В качестве введения - очень краткий технический обзор технологии. Более подробно можно прочитать на блогах моих коллег "по цеху" (по Microsoft), например на блоге Андрея Бешкова, или на нашем официальном сайте www.microsoft.com/rus/windowsserver2008r2.
Для начала краткий экскурс в IPv6, т.к. DirectAccess работает только по IPv6. Сразу хочу успокоить читателей, в современных сетях, использующих IPv4 работать технология будет (в том числе и через IPv4 интернет). Самое существенное ограничение - через DirectAccess не будет работать доступ к старым серверам (Windows 2000 Server и младше). Могут быть прблемы и с доступом к Windows Server 2003. На него надо будет устанавливать поддержку IPv6. Полная поддержка IPv6 (включая поддержку IPv6 со стороны всех служб ОС есть только в Windows Vista и Windows Server 2008 и старше). Это ограничение можно попытаться обойти используя portproxy или устройства NAT-PT. Первая технология (portproxy) позволяет проксировать TCP трафик из IPv6 и перенаправлять его на IPv4 сервера. Вторая, (NAT-PT) работает по принципу NAT'a только преобразует IPv6 трафик в IPv4 и наоборот (никакого отношения к Teredo не имеет). Но и с этими технологиями могут возникнуть сложности, т.к. portproxy хотя и поддерживается в Windows Server 2008, но проксирует только TCP. Что делать с UDP трафиком не понятно. NAT-PT в Windows не реализовано, так что надо смотреть в сторону производителей оборудования...
Тем, кого не испугали ограничения, предлагаю перейти к настройке DirectAccess.
1. Контроллер домена (DC) под управлением Windows Server 2008 R2
2. Сервер, член домена, под управлением Windows Server 2008 R2. Здесь только R2, т.к. на ранних версиях Windows Server DirectAccess не работает. Этот сервер будет шлюзом. Пусть называется DA.
3. ПК с Windows 7 enterprise или ultimate.
Также установите IPv6 адрес FD00:0:0:1::1/64. DNS IPv6 - ::1, шлюз IPv6 – FD00:0:0:1::2 (такой адрес будет у DA). Адрес FD00:0:0:1::1 является unique local и рекомендован к использованию внутри организации. (Что-то на подобии private IP адресов в IPv4, 192.168.0.0, 172.16.0.0, 10.0.0.0). В данном адресе FD00 - неизменная часть, далее может быть любая комбинация чисел.
На внутреннем интерфейсе прописываем IPv4 адрес для связи с DC и DNS-суффикс подключения = имени домена (в моем примере домен contoso.com), а также IPv6 адрес. Опять же я использовал unique local адрес (т.е. из сети FD00). У меня это FD00:0:0:1::2/64. DNS - FD00:0:0:1::1 (адрес DC).
Далее, необходимо установить службу маршрутизации (она находится в ролях и является частью роли Network Access and Protection Server). Необходима только эта служба, другие службы роли устанавливать не надо.
RRAS влючаем и настраиваем как маршрутизатор IPv6 в локальной сети. Маршрутизацию вызова по требованию можно отключить. Маршрутизацию IPv4 тоже.
Далее необходимо выдать сертификаты для компьютера DA и компьютера с Windows 7. Думаю, это все умеют делать. Не забудте добавить сертификат вашего центра сертификатов в качестве trusted root certificates на сервере DA и Windows 7. Удобнее это сделать с помощью GP.
Нам понадобится роль IIS или любой ПК с установленной ролью IIS. Т.к. ПК c Windows 7 определяет свое месоположение (в корпоративной сети или в интернет) путем запроса к определенному, заранее настроенному url. Этот url должен работать внутри сети и не должен работать снаружи. URL имеет вид https://<FQDN сервера с IIS>/insideoutside, в моем примереhttps://dalocation.contoso.com/insideoutside. Вам надо будет указать только <FQDN сервера с IIS>. Все остальное мастер сделает автоматически. По адресу insideoutside создается пустая html страничка. Для выбранного IIS сервера необходим сертификат, который надо будет установить на этот сервер в настройках IIS. При запросе сертификата необходимо указать common name = <FQDN сервера с IIS>, в моеме примере это dalocation.contoso.com и DNS имя = <FQDN сервера с IIS>, в моеме примере это опять же dalocation.contoso.com.
Теперь собственно настройка DirectAccess.
Затем идем в меню Пуск -> Administrative Tools -> DirectAccess Management и далеев раздел setup. Если все ранее описанное выполнено правильно, то вы увидете 4 шага по настройке DirectAccess. Здесь начинается самая простая стадия в настройке DirectAccess :-)
Итак, шаг 1, remote clients. Edit -> добавить группу, в которой будут компьютеры, подключающиеся по DirectAccess. Группа должна быть создана в AD в ней должны быть учетные записи компьютеров, которым будет предоставлен доступ черезDirectAccess. Компьютеры должны быть в домене. Теперь нажать Finish.
Шаг 2, DirectAccess Server. Edit -> Interface Connected to Internet, выбираем сетевой интерфейс, подключенный к интернет и interface connected to internal network выбираем интерфейс, подключенный к внутренней сети. Next. IPv6 prefix пишем FD00::/48 если вы выбрали использование unique local как это делал я. IPv6 prefix to assign to remote clients FD00:0:0:5555::/64. Next. Select the root certificate -> Browse ->выбираем корневой сертификат, Finish.
Шаг 3, Infrastructure Server. Edit -> Network Location Server is run on the DirectAccess server. Выбираем сертификат для веб-сервера. Этот же сертификат был установлен на веб сервер ранее. Next. В табличке, в колонке name suffix должен быть уже написан внутренний домен (у меня это contoso.com) и IPv6 адрес DNS сервера FD00:0:0:1::1. И имя исключения, у меня это dalocation.contoso.com. Адреса DNSнапротив него быть не должно. Если в табичке написано что-то отличное от имени домена и FQDN IIS сервера (contoso.com и dalocation.contoso.com), то вы что-то сделали не так и скорее всего у вас ничего не заработает. Local name resolution, выбираем второй пункт. Next, Finish.
Шаг 4. Edit -> Require no additional end-to-end authentication, т.е. дополнительного шифрования/аутентификации для доступа к внутренним серверам не требуется.
Все! Теперь осталось нажать Save и Finish, будут сформированы групповые политики, эти политики надо применить к серверу и клиентам (gpupdate) и наслаждаться доступом через DirectAccess! Т.е. если ПК с Windows 7 имеет внутренний IPv4 адрес (IPv6 адрес ему не нужен), то доступ к ресурсам сети идет напрямую (сетевое расположение – contoso.com, доменная сеть). Если ПК подключен к интернет с внешним IPv4, то доступ через Direct Access и сетевое расположение – публичная сеть. При это доступны ресурсы корпоративной сети (по именам серверов) и сам компьютер может управляться из корпоративной сети (например к нему можно подключиться удаленным помошником).
IPv4 адрес в случае подключения к интернет должен быть внешним. Чтобы заработали серые IP адреса (компьютер в интернете, но за NATом), необходимо настроить isatap или teredo.
Комментариев нет:
Отправить комментарий