DirectAccess 2012 R2

DirectAccess описание Network Location Server

Описание.

Сервер местоположения в сети (NLS) является одним из важных компонентов при развертывании DirectAccess в компании. NSL сервер используется клиентами DirectAccess для определения своего местоположения, внутри компании они или нет. Если клиент DirectAccess может подключиться к NLS серверу, он считает что находится внутри корпоративной сети. Если же NSL сервер не доступен клиент считает что находится за пределами сети компании. Именно поэтому сервер местоположения (NLS) не должен быть доступен из публичной сети интернет. Клиент DirectAccess будет искать сервер NSL при первом подключении и при последующих изменениях на сетевом интерфейсе.

Что такое NLS?

Сам по себе NLS сервер не что иное, как обычный веб-сервер, использующий в своей работе протокол HTTPS. Начиная с Windows Server 2012, NLS сервер может быть расположен на самом сервере DirectAccess, но в некоторых сценариях это может вызывать некоторые проблемы, поэтому чаще всего рекомендуется использовать отдельный веб-сервер для этой роли.

Конфигурация NLS.

В качестве сервера NLS может выступать любой веб-сервер (IIS, Nginx, Apache, Lighttpd…). Веб сервер должен использовать действительный SSL сертификат включающий в себя имя субъекта, которое соответствует DNS имени NLS сервера (например, если dns имя вашего сервера NLS — nls-da.example.com, то вы должны выдать сертификат на это имя, так же можно использовать Дополнительное имя субъекта и указать в нем ваше DNS имя NLS сервера).

Direct Access nls сервер сертификат Direct Access nls сертификат

Запись DNS для NLS сервера должна иметь тип А, кроме этого NLS сервер должен отвечать на ICMP запросы.

Direct Access установка удаленного доступа

Сертификат для NLS сервера может быть выдан как внутренним центром сертификации (PKI) так и внешним (CA). Настоятельно не рекомендую использовать самоподписанный сертификат, хотя это может быть использовано, если сертификат будет распространен на всех клиентов DirectAccess. Для избежания в дальнейшем сбоев при предоставлении услуги, рекомендуется использовать NLS сервер в режиме высокой доступности, путем развертывания как минимум двух NLS серверов в сбалансированной конфигурации.

Что происходит если NLS сервер не доступен?

Представим ситуация когда NLS сервер не доступен по какой-либо причине. Пользователи находящиеся за периметром корпоративного сегмента сети не будет затронуты, так как они определили что находятся в сети интернет, а вот пользователи находящиеся внутри компании будут терпеть неудачу, при попытке установить связь с локальными ресурсами. Это происходит из-за того, что клиент DirectAccess для определения своего местоположения пытается найти NSL сервер и не найдя его, думает что находится во внешнем сегменте сети, запуская при этом процесс установки связи с использованием DirectAccess. Если DirectAccess сервер не доступен из внутренней сети, любые попытки получить доступ к локальным ресурсам будут безуспешными, пока NLS сервер не станет доступным.

Где же расположить NLS сервер?

Как было описано ранее расположение NLS сервера на самом DirectAccess сервере возможно в некоторых сценариях установки, и это может быть использовано при доказательстве правильности конфигурации, но настоятельно рекомендуется использовать для NLS сервера отдельный веб-сервер с развернутой ролью. Если вы используете для NLS роли DirectAccess сервер и он по какой-то причине будет не доступен, внутренние клиенты не смогут получить доступ к локальным ресурсам, пока DirectAccess сервер не будет доступен.

Не используйте существующие веб-сервера.

Иногда встречаются конфигурации когда NLS сервер, для экономии, разворачивается на существующем, внутреннем сервере веб-приложений. Например SharePoint. Несмотря на это сервис будет работать, но он быстро становится головной болью, когда удаленные клиенты DirectAccess хотят получить к нему доступ. Единственным решением в данном сценарии будет перенос роли NLS на другой сервер.

Выводы.

Сервер местоположения  является жизненно важным компонентом в работе DirectAccess. Клиенты используют NLS для определения своего местоположения и если по какой-либо причине сервис не доступен (крах, плановая остановка) внутренние клиенты будут испытывать значительные  трудности в доступе к ресурсам находясь в локальной сети. Конфигурация NLS сервера не является сложной, ввиду того что это в принципе обычный веб-сервер, единственное за чем необходимо следить, это за его доступностью и действительным SSL сертификатом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *