Запустить консоль Диспетчер сервера и с помощью мастера добавления роли и компонентов установить роль Удаленного доступа.
В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS) и Routing(маршрутизация).
После окончания установки службы Remote Access, открыть оснастку инструменты - менеджер удаленного доступа.
Запустится мастер настройки роли удаленного доступа. Указать, что нужно установить только роль DA — развертывание DirectAccess и VPN.
После этого должно открыться окно, в правой половине которого в графическом виде п
оказаны четыре этапа настройки службы DA. Перед настройкой DirectAccess и VPN необходимо вызвать консоль MMC добавить в неё след оснастку: DNS,Центр сертификаций, сертификаты. В консоли DNS Создать запись типа A для NLS сервера. Она должна указывать на IPv4 адрес WSE. Имя может быть любым. (Рисунок 2.8)
Рисунок 17. Создание узла
Чтобы создать SSL сертификат в центре сертификации необходимо подправить шаблон Веб-Сервер так, чтобы учетная запись WSE обладала правами “чтение” и “выпуск”, для этого выбрать управление, выбрав шаблон перейти в свойства – безопасность, добавить учетную запись сервера WSE,разрешить чтение и подачу заявки. Необходимо добавить сертификат для компьютера, в разделе личное создать
запрос о новом сертификате, сертификат будет создан на основании редактируемого шаблона
Веб-Сервер в сертификате с полем
Имя субъекта, вписываем FQDN сервера NLS.(Рисунок 17),во вкладке закрытый ключ указать, что закрытый ключ сертификата можно экспортировать (
Сделать ключ эксплуатируемым).
Сохранить изменения и запросить новый сертификат.Вернуться в окно настроек сервера DirectAccess и, нажав кнопку Просмотреть, выбрать сгенерированный сертификат(Рисунок 18)
Рисунок 18. редактирование шаблона
Первый этап
Указать, что разворачивается полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления. Далее, нажав кнопку добавить нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через DirectAccess (Рисунок 19)
Рисунок 19. Выбор групп
Опция Разрешить DirectAccess только для мобильных компьютеров – позволяет ограничить подключение через DA только для мобильных устройств (ноутбуки, планшеты).
Опция Использовать принудительное туннелирование – означает, что удаленные клиенты при доступе к любым удаленным ресурсам (в том числе обычным веб-сайтам) всегда использовать сервера DA (т.е. весь внешний трафик клиента проходит через корпоративный шлюз). Следующий шаг – указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте.(Рисунок 20) В случае необходимос
ти можно включить опцию
разрешить клиентам DirectAccess использовать лок. Разрешение имен, позволяющую разрешить клиенту использовать внутренние DNS-серве
ра компании (адреса DNS серверов могут получаться по DHCP).
Рисунок 20. Ресурс необходимый для подключения к внутренней сети
Второй этап -настройка сервера удаленного доступа. Указать, что сервер удаленного доступа представляет собой конфигурацию с одной сетевой картой, которая находится в корпоративной сети. Нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.(Рисунок 21)
Рисунок 21. Выбо
р адаптера
. 
Рисунок 22. Сертификат
На следующем шаге мастера выбрать способ аутентификации клиентов Direct Access. Указать, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметить использовать сертификаты компьютеров и использовать данный сертификат. Нажав кнопку просмотреть, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов(Рисунок 22).
Третий
этап – настройка инфраструктурных серверов. Будет предложено указать адрес сервера сетевой инфраструктуры, находящегося внутри корпоративной сети.
Сервер сетевой инфраструктуры — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быть любой внутренний веб-сервер, основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети. Далее указать список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Использовать локальное разрешение имен, если имя не существует в DNS или DNS-серверы недоступны для клиентского компьютера, находящегося в частной сети). Затем указать DNS-суффиксы внутренних доменов в порядке приоритета их использования. В окне настройки управления ничего указывать не требуется.
Четвертый этап - настройка серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Выбрать опцию Не использовать сквозную проверку подлинности для выбранных серверов-приложений. На этом мастер настройки роли Remote Access завершен, необходмо сохранить изменения. (Рисунок 23)
Рисунок 23. Состояние работы DirectAccess
После окончания работы мастер соз
даст две новые групповые политики DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена.
ЗА
КЛЮЧЕНИЕ
Поскольку целью курсового проекта является описание технологий а также описание методики сегментации для технологий объединения удаленных сегментов сети, то в данном курсовом проекте были выполнены след. задачи:
Представлено описание и схема физической и логической структуризации сети, а также описание технологии функционирования моста, произведено описание методов сегментации с помощью мостов, маршрутизатора, коммутатора. Описаны основные сетевые службы, их цели и задачи, благодаря которым осуществляется стабильная работа, обеспечивающая весь функционал сервера. Произведена развертка и пошаговая настройка основных сетевых служб необходимых для выполнения повседневных основных задач, таких как AD DS,DHCP,DNS для серверной ОС Windows Server 2016, а также установка и настройка служб удаленного доступа - VPN сервера и службы прямого доступа(Direct Access)необходимой для маршрутизации пользователей.
2017-11-21
636
