У овом ћемо чланку корак по корак описати поступак распоређивања услуге даљинског приступа директном приступу на најновијој Мицрософтовој платформи сервера - Виндовс Сервер 2012 Р2. Генерално гледано, услуга Директног приступа укључује неколико сценарија, покушаћемо да размотримо најчешћи сценарио организације услуге ДирецтАццесс.
Пре него што започнете, укратко се подсетите шта је услуга Дирецтаццесс. Компоненту ДирецтАццесс први пут је представио Мицрисофт у Виндовс Сервер 2008 Р2, а дизајниран је да организује транспарентан приступ удаљеним рачунарима унутрашњим мрежним ресурсима компаније. Када се повезујете преко ДА, корисник може у потпуности користити корпоративне и доменске услуге, а особље за ИТ подршку управља тим рачунарима и ажурира их у погледу безбедности. У основи, ДирецтАццесс је слично традиционалној ВПН вези с корпоративном мрежом. Размислите главне разлике између ДирецтАццесс-а и ВПН-а:
- Да би успоставио везу помоћу ДирецтАццесс-а, кориснику није потребно да покрене ВПН клијент - веза се успоставља аутоматски када постоји приступ Интернету
- Да бисте успоставили везу између ДА клијента и сервера, морате да отворите само 443 портова
- Кориснички рачунар мора бити смештен у АД домену, што значи да се на њега односе све смернице групе домена (наравно, постоје трикови који вам омогућавају да покренете ВПН пре уласка у Виндовс, али то се обично не практикује)
- Комуникацијски канал између удаљеног рачунара и корпоративног пролаза шифриран је робусним алгоритамима који користе ИПсец
- Могуће је организовати двофакторну аутентификацију помоћу једнократног система лозинки
Које су главне разлике између верзије ДирецтАццесс-а у Виндовс Сервер 2012/2012 Р2 и верзије Виндовс 2008 Р2. Главна разлика је смањење потреба за сродном инфраструктуром. Тако на пример:
- Сервер ДирецтАццесс сада не мора бити рубни сервер, сад се може налазити иза НАТ-а.
- У случају да се Виндовс 8 Ентерприсе користи као удаљени клијенти, није потребно распоређивати интерну инфраструктуру ПКИ (Керберос проки који се налази на ДА серверу биће одговоран за аутентификацију клијента)
- Није нужно постала и доступност ИПв6 у интерној мрежи организације
- Подршка за ОТП (једнократна лозинка) и НАП (заштита приступа мрежи) без потребе за имплементацијом УАГ-а
Захтеви и инфраструктура потребни за имплементацију ДирецтАццесс-а на Виндовс Сервер 2012 Р2
- Права администратора домена и домена Ацтиве Дирецтори
- Намјенски (препоручени) ДА сервер који користи Виндовс Сервер 2012 Р2, укључен у Виндовс домену. Сервер има 2 мрежне картице: једна се налази у интерној корпоративној мрежи, а друга у ДМЗ мрежи
- Наменски подмрежа ДМЗ
- Спољно ДНС име (стварно или преко ДинДНС) или ИП адреса приступачна са Интернета на коју ће се ДирецтАццесс клијенти повезати
- Конфигуришите преусмеравање саобраћаја са ТЦП порта 443 на адресу ДА сервера
- Уграђена ПКИ инфраструктура за издавање сертификата. Ауторитет за сертификат мора да објави образац сертификата Веб сервер и дозвољено му је аутоматско примање (аутоматски-уписници) (Ако ће се као клијенти користити само Виндовс 8 - ПКИ није обавезан).
- Клијенти могу бити рачунари са издањима Профессионал / Ентерприсе за Виндовс 7 и Виндовс 8.к
- АД група, која ће се састојати од рачунара којима је дозвољено повезивање са мрежом путем директног приступа (на пример, ова група ће се звати ДирецтаццессРачунари)
Инсталирање улоге за удаљени приступ
Покрените конзолу управитеља сервера и користите чаробњака за додавање улога и функција да бисте инсталирали улогу удаљеног приступа.
Као део улоге за удаљени приступ морате инсталирати услугу ДирецтАццесс и ВПН (РАС).
Све остале зависности су подразумевано остављене..
Конфигуришите директан приступ на Виндовс Сервер 2012 Р2
Након што завршите инсталирање удаљеног приступа, отворите снап Алати -> Управљање даљинским приступом.
Покреће се чаробњак за конфигурацију улоге за удаљени приступ. Показујемо да морамо инсталирати само ДА улогу - Инсталирајте само ДирецтАццесс.
Након тога би се требао отворити прозор, у десној половини од којих су четири фазе (корак 1 - 4) конфигурације услуге ДА приказане у графичком облику.
1. фаза (1. корак: удаљени клијенти).
Ми истичемо да користимо пуноправни ДирецтАццесс сервер са могућношћу приступа клијентима и њиховом даљинском управљачу Користите пуни ДирецтАццесс за приступ клијентима и даљинско управљање.
Затим, кликом на дугме Додај, морате да одредите безбедносне групе АД, које ће садржати рачуне рачунара којима је дозвољено повезивање са корпоративном мрежом путем директног приступа (у нашем примеру, ово је група ДирецтАццессЦомпутерс).
Напомена. Опција Омогући ДирецтАццесс само за мобилне уређаје - омогућава вам да ограничите везу путем ДА само за мобилне уређаје (преносне рачунаре, таблете). Функција се проводи анкетирањем клијената путем ВМИ-ја. Користите опцију присилног тунелирања - значи да удаљени клијенти увек користе ДА сервере приликом приступа било којим удаљеним ресурсима (укључујући редовне веб локације) (тј. Сав саобраћај спољних клијената пролази кроз корпоративни гатеваи).Сљедећи корак је одредити листу интерних мрежних имена или УРЛ адреса помоћу којих клијент може провјерити (Пинг или ХТТП захтјев) да ли је повезан са корпоративном мрежом. Овде можете одредити и адресу е-поште за контакт службе за помоћ и име везе ДирецтАццесс (ово ће се приказати у мрежним везама на клијенту). Ако је потребно, можете омогућити Аллов ДирецтАццесс клијентима да користе опцију локалне резолуције имена, која омогућава клијенту да користи унутрашње ДНС сервере компаније (адресе ДНС сервера се могу добити путем ДХЦП).
Друга фаза (2. корак: Сервер за удаљени приступ)
Следећи корак је подешавање сервера удаљеног приступа. Ми показујемо да је наш сервер за удаљени приступ конфигурација са две мрежне картице - Иза ивице уређаја (са два мрежна адаптера), од којих се један налази у корпоративној мрежи, а други је директно повезан са Интернетом или подмрежом ДМЗ. Овде треба да одредите спољно ДНС име или ИП адресу на Интернету (управо се са те адресе порт 443 прослеђује спољном интерфејсу ДирецтАццесс сервера) на који ДА клијенти треба да се повежу.
Затим морате одредити која ће се мрежна картица сматрати интерном (Интерни - ЛАН), а која спољна (Спољни - ДМЗ).
Изведимо чаробњака за подешавање директног приступа и генеришемо сертификат ДА сервера. Да бисте то учинили, направите нови ммц додатак, којем смо додали конзолу Сертификати, управљање цертификатима локалног рачунара (Рачунарски рачун)
У конзоли за управљање сертификатима тражимо нови лични сертификат десним кликом на одељак Цертификати (локални рачунар) -> лични -> сертификати и избор у менију Сви задаци-> Затражите нови сертификат
Затражите потврду путем смерница Политика уписа у активни директориј. Занима нас сертификат заснован на предлошку Вебсерверс.
У подешавањима за тражење новог сертификата на картици Предмет попуните поља која идентификују нашу компанију и на картици Привате Кеи назначите да се приватни кључ сертификата може извести (Учините приватни кључ за извоз).
Сачувајте измене и затражите нови сертификат од ЦА.
Враћамо се на прозор поставки сервера ДирецтАццесс и кликом на дугме Бровсе изаберите генерисани сертификат.
У следећем кораку чаробњака изабрат ћемо метод провјере аутентичности за клијенте са директним приступом. Навешћемо да се користи аутентификација помоћу пријаве за пријаву и лозинку АД (активни директоријуми - име / лозинка). Напомена у пољу за потврду Употреба рачунарских сертификата и Коришћење средњег сертификата. Кликом на дугме Бровсе (Прегледај) потребно је да одредите сертификационо тело које ће бити одговорно за издавање потврда клијента.
Савет. Подсјетимо да ако ће Виндовс 8 машине дјеловати као клијенти, не морате распоредити свој цертификацијски центар. Ако потврдите избор у пољу за потврду Омогући рачунаре Виндовс 7 клијентима да се повежу путем ДирецтАццесс-а (ПКИ ће се морати активирати без грешке, клијенти на Виндовс 7 неће моћи радити без њега.Трећа фаза (3. корак: Инфраструктурни сервери)
Трећа фаза је конфигурација инфраструктурних сервера. Од нас ће се тражити да наведете адресу мрежног сервера за локацију која се налази унутар корпоративне мреже. Мрежни сервер сервера - то је сервер са којим клијент може утврдити да се налази у интерној мрежи организације, тј. нема потребе да користите ДА за повезивање. НЛС сервер може бити било који интерни веб сервер (чак и са подразумеваном ИИС страницом), главни захтев је да НЛС сервер не треба да буде доступан изван корпоративне мреже.
Затим приказујемо ДНС сервере за решавање имена од стране клијената. Препоручује се да оставите опцију Користите локалну разлучивост имена ако име не постоји на ДНС-у или су ДНС сервери недоступни када је клијентски рачунар на приватној мрежи (препоручује се).
Затим назначите ДНС суфиксе интерних домена по редоследу приоритета њихове употребе.
Нећемо ништа да одредимо у прозору поставки управљања.
Четврти корак (корак 4: Апликацијски сервери)
Фаза подешавања послужитеља апликација. У овом тренутку можете да конфигуришете додатну аутентификацију и шифровање саобраћаја између интерних сервера апликација и ДА клијената. Не треба нам ово, па оставите опцију Не проширите аутентификацију на апликацијске сервере.
Овим се завршава чаробњак за конфигурацију улоге за удаљени приступ, само морамо да сачувамо промене.
Након што се чаробњак заврши, креираће две нове групне политике, ДирецтАццесс поставке клијента и ДирецтАцесс Сервер Сеттингс, које су приложене за корен домена. Можете их оставити тамо или повезати до жељеног ОУ.
Тестирање директног приступа на Виндовс 8 клијенту
Да бисте тестирали директан приступ од клијента, додајте овај рачунар (подсетите се да то мора бити Виндовс 8.Кс Ентерприсе ПЦ) у групу ДирецАццессЦомпурерс, ажурирајте смернице групе на њему (гпупдате / форце).
Савет. Подсјетимо да се у Виндовс Сервер 2012 појавила функционалност укључења рачунара у домен путем ДирецтАццесс-а, без потребе за физичким повезивањем рачунара клијента са корпоративном мрежом.Искључујемо испитну машину из корпоративне мреже и повезујемо се на Интернет путем Ви-Фи-ја. Систем се аутоматски повезује са корпоративном мрежом путем ДирецтАццесс-а, што показује и статус Повезане иконе за повезивање на радном месту (тако смо назвали нашу везу приликом подешавања сервера) на листи мрежа.
Мрежно повезивање путем ДирецтАццесс-а може се проверити помоћу наредбе ПоверСхелл:
Гет- ДАЦоннецтионСтатус
Ако се она врати ЦоннецтедРемотели, тада је ДА веза у корпоративној мрежи