Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание. Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа.
В этом разделе описывается настройка инфраструктуры, необходимой для расширенного развертывания удаленного доступа с помощью одного сервера удаленного доступа в смешанной среде IPv4 и IPv6. Прежде чем приступить к развертыванию, убедитесь, что вы выполнили действия по планированию, описанные на шаге 1. Планирование инфраструктуры удаленного доступа.
Задача | Описание |
---|---|
Настройка сетевых параметров сервера | Настройте сетевые параметры на сервере удаленного доступа. |
Настройте маршрутизацию в корпоративной сети | Для правильного направления трафика следует настроить маршрутизацию в корпоративной сети. |
Настройка брандмауэров | При необходимости настройте дополнительные брандмауэры. |
Настройка центров сертификации и сертификатов | При необходимости настройте центр сертификации (ЦС) и любые другие шаблоны сертификатов, необходимые в развертывании. |
Настройка DNS-сервера | Настройте параметры DNS для сервера удаленного доступа. |
Настройка Active Directory | Присоединитесь к клиентским компьютерам и серверу удаленного доступа к домену Active Directory. |
Настройка объектов групповой политики | При необходимости настройте объекты групповой политики для развертывания. |
Настройка групп безопасности | Настройте группы безопасности, которые будут содержать клиентские компьютеры DirectAccess, и другие группы безопасности, необходимые для развертывания. |
Настройка сервера сетевых расположений | Настройте сервер сетевых расположений, в том числе установите сертификат веб-сайта сервера сетевых расположений. |
Примечание.
В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.
Настройка сетевых параметров сервера
В зависимости от того, решите ли вы разместить сервер удаленного доступа на границе или за устройством преобразования сетевых адресов (NAT), для развертывания одного сервера в среде с IPv4 и IPv6 требуются следующие параметры адресов сетевого интерфейса. Все IP-адреса настраиваются с помощью Изменение параметров адаптера в Центре управления сетями и общим доступом Windows.
Топология кромки
Требуется следующее.
Два последовательных публичных IP-адреса IPv4 или IPv6, доступных из Интернета.
Примечание.
Для Teredo необходимы два последовательных общедоступных IPv4-адреса. Если вы не используете Teredo, вы можете настроить один общедоступный статичный IPv4-адрес.
Один внутренний статический IPv4- или IPv6-адрес.
За устройством NAT (два сетевых адаптера):
Требуется один внутренний статический IPv4 или IPv6-адрес для внутренней сети.
За устройством NAT (один сетевой адаптер):
Требуется один статический IPv4-адрес или IPv6.
Если у сервера удаленного доступа есть два сетевых адаптера (один для профиля домена и другой для общедоступного или частного профиля), но вы используете одну топологию сетевого адаптера, рекомендуется следующим образом:
Убедитесь, что второй сетевой адаптер также классифицируется в профиле домена.
Если второй сетевой адаптер не может быть настроен для профиля домена по какой-либо причине, политика DirectAccess IPsec должна быть вручную ограничена всеми профилями с помощью следующей команды Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposession
Имена политик IPsec, используемых в этой команде, — DirectAccess-DaServerToInfra и DirectAccess-DaServerToCorp.
Настройте маршрутизацию в корпоративной сети
Настройте маршрутизацию в корпоративной сети следующим образом.
Если в организации развернута собственная инфраструктура на основе IPv6, следует добавить маршрут, позволяющий маршрутизаторам, расположенным во внутренней сети, возвращать трафик IPv6 через сервер удаленного доступа.
Вручную настройте маршруты IPv4 и IPv6 на серверах удаленного доступа. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 (/48) перенаправился во внутреннюю сеть. Кроме того, следует добавить подробные маршруты для направления IPv4-трафика во внутреннюю сеть.
Настройка брандмауэров
В зависимости от выбранных параметров сети при использовании дополнительных брандмауэров в развертывании примените следующие исключения брандмауэра для трафика удаленного доступа:
Сервер удаленного доступа в IPv4 Internet
Примените следующие исключения брандмауэра с подключением к Интернету для трафика удаленного доступа, если сервер удаленного доступа находится в Интернете IPv4:
Трафик Teredo
Порт назначения UDP 3544 для входящих соединений и порт отправителя UDP 3544 для исходящих соединений. Примените это исключение для обоих последовательных общедоступных IPv4-адресов, подключенных к Интернету, на сервере удаленного доступа.
6to4 трафик
IP-протокол 41 для входящего и исходящего трафика. Примените это исключение для обоих последовательных общедоступных IPv4-адресов, подключенных к Интернету, на сервере удаленного доступа.
Трафик IP-HTTPS
Протокол управления передачей (TCP), порт назначения 443 и исходящий порт TCP 443. Когда сервер удаленного доступа имеет один сетевой адаптер, а сервер сетевых расположений находится на сервере удаленного доступа, тогда также требуется TCP-порт 62000. Примените эти исключения только для адреса, к которому разрешается внешнее имя сервера.
Примечание.
Это исключение настраивается на сервере удаленного доступа. Все остальные исключения настраиваются на пограничном брандмауэре.
Сервер удаленного доступа в IPv6 Internet
Примените следующие исключения брандмауэра с доступом к Интернету для трафика удаленного доступа, если сервер удаленного доступа находится в Интернете IPv6:
Протокол IP 50
UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.
Протокол управления сообщениями Интернет (ICMPv6) для входящего и исходящего трафика IPv6 — только для реализации Teredo.
Трафик удаленного доступа
Примените следующие исключения брандмауэра внутренней сети для трафика удаленного доступа:
ISATAP: протокол 41 для входящего и исходящего трафика
TCP/UDP для всего трафика IPv4 или IPv6
ICMP для всего трафика IPv4 или IPv6
Настройка центров сертификации и сертификатов
С помощью удаленного доступа в Windows Server 2012 можно выбрать один из сертификатов для проверки подлинности компьютера или использовать встроенную проверку подлинности Kerberos, использующую имена пользователей и пароли. Необходимо также настроить сертификат IP-HTTPS на сервере удаленного доступа. В этом разделе объясняется, как настроить эти сертификаты.
Сведения о настройке инфраструктуры открытых ключей (PKI) см. в разделе "Службы сертификатов Active Directory".
Настройка проверки подлинности IPsec
Сертификат требуется на сервере удаленного доступа и всех клиентах DirectAccess, чтобы они могли использовать проверку подлинности IPsec. Сертификат должен быть выдан внутренним центром сертификации (ЦС). Серверы удаленного доступа и клиенты DirectAccess должны доверять ЦС, который выдает корневые и промежуточные сертификаты.
Чтобы настроить аутентификацию IPsec
В внутреннем ЦС определите, будет ли вы использовать шаблон сертификата компьютера по умолчанию или создадите новый шаблон сертификата, как описано в разделе "Создание шаблонов сертификатов".
Примечание.
При создании нового шаблона его необходимо настроить для проверки подлинности клиента.
При необходимости разверните шаблон сертификата. Дополнительные сведения см. в разделе "Развертывание шаблонов сертификатов".
При необходимости настройте шаблон для автоматической регистрации.
При необходимости настройте автоматическую регистрацию сертификата. Дополнительные сведения см. в разделе "Настройка автоматической регистрации сертификата".
Настройка шаблонов сертификатов
При использовании внутреннего ЦС для выдачи сертификатов необходимо настроить шаблоны сертификатов для сертификата IP-HTTPS и сертификата веб-сайта сервера расположения сети.
Настройка шаблона сертификата
Во внутреннем центре сертификации создайте шаблон сертификата, как описано в разделе Создание шаблонов сертификатов.
Разверните шаблон сертификата, как описано в разделе Развертывание шаблонов сертификатов.
После подготовки шаблонов их можно использовать для настройки сертификатов. См. следующие процедуры для получения подробной информации:
Настройка сертификата IP-HTTPS
Для проверки подлинности подключений IP-HTTPS к серверу удаленного доступа необходим сертификат IP-HTTPS. Возможны три варианта сертификата IP-HTTPS:
Открытый
Предоставляется сторонним поставщиком.
Частное
Сертификат основан на шаблоне сертификата, созданном в настройках шаблонов сертификатов. Для этого требуется точка распространения списка отзыва сертификатов (CRL), доступная из общедоступно разрешаемого полного доменного имени.
Самоподписанный
Для этого сертификата требуется точка распространения CRL, доступная из общедоступно разрешаемого полного доменного имени.
Примечание.
Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.
Убедитесь, что сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS, отвечает следующим требованиям:
Имя субъекта сертификата должно быть внешне разрешаемым полным доменным именем (FQDN) URL-адреса IP-HTTPS (адрес ConnectTo), используемого только для подключений IP-HTTPS сервера удаленного доступа.
Общее имя сертификата должно совпадать с именем узла IP-HTTPS.
В поле темы укажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS.
В поле "Расширенное использование ключей" используйте идентификатор объекта проверки подлинности сервера (OID).
В поле Точки распространения CRL укажите точку распространения CRL, доступную клиентам DirectAccess, подключенным к Интернету.
У сертификата IP-HTTPS должен быть закрытый ключ.
Сертификат IP-HTTPS необходимо импортировать непосредственно в личное хранилище сертификатов.
В имени сертификатов IP-HTTPS может быть постановочный знак.
Установка сертификата IP-HTTPS из внутреннего центра сертификации
На сервере удаленного доступа: на экране Пуск введитеmmc.exe и нажмите клавишу ВВОД.
В консоли MMC в меню Файл выберите Добавить или удалить оснастку.
В диалоговом окне "Добавить или удалить оснастки" нажмите "Сертификаты", нажмите "Добавить", выберите "Учетная запись компьютера", нажмите "Далее", выберите "Локальный компьютер", нажмите "Готово", и затем нажмите "ОК".
В дереве консоли оснастки "Сертификаты" откройте Сертификаты (локальный компьютер)\Личные\Сертификаты.
Щелкните правой кнопкой мыши сертификаты, наведите указатель на все задачи, нажмите кнопку "Запросить новый сертификат" и дважды нажмите кнопку "Далее".
На странице "Запрос сертификатов" установите флажок для шаблона сертификата, созданного при настройке шаблонов сертификатов, и при необходимости нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата.
В диалоговом окне "Свойства сертификата" на вкладке "Тема" в области "Имя субъекта" в поле "Тип" выберите "Общее имя".
В поле "Значение" укажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку "Добавить".
В области "Альтернативное имя " в поле "Тип" выберите DNS.
В поле "Значение" укажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку "Добавить".
На вкладке Общие, в поле отображаемое имя, можно ввести имя, которое поможет определить сертификат.
На вкладке "Расширения" рядом с расширенным использованием ключа щелкните стрелку и убедитесь, что проверка подлинности сервера находится в списке выбранных параметров.
Нажмите кнопку "ОК", нажмите кнопку "Регистрация" и нажмите кнопку "Готово".
В области сведений оснастки "Сертификаты" убедитесь, что новый сертификат зарегистрирован с целью проверки подлинности сервера.
Настройка DNS-сервера
Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.
Чтобы добавить сервер расположения сети и веб-пробу
На внутреннем DNS-сервере: на экране Пуск введите dnsmgmt.msc и нажмите клавишу ВВОД.
В левой панели консоли DNS Manager разверните прямую зону просмотра для вашего домена. Щелкните правой кнопкой мыши по домену и выберите Создать узел (A или AAAA).
В диалоговом окне "Новый узел" в поле "Имя" (используется родительское доменное имя, если пустое) введите DNS-имя веб-сайта сервера сетевого расположения (это имя используют клиенты DirectAccess для подключения к серверу расположения сети). В поле IP-адреса введите IPv4-адрес сервера сетевого расположения и нажмите кнопку "Добавить узел" и нажмите кнопку "ОК".
В диалоговом окне "Новый узел" в поле "Имя" (используется родительское доменное имя, если пустое) введите DNS-имя веб-пробы (имя веб-пробы по умолчанию — directaccess-webprobehost). В поле IP-адреса введите IPv4-адрес веб-пробы и нажмите Добавить хост.
Повторите этот процесс для имени directaccess-corpconnectivityhost и любых средств проверки подключения, созданных вручную. В диалоговом окне DNS нажмите кнопку "ОК".
Нажмите кнопку Готово.
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Также следует настроить записи DNS для следующих компонентов:
СЕРВЕР IP-HTTPS
Клиенты DirectAccess должны иметь возможность разрешать DNS имя сервера удаленного доступа из Интернета.
Проверка отзыва CRL
DirectAccess использует проверку отзыва сертификатов для подключения IP-HTTPS между клиентами DirectAccess и сервером удаленного доступа, а также для подключения на основе HTTPS между клиентом DirectAccess и сервером сетевого расположения. В обоих случаях у клиентов DirectAccess должна быть возможность разрешения расположения точки распространения CRL и доступа к ней.
ISATAP
Внутрисайтовое автоматическое протокол адресации туннелирования (ISATAP) использует туннели, чтобы клиенты DirectAccess могли подключаться к серверу удаленного доступа через Интернет IPv4, инкапсулируя пакеты IPv6 в заголовке IPv4. Удаленный доступ использует IPv6 для обеспечения подключений к узлам ISATAP в интрасети. В неродной сетевой среде IPv6 сервер удаленного доступа настраивает себя автоматически в качестве маршрутизатора ISATAP. Требуется поддержка разрешения имени ISATAP.
Настройка Active Directory
Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:
Домены, относящиеся к тому же лесу, что и сервер удаленного доступа.
Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.
Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.
Присоединение сервера удаленного доступа к домену
В Диспетчере сервера щелкните Локальный сервер. В области сведений перейдите по ссылке Имя компьютера.
В диалоговом окне Свойства системы щелкните Имя компьютера, а затем Изменить.
В поле "Имя компьютера" введите имя компьютера, если вы также изменяете имя компьютера при присоединении сервера к домену. В разделе "Член" нажмите кнопку "Домен" и введите имя домена, к которому требуется присоединиться к серверу (например, corp.contoso.com), а затем нажмите кнопку "ОК".
При появлении запроса на ввод имени пользователя и пароля введите имя пользователя и пароль пользователя с разрешениями на присоединение компьютеров к домену и нажмите кнопку "ОК".
При появлении диалогового окна с приветствием домена нажмите кнопку "OK".
При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
В диалоговом окне Свойства системы нажмите кнопку Закрыть.
При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.
Присоединение клиентских компьютеров к домену
На начальном экране введите explorer.exe и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши значок компьютера и выберите пункт "Свойства".
На странице "Система" щелкните "Дополнительные параметры системы".
В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.
В поле "Имя компьютера" введите имя компьютера, если вы также изменяете имя компьютера при присоединении сервера к домену. В разделе "Член" нажмите кнопку "Домен", а затем введите имя домена, к которому требуется присоединиться к серверу (например, corp.contoso.com), а затем нажмите кнопку "ОК".
При появлении запроса на ввод имени пользователя и пароля введите имя пользователя и пароль пользователя с разрешениями на присоединение компьютеров к домену и нажмите кнопку "ОК".
При появлении диалогового окна с приветствием домена нажмите кнопку "OK".
При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
В диалоговом окне " Свойства системы" нажмите кнопку "Закрыть".
Нажмите кнопку " Перезапустить сейчас ", когда появится запрос.
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Примечание.
После ввода следующей команды необходимо указать учетные данные домена.
Add-Computer -DomainName <domain_name>
Restart-Computer
Настройка объектов групповой политики
Для развертывания удаленного доступа требуется не менее двух объектов групповой политики. Один объект групповой политики содержит параметры для сервера удаленного доступа, а один содержит параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает необходимые объекты групповой политики. Однако если ваша организация применяет соглашение об именовании или не имеет необходимых разрешений для создания или редактирования объектов групповой политики, их необходимо создать перед настройкой удаленного доступа.
Сведения о создании объектов групповой политики см. в разделе "Создание и изменение объекта групповой политики".
Администратор может вручную связать объекты групповой политики DirectAccess с подразделением. Рассмотрим следующий пример.
Перед настройкой DirectAccess свяжите созданные объекты групповой политики с соответствующими организационными единицами.
Во время настройки DirectAccess укажите группу безопасности для клиентских компьютеров.
Объекты групповой политики настраиваются автоматически, независимо от того, имеет ли администратор разрешения на связывание объектов групповой политики с доменом.
Если объекты групповой политики уже связаны с подразделением, ссылки не будут удалены, но при этом не связаны с доменом.
Для объектов групповой политики сервера OU (организационная единица) должна содержать объект компьютера сервера, в противном случае объект групповой политики будет связан с корнем домена.
Если подразделение не было связано ранее с помощью мастера установки DirectAccess, после завершения настройки администратор может привязать объекты групповой политики (GPO) DirectAccess к необходимым подразделениям и удалить привязку к домену.
Дополнительные сведения см. в разделе "Связывание объекта групповой политики".
Примечание.
Если объект групповой политики был создан вручную, возможно, объект групповой политики не будет доступен во время настройки DirectAccess. Объект групповой политики, возможно, не был реплицирован на контроллер домена, ближайший к компьютеру управления. Администратор может ждать завершения репликации или форсировать её.
Настройка групп безопасности
Параметры DirectAccess, содержащиеся в объекте групповой политики клиентского компьютера, применяются только к компьютерам, которые являются членами групп безопасности, которые указываются при настройке удаленного доступа.
Создание группы безопасности для клиентов DirectAccess
На начальном экране введите dsa.msc и нажмите клавишу ВВОД.
В консоли Пользователи и компьютеры Active Directory в левой области разверните домен, содержащий группу безопасности, щелкните правой кнопкой мыши "Пользователи", наведите указатель мыши на "Создать" и нажмите кнопку "Группа".
В диалоговом окне "Новый объект — группа" в поле "Имя группы" введите имя группы безопасности.
В разделе "Область группы" нажмите кнопку "Глобальный" и в разделе "Тип группы", нажмите кнопку "Безопасность" и нажмите кнопку "ОК".
Дважды щелкните группу безопасности клиентских компьютеров DirectAccess и в диалоговом окне "Свойства " щелкните вкладку "Члены ".
На вкладке Члены группы щелкните Добавить.
В диалоговом окне выбора пользователей, контактов, компьютеров или учетных записей служб выберите клиентские компьютеры, которые требуется включить для DirectAccess, а затем нажмите кнопку "ОК".
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
Настройка сервера сетевых расположений
Сервер расположения сети должен находиться на сервере с высоким уровнем доступности, и он должен иметь действительный сертификат SSL, доверенный клиентами DirectAccess.
Примечание.
Если веб-сайт сервера расположения сети расположен на сервере удаленного доступа, веб-сайт будет создан автоматически при настройке удаленного доступа и привязан к предоставленному сертификату сервера.
Для сервера сетевых расположений можно использовать один из следующих типов сертификатов:
Частное
Примечание.
Сертификат основан на шаблоне сертификата, созданном в настройках шаблонов сертификатов.
Самоподписанный
Примечание.
Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.
Независимо от того, используется ли частный сертификат или самозаверяющий сертификат, они требуют следующего:
Сертификат веб-сайта, используемый для сервера сетевых местоположений. Субъектом этого сертификата должен быть URL-адрес сервера сетевого расположения.
Точка распространения CRL, которая имеет высокий уровень доступности во внутренней сети.
Установка сертификата сервера сетевой локализации из внутреннего УЦ
На сервере, на котором будет размещен веб-сайт сервера сетевого расположения: на экране Пуск введите mmc.exe и нажмите клавишу ВВОД.
В консоли MMC в меню Файл выберите Добавить или удалить оснастку.
В диалоговом окне "Добавить или удалить оснастки" нажмите "Сертификаты", нажмите "Добавить", выберите "Учетная запись компьютера", нажмите "Далее", выберите "Локальный компьютер", нажмите "Готово", и затем нажмите "ОК".
В дереве консоли оснастки "Сертификаты" откройте Сертификаты (локальный компьютер)\Личные\Сертификаты.
Щелкните правой кнопкой мыши сертификаты, наведите указатель на все задачи, нажмите кнопку "Запросить новый сертификат" и дважды нажмите кнопку "Далее".
На странице "Запрос сертификатов" установите флажок для шаблона сертификата, созданного при настройке шаблонов сертификатов, и при необходимости нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата.
В диалоговом окне "Свойства сертификата" на вкладке "Тема" в области "Имя субъекта" в поле "Тип" выберите "Общее имя".
В поле "Значение" введите полное доменное имя веб-сайта сервера сетевого расположения и нажмите кнопку "Добавить".
В области "Альтернативное имя " в поле "Тип" выберите DNS.
В поле "Значение" введите полное доменное имя веб-сайта сервера сетевого расположения и нажмите кнопку "Добавить".
На вкладке Общие, в поле отображаемое имя, можно ввести имя, которое поможет определить сертификат.
Нажмите кнопку "ОК", нажмите кнопку "Регистрация" и нажмите кнопку "Готово".
В области сведений оснастки "Сертификаты" убедитесь, что новый сертификат был выпущен с намерением использования для проверки подлинности сервера.
Настройка сервера сетевых расположений
Настройте веб-сайт на сервере с высоким уровнем доступности. Этот сайт не требует никакого контента, но для проверки вы можете определить страницу по умолчанию, которая содержит сообщение для клиентов при подключении.
Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.
Привяжите сертификат HTTPS-сервера к веб-сайту. Общее имя сертификата должно совпадать с именем сайта сервера сетевого расположения. Убедитесь, что клиенты DirectAccess доверяют ЦС, выдающему сертификат.
Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.
Настройте сайт CRL, имеющий высокий уровень доступности во внутренней сети.
Точки распространения CRL доступны через:
Веб-серверы, использующие URL-адрес на основе HTTP, например:
https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
Файловые серверы, к которым осуществляется доступ через путь UNC, например \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Если внутренняя точка распространения CRL доступна только по протоколу IPv6, необходимо настроить брандмауэр Windows с правилом безопасности подключения Дополнительной безопасности. Это исключает защиту IPsec от адресного пространства IPv6 вашей интрасети до адресов IPv6 точек распространения CRL.
Убедитесь, что клиенты DirectAccess во внутренней сети могут разрешать имя сервера расположения сети, а клиенты DirectAccess, находящиеся в Интернете, не могут разрешать имя.