Share via

Добавление DirectAccess в существующее развертывание удаленного доступа (VPN)

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

Примечание. Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа. 

В этом разделе представлена общая информация о мастере установки удаленного доступа и DirectAccess, который после предварительного создания виртуальной частной сети (VPN) используется для настройки одиночного сервера удаленного доступа с рекомендованными настройками.

Комплект документации по развертыванию удаленного доступа (DirectAccess) в Windows Server 2012

Далее приводится список разделов, которые вы можете использовать для развертки одной из трех основных конфигураций удаленного доступа:

  • базовой;

  • Дополнительно

  • Enterprise

Разделы, связанные с управлением и переносом удаленного доступа, включенные в этот выпуск, также приводятся.

Перед началом развертывания рекомендуется ознакомиться со следующими разделами:

Развертывание базового удаленного доступа

Развертывание расширенного удаленного доступа

Развертывание удаленного доступа на предприятии

Управление удаленным доступом

Перенос удаленного доступа

Описание сценария

В этом сценарии описывается настройка компьютера на базе Windows Server 2012 в качестве сервера удаленного доступа с рекомендованными параметрами. Установка и настройка VPN были выполнены предварительно. Если вы хотите настроить удаленный доступ с корпоративными компонентами, такими как кластер балансировки нагрузки, многосайтовое развертывание или двухфакторная проверка подлинности клиента, выполните описанный в этом разделе сценарий, чтобы настроить отдельный сервер, а затем настройте корпоративный сценарий, используя раздел Развертывание удаленного доступа на предприятии.

Содержание сценария

Чтобы настроить одиночный сервер удаленного доступа, требуется подробно спланировать действия и выполнить развертывание.

Шаги планирования

Планирование разделено на два этапа.

  1. Планирование инфраструктуры удаленного доступа

    Перед началом развертывания удаленного доступа вам следует спланировать действия для настройки инфраструктуры сети. Требуется определить топологию сети и серверов, используемые сертификаты, систему доменных имен (DNS), Active Directory, конфигурацию объектов групповой политики (GPO), а также сервер сетевых расположений DirectAccess.

  2. Планирование развертывания удаленного доступа

    На этом этапе вам следует спланировать действия, необходимые для подготовки к развертыванию удаленного доступа. Необходимо продумать, какие клиентские компьютеры и серверы будут использоваться для удаленного доступа, а также определить требования к проверке подлинности и используемые серверы инфраструктуры.

Шаги развертывания

Развертывание разделено на три этапа.

  1. Настройка инфраструктуры удаленного доступа

    На этом этапе вам следует настроить сеть и маршрутизацию, а также брандмауэр (при необходимости), сертификаты, DNS-серверы, Active Directory, объекты групповой политики и сервер сетевых расположений DirectAccess.

  2. Установите параметры сервера удаленного доступа

    На этом этапе вам следует настроить компьютеры клиентов удаленного доступа, сервер удаленного доступа, а также серверы инфраструктуры.

  3. Проверка развертывания

    На этом этапе вам следует проверить, работает ли развернутая конфигурация должным образом.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа.

  • Легкость доступа

    Управляемые клиентские компьютеры под управлением Windows 8 и Windows 7 можно настроить как клиентские компьютеры DirectAccess. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess, как только устанавливается подключение Интернету, без необходимости входить в профиль VPN-подключения. Клиенты, использующие другие ОС, могут подключится к внутренней сети с помощью VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одинаковых мастеров.

  • Легкость управления

    С помощью DirectAccess администраторы удаленного доступа могут удаленно управлять компьютерами клиентов DirectAccess, имеющими доступ в Интернет, даже если они находятся за пределами внутренней сети корпорации. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям.

Роли и компоненты, необходимые для данного сценария

В следующей таблице перечислены роли и компоненты, необходимые для данного сценария.

Роль/компонент

Способ поддержки сценария

Роль удаленного доступа

Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. В эту роль входит как DirectAccess, служивший ранее компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента.

  1. DirectAccess и VPN служб маршрутизации и удаленного доступа (RRAS): управление через консоль удаленного доступа.

  2. Маршрутизация RRAS: управление через консоль маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих компонентов сервера:

  • Веб-сервер Internet Information Services (IIS): требуется для настройки сервера удаленного доступа в качестве сервера сетевых расположений, а также веб-пробы по умолчанию.

  • Внутренняя база данных Windows: Используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • По умолчанию на сервер удаленного доступа при установке роли удаленного доступа. Поддерживает пользовательский интерфейс консоли удаленного доступа и командлеты Windows PowerShell.

  • При желании можно установить на сервере, не использующем роль удаленного доступа. В этом случае компонент будет использоваться для удаленного администрирования компьютера, имеющего удаленный доступ, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

  • Графический пользовательский интерфейс удаленного доступа

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0;

  • графические средства управления и инфраструктура.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

Требования к серверу 

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012.

  • Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. Если используются два адаптера, один из них должен быть подключен к внутренней сети предприятия, а другой — к внешней (Интернету).

  • Если в качестве протокола перехода с IPv4 на IPv6 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Мастер установки DirectAccess не включает Teredo, даже при наличии двух последовательных IP-адресов. Сведения о включении Teredo см. в статье Развертывание одного сервера DirectAccess с расширенными параметрами. Если доступен только один IP-адрес, в качестве протокола перехода можно использовать только IP-HTTPS.

  • Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.

  • Мастеру установки DirectAccess требуются сертификаты для IP-HTTPS и сервера сетевых расположений. Если SSTP VPN уже использует сертификат, то он назначается для IP-HTTPS. Если конфигурация SSTP VPN не настроена, вы можете назначить сертификат для IP-HTTPS или использовать создающийся автоматически самозаверяющий сертификат. Для сервера сетевых расположений вы также можете назначить новый либо использовать самозаверяющий сертификат.

Требования к клиенту

  • Клиентский компьютер должен работать под управлением Windows 8 или Windows 7.

    Примечание

    В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

Требования к серверу инфраструктуры и управления

  • Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например с контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности для служб, которые включают обновления Windows, антивирусной программы и соответствие клиента требованиям защиты доступа к сети (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

  • Если для удаленного доступа требуется соответствие клиента требованиям NAP, серверы NPS и HRS необходимо развернуть до начала развертывания удаленного доступа.

  • Необходим DNS-сервер под управлением Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2).

Требования к программному обеспечению

Для этого сценария действуют следующие требования к программному обеспечению.

Требования к серверу

  • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

  • Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

  • Пользователю, развертывающему удаленный доступ на сервере, требуются права администратора или пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

Требования к клиенту удаленного доступа:

  • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.

  • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам (совместимыми с DirectAccess) в группе безопасности компьютеров домена. В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

    Примечание

    Рекомендуется создать группу безопасности для каждого домена, включающего компьютеры, которые будут управляться как клиенты DirectAccess.

См. также:

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Тип содержимого

Ссылок

Удаленный доступ на сайте TechNet

Технический центр удаленного доступа

Оценка продукта

Демонстрация DirectAccess в кластере с NLB

Демонстрация многосайтового развертывания DirectAccess

Демонстрация многосайтового развертывания DirectAccess

Развертывание

Удаленный доступ

Средства и параметры

Командлеты PowerShell удаленного доступа 

Ресурсы сообщества

Связанные технологии

Принцип работы IPv6