На этом этапе мастера установки DirectAccess (шаг 3) выполняется настройка параметров для серверов инфраструктуры. Для выполнения начальной настройки параметров сервера DirectAccess в оснастке DirectAccess разверните узел DirectAccess, щелкните узел Установка, а затем нажмите кнопку Настроить для шага 3. Кнопка Настроить для шага 3 будет недоступна, пока вы не завершите настройку для шага 2. Чтобы изменить параметры сервера инфраструктуры, нажмите кнопку Изменить для шага 3.

Перед тем как перейти как шагу 3, ответьте на следующие вопросы:

  • Может ли веб-сервер внутренней сети высокой надежности функционировать в качестве сервера сетевого размещения DirectAccess и есть ли URL-адрес на основе HTTPS на этом веб-сервере. Данную проверку рекомендуется выполнить, хотя она не является обязательной.

  • Набор пространств имен DNS, которые соответствуют ресурсам внутренней сети (например, contoso.com).

  • Адреса IP-протокола версии 4 (IPv4) или IP-протокола версии 6 (IPv6) DNS-серверов внутренней сети, которые должны отвечать на запросы имен для клиентов DirectAccess.

  • Имена узлов, адреса IPv4 или адреса IPv6 серверов управления во внутренней сети, которые должны инициировать обмен данными с клиентами DirectAccess. Серверы управления могут включать серверы, распространяющие обновления или выполняющие учет программного и аппаратного обеспечения.

При нажатии кнопок Настроить или Изменить для шага 3 в мастере открываются страницы для настройки сервера сетевого размещения, DNS-серверов и контроллеров домена, а также серверов управления.

Расположение

На странице «Расположение» указывается сервер сетевого размещения. Это сервер, при помощи которого клиент DirectAccess определяет, находится ли он во внутренней сети или в Интернете. Если клиент DirectAccess может обращаться к серверу сетевого размещения и получать доступ к указанной веб-странице, это означает, что клиент DirectAccess находится во внутренней сети и функции DirectAccess не используются.

Можно указать, выполняет ли функции сервера сетевого размещения сервер DirectAccess или другой сервер во внутренней сети.

  • Если в качестве сервера сетевого размещения не используется сервер DirectAccess (рекомендуется), необходимо ввести URL-адрес на основе HTTPS для веб-страницы на этом сервере.

  • Если же функции сервера сетевого размещения выполняет сервер DirectAccess, необходимо указать сертификат, который используется для проверки подлинности HTTPS-соединений между клиентами DirectAccess и сервером DirectAccess.

В обоих случаях сервер сетевого размещения должен обладать высокой надежностью. Он является важнейшим элементом инфраструктуры DirectAccess. Если сервер сетевого размещения недоступен во внутренней сети, то клиенты DirectAccess, находясь во внутренней сети, активируют функции DirectAccess, что может ограничить их возможности доступа к ресурсам внутренней сети.

Контроллер домена и DNS

На странице «Контроллер домена и DNS» нужно настроить таблицу политик разрешения имен (NRPT) и поведение разрешения имен клиентов DirectAccess.

NRPT

NRPT - это таблица, при помощи которой клиенты DirectAccess определяют, куда направлять свои запросы на DNS-имена. Записи таблицы состоят из DNS-имени домена, которое представляет собой полное доменное имя (FQDN) определенного компьютера (например, emailsrv21.europe.contoso.com) или часть пространства имен DNS (например, contoso.com), и соответствующего набора адресов DNS-серверов, обслуживающих FQDN или пространство имен. Если не указан ни один адрес DNS-сервера, то запись является записью исключения. Если DNS-имя соответствует записи в таблице NRPT, содержащей адреса DNS-серверов, то клиент DirectAccess отправляет запрос имени на указанные DNS-серверы внутренней сети. Если DNS-имя соответствует записи в таблице NRPT, не содержащей адреса DNS-серверов, или не соответствует ни одной записи в таблице NRPT, то клиент DirectAccess отправляет запрос имени на DNS-сервер с выходом в Интернет.

В таблице NRPT может существовать запись, основанная на DNS-суффиксе и конфигурации DNS-сервера для сервера DirectAccess. Таблица NRPT может также содержать запись исключения, соответствующую серверу сетевого размещения. При добавлении этой записи клиенты DirectAccess, находящиеся в Интернете, никогда не пытаются разрешить имя сервера сетевого размещения, используя DNS-сервер внутренней сети.

Чтобы добавить дополнительные записи, щелкните правой кнопкой мыши пустую строку и выберите команду Создать. Либо дважды щелкните пустую строку. В диалоговом окне Сведения о доступе к пространству имен введите DNS-суффикс и задайте набор адресов IPv4 или IPv6 для DNS-серверов внутренней сети, которые выполняют разрешение имен, оканчивающихся DNS-суффиксом. Указав адреса IPv4 или IPv6, нажмите кнопку Проверка, чтобы проверить, работают ли DNS-серверы и доступны ли они с сервера DirectAccess.

Чтобы изменить запись в таблице NRPT, щелкните запись правой кнопкой мыши и выберите команду Изменить. Либо дважды щелкните существующую запись. Чтобы удалить запись из таблицы NRPT, щелкните запись правой кнопкой мыши и выберите команду Удалить.

Поведение разрешения имен

На странице «Контроллер домена и DNS» можно также указать поведение локального разрешения имен для клиентов DirectAccess. Локальное разрешение имен - это применение методов разрешения имен, которые не включают проверку записей в кэше сопоставителя DNS и передачу запросов на DNS-серверы внутренней сети. Эти методы включают использование DNS-серверов с выходом в Интернет и передачу запросов в локальную подсеть.

Существует три варианта:

  • Использование локального разрешения имен, только если DNS-серверы внутренней сети определили, что имя не существует.

    Это наиболее безопасный вариант, поскольку клиент DirectAccess будет отправлять DNS-серверам с выходом в Интернет только запросы на имена серверов, которые не удается разрешить.

  • Использование локального разрешения имен, если DNS-серверы внутренней сети определили, что имя не существует, или если DNS-серверы внутренней сети недоступны и клиент DirectAccess находится в частной сети.

    Этот вариант рекомендуется, поскольку в таком случае разрешение имен выполняется в отдельной внутренней сети.

  • Использование локального разрешения имен, если при попытке разрешения имени при помощи DNS-серверов внутренней сети возникает ошибка любого типа.

    Это наименее безопасный вариант, поскольку имена серверов внутренней сети, которые пытается разрешить клиент DirectAccess, могут быть переданы на DNS-серверы с выходом в Интернет. В этом случае имена серверов внутренней сети могут быть перехвачены между клиентом DirectAccess и DNS-сервером с выходом в Интернет.

Управление

На странице «Управление» выполняется настройка списка адресов IPv4 или IPv6 для серверов внутренней сети, которые должны инициировать обмен данными с клиентами DirectAccess. В качестве этих серверов обычно используются серверы управления, которые обращаются к клиентам DirectAccess для выполнения функций управления, например инвентаризации программного и аппаратного обеспечения или установки обновлений. Серверы управления, указанные на странице «Управление», могут обращаться только к клиентам DirectAccess, которые входят в группы безопасности, заданные в шаге 1 мастера установки DirectAccess.

Чтобы добавить сервер управления, щелкните правой кнопкой мыши пустую строку и выберите команду Создать. Либо дважды щелкните пустую строку. В диалоговых окнах Адрес IPv4 или Адрес или префикс IPv6 можно получить адрес IPv4 или IPv6 из имени узла сервера или ввести адрес вручную.

  • Чтобы получить адрес IPv4 или IPv6 из имени узла, выберите параметр Имя узла для компьютера и введите имя сервера. Нажмите кнопку Проверить имя, чтобы разрешить имя в качестве его зарегистрированного адреса. Щелкните один из адресов, а затем нажмите кнопку ОК.

  • Чтобы вручную указать адрес IPv4, выберите параметр Адрес IPv4 в диалоговом окне Адрес IPv4 и введите адрес. По завершении нажмите кнопку ОК.

  • Чтобы вручную задать адрес или префикс IPv6, выберите параметр Адрес IPv6 или префикс IPv6 в диалоговом окне Адрес или префикс IPv6 и затем введите адрес или префикс. По завершении нажмите кнопку ОК.

Чтобы изменить адрес IPv4 либо адрес или префикс IPv6 в списке, щелкните запись правой кнопкой мыши и выберите команду Изменить. Чтобы удалить запись, щелкните ее правой кнопкой мыши и выберите команду Удалить.

Дополнительные источники информации