Ошибка при определении того включен ли directaccess на этом сервере

Обычно люди ссылаются на «Direct Access Error 0X0» как на ошибку времени выполнения (ошибку). Программисты, такие как Microsoft Corporation, стремятся создавать программное обеспечение, свободное от этих сбоев, пока оно не будет публично выпущено. К сожалению, некоторые критические проблемы, такие как ошибка 0x0, часто могут быть упущены из виду.

В выпуске последней версии DirectAccess может возникнуть ошибка, которая гласит: «Direct Access Error 0X0». В случае обнаруженной ошибки 0x0 клиенты могут сообщить о наличии проблемы Microsoft Corporation по электронной почте или сообщать об ошибках. Затем программисты могут исправить эти ошибки в коде и включить исправление, которое можно загрузить с их веб-сайта. Чтобы исправить такие ошибки 0x0 ошибки, устанавливаемое обновление программного обеспечения будет выпущено от поставщика программного обеспечения.

Проверка параметров групповой политики

DirectAccess клиенты получают свои клиентские параметры через групповую политику. Если групповая политика не применена к DirectAccess клиенту, он не сможет работать в качестве DirectAccess клиента. Есть множество способов проверки параметров групповой политики на DirectAccess клиенте, но моим любимым является проверка брандмауэра Windows на наличие правил безопасности подключений (Connection Security Rules), которые DirectAccess клиенты используют для подключения к UAG DirectAccess серверу. Эти правила назначаются групповой политикой, поэтому если они есть, то групповая политика применена.

Можно ввести wf.msc в строку поиска на машине Windows 7, чтобы открыть консоль брандмауэра Windows Firewall with Advanced Security. В левой панели консоли нажмите на разделе Правила безопасности подключения (Connection Security Rules).

Если вы видите три правила, показанных на рисунке 1: UAG DirectAccess Client ‘ Clients Access Enabling Tunnel ‘ All, UAG DirectAccess Clients ‘ Clients Corp Tunnel и UAG DirectAccess Clients ‘ Example NLA, то можете быть уверены, что групповая политика применена.

Специфические требования DirectAccess

Хотя DirectAccess позиционируется как альтернатива VPN, технология DirectAccess име­ет в себе все элементы VPN. Она устанавливает защищенный частный туннель через публичные сети, используя для этого IPSec и сертификаты, и полученная в результате функциональность не слишком отличается от L2TP. Существующие отличия имеют ско­рее административный характер, нежели технический.

Протокол DirectAccess использует IPv6, IPSec и сертификаты для установки безопасных соединений клиентов DirectAccess с ресурсами интрасети через сервер DirectAccess. Чтобы проходить через публичные сети IPv4, в DirectAccess используются переходные техноло­гии IPv6, такие как ISATAP, Teredo и 6to4.

DirectAccess предъявляет некоторые специфические требования:

• Сервер, функционирующий под управлением Windows Server 2008 R2, должен иметь две сетевые карты: одну, подключенную к интрасети, и другую — к Интернету.
• Сетевая карта, подключенная к Интернету, должна иметь два последовательных пуб­личных адреса IPv4.
• Ресурсы и приложения интрасети должны поддерживать IPv6.
• Клиенты DirectAccess должны работать под управлением Windows 7; более старые клиенты не поддерживаются.
• Контроллер домена и сервер DNS, к которым подключены системы, должны функ­ционировать под управлением Windows Server 2008 с пакетом обновлений SP2 или Windows Server 2008 R2.
• Должна существовать инфраструктура PKI для выпуска сертификатов с публично доступным в Интернете списком отмененных сертификатов (certificate revocation list-CRL).

Эти довольно строгие требования могут помешать многим организациям в развертыва­нии DirectAccess. Однако для организаций с современной инфраструктурой, серверами и клиентами DirectAccess может оказаться блестящим решением.

Решаем проблему: параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети

Многие пользователи не раз сталкивались с ошибкой, когда при подключении к Wi-Fi сети появляется уведомление следующего содержания: «параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети». При этом напротив сети отображается красный крестик, а кнопка «Подключение» не работает.

Причина ошибки параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети

При первом подключении к Wi-Fi на компьютере сохраняются определённые параметры. Это и пароль, тип безопасности, шифр. Все они запоминаются системой и при повторном подключении устройства проверяются в автоматическом порядке. Если все данные совпадают, ПК получает доступ к интернету. Однако, если настройки роутера были изменены, или сам маршрутизатор был заменён на новый, пользователь увидит сообщение, что параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети. Поэтому необходимо удалить старую сеть и войти заново. Как же это сделать?

Если параметры не совпадают, стоит удалить сеть и позволить ПК получить новую и корректную информацию.

Для этого кликаем правой кнопкой мыши на значке сети и выбираем «Центр управления сетями и общим доступом».

В правом меню переходим в «Управление беспроводными сетями».

Далее выбираем из списка ту сеть, с которой возникла данная проблема. Кликаем на ней правой кнопкой мыши и выбираем «Удалить» сеть.

Перезагружаем ПК. Открываем меню сетей и вновь подключаемся к нужной, ввёл правильный пароль.

Для того, чтобы решить данную проблему в Windows 10, стоит нажать на значок сети, что расположен в левом нижнем экране монитора и выбрать «Сетевые параметры».

Откроется раздел параметра «Сеть и интернет» — «Wi-Fi». Нажимаем на ссылке «Управление параметрами сети Wi-Fi».

В следующем окне нужно перетащить ползунок в положение «Откл» в пункте «Предоставлять доступ без раскрытия предоставленного пароля …».

Закрываем все окна и перезагружаем ПК. Повторно вводим логин и пароль к новой сети. Теперь сеть Wi-Fi будет доступна для вашего ПК.

Как забыть Wi-Fi сеть в Windows 10

В сетевых параметрах, в разделе Wi-Fi, нажмите пункт «Управление параметрами сети Wi-Fi».

В следующем окне внизу вы найдете список сохраненных беспроводных сетей. Кликните по той из них, при подключении к которой появляется ошибка и нажмите кнопку «Забыть», для того, чтобы сохраненные параметры были удалены.

Готово. Теперь вы можете заново подключиться к сети и указать тот пароль, который она имеет на текущий момент времени.

Лучшие антивирусы для Windows 10 Лучшие программы для восстановления данных Лучшие бесплатные программы на каждый день Запуск Android игр и программ в Windows Гибкая настройка Windows 10 в Winaero Tweaker Android и iPhone как пульт для ТВ

Исправление ошибки в Windows 7, 8 и Windows 8.1

Для того, чтобы исправить ошибку «параметры сети не соответствуют требованиям сети» нужно сделать так, чтобы Windows «забыл» те настройки, которые сохранил и ввести новую. Для этого нужно удалить сохраненную беспроводную сеть в Центре управления сетями и общим доступом в Windows 7 и несколько иначе в Windows 8 и 8.1.

Для того, чтобы удалить сохраненные параметры в Windows 7:

1. Зайдите в центр управления сетями и общим доступом (через панель управления или посредством клика правой кнопкой мыши по значку сети в панели уведомлений).
2. В меню справа выберите пункт «Управление беспроводными сетями», откроется список Wi-Fi сетей.
3. Выберите Вашу сеть, удалите ее.
4. Закройте центр управления сетями и общим доступом, снова найдите Вашу беспроводную сеть и подключитесь к ней — все пройдет успешно.

В Windows 8 и Windows 8.1:

1. Кликните мышью по значку беспроводного соединения в трее.
2. Кликните правой кнопкой мыши по имени Вашей беспроводной сети, выберите в контекстном меню «Забыть эту сеть».
3. Снова найдите и подключитесь к этой сети, в этот раз все будет в порядке — единственное, если Вы устанавливали пароль на эту сеть, то его нужно будет ввести.

Если проблема возникает в Windows XP:

1. Откройте папку «Сетевые подключения» в Панели управления, кликните правой кнопкой мыши по значку «Беспроводное соединение»
2. Выберите пункт «Доступные беспроводные сети»
3. Удалите сеть, при подключении к которой возникает проблема.

Вот и все решение проблемы. Надеюсь, Вы разобрались в чем дело и в дальнейшем подобная ситуация не будет представлять для Вас никаких сложностей.

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

• Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
• Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
• Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
• Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
• Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

• Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
• В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
• Не обязательно стало наличие IPv6 во внутренней сети организации
• Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

• Домен Active Directory и права администратора домена
• Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
• Выделенная DMZ подсеть
• Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
• Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
• Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
• В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
• Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Установка роли Remote Access

Запустим консоль Server Manager и с помощью мастера Add Roles and Features установим роль Remote Access.

В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS).

Все остальные зависимости оставляем по умолчанию.

Настройка службы Direct Access в Windows Server 2012 R2

После окончания установки службы Remote Access, откройте оснастку Tools -> Remote Access Management.

Запустится мастер настройки роли удаленного доступа. Укажем, что нам нужно установить только роль DA — Deploy DirectAccess only.

После этого должно открыться окно, в правой половине которого в графическом виде показаны четыре этапа (Step 1 – 4) настройки службы DA.

Первый этап (Step 1: Remote Clients).

Укажем, что мы разворачиваем полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления Deploy full DirectAccess for client access and remote management.

Далее, нажав кнопкуAdd нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через Direct Access (в нашем примере это группа DirectAccessComputers).

Примечание. Опция Enable DirectAccess for mobile only – позволяет ограничить подключение через DA только для мобильных устройств (ноутбуки, планшеты). Реализуется функция за счет опроса клиентов по WMI. Опция Use force tunneling – означает, что удаленные клиенты при доступе к любым удаленным ресурсам (в том числе обычным веб-сайтам) всегда использовать сервера DA (т.е. весь внешний трафик клиента проходит через корпоративный шлюз).

Следующий шаг – нужно указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте). В случае необходимости можно включить опцию Allow DirectAccess clients to use local name resolution, позволяющую разрешить клиенту использовать внутренние DNS-сервера компании (адреса DNS серверов могут получаться по DHCP).

Второй этап (Step 2: Remote Access Server)

Следующий шаг — настройка сервера Remote Access. Указываем, что наш сервер удаленного доступа представляет собой конфигурацию с двумя сетевыми картами — Behind an edge device (with two network adapters), одна их которых находится в корпоративной сети, а вторая подключена напрямую в Internet или DMZ-подсеть. Здесь же нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.

Затем нужно указать какая сетевая карта будет считаться внутренней (Internal – LAN), а какая внешней (External – DMZ).

Свернем пока мастер настройки сервера Direct Access и сгенерируем сертификат сервера DA. Для этого создадим новую оснастку mmc, в которую добавим консоль Certificates, управляющую сертификатами локального компьютера (Computer Account)

В консоли управления сертификатами запросим новый персональный сертификат, щелкнув ПКМ по разделу Certificates (Local Computer) -> Personal -> Certificates и выбрав в меню All Tasks-> Request New Certificate

Запросим сертификат через политику Active Directory Enrollment Policy. Нас интересует сертификат на основе шаблона WebServers.

В настройках запроса нового сертификата на вкладке Subject заполним поля, идентифицирующие нашу компанию, а на вкладке Private Key укажем, что закрытый ключ сертификата можно экспортировать (Make private key exportable).

Сохраним изменения и запросим новый сертификат у CA.

Вернемся в окно настроек сервера DirectAccess и, нажав кнопку Browse, выберем сгенерированный сертификат.

На следующем шаге мастера выберем способ аутентификации клиентов Direct Access. Укажем, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметим чекбокс Use computer certificates (Использовать сертификаты компьютеров) и Use an intermediate certificate. Нажав кнопку Browse, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов.

Совет. Напомним, что если в качестве клиентов будут выступать машины с Windows 8 – разворачивать свой центр сертификаиции не нужно. Если же отметить чекбокс Enable Windows 7 client computers to connect via DirectAccess (Разрешить клиентским компьютерам с Windows 7 подключаться с помощью DirectAccess), то PKI придется разверачивать обязательно, без него клиенты на Windows 7 работать не смогут.

Третий этап (Step 3: Infrastructure Servers)

Третий этап – настройка инфраструктурных серверов. Нам будет предложено указать адрес сервера Network Location Server, находящегося внутри корпоративной сети. Network Location Server — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быт любой внутренний веб-сервер (даже с дефолтной страничкой IIS), основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети.

Далее укажем список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended).

Затем укажем DNS-суффиксы внутренних доменов в порядке приоритета их использования.

В окне настройки Management ничего указывать не будем.

Четвертый этап (Step 4: Application Servers)

Этап настройки серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Нам это не требуется, поэтому оставим опцию Do not extend authentication to application servers.

На этом мастер настройки роли Remote Access завершен, нам осталось сохранить изменения.

После окончания работы мастер создаст две новых групповых политик DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена. Их можно оставить там, либо перелинковать на нужный OU.

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Совет. Напомним, что в Windows Server 2012 появился функционал оффлайнового включения компьютера в домен через DirectAccess, без необходимости физически подключать компьютер клиента к корпоративной сети.

Отключаем тесовую машину от корпоративной сети и подключаемся в интернету через Wi-Fi. Система автоматически подключается к корпоративной сети через DirectAccess, о чем свидетельствует статус Connected значка Workplace Connection (именно так мы назвали наше подключение при настройке сервера) в списке сетей.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Get- DAConnectionStatus

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

— Инфраструктура открытых ключей должна быть развернута.
Дополнительные сведения см. в статье руководство по тестированию мини-модуль: базовый PKI для Windows Server 2012.

-Windows брандмауэр должен быть включен для всех профилей.

Следующие серверные операционные системы поддерживают DirectAccess.

— можно развернуть все версии Windows Server 2016 как клиент directaccess или сервер directaccess.
— можно развернуть все версии Windows Server 2012 R2 в качестве клиента directaccess или сервера directaccess.
— можно развернуть все версии Windows Server 2012 как клиент directaccess или сервер directaccess.
— можно развернуть все версии Windows server 2008 R2 в качестве клиента directaccess или сервера directaccess.

Следующие клиентские операционные системы поддерживают DirectAccess.

-Windows 10 ® Enterprise
-Windows 10 ® Enterprise 2015 Long Term Servicing Branch (LTSB)
-Windows ® 8 и 8,1 Enterprise
-Windows ® 7 Ultimate
-Windows ® 7 Enterprise

— Конфигурация принудительного туннелирования не поддерживается при проверке подлинности Кербпрокси.

-изменение политик с помощью компонента, отличного от консоли управления directaccess, или командлетов Windows PowerShell не поддерживается.

Источник

DirectAccess в Windows 7. Часть 3

В предыдущей части, посвященной DirectAccess, я рассмотрел транзитные технологии, обеспечивающие взаимодействие по IPv6 в среде IPv4, IPsec over IPv6 и модели доступа DA-клиентов к корпоративным ресурсам и остановился на таблице разрешения имен NRPT. Напомню, что NRPT используется только в том случае, когда DA-клиент находится в Интернете, или, иными словами, за пределами корпоративной сети. Соответственно, существует алгоритм, позволяющий DA-клиенту определить свое местоположение относительно корпоративной сети. Давайте рассмотрим этот алгоритм.

Суть довольно простая. При настройке DirectAccess в мастере DirectAccess Setup Wizard администратором задается некий URL (network location URL) (см. рис.1).

Этот URL через групповые политики передается всем DA-клиентам и сохраняется в ключе реестра:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsNetworkConnectivityStatusIndicatorCorporateConnectivityDomainLocationDeterminationUrl
Каждый раз, когда сетевое состояние DA-клиента меняется (компьютер перезагружается, в «сетевушку» вставляют кабель, WiFi-адаптер подключается к сети и пр.), клиент пытается соединиться с ресурсом, называемым Network Location Server (NLS), по заданному URL. Если это удается, DA-клиент считает, что он в корпоративной сети, если нет – в Интернете. По умолчанию DA-клиент всегда считает, что он за пределами корпоративной сети.
Более детально процедура выглядит следующим образом:
1. Разрешается полное доменной имя (FQDN), заданное в network location URL.
2. Устанавливается HTTPS соединение по 443 TCP-порту.
3. Проверяется SSL-сертификат сервера NLS.
4. Сертификат проверяется по списку отозванных сертификатов CRL, расположение которого задано в настройках DA-клиента.
После успешного соединения с сервером NLS, DA-клиент пытается обнаружить контроллер домена и выполнить аутентификацию. Если аутентификация прошла успешно, то сетка клиента переключается на доменный профиль. А поскольку все настройки DirectAccess, включая настройки IPsec, применяются только к сетевым профилям Public и Private, то эти настройки деактивируются, деактивируется NRPT, и DA-клиент работает как любые другие обычные доменные компьютеры.
Из этого алгоритма можно сделать несколько важных выводов.
1. Network location URL должен разрешаться только внутренними серверами DNS и не должен разрешаться каким-либо внешним DNS-сервером.
2. Поскольку связь с сервером NLS является критичным для определения местоположения DA-клиента, необходимо обеспечить адекватный уровень доступности и отказоустойчивости этого ресурса.
3. Также необходимо озаботиться уровнем доступности CLR.
Что произойдет, если будучи в доменной сети DA-клиент не сможет достучаться до NLS? Очевидно, DA-клиент посчитает, что находится в Интернете, и попытается установить туннель до внешнего интерфейса DA-сервера. И если ему это удастся, то будет работать с внутренними ресурсами так, как если бы находился за пределами корпоративное сети, то есть через DA-сервер. Естественно, что, во-первых, это порождает лишний трафик и снижает скорость сетевого взаимодействия, во-вторых, клиент получит доступ только к тем внутренним ресурсам, которые разрешены политикой DirectAccess. Если же до внешнего интерфейса DA-сервера достучаться не удалось, то короткие имена еще есть шанс разрешить с помощью других, кроме DNS, механизмов, например, Link-Local Multicast Name Resolution или NetBIOS.

Требования к инфраструктуре для развертывания DirectAccess

Теперь, когда основные механизмы DirectAccess рассмотрены, можно обсудить требования к инфраструктуре для развертывания технологии.
DA-клиент:
1. Windows 7 Ultimate или Enterprise или Windows Server 2008 R2
2. Член домена Active Directory
DA-сервер:
1. Windows Server 2008 R2
2. Член домена Active Directory
3. Минимум два сетевых адаптера, подключенных один в Интернет, один в интранет
4. Два последовательных публичных IPv4-адреса для корректной работы транзитных технологий. Конкретно, технология Teredo требует два айпишника. По RFC они не должны быть последовательными, но в текущей реализации DirectAccess требование именно такое.
Сеть:
1. Active Directory. Как минимум один контроллер домена под Windows Server 2008 (не обязательно R2)
2. Развернутая инфраструктура открытого ключа (Public Key Infrastructure, PKI) для выпуска компьютерных сертификатов. Последние необходимы для аутентификации при установке туннеля
3. Поддержка IPv6 и транзитных технологий на устройствах, к которым будет предоставлен доступ DA-клиентам. Напомню, в ОС Microsoft такая поддержка появилась, начиная с Windows XP

Я записал небольшой видеоролик, где показал основные шаги по настройке DirectAccess и заодно еще раз пояснил некоторые технологические моменты. При этом я оставил за кадром все, что не связано непосредственно с DirectAccess, например, развертывание PKI. http://rutube.ru/tracks/4003781.html?v=74df3a1b0175960cc7f97f9284064ab0
За более подробной информацией, которой теперь уже предостаточно, можно обратиться на соответствующий раздел портала TechNet.

В заключение я хотел бы еще раз обозначить основные особенности DirectAccess. Можно, наверное, долго спорить о терминологии: является ли DirectAccess неким вариантом-расширением VPN или нет. Я сталкивался с разными точками зрения на этот вопрос. Например, DirectAccess – VPN на стероидах. Или, VPN – это временный доступ пользователя в корпоративную сеть снаружи, а DirectAccess – постоянное предоставление внутренних ресурсов наружу удаленным пользователям. Но, мне кажется, в конечном счете, это не так важно. Важно при организации удаленного доступа пользователей к внутренним ресурсам помнить про DirectAccess следующее:
1. DA обеспечивает прозрачное подключение удаленных пользователей к корпоративной сети. От самого пользователя при этом дополнительно не требуется ничего.
2. DA-соединение устанавливается и восстанавливается автоматически, как только появляется связь с Интернет (с DA-сервером).
3. При установке соединения DA аутентифицируется и компьютер, и пользователь. Подключение по DA возможно только с определенных машин, указанных администратором.
4. По умолчанию DA реализует разделение трафика: трафик к локальным ресурсам идет по туннелю через DA-сервер в корпоративную сеть, трафик к внешним ресурсам – через текущего ISP-провайдера в Интернет.
5. Поскольку при использовании DA клиенты всегда подключены к корпоративной сети (пока есть связь), DA-клиенты всегда находятся под управлением ИТ-служб.
6. Это не «очередные костыли Microsoft к VPN» :). DA основан на IPv6, который как раз лишен многих проблем и ограничений традиционных VPN по IPv4.
Пожалуй, пока все.

Источник

DirectAccess неподдерживаемые конфигурации

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Ознакомьтесь со списком неподдерживаемых конфигураций DirectAccess перед началом развертывания, чтобы избежать повторного запуска развертывания.

Распределение службы репликации файлов (FRS) групповая политика объектов (репликация SYSVOL)

Не развертывайте DirectAccess в средах, где на контроллерах домена выполняется служба репликации файлов (FRS) для распространения объектов групповая политика (репликация SYSVOL). Развертывание DirectAccess не поддерживается при использовании FRS.

при наличии контроллеров домена, работающих под Windows server 2003 или Windows server 2003 R2, используется служба FRS. кроме того, вы можете использовать службу FRS, если ранее использовался контроллер домена Windows 2000 server или Windows server 2003, и вы не перенесли репликацию SYSVOL из FRS в распределенная файловая системаную репликацию (DFS-R).

Если вы развертываете DirectAccess с репликацией FRS SYSVOL, вы рискуете удалить объекты DirectAccess групповая политика, которые содержат сведения о конфигурации сервера DirectAccess и клиента. Если эти объекты будут удалены, развертывание DirectAccess пострадает от сбоя, а клиентские компьютеры, использующие DirectAccess, не смогут подключаться к сети.

если планируется развертывание directaccess, необходимо использовать контроллеры домена, работающие под управлением операционных систем, более поздней, чем Windows Server 2003 R2. кроме того, необходимо использовать DFS-R.

Защита доступа к сети для клиентов DirectAccess

Защита доступа к сети (NAP) позволяет определить, соответствуют ли удаленные клиентские компьютеры политикам ИТ, прежде чем им будет предоставлен доступ к корпоративной сети. защита доступа к сети устарела в Windows Server 2012 R2 и не включена в Windows Server 2016. Поэтому не рекомендуется запускать новое развертывание DirectAccess с NAP. Рекомендуется использовать другой метод управления конечными точками для обеспечения безопасности клиентов DirectAccess.

поддержка многосайтового поддержки для клиентов Windows 7

Управление доступом на основе пользователей

Политики DirectAccess основаны на компьютерах, а не на основе пользователей. Указание политик пользователей DirectAccess для управления доступом к корпоративной сети не поддерживается.

Настройка политики DirectAccess

directaccess можно настроить с помощью мастера установки directaccess, консоли управления удаленным доступом или командлетов Windows PowerShell удаленного доступа. Использование любых средств, кроме мастера установки DirectAccess, для настройки DirectAccess, таких как изменение объектов DirectAccess групповая политика напрямую или изменение параметров политики по умолчанию на сервере или клиенте вручную, не поддерживается. Эти изменения могут привести к непригодности к использованию конфигурации.

Проверка подлинности Кербпрокси

При настройке сервера DirectAccess с помощью мастера начало работы сервер DirectAccess автоматически настраивается на использование проверки подлинности Кербпрокси для проверки подлинности компьютера и пользователя. поэтому следует использовать только мастер начало работы для развертываний с одним сайтом, где ® развертываются только клиенты Windows 10, Windows 8.1 или Windows 8.

Кроме того, не следует использовать следующие функции с проверкой подлинности Кербпрокси:

балансировка нагрузки с помощью внешней подсистемы балансировки нагрузки или Windows Load Balancer

Двухфакторная проверка подлинности, где требуются смарт-карты или одноразовый пароль (OTP)

Если включена проверка подлинности Кербпрокси, следующие планы развертывания не поддерживаются:

поддержка directaccess для клиентов Windows 7.

Принудительное туннелирование. Чтобы убедиться, что проверка подлинности Кербпрокси не включена при использовании принудительного туннелирования, настройте следующие элементы при запуске мастера:

Включить принудительное туннелирование

включение directaccess для клиентов Windows 7

Для предыдущих развертываний следует использовать мастер расширенной настройки, который использует конфигурацию с двумя туннелями с компьютером на основе сертификата и проверкой подлинности пользователей. дополнительные сведения см. в статье развертывание одного сервера directaccess с дополнительными Параметры.

Использование ISATAP

ISATAP — это технология перехода, обеспечивающая подключение IPv6 только в корпоративных сетях с IPv4. Он ограничен организациями малого и среднего размера с одним развертыванием сервера DirectAccess и позволяет удаленно управлять клиентами DirectAccess. Если ISATAP развернут в многосайтовой, балансировке нагрузки или многодоменной среде, его необходимо удалить или переместить в собственное развертывание IPv6 перед настройкой DirectAccess.

Конфигурация конечной точки IPHTTPS и одноразового пароля (OTP)

При использовании IPHTTPS подключение IPHTTPS должно завершиться на сервере DirectAccess, а не на другом устройстве, например в подсистеме балансировки нагрузки. Аналогичным образом, подключение по внешнему каналу SSL (SSL), созданное при проверке подлинности по одноразовому паролю (OTP), должно завершиться на сервере DirectAccess. Все устройства между конечными точками этих подключений должны быть настроены в сквозном режиме.

принудительное Tunnel с проверкой подлинности OTP

Не развертывайте сервер DirectAccess с двухфакторной проверкой подлинности с OTP и принудительным туннелированием, иначе проверка подлинности OTP завершится ошибкой. Между сервером DirectAccess и клиентом DirectAccess требуется подключение по внешнему каналу SSL (SSL). Для этого подключения требуется исключение для отправки трафика за пределами туннеля DirectAccess. в принудительной конфигурации Tunnel весь трафик должен проходить через туннель directaccess, и после установки туннеля исключение не разрешается. из-за этого не поддерживается проверка подлинности OTP в принудительной Tunnel конфигурации.

Развертывание DirectAccess с контроллером домена Read-Only

Серверы DirectAccess должны иметь доступ к контроллеру домена для чтения и записи и работать неправильно с контроллером домена Read-Only (RODC).

Контроллер домена для чтения и записи необходим по многим причинам, включая следующие:

На сервере DirectAccess требуется контроллер домена для чтения и записи, чтобы открыть консоль управления (MMC) для удаленного доступа.

Сервер DirectAccess должен выполнять чтение и запись на клиенте DirectAccess и сервере DirectAccess групповая политика объекты (GPO).

Сервер DirectAccess считывает и выполняет запись в объект групповой политики клиента непосредственно из эмулятора основного контроллера домена (Пдце).

Из-за этих требований не следует развертывать DirectAccess с RODC.

Источник

Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория

Microsoft DirectAccess 2012

Описание ключевых используемых технологий начну с Microsoft DirectAccess, так как она будет основным компонентом создаваемой системы мобильного удаленного доступа к корпоративной среде. Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.

Технология DirectAccess впервые была представлена в качестве компонента Micrisoft Windows Server 2008 R2 и предназначалась для организации прозрачного доступа удаленных компьютеров к внутренним ресурсам сети компании. DirectAccess позволяет удаленным пользователям полноценно использовать ресурсы корпоративной сети и пользоваться сервисами домена.

Также, технология DirectAccess позволяет сотрудникам различных технических подразделений (Help Desk, администраторы ИТ и ИБ), управлять учетными записями удаленных пользователей, компонентами антивирусной защиты, локальными политиками безопасности, осуществлять мониторинг своевременной установки обновлений операционной системы и прикладных программ. Это позволяет поддерживать удаленную систему в актуальном с точки зрения информационной безопасности состоянии.

По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети, но разница есть, и довольно существенна. DirectAccess на базе Windows Server 2012 делает отличия между компьютерами внутренней корпоративной сети и компьютерами удаленных клиентов менее заметными.

Ниже приведу сравнение нового DirectAccess с технологией VPN.

Клиент DirectAccess устанавливает два туннеля, которые являются ключом к разносторонности этого метода дистанционного доступа. Это туннели IPsec ESP — полезная нагрузка со встроенной защитой, которые аутентифицируются и шифруются для обеспечения конфиденциальности.

Туннель компьютера устанавливается первым, когда запускается клиент DirectAccess. Этот туннель аутентифицируется только сертификатом компьютера и обеспечивает доступ к DNS интрасети и контроллерам доменов. Этот туннель также используется для загрузки групповой политики компьютера и запроса аутентификации пользователя.

Туннель пользователя аутентифицируется сертификатом компьютера и регистрационными данными пользователя и обеспечивает доступ к ресурсам интрасети. Этот туннель также применяется для загрузки групповой политики пользователей.

Оба эти туннеля устанавливаются прозрачно для пользователя. Для установки дистанционного доступа пользователю не нужно вводить регистрационную информацию помимо той, что он вводит при входе в Windows.

Существует три модели работы DirectAccess:

Одним из преимуществ DirectAccess является способность отделять трафик интрасети от трафика сети Интернет, что положительно сказывается на пропускной способности корпоративной сети. Однако, в некоторых случаях, администраторы могут направлять весь трафик через соединение DirectAccess. Например, для полного контроля Интернет трафика удаленного пользователя.

Рассмотрим процесс подключения клиента к серверу DirectAccess.

Компьютер становится клиентом DirectAccess после применения к нему групповых политик, передающих ему настройки для подключения через DA. Групповые политики создаются на этапе конфигурирования сервера DirectAccess и распространяются на группы безопасности в Active Directory.

Находясь вне корпоративной сети, клиент использует внешние DNS-серверы (местного интернет провайдера), на которых не указано, как преобразовывать имя NLS сервера. Если NLS сервер обнаружен, клиент работает в сети как обычная рабочая станция, то есть IPsec не применяется.
В случае, когда клиент находится вне корпоративной сети, при попытке установить соединение с сервером NLS по DNS-имени, которое добавлено в исключения NRPT, клиент обращается к DNS-серверам, указанным в настройках сетевого адаптера. Так как при этом используются DNS-сервера Интернет-провайдера, на которых не прописано правило преобразования DNS-имени NLS сервера, клиент получает отказ в разрешении имени. Получив отказ от DNS сервера, клиентский компьютер применяет политики IPsec и обращается к серверу DirectAccess по его DNS-имени, которое должно быть прописано во внешней зоне корпоративного домена.

Клиент DirectAccess устанавливает туннель на сервер DirectAccess, используя IPv6. Если между ними находится сеть IPv4, то клиент использует протокол Teredo или 6to4 для инкапсуляции IPv6 в IPv4, либо попытается подключиться с помощью протокола IP-HTTPS. Установив связь, клиент и сервер DirectAccess выполняют взаимную аутентификацию в процессе установки туннеля компьютера IPsec. Далее клиент DirectAccess подключается к контроллеру домена для получения групповых политик.

Далее пользователь DirectAccess входит в систему либо применяет регистрационные данные уже вошедшего пользователя в сочетании с сертификатами, чтобы установить туннель пользователя IPsec. Групповая политика пользователя применяется к клиенту DirectAccess. Сервер DirectAccess начинает пересылать трафик от клиента DirectAccess на авторизованные ресурсы интрасети.

Windows To Go

В связи с тем, что для DirectAccess необходимо, чтобы компьютер клиента был включен в корпоративный домен, этот вариант не подходит пользователям, использующим личные компьютеры. Но есть технология, Windows To Go применение которой позволит использовать DirectAccess на любом компьютере, отвечающим минимальным требованиям запуска Windows 8 и подключенном к Интернет.

Технология Windows To Go – одна из новых возможностей Windows 8, позволяющая создать должным образом сконфигурированный образ ОС с установленным необходимым ПО, который будет загружаться непосредственно с USB-носителя вне зависимости от того, какая ОС установлена на компьютере.

Различия между Windows To Go и типовой установкой Windows:

Существует список сертифицированных для использования с WTG USB-носителей:

При выборе компьютера для использования в качестве узла рабочего пространства Windows To Go, необходимо учитывать следующие критерии:

Существует три способа развертывания WTG:

Данный файл можно получить несколькими способами:

BitLocker

В случае применения Windows To Go шифрование отчуждаемого носителя, используя технологию BitLocker Drive Encryption, считаю обязательным требованием, так как на диске может быть записана конфиденциальная информация, содержащая данные, которые можно отнести к коммерческой тайне или к персональным данные партнеров, сотрудников или клиентов компании, BitLocker (полное название BitLocker Drive Encryption) – технология защиты данных путём полного шифрования диска, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 При помощи BitLocker можно зашифровать Логический диск, SD карту или USB-носитель. При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Сам ключ может храниться на USB-носителе, в аппаратном модуле TPM или на жестком диске.

Для получения ключа из TPM, может быть настроен дополнительный способ аутентификации пользователя при помощи USB-ключа и/или пароля.

В случае, если доверенный платформенный модуль отсутствует на используемой материнской плате, либо если в качестве загрузки и объекта шифрования будет использоваться USB-носитель с Windows To Go, ключ шифрования необходимо хранить на внешнем USB-носителе либо вместо ключа шифрования можно будет использовать пароль. Для того чтобы настроить доступ к зашифрованному носителю по USB-носителю либо по паролю, необходимо внести изменения в локальные групповые политики.

Заключение

В результате рассмотренной комбинации технологий DirectAccess, Windows To Go и BitLocker мы получаем решение, которые позволит:

В следующей главе я опишу практическую реализацию, описанной выше системы удаленного доступа.

Источник

Adblock
detector

Компьютер не соответствует требованиям directaccess как исправить. Специфические требования DirectAccess

Сегодня мы рассмотрим следующую проблему — при попытке подключиться к wi-fi сети вы получаете сообщение об ошибке «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети» . Часто данная ошибка застает врасплох начинающего пользователя и он не может ее решить. В данной небольшой статье мы научимся устранять эту ошибку.

Почему параметры сети не соответствуют требованиям и я не могу подключиться по wi-fi?

Чаще всего данная ошибка возникает сразу после настройки роутера. Возможно вы подключались к роутеру до настройки, используя незащищенное wi-fi соединение со стандартным именем сети. Роутер вы настроили, поставили пароль на wi-fi — а имя сети не поменяли. Windows сохранил первоначальные настройки сети для дальнейшего автоматического подключения и теперь пытается подключиться к вашей сети со старыми параметрами. Так как вы изменили параметры сети — подключиться вы не можете и получаете ошибку «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети».

Также возможна ситуация, что вследствии различных причин настройки роутера сбросились на заводские (по умолчанию).

Еще более редкий вариант — кто-то поменял пароль от вашей wi-fi сети.

В первом случае (наиболее распостраненном) поступаем как описывается ниже, во-втором настраиваем заново роутер, в -третьем сбрасываем настройки роутера на заводские и настраиваем роутер заново.

Как решить проблему?

Решить проблему достаточно просто. Для этого необходимо сделать так, что бы Windows «забыл» старые настройки вашей сети и указать новые. Для этого необходимо удалить проблемную беспроводную сеть. Сейчас мы рассмотрим как это сделать в Windows 7,8 и XP.

Чтобы удалить сохраненные параметры сети в windows 7:

1. Зайдите в «Центр управления сетями и общим доступом» (либо через Панель управления, либо кликаете правой кнопкой мыши по значку сети в трее (правом нижнем углу) и выбираете «Центр управления сетями и общим доступом»

2.В левом углу выбираете «Управление беспроводными сетями»

3.Выбираете вашу сеть и удаляете ее

4.Закрываете «Центр управления сетями и общим доступом» и снова пробуете подключиться. Скорее всего все пройдет успешно.

Чтобы удалить сохраненные параметры сети в windows 8:

1. Кликаете по значку беспроводного соединения в трее (правом нижнем углу)

2. Находите в списке свою сеть, нажимаете на нее правой кнопкой мыши и выбираете в меню «забыть эту сеть»

3. Снова находите свою сеть в списке и пробуете подключаться, при необходимости вводите пароль.

Чтобы удалить сохраненные параметры сети в windows xp:

1. Откройте «Панель управления», потом «Сетевые подключения». Жмем правой кнопкой мыши по значку «беспроводные сети»

2. Выбираете «доступные беспроводные сети»

3. Удалите сеть, с которой у вас проблемы.

4. Пробуйте заново подключиться к необходимой сети

Надеюсь, моя статья вам помогла. Если есть вопросы — задавайте в комментариях.

На компьютерах и ноутбуках, работающих под управлением операционных систем Windows 10, а так же предыдущих версий — Windows 7, 8 и 8.1 Вы можете столкнуться с тем, что подключиться к WiFi не получится и ОС выдаст ошибку «Параметры сети, сохраненные на этом компьютере не соответствуют требованиям этой сети».

Причиной появления этого обычно служит изменение настроек беспроводной сети на роутере или точке доступа, которая раздаёт Вай-Фай. Если точнее, то либо был изменён пароль на WiFi, либо способ защиты и тип ширования. Именно поэтому Виндовс выдаёт ошибку «Параметры сети не соответствуют требованиям этой сети». Поэтому, надо сначала зайти в веб-интерфейс настройки роутера и открыть раздел, отвечающий за безопасность WiFi:

Смотрим какой стандарт используется для обеспечения безопасности — он указан в строке Сетевая аутентификация (Security Type) . Обычно это или WPA-PSK или более безопасный и современный — WPA2-PSK. Так же обратите внимание на установленный тип шифрования — он указан в строке WPA-шифрование (Encryption type) .

Теперь обратите внимание на то, какой установлен пароль на Вай-Фай в строке Ключ шифрования PSK (Passthrase) .

Теперь надо сверить это с тем — что указано в настройках Windows. Если хоть один из параметров будет иным — подключиться не удастся, так как те данные, которые сохранены в Windows отличаются и не соответствует параметрам сети. Нажимаем комбинацию клавиш Win+R и пишем команду ncpa.cpl. Жмём на кнопку «ОК» и этим открываем список сетевых подключений. Находим там значок «Беспроводная сеть» и кликаем на нём правой кнопкой мыши:

В меню выбираем пункт «Состояние».
Появится окно с информацией о текущем подключении:

В нём надо нажать на кнопку «Свойства беспроводной сети» чтобы открылось ещё одно окно. Смотрим какой тим безопасности и тип шифрования там выставлен и соответствуют ли они тому, что прописано в настройках роутера. Если тут всё верно, значит причиной ошибки «Параметры сети, сохраненные на этом компьютере не соответствуют требованиям этой сети» является пароль. Он указан в поле «Ключ безопасности». Обычно он скрыт звёздочками. Чтобы их убрать — ставим галочку «Отображать вводимые знаки» . После этого Вы увидите пароль на Вай-Фай, который сохранён на этом компьютере. Сверяем его с тем, что указан в марщрутизаторе. Они должны совпадать один в один.

Если указанные выше действия не помогли — попробуйте вообще удалить сохранённую сеть и подключиться к ней заново. Для этого в Windows 10 надо нажать кнопку Пуск и выбрать в меню пункт Параметры. Появится вот такое окно:

Нажимаем на кнопку «Сеть и Интернет». Откроется меню, в котором надо найти раздел WiFi:

В правой части появится список параметров. В нём надо кликнуть мышкой на строчку «Управление параметрами сети Wi-Fi». В следующем окне надо спустится в самый низ, где будет раздел «Управление известными сетями»:

Находим там ту, которую надо удалить и кликаем по ней, чтобы справа появились кнопки. После этого надо нажать на кнопку «Забыть».

Пользователи, которые первый раз решили настроить домашний беспроводной роутер, нередко сталкиваются с проблемой после выполнения конфигурации. Все сделано по инструкции, настроена . Вместо соединения с интернетом, пользователь получает уведомление, что параметры сети не соответствуют требованиям этой сети.
При этом кнопка подключения становиться неактивной

Страшного ничего нет. Решить собственными силами проблему можно за 1-5 минут.

Причины, когда параметры сети не соответствуют требованиям этой сети

Если прочитать внимательно сообщение, то все становится понятным. Оно говорит о том, что ПК раньше уже подключался к этой сети через вайфай, и Windows запомнила параметры, состоящие из типа аутентификации, названия точки и ключа, если он был. Но в настоящий момент компьютер не соответствует требованиям предъявляемым маршрутизатором. Проще говоря, параметры роутера отличаются от записанных в Windows.

Рассмотрим, из-за каких причин может возникнуть уведомление о том, ПК не соответствует требованиям точки доступа:

1. Изменение настроек. Изначально в прошивке точка доступа может быть включена, при этом аутентификация не настроена, т.е. пароль не запрашивается для установки коннекта. При выполнении конфигурации пользователь способ проверки подлинности и ключ или пароль. В результате ОС не удается подключится к этой сети.
2. Сброшенная конфигурация роутера. При скачках напряжения конфигурация маршрутизатора может откатиться к заводским установкам. И в результате параметры безопасности интернета не позволили открыть подключение.

Важно! При взломе маршрутизатора настройки могут быть также изменены. Обязательно ставьте надежный пароль на вход в админку роутера, чтобы избежать непредвиденного появления уведомления о том, что конфигурация, имеющаяся на ПК, не соответствует параметрам точки доступа.

Стоит проверить, что другие устройства без проблем подключаются к беспроводной сетке и получают доступ в интернет. Это исключит наличие сбоев в настройках роутера и аппаратные проблемы.

Как забыть WiFi сеть?

Windows 7

Для того чтобы забыть WiFi сеть на Windows 7 надо перейти в управление беспроводными сетками. Делается это так:

• Кликаем правой кнопкой на значке соединения и вызываем контекстное меню.
• Запускаем центр сетевых настроек.

Слева находим нужную ссылку и нажимаем ее

• Откроется список доступных WiFi соединений, чтобы сбросить настройки сети в Windows 7 ее надо просто удалить. Находим проблемное соединение, выделяем его и выбираем из контекстного меню пункт «Удалить».
• После этого заново подключаемся к сетке и все должно заработать. Если этого не произошло — сбросьте параметры адаптера беспроводной сети.

Windows 10

В новой ОС компания Майкрософт применила иной подход к изменению параметров. Если не удаётся настроить беспроводное подключение, то:

рис.1. Щелкаем на значке WiFi рядом с часами и переходим по ссылке сетевых настроек
рис.2. Открываем из левого меню раздел WiFi и переходим к управлению параметрами сетки.

• В открывшемся внизу списке ищем локалку, с которой имеются проблемы. Выбираем ее и нажимаем кнопку «Забыть».
• Остается только заново найти сетку и выполнить подключение к ней.

Windows 8 или 8.1

В этом семействе ОС избавиться от сохраненных установок можно следующим образом:

1. Открываем список соединений, кликнув на значке подключение.
2. Выбираем SSID точки, с которой не удается соединиться.
3. Вызываем контекстное меню

Выбираем пункт «Забыть эту сеть»

Заново ищем и подключаемся к сетке с новыми установками.

Windows XP

Заходим в раздел «Сетевые соединение» и вызываем контекстное меню для элемента WiFi подключения, переходим к разделу доступных локалок и удаляем проблемное соединение. Затем снова выполняем поиск точки доступа и подключаемся к ней.

В большинстве случаев после пересоздания соединения с точкой доступа работа в сетке продолжится без проблем. Если этого не произошло, стоит попробовать сменить SSID или имя точки доступа. В этом случае Windows будет вынужден получить конфигурацию подключения заново.

Изменение названия точки происходит через административное меню маршрутизатора. В нем необходимо найти раздел «Беспроводное подключение» или WiFi и указать другой SSID.

Если другие действия не помогли, сбросьте роутер до заводской настройки с помощью переключателя Reset и выполнить заново настройку, строго следуя указаниям инструкции и административного меню. Не забудьте сохранить установки после выполнения конфигурации и при необходимости перезагрузить маршрутизатор.

Надеемся теперь, параметры сети соответствуют требованиям этой сети. Задавайте вопросы специалистам.

Специфические требования DirectAccess

Хотя DirectAccess позиционируется как альтернатива VPN, технология DirectAccess име­ет в себе все элементы VPN. Она устанавливает защищенный частный туннель через публичные сети, используя для этого IPSec и сертификаты, и полученная в результате функциональность не слишком отличается от L2TP. Существующие отличия имеют ско­рее административный характер, нежели технический.

Протокол DirectAccess использует IPv6, IPSec и сертификаты для установки безопасных соединений клиентов DirectAccess с ресурсами интрасети через сервер DirectAccess. Чтобы проходить через публичные сети IPv4, в DirectAccess используются переходные техноло­гии IPv6, такие как ISATAP, Teredo и 6to4.

DirectAccess предъявляет некоторые специфические требования:

• Сервер, функционирующий под управлением Windows Server 2008 R2, должен иметь две сетевые карты: одну, подключенную к интрасети, и другую — к Интернету.
• Сетевая карта, подключенная к Интернету, должна иметь два последовательных пуб­личных адреса IPv4.
• Ресурсы и приложения интрасети должны поддерживать IPv6.
• Клиенты DirectAccess должны работать под управлением Windows 7; более старые клиенты не поддерживаются.
• Контроллер домена и сервер DNS, к которым подключены системы, должны функ­ционировать под управлением Windows Server 2008 с пакетом обновлений SP2 или Windows Server 2008 R2.
• Должна существовать инфраструктура PKI для выпуска сертификатов с публично доступным в Интернете списком отмененных сертификатов (certificate revocation list-CRL).

Эти довольно строгие требования могут помешать многим организациям в развертыва­нии DirectAccess. Однако для организаций с современной инфраструктурой, серверами и клиентами DirectAccess может оказаться блестящим решением.

Источник

Компьютер +не соответствует требованиям directaccess

Уже не раз слышал об ошибке, когда при попытке подключится к Wi-Fi, в списке доступных сетей, нужная беспроводная сеть отображается, но напротив нее красный крестик. Если нажать на эту сеть, тот появится сам текст ошибки «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети».

Кнопка «Подключится» конечно же не активная и к Wi-Fi подключится не получается. Такая ошибка появляется на Windows 7. На Windows 8 она выглядит немного иначе (напишу о ней позже). При этом, интернет на других устройствах может хорошо работать.

Если вдуматься в текст самой ошибки «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети», то в принципе, можно догадаться в чем проблема. А проблема в том, что для подключения к Wi-Fi, на компьютере сохраняются соответственные параметры (при первом подключении). Когда компьютер автоматически подключается к этой сети, то идет проверка этих параметров (пароль, тип безопасности, шифрование). Если все хорошо, то устанавливается соединение.

Но, если параметры, которые сохранены на компьютере, не совпадают с темы, которые выставлены на роутере, то появляется вот такая ошибка:

Как правило, эта ошибка появляется после смены в настройках роутера каких либо параметров (в основном, параметров безопасности: тип безопасности, тип шифрования), после того, как ноутбук уже был подключен к сети. Но, не исключено, что эта ошибка появляется из-за какого-то другого системного сбоя. Вам наверное более интересно как же ее убрать, а не из-за чего она возникает.

Что делать, если сохраненные параметры сети не соответствуют требованиям сети?

Все просто, если параметры не соответствуют, значит нужно их удалить, и заставить компьютер получить эти параметры заново.

Для начала, я бы посоветовал вам просто перезагрузить роутер, возможно все заработает само. Не помогло? Сейчас исправим.

Нам нужно удалить беспроводную сеть с компьютера, и подключится к ней заново. Подробно о том, как это сделать, я писал в этой статье.

Если в двух словах, то делается это так: правой кнопкой мыши нажимаем на значок сети, выбираем Центр управления сетями и общим доступом, затем выбираем Управление беспроводными сетями.

Ищем сеть, с которой у нас возникла проблема, нажимаем на нее правой кнопкой мыши и выбираем Удалить сеть. Подтверждаем удаление нажав Да.

Открываем список доступных сетей, и подключаемся к этой сети.

Все будет работать.

Если вдруг у вас что-то не получилось, то можно еще попробовать сменить имя вашей беспроводной сети. Тогда, компьютер ее должен увидеть как новую сеть. Как это сделать, читайте здесь.

Вот собственно и все решения. Если помогло, напишите в комментариях, буду знать, что не зря старался Если не помогло, тоже пишите. Постараюсь помочь.

Источник

В среде Windows Server 2008 R2 установка и настройка DirectAccess сопряжены с немалыми трудностями. Администратор должен осуществить весьма сложный процесс настройки, в том числе обеспечить выполнение требований к инфраструктуре открытых ключей public key infrastructure (PKI), получить сертификаты для серверов, настроить сервер сетевых расположений, позаботиться о том, чтобы целевые системы поддерживали протокол IPv6 и задействовать шлюз Forefront Unified Access Gateway (UAG). Теперь ситуация радикально изменилась. В среде Windows Server 2012 установка и настройка средств DirectAccess не составляют проблемы — если вы пользуетесь клиентами Windows 8

В среде Windows Server 2008 R2 установка и настройка DirectAccess сопряжены с немалыми трудностями. Администратор должен осуществить весьма сложный процесс настройки, в том числе обеспечить выполнение требований к инфраструктуре открытых ключей public key infrastructure (PKI), получить сертификаты для серверов, настроить сервер сетевых расположений, позаботиться о том, чтобы целевые системы поддерживали протокол IPv6 и задействовать шлюз Forefront Unified Access Gateway (UAG). Теперь ситуация радикально изменилась. В среде Windows Server 2012 установка и настройка средств DirectAccess не составляют проблемы — если вы пользуетесь клиентами Windows 8. Перед тем как приступать к описанию радикально усовершенствованного процесса установки, я сделаю шаг назад и расскажу вам о том, что же это такое — DirectAccess — и каким образом данное решение может помочь организации.

Что такое DirectAccess?

Когда я начинал свою трудовую деятельность на посту системного администратора VAX/VMS, мой рабочий день продолжался с 8 утра до 5 пополудни. Все это время я занимался рабочими системами (включая систему обработки электронной почты), и мне никогда не приходилось иметь дело с вычислительными системами за пределами офиса. Сегодня идея работы в офисе с 8 до 5 отмерла, а воображаемая линия, отделяющая работу от личной жизни, стала более размытой. Как ИТ-администраторам, так и конечным пользователям требуется возможность обращаться к системам и данным корпорации в любое время суток, и потому они должны постоянно располагать средствами сетевого соединения.

Традиционно существует два подхода к управлению доступом к корпоративным системам из-за периметра корпоративной сети.

Доступ по веб-протоколам, таким, как HTTP Secure (HTTPS). Такой доступ применяется при обращении к почтовым ящикам Microsoft Exchange с помощью ActiveSync, при обращении к сайтам SharePoint, которые публикуются в среде Web с соблюдением мер защиты, и даже при использовании дистанционного подключения настольных систем с помощью шлюза удаленных рабочих столов Remote Desktop Gateway, который инкапсулирует RDP-трафик в HTTPS.

VPN -туннели в среде Internet, соединяющие ту или иную систему с корпоративной сетью. При использовании этого метода пользователи вручную инициируют соединение с корпоративной сетью.

Применение протокола HTTPS — превосходное решение в тех случаях, когда оно доступно. Его достоинство в большинстве случаев состоит в том, что протокол «просто работает» и выполняется на множестве устройств. Однако HTTPS неприменим при использовании многих типов служб, таких, как бизнес-приложения. Кроме того, в ряде случаев организации не склонны задействовать этот протокол, даже когда он обеспечивает решение проблемы. В таких случаях можно воспользоваться традиционным «VPN-подходом». Но и он имеет свои недостатки.

Во-первых, пользователи должны вручную инициировать соединение, а это порой сопряжено с трудностями.

Во-вторых, пользователи остаются подключенными к инфраструктуре корпоративной сети лишь до тех пор, пока они поддерживают сеанс связи с VPN. В результате если пользователи не осуществляют соединения достаточно часто, их компьютерами нельзя управлять при выполнении таких операций, как установка пакетов обновлений, обновление корпоративных политик и программных средств.

Чтобы вооружить потребителей еще одним средством управления доступом, Microsoft включила в продукты Windows Server 2008 R2 и Windows 7 компонент DirectAccess (версии Enterprise и Ultimate). DirectAccess обеспечивает соединение клиента с корпоративной сетью, функционирующее постоянно и не требующее вмешательства со стороны пользователя. Когда пользователи обращаются к тому или иному ресурсу Internet, применяется их обычное соединение со Интернет. Когда же пользователям требуется связь с корпоративным ресурсом, применяется туннель DirectAccess, обеспечивающий для них транспарентный доступ к нужному корпоративному ресурсу из любой точки. Чтобы определить, относится ли целевой ресурс к категории корпоративных ресурсов, DirectAccess сопоставляет DNS-суффикс целевого ресурса с содержимым таблицы политик разрешения имен Name Resolution Policy Table. Эта таблица включает правила, идентифицирующие DNS-суффиксы ресурсов, которые могут быть доступны лишь при установлении соединения через корпоративную распределенную сеть.

Так же, как и VPN, DirectAccess создает туннель между компьютером и корпоративной средой, однако между этими технологиями существует важное различие. Незаметно для стороннего наблюдателя DirectAccess фактически создает два туннеля. Первый из них — инфраструктурный туннель; он возникает в момент включения системы. Этот туннель дает возможность ключевым системам ИТ-инфраструктуры взаимодействовать с данным компьютером и осуществлять функции управления. После регистрации пользователя создается второй туннель. Этот внутрисетевой туннель дает пользователю возможность обращаться к системам корпоративной сети. Каких-то действий со стороны оператора при этом не требуется, поэтому пользователь может обращаться к корпоративным ресурсам, не испытывая каких-либо затруднений. Отметим, что для управления системой можно задействовать только инфраструктурный туннель без подключения внутрисетевого канала связи, ибо при работе с последним пользователь не имел бы возможности обращаться к корпоративным ресурсам.

Как видите, технология DirectAccess чрезвычайно удобна для пользователей, но еще большие преимущества она дает сотрудникам ИТ-служб. При использовании этого решения все данные, передаваемые через Интернет, проходят проверку подлинности и шифруются с помощью протоколов Ipsec, что обеспечивает возможность «бесшовного» и в то же время надежно защищенного подключения компьютеров пользователей к корпоративной сети. Вдобавок, поскольку компьютеры пользователей подключаются к ключевым системам ИТ-инфраструктуры всякий раз, когда эти пользователи запускают их, управление последними осуществляется без каких-либо затруднений.

DirectAccess предусматривает применение протокола IPv6. Но хотя индустрия информационных технологий вне всякого сомнения движется к принятию этой версии IP, переход осуществляется чрезвычайно медленно, и во многих сетях, включая Интернет, применяется преимущественно версия IPv4. В итоге при подключении к Интернету средства DirectAccess используют реализованные в IPv6 технологии перехода с тем, чтобы устанавливать соединения между сервером DirectAccess и клиентами, применяющими версию IPv4. К числу часто используемых технологий перехода относятся Teredo и IP over HTTPS (IP-HTTPS); обе эти технологии дают возможность туннелировать пакеты IPv6 внутри пакетов IPv4. В принципе здесь можно задействовать и технологию перехода 6to4. Однако эта технология не работает, когда клиент располагается за устройством, осуществляющим трансляцию сетевых адресов Network Address Translation (NAT). Между тем, почти все клиенты с каналом в Интернете располагаются за NAT-устройствами того или иного типа, так что технология 6to4 редко применяется в реальных условиях эксплуатации.

Иными словами, DirectAccess — изумительная технология, но вероятность того, что вы сможете отправить в отставку свое решение на базе VPN, чрезвычайно мала. Поясню эту мысль на примере. В версии Server 2012 DirectAccess может взаимодействовать только с входящими в состав домена системами Windows 8 Enterprise и Windows 7 Enterprise. Для связи со всеми другими устройствами — скажем, с домашними системами, не входящими в состав домена, с системами Windows 8 и Windows 7, не работающми с редакцией Enterprise, с мобильными телефонами, с устройствами, функционирующими под управлением отличных от Windows операционных систем, — вам по-прежнему придется применять VPN. Моя рекомендация такова: когда вы можете использовать технологию DirectAccess, используйте ее. Во всех прочих случаях вам придется применять решение на базе VPN. Если вы затрудняетесь определить, чем VPN отличается от DirectAccess, предлагаю следующее услышанное мною где-то определение: VPN подключает пользователя к сети, а DirectAccess расширяет сеть так, что она включает в себя соответствующий компьютер и пользователя.

DirectAccess в среде Server 2012

Чтобы развернуть работоспособную систему DirectAccess в среде Server 2008 R2, вам несомненно понадобится шлюз удаленного доступа Forefront UAG. Он позволяет упростить процедуру настройки и обеспечивает взаимодействие с целевыми системами IPv4. Версия Server 2012 включает в себя все технологии продукта Forefront UAG, имеющие отношение к DirectAccess, такие, как DNS for IPv6 to IPv4 (DNS64) и Network Address Translation for IPv6 to IPv4 (NAT64). Таким образом, средства DirectAccess будут работать в сети Server 2012, причем для этого вам не придется устанавливать дополнительные продукты, такие, как Forefront UAG.

В системе Server 2012 впервые реализована новая обеспечивающая возможность сетевого соединения роль Remote Access. С помощью этой роли вы сможете управлять средствами DirectAccess и сетями VPN (в том числе сетями VPN «сайт — сайт») таким образом, как если бы они были объединены в одну службу.

Кроме того, в системе Server 2012 были реализованы средства поддержки нескольких узлов, а также средства учета пространственных отношений. Последнее означает, что вы можете разместить в различных географических пунктах несколько систем DirectAccess (это могут быть как отдельные серверы, так и массивы), и клиенты будут использовать сайт, расположенный от них на минимальном расстоянии (что определяется путем измерения времени отклика). Время отклика определяется путем зондирования с помощью HTTP, в ходе которого тестируются средства подключения ко всем устройствам DirectAccess, указанным в существующей политике. Если тот или иной сайт не проходит испытания, клиенты будут обращаться к другим сайтам DirectAccess. Средства отслеживания наличия нескольких сайтов представляют собой внутреннюю функцию Windows 8. Однако если у вас возникла необходимость оснащения этой функцией клиентов Windows 7, существует возможность в той или иной степени задействовать ее. Здесь имеются определенные ограничения.

Если все клиенты вашей сети функционируют под управлением системы Windows 8, для работы Server 2012 DirectAccess инфраструктура PKI не требуется. При использовании клиентов Windows 7 данная инфраструктура необходима для применения стандартов IPSec, но сегодня эти протоколы могут функционировать с помощью цифровых билетов Kerberos; предоставление последних возлагается на сервер-посредник Kerberos, устанавливаемый на контроллерах доменов (DC).

Одна из типичных проблем, возникающих при эксплуатации средств DirectAccess, — это проблема безопасности. Ведь при этом мы имеем дело с полностью автоматизированной технологией — компьютер в автоматическом режиме подключается к корпоративной распределенной сети через защищенный канал и всегда остается включенным. В целях проверки подлинности DirectAccess применяет следующие средства:

• сертификат компьютера и учетную запись компьютера (представленные в протоколе NTLM) для создания инфраструктурного туннеля;
• сертификат компьютера и учетную запись пользователя для создания внутрисетевого туннеля после регистрации пользователя средствами Kerberos.

Описанную процедуру можно определить как своего рода «полуторафакторную аутентификацию», поскольку сертификат привязан к системе и к пользовательскому паролю. Однако во многих организациях считается необходимым использовать двухфакторную аутентификацию, поэтому в сетях DirectAccess, где задействованы клиенты Windows 7, часто применяются смарт-карты. При работе с клиентами Windows 8 физические смарт-карты более не требуются (хотя их можно использовать, как и прежде), поскольку в распоряжении пользователя имеется новая функция Windows 8 «виртуальная смарт-карта», которая управляет реализованным в этой системе доверенным платформенным модулем (TPM). В результате процесс развертывания существенно упрощается, затраты снижаются, а уровень защиты данных повышается. Системы Server 2012 DirectAccess также позволяют применять одноразовые пароли.

Изменения со стороны DirectAccess

Разработчики Microsoft внесли в механизм функционирования DirectAccess в среде Server 2012 множество изменений, а потому во многом изменились и требования со стороны этого продукта. Ниже перечислены наиболее существенные изменения, касающиеся требований к IP-адресам, к службе Active Directory (AD), а также к серверам и клиентам.

Изменения требований к IP-адресам. В операционной среде Server 2008 R2 для функционирования службы DirectAccess требуется два смежных общедоступных адреса IPv4, поскольку определить тип NAT-устройства, за которым размещается клиент, сетевой протокол Teredo может лишь в том случае, если он располагает двумя IP-адресами. В системе Server 2012 сервер DirectAccess можно размещать за устройством NAT. Таким образом, если это NAT-устройство присутствует в демилитаризованной зоне (DMZ), соответствующий сервер DirectAccess можно развертывать с использованием частных IP-адресов. Это означает, что теперь мы можем при желании развертывать службу DirectAccess на домашних компьютерах.

Важно отметить, что хотя большинство систем DirectAccess размещаются за устройствами NAT, оптимальный вариант при работе в Интернете состоит в использовании протокола Teredo, который не поддерживает технологию NAT. Так что идеальное решение — задействовать два смежных общедоступных IP-адреса, но если это невозможно, вам придется воспользоваться IP-HTTPS. В большинстве случаев клиенты не имеют общедоступных IP-адресов, что исключает возможность применения переходного механизма 6to4. Но, как подсказывает мой опыт, даже когда такая возможность существует, скажем, в мобильных сетях, порой возникают проблемы.

Изменения требований к AD. В настоящее время один экземпляр службы DirectAccess может обслуживать сети, состоящие из нескольких лесов, — нужно только, чтобы между этими лесами существовали двусторонние отношения доверия. Хотя администратор должен по-прежнему готовить сценарии, предусматривающие обмен данными между лесами, все трудоемкие операции выполняются графическими средствами DirectAccess — при условии, что между лесом, где расположены серверы DirectAccess, и лесами, содержащими пользователей, поддерживаются двусторонние отношения доверия.

Изменения требований к серверам. Система Server 2012 полностью поддерживает вариант развертывания сервера Server Core для сервера DirectAccess. Любопытно, что сейчас Microsoft рекомендует размещать сервер DirectAccess в виртуальной машине (virtual machine, VM). Если этот сервер выполняется в виртуальной машине, по-прежнему существует возможность разгружать IPSec-трафик на сетевой адаптер (при условии, что последний позволяет осуществлять IPSec-разгрузку) и по-прежнему обеспечивается повышение производительности с помощью таких технологий, как масштабирование на стороне приема Receive Side Scaling.

Ранее специалисты Microsoft рекомендовали размещать DirectAccess на физических системах из-за высоких рабочих нагрузок, связанных с шифрованием. В среде Server 2008 R2 при использовании протокола HTTPS служба DirectAccess выполняет двойное шифрование, поскольку шифрованию подвергается сначала IPSec-трафик, а затем и HTTPS-трафик. В среде Server 2012 DirectAccess может вместо двойного шифрования выполнять шифрование IP-HTTPS NULL, тем самым снижая уровень непроизводительных затрат на стороне клиента и сервера DirectAccess. В конечном счете это означает сокращение объема потребляемых ресурсов и увеличение числа пользователей, обслуживаемых одним сервером, — как мне сказали, число пользователей возрастает до четырех раз. В среде Server 2012 протокол IP-HTTPS обеспечивает почти такую же производительность, как протокол Teredo.

Изменения требований к клиентам. При использовании клиентов Windows 7 для организации службы DirectAccess в средах Server 2012 и Server 2008 R2 не обойтись без установки отдельного помощника DirectAccess Connectivity Assistant (DCA), который представлен на системной панели задач значком, отображающим состояние подключения DirectAccess. Когда же для организации службы DirectAccess в среде Server 2012 используются клиенты Windows 8, необходимости в установке помощника DCA нет, поскольку средства взаимодействия с DirectAccess интегрированы с прочими сетевыми функциями Windows 8. Состояние подключения DirectAccess отображается наряду с иными соединениями (скажем, беспроводными) с помощью средств пользовательского интерфейса, отвечающего за управление сетью. Кроме того, данный интерфейс использует функции DirectAccess, которые обычно применяются для выяснения причин неполадок. Интерфейс DirectAccess позволяет экспортировать журналы DirectAccess в файл, который затем можно направить в службу поддержки. Кроме того, он дает пользователям возможность переопределять заранее заданный сайт DirectAccess и указывать сайт, к которому они хотели бы подключиться.

Подготовка вне сайта полезна в тех случаях, когда возникает необходимость устанавливать клиенты, не имеющие физического подключения к корпоративной сети. При использовании клиентов Windows 8 возможна полномасштабная подготовка вне сайта, включая установку на базе технологии Windows-To-Go. Такая установка невозможна, если в работе службы DirectAccess в среде Server 2012 задействованы клиенты Windows 7. Для загрузки установочного файла DirectAccess по-прежнему необходимо подключаться к корпоративному сетевому ресурсу, но это может оказаться так же просто, как подключиться к защищенному веб-узлу. Отметим, что настройка DirectAccess из-за пределов компании возможна в среде Server 2008 R2, но это решение сопряжено с большими затратами времени на «обходной маневр», в частности, на создание временного соединения VPN.

Настройка и управление DirectAccess в среде Server 2012

Не будет преувеличением сказать, что развертывание сервера DirectAccess в среде Server 2012 выполняется легко и быстро. Ниже я привожу полное описание развертывания односерверной системы DirectAccess для организации небольшого или среднего масштаба. Операция строится в предположении, что существует некоторое внешнее имя DNS и что это имя указывает на корректный IP-адрес. Процедура развертывания состоит из следующих этапов.

1. Установите роль Remote Access с применяемыми по умолчанию параметрами, для чего нужно выполнить команду:

Install-WindowsFeature RemoteAccess -IncludeManagementTools

2. Откройте консоль Remote Access Management.

3. Щелкните на пункте Getting Started Wizard. В результате будет запущен мастер экспресс-установки. Имеется также вариант запуска мастера для установки в режиме эксперта.

4. На странице Configure Remote Access выберите пункт Deploy DirectAccess.

5. На странице Remote Access Server Setup вы увидите предлагаемые варианты топологии, которые строятся на возможностях имеющегося в вашем распоряжении сервера DirectAccess. Скажем, если сервер оснащен всего лишь одним сетевым адаптером, к нему можно применить только один вариант топологии. К возможным типам топологии относятся Edge (где используются два сетевых адаптера — один для Интернета, второй для частной сети), Back (где сервер DirectAccess располагается за устройством NAT, с подключением к DMZ и к частной сети) и Single (где используется один сетевой адаптер с одним сетевым подключением). После того как вы подберете соответствующий тип топологии, нужно будет указать общедоступный IP-адрес или разрешимое извне имя DNS, которое будет использоваться клиентами для подключения к серверу DirectAccess.

6. Когда на дисплее появится изображение страницы с перечислением настроек, нажмите кнопку ОК. Служба DirectAccess настроена и готова к работе.

Наряду с настройкой сервера DirectAccess вам необходимо настроить клиенты. В процессе развертывания сервера DirectAccess программа автоматически создает объект групповой политики (GPO) DirectAccess Client Settings, содержащий настройки клиентов DirectAccess. Если вы хотите, чтобы клиент использовал службу DirectAccess, нужно присоединить его к соответствующему домену и применить упомянутый объект GPO. Задача может оказаться сложной, если клиент не подключен к корпоративной сети; в этом случае вам придется подключиться к домену в автономном режиме и применить соответствующую политику. При использовании клиента Windows 8 это можно сделать с помощью утилиты командной строки Djoin.exe.

Перед запуском данной утилиты нужно подготовить учетную запись соответствующего компьютера в AD и сохранить подготовленные данные в файле. Публикуемая ниже команда осуществляет подготовку учетной записи компьютера DAclientExample в домене savilltech.net, указывает, что необходимо применить объект групповой политики DirectAccess Client Settings, и сохраняет подготовленные сведения в файле clientda.txt:

Djoin.exe /provision
/domain savilltech.net
/machine DAclientExample
/policynames «DirectAccess Client Settings»
/savefile clientda.txt

На странице журнала приведенная выше команда разбита на несколько строк, однако в окне Cmd.exe следует вводить ее одной строкой. Сказанное относится и к следующей команде. После создания клиентом файла clientda.txt вы можете запустить публикуемую ниже команду с тем, чтобы запросить присоединение к домену в автономном режиме в следующий раз, когда будет запущен клиент:

djoin.exe /requestodj /loadfile clientda.txt
/windowspath %windir% /localos

Таким образом, при следующем запуске клиента он будет присоединен к домену savilltech.net, и к нему будет применен объект групповой политики DirectAccess Client Settings.

Надо сказать, что тем, кто использует компьютеры с Windows 7, придется совершить ряд дополнительных шагов. Однако я не стану описывать их здесь, ибо моя цель состоит в том, чтобы показать вам, насколько просто применить средства Server 2012 DirectAccess, когда вы работаете с Windows 8.

Процедуры установки серверов и клиентов DirectAccess, описанные в настоящей статье, применимы для несложных ситуаций. Вполне вероятно, что вы захотите внести в них некоторые изменения.

Так, возможно, вы захотите создать отдельную группу, содержащую учетные записи компьютеров, которые по вашему замыслу смогут взаимодействовать с DirectAccess (скажем, группу с именем DA_Clients). По умолчанию в этой роли выступает входящая в соответствующий домен группа Domain Computers; именно из этой группы средства DirectAccess будут развертываться на всех системах вашего домена.

Возможно, вы предпочтете вариант, предусматривающий применение объекта групповой политики DirectAccess Client Settings к некоторым заданным группам, а не к корню домена (последний вариант применяется по умолчанию, если перед запуском команд для установки службы DirectAccess вы зарегистрировались в качестве администратора домена). К счастью, по замыслу разработчиков объект групповой политики будет применяться к группе компьютеров, указанных в консоли Remote Access Management. Это означает, что DirectAccess будет контролироваться, если вместо группы Domain Computers вы укажете альтернативную группу компьютеров — даже если объект групповой политики «привязан» к корневому домену.

Такая индивидуализация возможна и желательна в большинстве случаев. Вы сможете с легкостью выполнить ее (а также изменить многие другие настройки) по завершении развертывания DirectAccess с помощью страницы Remote Access Setup, показанной на рисунке 1; эта страница является стартовой при настройке DirectAccess.

Рисунок. Страница Remote Access Setup

Страница Remote Access Setup поможет вам выполнить подстройку параметров, установленных в ходе первоначального развертывания, но кроме того, вы можете использовать эту страницу на протяжении всего жизненного цикла DirectAccess по мере изменения потребностей вашей компании. К примеру, с ее помощью вы можете добавлять серверы, изменять общедоступные имена, а также топологию. Кроме того, в вашем распоряжении имеется полный набор средств обеспечения выполнения автоматических заданий, таких, как применение объектов групповых политик и изменений настройки. Если бы вы работали с системой Server 2008 R2, вам пришлось бы встать в 2 часа ночи, чтобы успеть вручную применить GPO и изменения в настройке с помощью графического интерфейса пользователя.

Огромный шаг вперед

Как видите, в версии Server 2012 установку DirectAccess осуществить намного проще, чем в Server 2008 R2. Кроме того, заметно облегчается работа конечных пользователей, а также специалистов ИТ-подразделения, занимающихся управлением средствами DirectAccess; эти возможности намного превосходят то, чего вы могли бы добиться с помощью инициируемого вручную соединения с сетями VPN. Но помните: VPN еще понадобятся вам для управления системами, не оснащенными средствами для работы с DirectAccess. К счастью, среда Server 2012 оснащена замечательными средствами для взаимодействия с VPN.

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

• Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
• Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
• Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
• Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
• Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

• Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
• В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
• Не обязательно стало наличие IPv6 во внутренней сети организации
• Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

• Домен Active Directory и права администратора домена
• Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
• Выделенная DMZ подсеть
• Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
• Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
• Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
• В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
• Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Установка роли Remote Access

Запустим консоль Server Manager и с помощью мастера Add Roles and Features установим роль Remote Access.

В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS).

Все остальные зависимости оставляем по умолчанию.

Настройка службы Direct Access в Windows Server 2012 R2

После окончания установки службы Remote Access, откройте оснастку Tools -> Remote Access Management.

Запустится мастер настройки роли удаленного доступа. Укажем, что нам нужно установить только роль DA — Deploy DirectAccess only.

После этого должно открыться окно, в правой половине которого в графическом виде показаны четыре этапа (Step 1 – 4) настройки службы DA.

Первый этап (Step 1: Remote Clients).

Укажем, что мы разворачиваем полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления Deploy full DirectAccess for client access and remote management.

Далее, нажав кнопкуAdd нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через Direct Access (в нашем примере это группа DirectAccessComputers).

Примечание. Опция Enable DirectAccess for mobile only – позволяет ограничить подключение через DA только для мобильных устройств (ноутбуки, планшеты). Реализуется функция за счет опроса клиентов по WMI. Опция Use force tunneling – означает, что удаленные клиенты при доступе к любым удаленным ресурсам (в том числе обычным веб-сайтам) всегда использовать сервера DA (т.е. весь внешний трафик клиента проходит через корпоративный шлюз).

Следующий шаг – нужно указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте). В случае необходимости можно включить опцию Allow DirectAccess clients to use local name resolution, позволяющую разрешить клиенту использовать внутренние DNS-сервера компании (адреса DNS серверов могут получаться по DHCP).

Второй этап (Step 2: Remote Access Server)

Следующий шаг — настройка сервера Remote Access. Указываем, что наш сервер удаленного доступа представляет собой конфигурацию с двумя сетевыми картами — Behind an edge device (with two network adapters), одна их которых находится в корпоративной сети, а вторая подключена напрямую в Internet или DMZ-подсеть. Здесь же нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.

Затем нужно указать какая сетевая карта будет считаться внутренней (Internal – LAN), а какая внешней (External – DMZ).

Свернем пока мастер настройки сервера Direct Access и сгенерируем сертификат сервера DA. Для этого создадим новую оснастку mmc, в которую добавим консоль Certificates, управляющую сертификатами локального компьютера (Computer Account)

В консоли управления сертификатами запросим новый персональный сертификат, щелкнув ПКМ по разделу Certificates (Local Computer) -> Personal -> Certificates и выбрав в меню All Tasks-> Request New Certificate

Запросим сертификат через политику Active Directory Enrollment Policy. Нас интересует сертификат на основе шаблона WebServers.

В настройках запроса нового сертификата на вкладке Subject заполним поля, идентифицирующие нашу компанию, а на вкладке Private Key укажем, что закрытый ключ сертификата можно экспортировать (Make private key exportable).

Сохраним изменения и запросим новый сертификат у CA.

Вернемся в окно настроек сервера DirectAccess и, нажав кнопку Browse, выберем сгенерированный сертификат.

На следующем шаге мастера выберем способ аутентификации клиентов Direct Access. Укажем, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметим чекбокс Use computer certificates (Использовать сертификаты компьютеров) и Use an intermediate certificate. Нажав кнопку Browse, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов.

Совет. Напомним, что если в качестве клиентов будут выступать машины с Windows 8 – разворачивать свой центр сертификаиции не нужно. Если же отметить чекбокс Enable Windows 7 client computers to connect via DirectAccess (Разрешить клиентским компьютерам с Windows 7 подключаться с помощью DirectAccess), то PKI придется разверачивать обязательно, без него клиенты на Windows 7 работать не смогут.

Третий этап (Step 3: Infrastructure Servers)

Третий этап – настройка инфраструктурных серверов. Нам будет предложено указать адрес сервера Network Location Server, находящегося внутри корпоративной сети. Network Location Server — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быт любой внутренний веб-сервер (даже с дефолтной страничкой IIS), основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети.

Далее укажем список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended).

Затем укажем DNS-суффиксы внутренних доменов в порядке приоритета их использования.

В окне настройки Management ничего указывать не будем.

Четвертый этап (Step 4: Application Servers)

Этап настройки серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Нам это не требуется, поэтому оставим опцию Do not extend authentication to application servers.

На этом мастер настройки роли Remote Access завершен, нам осталось сохранить изменения.

После окончания работы мастер создаст две новых групповых политик DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена. Их можно оставить там, либо перелинковать на нужный OU.

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Совет. Напомним, что в Windows Server 2012 появился функционал оффлайнового включения компьютера в домен через DirectAccess, без необходимости физически подключать компьютер клиента к корпоративной сети.

Отключаем тесовую машину от корпоративной сети и подключаемся в интернету через Wi-Fi. Система автоматически подключается к корпоративной сети через DirectAccess, о чем свидетельствует статус Connected значка Workplace Connection (именно так мы назвали наше подключение при настройке сервера) в списке сетей.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Get- DAConnectionStatus

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

Как исправить ошибку DirectAccess 0x0

Обычно люди ссылаются на «Direct Access Error 0X0» как на ошибку времени выполнения (ошибку). Программисты, такие как Microsoft Corporation, стремятся создавать программное обеспечение, свободное от этих сбоев, пока оно не будет публично выпущено. К сожалению, некоторые критические проблемы, такие как ошибка 0x0, часто могут быть упущены из виду.

В выпуске последней версии DirectAccess может возникнуть ошибка, которая гласит: «Direct Access Error 0X0». В случае обнаруженной ошибки 0x0 клиенты могут сообщить о наличии проблемы Microsoft Corporation по электронной почте или сообщать об ошибках. Затем программисты могут исправить эти ошибки в коде и включить исправление, которое можно загрузить с их веб-сайта. Чтобы исправить такие ошибки 0x0 ошибки, устанавливаемое обновление программного обеспечения будет выпущено от поставщика программного обеспечения.

Проверка параметров групповой политики

DirectAccess клиенты получают свои клиентские параметры через групповую политику. Если групповая политика не применена к DirectAccess клиенту, он не сможет работать в качестве DirectAccess клиента. Есть множество способов проверки параметров групповой политики на DirectAccess клиенте, но моим любимым является проверка брандмауэра Windows на наличие правил безопасности подключений (Connection Security Rules), которые DirectAccess клиенты используют для подключения к UAG DirectAccess серверу. Эти правила назначаются групповой политикой, поэтому если они есть, то групповая политика применена.

Можно ввести wf.msc в строку поиска на машине Windows 7, чтобы открыть консоль брандмауэра Windows Firewall with Advanced Security. В левой панели консоли нажмите на разделе Правила безопасности подключения (Connection Security Rules).

Если вы видите три правила, показанных на рисунке 1: UAG DirectAccess Client ‘ Clients Access Enabling Tunnel ‘ All, UAG DirectAccess Clients ‘ Clients Corp Tunnel и UAG DirectAccess Clients ‘ Example NLA, то можете быть уверены, что групповая политика применена.

Специфические требования DirectAccess

Хотя DirectAccess позиционируется как альтернатива VPN, технология DirectAccess име­ет в себе все элементы VPN. Она устанавливает защищенный частный туннель через публичные сети, используя для этого IPSec и сертификаты, и полученная в результате функциональность не слишком отличается от L2TP. Существующие отличия имеют ско­рее административный характер, нежели технический.

Протокол DirectAccess использует IPv6, IPSec и сертификаты для установки безопасных соединений клиентов DirectAccess с ресурсами интрасети через сервер DirectAccess. Чтобы проходить через публичные сети IPv4, в DirectAccess используются переходные техноло­гии IPv6, такие как ISATAP, Teredo и 6to4.

DirectAccess предъявляет некоторые специфические требования:

• Сервер, функционирующий под управлением Windows Server 2008 R2, должен иметь две сетевые карты: одну, подключенную к интрасети, и другую — к Интернету.
• Сетевая карта, подключенная к Интернету, должна иметь два последовательных пуб­личных адреса IPv4.
• Ресурсы и приложения интрасети должны поддерживать IPv6.
• Клиенты DirectAccess должны работать под управлением Windows 7; более старые клиенты не поддерживаются.
• Контроллер домена и сервер DNS, к которым подключены системы, должны функ­ционировать под управлением Windows Server 2008 с пакетом обновлений SP2 или Windows Server 2008 R2.
• Должна существовать инфраструктура PKI для выпуска сертификатов с публично доступным в Интернете списком отмененных сертификатов (certificate revocation list-CRL).

Эти довольно строгие требования могут помешать многим организациям в развертыва­нии DirectAccess. Однако для организаций с современной инфраструктурой, серверами и клиентами DirectAccess может оказаться блестящим решением.

Решаем проблему: параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети

Многие пользователи не раз сталкивались с ошибкой, когда при подключении к Wi-Fi сети появляется уведомление следующего содержания: «параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети». При этом напротив сети отображается красный крестик, а кнопка «Подключение» не работает.

Причина ошибки параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети

При первом подключении к Wi-Fi на компьютере сохраняются определённые параметры. Это и пароль, тип безопасности, шифр. Все они запоминаются системой и при повторном подключении устройства проверяются в автоматическом порядке. Если все данные совпадают, ПК получает доступ к интернету. Однако, если настройки роутера были изменены, или сам маршрутизатор был заменён на новый, пользователь увидит сообщение, что параметры сети, сохранённые на этом компьютере, не соответствуют требованиям этой сети. Поэтому необходимо удалить старую сеть и войти заново. Как же это сделать?

Если параметры не совпадают, стоит удалить сеть и позволить ПК получить новую и корректную информацию.

Для этого кликаем правой кнопкой мыши на значке сети и выбираем «Центр управления сетями и общим доступом».

В правом меню переходим в «Управление беспроводными сетями».

Далее выбираем из списка ту сеть, с которой возникла данная проблема. Кликаем на ней правой кнопкой мыши и выбираем «Удалить» сеть.

Перезагружаем ПК. Открываем меню сетей и вновь подключаемся к нужной, ввёл правильный пароль.

Для того, чтобы решить данную проблему в Windows 10, стоит нажать на значок сети, что расположен в левом нижнем экране монитора и выбрать «Сетевые параметры».

Откроется раздел параметра «Сеть и интернет» — «Wi-Fi». Нажимаем на ссылке «Управление параметрами сети Wi-Fi».

В следующем окне нужно перетащить ползунок в положение «Откл» в пункте «Предоставлять доступ без раскрытия предоставленного пароля …».

Закрываем все окна и перезагружаем ПК. Повторно вводим логин и пароль к новой сети. Теперь сеть Wi-Fi будет доступна для вашего ПК.

Как забыть Wi-Fi сеть в Windows 10

В сетевых параметрах, в разделе Wi-Fi, нажмите пункт «Управление параметрами сети Wi-Fi».

В следующем окне внизу вы найдете список сохраненных беспроводных сетей. Кликните по той из них, при подключении к которой появляется ошибка и нажмите кнопку «Забыть», для того, чтобы сохраненные параметры были удалены.

Готово. Теперь вы можете заново подключиться к сети и указать тот пароль, который она имеет на текущий момент времени.

Лучшие антивирусы для Windows 10 Лучшие программы для восстановления данных Лучшие бесплатные программы на каждый день Запуск Android игр и программ в Windows Гибкая настройка Windows 10 в Winaero Tweaker Android и iPhone как пульт для ТВ

Исправление ошибки в Windows 7, 8 и Windows 8.1

Для того, чтобы исправить ошибку «параметры сети не соответствуют требованиям сети» нужно сделать так, чтобы Windows «забыл» те настройки, которые сохранил и ввести новую. Для этого нужно удалить сохраненную беспроводную сеть в Центре управления сетями и общим доступом в Windows 7 и несколько иначе в Windows 8 и 8.1.

Для того, чтобы удалить сохраненные параметры в Windows 7:

1. Зайдите в центр управления сетями и общим доступом (через панель управления или посредством клика правой кнопкой мыши по значку сети в панели уведомлений).
2. В меню справа выберите пункт «Управление беспроводными сетями», откроется список Wi-Fi сетей.
3. Выберите Вашу сеть, удалите ее.
4. Закройте центр управления сетями и общим доступом, снова найдите Вашу беспроводную сеть и подключитесь к ней — все пройдет успешно.

В Windows 8 и Windows 8.1:

1. Кликните мышью по значку беспроводного соединения в трее.
2. Кликните правой кнопкой мыши по имени Вашей беспроводной сети, выберите в контекстном меню «Забыть эту сеть».
3. Снова найдите и подключитесь к этой сети, в этот раз все будет в порядке — единственное, если Вы устанавливали пароль на эту сеть, то его нужно будет ввести.

Если проблема возникает в Windows XP:

1. Откройте папку «Сетевые подключения» в Панели управления, кликните правой кнопкой мыши по значку «Беспроводное соединение»
2. Выберите пункт «Доступные беспроводные сети»
3. Удалите сеть, при подключении к которой возникает проблема.

Вот и все решение проблемы. Надеюсь, Вы разобрались в чем дело и в дальнейшем подобная ситуация не будет представлять для Вас никаких сложностей.