Безопасный доступ из любой точки мира средствами microsoft directaccess и windows to go. часть первая

Step Four – Application Servers

In this step we will configure application servers. This phase allows you to configure additional authentication and traffic encryption between the back-end application servers and DA clients. In this example we do not need this, so let’s leave the option Do not extend authentication to application servers.

This completes the Remote Access role configuration wizard, so we just need to save the changes.

After you finish, the wizard will create two new group policies – DirectAccess Client Settings and DirectAccess Server Settings that are attached to the root of the domain. You can either leave them as they are, or link them to the desired OU.

Direct Access Group Policies

Шаг 1. Настройка базовой инфраструктуры DirectAccess

В этом разделе описывается, как настроить инфраструктуру, необходимую для базового развертывания DirectAccess с использованием одного сервера DirectAccess в смешанной среде с поддержкой IPv4 и IPv6. Прежде чем приступить к развертыванию, убедитесь, что выполнены действия по планированию, описанные в разделе планирование базового развертывания DirectAccess.

Задача	Описание
Настройка сетевых параметров сервера	Настройте сетевые параметры на сервере DirectAccess.
Настройте маршрутизацию в корпоративной сети	Для правильного направления трафика следует настроить маршрутизацию в корпоративной сети.
Настройка брандмауэров	При необходимости настройте дополнительные брандмауэры.
Настройка DNS-сервера	Настройте параметры DNS для сервера DirectAccess.
Настройка Active Directory	Присоедините клиентские компьютеры и сервер DirectAccess к домену Active Directory.
Настройка объектов групповой политики	Если необходимо, настройте объекты групповой политики для развертывания.
Настройка групп безопасности	Настройте группы безопасности, включающие компьютеры клиентов DirectAccess, а также любые другие группы безопасности, необходимые для развертывания.

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

В данном руководстве

В этом документе приводятся инструкции по использованию возможностей мониторинга удаленного доступа с помощью консоли управления DirectAccess и соответствующих командлетов Windows PowerShell, предусмотренных для сервера удаленного доступа.

Объясняются следующие возможности мониторинга и учета:

1. Мониторинг текущей нагрузки сервера удаленного доступа.

2. Мониторинг статуса распределения конфигурации сервера удаленного доступа

3. Мониторинг статуса работы сервера удаленного доступа и его компонентов

4. Выявление и ликвидация сбоев в работе сервера удаленного доступа.

5. Мониторинг активности и статуса подключенных удаленных клиентов.

6. Создание для удаленных клиентов отчетов по использованию на основе зарегистрированных ранее данных.

Понятие мониторинга и учета данных

Перед тем началом мониторинга и учета данных для удаленных клиентов необходимо понять разницу между этими понятиями.

• Мониторинг отражает данные пользователей с активным подключением в определенный момент времени.

• Учет позволяет сохранять данные, а также различные детали использования сети для пользователей, подключавшихся к корпоративной сети ранее (для соблюдения нормативов и проверки работы).

Мониторинг удаленных клиентов основывается на их подключениях. Клиенты DirectAccess могут устанавливать два вида туннельных подключений:

• Туннельный трафик между компьютерами. Этот туннель устанавливается компьютером в контексте системы, чтобы получить доступ к серверам, необходимым для разрешения имен, проверки подлинности, обновления исправления и т. д.

• Подключения пользователя к туннелю трафика. Этот туннель устанавливается учетной записью пользователя на компьютере в контексте пользователя, когда пользователь пытается получить доступ к ресурсу в корпоративной сети. При соответствующих требованиях развертывания для доступа к ресурсам корпоративной сети пользователь может использовать учетные данные повышенной надежности (например, смарт-карту или одноразовый пароль).

Для подключения DirectAccess происходит однозначная идентификация соединения по IP-адресу удаленного клиента. Например, если для клиентского компьютера открыт туннель компьютера, а пользователь подключен с этого компьютера, это будет использовать то же соединение. Если пользователь отключился и устанавливает повторное соединение при активном машинном туннеле, подключение будет расцениваться как новое.

Настройка DirectAccess с помощью Мастера начальной настройки

Настройка DirectAccess с помощью Мастера начальной настройки

1. В Диспетчере сервера щелкните «Средства», затем выберите «Управление удаленным доступом».

2. В консоли управления удаленным доступом выберите службу роли для настройки в левой области навигации, а затем нажмите кнопку запустить мастер начало работы.

3. Щелкните «Развернуть только DirectAccess».

4. Выберите топологию параметров вашей сети и введите открытое имя, к которому будут подключаться клиенты удаленного доступа. Щелкните Далее.

   Примечание

   По умолчанию Мастер начальной настройки разворачивает DirectAccess на всех полноразмерных ноутбуках и переносных компьютерах в домене, применяя фильтр WMI к объектам групповой политики параметров клиента.

5. Нажмите кнопку Готово.

6. Так как в данном развертывании не используется инфраструктура открытых ключей, если не удастся найти сертификаты, мастер автоматически предоставит самозаверяющие сертификаты для IP-HTTPS и сервера сетевых расположений, а также автоматически включит прокси-сервер Kerberos. Мастер также будет автоматически включать NAT64 и DNS64 для преобразования протокола в среде, предназначенной только для IPv4. После того как мастер успешно завершит применение параметров, нажмите команду «Закрыть».

7. В дереве консоли управления удаленным доступом выберите «Состояние операций». Подождите, пока у всех мониторов не будет отображаться состояние «Работает». В панели задач в пункте «Наблюдение» периодически нажимайте команду «Обновить», чтобы обновить отображение.

Разворачиваем DirectAccess на базе Windows Server 2012 R2

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

• Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
• Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
• Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
• Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
• Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

• Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
• В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
• Не обязательно стало наличие IPv6 во внутренней сети организации
• Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

• Домен Active Directory и права администратора домена
• Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
• Выделенная DMZ подсеть
• Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
• Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
• Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
• В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
• Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Создание пула серверов на сервере посредника подключений (RD Connection Broker)

Пул серверов, это удобное объединение серверов в общий список для быстрого управления и развертывания на них ролей и компонентов. Все манипуляции производятся из единой консоли управления «Диспетчер серверов». Откройте оснастку «Диспетчер серверов» раздел «Все серверы». Щелкните по нему правым кликом и нажмите «Добавление серверов».

Напоминаю, что делать вы это должны от имени учетной записи, у которой есть права на данные сервера и ваш брандмауэр должен пропускать данные подключения

На вкладке Active Directory вам необходимо указать в каком домене вы будите производить поиск, в поле «Имя (Общие)» находим нужные вам сервера.

Выбираем нужные сервера и переносим их в раздел «Выбрано».

Нажимаем «Ok».

В итоге в вашей оснастке «Диспетчер серверов» вы увидите все добавленные хосты. которые будут участниками Remote Desktop Services High Availability на Windows Server 2019.

Если у ваших серверов будет статус «В сети: счетчики производительности не запущены», то запустите их через правый клик

В результате все должно быть в статусе «В сети».

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Отключаем тесовую машину от корпоративной сети и подключаемся в интернету через Wi-Fi. Система автоматически подключается к корпоративной сети через DirectAccess, о чем свидетельствует статус Connected значка Workplace Connection (именно так мы назвали наше подключение при настройке сервера) в списке сетей.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

Разворачиваем DirectAccess на базе Windows Server 2012 R2

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

• Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
• Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
• Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
• Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
• Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

• Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
• В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
• Не обязательно стало наличие IPv6 во внутренней сети организации
• Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

• Домен Active Directory и права администратора домена
• Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
• Выделенная DMZ подсеть
• Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
• Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
• Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
• В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
• Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Подключение к компьютеру в офисе через RDP

Схема предполагает подключение каждого сотрудника к своему компьютеру в офисе по протоколу RDP. Данный способ возможен, если на рабочих местах пользователей используется операционная система Microsoft Windows редакции Professional или Enterprise.

Технические специалисты, в зависимости от уровня владения компьютером пользователей, готовят инструкцию по подключению или подключают каждого пользователя своими силами — консультация, удалённое подключение к домашнему компьютеру пользователя.

Необходим VPN для безопасного подключения.

Кому подойдёт: небольшим компания (примерно до 100 человек, но думаем, можно и больше).

Преимущества: быстро, средний уровень безопасности данных.

Недостатки: отсутствие контроля по физическому доступу к данным, ограничения в работе с графическим контентом (дизайнеры, архитекторы, видеоредакторы и т. д.).

Принцип действия

Клиент DirectAccess инициирует туннели IPsec IPv6 к шлюзу DirectAccess. В мире, который все еще преимущественно основан на IPv4, трафик IPv6 инкапсулируется с помощью различных технологий перехода (6to4, Teredo, IP-HTTPS) на IPv6. Этот механизм позволяет установить сетевой канал связи между клиентом и информационной системой. После инициализации этого канала клиент DirectAccess получает доступ к внутренним ресурсам так же, как когда он подключен к локальной сети. Единственное изменение касается механизма разрешения имен DNS. Когда клиент DirectAccess запрашивает разрешение зависящего от корпоративной сети имени DNS, разрешение имени обрабатывается таблицей политики разрешения имен (NRPT), которая предоставляет ответ IPv6 на запрос разрешения. Когда клиент пытается присоединиться к ресурсу с этим IPv6-адресом, NAT64 обеспечивает переход с IPv6 на IPv4.

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

В Мастере добавления ролей и компонентов необходимо отметить галочкой Удаленный доступ и нажать Далее.

Переходим на вкладку Службы ролей и отмечаем галочкой DirectAccess и VPN (RAS).

В появившемся окне нажимаем кнопку Добавить компоненты.

После того как окно закрылось нажимаем Далее.

Выбираем пункт Подтверждение и нажимаем Установить.

После завершения установки закрываем окно мастера.

Заходим в раздел Маршрутизация и удаленный доступ выбираем пункт Настроить и включить маршрутизацию и удаленный доступ.

В появившемся мастере жмем Далее.

Выбираем Особая конфигурация.

Ставим галочку напротив пункта Доступ к виртуальной частной сети (VPN) и жмем Далее.

Завершаем работу мастера — жмем Готово.

Появится окно с предложением запустить службу. Выбираем Запустить службу.

Снова заходим в Маршрутизация и удаленный доступ и выбираем Свойства.

Добавляем интервал адресов для VPN соединения — переходим на вкладку IPv4 и жмем Добавить.

В появившемся окне заполняем диапазон и жмем ОК.

• Активация windows состояние недоступно код продукта нет данных

    

• M2ts чем воспроизвести в linux

    

• Сетевая карта не получает ip адрес автоматически windows 10

    

• Ipfire установка и настройка windows

    

• Как установить git на windows pycharm

Заключение

• удаленным сотрудникам чувствовать себя «как на рабочем месте», находясь при этом в любой точке мира, где есть компьютер, подключенный к сети Интернет;
• не модифицировать и не дополнять программное обеспечение используемого компьютера;
• сотрудникам работать в любом подразделении компании, на любом свободном компьютере, используя при этом предварительно настроенное программное обеспечение и необходимые файлы;
• обеспечить конфиденциальность данных, хранящихся на переносном устройстве, в случае утери носителя либо попадания его к лицам, не имеющим санкционированного доступа к указанным данным и ресурсам корпоративной сети;
• использовать встроенную возможность двухфакторной аутентификации с OTP;
• подразделениям организации, отвечающие за техническую поддержку пользователей, администрирование системного и прикладного ПО, а так же обеспечение ИБ, не терять связь с удаленными системами и поддерживать их в актуальном состоянии;
• управлять интернет-трафиком удаленных клиентов, направив его через корпоративный прокси-сервер.