Назад | Перейти на главную страницу

Windows 7 Прямой доступ

Windows 7 Direct Access - это функция, которая обеспечивает безопасный прямой доступ к сети без использования стороннего программного обеспечения.

Каковы его требования и как вы настраиваете эту функцию?

Требования DirectAccess

  • Один или несколько серверов DirectAccess под управлением Windows Server 2008 R2 с двумя сетевыми адаптерами: один подключен непосредственно к Интернету, а второй - к интрасети.
  • На сервере DirectAccess не менее двух последовательных общедоступных адресов IPv4, назначенных сетевому адаптеру, подключенному к Интернету.
  • Клиенты DirectAccess под управлением Windows 7.
  • По крайней мере, один контроллер домена и сервер системы доменных имен (DNS) под управлением Windows Server 2008 или Windows Server 2008 R2. Если для сквозной защиты требуется проверка подлинности на основе смарт-карт, необходимо использовать доменные службы Active Directory (AD DS) в Windows Server 2008 R2.
  • Инфраструктура открытых ключей (PKI) для выдачи сертификатов компьютеров, сертификатов смарт-карт и, для NAP, сертификатов работоспособности. Для получения дополнительной информации см. http://www.microsoft.com/pki.
  • Политики IPsec для определения защиты трафика. Для получения дополнительной информации см. http://www.microsoft.com/ipsec.
  • Технологии перехода IPv6, доступные для использования на сервере DirectAccess: ISATAP, Teredo и 6to4.

Эта функция выглядит потрясающе. Если бы продажи SSL VPN снизились, я бы подумал ...

Технический обзор DirectAccess в Windows 7 и Windows Server 2008 R2

Чтобы настроить DirectAccess (DA), вы можете увидеть ответ, предоставленный vzczc, чтобы узнать, что необходимо. После того, как у вас есть системы и инфраструктура, вам необходимо сделать следующее:

Подготовить AD / DNS

  1. Создайте группу безопасности для компьютеров, которые будут клиентами DA
  2. Создайте запись узла DNS для сервера сетевых расположений для клиентов DA в интрасети.
  3. Создайте запись узла DNS для сервера, на котором размещен список отзыва сертификатов (CRL) в интрасети.
  4. В общедоступном DNS создайте запись хоста DNS для хоста, который будет предоставлять доступ к CRL для интернет-клиентов DA.

Настройте среду PKI

  1. Добавить / настроить роль сервера ЦС
  2. Настроить параметры рассылки CRL
  3. Опубликовать CRL в указанном месте в интрасети
  4. Создайте шаблон сертификата и настройте параметры безопасности в шаблоне, чтобы прошедшие проверку пользователи могли зарегистрировать сертификат.
  5. Раздайте сертификаты компьютеров (это можно сделать с помощью GPO и автоматической регистрации)

Настроить DA клиентов

  1. Убедитесь, что у клиентов DA есть сертификат компьютера, необходимый для аутентификации DA
  2. Убедитесь, что клиенты могут подключаться к ресурсам интрасети

Настроить DA сервер

  1. Установите два сетевых адаптера на DA-сервере
  2. Установить роль веб-сервера на DA-сервере
  3. Создайте виртуальный каталог для размещения CRL
  4. Опубликовать CRL в виртуальном каталоге
  5. Установите функцию консоли управления DA
  6. Запустите мастер управления DA, чтобы настроить DA

Функциональность сервера сетевого расположения используется клиентами DA, чтобы определить, находятся ли они в интрасети. В зависимости от ответа (или отсутствия ответа) сервера сетевого размещения, клиент DA устанавливает профили и правила, подходящие для доступа DA или не-DA (интранет).

Сервер сетевого размещения может работать на сервере DA, для работы ему нужна роль веб-сервера.