Рекомендации по развертыванию NLS DirectAccess в крупном предприятии

Описание NLS DirectAccess

Основным требованием при развертывании DirectAccess является наличие отказоустойчивого NLS сервера (сервер сетевого местоположения). Он позволяет клиентам DirectAccess правильно определить свое местоположение. При доступности NLS сервера клиент понимает что он находится внутри корпоративной сети, а при не доступности за ее пределами. Если клиент не может связаться с NLS сервером он будет пытаться установить соединение с DirectAccess сервером и при его недоступности из локальной сети соединение будет терпеть неудачу, что в свою очередь приведет к недоступности локальных сервисов. В случае нахождения клиента в данный момент за пределами локальной сети, недоступность NLS сервера ни как не скажется на работе клиента, так как не найдя NSL сервер клиент успешно подключится к DirectAccess серверу.

Рекомендации по развертыванию NLS DirectAccess

Рекомендуется, чтобы сервер NLS был сконфигурирован в режиме высокой доступности, путем развертывания как минимум двух серверов в режиме балансировки нагрузки. Это необходимо для предотвращения возможных сбоев в предоставлении сервисов и услуг клиентам DirectAccess в корпоративной сети. Казалось бы такой подход является достаточным для сетей, которые расположены в одном физическом месте, но может создать дополнительные проблемы в крупных организациях, где имеется достаточное количество филиалов с территориально распределенной сетью.

Особенность NLS

В конфигурации DirectAccess возможно указать только один URL NLS сервера, это видно на рисунке ниже.

nls directaccess

Если возникнет ситуация при которой произойдет отключение WAN сети между центральным офисом, где расположен NLS сервер, и филиальной частью, клиенты находящиеся в локальной сети филиала не смогут получить доступ к NLS серверу и будут считать что находятся за периметром корпоративной сети, что привет к попытке подключится к серверу DirectAccess.  Наличие собственного NLS сервера в каждой филиальной сети позволит избежать проблем при недоступности WAN сети.

Резервирование NLS

Существует несколько стратегий, которые могут быть использованы для настройки внутренних клиентов DirectAccess на использование локальных NLS, в их число входят round robin DNS или групповые политики Active Directory. Отличие этих методов в том, что round robin DNS требует только один URL NLS, а использование групповой политики Active Directory требует уникальный URL NLS в каждом филиале.

Метод round robin DNS

Простейший способ заставить клиента DirectAccess использовать локальный сервер определения местоположения это использование round robin DNS совместно с приоритизацией подсети. Для включения этого метода необходимо создать в DNS запись типа «А», в которую добавить IP адреса каждого NLS сервера, расположенного в филиальной части корпоративной сети. Откройте диспетчер DNS сервера, щелкните правой кнопкой мыши по серверу DNS и выберете его свойства. Откройте вкладку дополнительно, включите параметры циклическое обслуживание и расстановку по адресу (round robin and netmask ordering).

DirectAccess

Это будет гарантировать, что запросы для разрешения DNS имен NLS серверов будут возвращены с ближайшим сервером.

Метод с использованием групповой политики

Данный метод включает в себя создание уникальных имен URL NLS адресов для каждого сайта и перенастройку конфигурации клиента DirectAccess исходя из его местоположения средствами групповых политик Active Directory. Необходимо создать отдельные объекты групповой политики и связать их с сайтами где будет находиться NLS сервера. Откройте редактор групповых политик  и создайте новую GPO. Перейдите в раздел Конфигурация компьютера/Шаблоны администрирования/Сеть/Индикатор состояния сетевого подключения параметр URL-адрес определения расположения домена. Включите его и укажите URL-адрес, который будет соответствовать этому месту. Например в офисе А это будет nls-a.example.com, а в офисе B это будет nls-d.example.com. Соответственно у вас будет две групповых политики.

DirectAccess

В консоли управления удаленным доступом необходимо отредактировать настройки серверной инфраструктуры (шаг 3) и добавить полные доменные имена каждого NLS сервера. Это создаст запись в таблице разрешения DNS имен, и исключит возможность доступа к серверу NLS когда клиент подключен удаленно.

directaccess

В консоли управления групповыми политиками щелкните правой кнопкой мыши сайты и выберете показать сайты.

DirectAccess

Выберете сайты где у вас будет располагаться NLS сервера и назначьте этим сайтам соответствующие групповые политики.

Важно!

Не устанавливайте NLS сервер на контроллер домена! В соответствии с архитектурой, NLS не должен быть доступен удаленным клиентам DirectAccess. Это может привести к потенциальным проблемам аутентификации клиентов DirectAccess.

Проверка клиента DirectAccess

Для проверки, что клиентский компьютер был настроен на использование нужного NLS необходимо ввести команду на клиентском компьютере:

nltest /dsgetsite

Далее необходимо подтвердить настройку NLS, выполнив следующую команду:

Get-NCSIPolicyConfiguration

Кратко о главном

Существуют ограничения в использовании URL-адресов NLS серверов. Они заключаются в том, что нельзя в настройках клиента DirectAccess указать больше чем одно имя. Это может привести к потенциальным точкам отказа при разработки архитектуры DirectAccess. Описанные в статье метода позволяют избавиться от потенциальных точек отказа и гарантировать что клиенты DirectAccess всегда смогут подключиться к локальному NLS серверу, что значительно повышает надежность технологии.

Рекомендации по развертыванию NLS DirectAccess в крупном предприятии: 8 комментариев

  1. Алексей

    Здравствуйте.
    А что Вы скажите о конфигурации, когда все клиенты в региональных филиалах подключаются к центральному офису по DA? Например есть два филиала, в которых по +-30 компьютеров.
    Имеет ли право на жизнь такая конфигурация? И есть ли какие-то рекомендации по её настройке?

    1. Алексей Орлов Автор записи

      Добрый день, Алексей! Спасибо за интерес к блогу ))). Вы описали вполне рабочую схему. Что вас в ней смущает? По факту для вас каждый пользователь будет иметь статус внешнего.

  2. Алексей

    Спасибо за ответ!
    Смущает нагрузка. Нормально ли такое количество клиентов для сервера DA? Или лучше объединять филиалы по классическому VPN через «железное» оборудование (mikrotik, cisco).
    И еще, как я понимаю, что возможность управления клиентами через средства удаленного администрирования, DameWare, Radmin и т.д., как при классическом vpn, будет недоступна?

    1. Алексей Орлов Автор записи

      Прямых данных указывающих с какой нагрузкой может работать DirectAccess сервер нет, но есть данные полученные в ходе испытаний Планирование мощности DirectAccess. Таким образом даже при минимальной конфигурации Direct Access север способен обработать до 750 единовременных подключений. Нужно понимать что технология DirectAccess создавалась в первую очередь для подключения удаленных мобильных пользователей и может частично решать проблемы подключения удаленных офисов, как при VPN. Однако стоит понимать что вам не получится подключить из удаленного офиса принтер, сетевой диск, так как для вашей сети это будут чужие устройства. Касаемо управления клиентами. Microsoft в последней документации выпилила реализацию подключения к клиенту средствами ISATAP. Почему не знаю. Убрали упоминание о ISATAP даже при одиночном развертывании DirectAccess, написав что нужен чистый IPv6. Это не правда. ISATAP прекрасно работает в сетях где не используется IPv6 протокол. Вы полностью можете получить доступ к удаленному клиенту через ISATAP используя для подключения DNS имя клиента. Скажу больше, вы сможете подключиться к ПК даже еще до момента ввода пользователем логина в Active Directory.

      1. Алексей

        Не планируете написать статью про то, что нужно настроить, чтобы подключиться к клиенту с помощью ISATAP используя его DNS имя? ;)) А то что-то у меня не выходит, хотя конфигурация простая: один DA-сервер за NAT, т.е. с одним сетевым адаптером.

        P.s. спасибо за полезный блог, и за развернутые ответы!

          1. Алексей

            Спасибо. Буду ждать с нетерпением! 🙂

          2. Алексей

            Алексей, здравствуйте.
            Статьёй еще не занимались?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *