Как настроить удаленный доступ к серверу

Шаг 1. Настройка инфраструктуры удаленного доступа

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Примечание. Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа.

В этом разделе описывается настройка инфраструктуры, необходимой для расширенного развертывания удаленного доступа с помощью одного сервера удаленного доступа в смешанной среде IPv4 и IPv6. Перед началом развертывания убедитесь, что выполнены шаги по планированию, описанные в разделе Шаг 1. Планирование инфраструктуры удаленного доступа.

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

Настройка сетевых параметров сервера

В зависимости от того, требуется ли поместить сервер удаленного доступа на границе или за пределами устройства преобразования сетевых адресов (NAT), для развертывания одиночного сервера в среде с IPv4 и IPv6 необходимы следующие параметры адреса сетевого интерфейса. Для настройки всех IP-адресов используется пункт Изменение параметров адаптера в разделе Центр управления сетями и общим доступом Windows.

Топология пограничныхустройств:

Два последовательных общедоступных статических адреса IPv4 или IPv6 с выходом в Интернет.

Для Teredo необходимы два последовательных общедоступных IPv4-адреса. Если вы не используете Teredo, вы можете настроить один общедоступный статичный IPv4-адрес.

Один внутренний статический IPv4- или IPv6-адрес.

За устройством NAT (два сетевых адаптера):

Требуется один внутренний адрес IPv4 или IPv6, подключенный к сети.

За устройством NAT (один сетевой адаптер):

Требуется один статический адрес IPv4 или IPv6.

Если сервер удаленного доступа имеет два сетевых адаптера (один для профиля домена, другой для общего или частного профиля), но используется одна топология сетевого адаптера, рекомендуется использовать следующие рекомендации.

Убедитесь, что второй сетевой адаптер также классифицирован в профиле домена.

если второй сетевой адаптер не может быть настроен для профиля домена по какой либо причине, политика IPsec directaccess должна быть задана вручную для всех профилей с помощью следующей команды Windows PowerShell:

В этой команде используются имена политик IPsec DirectAccess-дасервертоинфра и DirectAccess-дасервертокорп.

Настройте маршрутизацию в корпоративной сети

Настройте маршрутизацию в корпоративной сети следующим образом.

Если в организации развернута собственная инфраструктура на основе IPv6, следует добавить маршрут, позволяющий маршрутизаторам, расположенным во внутренней сети, возвращать трафик IPv6 через сервер удаленного доступа.

Вручную настройте маршруты IPv4 и IPv6 на серверах удаленного доступа. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 (/48) перенаправлялся во внутреннюю сеть. Кроме того, следует добавить подробные маршруты для направления IPv4-трафика во внутреннюю сеть.

Настройка брандмауэров

В зависимости от выбранных параметров сети при использовании дополнительных брандмауэров в развертывании примените следующие исключения брандмауэра для трафика удаленного доступа:

Сервер удаленного доступа в Интернете IPv4

Примените следующие исключения брандмауэра с выходом в Интернет для трафика удаленного доступа, если сервер удаленного доступа находится в Интернете по протоколу IPv4:

Трафик Teredo

Исходящий трафик UDP-порта назначения (UDP) 3544, входящий трафик, и Порт исходящей датаграммы 3544. Примените исключение для обоих общедоступных IPv4-адресов, расположенных на сервере удаленного доступа.

трафик 6to4

IP-протокол 41, входящий и исходящий. Примените исключение для обоих общедоступных IPv4-адресов, расположенных на сервере удаленного доступа.

Трафик IP-HTTPS

Порт назначения протоколов TCP 443 и порт источника TCP 443 исходящие. Когда сервер удаленного доступа имеет один сетевой адаптер, а сервер сетевых расположений находится на сервере удаленного доступа, тогда также требуется TCP-порт 62000. Эти исключения следует применять только для адреса, по которому будет разрешаться внешнее имя сервера.

Это исключение настраивается на сервере удаленного доступа. Все прочие исключения настраиваются на пограничном брандмауэре.

Сервер удаленного доступа в Интернете на базе IPv6

Примените следующие исключения брандмауэра с выходом в Интернет для трафика удаленного доступа, если сервер удаленного доступа находится в Интернете по протоколу IPv6:

UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.

Протокол обмена сообщениями в Интернете для входящего и исходящего трафика IPv6 (ICMPv6) — только для реализаций Teredo.

Трафик удаленного доступа

Примените следующие исключения брандмауэра внутренней сети для трафика удаленного доступа:

ISATAP: протокол 41, входящий и исходящий

TCP/UDP для всего трафика IPv4 или IPv6

ICMP для трафика IPv4 или IPv6

Настройка центров сертификации и сертификатов

с помощью удаленного доступа в Windows Server 2012 вы можете выбрать использование сертификатов для проверки подлинности компьютера или использовать встроенную проверку подлинности Kerberos, использующую имена пользователей и пароли. Необходимо также настроить сертификат IP-HTTPS на сервере удаленного доступа. В этом разделе объясняется, как настроить эти сертификаты.

Сведения о настройке инфраструктуры открытых ключей (PKI) см. в статье Active Directory Certificate Services.

Настройка проверки подлинности IPsec

Сертификат требуется на сервере удаленного доступа и всех клиентах DirectAccess, чтобы они могли использовать проверку подлинности IPsec. Сертификат должен быть выдан внутренним центром сертификации (ЦС). Серверы удаленного доступа и клиенты DirectAccess должны доверять ЦС, который выдает корневые и промежуточные сертификаты.

Настройка проверки подлинности IPsec

На внутреннем ЦС определите, будет ли использоваться шаблон сертификата компьютера по умолчанию, или, если вы создадите новый шаблон сертификата, как описано в разделе Создание шаблонов сертификатов.

При создании нового шаблона его необходимо настроить для проверки подлинности клиента.

При необходимости разверните шаблон сертификата. Дополнительные сведения см. в разделе Развертывание шаблонов сертификатов.

Настройте шаблон для автоматической регистрации при необходимости.

При необходимости настройте автоматическую регистрацию сертификатов. Дополнительные сведения см. в разделе Настройка автоматической регистрации сертификатов.

Настройка шаблонов сертификатов

При использовании внутреннего ЦС для выдаче сертификатов необходимо настроить шаблоны сертификатов для сертификата IP-HTTPS и сертификата веб-сайта сервера сетевого расположения.

Настройка шаблона сертификата

Во внутреннем центре сертификации создайте шаблон сертификата, как описано в разделе Создание шаблонов сертификатов.

Разверните шаблон сертификата, как описано в разделе Развертывание шаблонов сертификатов.

После подготовки шаблонов их можно использовать для настройки сертификатов. Дополнительные сведения см. в следующих процедурах.

Настройка сертификата IP-HTTPS

Для проверки подлинности подключений IP-HTTPS к серверу удаленного доступа необходим сертификат IP-HTTPS. Возможны три варианта сертификата IP-HTTPS:

Public

Предоставлено третьей стороной.

Частная

Сертификат основан на шаблоне сертификата, созданном при настройке шаблонов сертификатов. Для этого требуется точка распространения списка отзыва сертификатов (CRL), доступная из общедоступного разрешаемого полного доменного имени.

Самозаверяющий

Для этого сертификата требуется точка распространения списка отзыва сертификатов, доступная с общедоступного полного доменного имени.

Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.

Убедитесь, что сертификат веб-сайта, используемый для проверки подлинности IP-HTTPS, отвечает следующим требованиям:

В качестве имени субъекта сертификата следует использовать внешнее полное доменное имя (FQDN) URL-адреса IP-HTTPS (адрес ssASnoversion), который используется только для подключений IP-HTTPS сервера удаленного доступа.

Общее имя сертификата должно совпадать с именем узла IP-HTTPS.

В поле Тема укажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS.

Для поля » Расширенное использование ключа » используйте идентификатор объекта проверки подлинности сервера (OID).

В поле Точки распространения CRL укажите точку распространения CRL, доступную клиентам DirectAccess, подключенным к Интернету.

У сертификата IP-HTTPS должен быть закрытый ключ.

Сертификат IP-HTTPS необходимо импортировать непосредственно в личное хранилище сертификатов.

В имени сертификатов IP-HTTPS может быть постановочный знак.

Установка сертификата IP-HTTPS из внутреннего ЦС

На сервере удаленного доступа: на начальном экране введитеmmc.exeи нажмите клавишу ВВОД.

В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

В диалоговом окне Добавление или удаление оснасток щелкните Сертификаты, нажмите кнопку Добавить, выберите Учетная запись компьютера, нажмите кнопку Далее, щелкните Локальный компьютер и последовательно нажмите кнопки Готово и ОК.

В дереве консоли оснастки «Сертификаты» откройте раздел Сертификаты (локальный компьютер)\Личные\Сертификаты.

На странице запрос сертификатов установите флажок для шаблона сертификата, созданного при настройке шаблонов сертификатов, и при необходимости щелкните Дополнительные сведения для регистрации этого сертификата.

В диалоговом окне Свойства сертификата на вкладке Субъект в области Имя субъекта в поле Тип выберите Общее имя.

В поле значениеукажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку Добавить.

В области Альтернативное имя в поле Тип выберите DNS.

В поле значениеукажите IPv4-адрес внешнего адаптера сервера удаленного доступа или полное доменное имя URL-адреса IP-HTTPS, а затем нажмите кнопку Добавить.

На вкладке Общие в поле Понятное имя можно ввести имя, которое упростит идентификацию сертификатов.

Во вкладке Расширения щелкните стрелку рядом со строкой Расширенное использование ключа и убедитесь, что проверка подлинности сервера занесена в список Выбранные параметры.

Нажмите кнопку OK, щелкните Зарегистрировать и нажмите кнопку Готово.

В области сведений оснастки «сертификаты» убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.

Настройка DNS-сервера

Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.

Добавление сервера сетевого расположения и веб-пробы

На DNS-сервере внутренней сети: на начальном экране введитеднсмгмт. mscи нажмите клавишу ВВОД.

В левой области консоли Диспетчер DNS разверните зону прямого просмотра для вашего домена. Щелкните домен правой кнопкой мыши и выберите пункт новый узел (A или AAAA).

В диалоговом окне новый узел в поле имя (используется имя родительского домена, если оно пусто) введите DNS-имя для сайта сервера сетевого расположения (это имя, которое клиенты DirectAccess используют для подключения к серверу сетевого расположения). В поле IP-адрес введите адрес IPv4 сервера сетевого расположения и нажмите кнопку Добавить узел, а затем нажмите кнопку ОК.

В диалоговом окне новый узел в поле имя (использует имя родительского домена, если пустое) введите имя DNS для веб-проверки (имя веб-зонда по умолчанию — DirectAccess-вебпробехост). В поле IP-адрес укажите IPv4-адрес веб-пробы и щелкните Добавить узел.

Повторите этот процесс для имени directaccess-corpconnectivityhost и любых средств проверки подключения, созданных вручную. В диалоговом окне DNS нажмите кнопку ОК.

Нажмите кнопку Done(Готово).

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Также следует настроить записи DNS для следующих компонентов:

Сервер IP-HTTPS

Клиенты DirectAccess должны иметь возможность разрешения DNS-имени сервера удаленного доступа из Интернета.

Проверка отзыва CRL

DirectAccess использует проверку отзыва сертификатов для подключения IP-HTTPS между клиентами DirectAccess и сервером удаленного доступа, а также для подключения на основе протокола HTTPS между клиентом DirectAccess и сервером сетевого расположения. В обоих случаях у клиентов DirectAccess должна быть возможность разрешения расположения точки распространения CRL и доступа к ней.

ISATAP

протокол ISATAP использует туннели, чтобы разрешить клиентам directaccess подключаться к серверу удаленного доступа через протокол интернета ipv4, включая пакеты IPv6 в заголовке ipv4. Tunnel Служба удаленного доступа использует ISATAP для установки IPv6-подключений к узлам ISATAP в интрасети. В несобственной сетевой среде IPv6 сервер удаленного доступа автоматически настраивается как маршрутизатор ISATAP. Требуется поддержка разрешения имени ISATAP.

Настройка Active Directory

Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:

Домены, принадлежащие к одному лесу с сервером удаленного доступа.

Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.

Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.

Присоединение сервера удаленного доступа к домену

В диспетчере серверов щелкните Локальный сервер. В области сведений перейдите по ссылке Имя компьютера.

В диалоговом окне Свойства системы щелкните Имя компьютера, а затем Изменить.

В поле имя компьютера введите имя компьютера, если вы также изменяете имя компьютера при присоединении сервера к домену. В разделе член группыщелкните домен, а затем введите имя домена, к которому необходимо присоединить сервер (например, Corp.contoso.com), и нажмите кнопку ОК.

При появлении запроса на ввод имени пользователя и пароля введите имя пользователя и пароль пользователя с разрешениями на присоединение компьютеров к домену, а затем нажмите кнопку ОК.

При появлении диалогового окна с приветствием домена нажмите кнопку «OK».

При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

В диалоговом окне Свойства системы нажмите кнопку Закрыть.

При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.

Присоединение клиентских компьютеров к домену

На начальном экране введитеexplorer.exeи нажмите клавишу ВВОД.

Щелкните правой кнопкой значок компьютера и выберите Свойства.

На странице Система щелкните Дополнительные параметры системы.

В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.

В поле имя компьютера введите имя компьютера, если вы также изменяете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.

При появлении запроса на ввод имени пользователя и пароля введите имя пользователя и пароль пользователя с разрешениями на присоединение компьютеров к домену, а затем нажмите кнопку ОК.

При появлении диалогового окна с приветствием домена нажмите кнопку «OK».

При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

В диалоговом окне Свойства системы нажмите кнопку Закрыть.

Щелкните Перезагрузить сейчас, когда появится сообщение о необходимости перезагрузки.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

При вводе следующей команды необходимо указать учетные данные домена.

Настройка объектов групповой политики

Для развертывания удаленного доступа требуется не менее двух групповая политика объектов. Один объект групповая политика содержит параметры для сервера удаленного доступа, а один содержит параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает необходимые групповая политика объекты. Однако если ваша организация применяет Соглашение об именовании или у вас нет необходимых разрешений для создания или изменения объектов групповая политика, они должны быть созданы перед настройкой удаленного доступа.

Сведения о создании групповая политика объектов см. в разделе Создание и изменение объекта Групповая политика.

Администратор может вручную связать объекты групповая политика DirectAccess с подразделением (OU). Рассмотрим следующий пример.

Свяжите созданные объекты групповой политики с соответствующими подразделениями перед настройкой DirectAccess.

Во время настройки DirectAccess укажите группу безопасности для клиентских компьютеров.

Объекты групповой политики настраиваются автоматически независимо от того, имеют ли администратор разрешения на связывание объектов групповой политики с доменом.

Если объекты групповой политики уже связаны с подразделением, ссылки не удаляются, но не связываются с доменом.

Для объектов групповой политики сервера подразделение должно содержать объект компьютер сервера. в противном случае объект GPO будет связан с корнем домена.

Если подразделение не было ранее связано с запуском мастера установки DirectAccess, то после завершения настройки администратор может связать объекты групповой политики DirectAccess с требуемыми подразделениями и удалить ссылку на домен.

Если групповая политика объект был создан вручную, возможно, групповая политика объект будет недоступен во время настройки DirectAccess. Возможно, объект групповая политика не был реплицирован на контроллер домена, ближайший к компьютеру управления. Администратор может дождаться завершения репликации или принудительно выполнить репликацию.

Настройка групп безопасности

Параметры DirectAccess, содержащиеся в объекте групповая политика клиентского компьютера, применяются только к компьютерам, входящим в группы безопасности, указанные при настройке удаленного доступа.

Создание группы безопасности для клиентов DirectAccess

На начальном экране введитеDSA. mscи нажмите клавишу ВВОД.

В консоли Active Directory — пользователи и компьютеры разверните в левой области домен, к которому будет принадлежать группа безопасности, щелкните правой кнопкой мыши Пользователи, выберите Новые, после чего щелкните Группа.

В диалоговом окне Создание объекта — группа в поле Имя группы введите имя группы безопасности.

В разделе Область группы щелкните Глобальная, а в разделе Тип группы щелкните Безопасность и нажмите кнопку ОК.

Дважды щелкните группу безопасности «клиентские компьютеры DirectAccess» и в диалоговом окне » Свойства » перейдите на вкладку » члены «.

На вкладке Члены группы щелкните Добавить.

В диалоговом окне Выбор пользователей, контактов, компьютеров или учетных записей служб выберите клиентские компьютеры, которые необходимо активировать для DirectAccess, а затем нажмите кнопку ОК.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Настройка сервера сетевых расположений

Сервер сетевых расположений должен находиться на сервере с высокой доступностью, и ему нужен действительный сертификат SSL (SSL), который является доверенным для клиентов DirectAccess.

Если веб-сайт сервера сетевого расположения расположен на сервере удаленного доступа, веб-сайт будет создан автоматически при настройке удаленного доступа и привязан к предоставленному сертификату сервера.

Для сервера сетевых расположений можно использовать один из следующих типов сертификатов:

Частная

Сертификат основан на шаблоне сертификата, созданном при настройке шаблонов сертификатов.

Самозаверяющий

Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.

Независимо от того, используется ли частный сертификат или самозаверяющий сертификат, для них требуется следующее:

Сертификат веб-сайта, используемый для сервера сетевых расположений. Субъектом этого сертификата должен быть URL-адрес сервера сетевых расположений.

Точка распространения списка отзыва сертификатов, имеющая высокую доступность во внутренней сети.

Установка сертификата сервера сетевых расположений из внутреннего ЦС

На сервере, где будет размещаться веб-сайт сервера сетевого расположения: на начальном экране введитеmmc.exeи нажмите клавишу ВВОД.

В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

В диалоговом окне Добавление или удаление оснасток щелкните Сертификаты, нажмите кнопку Добавить, выберите Учетная запись компьютера, нажмите кнопку Далее, щелкните Локальный компьютер и последовательно нажмите кнопки Готово и ОК.

В дереве консоли оснастки «Сертификаты» откройте раздел Сертификаты (локальный компьютер)\Личные\Сертификаты.

На странице запрос сертификатов установите флажок для шаблона сертификата, созданного при настройке шаблонов сертификатов, и при необходимости щелкните Дополнительные сведения для регистрации этого сертификата.

В диалоговом окне Свойства сертификата на вкладке Субъект в области Имя субъекта в поле Тип выберите Общее имя.

В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.

В области Альтернативное имя в поле Тип выберите DNS.

В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.

На вкладке Общие в поле Понятное имя можно ввести имя, которое упростит идентификацию сертификатов.

Нажмите кнопку OK, щелкните Зарегистрировать и нажмите кнопку Готово.

В области сведений оснастки «сертификаты» убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.

Настройка сервера сетевых расположений

Настройте веб-сайт на сервере с высоким уровнем доступности. Для него контент не требуется, но для проверки вы можете определить страницу по умолчанию, с сообщением, которое видят клиенты при подключении.

Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.

Привяжите сертификат HTTPS-сервера к веб-сайту. Общее имя сертификата должно совпадать с именем сайта сервера сетевых расположений. Убедитесь, что клиенты DirectAccess доверяют ЦС, выдающему сертификат.

Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.

Настройте сайт списка отзыва сертификатов с высокой доступностью во внутренней сети.

Точки распространения CRL можно получить с помощью:

Веб-серверы, использующие URL-адрес на основе HTTP, например: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl

файловых серверов, доступных по UNC-пути, например \\crl.corp.contoso.com\crld\corp-APP1-CA.crl.

если внутренняя точка распространения списка отзыва сертификатов доступна только по протоколу IPv6, необходимо настроить правило безопасности Windows Firewall с повышенным подключением безопасности. Это исключит защиту IPsec от адресного пространства IPv6 интрасети до адресов IPv6 точек распространения списка отзыва сертификатов.

Убедитесь, что клиенты DirectAccess во внутренней сети могут разрешить имя сервера сетевого расположения, а клиенты DirectAccess в Интернете не могут разрешить это имя.

Источник