下篇
前一篇我们构建了DA实验的基础环境,这一篇主要看下DA服务器的配置及客户端验证
DA服务器配置
首先看下CLIENT1在内网测试访问APP1服务器,结果如下:
访问正常。
配置DA服务器
DA服务器-服务器管理器-工具-点击“远程访问”组件
运行开始向导
选择“仅部署DirectAccess”
网络拓扑选择“边缘”,向导自动检索远程访问服务器的公用名称,这里是“directaccess.sr.local”,下一步
点击“此处”可做一些修改,这里先跳过,后续通过步骤1,2,3,4一起修改,直接完成。
配置成功,但提示有警告。
接下来,我们需要做一些设置
点击步骤1-编辑
选择部署方案,默认,下一步
选择组,这里删除默认的组“Domain Computers“,添加之前创建的安全组”da-clients”
取消勾选”仅为移动计算机启用direct access“设置.下一步
确认NCA资源URL及DA连接名称,完成。
切换到步骤2编辑
确认网络拓扑及DA对外访问名称
确认网络适配器信息,并选择用于IP-HTTPS连接的证书
身份验证页面,勾选“使用计算机证书“,浏览选择企业CA的根证书,完成。
切换到步骤3-编辑
网络位置服务器页面,设置NLS服务器的URL,并点击验证通过。这里是https://2012r2-a.sr.local,也可以在DNS设置别名nls指向2012r2-a主机记录,下一步
确认DNS后缀及内部DNS服务器IPV6地址
DNS后缀搜索列表,默认设置,下一步
设置管理服务器IP地址,这里无。
点击完成,使更改生效。
成功应用配置。
仪表板查看DA各组件操作状态及配置状态。
域中新增2条GPO:DA服务器设置,DA客户端设置
Client 1强制更新策略
查看DA连接状态,显示为ConnectedLocally.
将客户端CLIENT1移至Internet网络
查看DA连接状态,显示为ConnectedRemotely.
查看客户端IP地址
测试与企业内部服务器网络连通性
Client1测试访问内网文件服务器和web服务器
客户端其它诊断命令:
Get-NCSIPolicyConfiguration
Get-DnsClientNrptPolicy
Get-NetIphttpsConfiguration
Netsh int 6to4 show state
远程客户端状态
DA配置的注意事项:
- 域中计算机的Windows防火墙必须被启用,以便阻止默认配置文件中允许和阻止项, 因为禁用Windows防火墙服务也会禁用Ipsec
- 如果你想使客户通过使用Teredo的连接,DirectAccess服务器外部物理接口上必须具有配置两个连续的公用IPv4地址,并且DA服务器不能在NAT设备后面。这是对于一个Teredo客户端NAT检测的要求;
- 如果DirectAccess服务器位于NAT设备之后或只有一个网络接口,只能使用IP-HTTPS方式来部署用于客户端连接。
- 验证PKI基础设施和服务器证书。企业内部有CA架构或企业使用公共CA颁发的证书,域计算机配置自动申请证书,DA服务器除自动申请的一张计算机证书外,还要单独申请一张用于IP-HTTPS连接的计算机证书(证书公用名和访问名称要一致),如果是企业CA,最好还需设置CRL证书吊销列表并对外发布
- 检查DirectAccess客户端安全组的成员在远程访问设置向导的第1步
- DA连接的防火墙端口例外设置Firewall exceptions
更多(排错部分在文档结尾)