Шаг 1. Планирование инфраструктуры удаленного доступа

Note

Windows Server 2016 объединяет DirectAccess и службу маршрутизации и удаленного доступа (RRAS) в одну роль удаленного доступа.

В этом разделе описаны шаги по планированию инфраструктуры, которую можно использовать для настройки одного сервера удаленного доступа для удаленного управления клиентами DirectAccess. В следующей таблице перечислены шаги, но эти задачи планирования не нужно выполнять в определенном порядке.

Task	Description
Планирование сетевых топологий и параметров сервера	Определите, где разместить сервер удаленного доступа (на границе или за устройством преобразования сетевых адресов (NAT) или брандмауэром), а также запланировать IP-адресацию и маршрутизацию.
Планирование требований к брандмауэру	План организации удаленного доступа через периферийные брандмауэры.
Планирование требований к сертификату	Определите, будет ли вы использовать протокол Kerberos или сертификаты для проверки подлинности клиента и запланируйте сертификаты веб-сайта. IP-HTTPS — это протокол перехода, используемый клиентами DirectAccess для туннелирования трафика IPv6 через сети IPv4. Определите, следует ли проходить проверку подлинности IP-HTTPS для сервера с помощью сертификата, выданного центром сертификации (ЦС), или с помощью самозаверяющего сертификата, выданного автоматически сервером удаленного доступа.
Планирование требований к DNS	Планирование параметров системы доменных имен (DNS) для сервера удаленного доступа, серверов инфраструктуры, параметров разрешения локальных имен и подключения клиента.
Планирование конфигурации сервера расположения сети	Решите, где разместить веб-сайт сервера сетевого расположения в организации (на сервере удаленного доступа или альтернативном сервере), и спланировать требования к сертификату, если сервер расположения сети будет находиться на сервере удаленного доступа. Note: The network location server is used by DirectAccess clients to determine whether they are located on the internal network.
Планирование конфигураций серверов управления	Планируйте использование серверов управления (например, серверов обновления), которые используются при управлении удаленными клиентами. Note: Administrators can remotely manage DirectAccess client computers that are located outside the corporate network by using the Internet.
Планирование требований Active Directory	Запланируйте контроллеры домена, требования Active Directory, проверку подлинности клиента и структуру нескольких доменов.
Планирование создания объекта групповой политики	Определите, какие объекты групповой политики требуются в вашей организации, а также как создавать и изменять объекты групповой политики.

Планирование топологии сети и настроек

При планировании сети необходимо учитывать топологию сетевого адаптера, параметры ip-адресации и требования к ISATAP.

Планирование конфигурации сетевых адаптеров и параметров IP-адресации

1. Определите топологию сетевого адаптера, которую вы хотите использовать. Удаленный доступ можно настроить с помощью любой из следующих топологий:

   • С двумя сетевыми адаптерами: сервер удаленного доступа устанавливается на границе с одним сетевым адаптером, подключенным к Интернету, а другой — внутренней сетью.

   • С двумя сетевыми адаптерами: сервер удаленного доступа устанавливается за устройством NAT, брандмауэром или маршрутизатором с одним сетевым адаптером, подключенным к сети периметра, а другой — внутренней сети.

   • С одним сетевым адаптером: сервер удаленного доступа устанавливается за устройством NAT, а один сетевой адаптер подключен к внутренней сети.

2. Определите требования к IP-адресации:

   Для установки безопасного подключения клиентских компьютеров к внутренней сети корпорации в технологии DirectAccess используются протоколы IPv6 и IPsec. Однако для работы DirectAccess необязательно подключаться к Интернету по IPv6 или использовать во внутренних сетях оборудование с поддержкой IPv6. Вместо этого он автоматически настраивает и использует технологии перехода IPv6 для туннелирования IPv6-трафика через Интернет IPv4 (6to4, Teredo или IP-HTTPS) и в интрасети только IPv4 (NAT64 или ISATAP). Общие сведения об этих технологиях перехода см. в следующих разделах:

   • Технологии перехода IPv6

   • Спецификация протокола туннелирования IP-HTTPS

3. Выполните необходимые настройки адаптеров и адресации в соответствии со следующей таблицей. Для развертываний, которые находятся за устройством NAT с использованием одного сетевого адаптера, настройте IP-адреса, используя только столбец Внутреннего сетевого адаптера.

   Description	Внешний сетевой адаптер	Internal network adapter1, above	Routing requirements
   Интернет с IPv4-адресацией и интрасеть с IPv4-адресацией	Настройте следующее: — два статических общедоступных IPv4-адреса с соответствующими масками подсети (требуется только для Teredo). — IPv4-адрес шлюза по умолчанию для брандмауэра Интернета или маршрутизатора поставщика услуг Интернета (ISP). Note: The Remote Access server requires two consecutive public IPv4 addresses so that it can act as a Teredo server and Windows-based Teredo clients can use the Remote Access server to detect the type of NAT device.	Настройте следующее: — адрес интрасети IPv4 с соответствующей маской подсети. — Специфичный для подключения суффикс DNS для пространства имен вашей интрасети. DNS-сервер также должен быть настроен на внутреннем интерфейсе. Caution: Do not configure a default gateway on any intranet interfaces.	Чтобы настроить сервер удаленного доступа для доступа ко всем подсетям во внутренней сети IPv4, сделайте следующее: — Список адресов IPv4 для всех локаций вашей интрасети. — Используйте route add -p или netsh interface ipv4 add route команды, чтобы добавить адресные пространства IPv4 в качестве статических маршрутов в таблицу маршрутизации IPv4 сервера удаленного доступа.
   IPv6-интернет и IPv6-интрасеть	Настройте следующее: — Используйте конфигурацию адресов, предоставляемую вашим интернет-провайдером. — Используйте route print команду, чтобы убедиться, что маршрут IPv6 по умолчанию, указывающий на маршрутизатор ISP, существует в таблице маршрутизации IPv6. — Определите, используют ли интернет-провайдер и маршрутизаторы интрасети предпочтения маршрутизаторов по умолчанию, как описано в RFC 4191, и если да, установите для них более высокий приоритет по умолчанию, чем для маршрутизаторов вашей локальной интрасети. Если эти условия выполняются, дальнейшие настройки маршрута по умолчанию не требуются. Использование большего приоритета для маршрутизатора провайдера позволяет убедиться, что активный маршрут IPv6 по умолчанию сервера удаленного доступа направлен в IPv6-интернет. Поскольку сервером удаленного доступа служит IPv6-маршрутизатор, при наличии собственной инфраструктуры IPv6 веб-интерфейс может также получить доступ к контроллерам домена в интрасети. В этом случае добавьте фильтры пакетов к контроллеру домена в сети периметра, которые препятствуют подключению к IPv6-адресу интерфейса Интернета сервера удаленного доступа.	Настройте следующее: Если вы не используете уровни предпочтений по умолчанию, настройте интерфейсы интрасети с помощью netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled команды. После выполнения этой команды дополнительные маршруты по умолчанию, указывающие на маршрутизаторы интрасети, не будут добавлены в таблицу маршрутизации IPv6. Индекс интерфейса интрасетевых интерфейсов можно получить по выводу команды netsh interface show interface.	Если ваша интрасеть использует протокол IPv6, для настройки сервера DirectAccess и осуществления доступа ко всем расположениям IPv6 нужно выполнить следующие действия: — Перечислите адресные пространства IPv6 для всех местоположений в вашей внутренней сети. — Используйте netsh interface ipv6 add route команду, чтобы добавить адресные пространства IPv6 в качестве статических маршрутов в таблицу маршрутизации IPv6 сервера удаленного доступа.
   IPv4-Интернет и IPv6-интрасеть	Сервер удаленного доступа перенаправляет трафик маршрута по умолчанию IPv6 с помощью интерфейса адаптера Microsoft 6to4 в ретранслятор 6to4 в сети IPv4. Если собственный IPv6 не развернут в корпоративной сети, можно использовать следующую команду, чтобы настроить сервер удаленного доступа для IPv4-адреса ретранслятора Microsoft 6to4 в сети IPv4 в Интернете: netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled

   Note

   • Если клиенту DirectAccess был назначен общедоступный адрес IPv4, он будет использовать технологию 6to4 для ретрансляции при подключении к внутренней сети. Если клиенту назначен частный IPv4-адрес, он будет использовать Teredo. Если клиент DirectAccess не может подключиться к серверу DirectAccess с помощью технологий 6to4 или Teredo, он будет использовать IP-HTTPS.
   • Для применения Teredo необходимо настроить два последовательных IP-адреса на внешнем сетевом адаптере.
   • Не удается использовать Teredo, если сервер удаленного доступа имеет только один сетевой адаптер.
   • Клиентские компьютеры с поддержкой IPv6 могут подключаться к серверу удаленного доступа по протоколу IPv6, и никаких технологий перехода не требуется.

Планирование требований ISATAP

ISATAP требуется для удаленного управления DirectAccessclients, чтобы серверы управления DirectAccess могли подключаться к клиентам DirectAccess, расположенным в Интернете. ISATAP не требуется для поддержки подключений, инициируемых клиентскими компьютерами DirectAccess, к ресурсам IPv4 в корпоративной сети. Для этого применяется NAT64/DNS64. Если для развертывания требуется ISATAP, используйте следующую таблицу для определения ваших требований.

Сценарий развертывания ISATAP	Requirements
Существующая собственная интрасеть IPv6 (не требуется ISATAP)	При использовании существующей собственной инфраструктуры IPv6 вы указываете префикс организации во время развертывания удаленного доступа, а сервер удаленного доступа не настраивает себя как маршрутизатор ISATAP. Выполните следующие действия. 1. Чтобы обеспечить доступ клиентов DirectAccess из интрасети, необходимо изменить маршрутизацию IPv6, чтобы трафик по умолчанию перенаправлялся на сервер удаленного доступа. Если адресное пространство IPv6 в интрасети использует адрес, отличный от одного 48-разрядного префикса IPv6- адреса, необходимо указать соответствующий префикс IPv6 организации во время развертывания. 2. Если вы подключены к Интернету IPv6, необходимо настроить трафик маршрута по умолчанию, чтобы он переадресовался на сервер удаленного доступа, а затем настроить соответствующие подключения и маршруты на сервере удаленного доступа, чтобы трафик маршрута по умолчанию перенаправляется на устройство, подключенное к IPv6-Интернету.
Существующее развертывание ISATAP	Если у вас есть существующая инфраструктура ISATAP, во время развертывания вам будет предложено получить 48-разрядный префикс организации, а сервер удаленного доступа не настраивает себя как маршрутизатор ISATAP. Чтобы обеспечить доступность клиентов DirectAccess из интрасети, необходимо изменить инфраструктуру маршрутизации IPv6, чтобы трафик по умолчанию перенаправлялся на сервер удаленного доступа. Это изменение необходимо сделать на существующем маршрутизаторе ISATAP, на который клиенты интрасети уже должны переадресовать трафик по умолчанию.
Нет существующего подключения IPv6	Когда мастер настройки удаленного доступа обнаруживает, что сервер не имеет собственного или IPv6-подключения на основе ISATAP, он автоматически получает 6to4-разрядный 48-разрядный префикс для интрасети и настраивает сервер удаленного доступа в качестве маршрутизатора ISATAP для обеспечения подключения IPv6 к узлам ISATAP в интрасети. (Префикс на основе 6to4 используется только в том случае, если сервер имеет общедоступные адреса, в противном случае префикс автоматически создается из уникального диапазона локальных адресов.) Чтобы использовать ISATAP, сделайте следующее: 1. Зарегистрируйте имя ISATAP на DNS-сервере для каждого домена, на котором требуется включить подключение на основе ISATAP, чтобы имя ISATAP разрешалось внутренним DNS-сервером на внутренний IPv4-адрес сервера удаленного доступа. 2. По умолчанию DNS-серверы под управлением Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 с разрешением блокировки имени ISATAP с помощью глобального списка блокировок запросов. Чтобы включить ISATAP, необходимо удалить имя ISATAP из списка блоков. Дополнительные сведения см. в разделе "Удаление ISATAP" из списка глобальных блокировок ЗАПРОСОВ DNS. Узлы ISATAP под управлением Windows, которые могут разрешить имя ISATAP автоматически настраивает адрес с сервером удаленного доступа следующим образом: 1. IPv6-адрес на основе ISATAP в интерфейсе туннелирования ISATAP 2. 64-разрядный маршрут, обеспечивающий подключение к другим узлам ISATAP в интрасети. 3. Маршрут IPv6 по умолчанию, указывающий на сервер удаленного доступа. Маршрут по умолчанию гарантирует, что узлы ISATAP интрасети могут обращаться к клиентам DirectAccess. Когда узлы ISATAP под управлением Windows получают IPv6-адрес на основе ISATAP, они начинают использовать инкапсулированный трафик ISATAP для обмена данными, если назначение также является узлом ISATAP. Так как ISATAP использует одну 64-разрядную подсеть для всей интрасети, обмен данными осуществляется из сегментной модели связи IPv4 в одну модель связи подсети с IPv6. Это может повлиять на поведение некоторых служб домен Active Directory (AD DS) и приложений, использующих конфигурацию сайтов и служб Active Directory. Например, если вы использовали оснастку "Сайты и службы Active Directory" для настройки сайтов, подсетей на основе IPv4 и межсайтовых перевозок для пересылки запросов на серверы на сайтах, эта конфигурация не используется узлами ISATAP. Чтобы настроить сайты и службы Active Directory для пересылки на сайтах для узлов ISATAP, для каждого объекта подсети IPv4 необходимо настроить эквивалентный объект подсети IPv6, в котором префикс IPv6-адреса для подсети выражает тот же диапазон адресов узлов ISATAP, что и подсеть IPv4. Например, для подсети IPv4 192.168.99.0/24 и 64-разрядного префикса ISATAP-адреса 2002:836b:1:8000::/64, Эквивалентный префикс IPv6-адреса для объекта подсети IPv6 — 2002:836b:1:8000:0:5efe:192.168.99.0/120. Для произвольной длины префикса IPv4 (задано значение 24 в примере), можно определить соответствующую длину префикса IPv6 из формулы 96 + IPv4PrefixLength. Для IPv6-адресов клиентов DirectAccess добавьте следующее: Для клиентов DirectAccess на основе Teredo: подсеть IPv6 для диапазона 2001:0:WWXX:YYZZ::/64, в котором WWXX:YYZZ является двоеточечно-шестнадцатеричной версией первого IPv4-адреса, доступного в Интернет, для сервера удаленного доступа. . Для клиентов DirectAccess на основе IP-HTTPS: подсеть IPv6 для диапазона 2002:WWXX:YYZZ:8100::/56, в которой WWXX:YYZZ — это шестнадцатеричная версия первого IPv4-адреса с доступом в Интернет (w.x.y.z) сервера удаленного доступа. . Для клиентов DirectAccess на основе 6to4: ряд префиксов IPv6 на основе 6to4, которые начинаются с 2002 года: и представляют региональные, общедоступные префиксы IPv4-адресов, которые управляются Центром присвоенных номеров Интернета (IANA) и региональными реестрами. Префикс на основе 6to4 для общедоступного префикса IPv4-адреса w.x.y.z/n равен 2002:WWXX:YYZZ::/[16+n], где WWXX:YYZZ — это шестнадцатеричная версия w.x.y.z. Например, диапазон 7.0.0.0/8 управляется американским реестром для номеров Интернета (ARIN) для Северная Америка. Соответствующий префикс на основе 6to4 для этого общедоступного диапазона адресов IPv6 равен 2002:700::/24. Для получения информации об общедоступном адресном пространстве IPv4, см. реестр адресов IPv4 IANA. .

Important

Убедитесь, что у вас нет общедоступных IP-адресов во внутреннем интерфейсе сервера DirectAccess. Если у вас есть общедоступный IP-адрес во внутреннем интерфейсе, подключение через ISATAP может завершиться ошибкой.

Планирование требований к брандмауэру

Если сервер DirectAccess расположен за пограничным брандмауэром и работает в IPv4-интернете, для трафика DirectAccess потребуются следующие исключения:

• Для IP-HTTPS: порт назначения TCP 443 и исходящий порт TCP источника 443.

• Для трафика Teredo: входящий UDP-порт назначения 3544 и исходящий UDP-порт источника 3544.

• Для трафика 6to4: IP-протокол 41 для входящего и исходящего трафика.

  Note

  В отношении трафика Teredo и 6to4 эти исключения должны применяться для обоих последовательных общедоступных IPv4-адресов для выхода в Интернет на сервере удаленного доступа.

  Для IP-HTTPS необходимо применить исключения на адрес, зарегистрированный на общедоступном DNS-сервере.

• При развертывании удаленного доступа с одним сетевым адаптером и установке сервера сетевого расположения на сервере удаленного доступа TCP-порт 62000.

  Note

  Это исключение находится на сервере удаленного доступа, и предыдущие исключения находятся на пограничном брандмауэре.

Для трафика удаленного доступа требуются следующие исключения, если сервер удаленного доступа находится в Интернете IPv6:

• Протокол IP 50

• UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.

• Входящий и исходящий трафик ICMPv6 (только при использовании Teredo).

При использовании дополнительных брандмауэров примените следующие исключения внутреннего брандмауэра сети для трафика удаленного доступа:

• Для ISATAP: протокол 41 для входящего и исходящего трафика

• Для всего трафика IPv4/IPv6: TCP/UD

• Для Teredo: ICMP для всего трафика IPv4/IPv6

Планирование требований к сертификатам

Существует три сценария, которые требуют сертификатов при развертывании одного сервера удаленного доступа.

• IPsec authentication: Certificate requirements for IPsec include a computer certificate that is used by DirectAccess client computers when they establish the IPsec connection with the Remote Access server, and a computer certificate that is used by Remote Access servers to establish IPsec connections with DirectAccess clients.

  Для DirectAccess в Windows Server 2012 использование этих сертификатов IPsec не является обязательным. В качестве альтернативы сервер удаленного доступа может выступать в качестве прокси-сервера для проверки подлинности Kerberos, не требуя сертификатов. Если используется проверка подлинности Kerberos, он работает по протоколу SSL, а протокол Kerberos использует сертификат, настроенный для IP-HTTPS. Для некоторых корпоративных сценариев (включая многосайтовое развертывание и одноразовую проверку подлинности клиента паролей) требуется использование проверки подлинности сертификата, а не проверка подлинности Kerberos.

• IP-HTTPS server: When you configure Remote Access, the Remote Access server is automatically configured to act as the IP-HTTPS web listener. Сайту IP-HTTPS требуется сертификат веб-сайта, и клиентские компьютеры должны иметь доступ к узлу со списком отзыва (CRL) для проверки сертификата.

• Сервер сетевого расположения: сервер сетевого расположения — это веб-сайт, используемый для определения того, находятся ли клиентские компьютеры в корпоративной сети. Серверу сетевых расположений требуется сертификат веб-сайта. Клиенты DirectAccess должны иметь доступ к узлу со списком отзыва для этого сертификата.

Требования центра сертификации для каждого из этих сценариев приведены в следующей таблице.

IPsec authentication	IP-HTTPS server	Сервер сетевой локации
Для выдачи сертификатов для компьютеров серверу удаленного доступа и клиентам, необходимых для аутентификации IPsec, когда не используется протокол Kerberos, требуется внутренний центр сертификации.	Внутренний ЦС: вы можете использовать внутренний ЦС для выдачи сертификата IP-HTTPS; однако необходимо убедиться, что точка распространения CRL доступна внешне.	Внутренний центр сертификации (ЦС): для выдачи сертификата для веб-сайта сервера сетевого расположения можно использовать внутренний ЦС. Убедитесь в максимальной доступности CRL-точки во внутренней сети.
	Самозаверяющий сертификат: вы можете использовать самозаверяющий сертификат для СЕРВЕРА IP-HTTPS. Самозаверяющие сертификаты неприменимы к многосайтовым развертываниям.	Самозаверяющий сертификат: вы можете использовать самозаверяющий сертификат для веб-сайта сервера расположения сети; однако в многосайтовых развертываниях нельзя использовать самозаверяющий сертификат.
	Общедоступный ЦС. Мы рекомендуем использовать общедоступный ЦС для выдачи сертификата IP-HTTPS, что гарантирует доступность точки распространения CRL во внешней среде.

Планирование компьютерных сертификатов для аутентификации IPsec

Если вы используете проверку подлинности IPsec на основе сертификатов, для получения сертификата компьютера требуется сервер удаленного доступа и клиенты. Самый простой способ установки сертификатов — использовать групповую политику для настройки автоматической регистрации сертификатов компьютера. При этом все участники домена будут получать сертификат от корпоративного ЦС. Если в вашей организации не настроен корпоративный ЦС, изучите статью Службы сертификатов Active Directory.

К сертификату применяются следующие требования:

• Сертификат должен иметь расширенное использование ключа проверки подлинности клиента (EKU).

• Клиент и сертификаты сервера должны относиться к одному корневому сертификату. Корневой сертификат выбирается в параметрах конфигурации DirectAccess.

Планирование сертификатов для IP-HTTPS

Сервер удаленного доступа действует в качестве прослушивателя IP-HTTPS, и вы можете вручную установить на сервер сертификат веб-сайта HTTPS. При планировании учитывайте следующее:

• Чтобы списки отзыва сертификатов были легко доступны, рекомендуется использовать публичный удостоверяющий центр.

• В поле темы укажите IPv4-адрес сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS (адрес ConnectTo). Если сервер удаленного доступа расположен за устройством NAT, следует указать общедоступное имя или адрес этого устройства.

• Общее имя сертификата должно совпадать с именем узла IP-HTTPS.

• В поле "Расширенное использование ключей" используйте идентификатор объекта проверки подлинности сервера (OID).

• В поле Точки распространения CRL укажите точку распространения CRL, доступную клиентам DirectAccess, подключенным к Интернету.

  Note

  Это необходимо только для клиентов под управлением Windows 7.

• У сертификата IP-HTTPS должен быть закрытый ключ.

• Сертификат IP-HTTPS необходимо импортировать непосредственно в личное хранилище сертификатов.

• В имени сертификатов IP-HTTPS может быть постановочный знак.

Планирование сертификатов веб-сайта для сервера сетевого расположения

При планировании веб-сайта сервера сетевых расположений следует учитывать следующее:

• In the Subject field, specify an IP address of the intranet interface of the network location server or the FQDN of the network location URL.

• В поле "Расширенное использование ключей" используйте OID проверки подлинности сервера.

• Для поля точек распространения CRL используйте точку распространения CRL, доступную клиентам DirectAccess, подключенным к интрасети. Точка распределения CRL должна быть недоступна за пределами внутренней сети.

Note

Убедитесь, что сертификаты для IP-HTTPS и сервера сетевого расположения имеют имя субъекта. Если сертификат использует альтернативное имя, он не будет принят мастером удаленного доступа.

Планировать требования к DNS

В этом разделе описываются требования DNS для клиентов и серверов в развертывании удаленного доступа.

Клиентские запросы DirectAccess

Служба DNS используется для разрешения запросов от клиентских компьютеров DirectAccess, расположенных вне внутренней сети. Клиенты DirectAccess пытаются подключиться к серверу расположения сети DirectAccess, чтобы определить, находятся ли они в Интернете или в корпоративной сети.

• Если подключение выполнено успешно, клиенты должны находиться в интрасети, DirectAccess не используется, а клиентские запросы разрешаются с помощью DNS-сервера, настроенного на сетевом адаптере клиентского компьютера.

• Если подключение не устанавливается, предполагается, что клиенты находятся в Интернете. Чтобы определить, какой DNS-сервер будет использоваться для обработки запросов имен, клиенты DirectAccess используют таблицу политики разрешения имен (NRPT). Вы можете указать, что для разрешения имен при доступе DirectAccess должен использоваться DNS64 или альтернативный внутренний DNS-сервер.

При разрешении имен клиенты DirectAccess используют NRPT для определения того, как следует обработать запрос. Клиенты запрашивают полное доменное имя или имя одной метки, например <https://internal>. Если запрашивается одноэлементное имя, к нему добавляется DNS-суффикс, чтобы получить полное доменное имя. Если dns-запрос соответствует записи в NRPT и DNS4 или DNS4 интрасети или DNS-сервер интрасети, запрос отправляется для разрешения имен с помощью указанного сервера. Если совпадение найдено, но DNS-сервер не указан, применяется правило исключения и обычное разрешение DNS-имен.

When a new suffix is added to the NRPT in the Remote Access Management console, the default DNS servers for the suffix can be automatically discovered by clicking the Detect button. Автоматическое обнаружение работает следующим образом:

• Если корпоративная сеть основана на IPv4 или использует IPv4 и IPv6, то по умолчанию используется АДРЕС DNS64 внутреннего адаптера на сервере удаленного доступа.

• Если корпоративная сеть основана на IPv6, адресом по умолчанию служит IPv6-адрес DNS-серверов корпоративной сети.

Infrastructure servers

• Сервер сетевого расположения

  Клиенты DirectAccess пытаются подключиться к серверу сетевых расположений, чтобы определить, находятся ли они во внутренней сети. Клиенты во внутренней сети должны иметь возможность разрешать имя сервера сетевого расположения, и им необходимо запретить разрешение имени, когда они находятся в Интернете. Для этого по умолчанию полное доменное имя сервера сетевых расположений добавляется в таблицу NRPT как правило исключения. Кроме того, при настройке удаленного доступа автоматически создаются следующие правила:

  • Правило DNS-суффикса для корневого домена или имени домена сервера удаленного доступа, а также адреса IPv6, соответствующие DNS-серверам интрасети, настроенным на сервере удаленного доступа. Например, если сервер удаленного доступа причастен к домену corp.contoso.com, создается правило для суффикса DNS corp.contoso.com.

  • Правило исключения для полного доменного имени сервера сетевых расположений. Например, если URL-адрес сервера сетевого расположения имеет значение "https://nls.corp.contoso.com", для полного доменного имени nls.corp.contoso.com создается правило исключения.

• IP-HTTPS server

  Сервер удаленного доступа выступает в качестве прослушивателя IP-HTTPS и использует его сертификат сервера для проверки подлинности в клиентах IP-HTTPS. Имя IP-HTTPS должно быть разрешаемым клиентами DirectAccess, использующими общедоступные DNS-серверы.

Connectivity verifiers

Служба удаленного доступа создает веб-дамп по умолчанию, который используется клиентскими компьютерами DirectAccess для проверки подключения к внутренней сети. Чтобы убедиться, что проба работает, как ожидается, необходимо вручную зарегистрировать следующие имена в DNS:

• directaccess-webprobehost should resolve to the internal IPv4 address of the Remote Access server, or to the IPv6 address in an IPv6-only environment.

• directaccess-corpconnectivityhost should resolve to the local host (loopback) address. Необходимо создать записи A и AAAA. Значение записи A равно 127.0.0.1, а значение записи AAAA создается из префикса NAT64 с последними 32 битами как 127.0.0.1. The NAT64 prefix can be retrieved by running the Get-netnatTransitionConfiguration Windows PowerShell cmdlet.

  Note

  Это допустимо только в средах, доступных только для IPv4. В среде IPv4 плюс IPv6 или IPv6 создайте только запись AAAA с IP-адресом обратного цикла ::1.

Вы можете создать дополнительные средства проверки подключения с помощью других веб-адресов по протоколу HTTP или PING. Для каждого средства проверки подключения должна существовать DNS-запись.

Требования к DNS-серверу

• Для клиентов DirectAccess необходимо использовать DNS-сервер под управлением Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или любой DNS-сервер, поддерживающий IPv6.

• Следует использовать DNS-сервер, поддерживающий динамические обновления. Можно использовать DNS-серверы, которые не поддерживают динамические обновления, но затем записи должны быть обновлены вручную.

• Полное доменное имя (FQDN) для точек распространения CRL должно быть разрешаемо с помощью DNS-серверов Интернета. Например, если URL-адрес https://crl.contoso.com/crld/corp-DC1-CA.crl находится в поле точек распределения CRL сертификата IP-HTTPS сервера удаленного доступа, необходимо убедиться, что полное доменное имя crld.contoso.com разрешимо с помощью DNS-серверов Интернета.

Планирование разрешения локальных имен

При планировании разрешения локальных имен следует учитывать следующее:

NRPT

В следующих ситуациях может потребоваться создание дополнительных правил в таблице политики разрешения имен (NRPT):

• Необходимо добавить дополнительные суффиксы DNS для пространства имен интрасети.

• Если полные доменные имена точек распространения CRL основаны на пространстве имен интрасети, необходимо добавить правила исключения для полных доменных имен точек распространения CRL.

• Если у вас есть среда DNS с разделением мозга, необходимо добавить правила исключения для имен ресурсов, для которых требуется, чтобы клиенты DirectAccess, расположенные в Интернете, имели доступ к версии Интернета, а не версию интрасети.

• Если вы перенаправляете трафик на внешний веб-сайт через веб-прокси-серверы интрасети, внешний веб-сайт доступен только из интрасети. Он использует адреса серверов веб-прокси для разрешения входящих запросов. В этом случае добавьте правило исключения для полного доменного имени внешнего веб-сайта и укажите, что правило использует сервер веб-прокси интрасети, а не IPv6-адреса DNS-серверов интрасети.

  Например, предположим, что вы тестируете внешний веб-сайт с именем test.contoso.com. Это имя не разрешено через DNS-серверы Интернета, но веб-прокси-сервер Contoso знает, как разрешить имя и как направлять запросы на веб-сайт на внешний веб-сервер. Чтобы не позволить пользователям за пределами интрасети Contoso получить доступ к сайту, внешний веб-сайт разрешает только запросы от IPv4-адреса веб-прокси Contoso в Интернете. Таким образом, пользователи интрасети могут получить доступ к веб-сайту, так как они используют веб-прокси Contoso, но пользователи DirectAccess не могут использовать веб-прокси Contoso. Если настроить правило исключения NRPT для сайта test.contoso.com, который использует веб-прокси Contoso, запросы веб-страницы для test.contoso.com направляются на сервер веб-прокси интрасети через IPv4-интернет.

Одноэтикеточные имена

Имена отдельных меток, например <https://paycheck>, иногда используются для серверов интрасети. Если запрашивается имя одной метки и настроен список поиска DNS-суффиксов, DNS-суффиксы в списке будут добавлены к имени одной метки. Например, когда пользователь на компьютере, являющемся членом домена corp.contoso.com, вводит <https://paycheck> в веб-браузере, полное доменное имя, которое формируется как имя, будет paycheck.corp.contoso.com. По умолчанию добавленный суффикс основан на основном DNS-суффиксе клиентского компьютера.

Note

В сценарии с несвязанным пространством имен (где один или несколько компьютеров домена имеет DNS-суффикс, который не соответствует домену Active Directory, к которому входят компьютеры), следует убедиться, что список поиска настраивается для включения всех необходимых суффиксов. По умолчанию мастер удаленного доступа настраивает DNS-имя Active Directory в качестве основного DNS-суффикса на клиенте. Добавьте суффикс DNS, используемый клиентами для разрешения имен.

Если в вашей организации развернуто несколько доменов и служба имен Windows (WINS), и вы подключаетесь удаленно, однокомпонентные имена можно определить следующим образом:

• Путем развертывания прямой зоны WINS в DNS. При попытке разрешить computername.dns.zone1.corp.contoso.com запрос направляется на сервер WINS, который использует только имя компьютера. Клиент считает, что он выдает обычный запрос записей DNS A, но на самом деле это запрос NetBIOS.

  Дополнительные сведения см. в разделе "Управление зоной поиска вперед".

• Добавив DNS-суффикс (например, dns.zone1.corp.contoso.com) в GPO домена по умолчанию.

Split-brain DNS

Dns с разделением мозга относится к использованию одного домена DNS для разрешения имен Интернета и интрасети.

Для развертываний DNS с разделением на зоны следует указать полные доменные имена, дублирующиеся в Интернете и интрасети, и решить, к каким ресурсам клиент DirectAccess должен получать доступ — к интрасети или версии Интернета. Если вы хотите, чтобы клиенты DirectAccess достигли версии Интернета, необходимо добавить соответствующее полное доменное имя в качестве правила исключения в NRPT для каждого ресурса.

В среде DNS с разделением мозга, если требуется, чтобы оба варианта ресурса были доступны, настройте ресурсы интрасети с именами, которые не дублируют имена, используемые в Интернете. Затем укажите пользователям использовать альтернативное имя при доступе к ресурсу в интрасети. Например, настройте www.internal.contoso.com для внутреннего имени www.contoso.com.

В среде без разделения DNS пространство имен Интернета отличается от пространства имен интрасети. Например, корпорация Contoso использует имя contoso.com в Интернете и имя corp.contoso.com в интрасети. Так как все ресурсы интрасети используют DNS-суффикс corp.contoso.com, правило NRPT для corp.contoso.com направляет все запросы DNS-имен для ресурсов интрасети на DNS-серверы интрасети. Запросы DNS для имен с суффиксом contoso.com не соответствуют правилу пространства имен corp.contoso.com интрасети в NRPT и отправляются на DNS-серверы Интернета. При развертывании DNS без разделения, поскольку для ресурсов интрасети и Интернета отсутствуют дублирующиеся полные доменные имена, дополнительная настройка таблицы NRPT не требуется. Клиенты DirectAccess могут получить доступ к ресурсам Интернета и интрасети для своей организации.

Планируйте поведение разрешения локальных имен для клиентов DirectAccess

Если имя не удается разрешить с помощью DNS, служба DNS-клиента в Windows Server 2012, Windows 8, Windows Server 2008 R2 и Windows 7 может использовать локальное разрешение имен с использованием Link-Local Multicast Name Resolution (LLMNR) и NetBIOS по протоколу TCP/IP, чтобы разрешить имя в локальной подсети. Локальное разрешение имен обычно необходимо для P2P-соединения, когда компьютер подключен к частным сетям, например, к домашним сетям с одной подсетью.

Если служба DNS-клиента выполняет локальное разрешение имен для имен серверов интрасети, а компьютер подключен к общей подсети в Интернете, злоумышленники могут записывать сообщения LLMNR и NetBIOS по протоколу TCP/IP, чтобы определить имена серверов интрасети. На странице DNS мастера настройки сервера инфраструктуры можно настроить поведение разрешения локальных имен на основе типов ответов, полученных от DNS-серверов интрасети. Имеются следующие варианты:

• Используйте локальное разрешение имен, если имя не существует в DNS: этот параметр является наиболее безопасным, так как клиент DirectAccess выполняет локальное разрешение имен только для имен серверов, которые не могут быть разрешены DNS-серверами интрасети. Если DNS-серверы интрасети доступны, имена серверов интрасети разрешаются. Если DNS-серверы интрасети недоступны или возникли другие типы ошибок DNS, имена серверов интрасети не попадают в подсеть при локальном разрешении имен.

• Используйте локальное разрешение имен, если имя не существует в DNS или если DNS-серверы недоступны, когда клиентский компьютер находится в частной сети (рекомендуется): Этот вариант рекомендуется, поскольку позволяет использовать локальное разрешение имен в частной сети только тогда, когда серверы DNS интрасети недоступны.

• Используйте разрешение локальных имен для любой ошибки разрешения DNS (наименее безопасная): это наименее безопасный вариант, потому что имена сетевых серверов интрасети могут быть утечены в локальную подсеть через разрешение локальных имен.

Планирование конфигурации сервера расположения сети

Сервер сетевых расположений — это веб-сайт, определяющий, находятся ли клиенты DirectAccess в корпоративной сети. Клиенты в корпоративной сети не используют DirectAccess для доступа к внутренним ресурсам; но вместо этого они подключаются напрямую.

Веб-сайт сервера расположения сети можно разместить на сервере удаленного доступа или на другом сервере в организации. При размещении сервера сетевого расположения на сервере удаленного доступа веб-сайт создается автоматически при развертывании удаленного доступа. Если вы размещаете сервер сетевого расположения на другом сервере под управлением операционной системы Windows, необходимо убедиться, что на этом сервере установлены службы IIS (IIS) и создан веб-сайт. Удаленный доступ не настраивает параметры на сервере сетевого расположения.

Убедитесь, что веб-сайт сервера расположения сети соответствует следующим требованиям:

• Имеет сертификат сервера HTTPS.

• Имеет высокий уровень доступности компьютеров во внутренней сети.

• Недоступно клиентским компьютерам DirectAccess в Интернете.

Кроме того, при настройке веб-сайта сервера расположения сети следует учитывать следующие требования для клиентов:

• Клиентские компьютеры DirectAccess должны доверять Центру сертификации, который выдал сертификат сервера для веб-сайта сервера сетевых расположений.

• Клиентские компьютеры DirectAccess во внутренней сети должны иметь возможность разрешать имя сайта сервера определения местоположения сети.

Планирование сертификатов для сервера сетевых расположений

При получении сертификата веб-сайта, используемого для сервера сетевого расположения, рассмотрите следующее:

• In the Subject field, specify the IP address of the intranet interface of the network location server or the FQDN of the network location URL.

• В поле "Расширенное использование ключей" используйте OID проверки подлинности сервера.

• Сертификат сервера размещения сети должен быть проверен по списку отзыва сертификатов (CRL). Для поля точек распространения CRL используйте точку распространения CRL, доступную клиентам DirectAccess, подключенным к интрасети. Точка распределения CRL должна быть недоступна за пределами внутренней сети.

Планирование DNS для сервера сетевого расположения

Клиенты DirectAccess пытаются подключиться к серверу сетевых расположений, чтобы определить, находятся ли они во внутренней сети. Клиенты во внутренней сети должны иметь возможность разрешения имени сервера сетевых расположений. Если клиент находится во внешней сети, эта возможность должна исключаться. Для этого полное имя домена сервера сетевых расположений по умолчанию добавляется в качестве правила исключения в таблицу NRPT.

Настройка серверов управления планированием

Клиенты DirectAccess инициируют взаимодействие с серверами управления, предоставляющими такие службы, как обновления Windows и антивирусные обновления. Клиенты DirectAccess также используют протокол Kerberos для проверки подлинности в контроллерах домена перед доступом к внутренней сети. При удаленном управлении клиентами DirectAccess серверы управления взаимодействуют с клиентскими компьютерами для осуществления функций управления, например оценки программных или аппаратных активов. Служба удаленного доступа может автоматически обнаруживать некоторые серверы управления, в том числе:

• Контроллеры домена: автоматическое обнаружение контроллеров домена выполняется для доменов, содержащих клиентские компьютеры, и для всех доменов в одном лесу с сервером удаленного доступа.

• Серверы Microsoft Endpoint Configuration Manager

Контроллеры домена и серверы Configuration Manager автоматически обнаруживаются при первом настройке DirectAccess. Обнаруженные контроллеры домена не отображаются в консоли, но параметры можно получить с помощью командлетов Windows PowerShell. Если контроллер домена или серверы Configuration Manager изменены, щелкните Обновить серверы управления в консоли, чтобы обновить список серверов управления.

Требования к серверу управления

• Серверы управления должны быть доступны через туннель инфраструктуры. Если добавить серверы в список серверов управления при настройке удаленного доступа, они автоматически становятся доступными через этот туннель.

• Серверы управления, инициирующие подключения к клиентам DirectAccess, должны полностью поддерживать IPv6 с помощью собственного IPv6-адреса или с помощью адреса, назначенного ISATAP.

Планирование требований Active Directory

Удаленный доступ использует Active Directory следующим образом:

• Authentication: The infrastructure tunnel uses NTLMv2 authentication for the computer account that is connecting to the Remote Access server, and the account must be in an Active Directory domain. Туннель интрасети использует проверку подлинности Kerberos для создания подключения пользователя к интрасети.

• Объекты групповой политики. Удаленный доступ собирает параметры конфигурации в объекты групповой политики (ГОП), которые применяются к серверам удаленного доступа, клиентам и внутренним серверам приложений.

• Security groups: Remote Access uses security groups to gather and identify DirectAccess client computers. Объекты групповой политики применяются к необходимым группам безопасности.

При планировании среды Active Directory для развертывания удаленного доступа рассмотрите следующие требования:

• По крайней мере один контроллер домена установлен в операционной системе Windows Server 2012, Windows Server 2008 R2 Windows Server 2008 или Windows Server 2003.

  Если контроллер домена находится в сети периметра (и, следовательно, доступен из сетевого адаптера с подключением к Интернету сервера удаленного доступа), не позволить серверу удаленного доступа достичь его. Необходимо добавить фильтры пакетов на контроллер домена, чтобы предотвратить подключение к IP-адресу адаптера Интернета.

• Сервер удаленного доступа должен быть членом домена.

• Клиенты DirectAccess должны быть членами домена. Клиенты могут принадлежать к:

  • Любому домену в одном лесу с сервером удаленного доступа.

  • Любой домен, который имеет двустороннее доверие с доменом сервера удаленного доступа.

  • Любой домен в лесу с двусторонним доверием с лесом домена сервера удаленного доступа.

Note

• Сервер удаленного доступа не может быть контроллером домена.
• Контроллер домена Active Directory, используемый для удаленного доступа, не должен быть доступен из внешнего интернет-адаптера сервера удаленного доступа (адаптер не должен находиться в профиле домена брандмауэра Windows).

Планирование клиентской проверки подлинности

В удаленном доступе в Windows Server 2012 можно выбрать вариант между использованием встроенной проверки подлинности Kerberos, которая использует имена пользователей и пароли или использовать сертификаты для проверки подлинности компьютера IPsec.

Kerberos authentication: When you choose to use Active Directory credentials for authentication, DirectAccess first uses Kerberos authentication for the computer, and then it uses Kerberos authentication for the user. При использовании этого режима проверки подлинности DirectAccess использует один туннель безопасности, предоставляющий доступ к DNS-серверу, контроллеру домена и любому другому серверу во внутренней сети.

IPsec authentication: When you choose to use two-factor authentication or Network Access Protection, DirectAccess uses two security tunnels. Мастер установки удаленного доступа настраивает правила безопасности подключения в брандмауэре Windows с расширенной безопасностью. Эти правила указывают следующие учетные данные при согласовании безопасности IPsec с сервером удаленного доступа:

• Туннель инфраструктуры использует учетные данные сертификата компьютера для первой проверки подлинности и учетных данных пользователя (NTLMv2) для второй проверки подлинности. Учетные данные пользователя принудительно используют протокол AuthIP с проверкой подлинности и предоставляют доступ к DNS-серверу и контроллеру домена, прежде чем клиент DirectAccess может использовать учетные данные Kerberos для туннеля интрасети.

• Туннель интрасети использует учетные данные сертификата компьютера для первой проверки подлинности и учетных данных пользователя (Kerberos V5) для второй проверки подлинности.

Планирование нескольких доменов

В список серверов управления должны входить контроллеры домена из всех доменов, содержащих группы безопасности с клиентскими компьютерами DirectAccess. Он должен содержать все домены, содержащие учетные записи пользователей, которые могут использовать компьютеры, настроенные как клиенты DirectAccess. Это гарантирует, что пользователи, не размещенные в одном домене с клиентским компьютером, на котором они работают, проходят проверку подлинности на контроллере домена в домене пользователя.

Эта проверка подлинности выполняется автоматически, если домены находятся в одном лесу. Если существует группа безопасности с клиентскими компьютерами или серверами приложений, которые находятся в разных лесах, контроллеры домена этих лесов не обнаруживаются автоматически. Леса также не обнаруживаются автоматически. Вы можете запустить задачу Обновление серверов управления в управлении удаленным доступом для обнаружения этих контроллеров домена.

По возможности общие суффиксы доменного имени следует добавить в NRPT во время развертывания удаленного доступа. Например, если у вас два домена, domain1.corp.contoso.com и domain2.corp.contoso.com, вместо добавления двух записей в таблицу NRPT, можно добавить запись общего суффикса DNS с суффиксом доменного имени corp.contoso.com. Это происходит автоматически для доменов в одном корне. Домены, которые не находятся в одном корневом каталоге, необходимо добавить вручную.

Планирование создания объекта групповой политики

При настройке удаленного доступа параметры DirectAccess собираются в объекты групповой политики (ГОП). Два узла групповой политики заполняются параметрами DirectAccess, и они распределены следующим образом:

• Объект групповой политики клиента DirectAccess: этот объект групповой политики содержит параметры клиента, включая параметры технологии перехода IPv6, записи NRPT и правила безопасности подключения для брандмауэра Windows с расширенной безопасностью. Этот GPO применяется к группам безопасности, указанным для клиентских компьютеров.

• Объект групповой политики сервера DirectAccess: этот объект групповой политики содержит параметры конфигурации DirectAccess, применяемые к любому серверу, который вы настроили в качестве сервера удаленного доступа в развертывании. Он также содержит правила безопасности подключения для брандмауэра Windows с расширенной безопасностью.

Note

Конфигурация серверов приложений не поддерживается в удаленном управлении клиентами DirectAccess, так как клиенты не могут получить доступ к внутренней сети сервера DirectAccess, на котором находятся серверы приложений. Шаг 4 на экране настройки удаленного доступа недоступен для этого типа конфигурации.

Вы можете настроить объекты групповой политики автоматически или вручную.

Automatically: When you specify that GPOs are created automatically, a default name is specified for each GPO.

Manually: You can use GPOs that have been predefined by the Active Directory administrator.

При настройке объектов групповой политики рассмотрите следующие предупреждения:

• После настройки DirectAccess для использования определенных объектов групповой политики (GPOs), его нельзя переконфигурировать для использования разных объектов групповой политики.

• Используйте следующую процедуру для резервного копирования всех объектов групповой политики удаленного доступа перед выполнением командлетов DirectAccess:

  Резервное копирование и восстановление конфигурации удаленного доступа.

• Независимо от того, используете ли вы автоматически или вручную настроенные объекты групповой политики, необходимо добавить политику для обнаружения медленных сетевых соединений, если клиенты будут использовать сеть 3G. Путь к Политике: настройка обнаружения медленной связи в групповых политиках:

  Конфигурация компьютера,полиция/административные шаблоны/системная/групповая политика.

• Если правильные разрешения для связывания GPO не предоставлены, выдается предупреждение. Операция удаленного доступа продолжится, но связывание не произойдет. Если это предупреждение выдано, ссылки не будут создаваться автоматически, даже если разрешения добавляются позже. Вместо этого администратору нужно создать ссылки вручную.

Автоматически созданные объекты групповой политики

При использовании автоматически созданных объектов групповой политики следует учитывать следующее:

Автоматически созданные GPOS применяются в зависимости от местоположения и целевой ссылки следующим образом:

• Для объекта групповой политики сервера DirectAccess расположение и целевая точка связи с доменом, содержащим сервер удаленного доступа.

• При создании клиентских и серверных объектов групповой политики сервера приложений расположение устанавливается на один домен. Имя объекта групповой политики ищется в каждом домене, и домен заполняется параметрами DirectAccess, если он существует.

• Цель ссылки установлена на корень домена, в котором была создана GPO. Таким образом, объект групповой политики создается в каждом домене, в котором имеются клиентские компьютеры или серверы приложений, и привязывается к его корневому каталогу.

При использовании автоматически созданных GPOs для применения параметров DirectAccess администратор сервера удаленного доступа требует следующих разрешений:

• Разрешения на создание объектов групповой политики для каждого домена.

• Разрешения для связывания со всеми корневами выбранного клиентского домена.

• Разрешения на связывание корней домена серверной групповой политики (GPO).

• Разрешения безопасности на создание, редактирование, удаление и изменение объектов групповой политики.

• Разрешения на чтение групповой политики для каждого обязательного домена. Это разрешение не требуется, но рекомендуется, так как оно позволяет удаленному доступу проверить, что объекты групповой политики с повторяющимися именами не существуют при создании объектов групповой политики.

Созданные вручную объекты групповой политики

При использовании вручную созданных GPO учитывайте следующее:

• Мастер настройки удаленного доступа следует запускать, когда объекты групповой политики уже существуют.

• Чтобы применить параметры DirectAccess, администратор сервера удаленного доступа требует полных разрешений безопасности для создания, редактирования, удаления и изменения созданных вручную объектов групповой политики.

• Поиск выполняется для ссылки на объект групповой политики в целом домене. Если объект GPO не связан с доменом, связь создается автоматически в корневом элементе домена. Если требуемые разрешения для создания связи недоступны, формируется предупреждение.

Восстановление удаленного объекта групповой политики (GPO)

Если объект групповой политики на сервере удаленного доступа, клиенте или сервере приложений был удален случайно, появится следующее сообщение об ошибке: объект групповой политики (имя групповой политики) не найден.

Если имеется резервная копия, вы сможете восстановить GPO. Если резервное копирование недоступно, необходимо удалить параметры конфигурации и снова настроить их.

Чтобы удалить параметры конфигурации

1. Run the Windows PowerShell cmdlet Uninstall-RemoteAccess.

2. Откройте службу управления удаленным доступом.

3. Отобразится сообщение об ошибке, говорящее, что GPO не найден. Щелкните Удалить параметры конфигурации. После завершения сервер будет восстановлен в ненастройленном состоянии, и вы можете перенастроить параметры.