Reiten Directaccess in Windows 2012

Pfad zum VMware Partner Exchange-Ereignis & Forum, in meinem geliebten Termibus, Ich wollte meinen ersten Tests mit Direct teilen, dass es sich um eine Technologie, die in herauskam 2008 R2, aber 2012 Sie sind vereinfachte Montage und seine Anforderungen. Directaccess wird, ohne dass langwierige VPN sichere Verbindung unserer Ausrüstung Kunden zu unserer Organisation erlauben, konfigurieren Sie einen Server, der sein wird, dass wir auf dem internen Netzwerk sicher an alle Ressourcen verbinden.

windows-2012-Direct-00-Bujar

gut, Dies wäre das Netzschema, in dem dieses Dokument basiert, Directaccess-Server in der DMZ mit einem Bein einsetzen auch im LAN, zusätzliche Daten:

Red DMZ: 192.168.2.x / 24
Red LAN: 192.168.3.x / 24
interne Domain: tundra-it.com
FQDN Direct: da.tundra-it.es
Bhuj-Dc-01 (192.168.3.1): DC, interne DNS, CA, Dateien, Drucker…
Buj-DA-01 (192.168.3.13, 192.168.2.13): Direkter Zugang, 2 NIC (ein weiterer in DMZ LAN)
AD-Gruppe Teams mit Zugriffsberechtigung mit Directaccess: Ausrüstung Direct (Windows-Mitglieder 8 die Organisation, die uns interessieren).
BUJ-DNS-01: Es wird ein externer DNS-Server sein, ich werde den Rekord von Typ A für öffentliche Site-Namen DA erstellen.

 

windows-2012-Direct-01-Bujar

Öffnen Sie den Assistenten zum Hinzufügen von Rollen und Features, Wir beginnen das Hinzufügen von Serverrolle “Fernzugriff”,

 

windows-2012-Direct-02-Bujar

In den Rollendienste nur Zeichen “Direct y VPN (RAS)”, klicken Sie auf “folgende” installiert werden

 

windows-2012-Direct-03-Bujar

einmal installiert, öffnen “Wizard Einführung” und konfigurieren Sie Direct,

 

windows-2012-Direct-04-Bujar

Wir verlassen die Erste Schritte-Assistent, klicken Sie auf “Nur implementieren Direct”,

 

windows-2012-Direct-05-Bujar

In diesem Szenario haben wir den Directaccess-Server mit zwei NICs, ein in der DMZ und die andere auf dem LAN, so drücken “Hinter einer Randvorrichtung (mit zwei Netzwerkadapter). “folgende”,

 

windows-2012-Direct-06-Bujar

Und klicken Sie auf den Link “hier” die Standardeinstellungen bearbeiten.

 

windows-2012-Direct-07-Bujar

Wir können die Standardeinstellungen übernehmen oder stellen Sie dann jedes Element der Infrastruktur. wir können: Benennen Sie die zu erstellenden GPO, set-Optionen für Remote-Clients, der RAS-Server, die Infrastrukturserver oder Anwendungsserver.

 

 

 

windows-2012-Direct-08-Bujar

Dies wäre der Überblick über die Konfiguration zu machen,

 

windows-2012-Direct-09-Bujar

Schritt bearbeiten 1, die Directaccess-Client-Konfiguration, Markierung “Implementieren voll Directaccess für die Client-Zugriff und Remote-Management”, “folgende”,

 

windows-2012-Directaccess-10-bujarra

Wählen Sie die Gruppe von Computern, die zuvor erstellt haben und desmarcamos “Aktivieren Direct nur für mobile Geräte” und “Verwenden gezwungen Tunnel”, “folgende”,

 

windows-2012-Directaccess-11-bujarra

Wir verlassen den Standard-Host, der uns geschaffen dann Kunden unterscheiden, wenn wir mit dem LAN verbunden sind 0 mit einem externen Netzwerk. Wir werden einen Standard-Eintrag im DNS-Eintrag erstellen: Directaccess-webprobehost.dominio.local und HTTP-Verbindung testen; wir können einen anderen Computer im Netzwerk mit weiteren PING hinzufügen. Benutzer anzeigen, eine E-Mail technische Unterstützung, und der Name des Netzwerks erstellt auf dem PC des Kunden; wir können optional “Lassen Sie Directaccess-Clients lokale Namensauflösung verwenden,”, “zum Abschluss bringen”,

 

windows-2012-Directaccess-12-bujarra

 

in Schritt 2, in “Remote Access Server”, zeigen den öffentlichen Namen oder IPv4 unserer Website in dem das Gerät angeschlossen ist, “folgende”,

 

windows-2012-Directaccess-13-bujarra

Zeigen an, dass der Adapter mit dem externen Netzwerk verbunden ist, der DMZ und dem internen Netzwerk LAN-Netzwerk, Darüber hinaus haben wir generieren zuvor ein Zertifikat in unserem internen CA (die Öffentlichkeit) für die Website ‚da.tundra-it.es‘, wählen sie es & “folgende”,

 

windows-2012-Directaccess-14-bujarra

vorerst, meine Teams Windows zu überprüfen 8 Ich markieren Sie es mit “Active Directory-Anmeldeinformationen (Benutzername und Passwort)”, in Zukunft Dokumente werden wir zusätzliche Authentifizierungsmethoden mit Zertifikaten sehen und auch Sie den Zugriff auf Windows-Computern geben 7. Wenn Sie NAP konfiguriert, wir können die Einhaltung erfordern den Anschluss an den Kunden zu ermöglichen,. “zum Abschluss bringen”,

 

windows-2012-Directaccess-15-bujarra

in Schritt 3, “Infrastrukturserver” zeigen an, wo wir den Speicherort im Netzwerk-Server (NLS), in diesem Fall “Der Speicherort im Netzwerk-Server ist auf dem RAS-Server bereitgestellt”, Wir haben zuvor ein Computerzertifikat für den Directaccess-Server erzeugt, “folgende”,

 

windows-2012-Directaccess-16-bujarra

Wir zeigen die Namen und die DNS-Suffixe DNS-Server für internes Netzwerk und verläßt Standard “Verwenden Sie lokale Namensauflösung, wenn der Name nicht in DNS oder DNS-Server nicht vorhanden sind nicht verfügbar”. “folgende”,

 

windows-2012-Directaccess-17-bujarra

Wir können hinzufügen, zusätzlichen DNS-Suffixe an anderen internen, “folgende”,

 

windows-2012-Directaccess-18-bujarra

Wenn Sie Server-Patches oder Updates haben, werden wir sie hinzufügen Kunden verwalten, “zum Abschluss bringen”,

 

windows-2012-Directaccess-19-bujarra

und schließlich, in Schritt 4, wir können die Authentifizierung zwischen Client und Server DA interne Anwendungen erweitern.

Wir speichern und anwenden, um die Einstellungen auf die GPO erstellt und automatisch Directaccess-Clients konfigurieren.

 

windows-2012-Directaccess-20-bujarra

 

In dem Panel wird der Status Summary, wo wir sehen, ob wir Probleme sowohl Konfiguration und Konnektivität von einer Art haben, Wir sehen auch angeschlossene Kunden oder diejenigen, die keine Verbindung herstellen, wir können auch Registrierungsinformationen zu erhalten, eine ganz vollständig genug bekommen bei Bedarf Berichte.

 

windows-2012-Directaccess-21-bujarra

Es genügt zu beweisen, erste Überprüfung, dass wir die Richtlinien in einem Client implementiert haben (‚Gpupdate / force’ & ‚Gpresult / R‘), entfernen Ausrüstung aus dem Firmennetz, nehmen Sie es an ein externes Netzwerk und Sie sehen, dass nicht auf HTTP von WebProbe Computer verbinden können, die Directaccess-Verbindung eine Verbindung mit dem öffentlichen Namen heben für HTTPS, Wir bestätigen, dass die Verbindung korrekt ist, von einem Powershell-run ‚Get-DAConnectionStatus’ und sehen, ob alles in Ordnung ist, gut sieht es im Panel-Netzwerk. Zum Beispiel einen Browser öffnen und bestätigen, dass wir die Ressourcen der Organisation zugreifen können!!!

Letzte Artikel von Hector Herrero (Alle anzeigen)