Direct access windows 10 как включить

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Содержание

  1. Развертывание одного сервера DirectAccess с помощью мастера начальной настройки
  2. Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.
  3. Описание сценария
  4. Содержание сценария
  5. Предварительные требования
  6. Шаги планирования
  7. Шаги развертывания
  8. Практическое применение
  9. Роли и компоненты, входящие в этот сценарий
  10. Требования к оборудованию
  11. Требования к программному обеспечению
  12. См. также
  13. Шаг 1. Настройка базовой инфраструктуры DirectAccess
  14. Настройка сетевых параметров сервера
  15. Настройте маршрутизацию в корпоративной сети
  16. Настройка брандмауэров
  17. Настройка DNS-сервера
  18. Создание сервера сетевых расположений DNS-записей NCSI-пробы
  19. Настройка Active Directory
  20. Присоединение сервера удаленного доступа к домену
  21. Присоединение клиентских компьютеров к домену
  22. Настройка объектов групповой политики
  23. Настройка групп безопасности
  24. Создание группы безопасности для клиентов DirectAccess

Развертывание одного сервера DirectAccess с помощью мастера начальной настройки

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом разделе описывается сценарий DirectAccess, в котором используется один сервер DirectAccess и представлена несложная процедура развертывания DirectAccess.

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

Следующие разделы содержат предварительные требования и другие сведения перед развертыванием DirectAccess.

Описание сценария

в этом сценарии один компьютер, на котором выполняется Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, настроен в качестве сервера directaccess с параметрами по умолчанию на нескольких простых шагах мастера, без необходимости настройки параметров инфраструктуры, таких как центр сертификации (цс) или Active Directory группы безопасности.

Сведения о настройке расширенного развертывания с пользовательскими параметрами см. в разделе Deploy a Single DirectAccess Server with Advanced Settings.

Содержание сценария

Чтобы настроить базовый сервер DirectAccess, требуется выполнить несколько этапов планирования и развертывания.

Предварительные требования

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

Брандмауэр Windows должен быть включен для всех профилей.

этот сценарий поддерживается только в том случае, если клиентские компьютеры работают Windows 10, Windows 8.1 или Windows 8.

ISATAP в корпоративной сети не поддерживается. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

Инфраструктура открытых ключей (PKI) не требуется.

Для развертывания не поддерживается двухфакторная проверка подлинности. Для проверки подлинности требуются учетные данные домена.

DirectAccess автоматически развертывается на всех мобильных компьютерах в текущем домене.

Трафик в Интернет не передается по туннелю DirectAccess. Конфигурация принудительного туннелирования не поддерживается.

Сервер DirectAccess действует как сервер сетевых расположений.

Защита доступа к сети (NAP) не поддерживается.

Изменение политик вне консоли управления DirectAccess или командлетов PowerShell не поддерживается.

Шаги планирования

Планирование разделено на два этапа.

Планирование инфраструктуры DirectAccess. На этом этапе описывается планирование до начала развертывания DirectAccess, необходимое для настройки сетевой инфраструктуры. Включает в себя планирование топологий сети и серверов, а также сервера сетевых расположений DirectAccess.

Планирование развертывания DirectAccess. На этом этапе описывается планирование для подготовки к развертыванию DirectAccess. Он включает в себя планирование требований при проверке подлинности серверов, клиентов и компьютеров клиентов DirectAccess, параметров VPN, инфраструктуры серверов, серверов управления и серверов приложений.

Шаги развертывания

Развертывание разделено на три этапа.

Настройка инфраструктуры DirectAccess. на этом этапе включается настройка сети и маршрутизации, Настройка параметров брандмауэра при необходимости, Настройка сертификатов, DNS-серверов, параметров Active Directory и объектов групповой политики и сервера сетевого расположения DirectAccess.

Настройка параметров сервера DirectAccess. Этот этап включает в себя действия для настройки компьютеров клиентов DirectAccess, сервера DirectAccess, серверов инфраструктуры, серверов управления и серверов приложений.

Проверка развертывания. Этот этап включает шаги, позволяющие убедиться, что развертывание работает должным образом.

Более подробное описание шагов развертывания см. в разделе Install and Configure Basic DirectAccess.

Практическое применение

Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа.

Простота доступа. в качестве клиентов directaccess можно настроить управляемые клиентские компьютеры под управлением Windows 10, Windows 8.1, Windows 8 или Windows 7. Эти клиенты могут получать доступ к ресурсам внутренней сети через DirectAccess в любое время, когда они находятся в Интернете, без необходимости входа в VPN-подключение. Клиентские компьютеры, использующие другие операционные системы, могут подключаться к внутренней сети с помощью традиционных VPN-подключений.

Простота управления. Администраторы могут управлять клиентскими компьютерами DirectAccess, расположенными в Интернете, через DirectAccess с помощью удаленного доступа, даже если эти компьютеры не находятся во внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одного набора мастеров. Кроме того, при помощи одной консоли управления удаленным доступом можно администрировать один или более серверов удаленного доступа.

Роли и компоненты, входящие в этот сценарий

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент Способ поддержки сценария
Роль удаленного доступа Роль можно установить и удалить с помощью консоли диспетчера серверов или Windows PowerShell. Эта роль включает как DirectAccess, который раньше был компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые были службой роли в рамках роли сервера служб политики сети и доступа (NPAS). Роль удаленного доступа включает два компонента.

1. VPN-подключение directaccess и маршрутизация и удаленный службы Access (RRAS). Управление DirectAccess и VPN осуществляется вместе в консоли управления удаленным доступом.
2. Маршрутизация RRAS. Управление функциями маршрутизации RRAS осуществляется с помощью устаревшей консоли маршрутизации и удаленного доступа.

Роль сервера удаленного доступа зависит от следующих ролей и компонентов сервера:

-службы IIS (IIS). эта функция необходима для настройки сервера сетевых расположений на сервере удаленного доступа и веб-проверки по умолчанию.
— внутренняя база данных Windows. Используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом Этот компонент устанавливается описанным ниже образом.

— он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления и командлеты Windows PowerShell.
— Его можно дополнительно установить на сервере, на котором не запущена роль сервера удаленного доступа. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

— Графический интерфейс удаленного доступа
— Модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

— Консоль управления групповыми политиками
— Пакет администрирования диспетчера подключений RAS (CMAK)
-Windows PowerShell 3,0
-Графические средства управления и инфраструктура

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

Требования к серверу.

компьютер, отвечающий требованиям к оборудованию для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Сервер должен иметь по меньшей мере один сетевой адаптер, установленный, включенный и подключенный к внутренней сети. При использовании двух адаптеров один адаптер должен быть подключен к внутренней корпоративной сети, а другой — к внешней сети (к Интернету или частной сети).

Минимум один контроллер домена. Сервер удаленного доступа и клиенты DirectAccess должны быть членами домена.

Требования к клиенту.

клиентский компьютер должен работать под управлением Windows 10, Windows 8.1 или Windows 8.

в качестве клиентов directaccess могут использоваться только следующие операционные системы: Windows 10 Корпоративная, Windows 8.1 Корпоративная, Windows Server 2016, Windows Server 2012 r2, Windows Server 2012, Windows 8 Корпоративная, Windows Server 2008 r2, Windows 7 Корпоративная и Windows 7 Максимальная.

Требования к серверу инфраструктуры и управления.

требуется DNS-сервер, на котором работает Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows server 2008 SP2 или Windows server 2008 R2.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

Требования к серверу.

Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.

Пользователю, который развертывает удаленный доступ на сервере, требуются права администратора на сервере или права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами компонентов, ограничивающих развертывание DirectAccess только мобильными компьютерами, необходимы права на создание фильтра WMI на контроллере домена.

Требования к клиенту удаленного доступа.

Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом сервера удаленного доступа.

Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Если при настройке параметров клиента DirectAccess группа безопасности не была указана, по умолчанию объект групповой политики клиента применяется ко всем ноутбукам в группе безопасности компьютеров домена. в качестве клиентов directaccess могут использоваться только следующие операционные системы: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Корпоративная, Windows 7 Корпоративная и Windows 7 Максимальная.

См. также

В следующей таблице перечислены ссылки на дополнительные ресурсы.

Источник

Шаг 1. Настройка базовой инфраструктуры DirectAccess

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом разделе описывается, как настроить инфраструктуру, необходимую для базового развертывания DirectAccess с использованием одного сервера DirectAccess в смешанной среде с поддержкой IPv4 и IPv6. Прежде чем приступить к развертыванию, убедитесь, что выполнены действия по планированию, описанные в разделе планирование базового развертывания DirectAccess.

Задача Описание
Настройка сетевых параметров сервера Настройте сетевые параметры на сервере DirectAccess.
Настройте маршрутизацию в корпоративной сети Для правильного направления трафика следует настроить маршрутизацию в корпоративной сети.
Настройка брандмауэров При необходимости настройте дополнительные брандмауэры.
Настройка DNS-сервера Настройте параметры DNS для сервера DirectAccess.
Настройка Active Directory Присоедините клиентские компьютеры и сервер DirectAccess к домену Active Directory.
Настройка объектов групповой политики Если необходимо, настройте объекты групповой политики для развертывания.
Настройка групп безопасности Настройте группы безопасности, включающие компьютеры клиентов DirectAccess, а также любые другие группы безопасности, необходимые для развертывания.

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

Настройка сетевых параметров сервера

Для развертывания одиночного сервера в среде, работающей на основе IPv4 и IPv6, необходимо выполнить следующие настройки сетевого интерфейса: Для настройки всех IP-адресов используется пункт Изменение параметров адаптера в разделе Центр управления сетями и общим доступом Windows.

Один общедоступный статический IPv4- или IPv6-адрес для Интернета.

Для Teredo необходимы два последовательных общедоступных IPv4-адреса. Если вы не используете Teredo, вы можете настроить один общедоступный статичный IPv4-адрес.

Один внутренний статический IPv4- или IPv6-адрес.

За устройством NAT (два сетевых адаптера)

Один внутренний IPv4- или IPv6-адрес, направленный в Интернет.

Один статический IPv4- или IPv6-адрес для сети периметра.

За устройством NAT (один сетевой адаптер)

Если сервер DirectAccess оснащен двумя или более сетевыми адаптерами (один указан в доменном профиле, а другой — в публичном или частном), но планируется использование топологии с одной сетевой картой, следует выполнить следующие действия.

Убедитесь, что второй сетевой адаптер и все дополнительные адаптеры определены в профиле домена.

Если второй сетевой адаптер по какой-либо причине не может быть настроен для доменного профиля, следует вручную установить область действия политик IPsec DirectAccess для всех профилей с помощью следующих команд Windows PowerShell.

Политики IPsec — DirectAccess-DaServerToInfra и DirectAccess-DaServerToCorp.

Настройте маршрутизацию в корпоративной сети

Настройте маршрутизацию в корпоративной сети следующим образом.

Если в организации развернута собственная инфраструктура на основе IPv6, следует добавить маршрут, позволяющий маршрутизаторам, расположенным во внутренней сети, возвращать трафик IPv6 через сервер удаленного доступа.

Вручную настройте маршруты IPv4 и IPv6 на серверах удаленного доступа. Добавьте опубликованный маршрут, чтобы весь трафик с префиксом IPv6 организации (/48) пересылался во внутреннюю сеть Кроме того, следует добавить подробные маршруты для направления IPv4-трафика во внутреннюю сеть.

Настройка брандмауэров

Если вы используете при развертывании дополнительные брандмауэры, примените следующие исключения для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv4:

трафик 6to4 — IP-протокол 41, входящий и исходящий.

Протокол IP-HTTPS — порт назначения TCP 443 и порт источника TCP 443 исходящие. Когда сервер удаленного доступа имеет один сетевой адаптер, а сервер сетевых расположений находится на сервере удаленного доступа, тогда также требуется TCP-порт 62000.

Это исключение должно быть настроено на сервере удаленного доступа. Все остальные исключения должны быть настроены на пограничном брандмауэре.

В отношении трафика Teredo и 6to4 эти исключения должны применяться для обоих последовательных общедоступных IPv4-адресов для выхода в Интернет на сервере удаленного доступа. Для IP-HTTPS исключения необходимо применять к тому адресу, которому соответствует внешнее имя сервера.

Если вы используете дополнительные брандмауэры, примените следующие исключения брандмауэра для трафика удаленного доступа при выходе в Интернет, когда сервер удаленного доступа находится в сети IPv6:

UDP-порт назначения 500 для входящих подключений и UDP-порт источника 500 для исходящих подключений.

При использовании дополнительных брандмауэров применяйте следующие исключения внутреннего сетевого брандмауэра для трафика удаленного доступа:

ISATAP — протокол 41, входящий и исходящий

Протоколы TCP/UDP для всех типов трафика IPv4/IPv6

Настройка DNS-сервера

Необходимо вручную настроить запись DNS для веб-сайта сервера сетевых расположений внутренней сети в вашем развертывании.

Создание сервера сетевых расположений DNS-записей NCSI-пробы

На DNS-сервере внутренней сети запустите днсмгмт. msc и нажмите клавишу ВВОД.

В левой области консоли Диспетчер DNS разверните зону прямого просмотра для вашего домена. Щелкните правой кнопкой мыши по домену и выберите Новый узел (A или AAAA).

В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-сайта сервера сетевых расположений (это имя используется клиентами DirectAccess для подключения к серверу сетевых расположений). В поле IP-адрес укажите IPv4-адрес сервера сетевых расположений и нажмите Добавить узел. В диалоговом окне DNS щелкните OK.

В диалоговом окне Новый узел в поле Имя (если не указано, используется родительский домен) укажите имя DNS для веб-пробы (имя веб-пробы по умолчанию: directaccess-webprobehost). В поле IP-адрес укажите IPv4-адрес веб-пробы и щелкните Добавить узел. Повторите этот процесс для имени directaccess-corpconnectivityhost и любых средств проверки подключения, созданных вручную. В диалоговом окне DNS щелкните OK.

Нажмите кнопку Готово.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Также следует настроить записи DNS для следующих компонентов:

Сервер IP-HTTPS — клиенты DirectAccess должны иметь возможность разрешить DNS-имя сервера удаленного доступа из Интернета.

Настройка Active Directory

Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:

Домены, принадлежащие к тому же лесу, что и сервер удаленного доступа.

Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.

Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.

Присоединение сервера удаленного доступа к домену

В диспетчере серверов щелкните Локальный сервер. В области сведений перейдите по ссылке Имя компьютера.

В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.

При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.

При появлении диалогового окна с приветствием домена нажмите кнопку «OK».

При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

В диалоговом окне Свойства системы нажмите Закрыть.

При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.

Запустите explorer.exe.

Щелкните правой кнопкой значок компьютера и выберите Свойства.

На странице Система щелкните Дополнительные параметры системы.

В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.

В поле Имя компьютера введите имя компьютера, если вы меняете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.

При появлении предложения ввести имя пользователя и пароль введите имя и пароль пользователя с правами присоединения компьютеров к домену, а затем нажмите ОК.

При появлении диалогового окна с приветствием домена нажмите кнопку «OK».

При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

В диалоговом окне Свойства системы нажмите кнопку «Закрыть». Щелкните Перезагрузить сейчас, когда появится сообщение о необходимости перезагрузки.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Обратите внимание, что после введения команды «Добавить компьютер» необходимо ввести учетные данные домена.

Настройка объектов групповой политики

Для развертывания удаленного доступа требуется как минимум два объекта групповой политики: один объект групповой политики содержит параметры для сервера удаленного доступа, а один — параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает требуемый объект групповой политики. Однако если ваша организация применяет Соглашение об именовании или у вас нет необходимых разрешений для создания или изменения объектов групповой политики, они должны быть созданы перед настройкой удаленного доступа.

Сведения о создании объекта групповой политики см. в разделе Создание и изменение объекта Групповая политика.

Администратор может вручную связать объект групповой политики DirectAccess с подразделением, выполнив следующие действия:

Если объект групповой политики был создан вручную, то во время настройки DirectAccess возможно, что объект групповой политики будет недоступен. Возможно, объект групповой политики не был реплицирован на ближайший контроллер домена на компьютер управления. В этом случае администратор может дождаться завершения репликации или выполнить принудительную репликацию.

Использование любых средств, кроме мастера установки DirectAccess, для настройки DirectAccess, таких как изменение объектов DirectAccess групповая политика напрямую или изменение параметров политики по умолчанию на сервере или клиенте вручную, не поддерживается.

Настройка групп безопасности

Параметры DirectAccess, содержащиеся в объектах групповой политики клиентского компьютера, применяются только к компьютерам, входящим в группы безопасности, указанные при настройке удаленного доступа.

Создание группы безопасности для клиентов DirectAccess

Запустите DSA. msc. В консоли Active Directory — пользователи и компьютеры разверните в левой области домен, к которому будет принадлежать группа безопасности, щелкните правой кнопкой мыши Пользователи, выберите Новые, после чего щелкните Группа.

В диалоговом окне Создать объект — Группа в поле Имя группы укажите имя группы безопасности.

Параметру Область действия группы присвойте значение Глобальная, параметру Тип группы — значение Безопасность, после чего нажмите OK.

Дважды щелкните по группе безопасности, в которую входят компьютеры клиентов DirectAccess, и в диалоговом окне со свойствами откройте вкладку Члены.

На вкладке Члены группы щелкните Добавить.

В диалоговом окне Выбор пользователей, контактов, компьютеров, учетных записей служб или групп выберите клиентские компьютеры, для которых хотите установить DirectAccess, после чего щелкните OK.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Источник

Always On VPN is easy to use and easy to implement. Follow this four-part guide as we turn Remote Access into a seamless and persistent connection for your Windows 10 mobile devices.

Contents

  1. VPNs, DirectAccess, and Always On: a comparison
  2. Where to configure Always On VPN
  • Author
  • Recent Posts

DirectAccess is a bit of a snob, always talking about Teredo tunneling and IPv6, only hanging out with the Enterprise clients. While I exaggerate just a little, DirectAccess can be intimidating to set up and limiting in implementation. For the most part, Microsoft has stopped improving DirectAccess. Instead, their focus is Always On VPN. Beginning in Windows 10 1607, Microsoft changed their recommendation for VPN connectivity. With Windows 10 1607 clients, Microsoft recommends «that you use Always On VPN instead of DirectAccess.»

Always On VPN has three overlapping technology segments (server, client, and network). We are going to start with an overview of Always On VPN and cover the components required for setup. The second article will cover server setup. Article three will outline client configurations and connections. The final piece will cover network changes, advanced configurations, and additional troubleshooting. Before we look at the components, let’s see why Always On VPN is the recommended form of remote access.

The Always On VPN is ready to connect

VPNs, DirectAccess, and Always On: a comparison

Unlike a traditional VPN, this iteration of Remote Access is designed to be persistent. A user automatically connects to your network by connecting to any external network. With 1607, we can configure this on a per-user basis, and the VPN client uses your rules to decide when to connect automatically.

It can connect upon launching certain applications, when looking for certain hosts, or stay in an always-connected state. With 1709, we can configure device connections as well. This can allow users to log on to a new laptop at an offsite location. In other words, it eliminates the whole there are currently no logon servers available paradox. Traffic in both versions is two way and management capable. Offsite clients can process Group Policy, receive updates, and even be remotely controlled. In part three, we will configure these connection rules. This setup uses the native Windows 10 1607+ VPN client. Users can enroll without having to install any additional client software.

Manually setting advanced properties for Always On VPN adapters

Manually setting advanced properties for Always On VPN adapters

Unlike DirectAccess, Always On VPN is a dual stack technology. It supports IPv4 and IPv6. As you will see in part four, this will make your firewall configuration much easier.

Where DirectAccess required domain-joined Enterprise or Education edition clients, Always On does not require those specific Windows 10 editions. Clients do not even need to be domain joined.

For advanced deployments, it can integrate with Windows Hello for Business as well as Azure Multi-Factor Authentication (MFA). While the server and network configuration for Always On VPN is simpler than DirectAccess, traditional client configuration is not.

Currently, you have to configure the Always On VPN client through PowerShell, SCCM, or Intune. There is not a native Always On VPN client-side extension for Group Policy. It is possible to automate PowerShell enrollment for organizations without SCCM or Intune. This requires changes to the default client configuration scripts though. The third article of this series will cover this part as well.

Where to configure Always On VPN

Always On VPN ties together many different technologies. First, you need to configure a set of servers—Network Policy Server (NPS), Certificate Authority (CA), and Remote Access. Next, you have to enroll clients (users at first, 1709+ devices for pre-logon connections). Finally, you have to connect your remote clients to your on-premises infrastructure securely through several network changes. All three sections overlap a bit, but we will break them up into logical segments.

The Always On VPN server infrastructure relies on technologies you have probably already deployed. Other than your DC/DNS servers, this configuration requires a NPS (RADIUS) server, a CA server, and a Remote Access (Routing/VPN) server. These servers do not need to be at 2016. 2012 R2 servers will work just fine. This series will assume that you already have servers with those roles enabled on them and that you just need to make the modifications necessary for the Always On VPN setup.

DirectAccess and the (Always On) VPN server roles

DirectAccess and the (Always On) VPN server roles

Along with the NPS, CA, and Remote Access servers, you will need a bit of network configuration. Remote clients will connect over UDP ports 500 and 4500 to your Remote Access server. This section will focus on a single server setup. Organizations should use failover or a load balancer for high availability though. This Remote Access server will straddle your public network and private network. If physical, it will require two network interface controllers (NICs). Virtual machines (VMs) will require correct virtual LAN (VLAN) placement for the host.

The Remote Access server will need a public DNS record and a client-trusted certificate installed on it. The certificate name will need to match the Remote Access server name. The steps in this part of the guide will be generic because there are so many types of firewalls, routers, and switches.  The VM discussion will focus on Hyper-V.

Clients interact with this setup by talking to the CA first. Let’s look at a user on a remote device. To authenticate, this user’s device would need a specific VPN certificate issued to it. In this guide, we will use Active Directory (AD) security groups to issue this certificate to selected users automatically. The user profile on the remote device would already have the Always On VPN connection configured. This connection checks the network status on a defined basis. When the status matches rules you configure, it initiates a connection to the public interface of your Remote Access server.

The Remote Access server, through the internal interface, validates this request against your Network Policy server. If the connection request is valid, it allows clients to connect and places them in an IP pool you specify during the Remote Access server setup.

Depending on your network configuration, you can constrain clients to certain network segments or allow them normal on-premises-like access.

Subscribe to 4sysops newsletter!

IPv4 and IPv6 settings on the Remote Access server

IPv4 and IPv6 settings on the Remote Access server

The configuration required for Always On VPN setup overlaps server, network, and client setup. In part two, we will walk through the server setup required for an Always On VPN environment. As you proceed through this guide, refer back to this post if you are confused about where items tie together.

Articles in seriesAlways On VPN

  1. Always On VPN – DirectAccess+ for Windows 10
  2. Active Directory, Group Policy, and certificates for Always On VPN
  3. Always On VPN Remote Access and Network Policy Server
  4. Always On VPN – Network configuration and security
  5. Install and deploy the Always On VPN client
  6. If an Always On VPN fails to install and connect
  7. Configuring and deploying Always On VPN device tunnels

В Windows 10 вы можете использовать Удаленный рабочий стол возможность удаленного доступа к компьютеру или серверу для оказания помощи другим пользователям или управления службами без физического присутствия на месте.

Хотя вы можете управлять функцией через приложение «Настройки», вы также можете включить или отключить удаленный рабочий стол в Windows 10 с помощью команд командной строки или PowerShell. Вы можете использовать этот метод для создания сценария для более быстрой настройки удаленного рабочего стола на нескольких компьютерах. Или вы можете отправить скрипт пользователю, что позволит ему автоматически настроить функцию без дополнительных действий.

Этот руководство научит вас, как использовать командную строку для включения или отключения удаленного рабочего стола и открытия необходимых портов брандмауэра для успешного подключения к Windows 10.

Включить удаленный рабочий стол с помощью командной строки

Чтобы включить протокол удаленного рабочего стола с помощью командной строки, выполните следующие действия:

  1. Открыть Поиск в Windows 10.
  2. Найти Командная строка и щелкните правой кнопкой мыши верхний результат и выберите Запустить от имени администратора.
  3. Введите следующую команду, чтобы включить протокол удаленного рабочего стола, и нажмите Enter:
    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

    Команда включения удаленного рабочего стола

  4. (Необязательно) Введите следующую команду, чтобы включить удаленный рабочий стол через брандмауэр Windows, и нажмите Enter:
    netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

После выполнения этих шагов протокол включится в Windows 10, и вы сможете получить удаленный доступ к устройству.

Отключить удаленный рабочий стол с помощью командной строки

Чтобы отключить протокол удаленного рабочего стола с помощью командной строки, выполните следующие действия:

  1. Открытым Поиск.
  2. Найти Командная строка и щелкните правой кнопкой мыши верхний результат и выберите Запустить от имени администратора.
  3. Введите следующую команду, чтобы отключить протокол удаленного рабочего стола, и нажмите Enter:
    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    Команда отключения удаленного рабочего стола

  4. (Необязательно) Введите следующую команду, чтобы отключить удаленный рабочий стол через брандмауэр Windows, и нажмите Enter:
    netsh advfirewall firewall set rule group="remote desktop" new enable=No

После выполнения этих шагов служба удаленного рабочего стола будет отключена, а порт брандмауэра Windows будет закрыт.

В этом руководстве мы ориентируемся на командную строку, но вы можете использовать те же команды для управления протоколом удаленного рабочего стола с помощью PowerShell.


Кнопка «Наверх»

title description manager ms.topic ms.assetid ms.author author ms.date

DirectAccess Offline Domain Join

This guide explains the steps to perform an offline domain join with DirectAccess in Windows Server 2016.

brianlic

article

55528736-6c19-40bd-99e8-5668169ef3c7

jgerend

JasonGerend

08/07/2020

DirectAccess Offline Domain Join

Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016

This guide explains the steps to perform an offline domain join with DirectAccess. During an offline domain join, a computer is configured to join a domain without physical or VPN connection.

This guide includes the following sections:

  • Offline domain join overview

  • Requirements for offline domain join

  • Offline domain join process

  • Steps for performing an offline domain join

Offline domain join overview

Introduced in Windows Server 2008 R2, domain controllers include a feature called Offline Domain Join. A command line utility named Djoin.exe lets you join a computer to a domain without physically contacting a domain controller while completing the domain join operation. The general steps for using Djoin.exe are:

  1. Run djoin /provision to create the computer account metadata. The output of this command is a .txt file that includes a base-64 encoded blob.

  2. Run djoin /requestODJ to insert the computer account metadata from the .txt file into the Windows directory of the destination computer.

  3. Reboot the destination computer, and the computer will be joined to the domain.

Offline domain join with DirectAccess policies scenario overview

DirectAccess offline domain join is a process that computers running Windows Server 2016, Windows Server 2012, Windows 10 and Windows 8 can use to join a domain without being physically joined to the corporate network, or connected through VPN. This makes it possible to join computers to a domain from locations where there is no connectivity to a corporate network. Offline domain join for DirectAccess provides DirectAccess policies to clients to allow remote provisioning.

A domain join creates a computer account and establishes a trust relationship between a computer running a Windows operating system and an Active Directory domain.

Prepare for offline domain join

  1. Create the machine account.

  2. Inventory the membership of all security groups to which the machine account belongs.

  3. Gather the required computer certificates, group policies, and group policy objects to be applied to the new client(s).

. The following sections explain operating system requirements and credential requirements for performing a DirectAccess offline domain join using Djoin.exe.

Operating system requirements

You can run Djoin.exe for DirectAccess only on computers that run Windows Server 2016, Windows Server 2012 or Windows 8. The computer on which you run Djoin.exe to provision computer account data into AD DS must be running Windows Server 2016, Windows 10, Windows Server 2012 or Windows 8. The computer that you want to join to the domain must also be running Windows Server 2016, Windows 10, Windows Server 2012 , or Windows 8.

Credential requirements

To perform an offline domain join, you must have the rights that are necessary to join workstations to the domain. Members of the Domain Admins group have these rights by default. If you are not a member of the Domain Admins group, a member of the Domain Admins group must complete one of the following actions to enable you to join workstations to the domain:

  • Use Group Policy to grant the required user rights. This method allows you to create computers in the default Computers container and in any organizational unit (OU) that is created later (if no Deny access control entries (ACEs) are added).

  • Edit the access control list (ACL) of the default Computers container for the domain to delegate the correct permissions to you.

  • Create an OU and edit the ACL on that OU to grant you the Create child — Allow permission. Pass the /machineOU parameter to the djoin /provision command.

The following procedures show how to grant the user rights with Group Policy and how to delegate the correct permissions.

Granting user rights to join workstations to the domain

You can use the Group Policy Management Console (GPMC) to modify the domain policy or create a new policy that has settings that grant the user rights to add workstations to a domain.

Membership in Domain Admins, or equivalent, is the minimum required to grant user rights. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (https://go.microsoft.com/fwlink/?LinkId=83477).

To grant rights to join workstations to a domain
  1. Click Start, click Administrative Tools, and then click Group Policy Management.

  2. Double-click the name of the forest, double-click Domains, double-click the name of the domain in which you want to join a computer, right-click Default Domain Policy, and then click Edit.

  3. In the console tree, double-click Computer Configuration, double-click Policies, double-click Windows Settings, double-click Security Settings, double-click Local Policies, and then double-click User Rights Assignment.

  4. In the details pane, double-click Add workstations to domain.

  5. Select the Define these policy settings check box, and then click Add User or Group.

  6. Type the name of the account that you want to grant the user rights to, and then click OK twice.

Offline domain join process

Run Djoin.exe at an elevated command prompt to provision the computer account metadata. When you run the provisioning command, the computer account metadata is created in a binary file that you specify as part of the command.

For more information about the NetProvisionComputerAccount function that is used to provision the computer account during an offline domain join, see NetProvisionComputerAccount Function (https://go.microsoft.com/fwlink/?LinkId=162426). For more information about the NetRequestOfflineDomainJoin function that runs locally on the destination computer, see NetRequestOfflineDomainJoin Function (https://go.microsoft.com/fwlink/?LinkId=162427).

Steps for performing a DirectAccess offline domain join

The offline domain join process includes the following steps:

  1. Create a new computer account for each of the remote clients and generate a provisioning package using the Djoin.exe command from an already domain joined computer in the corporate network.

  2. Add the client computer to the DirectAccessClients security group

  3. Transfer the provisioning package securely to the remote computers(s) that will be joining the domain.

  4. Apply the provisioning package and join the client to the domain.

  5. Reboot the client to complete the domain join and establish connectivity.

There are two options to consider when creating the provisioning packet for the client. If you used the Getting Started Wizard to install DirectAccess without PKI, then you should use option 1 below. If you used the Advanced Setup Wizard to install DirectAccess with PKI, then you should use option 2 below.

Complete the following steps to perform the offline domain join:

Option1: Create a provisioning package for the client without PKI
  1. At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:filesprovision.txt /reuse
    
Option2: Create a provisioning package for the client with PKI
  1. At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:filesprovision.txt /reuse
    
Add the client computer to the DirectAccessClients security group
  1. On your Domain Controller, from Start screen, type Active and select Active Directory Users and Computers from Apps screen.

  2. Expand the tree under your domain, and select the Users container.

  3. In the details pane, right-click DirectAccessClients, and click Properties.

  4. On the Members tab, click Add.

  5. Click Object Types, select Computers, and then click OK.

  6. Type the client name to add, and then click OK.

  7. Click OK to close the DirectAccessClients Properties dialog, and then close Active Directory Users and Computers.

Copy and then apply the provisioning package to the client computer
  1. Copy the provisioning package from c:filesprovision.txt on the Remote Access Server, where it was saved, to c:provisionprovision.txt on the client computer.

  2. On the client computer, open an elevated command prompt, and then type the following command to request the domain join:

    Djoin /requestodj /loadfile C:provisionprovision.txt /windowspath %windir% /localos
    
  3. Reboot the client computer. The computer will be joined to the domain. Following the reboot, the client will be joined to the domain and have connectivity to the corporate network with DirectAccess.

See Also

NetProvisionComputerAccount Function
NetRequestOfflineDomainJoin Function

title description manager ms.topic ms.assetid ms.author author ms.date

DirectAccess Offline Domain Join

This guide explains the steps to perform an offline domain join with DirectAccess in Windows Server 2016.

brianlic

article

55528736-6c19-40bd-99e8-5668169ef3c7

jgerend

JasonGerend

08/07/2020

DirectAccess Offline Domain Join

Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016

This guide explains the steps to perform an offline domain join with DirectAccess. During an offline domain join, a computer is configured to join a domain without physical or VPN connection.

This guide includes the following sections:

  • Offline domain join overview

  • Requirements for offline domain join

  • Offline domain join process

  • Steps for performing an offline domain join

Offline domain join overview

Introduced in Windows Server 2008 R2, domain controllers include a feature called Offline Domain Join. A command line utility named Djoin.exe lets you join a computer to a domain without physically contacting a domain controller while completing the domain join operation. The general steps for using Djoin.exe are:

  1. Run djoin /provision to create the computer account metadata. The output of this command is a .txt file that includes a base-64 encoded blob.

  2. Run djoin /requestODJ to insert the computer account metadata from the .txt file into the Windows directory of the destination computer.

  3. Reboot the destination computer, and the computer will be joined to the domain.

Offline domain join with DirectAccess policies scenario overview

DirectAccess offline domain join is a process that computers running Windows Server 2016, Windows Server 2012, Windows 10 and Windows 8 can use to join a domain without being physically joined to the corporate network, or connected through VPN. This makes it possible to join computers to a domain from locations where there is no connectivity to a corporate network. Offline domain join for DirectAccess provides DirectAccess policies to clients to allow remote provisioning.

A domain join creates a computer account and establishes a trust relationship between a computer running a Windows operating system and an Active Directory domain.

Prepare for offline domain join

  1. Create the machine account.

  2. Inventory the membership of all security groups to which the machine account belongs.

  3. Gather the required computer certificates, group policies, and group policy objects to be applied to the new client(s).

. The following sections explain operating system requirements and credential requirements for performing a DirectAccess offline domain join using Djoin.exe.

Operating system requirements

You can run Djoin.exe for DirectAccess only on computers that run Windows Server 2016, Windows Server 2012 or Windows 8. The computer on which you run Djoin.exe to provision computer account data into AD DS must be running Windows Server 2016, Windows 10, Windows Server 2012 or Windows 8. The computer that you want to join to the domain must also be running Windows Server 2016, Windows 10, Windows Server 2012 , or Windows 8.

Credential requirements

To perform an offline domain join, you must have the rights that are necessary to join workstations to the domain. Members of the Domain Admins group have these rights by default. If you are not a member of the Domain Admins group, a member of the Domain Admins group must complete one of the following actions to enable you to join workstations to the domain:

  • Use Group Policy to grant the required user rights. This method allows you to create computers in the default Computers container and in any organizational unit (OU) that is created later (if no Deny access control entries (ACEs) are added).

  • Edit the access control list (ACL) of the default Computers container for the domain to delegate the correct permissions to you.

  • Create an OU and edit the ACL on that OU to grant you the Create child — Allow permission. Pass the /machineOU parameter to the djoin /provision command.

The following procedures show how to grant the user rights with Group Policy and how to delegate the correct permissions.

Granting user rights to join workstations to the domain

You can use the Group Policy Management Console (GPMC) to modify the domain policy or create a new policy that has settings that grant the user rights to add workstations to a domain.

Membership in Domain Admins, or equivalent, is the minimum required to grant user rights. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (https://go.microsoft.com/fwlink/?LinkId=83477).

To grant rights to join workstations to a domain
  1. Click Start, click Administrative Tools, and then click Group Policy Management.

  2. Double-click the name of the forest, double-click Domains, double-click the name of the domain in which you want to join a computer, right-click Default Domain Policy, and then click Edit.

  3. In the console tree, double-click Computer Configuration, double-click Policies, double-click Windows Settings, double-click Security Settings, double-click Local Policies, and then double-click User Rights Assignment.

  4. In the details pane, double-click Add workstations to domain.

  5. Select the Define these policy settings check box, and then click Add User or Group.

  6. Type the name of the account that you want to grant the user rights to, and then click OK twice.

Offline domain join process

Run Djoin.exe at an elevated command prompt to provision the computer account metadata. When you run the provisioning command, the computer account metadata is created in a binary file that you specify as part of the command.

For more information about the NetProvisionComputerAccount function that is used to provision the computer account during an offline domain join, see NetProvisionComputerAccount Function (https://go.microsoft.com/fwlink/?LinkId=162426). For more information about the NetRequestOfflineDomainJoin function that runs locally on the destination computer, see NetRequestOfflineDomainJoin Function (https://go.microsoft.com/fwlink/?LinkId=162427).

Steps for performing a DirectAccess offline domain join

The offline domain join process includes the following steps:

  1. Create a new computer account for each of the remote clients and generate a provisioning package using the Djoin.exe command from an already domain joined computer in the corporate network.

  2. Add the client computer to the DirectAccessClients security group

  3. Transfer the provisioning package securely to the remote computers(s) that will be joining the domain.

  4. Apply the provisioning package and join the client to the domain.

  5. Reboot the client to complete the domain join and establish connectivity.

There are two options to consider when creating the provisioning packet for the client. If you used the Getting Started Wizard to install DirectAccess without PKI, then you should use option 1 below. If you used the Advanced Setup Wizard to install DirectAccess with PKI, then you should use option 2 below.

Complete the following steps to perform the offline domain join:

Option1: Create a provisioning package for the client without PKI
  1. At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:filesprovision.txt /reuse
    
Option2: Create a provisioning package for the client with PKI
  1. At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:filesprovision.txt /reuse
    
Add the client computer to the DirectAccessClients security group
  1. On your Domain Controller, from Start screen, type Active and select Active Directory Users and Computers from Apps screen.

  2. Expand the tree under your domain, and select the Users container.

  3. In the details pane, right-click DirectAccessClients, and click Properties.

  4. On the Members tab, click Add.

  5. Click Object Types, select Computers, and then click OK.

  6. Type the client name to add, and then click OK.

  7. Click OK to close the DirectAccessClients Properties dialog, and then close Active Directory Users and Computers.

Copy and then apply the provisioning package to the client computer
  1. Copy the provisioning package from c:filesprovision.txt on the Remote Access Server, where it was saved, to c:provisionprovision.txt on the client computer.

  2. On the client computer, open an elevated command prompt, and then type the following command to request the domain join:

    Djoin /requestodj /loadfile C:provisionprovision.txt /windowspath %windir% /localos
    
  3. Reboot the client computer. The computer will be joined to the domain. Following the reboot, the client will be joined to the domain and have connectivity to the corporate network with DirectAccess.

See Also

NetProvisionComputerAccount Function
NetRequestOfflineDomainJoin Function

Like this post? Please share to your friends:
  • Dipladoks как избавиться на windows 10
  • Dipladoks org как удалить windows 10 навсегда
  • Dipawaymode сбой при удаленном вызове процедуры windows 10
  • Dinozaptor org как удалить windows 10
  • Dinotify exe windows 7 что это