Развертывание End-to-Edge DirectAccess

Для установки DirectAccess понадобится сервер под управлением ОС Windows 2008 R2, клиентские системы только Windows 7 и Windows 2008 R2. На других компонентах сети: контроллере домена, DNS- и DHCP-сервере можно использовать Windows 2008 R2 или SP2. Кроме того, должна быть развернута инфраструктура управления открытыми ключами PKI (Public Key Infrastructure). Сервер DirectAccess должен иметь два сетевых интерфейса. Для упрощения будем считать, что все системы установлены, роли «Active Directory Domain Services» (при этом активируется DNS-компонент), «Active Directory Certificate Services» и «DHCP Server» настроены, на сервере DirectAccess функционирует «Web Server (IIS)«, компьютеры подключены к домену, созданы необходимые учетные записи.
В настройках роли «DHCP Server» на шаге «Configure DHCPv6 Stateless Mode» выбираем «Disable DHCPv6 stateless mode for this server» и в следующем окне «Authorize DHCP Server page» отмечаем «Use current credentials«. В «Active Directory Users and Computers» создаем отдельную группу для пользователей DirectAccess. В настройках «Windows Firewall with Advanced Security» нужно предписать правила, разрешающие входящие и исходящие ICMPv4/ICMPv6 «Echo Request» пакеты. И, наконец, исключаем протокол ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) из DNS блок-листа (по умолчанию в него включены WPAD и ISATAP), введя команду:

> dnscmd /config /globalqueryblocklist wpad

После пересоздания правил в списках останется только WPAD (Web Proxy AutoDiscovery).
DirectAccess является компонентом (Features), и процесс его установки стандартен. Вызываем Диспетчер сервера (Server Manager), выбираем «Add Features» и отмечаем «DirectAccess Management Console«, подтверждаем появившийся запрос на установку дополнительных компонентов.

По окончании установки соответствующая вкладка появится в Диспетчере сервера, также в меню «Administrative Tools» будет доступна консоль «DirectAccess Management» (DAMgmt.msc).
В первом окне DAMgmt хочу обратить внимание на ссылку «Checklist: Before you configure DirectAccess«, выбор которой откроет окно документа, где расписаны все шаги, необходимые для того, чтобы DirectAccess заработал.

Консоль предлагает два меню: Setup и Monitoring. Для дальнейшей настройки переходим в Setup. Если все требования выполнены, мы увидим упрощенную схему сети с указанием дальнейших шагов (Step1…Step4), иначе будут выведены предупреждения о том, что нужно выполнить. Устраняем и нажимаем кнопку «Retry», чтобы проверить правильность выполненных настроек.
Шаг первый — «Remote Clients», нажав кнопку Configure, находящуюся в одноименной области, вызываем мастер настройки клиента. Далее Add и указываем группу Active Directory, куда входят компьютеры, работающие через DirectAccess. Следующий шаг — «DirectAccess Server» — нажимаем Configure. В появившемся окне будут схематически показаны сетевые подключения к серверу DirectAccess. Здесь требуется указать, к какому из них подключены WAN и LAN. Кнопка Detail покажет подробные настройки по интерфейсам. Флажок внизу «Require smart card login for remote users…» активирует функцию аутентификации пользователей по смарт-картам. В следующем окне — «Certificate Components» — выбираются корневой и HTTPS-сертификаты, которые будут использоваться соответственно для проверки сертификатов и соединения. По окончании нажимаем кнопку Finish. На третьем шаге «Infrastructure Servers» настраиваются все сервера, которые будут задействованы в работе DirectAccess. Первый этап настройки «Location», здесь указываем имя HTTPS-сервера, к которому будет обращаться клиент для определения своего местоположения (WAN или LAN). Обычно в этом качестве выступает веб-сервер компании, поэтому отмечаем «Network Location Server is run on highly» и в поле пишем URL вида https://server.ru/. Если эту роль будет играть сам сервер DirectAссess, то переключаем флажок в нижнее положение и выбираем в списке сертификат сервера. Далее мастер определяет DNS и DC сервера, которые будут использоваться DirectAссess для разрешения внутренних имен. Если визард допустил ошибку, поправляем настройки вручную. На этапе «Management» (опционально) указываются сервера, которые будут управлять клиентскими подключениями (например NAP). И на последнем шаге «Application Servers» настраиваются серверы приложений, к которым будут получать доступ клиенты DirectAссess. Так как мы выбирали схему End-to-Edge, то оставляем переключатель в положении «Require no additional end-to-end authentication». Нажимаем Save и после сохранения настроек выходим нажатием Finish, проверяем установки в окне Review и подтверждаем их — Apply. Начнется процесс конфигурирования политик, который займет некоторое время. Обновляем на клиентах групповые политики и сетевые настройки:

> gpupdate
> net stop iphlpsvc
> net start iphlpsvc

Все, настройки DirectAссess закончены, клиенты могут подключаться к сети из любого места.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)