- Шаг 1. Настройка базовой инфраструктуры DirectAccess
- Настройка сетевых параметров сервера
- Настройте маршрутизацию в корпоративной сети
- Настройка брандмауэров
- Настройка DNS-сервера
- Создание сервера сетевых расположений DNS-записей NCSI-пробы
- Настройка Active Directory
- Присоединение сервера удаленного доступа к домену
- Присоединение клиентских компьютеров к домену
- Настройка объектов групповой политики
- Настройка групп безопасности
- Создание группы безопасности для клиентов DirectAccess
Шаг 1. Настройка базовой инфраструктуры DirectAccess
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе описывается, как настроить инфраструктуру, необходимую для базового развертывания DirectAccess с использованием одного сервера DirectAccess в смешанной среде с поддержкой IPv4 и IPv6. Прежде чем приступить к развертыванию, убедитесь, что выполнены действия по планированию, описанные в разделе планирование базового развертывания DirectAccess.
| Задача | Описание |
|---|---|
| Настройка сетевых параметров сервера | Настройте сетевые параметры на сервере DirectAccess. |
| Настройте маршрутизацию в корпоративной сети | Для правильного направления трафика следует настроить маршрутизацию в корпоративной сети. |
| Настройка брандмауэров | При необходимости настройте дополнительные брандмауэры. |
| Настройка DNS-сервера | Настройте параметры DNS для сервера DirectAccess. |
| Настройка Active Directory | Присоедините клиентские компьютеры и сервер DirectAccess к домену Active Directory. |
| Настройка объектов групповой политики | Если необходимо, настройте объекты групповой политики для развертывания. |
| Настройка групп безопасности | Настройте группы безопасности, включающие компьютеры клиентов DirectAccess, а также любые другие группы безопасности, необходимые для развертывания. |
В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.
Настройка сетевых параметров сервера
Для развертывания одиночного сервера в среде, работающей на основе IPv4 и IPv6, необходимо выполнить следующие настройки сетевого интерфейса: Для настройки всех IP-адресов используется пункт Изменение параметров адаптера в разделе Центр управления сетями и общим доступом Windows.
Один общедоступный статический IPv4- или IPv6-адрес для Интернета.
Для Teredo необходимы два последовательных общедоступных IPv4-адреса. Если вы не используете Teredo, вы можете настроить один общедоступный статичный IPv4-адрес.
Один внутренний статический IPv4- или IPv6-адрес.
За устройством NAT (два сетевых адаптера)
Один внутренний IPv4- или IPv6-адрес, направленный в Интернет.
Один статический IPv4- или IPv6-адрес для сети периметра.
За устройством NAT (один сетевой адаптер)
- Один статический IPv4- или IPv6-адрес.
Если сервер DirectAccess оснащен двумя или более сетевыми адаптерами (один указан в доменном профиле, а другой — в публичном или частном), но планируется использование топологии с одной сетевой картой, следует выполнить следующие действия.
Убедитесь, что второй сетевой адаптер и все дополнительные адаптеры определены в профиле домена.
Если второй сетевой адаптер по какой-либо причине не может быть настроен для доменного профиля, следует вручную установить область действия политик IPsec DirectAccess для всех профилей с помощью следующих команд Windows PowerShell.
Политики IPsec — DirectAccess-DaServerToInfra и DirectAccess-DaServerToCorp.
Настройте маршрутизацию в корпоративной сети
Настройте маршрутизацию в корпоративной сети следующим образом.
Если в организации развернута собственная инфраструктура на основе IPv6, следует добавить маршрут, позволяющий маршрутизаторам, расположенным во внутренней сети, возвращать трафик IPv6 через сервер удаленного доступа.
Вручную настройте маршруты IPv4 и IPv6 на серверах удаленного доступа. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 организации (/48) пересылался во внутреннюю сеть Кроме того, следует добавить подробные маршруты для направления IPv4-трафика во внутреннюю сеть.
Настройка брандмауэров
Если вы используете при развертывании дополнительные брандмауэры, примените следующие исключения для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv4:
трафик 6to4 — IP-протокол 41, входящий и исходящий.
Протокол IP-HTTPS — порт назначения TCP 443 и порт источника TCP 443 исходящие. Когда сервер удаленного доступа имеет один сетевой адаптер, а сервер сетевых расположений находится на сервере удаленного доступа, тогда также требуется TCP-порт 62000.
Это исключение должно быть настроено на сервере удаленного доступа. Все остальные исключения должны быть настроены на пограничном брандмауэре.
В отношении трафика Teredo и 6to4 эти исключения должны применяться для обоих последовательных общедоступных IPv4-адресов для выхода в Интернет на сервере удаленного доступа. Для IP-HTTPS исключения необходимо применять к тому адресу, которому соответствует внешнее имя сервера.
Если вы используете дополнительные брандмауэры, примените следующие исключения брандмауэра для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv6:
UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.
При использовании дополнительных брандмауэров применяйте следующие исключения внутреннего сетевого брандмауэра для трафика удаленного доступа:
ISATAP — протокол 41, входящий и исходящий
Протоколы TCP/UDP для всех типов трафика IPv4/IPv6
Настройка DNS-сервера
Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.
Создание сервера сетевых расположений DNS-записей NCSI-пробы
На DNS-сервере внутренней сети запустите днсмгмт. msc и нажмите клавишу ВВОД.
В левой области консоли Диспетчер DNS разверните зону прямого просмотра для вашего домена. Щелкните правой кнопкой мыши по домену и выберите Новый узел (A или AAAA).
В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-сайта сервера сетевых расположений (это имя используется клиентами DirectAccess для подключения к серверу сетевых расположений). В поле IP-адрес укажите IPv4-адрес сервера сетевых расположений и нажмите Добавить узел. В диалоговом окне DNS щелкните OK.
В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-пробы (имя веб-пробы по умолчанию: directaccess-webprobehost). В поле IP-адрес укажите IPv4-адрес веб-пробы и щелкните Добавить узел. Повторите этот процесс для имени directaccess-corpconnectivityhost и любых средств проверки подключения, созданных вручную. В диалоговом окне DNS щелкните OK.
Нажмите кнопку Готово.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Также следует настроить записи DNS для следующих компонентов:
Сервер IP-HTTPS — клиенты DirectAccess должны иметь возможность разрешить DNS-имя сервера удаленного доступа из Интернета.
Проверка отзыва списка отзыва сертификатов . DirectAccess использует проверку отзыва сертификатов для подключения IP-HTTPS между клиентами DirectAccess и сервером удаленного доступа, а также для подключения на основе протокола HTTPS между клиентом DirectAccess и сервером сетевого расположения. В обоих случаях у клиентов DirectAccess должна быть возможность разрешения расположения точки распространения CRL и доступа к ней.
Настройка Active Directory
Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:
Домены, принадлежащие к тому же лесу, что и сервер удаленного доступа.
Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.
Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.
Присоединение сервера удаленного доступа к домену
В диспетчере серверов щелкните Локальный сервер. В области сведений перейдите по ссылке Имя компьютера.
В диалоговом окне Свойства системы перейдите на вкладку имя компьютера . На вкладке имя компьютера нажмите кнопку изменить.
В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.
При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.
При появлении диалогового окна с приветствием домена нажмите кнопку «OK».
При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
В диалоговом окне Свойства системы нажмите Закрыть.
При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.
Присоединение клиентских компьютеров к домену
Запустите explorer.exe.
Щелкните правой кнопкой значок компьютера и выберите Свойства.
На странице Система щелкните Дополнительные параметры системы.
В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.
В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.
При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.
При появлении диалогового окна с приветствием домена нажмите кнопку «OK».
При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.
В диалоговом окне Свойства системы нажмите кнопку «Закрыть». Щелкните Перезагрузить сейчас, когда появится сообщение о необходимости перезагрузки.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Обратите внимание, что после введения команды «Добавить компьютер» необходимо ввести учетные данные домена.
Настройка объектов групповой политики
Для развертывания удаленного доступа требуется как минимум два объекта групповой политики: один объект групповой политики содержит параметры для сервера удаленного доступа, а один — параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает требуемый объект групповой политики. Однако если ваша организация применяет Соглашение об именовании или у вас нет необходимых разрешений для создания или изменения объектов групповой политики, они должны быть созданы перед настройкой удаленного доступа.
Сведения о создании объекта групповой политики см. в разделе Создание и изменение объекта Групповая политика.
Администратор может вручную связать объект групповой политики DirectAccess с подразделением, выполнив следующие действия:
- Перед настройкой DirectAccess свяжите созданные объекты групповой политики с соответствующими подразделениями.
- Настройте DirectAccess, укажите группу безопасности для клиентских компьютеров.
- У администратора могут как иметься, так и отсутствовать разрешения связывать объекты групповой политики с доменом. В любом из этих случаев объекты групповой политики будут настроены автоматически. Если объекты групповой политики уже привязаны к подразделению, связи не будут удалены, а объекты групповой политики не будут связаны с доменом. Для объекта групповой политики сервера подразделение должно содержать объект-компьютер сервера. В противном случае объект групповой политики будет связан с корневым каналом домена.
- После завершения настройки администратор домена также может связать объекты групповой политики DirectAccess с необходимыми подразделениями, если это не было сделано до запуска мастера DirectAccess. Связь с доменом можно удалить. Действия по связыванию объекта групповой политики с подразделением можно найти здесь .
Если объект групповой политики был создан вручную, то во время настройки DirectAccess возможно, что объект групповой политики будет недоступен. Возможно, объект групповой политики не был реплицирован на ближайший контроллер домена на компьютер управления. В этом случае администратор может дождаться завершения репликации или выполнить принудительную репликацию.
Использование любых средств, кроме мастера установки DirectAccess, для настройки DirectAccess, таких как изменение объектов DirectAccess групповая политика напрямую или изменение параметров политики по умолчанию на сервере или клиенте вручную, не поддерживается.
Настройка групп безопасности
Параметры DirectAccess, содержащиеся в объектах групповой политики клиентского компьютера, применяются только к компьютерам, входящим в группы безопасности, указанные при настройке удаленного доступа.
Создание группы безопасности для клиентов DirectAccess
Запустите DSA. msc. В консоли Active Directory — пользователи и компьютеры разверните в левой области домен, к которому будет принадлежать группа безопасности, щелкните правой кнопкой мыши Пользователи, выберите Новые, после чего щелкните Группа.
В диалоговом окне Создать объект — Группа в поле Имя группы укажите имя группы безопасности.
Параметру Область действия группы присвойте значение Глобальная, параметру Тип группы — значение Безопасность, после чего нажмите OK.
Дважды щелкните по группе безопасности, в которую входят компьютеры клиентов DirectAccess, и в диалоговом окне со свойствами откройте вкладку Члены.
На вкладке Члены группы щелкните Добавить.
В диалоговом окне Выбор пользователей, контактов, компьютеров, учетных записей служб или групп выберите клиентские компьютеры, для которых хотите установить DirectAccess, после чего щелкните OK.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Источник
