Настройка direct access в windows 2016

Обновлено: 07.07.2024

Для начала краткий экскурс в IPv6, т.к. DirectAccess работает только по IPv6. Сразу хочу успокоить читателей, в современных сетях, использующих IPv4 работать технология будет (в том числе и через IPv4 интернет). Самое существенное ограничение - через DirectAccess не будет работать доступ к старым серверам (Windows 2000 Server и младше). Могут быть прблемы и с доступом к Windows Server 2003. На него надо будет устанавливать поддержку IPv6. Полная поддержка IPv6 (включая поддержку IPv6 со стороны всех служб ОС есть только в Windows Vista и Windows Server 2008 и старше). Это ограничение можно попытаться обойти используя portproxy или устройства NAT-PT. Первая технология (portproxy) позволяет проксировать TCP трафик из IPv6 и перенаправлять его на IPv4 сервера. Вторая, (NAT-PT) работает по принципу NAT'a только преобразует IPv6 трафик в IPv4 и наоборот (никакого отношения к Teredo не имеет). Но и с этими технологиями могут возникнуть сложности, т.к. portproxy хотя и поддерживается в Windows Server 2008, но проксирует только TCP. Что делать с UDP трафиком не понятно. NAT-PT в Windows не реализовано, так что надо смотреть в сторону производителей оборудования.

Тем, кого не испугали ограничения, предлагаю перейти к настройке DirectAccess.

1. Контроллер домена (DC) под управлением Windows Server 2008 R2

2. Сервер, член домена, под управлением Windows Server 2008 R2. Здесь только R2, т.к. на ранних версиях Windows Server DirectAccess не работает. Этот сервер будет шлюзом. Пусть называется DA.

DC должен быть настроен как обычно (статические IPv4 адреса, DNS и пр.). Единственное замечание, нельзя отключать IPv6. Иначе не будет работать.

DA должен иметь два разных сетевых интерфейса. Один подключен к внутренней сети, другой - к интернет на прямую. Через NAT работать не будет. При этом на интерфейсе, подключенном к интернет, должны быть настроены два внешних IPv4 адреса. Адреса должны быть последовательными.

На внутреннем интерфейсе прописываем IPv4 адрес для связи с DC и DNS -суффикс подключения = имени домена (в моем примере домен contoso . com ), а также IPv6 адрес. Опять же я использовал unique local адрес (т.е. из сети FD00). У меня это FD00:0:0:1::2/64. DNS - FD00:0:0:1::1 (адрес DC).

Далее, необходимо установить службу маршрутизации (она находится в ролях и является частью роли Network Access and Protection Server). Необходима только эта служба, другие службы роли устанавливать не надо.

RRAS влючаем и настраиваем как маршрутизатор IPv6 в локальной сети. Маршрутизацию вызова по требованию можно отключить. Маршрутизацию IPv4 тоже.

Далее необходимо выдать сертификаты для компьютера DA и компьютера с Windows 7. Думаю, это все умеют делать. Не забудте добавить сертификат вашего центра сертификатов в качестве trusted root certificates на сервере DA и Windows 7. Удобнее это сделать с помощью GP.

Затем идем в меню Пуск -> Administrative Tools -> DirectAccess Management и далеев раздел setup. Если все ранее описанное выполнено правильно, то вы увидете 4 шага по настройке DirectAccess . Здесь начинается самая простая стадия в настройке DirectAccess :-)

Итак, шаг 1, remote clients. Edit -> добавить группу, в которой будут компьютеры, подключающиеся по DirectAccess. Группа должна быть создана в AD в ней должны быть учетные записи компьютеров, которым будет предоставлен доступ через DirectAccess . Компьютеры должны быть в домене. Теперь нажать Finish.

Шаг 2, DirectAccess Server. Edit -> Interface Connected to Internet, выбираем сетевой интерфейс, подключенный к интернет и interface connected to internal network выбираем интерфейс, подключенный к внутренней сети. Next. IPv6 prefix пишем FD00::/48 если вы выбрали использование unique local как это делал я. IPv6 prefix to assign to remote clients FD00:0:0:5555::/64. Next. Select the root certificate -> Browse -> выбираем корневой сертификат , Finish.

Шаг 4. Edit -> Require no additional end-to-end authentication, т.е. дополнительного шифрования/аутентификации для доступа к внутренним серверам не требуется.

IPv4 адрес в случае подключения к интернет должен быть внешним. Чтобы заработали серые IP адреса (компьютер в интернете, но за NATом), необходимо настроить isatap или teredo.

Наиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN -соединения. Данная технология имеет ряд минусов таких как:

  • необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
  • необходимость прохождения пользователем дополнительной процедуры аутентификации;
  • отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
  • отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
  • при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.
  • применять к удалённому компьютеру групповые политики;
  • подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
  • контролировать интернет трафик;
  • применять DLP -системы;
  • использовать централизованное управление антивирусной защитой;
  • и другие средства доступные внутри домена.

Microsoft DirectAccess 2012

Описание ключевых используемых технологий начну с Microsoft DirectAccess, так как она будет основным компонентом создаваемой системы мобильного удаленного доступа к корпоративной среде. Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.

Технология DirectAccess впервые была представлена в качестве компонента Micrisoft Windows Server 2008 R2 и предназначалась для организации прозрачного доступа удаленных компьютеров к внутренним ресурсам сети компании. DirectAccess позволяет удаленным пользователям полноценно использовать ресурсы корпоративной сети и пользоваться сервисами домена.

Также, технология DirectAccess позволяет сотрудникам различных технических подразделений (Help Desk, администраторы ИТ и ИБ), управлять учетными записями удаленных пользователей, компонентами антивирусной защиты, локальными политиками безопасности, осуществлять мониторинг своевременной установки обновлений операционной системы и прикладных программ. Это позволяет поддерживать удаленную систему в актуальном с точки зрения информационной безопасности состоянии.

По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети, но разница есть, и довольно существенна. DirectAccess на базе Windows Server 2012 делает отличия между компьютерами внутренней корпоративной сети и компьютерами удаленных клиентов менее заметными.

Ниже приведу сравнение нового DirectAccess с технологией VPN.

  • DirectAccess 2012 можно настроить только для удаленно управления, без возможности доступа удаленных клиентов во внутреннюю сеть организации.
  • Пользователю нет необходимости запускать клиентское приложение и отдельно вводить учетные данные для организации VPN – соединения и авторизации в домене. В DirectAccess подключение к корпоративной сети происходит автоматически в момент загрузки операционной системы, пользователю необходимо только ввести идентификационные данные для прохождения аутентификации и авторизации в корпоративном домене.
  • Так как компьютер уже находится в корпоративной сети еще на стадии загрузки, то он получает обновления доменных групповых политик и других изменений, которые возможны только на этапе загрузки компьютера.
  • Компьютеру достаточно просто загрузится, чтобы появлялась возможность подключения к нему, например по RDP. Прохождение процедур идентификации и аутентификации, с целью загрузить учетную запись удаленного пользователя при этом не требуется.
  • Канал связи между компьютером и корпоративной сетью шифруется стойкими алгоритмами с использованием IPsec. Для реализации IPsec в технологии VPN понадобится дополнительное аппаратное обеспечение.
  • Есть возможность добавить нативную поддержку двухфакторной аутентификации с использованием одноразовых паролей (OTP ). Для VPN такой встроенной поддержки нет, требуется использовать дополнительное ПО сторонних производителей.
  • Для соединения удаленного клиента и сервера DirectAccess используется единственный порт – 443. Так как этот порт обычно открыт на фаэрволах, у клиента не будет проблемы с подключением, где бы он ни был. В VPN этого можно достичь, используя только протокол SSTP.
  • Есть возможность добавить удаленную машину в домен, используя технологию Offline Domain Join, то есть ввести компьютер в домен без соединения с контроллером домена. При следующей загрузке АРМ будет частью корпоративной сети, используя подключения DirectAccess.
  • К плюсам VPN можно отнести то, что удаленным клиентам не обязательно быть членами домена, для DirectAccess это обязательное требование, следовательно, DirectAccess не замещает VPN. То есть удаленному пользователю необходимо либо выдать корпоративный ноутбук, либо вводить в домен его личный компьютер.
  • ISATAP – протокол, который используется для автоматического назначения адресов IPv6 внутри интрасети IPv4 организации.
  • 6tо4 — этот протокол используется для автоматического назначения адресов IPv6 и маршрутизации через публичную сеть Интернет на базе IPv4.
  • Teredo — протокол, применяющийся к устройствам, находящимся за NAT, для автоматического назначения адресов IPv6 и маршрутизации через публичную сеть Интернет на базе IPv4. Для работы этого протокола необходимы два последовательных публичных IРv4-адреса.

Инкапсуляция IPv6 в IPv4

Клиент DirectAccess устанавливает два туннеля, которые являются ключом к разносторонности этого метода дистанционного доступа. Это туннели IPsec ESP — полезная нагрузка со встроенной защитой, которые аутентифицируются и шифруются для обеспечения конфиденциальности.

Туннель компьютера устанавливается первым, когда запускается клиент DirectAccess. Этот туннель аутентифицируется только сертификатом компьютера и обеспечивает доступ к DNS интрасети и контроллерам доменов. Этот туннель также используется для загрузки групповой политики компьютера и запроса аутентификации пользователя.

Туннель пользователя аутентифицируется сертификатом компьютера и регистрационными данными пользователя и обеспечивает доступ к ресурсам интрасети. Этот туннель также применяется для загрузки групповой политики пользователей.

Два туннеля DirectAccess

Оба эти туннеля устанавливаются прозрачно для пользователя. Для установки дистанционного доступа пользователю не нужно вводить регистрационную информацию помимо той, что он вводит при входе в Windows.

Существует три модели работы DirectAccess:

    Модель полного доступа (end-to-edge) — клиент DirectAccess установит туннель IPsec к серверу DirectAccess. Затем сервер DirectAccess переадресует незащищенный трафик к ресурсам интрасети.

DirectAccess. Модель полного доступа.

DirectAccess. Модель ограниченного доступа

DirectAccess. Модель поддержки удаленного управления

Рассмотрим процесс подключения клиента к серверу DirectAccess.

Компьютер становится клиентом DirectAccess после применения к нему групповых политик, передающих ему настройки для подключения через DA. Групповые политики создаются на этапе конфигурирования сервера DirectAccess и распространяются на группы безопасности в Active Directory.

Подключение клиента DirectAccess внутри корпоративной сети

Находясь вне корпоративной сети, клиент использует внешние DNS-серверы (местного интернет провайдера), на которых не указано, как преобразовывать имя NLS сервера. Если NLS сервер обнаружен, клиент работает в сети как обычная рабочая станция, то есть IPsec не применяется.
В случае, когда клиент находится вне корпоративной сети, при попытке установить соединение с сервером NLS по DNS-имени, которое добавлено в исключения NRPT, клиент обращается к DNS-серверам, указанным в настройках сетевого адаптера. Так как при этом используются DNS-сервера Интернет-провайдера, на которых не прописано правило преобразования DNS-имени NLS сервера, клиент получает отказ в разрешении имени. Получив отказ от DNS сервера, клиентский компьютер применяет политики IPsec и обращается к серверу DirectAccess по его DNS-имени, которое должно быть прописано во внешней зоне корпоративного домена.

Далее пользователь DirectAccess входит в систему либо применяет регистрационные данные уже вошедшего пользователя в сочетании с сертификатами, чтобы установить туннель пользователя IPsec. Групповая политика пользователя применяется к клиенту DirectAccess. Сервер DirectAccess начинает пересылать трафик от клиента DirectAccess на авторизованные ресурсы интрасети.

Подключение клиента DirectAccess снаружи корпоративной сети

Windows To Go

В связи с тем, что для DirectAccess необходимо, чтобы компьютер клиента был включен в корпоративный домен, этот вариант не подходит пользователям, использующим личные компьютеры. Но есть технология, Windows To Go применение которой позволит использовать DirectAccess на любом компьютере, отвечающим минимальным требованиям запуска Windows 8 и подключенном к Интернет.

Технология Windows To Go – одна из новых возможностей Windows 8, позволяющая создать должным образом сконфигурированный образ ОС с установленным необходимым ПО, который будет загружаться непосредственно с USB-носителя вне зависимости от того, какая ОС установлена на компьютере.

Различия между Windows To Go и типовой установкой Windows:

    Во избежание случайного нарушения конфиденциальности данных внутренние жесткие диски главного компьютера при загрузке в рабочее пространство WTG по умолчанию работают автономно. Аналогично, если диск подключается к компьютеру с загруженной ОС, диск WTG не отображается в проводнике.

Существует список сертифицированных для использования с WTG USB-носителей:

При выборе компьютера для использования в качестве узла рабочего пространства Windows To Go, необходимо учитывать следующие критерии:

  • Компьютер должен отвечать минимальным требованиям для использования с операционными системами Windows 7 или Windows 8.
  • Компьютер, выбранный в качестве хоста для WTG должен поддерживать загрузку с USB.
  • Использование WTG на компьютере, работающем под управлением Windows RT(Windows 8 ARM), не поддерживается.
  • Выполнение рабочего пространства Windows To Go с компьютера Mac не поддерживается.

Существует три способа развертывания WTG:

  1. с помощью мастера Windows To Go Creator Wizard;
  2. с помощью скрипта (PowerShell + утилиты работы с образами DISM или ImageX);
  3. с помощью инструмента User Self-Provisioning в System Center 2012 Configuration Manager SP1.

Данный файл можно получить несколькими способами:

    Использовать файл install.wim, расположенный на диске с дистрибутивом ОС в папке /sources. В этом случае мы получим «чистую» ОС. Однако в последних версиях Windows образ с файлами ОС имеет формат ESD, поэтому может потребоваться конвертация ESD в формат WIM.

BitLocker

В случае применения Windows To Go шифрование отчуждаемого носителя, используя технологию BitLocker Drive Encryption, считаю обязательным требованием, так как на диске может быть записана конфиденциальная информация, содержащая данные, которые можно отнести к коммерческой тайне или к персональным данные партнеров, сотрудников или клиентов компании, BitLocker (полное название BitLocker Drive Encryption) – технология защиты данных путём полного шифрования диска, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 При помощи BitLocker можно зашифровать Логический диск, SD карту или USB-носитель. При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Сам ключ может храниться на USB-носителе, в аппаратном модуле TPM или на жестком диске.

Для получения ключа из TPM, может быть настроен дополнительный способ аутентификации пользователя при помощи USB-ключа и/или пароля.

В случае, если доверенный платформенный модуль отсутствует на используемой материнской плате, либо если в качестве загрузки и объекта шифрования будет использоваться USB-носитель с Windows To Go, ключ шифрования необходимо хранить на внешнем USB-носителе либо вместо ключа шифрования можно будет использовать пароль. Для того чтобы настроить доступ к зашифрованному носителю по USB-носителю либо по паролю, необходимо внести изменения в локальные групповые политики.

Заключение

В результате рассмотренной комбинации технологий DirectAccess, Windows To Go и BitLocker мы получаем решение, которые позволит:

  • удаленным сотрудникам чувствовать себя «как на рабочем месте», находясь при этом в любой точке мира, где есть компьютер, подключенный к сети Интернет;
  • не модифицировать и не дополнять программное обеспечение используемого компьютера;
  • сотрудникам работать в любом подразделении компании, на любом свободном компьютере, используя при этом предварительно настроенное программное обеспечение и необходимые файлы;
  • обеспечить конфиденциальность данных, хранящихся на переносном устройстве, в случае утери носителя либо попадания его к лицам, не имеющим санкционированного доступа к указанным данным и ресурсам корпоративной сети;
  • использовать встроенную возможность двухфакторной аутентификации с OTP;
  • подразделениям организации, отвечающие за техническую поддержку пользователей, администрирование системного и прикладного ПО, а так же обеспечение ИБ, не терять связь с удаленными системами и поддерживать их в актуальном состоянии;
  • управлять интернет-трафиком удаленных клиентов, направив его через корпоративный прокси-сервер.

В следующей главе я опишу практическую реализацию, описанной выше системы удаленного доступа.

Я сижу у кофейне со своим мобильным компьютером, который является членом корпоративного домена. По щелчку буквы диска H: я могу увидеть файлы и папки на внутреннем файлом сервере. При выполнении команды gpupdate /force или wuauclt /detectnow применяются групповые политики и проверяется наличие обновлений, поступающих с внутренних контроллеров домена и WSUS-серверов. Короче говоря, я использую DirectAccess и мне это нравится.

Компания, где работаю относится к классу предприятий среднего и малого размера, причем ее можно отнести к очень малым компаниям. У нас немного серверов, но те, что есть, исключительно важны. Чтобы запустить DirectAccess нам потребовалось всего лишь установить новый сервер и выполнить настройку нескольких конфигураций. Я в любой момент могу быть в офисе и в кофейне или любом другом месте.

DirectAccess? Для компании среднего или малого размера? Да и еще раз да, и настройка не так сложна, как считается. Это было нетривиально, но не невозможно.

Готовы ли к безопасному расширению своей сети в Интернет? Возьмите сервер с Windows Server 2008 R2 и двумя сетевыми картами с последовательными адресам, и это пошаговое руководство позволит уже сегодня получить собственную постоянно доступную виртуальную частную сеть DirectAccess.

Шаг 1. Создайте и подготовьте сервер DirectAccess

Начните с подготовки машины под управлением Windows Server 2008 R2 с двумя сетевыми картами. Эта машина должна быть членом внутреннего домена Active Directory. Одну сетевую карту подключите к внешней подсети, а другую — к внутренней сети. Далее нужно установить сертификаты и компоненты DirectAccess. Так как этот сервер будет служить мостом между внешней и внутренней сетью надо обеспечить, чтобы на нем присутствовали все необходимые обновления.

Также потребуются два последовательных IP-адреса, например 98.34.120.34 и 98.34.120.35. Очень важно, чтобы они были последовательными. Получение таких адресов может оказаться сложной задачей для ИТ-отдела небольшой компании. Нужно очень аккуратно подходить к выбору Интернет-провайдера.

К выбору адресов надо отнестись очень внимательно. Есть ряд тонких моментов, о которых сообщалось в TechNet

все дело в том, какие адреса считаются «последовательными». В консоли DirectAccess Management в алфавитном порядке перечисляются все открытые IPv4-адреса, назначенные Интернет-адаптеру. Поэтому в DirectAccess следующие пары адресов не считаются последовательными: w.x.y.9 и w.x.y.10 (потому что они упорядочиваются, как w.x.y.10, w.x.y.9), w.x.y.99 и w.x.y.100 (они упорядочиваются, как w.x.y.100, w.x.y.99), w.x.y.1, w.x.y.2 и w.x.y.10 (они сортируются, как w.x.y.1, w.x.y.10, w.x.y.2). В этих случаях вам потребуются другие наборы последовательных адресов.

Настройте эти внешние адреса на внешнем адаптере сервера DirectAccess, а также внутренний адрес на внутреннем адаптере. Неплохо при этом переименовать адаптеры, чтобы не забыть, какие адаптеры относятся к каким подключениям. DNS-суффикс этого подключения задайте равным внутреннему суффиксу.

Шаг 2. Создание внешних записей DNS

Для DirectAccess требуется, чтобы разрешение пары внешних адресов выполнялось с использованием внешних DNS-записей типа A. Обе записи должны указывать на первый из пары последовательных IP-адресов (не на второй и не на оба). Хотя они обе и указывают на один адрес, использоваться для DirectAccess будет только одна. Вторая понадобится для поиска отзыва сертификатов (CRL), который мы вскоре настроим.

Шаг 3. Создание инфраструктуры PKI с помощью служб Active Directory Certificate Services

Одна из компонентов безопасности DirectAccess — взаимная проверка подлинности средствами служб Certificate Services инфраструктуры открытых ключей (PKI). Добавьте роль Active Directory Certificate Services (ADCS) и службу роли Certification Authority (CA) на имеющийся сервер, например на контроллер домена. Настройте его как корневой CA и создайте новый закрытый ключ, оставив все остальные параметры со значениями по умолчанию.

Далее надо создать шаблон сертификата веб-сервера. В консоли Server Manager перейдите к роли ADCS и щелкните Certificate Templates. Щелкните правой кнопкой Web server template и выберите Duplicate Template.

Создайте шаблон Windows Server 2008 Enterprise и откройте консоль свойств. На вкладке Request Handling выберите Allow private key to be exported. На вкладке Security предоставьте группам Domain Computers и Authenticated Users разрешения Read и Enroll. Выйдите из консоли Properties и щелкните правой кнопкой только что созданный шаблон. Выберите Change Names и задайте шаблону понятное имя.

Добавьте шаблон в папку CA Certificate Templates, для чего щелкните правой кнопкой папку и выберите New/Certificate Template to Issue. Выберите и выпустите только что созданный шаблон.

Шаг 4. Установите список CRL на сервере DirectAccess

Используемому инфраструктурой PKI сертификату нужен доступ к списку CRL. Список содержит перечень отозванных сертификатов, которые стали недействительными. Вы должны иметь доступ к списку CRL как из Интернета, так и из интрасети, поэтому ваш сервер DirectAccess как нельзя лучше подходит для их размещения.

Вернитесь на страницу свойств виртуального каталога, выберите Configuration Editor и перейдите к system.webserver/security/request Filtering. Присвойте параметру Double Escaping значение True.

Далее создайте путь для клиентов, которые будут выполнять разрешение для обнаружения CRL как из внутренних, так и внешних сетей. Вернитесь на контроллер домена, откройте консоль Certification Authority и щелкните правой кнопкой корневой узел консоли и откройте окно свойств сервера CA. На вкладке Extensions выберите расширение CRL Distribution Point (CDP). Щелкните Add и введите внешний адрес, которые внешние клиенты будут использовать для получения списка CRL.

Вернитесь в консоль CA, щелкните правой кнопкой Revoked Certificates и последовательно выберите All Tasks/ Publish. Если вы все сделали правильно, вы должны увидеть в общей папке два файла списков CRL.

Шаг 5. Установка сертификатов на серверах DirectAccess и сетевых расположений

Ранее вы уже создали шаблоны сертификатов. Теперь время создать сами сертификаты. Серверу DirectAccess и соответствующему серверу сетевых расположений для взаимной проверки подлинности требуются сертификаты веб-сервара.

Откройте MMC-консоль Certificates на сервере DirectAccess и перейдите к хранилищу Certificates/Personal. Щелкните правой кнопкой Certificates и последовательно выберите All Tasks/Request New Certificate. В консоли Certificate Enrollment выберите сертификат, созданный на шаге 3.

Сервер сетевых расположений (NLS) является внутренним сервером, на котором установлена роль IIS. NLS не нужно много ресурсов, поэтому его без опаски можно установить на существующем сервере. В таком же порядке установите созданный на шаге 3 сертификат на сервере NLS. Однако на этот раз есть небольшая разница. Вместо внутреннего полного имени сервера DirectAccess надо указать полное имя, разрешаемое в локальной сети.

Шаг 6. Подготовка клиентов средствами групповых политик

Для DirectAccess нужно настроить ряд параметров брандмауэра и системы автоматической подачи заявок на сертификаты, что проще всего сделать с помощью групповых политик. Первым делом надо создать входящие и исходящие правила для ICMPv6, которые обеспечат поддержку ping-запросов протокола IPv6, необходимых для нормальной работы DirectAccess.

В консоли Group Policy Management Editor перейдие к узлу Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security/Windows Firewall with Advanced Security. Создайте новое правило входящих подключений. Выберите правило типа Custom для All programs, в поле Protocol выберите ICMPv6, а в поле Echo request — конкретный тип ICMP.

Примените это правило ко всем локальным или удаленным IP-адресам и активируйте подключение во всех трех профилях. Задайте имя правила и щелкните Finish. Повторив эти же операции, создайте правило исходящих подключений с такими же параметрами.

Можно создать еще одну конфигурацию клиентов в том же или новом объекте групповой политики (GPO). На этот раз в редакторе групповых политик перейдите к узлу Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies и просмотрите свойства политики Certificate Services Client – Auto-Enrollment. В Configuration Model установите флажок Enabled, а также установите два флажка, которые станут доступными. Щелкните ОК.

Последний параметр групповой политики вы найдете в узле Public Key Policies/Automatic Certificate Request Settings. Щелкните его правой кнопкой и выберите New/Automatic Certificate Request. Откроется окно мастера настройки автоматического запроса сертификатов (Automatic Certificate Request Setup Wizard). Он позволяет задать типы сертификатов, которые компьютер будет запрашивать автоматически. Выберите шаблон Computer и пройдите мастер.

Примените полученную групповую политики к своему домену, чтобы все установить и применить ее на всех компьютерах. Перед выполнением следующих двух шагов сделайте паузу, достаточную для того, чтобы политика применилась на всех компьютерах.

Шаг 7. Подготовка доменных служб

Есть три небольших операции по настройке, которые позволяют подготовить доменные службы для работы с DirectAccess. Во-первых, надо создать глобальную группу. DirectAccess будет предоставлять внешний доступ членам этой глобальной группы. Добавьте в эту группу учетные записи компьютеров, которым должен предоставляться доступ.

Во-вторых, надо изменить настройку DHCP-сервера. Если в вашей среде не реализован протокол IPv6, измените настройку DHCP-сервера — отключите на сервере режим DHCPv6 без отслеживания состояния.

Шаг 8. Установка DirectAccess

Теперь мы готовы устанавливать DirectAccess. Эта операция выполняется средствами диспетчера сервера (Server Manager). После установки откройте консоль DirectAccess и перейдите к узлу Setup. Настройка DirectAccess состоит из четырех шагов:

  1. Задайте глобальную группу, содержащую учетные записи компьютеров, которым надо предоставить внешний доступ.
  2. Укажите сетевые интерфейсы Интернета и внутренней сети, а также сервер CA и внешний сервер сертификатов. Это просто, если вы переименовали интерфейсы и сертификаты, задав им легкие для запоминания имена.
  3. Укажите инфраструктурные серверы, которые могут взаимодействовать с внешними клиентами. Здесь надо указать URL-адрес сервера NLS, а также имя и параметры IPv6 сервер DNS, контроллера домена и любых других серверов, которые вы используете для управления клиентами, например серверов WSUS или System Center. На всех серверах должна быть включена поддержка IPv6.
  4. Завершите конфигурирование, указав все остальные серверы, к которым надо предоставить доступ внешним клиентам. Это серверы, обслуживающие клиентские приложения.

По завершении этих операций установку можно считать завершенной. В процессе установки DirectAccess будут созданы два объекта GPO (в дополнение к тем, что вы создали ранее), которые нужно будет привязать к домену. Эти объекты групповых политик настраивают DirectAccess на подключающихся клиентах.

Восемь шагов для получения доступа из любой точки мира

Это нетривиальная, но не невозможная операция. Операций по конфигурирования немало, но самое сложное — получить два последовательных IP-адреса у Интернет-провайдера.

Результат более чем оправдывает ожидания. В современных условиях, требующих доступность везде и всегда, DirectAccess предоставляет отличное решение обеспечения постоянного наличия ваших пользователей на связи — даже в сетях самых маленьких компаний.

date

20.02.2020

directory

Windows Server 2012 R2

comments

комментария 42

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

  • Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
  • Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
  • Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
  • Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
  • Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

  • Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
  • В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
  • Не обязательно стало наличие IPv6 во внутренней сети организации
  • Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

Установка роли Remote Access

Запустим консоль Server Manager и с помощью мастера Add Roles and Features установим роль Remote Access.

Установка роль Remote Access в Windows Server 2012 R2

В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS).

Установка службы DirectAccess and VPN (RAS)

Все остальные зависимости оставляем по умолчанию.

Настройка службы Direct Access в Windows Server 2012 R2

После окончания установки службы Remote Access, откройте оснастку Tools -> Remote Access Management.

Консоль Remote Access Management

Deploy DirectAccess only

После этого должно открыться окно, в правой половине которого в графическом виде показаны четыре этапа (Step 1 – 4) настройки службы DA.

Графический помощник настройки DirectAccess

Первый этап (Step 1: Remote Clients).

Укажем, что мы разворачиваем полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления Deploy full DirectAccess for client access and remote management.

Deploy full DirectAccess for client access and remote management

Далее, нажав кнопкуAdd нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через Direct Access (в нашем примере это группа DirectAccessComputers).

Выберем группы компьютеров в active directory, которым разрешен доступ через directaccess

Примечание. Опция Enable DirectAccess for mobile only – позволяет ограничить подключение через DA только для мобильных устройств (ноутбуки, планшеты). Реализуется функция за счет опроса клиентов по WMI. Опция Use force tunneling – означает, что удаленные клиенты при доступе к любым удаленным ресурсам (в том числе обычным веб-сайтам) всегда использовать сервера DA (т.е. весь внешний трафик клиента проходит через корпоративный шлюз).

Второй этап (Step 2: Remote Access Server)

Сервер directaccess с двумя сетевыми картами

Затем нужно указать какая сетевая карта будет считаться внутренней (Internal – LAN), а какая внешней (External – DMZ).

Указываем внешний и внутрении интерфейс directaccess

Свернем пока мастер настройки сервера Direct Access и сгенерируем сертификат сервера DA. Для этого создадим новую оснастку mmc, в которую добавим консоль Certificates, управляющую сертификатами локального компьютера (Computer Account)

Консоль certmgr - локальный компьютер

В консоли управления сертификатами запросим новый персональный сертификат, щелкнув ПКМ по разделу Certificates (Local Computer) -> Personal -> Certificates и выбрав в меню All Tasks-> Request New Certificate

Запросим сертификат через политику Active Directory Enrollment Policy. Нас интересует сертификат на основе шаблона WebServers.

Запрос нового сертификата на шаблоне WebServers

В настройках запроса нового сертификата на вкладке Subject заполним поля, идентифицирующие нашу компанию, а на вкладке Private Key укажем, что закрытый ключ сертификата можно экспортировать (Make private key exportable).

Make private key exportable

Запрос и генерация нового сертификата

Сохраним изменения и запросим новый сертификат у CA.

Указываем сертификат directaccess

Вернемся в окно настроек сервера DirectAccess и, нажав кнопку Browse, выберем сгенерированный сертификат.

На следующем шаге мастера выберем способ аутентификации клиентов Direct Access. Укажем, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметим чекбокс Use computer certificates (Использовать сертификаты компьютеров) и Use an intermediate certificate. Нажав кнопку Browse, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов.

Совет. Напомним, что если в качестве клиентов будут выступать машины с Windows 8 – разворачивать свой центр сертификаиции не нужно. Если же отметить чекбокс Enable Windows 7 client computers to connect via DirectAccess (Разрешить клиентским компьютерам с Windows 7 подключаться с помощью DirectAccess), то PKI придется разверачивать обязательно, без него клиенты на Windows 7 работать не смогут.

Параметры аутентификации клиентов DirectAccess

Третий этап (Step 3: Infrastructure Servers)

Далее укажем список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended).

Указываем dns сервера

Настраиваем dns суффиксы

Затем укажем DNS-суффиксы внутренних доменов в порядке приоритета их использования.

В окне настройки Management ничего указывать не будем.

Четвертый этап (Step 4: Application Servers)

Этап настройки серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Нам это не требуется, поэтому оставим опцию Do not extend authentication to application servers.

directaccess не использовать расширенную аутентификацию серверов приложений

окончание работы мастера настройки directaccess

На этом мастер настройки роли Remote Access завершен, нам осталось сохранить изменения.

После окончания работы мастер создаст две новых групповых политик DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена. Их можно оставить там, либо перелинковать на нужный OU.

Групповые политики DirectAccess

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Совет. Напомним, что в Windows Server 2012 появился функционал оффлайнового включения компьютера в домен через DirectAccess, без необходимости физически подключать компьютер клиента к корпоративной сети.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

Читайте также: