Direct Access Windows Server 2012
Установка и настройка сервера DirectAccess в базовой конфигурации для работы с клиентами Windows 8 Enterprise. Для поддержки клиентских Windows 7 Enterprise нужно дополнительно настроить PKI. Для MS DA требуется иметь один Windows Server 2012, введенный в домен. Желательно чтобы сервер Direct Access не устанавливался на контроллер домена, но возможен и такой вариант. Для подключения к серверу DA требуется пробросить 443 порт с белым IP.
Для применения DirectAccess следует сразу создать группу безопасности под устройства в Active Directory, например DirectAccess Clients.
Далее из Диспетчера серверов добавляется роль Удаленный доступ.
В базовой конфигурации потребуется только служба DirectAccess и VPN.
Роль Direct Access требует установки IIS. Если на сервере уже установлен IIS, то в дальнейшем нужно будет указать подпапку и порт, но лучше, если установка будет чистовая.
После установки Direct Access потребуется перезагрузка. После перезагрузки установщик продолжит доставлять ISS.
После установки всех требуемых служб и компонентов Диспетчер серверов любезно сообщит о готовности к запуску мастера начальной настройки Direct Access.
Роль удаленного доступа на Windows Server 2012 включает в себя 3 варианта настройки из которых слудует устанавливать только DirectAccess. VPN, если он потребуется, можно будет настроить позднее.
Типичная установка — за NAT с одним внешним IP адресом. da.site.ru — адрес к которому будут подключаться клиентские Windows 8 Enterprise по 443 порту.
После применения всех настроек откроется консоль управления удаленным доступом, предоставляющая исчерпывающую информацию о всех подключенных клиентах по DA или VPN. Но для работы следует сначала настроить конфигурацию каждой службы.
Соответственно, во вкладке конфигурация присутствует 4 шага для настройки Direct Access. Для базовой конфигурации нужно изменить по очереди первые 3.
Direct Access можно применять как исключительно для удаленного управления клиентскими Windows 7 так и для предоставления доступа к сети.
В выборе групп следует добавить специально подготовленную группу для Direct Access, в которую потом будут добавлены устройства.
Помощник по подключению к сети может как подключаться к предустановленному сервису WebProbe, входящему в состав Direct Access, так и просто пинговать какой-либо внутренний ресурс.
Далее Шаг 2 в котором настраивается сетевое подключение.
Для проверки подлинности без PKI следует использовать самозаверяющийся сертификат.
Если установить флажок «Разрешить клиентским компьютерам с Windows 7 подключаться с помощью DirectAccess», то придется так же настроить PKI. Без него Windows 7 работать не будет.
Если выбрать некорректный сертификат — скорее всего будет критическая ошибка, после которой будет крайне проблематично удалить или перенастроить Direct Access. Так что перед внедрением Direct Access для Windows 7 желательно сделать бекап серверной Windows 2012 полностью.
Далее Шаг 3 — настройка инфраструктуры.
Адрес DNS сервера можно использовать не только ipv6 но и ipv4. Также можно дописать сразу оба для отказоустойчивости.
Если не используется в лесу более одного домена настройку суффиксов можно пропустить.
Тут можно вручную указать важные серверы, например WSUS или дополнительный контроллер домена.
После всех настроек следует применить конфигурацию нажав кнопку Готово.
Если все вышеперечисленное было настроено верно — состояние операций будет в режиме готовности. Для получения конфигурации подключения можно использовать команду gpupdate /force.
Если на сервере где устанавливается Direct Access уже используется IIS — возможны ошибки Network location server. Самое простое решение всех проблем — удалить конфигурацию DirectAccess из вкладки конфигурация, удалить роль Direct Access, удалить IIS и произвести установку заново, либо смотреть логи обращений к IIS. Если некорректно настроено ipv4 или DNS возможны ошибки в IPsec.