Запустить консоль Диспетчер сервера и с помощью мастера добавления роли и компонентов установить роль Удаленного доступа.
В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS) и Routing(маршрутизация).
После окончания установки службы Remote Access, открыть оснастку инструменты - менеджер удаленного доступа.
Запустится мастер настройки роли удаленного доступа. Указать, что нужно установить только роль DA — развертывание DirectAccess и VPN.
После этого должно открыться окно, в правой половине которого в графическом виде п
оказаны четыре этапа настройки службы DA. Перед настройкой DirectAccess и VPN необходимо вызвать консоль MMC добавить в неё след оснастку: DNS,Центр сертификаций, сертификаты. В консоли DNS Создать запись типа A для NLS сервера. Она должна указывать на IPv4 адрес WSE. Имя может быть любым. (Рисунок 2.8)
Рисунок 17. Создание узла
Чтобы создать SSL сертификат в центре сертификации необходимо подправить шаблон Веб-Сервер так, чтобы учетная запись WSE обладала правами “чтение” и “выпуск”, для этого выбрать управление, выбрав шаблон перейти в свойства – безопасность,добавить учетную запись сервера WSE,разрешить чтение и подачу заявки. Необходимо добавить сертификат для компьютера, в разделе личное создать
запрос о новом сертификате, сертификат будет создан на основании редактируемого шаблона Веб-Сервер в сертификате с полем Имя субъекта, вписываем FQDN сервера NLS.(Рисунок 17),во вкладке закрытый ключ указать, что закрытый ключ сертификата можно экспортировать (Сделать ключ эксплуатируемым).
Сохранить изменения и запросить новый сертификат .Вернуться в окно настроек сервера DirectAccess и, нажав кнопку Просмотреть, выбрать сгенерированный сертификат(Рисунок 18)
Рисунок 18. редактирование шаблона
Первый этап
Указать, что разворачивается полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления. Далее, нажав кнопку добавить нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через DirectAccess (Рисунок 19)
Рисунок 19. Выбор групп
Опция Разрешить DirectAccess только для мобильных компьютеров – позволяет ограничить подключение через DA только для мобильных устройств (ноутбуки, планшеты).
Опция Использовать принудительное туннелирование – означает, что удаленные клиенты при доступе к любым удаленным ресурсам (в том числе обычным веб-сайтам) всегда использовать сервера DA (т.е. весь внешний трафик клиента проходит через корпоративный шлюз). Следующий шаг – указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте.(Рисунок 20) В случае необходимос
ти можно включить опцию разрешить клиентам DirectAccess использовать лок. Разрешение имен, позволяющую разрешить клиенту использовать внутренние DNS-серве
ра компании (адреса DNS серверов могут получаться по DHCP).
Рисунок 20. Ресурс необходимый для подключения к внутренней сети
Второй этап -настройка сервера удаленного доступа. Указать, что сервер удаленного доступа представляет собой конфигурацию с одной сетевой картой, которая находится в корпоративной сети. Нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.(Рисунок 21)
Рисунок 21. Выбо
р адаптера
.
Рисунок 22. Сертификат
На следующем шаге мастера выбрать способ аутентификации клиентов Direct Access. Указать, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметить использовать сертификаты компьютеров и использовать данный сертификат. Нажав кнопку просмотреть, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов(Рисунок 22).
Третий
этап– настройка инфраструктурных серверов. Будет предложено указать адрес сервера сетевой инфраструктуры, находящегося внутри корпоративной сети.
Сервер сетевой инфраструктуры — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быть любой внутренний веб-сервер, основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети. Далее указать список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Использовать локальное разрешение имен, если имя не существует в DNS или DNS-серверы недоступны для клиентского компьютера, находящегося в частной сети).Затем указать DNS-суффиксы внутренних доменов в порядке приоритета их использования. В окне настройки управления ничего указывать не требуется.
Четвертый этап - настройка серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Выбрать опцию Не использовать сквозную проверку подлинности для выбранных серверов-приложений.На этом мастер настройки роли Remote Access завершен, необходмо сохранить изменения. (Рисунок 23)
Рисунок 23. Состояние работы DirectAccess
После окончания работы мастер соз
даст две новые групповые политики DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена.
ЗА
КЛЮЧЕНИЕ
Поскольку целью курсового проекта является описание технологий а также описание методики сегментации для технологий объединения удаленных сегментов сети, то в данном курсовом проекте были выполнены след. задачи:
Представлено описание и схема физической и логической структуризации сети, а также описание технологии функционирования моста, произведено описание методов сегментации с помощью мостов, маршрутизатора, коммутатора. Описаны основные сетевые службы, их цели и задачи, благодаря которым осуществляется стабильная работа, обеспечивающая весь функционал сервера. Произведена развертка и пошаговая настройка основных сетевых служб необходимых для выполнения повседневных основных задач, таких как AD DS,DHCP,DNS для серверной ОС Windows Server 2016, а также установка и настройка служб удаленного доступа - VPN сервера и службы прямого доступа(Direct Access)необходимой для маршрутизации пользователей.