Данный раздел содержит сведения о компонентах развертывания DirectAccess, методах подключения клиентов DirectAccess, настройке брандмауэра для трафика DirectAccess и интеграции со смарт-картами.

Компоненты DirectAccess

Развертывание DirectAccess состоит из следующих компонентов:

  • Клиенты DirectAccess

  • Хотя бы один сервер DirectAccess

  • Домен доменных служб Active® Directory (AD DS)

  • Инфраструктура открытых ключей (PKI)

  • Сервер сетевого размещения

  • Внутренняя сеть и приложения с поддержкой IP-протокола версии 6 (IPv6) или устройства NAT-PT (Network Address Translation-Port Translation)

Клиенты DirectAccess

Клиент DirectAccess - это компьютер под управлением Windows 7 или Windows Server 2008 R2, входящий в домен AD DS и использующий протоколы IPv6 и IPsec для автоматического установления и поддержания удаленного соединения с внутренней сетью через Интернет.

Компьютеры, которые не входят в домен AD DS либо работают под управлением Windows Vista или более ранних версий Windows, не поддерживают DirectAccess.

Хотя бы один сервер DirectAccess

Сервер DirectAccess - это компьютер под управлением Windows Server 2008 R2, входящий в домен AD DS и использующий протоколы IPv6 и IPsec для взаимодействия с клиентами DirectAccess через Интернет и прозрачного подключения их к внутренней сети.

Компьютеры, которые не входят в домен Active Directory либо работают под управлением Windows Server 2008 или более ранних версий Windows Server, не поддерживают функции сервера DirectAccess.

Сведения об установке DirectAccess см. в разделе Установка DirectAccess.

Не размещайте какие-либо другие компоненты, выполняющие основные функции, на серверах DirectAccess. Серверы DirectAccess должны быть выделены исключительно для DirectAccess. В зависимости от требований к развертыванию и масштабируемости могут потребоваться несколько серверов DirectAccess или ручная настройка для разделения функций DirectAccess между несколькими серверами. Для получения дополнительных сведений о развертывании конфигураций с несколькими серверами см. домашнюю страницу DirectAccess на веб-сайте Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598).

Дополнительные сведения о требованиях сервера DirectAccess см. в разделе Контрольный список: перед настройкой DirectAccess.

Домен AD DS

DirectAccess использует службы AD DS для работы с учетными данными проверки подлинности, автоматической подачи заявок на сертификаты компьютеров и централизованной настройки протоколов IPsec, IPv6 и прочих параметров на основе групповой политики. Клиенты и серверы DirectAccess должны быть членами домена AD DS.

PKI

DirectAccess использует сертификаты компьютера, выданные центром сертификации служб сертификации Active Directory (AD CS) для проверки подлинности сеансов IPsec и соединений по протоколу IP-HTTPS.

Сервер сетевого размещения

Сервер сетевого размещения - это сервер внутренней сети, на котором размещается URL-адрес на основе HTTPS. Клиенты DirectAccess при помощи URL определяют, находятся ли они во внутренней сети. В качестве сервера сетевого размещения можно использовать сервер DirectAccess, но рекомендуется веб-сервер высокой надежности. Веб-сервер не обязательно должен быть специально выделен в качестве сервера сетевого размещения.

Внутренняя сеть и приложения с поддержкой IPv6 или устройство NAT-PT

Клиенты DirectAccess монопольно используют протокол IPv6 для доступа к ресурсам внутренней сети. Поэтому клиенты DirectAccess могут обмениваться данными только с теми серверами и ресурсами внутренней сети, которые доступны при помощи протокола IPv6. Существует три способа установить подключение к внутренней сети по протоколу IPv6:

  • Настроить инфраструктуру маршрутизации внутренней сети для поддержки протокола IPv6, применяемого без эмуляции. Тогда серверы и приложения внутренней сети, поддерживающие IPv6, станут доступны. Компьютеры, работающие под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используют IPv6 по умолчанию.

  • Внедрить протокол ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) во внутренней сети. При использовании протокола ISATAP серверы и приложения внутренней сети с поддержкой IPv6 могут туннелировать трафик IPv6 по внутренней сети, поддерживающей только IPv4. Компьютеры под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008 поддерживают функции размещения ISATAP. ISATAP позволяет этим компьютерам использовать IPv6 без обязательной маршрутизации протокола IPv6, применяемого без эмуляции. Если подключение IPv6 к внутренней сети отсутствует, то сервер DirectAccess автоматически самонастраивается в качестве маршрутизатора ISATAP.

  • Использовать устройство NAT-TP (Network Address Translation-Protocol Translation) для преобразования трафика между клиентами DirectAccess, использующими IPv6, и серверами и приложениями, которые поддерживают только IPv4. В Windows Server 2008 R2 функции NAT-PT недоступны. Устройства NAT-PT обычно можно получить у поставщиков коммутаторов и маршрутизаторов уровня 2 и уровня 3. Сведения о возможностях и настройке устройств NAT-TP см. в документации коммутаторов и маршрутизаторов.

Методы подключения клиентов DirectAccess

В следующей таблице перечислены возможные конфигурации клиентов DirectAccess и соответствующие им методы передачи трафика IPv6 на сервер DirectAccess.

Конфигурация клиентаРекомендуемый метод подключения

Назначен глобальный IPv6-адрес

Глобальный IPv6-адрес

Назначен общедоступный IPv4-адрес (адреса, не принадлежащие диапазонам 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16)

6to4, технология туннелирования для IP версии 6, которая обеспечивает подключение по протоколу IPv6 через Интернет с использованием протокола IPv4 для узлов и сайтов с общедоступным IPv4-адресом.

Назначен закрытый IPv4-адрес (адреса, принадлежащие диапазонам 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16)

Teredo, технология туннелирования для IP версии 6, обеспечивающая подключение по протоколу IPv6 через Интернет с использованием протокола IPv4 для узлов, которым назначен закрытый IPv4-адрес и которые находятся за устройством преобразования сетевых адресов (NAT) IPv4, не поддерживающим функции маршрутизатора 6to4.

Клиент не может подключаться с использованием технологий 6to4 или Teredo

IP-HTTPS, новый протокол для Windows 7 и Windows Server 2008 R2, при помощи которого узлы, находящиеся за сервером веб-прокси или брандмауэром, могут устанавливать соединение путем туннелирования пакетов IPv6 в рамках защищенного сеанса по протоколу HTTPS (Hypertext Transfer Protocol) на базе IPv4. Протокол IP-HTTPS обычно используется, только если клиенту не удается подключиться к серверу DirectAccess при помощи других методов соединения по протоколу IPv6.

Настройка брандмауэра для трафика DirectAccess

Внешние брандмауэры между Интернетом и пограничной сетью должны поддерживать прием и передачу следующих типов трафика на сервер DirectAccess:

  • Для трафика IPv6, применяемого без эмуляции: трафик ICMPv6 (Internet Control Message Protocol for IPv6) (протокол IPv6 58) и трафик IPsec ESP (Encapsulating Security Payload) (протокол IPv6 50).

  • Для трафика 6to4: трафик IPv4, который инкапсулирует трафик IPv6 (протокол IPv4 41).

  • Для трафика Teredo: трафик IPv4 с UDP-портом (User Datagram Protocol) 3544.

  • Для трафика IP-HTTPS: трафик IPv4 с TCP-портом (Transmission Control Protocol) 443.

Например, исключения в Интернет-интерфейсе внешнего брандмауэра будут иметь следующий формат:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Внутренние брандмауэры между пограничной сетью и внутренней сетью должны поддерживать прием и передачу следующих типов трафика на сервер DirectAccess:

  • Для трафика IPv6, применяемого без эмуляции: все типы трафика IPv6.

  • Для трафика ISATAP: трафик IPv4, который инкапсулирует трафик IPv6 (протокол IPv4 41).

  • Для трафика IPv4 и NAT-PT: весь трафик TCP, UDP и UDP 500 Internet Key Exchange (IKE)/AuthIP.

Чтобы разрешить подключение с использованием технологии Teredo, необходимо настроить и внедрить следующие дополнительные правила брандмауэра Windows в режиме повышенной безопасности для всех компьютеров, входящих в домен вашей организации:

  • Входящие сообщения эхо-запроса ICMPv6 (обязательно)

  • Исходящие сообщения эхо-запроса ICMPv6 (рекомендуется)

Не используйте для этой цели предопределенное правило для входящего подключения Общий доступ к файлам и принтерам (эхо-запрос - входящий трафик ICMPv6) и предопределенное правило для исходящего подключения Общий доступ к файлам и принтерам (эхо-запрос - исходящий трафик ICMPv6). Эти предопределенные правила можно отключить, запретив в организации общий доступ к файлам и принтерам, что приведет к потере подключения на базе технологии Teredo.

Проще всего внедрить эти настройки брандмауэра Windows на всех компьютерах организации можно с использованием объекта групповой политики (GPO) домена по умолчанию. Дополнительные сведения см. в разделе «Контрольный список: внедрение модели политики основного брандмауэра» (https://go.microsoft.com/fwlink/?LinkId=147688).

Правило 1. Входящие сообщения эхо-запроса ICMPv6

Создать и включить настраиваемое правило для входящего подключения со следующими параметрами:

  • Все программы

  • Тип протокола ICMPv6 с сообщением эхо-запроса

  • Все локальные и удаленные IP-адреса

  • Разрешающее действие

  • Все профили (домена, рабочий, общедоступный)

Это правило является обязательным.

Правило 2. Исходящие сообщения эхо-запроса ICMPv6

Создать и включить настраиваемое правило для исходящего подключения со следующими параметрами:

  • Все программы

  • Тип протокола ICMPv6 с сообщением эхо-запроса

  • Все локальные и удаленные IP-адреса

  • Разрешающее действие

  • Все профили (домена, рабочий, общедоступный)

Это правило рекомендуется в качестве оптимального приема, если брандмауэр Windows не используется для блокировки всего исходящего трафика (в таком случае данное правило является обязательным).

Интеграция со смарт-картами

Использование смарт-карт может потребоваться, когда клиенты DirectAccess устанавливают соединение с сервером DirectAccess. Пользователи могут войти на свой компьютер и подключиться к Интернету без смарт-карты, однако для доступа к ресурсам внутренней сети требуется проверка подлинности с использованием смарт-карты.

Дополнительные ресурсы

Сведения об интеграции DirectAccess с изоляцией серверов и доменов и преобразовании сетевых адресов (NAP) см. на домашней странице DirectAccess на веб-сайте Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598).