Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В сценарии развертывания управления удаленными клиентами DirectAccess компонент DirectAccess используется для поддержки работы клиентов через Интернет. В этом разделе описывается сценарий, включая этапы, роли, компоненты и ссылки на дополнительные ресурсы.
Windows Server 2016 и Windows Server 2012 объединяют DirectAccess и службу маршрутизации и удаленного доступа (RRAS) VPN в одну роль удаленного доступа.
Примечание.
Помимо этой статьи доступны следующие разделы об управлении удаленным доступом.
Описание сценария
Клиентские компьютеры DirectAccess подключаются к интрасети при каждом подключении к Интернету, независимо от того, выполнил ли пользователь вход в систему компьютера. Ими можно управлять как ресурсами интрасети, обеспечивая соответствие изменениям групповой политики, обновлениям операционной системы, обновлениям решений по защите от вредоносных программ и другим организационным изменениям.
В некоторых случаях серверам или компьютерам интрасети необходимо инициировать подключения к клиентам DirectAccess. Например, сотрудники службы поддержки могут использовать подключения удаленного рабочего стола для соединения с удаленными клиентами DirectAccess и устранения их неполадок. Этот сценарий позволяет обеспечивать подключение пользователей с помощью существующего решения удаленного доступа, используя DirectAccess лишь для удаленного управления.
DirectAccess предоставляет конфигурацию, которая поддерживает удаленное управление клиентами DirectAccess. Вы можете использовать параметр мастера развертывания, ограничивающий создание политик лишь теми, которые необходимы для удаленного управления клиентскими компьютерами.
Примечание.
В рамках этого развертывания параметры настройки на уровне пользователя, например принудительное туннелирование, интеграция защиты доступа к сети (NAP) и двухфакторная проверка подлинности, становятся недоступными.
В этом сценарии
Далее описываются этапы планирования и настройки сценария развертывания управления удаленными клиентами DirectAccess.
Планирование развертывания
Существует несколько требований к компьютерам и сети для планирования данного сценария, К ним относятся:
Топология сети и серверов. С помощью DirectAccess вы можете поместить сервер удаленного доступа на периферии вашей интрасети либо после устройства преобразования сетевых адресов или брандмауэра.
Сервер сетевых расположений DirectAccess. Сервер сетевых расположений используется клиентами DirectAccess, чтобы определить, находятся ли они во внутренней сети. Сервер сетевых расположений можно установить на сервере DirectAccess или на другом сервере.
Клиенты DirectAccess. Решите, какие управляемые компьютеры будут настроены как клиенты DirectAccess.
Настройка развертывания
Настройка развертывания состоит из нескольких этапов. Например:
Настройка инфраструктуры. Настройте параметры DNS, при необходимости включите сервер и клиентские компьютеры в домен и настройте группы безопасности Active Directory.
В данном сценарии развертывания объекты групповой политики (GPO) создаются автоматически службой удаленного доступа. Дополнительные параметры групповой политики сертификатов см. в разделе "Развертывание расширенного удаленного доступа".
Настройка сервера удаленного доступа и сетевых параметров. Настройте сетевые адаптеры, IP-адреса и маршрутизацию.
Настройка параметров сертификата. В этом сценарии мастер начала работы создает самозаверяемые сертификаты, поэтому не требуется настраивать более расширенную инфраструктуру сертификатов.
Настройка сервера сетевых расположений. В данном сценарии сервер сетевых расположений устанавливается на сервере удаленного доступа.
Планирование серверов управления DirectAccess. Администраторы могут удаленно управлять клиентскими компьютерами DirectAccess, размещенными за пределами корпоративной сети, через Интернет. Серверы управления включают компьютеры (например, серверы обновления), которые используются во время управления удаленными клиентами.
Настройка сервера удаленного доступа. Установите роль удаленного доступа и запустите мастер начальной настройки DirectAccess для настройки DirectAccess.
Проверка развертывания. Протестируйте клиенты DirectAccess, чтобы гарантировать, что они могут подключаться к внутренней сети и Интернету с помощью DirectAccess.
Практическое применение
Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа для управления клиентами DirectAccess.
Простота доступа. Управляемые клиентские компьютеры под управлением Windows 8 или Windows 7 можно настроить как клиентские компьютеры DirectAccess. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess в любое время, когда они подключены к Интернету, без необходимости входа в VPN-подключение. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного и того же набора мастеров.
Простота управления. Администраторы удаленного доступа могут удаленно управлять клиентскими компьютерами DirectAccess, подключенными к Интернету, даже если они находятся за пределами внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Одним или несколькими серверами удаленного доступа можно управлять с одной консоли управления удаленным доступом.
Роли и компоненты, используемые в данном сценарии
В следующей таблице перечислены роли и компоненты, необходимые для сценария.
| Роль или компонент | Способ поддержки сценария |
|---|---|
| Роль удаленного доступа | Эту роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. В эту роль входит как DirectAccess, служивший ранее компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента. 1. DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN: DirectAccess и VPN управляются в консоли управления удаленным доступом. Роль сервера удаленного доступа зависит от следующих компонентов: — Веб-сервер (IIS): требуется для настройки сервера сетевого расположения и веб-пробы по умолчанию. |
| Средства управления удаленным доступом | Этот компонент устанавливается описанным ниже образом. — По умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддержке пользовательского интерфейса консоли удаленного управления. Эта функция включает в себя следующие компоненты: — графический интерфейс удаленного доступа и средства командной строки Зависимости включают следующее: — консоль управления групповыми политиками |
Требования к аппаратному обеспечению
Для этого сценария действуют следующие требования к оборудованию.
Требования к серверу
Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016. Дополнительные сведения см. в разделе "Требования к системе Windows Server 2016".
На сервере должно быть установлено и включено не менее одного сетевого адаптера. Только один адаптер должен быть подключен к внутренней корпоративной сети, и только один — к внешней сети (Интернету).
Если в качестве протокола перехода с IPv6 на IPv4 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один сетевой адаптер, в качестве протокола перехода можно использовать только IP-HTTPS.
Минимум один контроллер домена. Серверы удаленного доступа и клиенты DirectAccess должны быть членами домена.
Если вы не хотите использовать самоподписанные сертификаты для IP-HTTPS или сервера сетевых расположений, либо хотите использовать клиентские сертификаты для проверки подлинности IPsec клиентов, на сервере необходимо установить центр сертификации (ЦС).
Требования к клиенту
- Клиентский компьютер должен работать под управлением Windows 10 или Windows 8 или Windows 7.
Требования к серверу инфраструктуры и управления
Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, такими как контроллеры доменов, серверы Configuration Manager System Center и серверы службы регистрации работоспособности (HRA). Эти серверы предоставляют службы, которые включают обновления Windows и антивирусных программ и средства проверки клиентов на соответствие требованиям защиты доступа к сети (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.
DNS-сервер под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2) требуется.
Требования к программному обеспечению
Для этого сценария действуют следующие требования к программному обеспечению.
Требования к серверу
Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.
Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.
Администратору, развертывающему сервер удаленного доступа, требуются права локального администратора на сервере и права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы ограничить развертывание DirectAccess только мобильными компьютерами, для создания фильтра WMI необходимы права администратора домена на контроллере домена.
Если сервер сетевых расположений находится не на сервере удаленного доступа, для него потребуется отдельный сервер.
Требования к клиенту удаленного доступа:
Клиенты DirectAccess должны входить в состав домена. Домены, которые содержат клиентов, могут принадлежать к тому же лесу, что и сервер удаленного доступа, или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.
Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Компьютеры не должны входить более чем в одну группу безопасности, включающую клиентов DirectAccess. Если клиенты включены в несколько групп, разрешение имен для клиентских запросов не будет работать должным образом.