Общие
сведения
Что такое Direct Access?
Где можно найти информацию по Direct Access?
Каковы требования к ОС для работы с Direct Access?
Существуют ли в Direct Access встроенные ограничения по числу одновременных подключений к серверу?
Что нужно установить на клиентскую машину, чтобы включить Direct Access?
Где можно найти пошаговые инструкции по развертыванию Direct Access?
Где найти информацию по дизайну Direct Access?
Сколько стоит приобрести Direct Access?
Как работает Direct Access?
Установка и требования к инфраструктуре
Общие сведения
Как установить Direct Access?
Как обеспечить доступ с Direct Access-клиентов к компьютерам со старыми версиями Windows
и к серверам, работающим под управлением ОС, отличной от Windows?
Какие сервера необходимы для развертывания Direct Access?
Active Directory
Какие требования предъявляются к уровню домена и леса?
Нужно ли обеспечивать доступ через интернет к Read-Only Domain Controller (RODC) для функционирования
Direct Access?
DNS
Какие требования предъявляются к DNS-серверам?
Требуются ли выделеные DNS-сервера?
PKI
Какие требования предъявляются к PKI при развертывании DirectAccess?
Должны ли сервера приложений работать под управлением Windows Server 2008 R2?
IPsec
Обязательно ли настраивать IPSec?
Должна ли моя инфраструктура поддерживать перенаправление трафика, защищенного IPSec?
Безопасность
Обязательно ли использовать смарт-карты для подключения к DirectAccess?
Можно ли использовать токены в качестве второй ступени проверки подлинности?
Работа с DirectAccess и устранение проблем
Может ли быть клиентом DirectAccess компьютер под управлением Windows Server 2008R2?
Как восстановить подключение к DirectAccess после переустановки системы имея только подключение к интернету?
Как отключить DirectAccess на клиентском компьютере?
Как запретить подключение для клиента DirectAccess?
Могут ли приложения, работающие в XP Mode использовать DirectAccess?
Может ли компьютер, не включенный в домен, подключаться через DirectAccess?
Обязательно ли наличие двух "белых" статических адресов интернета?
Почему подключению DirectAccess назначается Общественный профиль брандмауэра?
Общие сведения
Q. Что такое Direct Access?
A. DirectAccess – это технология,
обеспечивающая безопасный доступ к общим ресурсам внутренней сети , веб-сайтам и приложениям без установления виртуальной частной сети (VPN). DirectAccess устанавливает двунаправленное соединение с внутренней сетью каждый раз, когда компьютер пользователя
подключается к интернету, даже если пользователь еще не выполнил вход в систему. Никаких действий со стороны пользователя при этом не требуется. Также данная технология позволяет IT-отделам компании удаленно управлять компьютерами пользователей через интернет
даже при отсутствии VPN-подключения.
Q. Где можно найти информацию по Direct Access?
A. Обзорная информация, ссылки на
видеотрансляции и демонстрации находятся на странице
DirectAccess Solution . Более подробную информацию, а также полный список технических ресурсов можно найти на
странице TechNet, посвященной Direct Access .
Q. Каковы требования к ОС для работы с Direct Access?
A. DirectAccess-клиентами могут
служить только компьютеры под управлением Windows 7 Enterprise Edition, Windows 7 Ultimate Edition, или Windows Server 2008 R2, включенные в домен AD. DirectAccess-сервер может быть создан только на базе доменного сервера под управлением Windows Server 2008
R2.
Q. Существуют ли в Direct Access встроенные ограничения по числу одновременных подключений к серверу?
A. Нет. В отличие от RRAS Direct
Access встроенных ограничений на количество подключений не имеет.
Q. Что нужно установить на клиентскую машину, чтобы включить Direct Access?
A. Дополнительно устанавливать ничего
не требуется – клиенты Direct Access настраиваются при помощи групповых политик при первом подключении к домену. В дальнейшем никаких действий и настроек со стороны пользователя не требуется.
Q. Где можно найти пошаговые инструкции по развертыванию Direct Access?
A.
Step By Step Guide: Demonstrate DirectAccess in a Test Lab
.
Q.
Где найти информацию по дизайну Direct Access?
A. DirectAccess Design Guide
.
Q. Сколько стоит приобрести Direct Access?
A. DirectAccess состоит из двух
частей – клиентской и серверной. Клиентская часть – это компьютеры под управлением Windows 7 Enterprise, Windows 7 Ultimate, либо Windows Server 2008 R2. Серверная часть DirectAccess входит в состав Windows Server 2008 R2. Так что ничего докупать не нужно.
Forefront Unified Access Gateway (UAG) расширяет возможности Direct Access в кроссплатформеной инфраструктуре, увеличивая масштабируемость и упрощая развёртывание и управление. Дополнительную информацию о UAG вы найдете по следующей ссылке:
Microsoft Forefront Unified Access Gateway .
Q. Как работает Direct Access?
A. DirectAccess использует комбинацию
из IPv6, IPSec-защиты внутрисетевого трафика, разделения DNS-трафика при помощи таблицы политики разрешения имен (NRPT) и сервера сетевого обнаружения, который используется клиентами для определения ресурсов внутренней сети. Дополнительную информацию вы можете
найти в библиотеке TechNet:
Appendix B: Reviewing Key DirectAccess Concepts .
Установка и требования к инфраструктуре
Общие сведения
Q. Как установить Direct Access?
A. Сначала установите DirectAccess
Management Console при помощи оснастки управления сервером (Server Manager). Затем из консоли запустите мастер установки Direct Access.
Q. Как обеспечить доступ с Direct Access-клиентов к компьютерам со старыми версиями Windows
и к серверам, работающим под управлением ОС, отличной от Windows?
A. Чтобы обеспечить доступ к серверам,
не поддерживающим IPv6, воспользуйтесь транслятором IPv6/IPv4, например NAT64. В
частности, NAT64
входит
в
состав
Microsoft Forefront Unified Access Gateway (UAG).
Q. Какие сервера необходимы для развертывания Direct Access?
A.
в Для развертывания Direct Access
необходимы 3 типа серверов:
• Сервер DirectAccess
Обеспечивает подключение Direct Access-клиентов извне к ресурсам внутренней сети. Как правило, устанавливается в сети периметра между брандмауэром и внутренней сетью
• Сервер сетевого местонахождения
Web-сервер внутренней сети, позволяющий клиентам Direct Access определять, обращаются они к ресурсам внутренней сети или же интернета. Для работы сервером сетевого местонахождения компьютер должен поддерживать и обслуживать запросы безопасного соединения (HTTPS).
• Точки распространения списков отзыва сертификатов (CRL)
Клиенты DirectAccess используют проверку отзыва сертификатов для подтверждения сертификата HTTPS-соединения с NLS и сертификата сервера Direct Access для IP-HTTPS подключений к серверу Direct Access через интернет.
Active Directory
Q. Какие требования предъявляются к уровню домена и леса?
A. Для DirectAccess на базе Windows
Server 2008 R2: Клиенты и серверы DirectAccess должны быть членами домена с системой адресов IPv6 и к глобальному каталогу под управлением Windows Server 2008 либо Windows Server 2008 R2. Соответственно, уровень домена должен быть не ниже 2003 Native. Для
использования авторизации по смарт-карте небходим домен уровня 2008 R2
Для DirectAccess на базе Microsoft Forefront Unified Access Gateway (UAG):
В состав Forefront UAG входит NAT64, осуществляющий все необходимые преобразования трафика IPv6-to-IPv4. В среде с Forefront UAG, клиенты DirectAccess используют контроллеры домена на базе Windows Server 2003 и домены этого же уровня.
Q. Нужно ли обеспечивать доступ через интернет к Read-Only Domain Controller (RODC) для функционирования Direct Access?
A. Нет, в этом нет необходимости
DNS
Q. Какие требования предъявляются к DNS-серверам?
A. Для DirectAccess на базе Windows
Server 2008 R2:
В качестве DNS-серверов, которые будут использоваться клиентами Direct Access, необходим хотя бы один компьютер под управлением Windows Server 2008 R2, Windows Server 2008 c SP2, либо Windows Server 2008 с установленным обновлением
Q958194. Служба DNS Server в данных версиях Windows поддерживает обработку DNS-запросов на Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)-интерфейсах.
По умолчанию служба DNS Server в Windows Server 2008 и Windows Server 2008 R2 блокирует разрешение имен для ISATAP посредством глобального листа бло
A.
Managing the Global Query Block List . Более подробную информацию по планированию и настройке DNS можно получить из статьи
Design Your DNS Infrastructure for DirectAccess .
Для DirectAccess на базе Microsoft Forefront Unified Access Gateway (UAG): В состав Forefront UAG входит DNS64, выполняющий все необходимые для поддержки разрешения имен и для динамических обновлений преобразования DNS-трафика. DNS64 используется клиентами
Direct Access для разрешения имен внутренней сети. Т.о. при использовании Forefront UAG к DNS-серверам не предъявляется никаких особых требований, т.е. они могут работать на базе Windows Server 2003\2008\2008R2.
Q. Требуются ли выделеные DNS-сервера?
A.
В Windows7 и Windows 2008R2 внедрен новый функционал – таблица политики разрешения имен (NRPT), при помощи которой клиенты DirectAccess могут использовать
уже существующие IPv6 DNS-сервера. Следовательно, никакой необходимости в выделенном DNS-сервере для Direct Access нет.
Дополнительную информацию можно найти в статье
Design Your DNS Infrastructure for DirectAccess .
PKI
Q. Какие требования предъявляются к PKI при развертывании DirectAccess?
A. Для развертывания DirectAccess
необходимо создать инфраструктуру открытого ключа (PKI), чтобы обеспечить выдачу сертификатов серверам и клиентам Direct Access, а также серверам сетевого мес��оположения.
Дополнительную информацию можно найти в статье
Design Your PKI for DirectAccess.
Q. Должны ли серверы приложени�� работать под управлением Windows Server 2008 R2?
A. Нет. Сервера приложений могут
работать под управлением любой ОС. Однако, если сервер работает под управлением Windows Server 2003 или более ранней, невозможно настроить DirectAccess так, чтобы обеспечивалась межконцевая IPSec-защита. Также Windows Server 2003 не поддерживает IPv6, соответственно,
необходимо будет устанавливать трансляторы IPv6-IPv4, например NAT64. Этот же транслятор может потребоваться, если сервер работает под управлением ОС, отличной от Windows и не поддерживает IPv6 либо поддерживает его не полностью.
IPsec
Q. Обязательно ли настраивать IPSec?
A. Да, если вы планируете подключать
клиентов к серверу через интернет. При подключении к серверу DirectAccess во внутренней сети IPsec не обязателен.
Если вам необходимо аутентифицировать соединение, но при этом вам необходимо обеспечить доступ к трафику промежуточным сетевым устройствам (например, необходимо отключить шифрование или интеграцию пакетов), можно воспользоваться функцией аутентификации с нулевой
инкапсуляцией.
Дополнительную информацию об IPSec можно найти в статье
Windows Firewall with Advanced Security and IPsec .
Q. Должна ли моя инфраструктура поддерживать перенаправление трафика, защищенного IPSec?
A. Не обязательно. Использование
аутентификации с нулевой инкапсуляцией, доступной в Windows 7/Windows Server 2008R2 позволяет настраивать межабонентскую проверку подлинности IPSec даже если устройства третьего уровня не поддерживают перенаправление трафика, защищенного IPSec.
Безопасность
Q. Обязательно ли использовать смарт-карты для подключения к DirectAccess?
A. Нет. Многоступенчатая проверка
подлинности с использованием смарт-карт является необязательной.тьего уровня не поддерживают перенаправление трафика, защищенного IPSec.
Безопасность
Q. Обязательно ли использовать смарт-карты для подключения к DirectAccess?
A. Нет. Многоступенчатая проверка
подл
Q. Можно ли использовать токены в качестве второй ступени проверки подлинности?
A. Для использования многоступенчатой
проверки подлинности токен должен поддерживать использование индикатора публичного ключа шифрования начальной проверки подлинности Kerberos (PKINIT). Токены, использующие другие методы, например RSA Secure ID не могут использоваться для многоступенчатой проверки
подлинности при подключении к DirectAcces.
Работа с DirectAccess и устранение проблем
Q. Может ли быть клиентом DirectAccess компьютер под управлением Windows Server 2008R2?
A. Да, может
Q. Как восстановить подключение к DirectAccess после переустановки системы, имея только подключение к интернету?
A. После переустановки системы присвойте
компьютеру прежнее имя, т.к. политики DirectAccess основаны на членстве в группах безопасности и именах компьютеров.
1. Подключитесь к внутренней сети предприятия при помощи VPN и введите компьютер в домен.
2. Выполните команду gpupdate /force, чтобы обновить групповые политики на клиенте.
Q. Как отключить DirectAccess на клиентском компьютере?
A.
- Удалите компьютер из группы безопасности клиентов DirectAccess.
- Выполните команду gpupdate /force, чтобы обновить групповые политики на клиентском компьютере.
Рядовой пользователь не может самостоятельно отключить DirectAccess на своем компьютере.
Q. Как запретить подключение для клиента DirectAccess?
A. Отключить учетную запись данного
компьютера в AD.
Рядовой пользователь не может самостоятельно отключить DirectAccess на своем компьютере.
Q. Как запретить подключение для клиента DirectAccess?
A. Отключить уheight:125%;font-size:13pt;">Q. Могут ли приложения, работающие в XP Mode использовать DirectAccess?
A. Нет. XP Mode имеет те же сетевые
возможности, что и Windows XP, что не подразумевает поддержку DirectAccess.
Q. Может ли компьютер, не включенный в домен, подключаться через DirectAccess?
A. Нет. Если вам нeобходимо подключаться
через DirectAccess с компьютера, не включенного в домен, создайте виртуальный диск с включенной в домен системой и используйте функционал загрузки с VHD.
Q. В руководстве по развертыванию DirectAccess указана необходимость наличия двух «белых» статических IPv4-адресов
интернета. Есть ли какой-нибудь способ обойтись одним?
А. К сожалению, нет. Два статических
IPv4-адреса необходимы для работы протокола Teredo. Даже если у вас есть интернет-адрес IPv6, мастер настройки DirectAccess будет требовать наличия адресов IPv4. В настоящее время решения этой проблемы нет.
Q. Когда я подключаюсь через DirectAccess, моему соединению назначается Общественный профиль брандмауэра. Второго, доменного подключения, просто нет, независимо от того, подключаюсь
я с использованием IP-HTTPS или Teredo. Так и должно быть? Или я что-то упустил при настройке?
А. Так и должно быть.
В отличие от VPN-подключения, создающего новый интерфейс, которому назначается доменный профиль брандмауэра, клиент DirectAccess использует уже существующее подключение и работает поверх него.
Алгоритм обнаружения доменного профиля был изменен, и теперь включает обнаружение NLS-сервера DirectAccess. Если в сети обнаруживаются одновременно NLS-сервер и контроллер домена, то сети присваивается доменный профиль.