Настройка удаленного рабочего стола Windows

Удаленный рабочий стол применяется для дистанционного администрирования системы. Для его настройки нужно сделать, буквально, несколько шагов.

Включение

1. Открываем сведения о системе. В Windows Server 2012 R2 / 2016 или 10 кликаем правой кнопкой мыши по Пуск и выбираем Система.

В Windows Server 2012 / 8 и ниже открываем проводник или меню Пуск. Кликаем правой кнопкой по Компьютер и выбираем Свойства.

2. Настраиваем удаленный рабочий стол. В меню слева кликаем по Настройка удаленного доступа.

В открывшемся окне ставим переключатель в положение Разрешить удаленные подключения к этому компьютеру.

* желательно, если будет установлен флажок Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Но если компьютер, с которого мы будем заходить с устаревшей операционной системой, это может вызвать проблемы.

Предоставление доступа

Очень важно, чтобы у пользователя был установлен пароль. Без него зайти в систему с использованием RDP будет невозможно — это программное ограничение. Поэтому всем учетным записям ставим пароли.

У пользователей с правами администратора права на использование удаленного стола есть по умолчанию. Чтобы обычная учетная запись могла использоваться для удаленного входа в систему, добавьте ее в группу Пользователи удаленного рабочего стола. Для этого открываем консоль управления компьютером (команда compmgmt.msc) — переходим по разделам Служебные программы — Локальные пользователи и группы — Группы и кликаем дважды по Пользователи удаленного рабочего стола:

В открывшемся окне добавляем необходимых пользователей.

Для проверки правильности настроек, используйте программу Подключение к удаленному рабочему столу (находится в меню Пуск или вызывается командой mstsc) на любом другом компьютере в сети.

Ограничение по количеству пользователей

По умолчанию, в серверных операционных системах Windows разрешено подключение для одновременно двух пользователей. Чтобы несколько пользователей (больше 2-х) могли использовать удаленный стол, необходима установка роли удаленных рабочих столов (терминального сервера) и активации терминальных лицензий — подробнее, читайте в инструкции Установка и настройка терминального сервера на Windows Server.

В пользовательских системах (Windows 10 / 8 / 7) разрешено подключение только одному пользователю. Это лицензионное ограничение. В сети Интернет можно найти патчи для его снятия и предоставления возможности подключаться удаленным рабочим столом для нескольких пользователей. Однако, это нарушение лицензионного соглашения.

Доступ через глобальную сеть (Интернет)

Для возможности подключения по RDP из вне необходим статический внешний IP-адрес. Его можно заказать у Интернет провайдера, стоимость услуги, примерно, 150 рублей в месяц (некоторые поставщики могут предоставлять бесплатно). Для подключения нужно использовать полученный внешний IP.

Если компьютер подключен к Интернету напрямую, никаких дополнительных действий не потребуется. Если мы подключены через NAT (роутер), необходима настройка проброса портов. Пример того, как это можно сделать на Mikrotik.

Удаленный рабочий стол: разрешение доступа к компьютеру Remote Desktop — Allow access to your PC

Применяется к: Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Applies to: Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Можно использовать Удаленный рабочий стол, чтобы подключиться к компьютеру с удаленного устройства и управлять им с помощью клиента удаленного рабочего стола (Майкрософт) (доступен для Windows, iOS, macOS и Android). You can use Remote Desktop to connect to and control your PC from a remote device by using a Microsoft Remote Desktop client (available for Windows, iOS, macOS and Android). Если разрешить удаленные подключения к своему компьютеру, то вы сможете подключиться к нему с помощью другого устройства и получить доступ ко всем своим приложениям, файлам и сетевым ресурсам, как если бы вы сидели за своим столом. When you allow remote connections to your PC, you can use another device to connect to your PC and have access to all of your apps, files, and network resources as if you were sitting at your desk.

Удаленный рабочий стол можно использовать для подключения к Windows 10 Pro и Windows 10 Корпоративная, Windows 8.1, Windows 8 Корпоративная и Windows 8 Pro, Windows 7 Pro, Windows 7 Корпоративная и Windows 7 Максимальная, а также для подключения к версиям выше Windows Server 2008. You can use Remote Desktop to connect to Windows 10 Pro and Enterprise, Windows 8.1 and 8 Enterprise and Pro, Windows 7 Professional, Enterprise, and Ultimate, and Windows Server versions newer than Windows Server 2008. Подключиться к компьютерам под управлением выпуска «Домашняя» (например, Windows 10 Домашняя) нельзя. You can’t connect to computers running a Home edition (like Windows 10 Home).

Для подключения к удаленному компьютеру он должен быть включен и подключен к сети, на нем должен быть включен удаленный рабочий стол, а у вас должен быть сетевой доступ к этому удаленному компьютеру (для этого может и использоваться Интернет) и разрешение на подключение. To connect to a remote PC, that computer must be turned on, it must have a network connection, Remote Desktop must be enabled, you must have network access to the remote computer (this could be through the Internet), and you must have permission to connect. Чтобы иметь разрешение на подключение, необходимо находиться в списке пользователей. For permission to connect, you must be on the list of users. Прежде чем начать подключение, рекомендуется найти имя компьютера, к которому вы подключаетесь, и убедиться, что в его брандмауэре разрешены подключения к удаленному рабочему столу. Before you start a connection, it’s a good idea to look up the name of the computer you’re connecting to and to make sure Remote Desktop connections are allowed through its firewall.

Как включить удаленный рабочий стол How to enable Remote Desktop

Самый простой способ разрешить доступ к компьютеру с удаленного устройства — использовать параметры удаленного рабочего стола в разделе «Параметры». The simplest way to allow access to your PC from a remote device is using the Remote Desktop options under Settings. Так как эта функциональная возможность была добавлена в Windows 10 Fall Creators Update (1709), также доступно отдельное скачиваемое приложение для более ранних версий Windows, которое обеспечивает аналогичные функции. Since this functionality was added in the Windows 10 Fall Creators update (1709), a separate downloadable app is also available that provides similar functionality for earlier versions of Windows. Можно также использовать старый способ включения удаленного рабочего стола, однако этот метод обеспечивает меньше функциональных возможностей и возможностей проверки. You can also use the legacy way of enabling Remote Desktop, however this method provides less functionality and validation.

Windows 10 Fall Creator Update (1709) или более поздняя версия Windows 10 Fall Creator Update (1709) or later

Можно настроить компьютер для удаленного доступа с помощью нескольких простых действий. You can configure your PC for remote access with a few easy steps.

1. На устройстве, с которого вы собираетесь подключиться, откройте меню Пуск и щелкните значок Параметры. On the device you want to connect to, select Start and then click the Settings icon on the left.
2. Выберите группу Система возле элемента Удаленный рабочий стол. Select the System group followed by the Remote Desktop item.
3. Включите удаленный рабочий стол с помощью ползунка. Use the slider to enable Remote Desktop.
4. Также рекомендуется оставить компьютер в режиме бодрствования и доступным для обнаружения, чтобы упростить подключение. It is also recommended to keep the PC awake and discoverable to facilitate connections. Щелкните Показать параметры для включения. Click Show settings to enable.
5. При необходимости добавьте пользователей, которые могут удаленно подключиться, щелкнув Select users that can remotely access this PC (Выбрать пользователей, которые могут удаленно подключаться к этому компьютеру). As needed, add users who can connect remotely by clicking Select users that can remotely access this PC.
   1. Члены группы «Администраторы» получают доступ автоматически. Members of the Administrators group automatically have access.
6. Запишите имя этого компьютера, указанное в разделе How to connect to this PC (Как подключаться к этому компьютеру). Make note of the name of this PC under How to connect to this PC. Оно потребуется для настройки клиентов. You’ll need this to configure the clients.

Windows 7 и ранняя версия Windows 10 Windows 7 and early version of Windows 10

Чтобы настроить компьютер для удаленного доступа, скачайте и запустите Microsoft Remote Desktop Assistant. To configure your PC for remote access, download and run the Microsoft Remote Desktop Assistant. Этот помощник обновляет параметры системы, чтобы включить удаленный доступ, обеспечивает бодрствование компьютера для подключения и проверяет, разрешает ли брандмауэр подключения к удаленному рабочему столу. This assistant updates your system settings to enable remote access, ensures your computer is awake for connections, and checks that your firewall allows Remote Desktop connections.

Все версии Windows (устаревший метод) All versions of Windows (Legacy method)

Чтобы включить удаленный рабочий стол с помощью устаревших свойств системы, следуйте инструкциям по подключению к другому компьютеру с помощью удаленного рабочего стола. To enable Remote Desktop using the legacy system properties, follow the instructions to Connect to another computer using Remote Desktop Connection.

Следует ли включать удаленный рабочий стол? Should I enable Remote Desktop?

Если вы будете использовать свой компьютер, только когда непосредственно сидите за ним, вам не нужно включать удаленный рабочий стол. If you only want to access your PC when you are physically using it, you don’t need to enable Remote Desktop. Включение удаленного рабочего стола открывает порт на компьютере, видимый в локальной сети. Enabling Remote Desktop opens a port on your PC that is visible to your local network. Удаленный рабочий стол следует включать только в доверенных сетях, например, в домашней сети. You should only enable Remote Desktop in trusted networks, such as your home. Кроме того, не стоит включать удаленный рабочий стол на любом компьютере, доступ к которому строго контролируется. You also don’t want to enable Remote Desktop on any PC where access is tightly controlled.

Имейте в виду, что включив доступ к удаленному рабочему столу, вы предоставляете остальным пользователям в группе «Администраторы» и другим выбранным вами пользователям возможность удаленного доступа к их учетным записям на компьютере. Be aware that when you enable access to Remote Desktop, you are granting anyone in the Administrators group, as well as any additional users you select, the ability to remotely access their accounts on the computer.

Следует убедиться, что для каждой учетной записи, которая имеет доступ к вашему компьютеру, настроен надежный пароль. You should ensure that every account that has access to your PC is configured with a strong password.

Почему следует разрешать подключения только с проверкой подлинности на уровне сети? Why allow connections only with Network Level Authentication?

Если вы хотите ограничить доступ к компьютеру, разрешите доступ только с проверкой подлинности на уровне сети (NLA). If you want to restrict who can access your PC, choose to allow access only with Network Level Authentication (NLA). При включении этого параметра пользователи должны пройти аутентификацию в сети, чтобы подключиться к компьютеру. When you enable this option, users have to authenticate themselves to the network before they can connect to your PC. Разрешение подключений только с компьютеров с удаленным рабочим столом с NLA является более безопасным методом проверки подлинности, который поможет защитить компьютер от злоумышленников и вредоносных программ. Allowing connections only from computers running Remote Desktop with NLA is a more secure authentication method that can help protect your computer from malicious users and software. Чтобы узнать больше о NLA и удаленном рабочем столе, ознакомьтесь с разделом Configure Network Level Authentication for Remote Desktop Services Connections (Настройка NLA для подключения к удаленному рабочему столу). To learn more about NLA and Remote Desktop, check out Configure NLA for RDS Connections.

Если вы подключаетесь удаленно к компьютеру в своей домашней сети, не находясь в этой сети, не выбирайте этот параметр. If you’re remotely connecting to a PC on your home network from outside of that network, don’t select this option.

Управление удаленным доступом Manage Remote Access

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В сценарии развертывания управления удаленными клиентами DirectAccess компонент DirectAccess используется для поддержки работы клиентов через Интернет. The DirectAccess Remote Client Management deployment scenario uses DirectAccess to maintain clients over the Internet. В этом разделе описывается сценарий, включая этапы, роли, компоненты и ссылки на дополнительные ресурсы. This section explains the scenario, including its phases, roles, features, and links to additional resources.

Windows Server 2016 и Windows Server 2012 объединяют VPN DirectAccess и службы маршрутизации и удаленного доступа (RRAS) в одну роль удаленного доступа. Windows Server 2016 and Windows Server 2012 combine DirectAccess and Routing and Remote Access Service (RRAS) VPN into a single Remote Access role.

Помимо этой статьи доступны следующие разделы об управлении удаленным доступом. In addition to this topic, the following Remote Access management topics are available.

Описание сценария Scenario description

Клиентские компьютеры DirectAccess подключаются к интрасети при каждом подключении к Интернету, независимо от того, выполнил ли пользователь вход в систему компьютера. DirectAccess client computers are connected to the intranet whenever they are connected to the Internet, regardless of whether the user has signed in to the computer. Ими можно управлять как ресурсами интрасети, обеспечивая соответствие изменениям групповой политики, обновлениям операционной системы, обновлениям решений по защите от вредоносных программ и другим организационным изменениям. They can be managed as intranet resources and kept current with Group Policy changes, operating system updates, antimalware updates, and other organizational changes.

В некоторых случаях серверам или компьютерам интрасети необходимо инициировать подключения к клиентам DirectAccess. In some cases, intranet servers or computers must initiate connections to DirectAccess clients. Например, сотрудники службы поддержки могут использовать подключения удаленного рабочего стола для соединения с удаленными клиентами DirectAccess и устранения их неполадок. For example, Help Dtechnicians can use remote desktop connections to connect to and troubleshoot remote DirectAccess clients. Этот сценарий позволяет обеспечивать подключение пользователей с помощью существующего решения удаленного доступа, используя DirectAccess лишь для удаленного управления. This scenario lets you keep your existing remote access solution in place for user connectivity, while using DirectAccess for remote management.

DirectAccess предоставляет конфигурацию, которая поддерживает удаленное управление клиентами DirectAccess. DirectAccess provides a configuration that supports remote management of DirectAccess clients. Вы можете использовать параметр мастера развертывания, ограничивающий создание политик лишь теми, которые необходимы для удаленного управления клиентскими компьютерами. You can use a deployment wizard option that limits the creation of policies to only those needed for remote management of client computers.

В рамках этого развертывания параметры настройки на уровне пользователя, например принудительное туннелирование, интеграция защиты доступа к сети (NAP) и двухфакторная проверка подлинности, становятся недоступными. In this deployment, user-level configuration options such as force tunneling, Network Access Protection (NAP) integration, and two-factor authentication are not available.

Содержание сценария In this scenario

Далее описываются этапы планирования и настройки сценария развертывания управления удаленными клиентами DirectAccess. The DirectAccess Remote Client Management deployment scenario includes the following steps for planning and configuring.

Планирование развертывания Plan the deployment

Существует несколько требований к компьютерам и сети для планирования данного сценария, There are only a few computer and network requirements for planning this scenario. К ним относятся следующие: They include:

Топология сети и серверов. С помощью DirectAccess вы можете поместить сервер удаленного доступа на периферии вашей интрасети либо после устройства преобразования сетевых адресов или брандмауэра. Network and server topology: With DirectAccess, you can place your Remote Access server at the edge of your intranet or behind a network address translation (NAT) device or a firewall.

Сервер сетевых расположений DirectAccess. Сервер сетевых расположений используется клиентами DirectAccess, чтобы определить, находятся ли они во внутренней сети. DirectAccess network location server: The network location server is used by DirectAccess clients to determine whether they are located on the internal network. Сервер сетевых расположений можно установить на сервере DirectAccess или на другом сервере. The network location server can be installed on the DirectAccess server or on another server.

Клиенты DirectAccess. Решите, какие управляемые компьютеры будут настроены как клиенты DirectAccess. DirectAccess clients: Decide which managed computers will be configured as DirectAccess clients.

Настройка развертывания Configure the deployment

Настройка развертывания состоит из нескольких этапов. Configuring your deployment consists of a number of steps. приведенные ниже. These include:

Настройка инфраструктуры. Настройте параметры DNS, при необходимости включите сервер и клиентские компьютеры в домен и настройте группы безопасности Active Directory. Configure the infrastructure: Configure DNS settings, join the server and client computers to a domain if required, and configure Active Directory security groups.

В данном сценарии развертывания объекты групповой политики (GPO) создаются автоматически службой удаленного доступа. In this deployment scenario, Group Policy Objects (GPOs) are created automatically by Remote Access. Дополнительные параметры объекта групповой политики для сертификатов см. в разделе Развертывание расширенного удаленного доступа. For advanced certificate GPO options, see Deploying advanced Remote Access.

Настройка сервера удаленного доступа и сетевых параметров. Настройте сетевые адаптеры, IP-адреса и маршрутизацию. Configure Remote Access server and network settings: Configure network adapters, IP addresses, and routing.

Настройка параметров сертификата. в этом сценарии развертывания мастер начало работы создает самозаверяющие сертификаты, поэтому нет необходимости настраивать более расширенную инфраструктуру сертификатов. Configure certificate settings: In this deployment scenario, the Getting Started Wizard creates self-signed certificates, so there is no need to configure the more advanced certificate infrastructure.

Настройка сервера сетевых расположений. В данном сценарии сервер сетевых расположений устанавливается на сервере удаленного доступа. Configure the network location server: In this scenario, the network location server is installed on the Remote Access server.

Планирование серверов управления DirectAccess. Администраторы могут удаленно управлять клиентскими компьютерами DirectAccess, размещенными за пределами корпоративной сети, через Интернет. Plan DirectAccess management servers: Administrators can remotely manage DirectAccess client computers that are located outside the corporate network by using the Internet. Серверы управления включают компьютеры (например, серверы обновления), которые используются во время управления удаленными клиентами. Management servers include computers that are used during remote client management (such as update servers).

Настройка сервера удаленного доступа. Установите роль удаленного доступа и запустите мастер начальной настройки DirectAccess для настройки DirectAccess. Configure the Remote Access server: Install the Remote Access role and run the DirectAccess Getting Started Wizard to configure DirectAccess.

Проверка развертывания. Протестируйте клиенты DirectAccess, чтобы гарантировать, что они могут подключаться к внутренней сети и Интернету с помощью DirectAccess. Verify the deployment: Test a client to make sure it is able to connect to the internal network and the Internet by using DirectAccess.

Практическое применение Practical applications

Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа для управления клиентами DirectAccess. Deploying a single Remote Access server for managing DirectAccess clients provides the following:

Простота доступа. управляемые клиентские компьютеры под управлением Windows 8 или Windows 7 можно настроить как клиентские компьютеры DirectAccess. Ease-of-access: Managed client computers running Windows 8 or Windows 7 can be configured as DirectAccess client computers. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess, как только устанавливается подключение Интернету, без необходимости входить в профиль VPN-подключения. These clients can access internal network resources through DirectAccess any time they are connected to the Internet without needing to sign in to a VPN connection. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN. Client computers not running one of these operating systems can connect to the internal network through VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одинаковых мастеров. DirectAccess and VPN are managed in the same console and with the same set of wizards.

Простота управления. Администраторы удаленного доступа могут удаленно управлять клиентскими компьютерами DirectAccess, подключенными к Интернету, даже если они находятся за пределами внутренней корпоративной сети. Ease-of-management: DirectAccess client computers that are connected to the Internet can be remotely managed by remote access administrators by using DirectAccess, even when the client computers are not located in the internal corporate network. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Client computers that do not meet corporate requirements can be remediated automatically by management servers. Одним или несколькими серверами удаленного доступа можно управлять с одной консоли управления удаленным доступом. One or more Remote Access servers can be managed from a single Remote Access Management console.

Роли и компоненты, входящие в этот сценарий Roles and features included in this scenario

В следующей таблице перечислены роли и компоненты, необходимые для сценария. The following table lists the roles and features required for the scenario:

Роль или компонент Role or feature	Способ поддержки сценария How it supports this scenario
Роль удаленного доступа Remote Access role	Эту роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. This role is installed and uninstalled by using the Server Manager console or Windows PowerShell. В эту роль входит как DirectAccess, служивший ранее компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. This role encompasses DirectAccess, which was previously a feature in Windows Server 2008 R2, and Routing and Remote Access Services, which was previously a role service under the Network Policy and Access Services (NPAS) server role. Роль удаленного доступа включает два компонента. The Remote Access role consists of two components: 1. VPN-подключение DirectAccess и службы маршрутизации и удаленного доступа (RRAS). Управление DirectAccess и VPN осуществляется в консоли управления удаленным доступом. 1. DirectAccess and Routing and Remote Access Services (RRAS) VPN: DirectAccess and VPN are managed in the Remote Access Management console. 2. RRAS. Управление компонентами осуществляется в консоли маршрутизации и удаленного доступа. 2. RRAS: Features are managed in the Routing and Remote Access console. Роль сервера удаленного доступа зависит от следующих компонентов: The Remote Access server role is dependent on the following features: — Веб-сервер (IIS): требуется для настройки сервера сетевых расположений и веб-проверки по умолчанию. — Web Server (IIS): Required to configure the network location server and default web probe. — Внутренняя база данных Windows. используется для локального учета на сервере удаленного доступа. — Windows internal database: Used for local accounting on the Remote Access server.
Средства управления удаленным доступом Remote Access Management Tools feature	Этот компонент устанавливается описанным ниже образом. This feature is installed as follows: — По умолчанию на сервере удаленного доступа, если роль удаленного доступа установлена и поддерживает пользовательский интерфейс консоли удаленного управления. — By default on a Remote Access server when the Remote Access role is installed and supports the Remote Management console user interface. — Как вариант на сервере, на котором не запущена роль сервера удаленного доступа. — As an option on a server that is not running the Remote Access server role. В этом случае компонент будет использоваться для удаленного управления сервером удаленного доступа. In this case, it is used for remote management of a Remote Access server. Эта функция включает в себя следующие компоненты: This feature consists of the following: — Графический интерфейс удаленного доступа и программы командной строки — Remote Access GUI and command-line tools — Модуль удаленного доступа для Windows PowerShell — Remote Access module for Windows PowerShell Зависимости включают следующее: Dependencies include: — Консоль управления групповыми политиками — Group Policy Management Console — Пакет администрирования диспетчера подключений RAS (CMAK) — RAS Connection Manager Administration Kit (CMAK) — Windows PowerShell 3,0 — Windows PowerShell 3.0 -Графические средства управления и инфраструктура — Graphical Management Tools and Infrastructure

Требования к оборудованию Hardware requirements

Для этого сценария действуют следующие требования к оборудованию. Hardware requirements for this scenario include the following:

Требования к серверу Server requirements

Компьютер, отвечающий требованиям к оборудованию для Windows Server 2016. A computer that meets the hardware requirements for Windows Server 2016. Дополнительные сведения см. в статье требования к системедля Windows Server 2016. For more information, see Windows Server 2016 System Requirements.

На сервере должно быть установлено и включено не менее одного сетевого адаптера. The server must have at least one network adapter installed and enabled. Только один адаптер должен быть подключен к внутренней корпоративной сети, и только один — к внешней сети (Интернету). There should be only one adapter connected to the corporate internal network, and only one connected to the external network (Internet).

Если в качестве протокола перехода с IPv6 на IPv4 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. If Teredo is required as an IPv6 to IPv4 transition protocol, the external adapter of the server requires two consecutive public IPv4 addresses. Если доступен только один сетевой адаптер, в качестве протокола перехода можно использовать только IP-HTTPS. If a single network adapter is available, only IP-HTTPS can be used as the transition protocol.

Минимум один контроллер домена. At least one domain controller. Серверы удаленного доступа и клиенты DirectAccess должны быть членами домена. The Remote Access servers and DirectAccess clients must be domain members.

Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, на сервере необходимо установить центр сертификации (ЦС). A certification authority is required on the server if you do not want to use self-signed certificates for IP-HTTPS or the network location server, or if you want to use client certificates for client IPsec authentication.

Требования к клиенту Client requirements

• Клиентский компьютер должен работать под управлением Windows 10 или Windows 8 или Windows 7. A client computer must be running Windows 10 or Windows 8 or Windows 7.

Требования к серверу инфраструктуры и управления Infrastructure and management server requirements

Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности. During remote management of DirectAccess client computers, clients initiate communications with management servers, such as domain controllers, System Center Configuration Servers, and Health Registration Authority (HRA) servers. Эти серверы предоставляют службы, которые включают обновления Windows и антивирусных программ и средства проверки клиентов на соответствие требованиям защиты доступа к сети (NAP). These servers provide services that include Windows and antivirus updates and Network Access Protection (NAP) client compliance. Необходимые серверы следует развернуть до начала развертывания удаленного доступа. You should deploy the required servers before you begin the Remote Access deployment.

Требуется DNS-сервер под Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2). A DNS server running Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 R2, or Windows Server 2008 with SP2 is required.

Требования к программному обеспечению Software requirements

Для этого сценария действуют следующие требования к программному обеспечению. Software requirements for this scenario include the following:

Требования к серверу Server requirements

Сервер удаленного доступа должен быть членом домена. The Remote Access server must be a domain member. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством. The server can be deployed at the edge of the internal network, or behind an edge firewall or other device.

Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него. If the Remote Access server is located behind an edge firewall or NAT device, the device must be configured to allow traffic to and from the Remote Access server.

Администратору, развертывающему сервер удаленного доступа, требуются права локального администратора на сервере и права пользователя домена. Admins who deploy a Remote Access server require local administrator permissions on the server and domain user permissions. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. In addition, the administrator requires permissions for the GPOs that are used for DirectAccess deployment. Чтобы ограничить развертывание DirectAccess только мобильными компьютерами, для создания фильтра WMI необходимы права администратора домена на контроллере домена. To take advantage of the features that restrict DirectAccess deployment to only mobile computers, Domain Admin permissions are required on the domain controller to create a WMI filter.

Если сервер сетевых расположений находится не на сервере удаленного доступа, для него потребуется отдельный сервер. If the network location server is not located on the Remote Access server, a separate server to run it is required.

Требования к клиенту удаленного доступа: Remote access client requirements

Клиенты DirectAccess должны входить в состав домена. DirectAccess clients must be domain members. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа. Domains that contain clients can belong to the same forest as the Remote Access server, or they can have a two-way trust with the Remote Access server forest or domain.

Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. An Active Directory security group is required to contain the computers that will be configured as DirectAccess clients. Компьютеры должны входить только в одну группу безопасности, включающую клиентов DirectAccess. Computers should not be included in more than one security group that includes DirectAccess clients. Если клиенты включены в несколько групп, разрешение имен для клиентских запросов будет работать некорректно. If clients are included in multiple groups, name resolution for client requests will not work as expected.