Описание средства Windows Server 2016 для настройки удаленного доступа
В Windows Server 2016 Microsoft привнёс полностью новый вариант рассмотрения удалённого доступа. Исторически компании полагались на инструменты сторонних производителей для присоединения удалённых пользователей в свою сетевую среду, производимый приложениями от большого количества производителей сетевых средств.
Наше первоначальное внимание будет сосредоточено для DA (DirectAccess). DA является разновидностью наподобии автоматического VPN. Пользователю ничего не нужно предпринимать для того, чтобы соединиться для работы. Всякий раз, как они находятся в Интернете, они автоматически соединяются со своей корпоративной сетевой средой.
DirectAccess является чудесным способом иметь присоединённые к домену системы Windows 7, Windows 8 и Windows 10 подключёнными обратно к сетевой среде для доступа к данным и для управления такими перемещающимися машинами. DA в действительности появился начиная с 2008, однако первая версия пришла с некоторыми запросами к инфраструктуре и не применялась широко. Server 2016 привносит целый новый набор преимуществ и делает реализацию намного более простой чем это было в прошлом [6].
Существуют две разновидности удалённого доступа, имеющиеся в Windows Server 2016. Наиболее общим способом для реализации роли Remote Access является в предоставлении Direct Access для подключённых к домену компьютеров Windows 7, 8 и 10, а также VPN для всех остальных. Машины Direct Access являются обычным корпоративным активом во владении компании. Одна из первичных причин почему Direct Access обычно применяется только для имущества компании состоит в том, такая клиентская машина должна подключаться к домену потому что имеющиеся настройки конфигурации Direct Access приносятся вниз к клиентам через GPO (Group Policy Object) [8].
|
|
|
VPN по этой причине применяется для клиентов более ранних версий, таких как Windows XP или не присоединённых к домену Windows 7/ 8/ 10, а также для домашних и персональных устройств, которые хотят получить доступ к сетевой среде. Поскольку это обычный перехватчик VPN со всеми нормальными доступными протоколами, такими как PPTP, L2TP, and SSTP, он может даже работать для соединения устройств подобных смартфонам и планшетам с сетевой средой.
Внутри роли Remote Access Server 2016 существует также третья доступная функция, имеющая название WAP (Web Application Proxy). Эта функция не применяется для полного подключения удалённых компьютеров к сетевой среде в отличие от Direct Access и VPN; вместо этого, WAP применяется для публикации внутренних веб-ресурсов во всемирный Интернет. Например, если мы запускаем Сервер Exchange и SharePoint внутри сетевой среды и хотим опубликовать доступ к этим ресурсам на основе веб-доступа в Интернет для присоединения внешних пользователей, WAP мог бы стать механизмом, который может опубликовать доступ к этим ресурсам. Выражение публикация для интернет аналогична имеющемуся в обратному прокси (Reverse Proxy), а WAP может действовать аналогично.
|
|
|
Одна из самых замечательных вещей относительно DirectAccess состоит в том, что все нужные компьютерам клиентов настройки связи нужные им для соединения содержатся внутри GPO (Group Policy Objects, Объектов групповой политики). Это означает, что мы можем превращать новые компьютеры клиентов в клиентов с DirectAccess подключением даже не прикасаясь к их системам. После того, как мы один раз надлежащим образом настроим их, всё что вам нужно будет делать в дальнейшем это добавлять новые учётные записи компьютеров в некую группу безопасности Active Directory, и в процессе следующего цикла автоматического обновления Групповой политики (обычно в пределах 90 минут) такой новый компьютер будет подключён через DirectAccess даже когда находится за пределами корпоративной сетевой среды.
Несомненно мы можем выбрать ничего предварительно не устанавливать при помощи GPO и DirectAccess всё равно будет работать. Когда мы дойдём до конца своего мастера настройки DA, он проинформирует нас, что два новых GPO почти готовы и были созданны внутри Active Directory. Один GPO применяется для содержания настроек сервера DirectAccess, а другой GPO используется для помещения в нём настроек клиентов DirectAccess. Если мы дадим возможность мастеру обработать генерацию таких GPO, он создаст их, привяжет их, поставит на них фильтрацию и наполнит их автоматически настройками. Почти в половине случаев люди, которые делали это именно таким образом и были навсегда счастливы позволив своему мастеру управлять такими GPO и сейчас и впоследствии.
|
|
|
Существует и другая половина случаев, и она желает чтобы мы слегка больше участвовали в персональном сопровождении управления таких GPO. Если мы намереваемся настраивать новую среду DA, однако у нас не хватает полномочий для создания GPO, мастер вовсе не будет собираться рассматривать возможность их создания. В этом случае необходимо будет работать с кем-то из команды ActiveDirectory чтобы он сделал это. Другой причиной для ручного управления вашим GPO является пожелание наличия лучшего контроля за размещением таких политик. Когда мы позволяем своему мастеру DA создавать определённую GPO, он присоединит её к самому верхнему уровню домена. Он также настроит Фильтрацию безопасности (Security Filtering) такого GPO с тем, чтобы они не имели возможности применения ко всему в домене, однако когда мы откроем консоль управления Групповой политикой (Group Policy Management Console), мы будем наблюдать эти политики DA перечисленными прямо в самом верхнем уровне своего домена. Иногда это просто является нежелательным. Поэтому, также и по этой причине можно выбрать ручное создание и управление GPO с тем, чтобы мы могли безопасно размещать и присоединять их там, где мы пожелаем сами.
|
|
|
Создание GPO в Active Directory достаточно простая задача, однако критически важно правильно настроить Ссылки (Links) и Фильтрацию безопасности (Security Filtering). Если не позаботиться о том, чтобы обеспечить то, что эти настройки соединения DirectAccess были готовы применяться только к тем машинам, которые на самом деле нуждаются в таких настройках, можно создать вселенную проблем с внутренними серверами, получающими настройки удалённых соединений и создающих им проблемы с соединениями внутри сетевой среды.
Ключевым фактором здесь является обеспечение того, что настройки GPO сервера DirectAccess применяются только к компьютерам клиентов того DA, который мы планируем включить в сетевую среду. Наилучшей практикой здесь будет определить такой GPO только для применения к некоторой специфической группе безопасности Active Directory с тем, чтобы у нас был полный контроль над находящимися именно в этой группе учётными записями компьютеров [6].
Рассмотрим службы удаленных рабочих столов.
Роль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp. (RemoteApp – это технология, которая позволяет представлять приложения, доступ к которым может быть получен удаленно через «Службы удаленных рабочих столов», как если бы они были запущены на локальном компьютере пользователя.)
Название роли для Windows PowerShell – Remote-Desktop-Services.
Состоит из следующих служб:
1) Веб-доступ к удаленным рабочим столам (RDS-Web-Access) – данная служба роли позволяет пользователям получить доступ к удаленным рабочим столам и приложениям RemoteApp через меню «Пуск» или с помощью веб-браузера;
2) Лицензирование удаленных рабочих столов (RDS-Licensing) – служба предназначена для управления лицензиями, которые необходимы для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу. Ее можно использовать для установки, выдачи лицензий и отслеживания их доступности. Для работы данной службы необходим «Веб-сервер (IIS)»;
3) Посредник подключений к удаленному рабочему столу (RDS-Connection-Broker) – служба роли, которая обеспечивает следующие возможности: повторное подключение пользователя к существующему виртуальному рабочему столу, приложению RemoteApp и рабочему столу на основе сеансов, а также равномерное распределение нагрузки между серверами узлов сеансов удаленных рабочих столов или между виртуальными рабочими столами в составе пула. Для работы данной службы необходим компонент «Внутренняя база данных Windows»;
4) Узел виртуализации удаленных рабочих столов (DS-Virtualization) – служба позволяет пользователям подключаться к виртуальным рабочим столам с помощью подключения к удаленным рабочим столам и приложениям RemoteApp. Эта служба работает совместно с Hyper-V, т.е. данная роль должна быть установлена;
5) Узел сеансов удаленных рабочих столов (RDS-RD-Server) – с помощью этой службы можно размещать на сервере удаленные приложения RemoteApp и основанные на сеансах рабочие столы. Для доступа используется клиент подключения к удаленному рабочему столу или удаленные приложения RemoteApp;
6) Шлюз удаленных рабочих столов (RDS-Gateway) – служба позволяет авторизованным удаленным пользователям подключаться к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам, основанным на сеансах, в корпоративной сети или через Интернет. Для функционирования данной службы необходимы следующие дополнительные службы и компоненты: «Веб–сервер (IIS)», «Службы политики сети и доступа», «RPC через HTTP-прокси».
Рассмотрим удаленный доступ.
Данная роль обеспечивает подключение через Direct Access, VPN и прокси веб-приложения. Также роль «Удаленный доступ» предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS)», «Внутренняя база данных Windows».
Название роли для Windows PowerShell – RemoteAccess.
1) DirectAccess и VPN (RAS) (DirectAccess-VPN) – служба позволяет пользователям подключаться к корпоративной сети в любое время при наличии доступа к Интернету через Direct Access, а также организовывать VPN подключения в сочетании с технологиями туннелирования и шифрования данных;
2) Маршрутизация (Routing) – служба обеспечивает поддержку маршрутизаторов NAT, маршрутизаторов локальной сети с протоколами BGP, RIP и маршрутизаторов с поддержкой многоадресной рассылки (IGMP-прокси);
3) Прокси-сервер веб-приложений (Web-Application-Proxy) – служба позволяет публиковать приложения на основе протоколов HTTP и HTTPS из корпоративной сети на клиентских устройствах, которые находятся за пределами корпоративной сети [8].
ВЫВОДЫ ПО I ГЛАВЕ
В результате выполнения курсовой работы были рассмотрены и раскрыты такие понятия как локальная сеть, рассмотрение назначения удаленного доступа к локальной сети, описание средства Windows Server 2016 для настройки удаленного доступа.
Локальная сеть – это группа связанных между собой компьютеров, серверов, принтеров, расположенных в пределах здания, офиса или комнаты. Локальная сеть дает возможность получать совместный доступ к общим папкам, файлам, оборудованию и различным программам.
Назначение локальной сети – осуществление совместного доступа к данным, программам и оборудованию. У коллектива людей, работающего над одним проектом, появляется возможность работать с одними и теми же данными и программами не по очереди, а одновременно. Локальная сеть предоставляет возможность совместного использования оборудования, создание локальной сети с одним принтером на каждый отдел или несколько отделов. Файловый сервер сети позволяет обеспечить и совместный доступ к программам и данным.
Существуют две разновидности удалённого доступа, имеющиеся в Windows Server 2016: служба удаленных рабочих столов и удаленный доступ.
Служба удаленных рабочих столов – это программный компонент, который позволяет дистанционно запускать приложения или управлять сервером с любого устройства.
Удаленный доступ – обеспечивает подключение через Direct Access, VPN, прокси веб-приложения и предоставляет традиционные возможности маршрутизации.
Подводя итог всему вышесказанному, необходимо отметить, что удаленный доступ является одной из передовых технологий которая будет активно задействоваться в будущем.
ГЛАВА 2. ПРАКТИЧЕСКАЯ РАБОТА…(по теме КР)
В практической части раскрываются все аспекты проектируемого объекта: способы, методы и результаты исследования локальной сети организации, настройка аппаратного и программного обеспечения, этапы выполнения проекта.
Практическая часть должна при необходимости содержать определение необходимых эксплуатационных свойств объекта, определение требований к системе, выбор и построение модели сети, выбор и разработку метода решения, анализ опасных и вредных факторов, конкретные технические или организационные мероприятия по их устранению.
Дата добавления: 2023-02-21; просмотров: 28; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!