Развертывание удаленного доступа на предприятии

2023-08-27
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

В этом разделе содержатся вводные сведения о реализации сценария DirectAccess на предприятии.

Внимание

Чтобы развернуть DirectAccess с помощью этого руководства, необходимо использовать сервер DirectAccess под управлением Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Описание сценария

Компонент удаленного доступа включает несколько функций для предприятий, в том числе: развертывание нескольких серверов удаленного доступа в кластере с балансировкой нагрузки при помощи компонента балансировки сетевой нагрузки Windows (NLB) или внешней подсистемы балансировки нагрузки; настройка мультисайтовых развертываний с серверами удаленного доступа, которые находятся в различных географических расположениях; развертывание DirectAccess с двухфакторной аутентификацией клиента с использованием одноразовых паролей (OTP).

В этом сценарии

Каждый корпоративный сценарий описывается в документе, который содержит инструкции по планированию и развертыванию. Дополнительные сведения см. в разделе:

Практическое применение

Корпоративные сценарии удаленного доступа предоставляют следующие преимущества.

Повышенная доступность. Развертывание нескольких серверов удаленного доступа в кластере обеспечивает масштабируемость и увеличивает емкость для пропускной способности и количества пользователей. Балансировка нагрузки на кластере обеспечивает высокую доступность. Если происходит отказ одного из серверов в кластере, то удаленные пользователи могут сохранить доступ к внутренней корпоративной сети через другой сервер в кластере. Обработка отказа происходит прозрачно для пользователей, поскольку клиенты подключаются к кластеру при помощи виртуального IP (VIP)-адреса.
Простота управления. Кластер или многосайтовое развертывание можно настроить и управлять в качестве одной сущности с помощью консоли управления удаленным доступом, работающей на одном из серверов кластера. Кроме того, мультисайтовое развертывание позволяет администраторам согласовать конфигурацию развертывания удаленного доступа и узлы Active Directory для создания упрощенной архитектуры. На всех серверах кластера или мультисайтовой точки входа можно легко установить общие параметры. Управление параметрами удаленного доступа можно осуществлять с любого сервера в кластере или развертывании, либо удаленно при помощи средств удаленного администрирования сервера (RSAT). Кроме того, наблюдение за всем кластером или мультисайтовым развертыванием можно осуществлять с одной консоли управления удаленным доступом.
Экономичность. Развертывание с несколькими сайтами удаленного доступа позволяет предприятиям развертывать серверы удаленного доступа на нескольких сайтах, соответствующих расположениям клиентов. Благодаря этому удаленным клиентам предоставляется предсказуемый механизм взаимодействия независимо от их расположения, снижаются затраты и степень использования пропускной способности интрасети за счет маршрутизации трафика клиента через Интернет на ближайший сервер удаленного доступа.
Безопасность. Развертывание строгой проверки подлинности клиента с использованием однократного пароля (OTP) вместо стандартного пароля Active Directory повышает безопасность.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для корпоративного сценария.

Роль/компонент	Способ поддержки сценария
Роль сервера удаленного доступа	Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. Эта роль сочетает в себе DirectAccess, который ранее был функцией в Windows Server 2008 R2, и службы маршрутизации и удаленного доступа, которые ранее были службой в составе роли сервера "Службы политики сети и доступа" (NPAS). Роль удаленного доступа включает два компонента. 1. DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN-DirectAccess и VPN управляются вместе в консоли управления удаленным доступом. 2. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа. Роль сервера удаленного доступа зависит от следующих компонентов сервера. — Интернет-службы информации (IIS) — эта функция необходима для настройки сервера сетевого расположения и веб-запроса по умолчанию. — Компонент консоли управления групповыми политиками необходим DirectAccess для создания и управления объектами групповой политики (ОГП) в Active Directory и должен быть установлен как обязательная функция для роли сервера.
Средства управления удаленным доступом	Этот компонент устанавливается описанным ниже образом. — Он устанавливается по умолчанию на сервер удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления. — Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN. Средства управления удаленным доступом включают следующие элементы: 1. Графический интерфейс удаленного доступа и средства командной строки 2. Модуль удаленного доступа для Windows PowerShell Зависимости включают следующее: 1. Консоль управления групповыми политиками 2. Набор инструментов для администрирования диспетчера подключений RAS (CMAK) 3. Операционная система Windows PowerShell 3.0 4. Графические средства управления и инфраструктура
Балансировка сетевой нагрузки Windows (NLB)	Данный компонент позволяет сбалансировать нагрузку между несколькими серверами удаленного доступа.

Роль/компонент

Способ поддержки сценария

Роль сервера удаленного доступа

Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. Эта роль сочетает в себе DirectAccess, который ранее был функцией в Windows Server 2008 R2, и службы маршрутизации и удаленного доступа, которые ранее были службой в составе роли сервера "Службы политики сети и доступа" (NPAS). Роль удаленного доступа включает два компонента.

1. DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN-DirectAccess и VPN управляются вместе в консоли управления удаленным доступом.
2. Функции маршрутизации RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих компонентов сервера.

— Интернет-службы информации (IIS) — эта функция необходима для настройки сервера сетевого расположения и веб-запроса по умолчанию.
— Компонент консоли управления групповыми политиками необходим DirectAccess для создания и управления объектами групповой политики (ОГП) в Active Directory и должен быть установлен как обязательная функция для роли сервера.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

— Он устанавливается по умолчанию на сервер удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.
— Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

1. Графический интерфейс удаленного доступа и средства командной строки
2. Модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

1. Консоль управления групповыми политиками
2. Набор инструментов для администрирования диспетчера подключений RAS (CMAK)
3. Операционная система Windows PowerShell 3.0
4. Графические средства управления и инфраструктура

Балансировка сетевой нагрузки Windows (NLB)

Данный компонент позволяет сбалансировать нагрузку между несколькими серверами удаленного доступа.