Развертывание одного сервера DirectAccess с помощью мастера начальной настройки

2023-04-29
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Внимание

Корпорация Майкрософт настоятельно рекомендует использовать VPN AlwaysOn вместо DirectAccess для новых развертываний. Дополнительные сведения см. в разделе Always on VPN.

В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и представлена несложная процедура развертывания DirectAccess.

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Перед развертыванием DirectAccess можно использовать следующие разделы, чтобы просмотреть предварительные требования и другие сведения.

Описание сценария

В этом сценарии компьютер Windows Server настраивается как сервер DirectAccess с параметрами по умолчанию. Для настройки требуется только несколько простых шагов мастера, без необходимости настраивать параметры инфраструктуры, такие как центр сертификации (ЦС) или группы безопасности Active Directory.

Примечание.

Если вы хотите настроить расширенное развертывание с пользовательскими параметрами, ознакомьтесь с разделом Deploy a Single DirectAccess Server with Advanced Settings.

В этом сценарии

Чтобы настроить базовый сервер DirectAccess, необходимо выполнить несколько шагов планирования и развертывания.

Предварительные требования

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

Брандмауэр Windows должен быть включен для всех профилей.
Этот сценарий поддерживается только в том случае, если клиентские компьютеры работают под управлением Windows 10, Windows 8.1 или Windows 8.
ISATAP в корпоративной сети не поддерживается. Если вы используете ISATAP, удалите его и используйте собственный IPv6.
Инфраструктура открытого ключа не требуется.
Для развертывания не поддерживается двухфакторная проверка подлинности. Для проверки подлинности требуются учетные данные домена.
DirectAccess автоматически развертывается на всех мобильных компьютерах в текущем домене.
Трафик в Интернет не проходит через туннель DirectAccess. Настройка принудительного туннеля не поддерживается.
Сервер DirectAccess действует как сервер сетевых расположений.
Защита доступа к сети (NAP) не поддерживается.
Изменение политик за пределами консоль управления DirectAccess или командлетов PowerShell не поддерживается.
Чтобы развернуть мультисайт, теперь или в будущем сначала разверните один сервер DirectAccess с дополнительными параметрами.

Шаги планирования

Планирование разделено на два этапа.

Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование, необходимое для настройки сетевой инфраструктуры перед началом развертывания DirectAccess. Планирование включает в себя проектирование топологии сети и сервера и сервера сетевого расположения DirectAccess.
Планирование развертывания DirectAccess. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. Он включает в себя планирование клиентских компьютеров DirectAccess, требований к проверке подлинности серверов и клиентов, параметров VPN, серверов инфраструктуры, серверов управления и серверов приложений.

Подробные инструкции по планированию см. в разделе "Планирование расширенного развертывания DirectAccess".

Шаги развертывания

Развертывание разделено на три этапа.

Настройка инфраструктуры DirectAccess. Этот этап включает настройку следующих компонентов:

Сеть и маршрутизация
Параметры брандмауэра (при необходимости)
Сертификаты
Серверы DNS
Параметры Active Directory и групповой политики
Сервер сетевого расположения DirectAccess

Настройка параметров сервера DirectAccess. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.
Проверка развертывания. На этом этапе содержатся шаги, чтобы убедиться, что развертывание работает должным образом.

Более подробное описание шагов развертывания см. в разделе Install and Configure Basic DirectAccess.

Практическое применение

Развертывание одного сервера удаленного доступа обеспечивает следующие преимущества:

Простота доступа. Управляемые клиентские компьютеры под управлением Windows 10, Windows 8.1, Windows 8 или Windows 7 можно настроить как клиенты DirectAccess. Эти клиенты могут получать доступ к внутренним сетевым ресурсам через DirectAccess в любое время, когда они находятся в Интернете, не требуя входа в VPN-подключение. Клиентские компьютеры, не работающие под управлением одной из этих операционных систем, могут подключаться к внутренней сети с помощью традиционных VPN-подключений.
Простота управления. Клиентские компьютеры DirectAccess, расположенные в Интернете, можно удаленно управлять администраторами удаленного доступа через DirectAccess, даже если клиентские компьютеры не находятся во внутренней корпоративной сети. Клиентские компьютеры, которые не соответствуют корпоративным требованиям, могут быть автоматически исправлены серверами управления. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления удаленным доступом можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент	Способ поддержки сценария
Роль удаленного доступа	Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. Эта роль охватывает DirectAccess, службы маршрутизации и удаленного доступа. Роль удаленного доступа включает два компонента. 1. DirectAccess и службы VPN маршрутизации и удаленного доступа (RRAS). DirectAccess и VPN управляются вместе в консоли управления удаленным доступом. 2. Маршрутизация RRAS. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа. Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера: — веб-сервер IIS — эта функция необходима для настройки сетевого расположения на сервере удаленного доступа и стандартного веб-теста. - внутренняя база данных Windows. Используется для локального учета на сервере удаленного доступа.
Средства управления удаленным доступом	Этот компонент устанавливается описанным ниже образом. — Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell. — Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае он используется для удаленного управления компьютером удаленного доступа под управлением DirectAccess и VPN. Функция средств удаленного управления доступом состоит из следующих компонентов: — графический интерфейс удаленного доступа — модуль удаленного доступа для Windows PowerShell Зависимости включают следующее: — консоль управления групповыми политиками — комплект администрирования для диспетчера подключений RAS (CMAK) — Windows PowerShell 3.0 — графические средства управления и инфраструктура

Роль/компонент

Способ поддержки сценария

Роль удаленного доступа

Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. Эта роль охватывает DirectAccess, службы маршрутизации и удаленного доступа. Роль удаленного доступа включает два компонента.

1. DirectAccess и службы VPN маршрутизации и удаленного доступа (RRAS). DirectAccess и VPN управляются вместе в консоли управления удаленным доступом.
2. Маршрутизация RRAS. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера:

— веб-сервер IIS — эта функция необходима для настройки сетевого расположения на сервере удаленного доступа и стандартного веб-теста.
- внутренняя база данных Windows. Используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

— Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell.
— Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае он используется для удаленного управления компьютером удаленного доступа под управлением DirectAccess и VPN.

Функция средств удаленного управления доступом состоит из следующих компонентов:

— графический интерфейс удаленного доступа
— модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

— консоль управления групповыми политиками
— комплект администрирования для диспетчера подключений RAS (CMAK)
— Windows PowerShell 3.0
— графические средства управления и инфраструктура

Требования к аппаратному обеспечению

Для этого сценария действуют следующие требования к оборудованию.

Требования к серверу.
- Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.
- Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).
- Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.
Требования к клиенту.
- Клиентский компьютер должен работать под управлением Windows 10, Windows 8.1 или Windows 8.
  
  Внимание
  
  Если некоторые или все клиентские компьютеры работают под управлением Windows 7, необходимо использовать мастер расширенной установки. Мастер установки начала работы, описанный в этом документе, не поддерживает клиентские компьютеры под управлением Windows 7. Инструкции по использованию клиентов Windows 7 с DirectAccess см. в статье "Развертывание одного сервера DirectAccess с дополнительными параметрами ".
  
  Примечание.
  
  В качестве клиентов DirectAccess можно использовать только следующие операционные системы: Windows 10 Корпоративная, Windows 8.1 Корпоративная, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Корпоративная, Windows Server 2008 R2, Windows 7 Корпоративная и Windows 7 Максимальная.
Требования к серверу инфраструктуры и управления.
- Если VPN включен и пул статических IP-адресов не настроен, необходимо развернуть DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам.
Dns-сервер под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2 требуется.

Требования к программному обеспечению

Ниже приведены требования для этого сценария:

Требования к серверу.
- Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.
- Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.
- Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются разрешения для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.
Требования к клиенту удаленного доступа.
- Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать тому же лесу, что и сервер удаленного доступа, или иметь двустороннее доверие с лесом сервера удаленного доступа.
- Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если группа безопасности не указана при настройке параметров клиента DirectAccess, по умолчанию объект групповой политики клиента применяется ко всем компьютерам ноутбука в группе безопасности доменных компьютеров. В качестве клиентов DirectAccess можно использовать только следующие операционные системы: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

См. также

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Тип содержания	Ссылки
Удаленный доступ в TechNet	Технический центр удаленного доступа
Средства и параметры	Командлеты PowerShell для удаленного доступа
Ресурсы сообщества	Вики-статьи DirectAccess
Связанные технологии	Как работает IPv6