого сценария действуют следующие требования к программному обеспечению.

Требования к серверу

  • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

  • Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

  • Администратору, развертывающему сервер удаленного доступа, требуются права локального администратора на сервере и права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы ограничить развертывание DirectAccess только мобильными компьютерами, для создания фильтра WMI необходимы права администратора домена на контроллере домена.

  • Если сервер сетевых расположений находится не на сервере удаленного доступа, для него потребуется отдельный сервер.

Требования к клиенту удаленного доступа:

  • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.

  • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Компьютеры должны входить только в одну группу безопасности, включающую клиентов DirectAccess. Если клиенты включены в несколько групп, разрешение имен для клиентских запросов будет работать некорректно.

См. также:

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Тип содержимого

Ссылок

Удаленный доступ на сайте TechNet

Технический центр удаленного доступа

Оценка продукта

Руководство по лаборатории тестирования: демонстрация DirectAccess в кластере с балансировкой сетевой нагрузки Windows

Руководство по лаборатории тестирования: Демонстрация многосайтового развертывания DirectAccess

Руководство по лаборатории тестирования: Демонстрация DirectAccess с проверкой подлинности OTP и RSA SecurID

Средства и параметры

Командлеты PowerShell удаленного доступа 

Ресурсы сообщества

Блог группы разработки RRAS | Форум TechNet, посвященный удаленному доступу

Статьи о DirectAccess в Википедии

Связанные технологии

Принцип работы IPv6