Direct access что это в windows 10
DirectAccess
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Этот раздел можно использовать для краткого обзора DirectAccess, включая серверные и клиентские операционные системы, поддерживающие DirectAccess, а также ссылки на дополнительные документы DirectAccess для Windows Server 2016.
Помимо этого раздела, доступна следующая документация по DirectAccess.
DirectAccess позволяет удаленным пользователям подключаться к сетевым ресурсам Организации без необходимости в традиционных подключениях к виртуальной частной сети (VPN). При использовании подключений DirectAccess удаленные клиентские компьютеры всегда подключены к вашей организации. удаленным пользователям не нужно запускать и прекращать подключения, как это необходимо для VPN-подключений. Кроме того, ИТ администраторы могут управлять клиентскими компьютерами DirectAccess, когда они работают и подключены к Интернету.
Не пытайтесь развернуть удаленный доступ на виртуальной машине (ВМ) в Microsoft Azure. использование удаленного доступа в Microsoft Azure не поддерживается. удаленный доступ на виртуальной машине Azure нельзя использовать для развертывания VPN, directaccess или любой другой функции удаленного доступа в Windows Server 2016 или более ранних версиях Windows Server. дополнительные сведения см. в статье поддержка серверного программного обеспечения майкрософт для Microsoft Azure виртуальных машин.
DirectAccess обеспечивает поддержку только для присоединенных к домену клиентов, включающих поддержку операционной системы для DirectAccess.
Следующие серверные операционные системы поддерживают DirectAccess.
все версии Windows Server 2016 можно развернуть в качестве клиента directaccess или сервера directaccess.
все версии Windows Server 2012 R2 можно развернуть в качестве клиента directaccess или сервера directaccess.
все версии Windows Server 2012 можно развернуть в качестве клиента directaccess или сервера directaccess.
вы можете развернуть все версии Windows server 2008 R2 в качестве клиента directaccess или сервера directaccess.
Следующие клиентские операционные системы поддерживают DirectAccess.
Windows 10 Корпоративная
Long Term Servicing Branch Windows 10 Корпоративная 2015 (LTSB)
Предварительные требования для развертывания DirectAccess
— Поддерживается только для клиентов, использующих Windows 10®,
Windows® 8 и Windows® 8,1 Enterprise.
— Инфраструктура открытых ключей не требуется.
— Не поддерживается для развертывания двухфакторной проверки подлинности. Для проверки подлинности требуются учетные данные домена.
— Автоматически развертывает DirectAccess на всех мобильных компьютерах в текущем домене.
— Трафик к Интернету не проходит через DirectAccess. Конфигурация принудительного туннелирования не поддерживается.
— Сервер DirectAccess — это сервер сетевых расположений.
— Защита доступа к сети (NAP) не поддерживается.
-изменение политик с помощью компонента, отличного от консоли управления directaccess, или командлетов Windows PowerShell не поддерживается.
— для многосайтовой конфигурации, сейчас или в будущем, сначала следуйте указаниям в статье развертывание одного сервера directaccess с дополнительными Параметры.
Дополнительные сведения см. в статье руководство по тестированию мини-модуль: базовый PKI для Windows Server 2012.
-Windows брандмауэр должен быть включен для всех профилей.
Следующие серверные операционные системы поддерживают DirectAccess.
— можно развернуть все версии Windows Server 2016 как клиент directaccess или сервер directaccess.
— можно развернуть все версии Windows Server 2012 R2 в качестве клиента directaccess или сервера directaccess.
— можно развернуть все версии Windows Server 2012 как клиент directaccess или сервер directaccess.
— можно развернуть все версии Windows server 2008 R2 в качестве клиента directaccess или сервера directaccess.
Следующие клиентские операционные системы поддерживают DirectAccess.
-Windows 10® Enterprise
-Windows 10® Enterprise 2015 Long Term Servicing Branch (LTSB)
-Windows® 8 и 8,1 Enterprise
-Windows® 7 Ultimate
-Windows® 7 Enterprise
— Конфигурация принудительного туннелирования не поддерживается при проверке подлинности Кербпрокси.
-изменение политик с помощью компонента, отличного от консоли управления directaccess, или командлетов Windows PowerShell не поддерживается.
-Разделение ролей NAT64, DNS64 и IPHTTPS сервера на другом сервере не поддерживается.
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В следующей таблице перечислены предварительные требования, необходимые для использования мастеров настройки для развертывания DirectAccess.
Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория
Microsoft DirectAccess 2012
Описание ключевых используемых технологий начну с Microsoft DirectAccess, так как она будет основным компонентом создаваемой системы мобильного удаленного доступа к корпоративной среде. Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.
Технология DirectAccess впервые была представлена в качестве компонента Micrisoft Windows Server 2008 R2 и предназначалась для организации прозрачного доступа удаленных компьютеров к внутренним ресурсам сети компании. DirectAccess позволяет удаленным пользователям полноценно использовать ресурсы корпоративной сети и пользоваться сервисами домена.
Также, технология DirectAccess позволяет сотрудникам различных технических подразделений (Help Desk, администраторы ИТ и ИБ), управлять учетными записями удаленных пользователей, компонентами антивирусной защиты, локальными политиками безопасности, осуществлять мониторинг своевременной установки обновлений операционной системы и прикладных программ. Это позволяет поддерживать удаленную систему в актуальном с точки зрения информационной безопасности состоянии.
По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети, но разница есть, и довольно существенна. DirectAccess на базе Windows Server 2012 делает отличия между компьютерами внутренней корпоративной сети и компьютерами удаленных клиентов менее заметными.
Ниже приведу сравнение нового DirectAccess с технологией VPN.
Клиент DirectAccess устанавливает два туннеля, которые являются ключом к разносторонности этого метода дистанционного доступа. Это туннели IPsec ESP — полезная нагрузка со встроенной защитой, которые аутентифицируются и шифруются для обеспечения конфиденциальности.
Туннель компьютера устанавливается первым, когда запускается клиент DirectAccess. Этот туннель аутентифицируется только сертификатом компьютера и обеспечивает доступ к DNS интрасети и контроллерам доменов. Этот туннель также используется для загрузки групповой политики компьютера и запроса аутентификации пользователя.
Туннель пользователя аутентифицируется сертификатом компьютера и регистрационными данными пользователя и обеспечивает доступ к ресурсам интрасети. Этот туннель также применяется для загрузки групповой политики пользователей.
Оба эти туннеля устанавливаются прозрачно для пользователя. Для установки дистанционного доступа пользователю не нужно вводить регистрационную информацию помимо той, что он вводит при входе в Windows.
Существует три модели работы DirectAccess:
Одним из преимуществ DirectAccess является способность отделять трафик интрасети от трафика сети Интернет, что положительно сказывается на пропускной способности корпоративной сети. Однако, в некоторых случаях, администраторы могут направлять весь трафик через соединение DirectAccess. Например, для полного контроля Интернет трафика удаленного пользователя.
Рассмотрим процесс подключения клиента к серверу DirectAccess.
Компьютер становится клиентом DirectAccess после применения к нему групповых политик, передающих ему настройки для подключения через DA. Групповые политики создаются на этапе конфигурирования сервера DirectAccess и распространяются на группы безопасности в Active Directory.
Находясь вне корпоративной сети, клиент использует внешние DNS-серверы (местного интернет провайдера), на которых не указано, как преобразовывать имя NLS сервера. Если NLS сервер обнаружен, клиент работает в сети как обычная рабочая станция, то есть IPsec не применяется.
В случае, когда клиент находится вне корпоративной сети, при попытке установить соединение с сервером NLS по DNS-имени, которое добавлено в исключения NRPT, клиент обращается к DNS-серверам, указанным в настройках сетевого адаптера. Так как при этом используются DNS-сервера Интернет-провайдера, на которых не прописано правило преобразования DNS-имени NLS сервера, клиент получает отказ в разрешении имени. Получив отказ от DNS сервера, клиентский компьютер применяет политики IPsec и обращается к серверу DirectAccess по его DNS-имени, которое должно быть прописано во внешней зоне корпоративного домена.
Клиент DirectAccess устанавливает туннель на сервер DirectAccess, используя IPv6. Если между ними находится сеть IPv4, то клиент использует протокол Teredo или 6to4 для инкапсуляции IPv6 в IPv4, либо попытается подключиться с помощью протокола IP-HTTPS. Установив связь, клиент и сервер DirectAccess выполняют взаимную аутентификацию в процессе установки туннеля компьютера IPsec. Далее клиент DirectAccess подключается к контроллеру домена для получения групповых политик.
Далее пользователь DirectAccess входит в систему либо применяет регистрационные данные уже вошедшего пользователя в сочетании с сертификатами, чтобы установить туннель пользователя IPsec. Групповая политика пользователя применяется к клиенту DirectAccess. Сервер DirectAccess начинает пересылать трафик от клиента DirectAccess на авторизованные ресурсы интрасети.
Windows To Go
В связи с тем, что для DirectAccess необходимо, чтобы компьютер клиента был включен в корпоративный домен, этот вариант не подходит пользователям, использующим личные компьютеры. Но есть технология, Windows To Go применение которой позволит использовать DirectAccess на любом компьютере, отвечающим минимальным требованиям запуска Windows 8 и подключенном к Интернет.
Технология Windows To Go – одна из новых возможностей Windows 8, позволяющая создать должным образом сконфигурированный образ ОС с установленным необходимым ПО, который будет загружаться непосредственно с USB-носителя вне зависимости от того, какая ОС установлена на компьютере.
Различия между Windows To Go и типовой установкой Windows:
Существует список сертифицированных для использования с WTG USB-носителей:
При выборе компьютера для использования в качестве узла рабочего пространства Windows To Go, необходимо учитывать следующие критерии:
Существует три способа развертывания WTG:
Данный файл можно получить несколькими способами:
BitLocker
В случае применения Windows To Go шифрование отчуждаемого носителя, используя технологию BitLocker Drive Encryption, считаю обязательным требованием, так как на диске может быть записана конфиденциальная информация, содержащая данные, которые можно отнести к коммерческой тайне или к персональным данные партнеров, сотрудников или клиентов компании, BitLocker (полное название BitLocker Drive Encryption) – технология защиты данных путём полного шифрования диска, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 При помощи BitLocker можно зашифровать Логический диск, SD карту или USB-носитель. При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.
Сам ключ может храниться на USB-носителе, в аппаратном модуле TPM или на жестком диске.
Для получения ключа из TPM, может быть настроен дополнительный способ аутентификации пользователя при помощи USB-ключа и/или пароля.
В случае, если доверенный платформенный модуль отсутствует на используемой материнской плате, либо если в качестве загрузки и объекта шифрования будет использоваться USB-носитель с Windows To Go, ключ шифрования необходимо хранить на внешнем USB-носителе либо вместо ключа шифрования можно будет использовать пароль. Для того чтобы настроить доступ к зашифрованному носителю по USB-носителю либо по паролю, необходимо внести изменения в локальные групповые политики.
Заключение
В результате рассмотренной комбинации технологий DirectAccess, Windows To Go и BitLocker мы получаем решение, которые позволит:
В следующей главе я опишу практическую реализацию, описанной выше системы удаленного доступа.
Шаг 1. Настройка инфраструктуры DirectAccess
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе описывается настройка необходимой инфраструктуры для создания DirectAccess в уже развернутой сети VPN. Перед началом развертывания убедитесь, что выполнены шаги по планированию, описанные в разделе Шаг 1. Планирование инфраструктуры DirectAccess.
| Задача | Описание |
|---|---|
| Настройка сетевых параметров сервера | Настройте сетевые параметры на сервере удаленного доступа. |
| Настройте маршрутизацию в корпоративной сети | Для правильного направления трафика следует настроить маршрутизацию в корпоративной сети. |
| Настройка брандмауэров | При необходимости настройте дополнительные брандмауэры. |
| Настройка центров сертификации и сертификатов | Мастер включения DirectAccess настраивает встроенный прокси-сервер Kerberos, который выполняет проверку подлинности с использованием имен пользователей и паролей. а также настраивает сертификат IP-HTTPS на сервере удаленного доступа. |
| Настройка DNS-сервера | Настройте параметры DNS для сервера удаленного доступа. |
| Настройка Active Directory | Включите клиентские компьютеры в домен Active Directory. |
| Настройка объектов групповой политики | Если необходимо, настройте объекты групповой политики для развертывания. |
| Настройка групп безопасности | Настройте группы безопасности, включающие компьютеры клиентов DirectAccess, а также любые другие группы безопасности, необходимые для развертывания. |
| Настройка сервера сетевых расположений | Мастер установки DirectAccess позволяет настроить сервер сетевых расположений на сервере DirectAccess. |
Настройка сетевых параметров сервера
Для развертывания одиночного сервера в среде, работающей на основе IPv4 и IPv6, необходимо выполнить следующие настройки сетевого интерфейса: Для настройки всех IP-адресов используется пункт Изменение параметров адаптера в разделе Центр управления сетями и общим доступом Windows.
Один направленный в Интернет IPv4- или IPv6-адрес.
Один внутренний статический IPv4- или IPv6-адрес.
За устройством NAT (два сетевых адаптера)
За устройством NAT (один сетевой адаптер)
Если сервер удаленного доступа оснащен двумя сетевыми адаптерами (один указан в доменном профиле, а другой — в публичном или частном), но планируется использование топологии с одной сетевой картой, следует выполнить следующие действия:
Рекомендуется убедиться, что вторая сетевая карта также указана в доменном профиле.
Если вторая сетевая карта по какой-либо причине не может быть настроена для доменного профиля, следует вручную установить область действия политик IPsec DirectAccess для всех профилей с помощью следующих команд Windows PowerShell:
Настройте маршрутизацию в корпоративной сети
Настройте маршрутизацию в корпоративной сети следующим образом.
Если в организации развернута собственная инфраструктура на основе IPv6, следует добавить маршрут, позволяющий маршрутизаторам, расположенным во внутренней сети, возвращать трафик IPv6 через сервер удаленного доступа.
Вручную настройте маршруты IPv4 и IPv6 на серверах удаленного доступа. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 организации (/48) пересылался во внутреннюю сеть Кроме того, следует добавить подробные маршруты для направления IPv4-трафика во внутреннюю сеть.
Настройка брандмауэров
Если вы используете при развертывании дополнительные брандмауэры, примените следующие исключения для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv4:
трафик 6to4 — IP-протокол 41, входящий и исходящий.
Протокол IP-HTTPS — порт назначения TCP 443 и порт источника TCP 443 исходящие. Когда сервер удаленного доступа имеет один сетевой адаптер, а сервер сетевых расположений находится на сервере удаленного доступа, тогда также требуется TCP-порт 62000.
Если вы используете дополнительные брандмауэры, примените следующие исключения брандмауэра для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv6:
UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.
При использовании дополнительных брандмауэров применяйте следующие исключения внутреннего сетевого брандмауэра для трафика удаленного доступа:
ISATAP-Protocol 41. входящий и исходящий трафик
Протоколы TCP/UDP для всех типов трафика IPv4/IPv6
Настройка центров сертификации и сертификатов
Мастер включения DirectAccess настраивает встроенный прокси-сервер Kerberos, который выполняет проверку подлинности с использованием имен пользователей и паролей. а также настраивает сертификат IP-HTTPS на сервере удаленного доступа.
Настройка шаблонов сертификатов
Если для выдачи сертификатов используется внутренний ЦС, необходимо настроить шаблон для сертификата IP-HTTPS и сертификата веб-сайта сервера сетевых расположений.
Настройка шаблона сертификата
Во внутреннем центре сертификации создайте шаблон сертификата, как описано в разделе Создание шаблонов сертификатов.
Разверните шаблон сертификата, как описано в разделе Развертывание шаблонов сертификатов.
Настройка сертификата IP-HTTPS
Для проверки подлинности подключений IP-HTTPS к серверу удаленного доступа необходим сертификат IP-HTTPS. Возможны три варианта сертификата IP-HTTPS:
Общедоступная, предоставляемая сторонней стороной.
Сертификат используется для проверки подлинности IP-HTTPS. Если имя субъекта для сертификата не является подстановочным, это должен быть URL-адрес с полным доменным именем и возможностью внешнего разрешения, используемый только для подключений IP-HTTPS сервера удаленного доступа.
Частный. следующие обязательные условия, если они еще не существуют:
Сертификат веб-сайта для проверки подлинности IP-HTTPS. Субъектом сертификата должно быть полное доменное имя с возможностью внешнего разрешения, доступное из Интернета.
Точка распространения списка отзыва сертификатов (CRL), доступная через Интернет.
Самозаверяющий— следующие обязательные требования, если они еще не существуют:
Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.
Сертификат веб-сайта для проверки подлинности IP-HTTPS. Субъектом сертификата должно быть полное доменное имя с возможностью внешнего разрешения, доступное из Интернета.
Точка распространения списка отзыва сертификатов (CRL), доступная через Интернет.
Убедитесь, что сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS, отвечает следующим требованиям:
Общее имя сертификата должно совпадать с именем узла IP-HTTPS.
В соответствующем поле укажите IPv4-адрес интернет-адаптера сервера удаленного доступа или полное доменное имя для URL IP-HTTPS.
В поле «Улучшенное использование ключа» используйте идентификатор объекта проверки подлинности сервера.
В поле «Точки распространения списков отзыва (CRL)» укажите точку распространения списков отзыва сертификатов, доступную клиентам удаленного доступа, подключенным к Интернету.
У сертификата IP-HTTPS должен быть закрытый ключ.
Сертификат IP-HTTPS необходимо импортировать непосредственно в личное хранилище сертификатов.
В именах сертификатов IP-HTTPS может содержаться подстановочный знак.
Установка сертификата IP-HTTPS из внутреннего ЦС
На сервере удаленного доступа: на начальном экране введитеmmc.exeи нажмите клавишу ВВОД.
В консоли MMC в меню Файл выберите Добавить или удалить оснастку.
В диалоговом окне Добавить или удалить оснастку щелкните Сертификаты, после чего нажмите Добавить, выберите Учетная запись компьютера, щелкните Далее, нажмите Локальный компьютер, щелкните Готово, а затем — OK.
В дереве консоли оснастки «Сертификаты» откройте раздел Сертификаты (локальный компьютер)\Личные\Сертификаты.
Щелкните правой кнопкой Сертификаты, наведите указатель на элемент Все задачи, а затем щелкните Запрос нового сертификата.
Щелкните дважды Далее.
На странице запрос сертификатов установите флажок для шаблона сертификата и при необходимости щелкните Дополнительные сведения для регистрации этого сертификата.
В диалоговом окне Свойства сертификата на вкладке Субъект выберите для параметра Имя субъекта в списке Тип значениеОбычное имя.
В поле Значение укажите IPv4-адрес интернет-адаптера сервера удаленного доступа или полное доменное имя для URL IP-HTTPS, после чего щелкните Добавить.
В области Альтернативное имя в поле Тип выберите DNS.
В поле Значение укажите IPv4-адрес интернет-адаптера сервера удаленного доступа или полное доменное имя для URL IP-HTTPS, после чего щелкните Добавить.
На вкладке Общие в поле Понятное имя можно ввести имя, которое упростит идентификацию сертификатов.
Во вкладке Расширения щелкните стрелку рядом со строкой Расширенное использование ключа и убедитесь, что проверка подлинности сервера занесена в список Выбранные параметры.
Нажмите кнопку OK, щелкните Зарегистрировать и нажмите кнопку Готово.
В области сведений оснастки «Сертификаты» убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.
Настройка DNS-сервера
Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.
Создание сервера сетевых расположений DNS-записей веб-пробы
На DNS-сервере внутренней сети: на начальном экране введите * * днсмгмт. msc * * и нажмите клавишу ВВОД.
В левой области консоли Диспетчер DNS разверните зону прямого просмотра для вашего домена. Щелкните правой кнопкой мыши по домену и выберите Новый узел (A или AAAA).
В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-сайта сервера сетевых расположений (это имя используется клиентами DirectAccess для подключения к серверу сетевых расположений). В поле IP-адрес укажите IPv4-адрес сервера сетевых расположений и нажмите Добавить узел. В диалоговом окне DNS щелкните OK.
В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-пробы (имя веб-пробы по умолчанию: directaccess-webprobehost). В поле IP-адрес укажите IPv4-адрес веб-пробы и щелкните Добавить узел. Повторите этот процесс для имени directaccess-corpconnectivityhost и любых средств проверки подключения, созданных вручную. В диалоговом окне DNS щелкните OK.
Нажмите кнопку Done(Готово).
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Также следует настроить записи DNS для следующих компонентов:
Сервер IP-HTTPS— клиенты DirectAccess должны иметь возможность разрешить DNS-имя сервера удаленного доступа из Интернета.
Проверка отзыва списка отзыва сертификатов. DirectAccess использует проверку отзыва сертификатов для подключения IP-HTTPS между клиентами DirectAccess и сервером удаленного доступа, а также для подключения на основе протокола HTTPS между клиентом DirectAccess и сервером сетевого расположения. В обоих случаях у клиентов DirectAccess должна быть возможность разрешения расположения точки распространения CRL и доступа к ней.
Настройка Active Directory
Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:
Домены, принадлежащие к одному лесу с сервером удаленного доступа.
Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.
Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.
Присоединение клиентских компьютеров к домену
На начальном экране введите explorer.exeи нажмите клавишу ВВОД.
Щелкните правой кнопкой значок компьютера и выберите Свойства.
На странице Система щелкните Дополнительные параметры системы.
В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.
В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.
При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.
При появлении диалогового окна с приветствием домена нажмите кнопку «OK».
При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
В диалоговом окне Свойства системы нажмите кнопку «Закрыть». Щелкните Перезагрузить сейчас, когда появится сообщение о необходимости перезагрузки.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Обратите внимание, что после введения команды «Добавить компьютер» необходимо ввести учетные данные домена.
Настройка объектов групповой политики
Для развертывания удаленного доступа требуется как минимум два объекта групповая политика: один объект групповая политика содержит параметры для сервера удаленного доступа, а второй — параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает необходимые групповая политика объекты. Однако если ваша организация применяет Соглашение об именовании или у вас нет необходимых разрешений для создания или изменения объектов групповая политика, они должны быть созданы перед настройкой удаленного доступа.
Сведения о создании групповая политика объектов см. в разделе Создание и изменение объекта Групповая политика.
Администратор может вручную связать объекты групповая политика DirectAccess с подразделением, выполнив следующие действия:
Если групповая политика объект был создан вручную, то во время настройки DirectAccess возможно, что объект групповая политика будет недоступен. Возможно, объект групповая политика не был реплицирован на ближайший контроллер домена на компьютер управления. В этом случае администратор может дождаться завершения репликации или выполнить принудительную репликацию.
Настройка групп безопасности
Параметры DirectAccess, содержащиеся в объекте групповая политика клиентского компьютера, применяются только к компьютерам, входящим в группы безопасности, указанные при настройке удаленного доступа. Кроме того, если вы используете группы безопасности для управления серверами приложений, необходимо создать группу безопасности для этих серверов.
Создание группы безопасности для клиентов DirectAccess
На начальном экране введитеDSA. mscи нажмите клавишу ВВОД. В консоли Active Directory — пользователи и компьютеры разверните в левой области домен, к которому будет принадлежать группа безопасности, щелкните правой кнопкой мыши Пользователи, выберите Новые, после чего щелкните Группа.
В диалоговом окне Создать объект — Группа в поле Имя группы укажите имя группы безопасности.
Параметру Область действия группы присвойте значение Глобальная, параметру Тип группы — значение Безопасность, после чего нажмите OK.
Дважды щелкните по группе безопасности, в которую входят компьютеры клиентов DirectAccess, и в диалоговом окне со свойствами откройте вкладку Члены.
На вкладке Члены группы щелкните Добавить.
В диалоговом окне Выбор пользователей, контактов, компьютеров, учетных записей служб или групп выберите клиентские компьютеры, для которых хотите установить DirectAccess, после чего щелкните OK.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Настройка сервера сетевых расположений
В качестве сервера сетевых расположений должен использоваться сервер с высокой доступностью и действительным сертификатом SSL, доверенным для клиентов DirectAccess. Для сервера сетевых расположений можно использовать один из следующих типов сертификатов:
Частный. следующие обязательные условия, если они еще не существуют:
Сертификат веб-сайта, используемый для сервера сетевых расположений. Субъектом этого сертификата должен быть URL-адрес сервера сетевых расположений.
Точка распределения списка отзыва сертификатов полностью доступна из внутренней сети.
Самозаверяющий— следующие обязательные требования, если они еще не существуют:
Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.
Если в качестве сервера сетевых расположений назначен сервер удаленного доступа, веб-сайт будет создан автоматически при настройке удаленного доступа, связанного с предоставляемым вами сертификатом сервера.
Установка сертификата сервера сетевых расположений из внутреннего ЦС
На сервере, где будет размещаться веб-сайт сервера сетевого расположения: на начальном экране введитеmmc.exeи нажмите клавишу ВВОД.
В консоли MMC в меню Файл выберите Добавить или удалить оснастку.
В диалоговом окне Добавить или удалить оснастку щелкните Сертификаты, после чего нажмите Добавить, выберите Учетная запись компьютера, щелкните Далее, нажмите Локальный компьютер, щелкните Готово, а затем — OK.
В дереве консоли оснастки «Сертификаты» откройте раздел Сертификаты (локальный компьютер)\Личные\Сертификаты.
Щелкните правой кнопкой Сертификаты, наведите указатель на элемент Все задачи, а затем щелкните Запрос нового сертификата.
Щелкните дважды Далее.
На странице запрос сертификатов установите флажок для шаблона сертификата и при необходимости щелкните Дополнительные сведения для регистрации этого сертификата.
В диалоговом окне Свойства сертификата на вкладке Субъект выберите для параметра Имя субъекта в списке Тип значениеОбычное имя.
В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.
В области Альтернативное имя в поле Тип выберите DNS.
В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.
На вкладке Общие в поле Понятное имя можно ввести имя, которое упростит идентификацию сертификатов.
Нажмите кнопку OK, щелкните Зарегистрировать и нажмите кнопку Готово.
В области сведений оснастки «Сертификаты» убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.