Пошаговая инструкция по установке и настройке базового DirectAccess.

DirectAccess — это технология, позволяющая пользователям подключаться к корпоративной сети из любого места с помощью Интернета, обеспечивая безопасное предоставление доступа к ресурсам компании. В этой статье мы рассмотрим пошаговую инструкцию по установке и настройке базового DirectAccess.

Первый шаг — установка и настройка сервера DirectAccess. На сервере DirectAccess требуется наличие двух сетевых адаптеров: один для подключения к Интернету, другой для подключения к внутренней сети. Когда сервер DirectAccess установлен, необходимо настроить DNS-сервера и дополнительные компоненты сети, чтобы создать соединение между клиентами и сервером DirectAccess. Кроме того, настройте группы безопасности и GPO для разрешения доступа клиентам к ресурсам сети.

Второй шаг — настройка клиентских компьютеров. Для настройки клиентских компьютеров вы можете использовать командлеты Windows PowerShell или графический интерфейс. При настройке клиентских компьютеров необходимо указать значения для параметров DirectAccess-подключения, такие как сервер DirectAccess и адреса Интернета для проверки соединения. Определите также последовательность NCSI-пробы для проверки доступности Интернета по нескольким портам TCP/UDP.

Важно отметить, что при настройке DirectAccess существует некоторые ограничения и разрешения. Например, компьютеры, находящиеся за маршрутизатором NAT или использующие двойное подключение, не могут использовать DirectAccess. Кроме того, можно настроить «ограничение интерфейса побочной размещенности», которое позволяет DirectAccess работать только с определенными сетями объектов.

Когда все настройки сервера и клиента завершены, проверьте соединение с помощью клиента DirectAccess. Если все настроено правильно, клиент должен установить безопасное подключение к сети инфраструктуры, обеспечивая безопасный доступ к ресурсам компании только для доверенных устройств и пользователей.

Подготовка сервера и клиентских платформ

Перед установкой базового DirectAccess необходимо подготовить сервер и клиентские платформы, следуя следующим шагам:

1. Установите Windows Server с параметрами, указанными в процедуре установки базового DirectAccess.
2. Настройте сервер DNS. Установите одну или несколько записей обратного прокси-сервера для каждого сервера DirectAccess в разделе «Файлы домена с прямым доступом». Добавьте запись «www.msftconnecttest.com» с указанием IP-адреса, соответствующего серверу прямого доступа, чтобы клиентские компьютеры могли проверять связь с сервером.
3. Настройте сервер маршрутизации. У вас должно быть две сетевые платы: одна сетевая плата, обращающаяся к сетевым объектам снаружи, а другая обеспечивающая обращение к сетевым объектам внутри домена.
4. Настройте групповые политики. Выполните команду «gpupdate /force» в командной строке для обновления политик групп.
5. Настройте сетевые объекты. Добавьте следующие объекты в диалоговое окно «Доверие к компьютеру» для обоих серверов прямого доступа:
• Группа безопасности предоставляющих доступ пользователей
• Два объекта безопасности для каждого сервера прямого доступа
6. Настройте источник DNS-записей. Используйте команды «set-dnsserverclientgpo» и «enable-dnsserverclientgpo» для настройки записей DNS-сервера.
7. Настройте статический IP-адрес и порт NCSI (Проверка подключение к сети Интернет). Для этого выполните команду «set-netconnectionprofile -interfacealias «network-facing» -networkcategory «public» -trustlevel «trusted» -ncsienabled $true -ncsiipv4address «xxx.xxx.xxx.xxx» -ncsiipv4port «80» -trustcategory «trusted»
8. Настройте проблему DNS. Используйте команду «set-netdnsprefixpolicy xxx -interfacealias «internet-facing» -precedence 1 -withmasks «/23» -storepersistent -trustlevel «trusted» -trustcategory «trusted» -name «OutboundInternet»
9. Присоедините клиентские компьютеры к домену. Используйте команду «add-computer -domainname «domain.com» -cred «domain\administrator» -force»

После завершения этих шагов ваш сервер и клиентские платформы будут готовы к установке и настройке базового DirectAccess.

Установка необходимого программного обеспечения

Перед установкой и настройкой базового DirectAccess требуется установить несколько необходимых программных компонентов на сервере. В этом разделе описывается этот шаг пошаговой инструкции.

Шаг 1: Установка базовых компонентов

Первым шагом необходимо установить следующие компоненты на сервере:

• Remote Access Management Tools (установлен на сервере DirectAccess)
• Group Policy Management Console (установлен на сервере с базовой службой AD DS)
• Windows Server Update Services (WSUS) (опционально, если требуется централизованное управление обновлениями для клиентов DirectAccess)

Для установки компонентов следуйте инструкциям на соответствующих веб-сайтах Microsoft:

• Remote Access Management Tools: https://docs.microsoft.com/ru-ru/windows-server/remote/remote-access/remote-access-manage-install
• Group Policy Management Console: https://docs.microsoft.com/ru-ru/previous-versions/windows/it-pro/windows-7/cc725932(v=ws.10)?redirectedfrom=MSDN
• Windows Server Update Services (WSUS): https://docs.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

Шаг 2: Создание клиентских политик Group Policy

Для настройки клиентского доступа к базовому DirectAccess следует создать групповую политику на сервере с базовой службой Active Directory Domain Services (AD DS). Данная политика будет определять параметры DirectAccess для клиентских компьютеров в домене организации.

1. На сервере с базовой службой AD DS откройте Group Policy Management Console.
2. В расположении Forest, щелкните правой кнопкой мыши Group Policy Objects и выберите New.
3. Укажите имя новой политики и нажмите OK.
4. В расположении Group Policy Objects, щелкните правой кнопкой мыши созданную политику и выберите Edit.
5. Перейдите к разделу Computer Configuration > Policies > Administrative Templates > Network > Network Connections > Windows Components > DirectAccess Client Experience.
6. Откройте параметр Force tunneling и настройте его значение на Enabled.
7. Откройте параметр Inbound TCP/IP traffic и настройте его значение на Enabled.
8. Откройте параметр Name resolution policy table (NRPT) и настройте его значение на Enabled.
9. Откройте параметр Outside corporate network и настройте его значение на Enabled.
10. Сохраните изменения и закройте Group Policy Management Console.

Шаг 3: Настройка сервера DirectAccess

Далее необходимо настроить сервер DirectAccess. Для этого выполните следующие действия:

1. На сервере DirectAccess откройте Remote Access Management Console.
2. В листвиде Configuration, раскройте DirectAccess and VPN, а затем щелкните правой кнопкой мыши на DirectAccess Setup Wizard.
3. В мастере установки DirectAccess задайте необходимые параметры:
• Выберите Deploy full DirectAccess for client access, management, and NLS.
• Укажите Public Name для сервера DirectAccess.
• Укажите публичный IPv4-адрес сервера DirectAccess.
• Укажите домен организации.
4. Продолжайте мастер установки, следуя инструкциям.
5. После завершения мастера установки DirectAccess, убедитесь, что DirectAccess настроен и работает правильно.

После завершения всех шагов по установке и настройке базового DirectAccess, клиентские компьютеры в домене организации смогут подключаться к ресурсам сети через интернет с использованием DirectAccess.

Конфигурация сети и маршрутизации

Для настройки базового DirectAccess на сервере Windows следует выполнить несколько команд и настроек сети и маршрутизации. Ниже приведены шаги, которые следует выполнить для правильной конфигурации.

1. Настройте IP-адрес на сервере DirectAccess. Откройте панель управления «Network and Sharing Center» и выберите «Change adapter settings». Настройте IP-адрес и другие параметры в соответствии с требованиями вашей корпоративной сети.
2. Настройте маршрутизацию на сервере DirectAccess. Проверьте, что все подсети, к которым должны иметь доступ клиенты DirectAccess, маршрутизируются на сервер DirectAccess.
3. Настройте DNS-сервер для базовой DirectAccess. Добавьте A-записи (records) для корпоративного сервера DirectAccess и сервера сети 1 (если есть). Убедитесь, что у всех клиентов DirectAccess в конфигурации сетевого интерфейса указаны правильные DNS-серверы.
4. Настройте межсетевое экранирование на сервере DirectAccess. Откройте «Windows Firewall with Advanced Security» и разрешите входящие правила для нужного порта (обычно используется порт 443 для HTTP/HTTPS трафика) и протокола TCP/UDP.
5. Настройте проверку отзыва сертификатов NCSI (Network Connectivity Status Indicator) на сервере DirectAccess. Для этого выполните команду «Set-NCSIP-Object -ObjectClient» с указанием IP-адреса внутреннего сервера.
6. Настройте групповые политики (GPOs) для объектов безопасности DirectAccess. Добавьте нужные группы в групповые политики для настройки клиентского доступа к DirectAccess. Проверьте, что у всех пользователей и компьютеров, которым требуется доступ к DirectAccess, есть права на выполнение командлетов.
7. Настройте ISATAP на сервере DirectAccess. Откройте командную строку от имени администратора и выполните команду «netsh int isatap set state default».

После выполнения этих шагов ваш сервер DirectAccess будет настроен и готов к использованию.

Выбор типа конфигурации DirectAccess

При настройке DirectAccess мы должны выбрать тип конфигурации, который лучше всего подходит для нашей организации и условий использования. В DirectAccess существует два типа конфигурации: Internet-facing и corporate.

Internet-facing

Internet-facing конфигурация используется, когда компьютеры, подключенные к корпоративной сети, имеют доступ к Интернету через адаптер сети. В этом режиме DirectAccess устанавливает прямое подключение с компьютерами, находящимися за брандмауэром, вне зависимости от их местоположения. При использовании этой конфигурации DirectAccess в полной мере обеспечивает прозрачный доступ к корпоративным ресурсам и приложениям.

Однако в случае использования этого режима DirectAccess следует учесть некоторые особенности. Например, адаптер сети, подключаемый к Интернету, должен иметь публичный IP-адрес или быть настроен на работу с NAT. Также необходимо учесть, что все компьютеры, подключенные к сети, должны иметь доступ к веб-адресу NCSI (Network Connectivity Status Indicator), чтобы можно было определить, работает ли интернет-подключение.

Corporate

Корпоративный тип конфигурации предназначен для создания DirectAccess инфраструктуры внутри самой корпоративной сети. Он обеспечивает безопасное соединение для компьютеров, находящихся за брандмауэром, с использованием DirectAccess сервера. Компьютеры на граничных узлах сети могут использовать DirectAccess для доступа к ресурсам в корпоративной сети.

В этом режиме DirectAccess может быть настроен для работы в традиционном режиме или в режиме «конфигурация корпоративного полномочия» (Enterprise Authority Configuration). При использовании последнего режима DirectAccess работает с Active Directory для аутентификации компьютеров, подключаемых к сети, и управления политиками безопасности.

В итоге, при выборе типа конфигурации DirectAccess следует учитывать особенности организации, доступ к Интернету и необходимые уровни безопасности. Неправильный выбор типа конфигурации может повлиять на работоспособность DirectAccess и безопасность сети.

Настройка подключения к Интернету

1. Убедитесь, что ваша сеть имеет доступ в Интернет и может связаться с несколькими удаленными узлами.
2. Настоятельно рекомендуется использовать два физических сетевых адаптера на сервере DirectAccess. Один адаптер будет использоваться для внешнего сетевого подключения (inet), а второй — для внутреннего подключения (int).
3. Определите правильные параметры сетевых адаптеров, включая IP-адреса, маски подсети, шлюз по умолчанию и DNS-сервера для обоих адаптеров:

• Для внешнего адаптера (inet), укажите публичный IP-адрес, который будет использоваться клиентскими компьютерами для обращения к серверу DirectAccess, маску подсети и шлюз по умолчанию. Также настройте DNS-сервера, которые будут использоваться клиентскими компьютерами для разрешения имен в Интернете.
• Для внутреннего адаптера (int), используйте внутренний IP-адрес и маску подсети, которые будут использоваться сервером DirectAccess для связи с клиентскими компьютерами.

После настройки сетевых адаптеров, убедитесь, что они подключены и работают корректно.

Когда у вас есть правильные сетевые параметры и подключение к Интернету настроено, выполните следующие шаги для настройки DirectAccess:

1. В среде Windows Server, выберите «Установка DirectAccess и VPN (Рутинное развертывание)» в списке ролей сервера при установке.
2. При настройке DirectAccess, выберите «Рутинное развертывание»
3. Выберите группы пользователей, которым требуется использование DirectAccess в вашей среде. Обычно это группы пользователей, которые часто работают вне офиса и требуют доступ к корпоративным ресурсам.
4. Настройте сервер DirectAccess с помощью групповых политик (GPOs). Укажите права доступа и разрешения для клиентских компьютеров при настройке GPO.
5. Укажите сервера DNS-сервера и настройте суффикс, связанный с доменом вашей сети. Это позволяет клиентским компьютерам разрешать имена в вашей среде, когда они находятся вне офиса.
6. Укажите NCSI-пробы для проверки доступности Интернета. Это позволяет клиентским компьютерам определить, доступен ли Интернет и работает ли DirectAccess успешно.
7. Настройте параметры подключения клиентских компьютеров. Укажите, какие сети будут считаться «внутренними» и «внешними» для DirectAccess.
8. Настройте фаерволлы и доступ к общим папкам для клиентских компьютеров по желанию.
9. Проверьте настройки DirectAccess и убедитесь, что все параметры настроены корректно. После этого можете продолжить с установкой DirectAccess.

После завершения настройки, вы можете продолжить с установкой DirectAccess на сервере и развертыванием клиентских компьютеров в вашей сети. После установки DirectAccess, убедитесь, что все клиенты могут успешно подключаться к корпоративной сети через DirectAccess.

Видео:

Базовая настройка Windows Server 2019 (2016).

Базовая настройка Windows Server 2019 (2016). Автор: Помощник Админа 16 615 просмотров 4 года назад 5 минут 27 секунд