下篇

前一篇我们构建了DA实验的基础环境,这一篇主要看下DA服务器的配置及客户端验证

DA服务器配置

首先看下CLIENT1在内网测试访问APP1服务器,结果如下:

0002

访问正常。

 

配置DA服务器

DA服务器-服务器管理器-工具-点击“远程访问”组件

运行开始向导

001

选择“仅部署DirectAccess”

002

网络拓扑选择“边缘”,向导自动检索远程访问服务器的公用名称,这里是“directaccess.sr.local”,下一步

003

点击“此处”可做一些修改,这里先跳过,后续通过步骤1,2,3,4一起修改,直接完成。

004

配置成功,但提示有警告。

005

接下来,我们需要做一些设置

点击步骤1-编辑

006

选择部署方案,默认,下一步

007

选择组,这里删除默认的组“Domain Computers“,添加之前创建的安全组”da-clients”

008

取消勾选”仅为移动计算机启用direct access“设置.下一步

009

确认NCA资源URL及DA连接名称,完成。

010

切换到步骤2编辑

011

确认网络拓扑及DA对外访问名称

012

确认网络适配器信息,并选择用于IP-HTTPS连接的证书

013

身份验证页面,勾选“使用计算机证书“,浏览选择企业CA的根证书,完成。

014

切换到步骤3-编辑

015

网络位置服务器页面,设置NLS服务器的URL,并点击验证通过。这里是https://2012r2-a.sr.local,也可以在DNS设置别名nls指向2012r2-a主机记录,下一步

016

确认DNS后缀及内部DNS服务器IPV6地址

017

DNS后缀搜索列表,默认设置,下一步

018

设置管理服务器IP地址,这里无。

019

点击完成,使更改生效。

020

成功应用配置。

021

仪表板查看DA各组件操作状态及配置状态。

022

域中新增2条GPO:DA服务器设置,DA客户端设置

023

Client 1强制更新策略

查看DA连接状态,显示为ConnectedLocally.

024

025

将客户端CLIENT1移至Internet网络

 

查看DA连接状态,显示为ConnectedRemotely.

026

查看客户端IP地址

027

测试与企业内部服务器网络连通性

028

Client1测试访问内网文件服务器和web服务器

029

 

客户端其它诊断命令:

Get-NCSIPolicyConfiguration

030

Get-DnsClientNrptPolicy

031

Get-NetIphttpsConfiguration

032

Netsh int 6to4 show state

033

远程客户端状态

034

DA配置的注意事项:

  • 域中计算机的Windows防火墙必须被启用,以便阻止默认配置文件中允许和阻止项, 因为禁用Windows防火墙服务也会禁用Ipsec

  • 如果你想使客户通过使用Teredo的连接,DirectAccess服务器外部物理接口上必须具有配置两个连续的公用IPv4地址,并且DA服务器不能在NAT设备后面。这是对于一个Teredo客户端NAT检测的要求;

  • 如果DirectAccess服务器位于NAT设备之后或只有一个网络接口,只能使用IP-HTTPS方式来部署用于客户端连接。

  • 验证PKI基础设施和服务器证书。企业内部有CA架构或企业使用公共CA颁发的证书,域计算机配置自动申请证书,DA服务器除自动申请的一张计算机证书外,还要单独申请一张用于IP-HTTPS连接的计算机证书(证书公用名和访问名称要一致),如果是企业CA,最好还需设置CRL证书吊销列表并对外发布

  • 检查DirectAccess客户端安全组的成员在远程访问设置向导的第1步

  • DA连接的防火墙端口例外设置Firewall exceptions


更多(排错部分在文档结尾)