在Windows Server 2012中部署DirectAccess时,有两种不同形式的部署场景:快速安装和高级配置。从较高角度来看,这两种场景的区别请参见下表:

145256639.jpg


今天我将利用第一种方式“快速安装”来部署一台远程访问服务器,并测试客户端的连接性。

利用“快速安装”部署的DirectAccess服务器,只支持Windows8客户端的连接。


在前面几篇的环境部署中,已经部署好了基本的网络环境,但在今天的环境中,EDGE1服务器只需要一个公网IP,网络拓扑结构如下图

150554184.jpg



1. 创建一台运行Windows 8 的虚拟机,命名为CLIENT1,并且加入contoso.com域(步骤略)


2. 在DC1中创建一个用户组DirectAccess Clients,并将CLIENT1添加到该组中


3. 在EDGE1服务器上安装远程访问功能


102321567.jpg


102353274.jpg


102520834.jpg


选择远程访问角色

102540169.jpg


添加所需的功能

102619811.jpg


功能选项,保持默认

102653866.jpg


下一步

102756591.jpg


远程访问角色服务,保持默认,下一步

102831568.jpg


102942310.jpg


103040654.jpg


确认安装内容后,开始安装

103104275.jpg


安装完成

103146737.jpg


4. 配置远程访问功能(DirectAccess)


打开开始向导

103719262.jpg


选择仅部署DirectAccess

103806722.jpg


网络拓扑结构选择边缘,输入远程访问服务器公用名称edge1.test.com(就是我在前面环境部署中设置好的模拟公网域名,指向的edge1服务器的公网网卡IP)

103902998.jpg


在这里,先不要急着点击完成,快速部署向导中会默认把DirectAccess功能部署到域中所有的笔记本电脑中,这里我们需要更改一下策略,点击图中标示处编辑

104159303.jpg


打开远程访问审阅窗口,点击远程客户端更改

104617504.jpg


修改客户端设置,删除默认选择的用户组,添加我们之前创建的包含CLIENT1客户端的用户组(DirectAccess Clients),并清除“仅为移动计算机启用DirectAccess”复选框,下一步

104725412.jpg


这里可以输入支持人员电子邮件地址,以及更改客户端DirectAccess连接的显示名称,默认点击完成

110932516.jpg


更改好了以后,点击确定

111155457.jpg


现在可以点击完成

111243558.jpg


向导将自动部署

111317895.jpg


自动部署完成,确认没有错误或警告信息

111423992.jpg


部署完成后,打开组策略管理,可以看到已经自动生成了两条策略,一条是针对DirectAccess服务端,一条针对需要启用DirectAccess功能的客户端的策略

111351519.jpg


从开始屏幕打开远程访问,在远程访问管理控制台中,查看操作状态面板,确保所有的状态都显示为工作状态

112843980.jpg



5. 服务器配置完成后,接下来要配置启用远程访问功能的客户端


为了测试方便,我为安装了Windows8的客户端电脑CLIENT1配置了双网卡,一个网卡连接到内网,命名为contoso,一个网卡连接到模拟公网环境中,命名为internet,所有网卡均采用自动获取IP地址的方式。

首先将CLIENT1接入内网,将internet网卡禁用

113859345.jpg


在命令行中,运行gpupdate /force更新组策略,然后重启电脑

114733497.jpg


重新开机后,在Windows8开始屏幕输入powershell,查找到Windows PowerShell工具,右键以管理员身份运行,在命令窗口中输入Get-DnsClientNrptPolicy回车,将显示出客户应用的名称解析策略表(NRPT)

115536442.jpg


再运行Get-NCSIPolicyConfiguration,将显示出当前的网络连接状态指示器的设置情况

请注意DomainLocationDeterminationURL 的值是https://DirectAccess-NLS.contoso.com:443/insideoutside,这个值是快速部署向导自动生成的,并且在域中的DNS中自动生成了A记录,指向了部署DirectAccess功能的服务器EDGE1的内网地址,只要客户端可以访问此网络位置服务器 URL,则客户端就会确定自己当前是在内网域环境中,NRPT的策略设置就不会启用

115940353.jpg


接下来再运行Get-DAConnectionStatus,该命令将显示客户端当前连接状态

因为我们现在是在内网中,所以statusr的值为ConnectedLocally

121219893.jpg


由于在这个快速部署环境中,客户端并没有配置6to4,需要在客户端CLIENT1上禁用6to4,输入命令:

netsh interface 6to4 set state state=disabled

122527723.jpg


现在我们来看一下客户端的网络连接状态,点击右下角的系统通知栏的网络图标

141810566.jpg


141826410.jpg


由于客户端现在处于内网,显示工作区连接已在本地连接

141850401.jpg


查看工作区连接属性

142012293.jpg


状态已连接

142048161.jpg


把内网网卡禁用

142120284.jpg


这时肯定是无法连接的

142154104.jpg


我们启用internet网卡,让电脑连接到模拟公网

142228376.jpg


这时显示网络已经连接,工作区也已经连接

142319554.jpg


查看一下工作区连接属性

142436946.jpg


状态显示你已远程连接,这里我们就成功的从公网连接到了内网

142507896.jpg


下面我们来测试一下访问内网的共享文件和内网的WEB网站

输入前面在环境部署中搭建的APP1服务器的共享\\app1.contoso.com\

142613884.jpg


已经顺利的进入了共享文件夹

142757163.jpg


打开共享的文本文件,OK

142834499.jpg


输入APP1服务器的WEB网站地址http://app1.contoso.com,看到了IIS8的标志,OK

142924642.jpg



再输入模拟公网的网站地址http://inet1.contoso.com,OK

143106850.jpg


打开内网EDGE1服务器,从开始屏幕打开远程访问管理

查看远程客户端状态,显示了当前通过远程访问连接的客户端状态

143435940.jpg



   DirectAccess功能可以在没有用户登录系统的状态下连接到内网,这个测试可以这样做:在DC上新建一个用户,在通过远程访问连接的客户端上登录该用户,看看效果怎么样。(截图略)


总结:(摘录自网上文章)

  在Windows 7中对DirectAccess进行排错的工作非常困难。但在Windows 8中,客户端的体验就好很多了。新DirectAccess中连接的属性通过网络的用户界面很容易就能看到,该界面可以告诉我们当前DirectAccess的状态,并且如果没有连接,还会提供补救措施。

  此外,在某些情况下如果有多个网络接入点可供DirectAccess使用,该界面还会显示用户当前连接的站点,并且如果有必要,还可以连接到其他站点的接入点。

  但如果所有接入点都连接失败,属性页面还可以让客户端收集DirectAccess日志(保存在一个可读性非常高的HTML文件中),并用电子邮件将其发送给技术支持人员,协助对问题进行排查。(除非用户能把它关掉,并且禁止别人使用)

  因此基本上,通过对支持人员的电子邮件地址进行配置,为用户提供切换不同接入点的能力,以及临时从DirectAccess断开的能力,都可以通过组策略对象(GPO)进行配置。