- Шаг 2. Настройка VPN-сервера DirectAccess Step 2 Configure the DirectAccess-VPN Server
- Запуск мастера установки DirectAcces To Start the Enable DirectAcces Wizard
- Настройка клиентов DirectAccess Configure DirectAccess clients
- Настройка топологии сети Configure the Network Topology
- Настройка списка DNS-суффиксов Configure the DNS Suffix Search List
- Настройка объектов групповой политики GPO Configuration
- Итоги Summary
- Развертывание одного сервера DirectAccess с помощью мастера начальной настройки Deploy a Single DirectAccess Server Using the Getting Started Wizard
- Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий. Before you begin deploying, see the list of unsupported configurations, known issues, and prerequisites
- Описание сценария Scenario description
- Содержание сценария In this scenario
- Предварительные требования Prerequisites
- Шаги планирования Planning steps
- Шаги по развертыванию Deployment steps
- Практическое применение Practical applications
- Роли и компоненты, входящие в этот сценарий Roles and features included in this scenario
- Требования к оборудованию Hardware requirements
- Требования к программному обеспечению Software requirements
- См. также See also
Шаг 2. Настройка VPN-сервера DirectAccess Step 2 Configure the DirectAccess-VPN Server
Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016
В этом разделе описывается настройка клиентов и сервера при развертывании базового удаленного доступа с помощью мастера установки DirectAccess. This topic describes how to configure the client and server settings required for a basic Remote Access deployment using the Enable DirectAccess Wizard.
В следующей таблице приведены общие сведения о действиях, которые можно выполнить с помощью этого раздела. The following table provides an overview of the steps you can complete by using this topic.
| Задача Task | Описание Description |
|---|---|
| Настройка клиентов DirectAccess Configure DirectAccess clients | Настройте сервер удаленного доступа с группами безопасности, в которые входят клиенты DirectAccess. Configure the Remote Access server with the security groups containing DirectAccess clients. |
| Настройка топологии сети Configure the Network Topology | Настройте параметры сервера удаленного доступа. Configure Remote Access server settings. |
| Настройка списка DNS-суффиксов Configure the DNS Suffix Search List | Измените список суффиксов, если требуется. Modify the Suffix search list if desired. |
| Настройка объектов групповой политики GPO Configuration | Измените объекты групповой политики, если требуется. Modify the GPOs if desired. |
Запуск мастера установки DirectAcces To Start the Enable DirectAcces Wizard
В диспетчер сервера выберите Сервис, а затем — Удаленный доступ. Мастер включения DirectAccess запускается автоматически, если не выбран параметр больше не показывать этот экран. In Server Manager, click Tools, and then click Remote Access.The Enable DirectAccess Wizard starts automatically unless you have selected Do not show this screen again.
Если мастер не запустился автоматически, щелкните правой кнопкой мыши по узлу сервера в дереве Маршрутизация и удаленный доступ и нажмите Включить DirectAccess. If the wizard does not start automatically, right-click the server node in the Routing and Remote Access tree, and then click Enable DirectAccess.
Щелкните Далее. Click Next.
Настройка клиентов DirectAccess Configure DirectAccess clients
Чтобы использовать DirectAccess, клиентский компьютер должен входить в выбранную группу безопасности. For a client computer to be provisioned to use DirectAccess it must belong to the selected security group. После настройки DirectAccess клиентские компьютеры из группы безопасности получают групповую политику DirectAccess. After DirectAccess is configured, client computers in the security group are provisioned to receive the DirectAccess group policy.
На странице Выбор групп щелкните Добавить. On the Select Groups page, click Add.
В диалоговом окне Выбор групп выберите группы безопасности, в которые входят компьютеры клиентов DirectAccess. On the Select Groups dialog box, select the security groups containing DirectAccess client computers.
Отметьте флажком пункт Разрешить DirectAccess только для мобильных компьютеров, чтобы открыть доступ к внутренней сети только для мобильных устройств. Select the Enable DirectAccess for mobile computers only check box to allow only mobile computers to access the internal network.
Отметьте флажком пункт Использовать принудительное туннелирование, чтобы направить весь трафик клиентов (внутренний и внешний) через сервер удаленного доступа. Select the Use force tunneling check box to route all client traffic (to the internal network and to the Internet) through the Remote Access server.
Щелкните Далее. Click Next.
Настройка топологии сети Configure the Network Topology
Чтобы развернуть удаленный доступ, вам потребуется настроить на сервере удаленного доступа правильную конфигурацию сетевых адаптеров, установить общедоступный URL (адрес подключения), а также сертификат IP-HTTPS с именем субъекта, совпадающим с адресом подключения. To deploy Remote Access, you need to configure the Remote Access server with the correct network adapters, a public URL for the Remote Access server to which client computers can connect (the connect to address), and an IP-HTTPS certificate whose subject matches the connect to address.
- На странице Топология сети выберите топологию, которая будет использоваться в вашей организации. On the Network Topology page, click the deployment topology that will be used in your organization. В поле Введите общедоступное имя или IPv4-адрес, используемые клиентами для подключения к серверу удаленного доступа введите общедоступное имя развертывания (оно совпадает с именем субъекта сертификата IP-HTTPS, например edge1.contoso.com), а затем нажмите кнопку Далее. In Type the public name or IPv4 address used by clients to connect to the Remote Access server, enter the public name for the deployment (this name matches the subject name of the IP-HTTPS certificate, for example, edge1.contoso.com), and then click Next.
Настройка списка DNS-суффиксов Configure the DNS Suffix Search List
Для клиентов DNS вы можете настроить список DNS-суффиксов домена, расширяющий или преобразующий их возможности поиска DNS. For DNS clients, you can configure a DNS domain suffix search list that extends or revises their DNS search capabilities. Добавляя в список дополнительные суффиксы, вы можете искать компьютеры по коротким или неполным именам в более чем одном домене DNS. By adding additional suffixes to the list, you can search for short, unqualified computer names in more than one specified DNS domain. Затем, если происходит сбой запроса DNS, служба DNS-клиента может использовать этот список для добавления других суффиксов имен к исходному имени и повторения запросов DNS к DNS-серверу для этих альтернативных полных доменных имен. Then, if a DNS query fails, the DNS Client service can use this list to append other name suffix endings to your original name and repeat DNS queries to the DNS server for these alternate FQDNs.
Щелкните Настроить для клиентов DirectAccess список поиска суффиксов DNS-клиента, чтобы указать дополнительные суффиксы для поиска клиентов по именам. Select Configure DirectAccess Clients with DNS client suffix search list to specify additional suffixes for client name searches.
Введите новое имя суффикса в новом суффиксе и нажмите кнопку Добавить. Type a new suffix name in New Suffix and then click Add. Кроме того, можно изменить порядок поиска и удалить суффиксы из доменных суффиксов для использования. Additionally, you can change the search order and remove suffixes from Domain Suffixes to use.
МЕТИМ В сценарии несвязанного пространства имен, ( где один или несколько компьютеров домена имеют DNS-суффикс, не совпадающий с доменом Active Directory, которому принадлежат компьютеры ) , следует убедиться, что список поиска настроен для включения всех необходимых суффиксов. [NOTE] In a disjoint name space scenario (where one or more domain computers has an DNS suffix that does not match the Active Directory domain to which the computers belong), you should ensure that the search list is customized to include all the required suffixes. Мастер удаленного доступа по умолчанию назначит имя DNS Active Directory основным DNS-суффиксом клиента. The Remote Access wizard will by default configure the Active Directory DNS name as the primary DNS suffix on the client. Администратору следует убедиться, что он добавляет DNS-суффикс, используемый клиентами для разрешения имен. Admin should ensure that he adds the DNS suffix used by clients for name resolution.
Для компьютеров и серверов следующее поведение поиска DNS по умолчанию предопределено и используется при завершении и разрешении коротких неполных имен. Если список поиска суффиксов пуст или не указан, основной DNS-суффикс компьютера добавляется к коротким неполным именам, а запрос DNS используется для разрешения результирующего полного доменного имени. For computers and servers, the following default DNS search behavior is predetermined and used when completing and resolving short, unqualified names.When the suffix search list is empty or unspecified, the primary DNS suffix of the computer is appended to short unqualified names, and a DNS query is used to resolve the resultant FQDN.
Если этот запрос завершается неудачей, компьютер может попытаться выполнить дополнительные запросы на альтернативные доменные имена, добавив суффикс DNS, заданный для подключения, настроенный для сетевых подключений. Если суффиксы подключения не настроены или запросы для этих результирующих доменных имен, связанных с подключением, завершаются сбоем, клиент может начать попытки повторить запросы на основе систематического сокращения основного суффикса (также известного как регрессия). If this query fails, the computer can try additional queries for alternate FQDNs by appending any connection-specific DNS suffix configured for network connections.If no connection-specific suffixes are configured or queries for these resultant connection-specific FQDNs fail, then the client can then begin to retry queries based on systematic reduction of the primary suffix (also known as devolution).
Например, если первичным суффиксом является «example.microsoft.com», процесс регрессии может повторить запросы для короткого имени, выполнив поиск в доменах «microsoft.com» и «com». For example, if the primary suffix is «example.microsoft.com,» the devolution process can retry queries for the short name by searching for it in the «microsoft.com» and «com» domains.
Если список поиска суффиксов не пуст и в нем задан хотя бы один DNS-суффикс, попытки определить и разрешить короткие DNS-имена ограничиваются только поиском только тех полных доменных имен, которые были доступны в указанном списке суффиксов. When the suffix search list is not empty and has at least one DNS suffix specified, attempts to qualify and resolve short DNS names is limited to searching only those FQDNs made possible by the specified suffix list.
Если запросы для всех полных доменных имен, выполненные в результате подстановки всех суффиксов из списка, не дают результата, запрос считается неудачным и выводится сообщение «имя не найдено». If queries for all FQDNs formed as a result of appending and trying each suffix in the list are not resolved, the query process fails, producing a «name not found» result.
Если используется список суффиксов домена и ответ на запрос или разрешение не получается, клиенты продолжают посылать дополнительные альтернативные запросы на основе различных имен доменов DNS. If the domain suffix list is used, clients continue to send additional alternate queries based on different DNS domain names when a query is not answered or resolved. Если имя домена разрешается с помощью записи в списке суффиксов, остальные записи не используются для поиска. Once a name is resolved using an entry in the suffix list, unused list entries are not tried. По этой причине для наиболее эффективного поиска рекомендуется поместить в начало списка наиболее часто используемые суффиксы доменов. For this reason, it is most efficient to order the list with the most used domain suffixes first.
Поиск по суффиксам доменного имени выполняется лишь в случае указания неполного имени DNS. Domain name suffix searches are used only when a DNS name entry is not fully qualified. В конце полного имени DNS добавляется точка (.). To fully qualify a DNS name, a trailing period (.) is entered at the end of the name.
Настройка объектов групповой политики GPO Configuration
При настройке удаленного доступа параметры DirectAccess собираются в групповая политика объекты (GPO). When you configure Remote Access, DirectAccess settings are collected into Group Policy Objects (GPO).
В параметрах GPO указаны имя объекта групповой политики сервера DirectAccess и имя объекта групповой политики клиента. In GPO Settings, the DirectAccess server GPO name and Client GPO name are listed. Кроме того, вы можете изменить параметры выбора объектов групповой политики. Additionally, you can modify the GPO selection settings.
Два GPO автоматически заполняются параметрами DirectAccess и распределяются таким образом: Two GPOs are populated automatically with DirectAccess settings, and distributed in this way:
Объект групповой политики клиента DirectAccess. DirectAccess client GPO. Этот GPO содержит параметры клиента, в том числе параметры технологии туннелирования IPv6, записи NRPT и правила безопасности подключений брандмауэра Windows в режиме повышенной безопасности. This GPO contains client settings, including IPv6 transition technology settings, NRPT entries, and Windows Firewall with Advanced Security connection security rules. Объекты групповой политики применяются к группам безопасности, указанным для клиентских компьютеров. The GPO is applied to the security groups specified for the client computers.
Объект групповой политики сервера DirectAccess. DirectAccess server GPO. Этот объект групповой политики содержит параметры конфигурации DirectAccess, которые применяются к любому серверу, настроенному в качестве сервера удаленного доступа в развертывании. This GPO contains the DirectAccess configuration settings that are applied to any server configured as a Remote Access server in your deployment. Кроме того, в них записываются правила брандмауэра Windows в режиме повышенной безопасности. It also contains Windows Firewall with Advanced Security connection security rules.
Итоги Summary
После завершения настройки удаленного доступа отобразится Сводка . Once the Remote Access configuration is complete the Summary is displayed. Вы можете изменить настроенные параметры или нажать кнопку Готово , чтобы применить конфигурацию. You can change the configured settings or click Finish to apply the configuration.
Развертывание одного сервера DirectAccess с помощью мастера начальной настройки Deploy a Single DirectAccess Server Using the Getting Started Wizard
Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016
В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и представлена несложная процедура развертывания DirectAccess. This topic provides an introduction to the DirectAccess scenario that uses a single DirectAccess server, and allows you to deploy DirectAccess in a few easy steps.
Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий. Before you begin deploying, see the list of unsupported configurations, known issues, and prerequisites
Следующие разделы содержат предварительные требования и другие сведения перед развертыванием DirectAccess. You can use the following topics to review prerequisites and other information before you deploy DirectAccess.
Описание сценария Scenario description
В этом сценарии один компьютер под управлением Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, настроен в качестве сервера DirectAccess с параметрами по умолчанию в нескольких простых шагах мастера, без необходимости настройки параметров инфраструктуры, таких как центр сертификации или группы безопасности Active Directory. In this scenario, a single computer running either Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012, is configured as a DirectAccess server with default settings in a few easy wizard steps, without any need to configure infrastructure settings such as a certification authority (CA) or Active Directory security groups.
Сведения о настройке расширенного развертывания с пользовательскими параметрами см. в разделе Deploy a Single DirectAccess Server with Advanced Settings. If you want to configure an advanced deployment with custom settings, see Deploy a Single DirectAccess Server with Advanced Settings
Содержание сценария In this scenario
Чтобы настроить базовый сервер DirectAccess, требуется выполнить несколько этапов планирования и развертывания. To set up a basic DirectAccess server, several planning and deployment steps are required.
Предварительные требования Prerequisites
Перед началом развертывания этого сценария ознакомьтесь со списком важных требований. Before you begin deploying this scenario, review this list for important requirements:
Брандмауэр Windows должен быть включен для всех профилей. Windows firewall must be enabled on all profiles
Этот сценарий поддерживается только в том случае, если клиентские компьютеры работают под управлением Windows 10, Windows 8.1 или Windows 8. This scenario is only supported when your client computers are running Windows 10, Windows 8.1 or Windows 8.
ISATAP в корпоративной сети не поддерживается. ISATAP in the corporate network is not supported. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6. If you are using ISATAP, you should remove it and use native IPv6.
Инфраструктура открытых ключей (PKI) не требуется. A Public Key Infrastructure is not required.
Для развертывания не поддерживается двухфакторная проверка подлинности. Not supported for deploying two factor authentication. Для проверки подлинности требуются учетные данные домена. Domain credentials are required for authentication.
DirectAccess автоматически развертывается на всех мобильных компьютерах в текущем домене. Automatically deploys DirectAccess to all mobile computers in the current domain.
Трафик в Интернет не передается по туннелю DirectAccess. Traffic to Internet does not go over the DirectAccess tunnel. Конфигурация принудительного туннелирования не поддерживается. Force tunnel configuration is not supported.
Сервер DirectAccess действует как сервер сетевых расположений. DirectAccess server is the Network Location Server.
Защита доступа к сети (NAP) не поддерживается. Network Access Protection (NAP) is not supported.
Изменение политик вне консоли управления DirectAccess или командлетов PowerShell не поддерживается. Changing policies outside of the DirectAccess management console or PowerShell cmdlets is not supported.
Чтобы развернуть многосайтовую, сейчас или в будущем, сначала разверните один сервер DirectAccess с дополнительными параметрами. To deploy multisite, now or in the future, first Deploy a Single DirectAccess Server with Advanced Settings.
Шаги планирования Planning steps
Планирование разделено на два этапа. Planning is divided into two phases:
Планирование инфраструктуры DirectAccess. Planning for the DirectAccess infrastructure. На этом этапе описывается планирование до начала развертывания DirectAccess, необходимое для настройки сетевой инфраструктуры. This phase describes the planning required to set up the network infrastructure before beginning the DirectAccess deployment. Включает в себя планирование топологий сети и серверов, а также сервера сетевых расположений DirectAccess. It includes planning the network and server topology, and the DirectAccess network location server.
Планирование развертывания DirectAccess. Planning for the DirectAccess deployment. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. This phase describes the planning steps required to prepare for the DirectAccess deployment. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений. It includes planning for DirectAccess client computers, server and client authentication requirements, VPN settings, infrastructure servers, and management and application servers.
Шаги по развертыванию Deployment steps
Развертывание разделено на три этапа. Deployment is divided into three phases:
Настройка инфраструктуры DirectAccess. на этом этапе включается настройка сети и маршрутизации, Настройка параметров брандмауэра при необходимости, Настройка сертификатов, DNS-серверов, параметров Active Directory и объектов групповой политики и сервера сетевого расположения DirectAccess. Configuring the DirectAccess infrastructure-This phase includes configuring network and routing, configuring firewall settings if required, configuring certificates, DNS servers, Active Directory and GPO settings, and the DirectAccess network location server.
Настройка параметров сервера DirectAccess. Configuring DirectAccess server settings. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений. This phase includes steps for configuring DirectAccess client computers, the DirectAccess server, infrastructure servers, management and application servers.
Проверка развертывания. Verifying the deployment. Этот этап включает шаги, позволяющие убедиться, что развертывание работает должным образом. This phase includes steps to verify that the deployment is working as required.
Более подробное описание шагов развертывания см. в разделе Install and Configure Basic DirectAccess. For detailed deployment steps, see Install and Configure Basic DirectAccess.
Практическое применение Practical applications
Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа. Deploying a single Remote Access server provides the following:
Простота доступа. Ease-of-access. В качестве клиентов DirectAccess можно настроить управляемые клиентские компьютеры под управлением Windows 10, Windows 8.1, Windows 8 или Windows 7. You can configure managed client computers running Windows 10, Windows 8.1, Windows 8, or Windows 7, as DirectAccess clients. Эти клиенты могут получать доступ к ресурсам внутренней сети через DirectAccess в любое время, когда они находятся в Интернете, без необходимости входа в VPN-подключение. These clients can access internal network resources via DirectAccess any time they are located on the Internet without needing to log in to a VPN connection. Клиентские компьютеры, использующие другие операционные системы, могут подключаться к внутренней сети с помощью традиционных VPN-подключений. Client computers that are not running one of these operating systems can connect to the internal network by using traditional VPN connections.
Простота управления. Ease-of-management. Администраторы могут управлять клиентскими компьютерами DirectAccess, расположенными в Интернете, через DirectAccess с помощью удаленного доступа, даже если эти компьютеры не находятся во внутренней корпоративной сети. DirectAccess client computers located on the Internet can be remotely managed by Remote Access administrators over DirectAccess, even when the client computers are not located in the internal corporate network. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Client computers that do not meet corporate requirements can be remediated automatically by management servers. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Both DirectAccess and VPN are managed in the same console and with the same set of wizards. Кроме того, при помощи одной консоли управления удаленным доступом можно администрировать один или более серверов удаленного доступа. Additionally, one or more Remote Access servers can be managed from a single Remote Access Management console
Роли и компоненты, входящие в этот сценарий Roles and features included in this scenario
В следующей таблице перечислены роли и компоненты, необходимые для сценария. The following table lists the roles and features required for the scenario:
| Роль/компонент Role/feature | Способ поддержки сценария How it supports this scenario |
|---|---|
| Роль удаленного доступа Remote Access role | Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. The role is installed and uninstalled using the Server Manager console or Windows PowerShell. Эта роль включает как DirectAccess, который раньше был компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые были службой роли в рамках роли сервера служб политики сети и доступа (NPAS). This role encompasses both DirectAccess, which was previously a feature in Windows Server 2008 R2, and Routing and Remote Access Services which was previously a role service under the Network Policy and Access Services (NPAS) server role. Роль удаленного доступа включает два компонента. The Remote Access role consists of two components: 1. VPN-подключение DirectAccess и службы маршрутизации и удаленного доступа (RRAS). 1. DirectAccess and Routing and Remote Access Services (RRAS) VPN. Управление DirectAccess и VPN осуществляется вместе в консоли управления удаленным доступом. DirectAccess and VPN are managed together in the Remote Access Management console. Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера: The Remote Access Server Role is dependent on the following server roles/features: -Службы IIS (IIS). Эта функция необходима для настройки сервера сетевых расположений на сервере удаленного доступа и веб-проверки по умолчанию. — Internet Information Services (IIS) Web Server — This feature is required to configure the network location server on the Remote Access server, and the default web probe. |
| Средства управления удаленным доступом Remote Access Management Tools feature | Этот компонент устанавливается описанным ниже образом. This feature is installed as follows: — Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell. — It is installed by default on a Remote Access server when the Remote Access role is installed, and supports the Remote Management console user interface and Windows PowerShell cmdlets. Средства управления удаленным доступом включают следующие элементы: The Remote Access Management Tools feature consists of the following: — Графический интерфейс удаленного доступа — Remote Access GUI Зависимости включают следующее: Dependencies include: — Консоль управления групповыми политиками — Group Policy Management Console |
Требования к оборудованию Hardware requirements
Для этого сценария действуют следующие требования к оборудованию. Hardware requirements for this scenario include the following:
Требования к серверу. Server requirements:
Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012. A computer that meets the hardware requirements for Windows Server 2016, Windows Server 2012 R2 , or Windows Server 2012 .
Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. The server must have at least one network adapter installed, enabled, and connected to the internal network. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети). When two adapters are used, there should be one adapter connected to the internal corporate network, and one connected to the external network (Internet, or private network).
Минимум один контроллер домена. At least one domain controller. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена. The Remote Access server and DirectAccess clients must be domain members.
Требования к клиенту. Client requirements:
Клиентский компьютер должен работать под управлением Windows 10, Windows 8.1 или Windows 8. A client computer must be running Windows 10, Windows 8.1 or Windows 8.
Если некоторые или все клиентские компьютеры работают под управлением Windows 7, необходимо использовать мастер расширенной установки. If some or all of your client computers are running Windows 7, you must use the Advanced Setup Wizard. Мастер установки начало работы, описанный в этом документе, не поддерживает клиентские компьютеры под управлением Windows 7. The Getting Started Setup Wizard described in this document does not support client computers that are running Windows 7. Инструкции по использованию клиентов Windows 7 с DirectAccess см. в статье развертывание одного сервера DirectAccess с дополнительными параметрами . See Deploy a Single DirectAccess Server with Advanced Settings for instructions on how to use Windows 7 clients with DirectAccess.
В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows 10 Корпоративная, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Корпоративная, Windows Server 2008 R2, Windows 7 Корпоративная и Windows 7 Ultimate. Only the following operating systems can be used as DirectAccess clients: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise, and Windows 7 Ultimate.
Требования к серверу инфраструктуры и управления. Infrastructure and management server requirements:
- Если включена виртуальная частная сеть (VPN) и пул статических IP-адресов не настроен, необходимо развернуть DHCP-сервер для автоматического выделения IP-адресов VPN-клиентам. If VPN is enabled and a static IP address pool is not configured, you must deploy a DHCP server to allocate IP addresses automatically to VPN clients.
Требуется DNS-сервер под Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 или Windows Server 2008 R2. A DNS server running Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 SP2, or Windows Server 2008 R2 is required.
Требования к программному обеспечению Software requirements
Для этого сценария действуют следующие требования. There are a number of requirements for this scenario:
Требования к серверу. Server requirements:
Сервер удаленного доступа должен быть членом домена. The Remote Access server must be a domain member. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством. The server can be deployed at the edge of the internal network, or behind an edge firewall or other device.
Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него. If the Remote Access server is located behind an edge firewall or NAT device, the device must be configured to allow traffic to and from the Remote Access server.
Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. The person deploying remote access on the server requires local administrator permissions on the server, and domain user permissions. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. In addition, the administrator requires permissions for the GPOs used in DirectAccess deployment. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена. To take advantage of the features that restricts DirectAccess deployment to mobile computers only, permissions to create a WMI filter on the domain controller are required.
Требования к клиенту удаленного доступа. Remote Access client requirements:
Клиенты DirectAccess должны входить в состав домена. DirectAccess clients must be domain members. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом сервера удаленного доступа. Domains containing clients can belong to the same forest as the Remote Access server, or have a two-way trust with the Remote Access server forest.
Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. An Active Directory security group is required to contain the computers that will be configured as DirectAccess clients. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена. If a security group is not specified when configuring DirectAccess client settings, by default the client GPO is applied on all laptop computers in the Domain Computers security group. В качестве клиентов DirectAccess могут использоваться только следующие операционные системы: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Ultimate. Only the following operating systems can be used as DirectAccess clients: Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise, and Windows 7 Ultimate.
См. также See also
В следующей таблице перечислены ссылки на дополнительные ресурсы. The following table provides links to additional resources.
