Windows Server 2012 R2 DirectAccess功能测试（7）—客户端访问测试

八、Client访问测试

配置Client。

首先先登录域控，将要测试的漫游客户端Client添加到创建的DA-Clients组中

将漫游客户端Client放置在内网，让其自由获取IP地址，并应用组策略。使用域帐号登录Client，会看到已经自动通过DirectAccess成功连接到内网

以管理员身份打开PowerShell，输入命令：Get-DnsClientNrptPolicy，可以查看名称解析策略表NRPT中nls服务器为nls.corp.sxleilong.com，它是APP1服务器的别名。所有其它内部网络名称解析为corp.sxleilong.com的将使用DA服务器的内部IPv6地址2001:db8::1:2与外网通信。

输入命令：Get-NCSIPolicyConfiguration，可以查看到网络位置服务器的URL，用于确定Client的位置，成功连接到url的客户端被认为是位于内部网络上，并且不会使用DirectAccess策略

输入命令：Get-DAConnectionStatus，由于Client能访问到网络位置服务器的URL，所以状态会显示ConnectedLocally。

测试从公网进行远程访问。

当切换客户端到公网时，客户端会提示如下图所示，点击“YES”

可以看到DirectAccess连接状态依旧显示“Connected”

此时，我们再次使用命令：Get-DAConnectionStatus，可以查看到状态显示为：ConnectedRemotely。

Ping Inter.isp.example.com测试，会得到4条来自131.107.0.1的响应。Ping App1.corp.sxleilong.com测试，由于App1是一个启动了IPv6的内网资源，所以ICMP响应是来自App1服务器的IPv6地址2001:db8:1::3。Ping App2.corp.sxleilong.com测试，因为我这里是使用WindowsServer 2012模拟一个只有IPv4通信的文件服务器，所以系统动态的创建了一个NAT64地址，地址为fdb5:9e49:468c:7777::a00:4 （为fdxx:xxxx:xxxx:7777::/96格式）

分别验证访问Inter.sip.example.com、App1.corp.sxleilong和App2.corp.sxleilong.com均正常

验证访问App1上的共享文件夹和App2上的共享文件夹，也均测试通过

以管理员身份打开PowerShell，输入命令Get-NetIPHTTPSConfiguration，检查组策略应用到客户端指向到https://Directaccess.sxleilong.com:443/IPHTTPS的设置

输入命令wf.msc，打开高级安全防火墙控制台，展开Monitoring—》Security Associations，可以看到认证方式使用ComputerKerberos和UserKerberos，可以使用ComputerCertificate和UserKerberos

选中“ConnectionSecurity Rules”，可以查看提供DirectAccess连接的规则策略