在Windows Server 2012中部署DirectAccess时,有两种不同形式的部署场景:快速安装和高级配置。从较高角度来看,这两种场景的区别请参见下表:
今天我将利用第一种方式“快速安装”来部署一台远程访问服务器,并测试客户端的连接性。
利用“快速安装”部署的DirectAccess服务器,只支持Windows8客户端的连接。
在前面几篇的环境部署中,已经部署好了基本的网络环境,但在今天的环境中,EDGE1服务器只需要一个公网IP,网络拓扑结构如下图
1. 创建一台运行Windows 8 的虚拟机,命名为CLIENT1,并且加入contoso.com域(步骤略)
2. 在DC1中创建一个用户组DirectAccess Clients,并将CLIENT1添加到该组中
3. 在EDGE1服务器上安装远程访问功能
选择远程访问角色
添加所需的功能
功能选项,保持默认
下一步
远程访问角色服务,保持默认,下一步
确认安装内容后,开始安装
安装完成
4. 配置远程访问功能(DirectAccess)
打开开始向导
选择仅部署DirectAccess
网络拓扑结构选择边缘,输入远程访问服务器公用名称edge1.test.com(就是我在前面环境部署中设置好的模拟公网域名,指向的edge1服务器的公网网卡IP)
在这里,先不要急着点击完成,快速部署向导中会默认把DirectAccess功能部署到域中所有的笔记本电脑中,这里我们需要更改一下策略,点击图中标示处编辑
打开远程访问审阅窗口,点击远程客户端更改
修改客户端设置,删除默认选择的用户组,添加我们之前创建的包含CLIENT1客户端的用户组(DirectAccess Clients),并清除“仅为移动计算机启用DirectAccess”复选框,下一步
这里可以输入支持人员电子邮件地址,以及更改客户端DirectAccess连接的显示名称,默认点击完成
更改好了以后,点击确定
现在可以点击完成
向导将自动部署
自动部署完成,确认没有错误或警告信息
部署完成后,打开组策略管理,可以看到已经自动生成了两条策略,一条是针对DirectAccess服务端,一条针对需要启用DirectAccess功能的客户端的策略
从开始屏幕打开远程访问,在远程访问管理控制台中,查看操作状态面板,确保所有的状态都显示为工作状态
5. 服务器配置完成后,接下来要配置启用远程访问功能的客户端
为了测试方便,我为安装了Windows8的客户端电脑CLIENT1配置了双网卡,一个网卡连接到内网,命名为contoso,一个网卡连接到模拟公网环境中,命名为internet,所有网卡均采用自动获取IP地址的方式。
首先将CLIENT1接入内网,将internet网卡禁用
在命令行中,运行gpupdate /force更新组策略,然后重启电脑
重新开机后,在Windows8开始屏幕输入powershell,查找到Windows PowerShell工具,右键以管理员身份运行,在命令窗口中输入Get-DnsClientNrptPolicy回车,将显示出客户应用的名称解析策略表(NRPT)
再运行Get-NCSIPolicyConfiguration,将显示出当前的网络连接状态指示器的设置情况
请注意DomainLocationDeterminationURL 的值是https://DirectAccess-NLS.contoso.com:443/insideoutside,这个值是快速部署向导自动生成的,并且在域中的DNS中自动生成了A记录,指向了部署DirectAccess功能的服务器EDGE1的内网地址,只要客户端可以访问此网络位置服务器 URL,则客户端就会确定自己当前是在内网域环境中,NRPT的策略设置就不会启用
接下来再运行Get-DAConnectionStatus,该命令将显示客户端当前连接状态
因为我们现在是在内网中,所以statusr的值为ConnectedLocally
由于在这个快速部署环境中,客户端并没有配置6to4,需要在客户端CLIENT1上禁用6to4,输入命令:
netsh interface 6to4 set state state=disabled
现在我们来看一下客户端的网络连接状态,点击右下角的系统通知栏的网络图标
由于客户端现在处于内网,显示工作区连接已在本地连接
查看工作区连接属性
状态已连接
把内网网卡禁用
这时肯定是无法连接的
我们启用internet网卡,让电脑连接到模拟公网
这时显示网络已经连接,工作区也已经连接
查看一下工作区连接属性
状态显示你已远程连接,这里我们就成功的从公网连接到了内网
下面我们来测试一下访问内网的共享文件和内网的WEB网站
输入前面在环境部署中搭建的APP1服务器的共享\\app1.contoso.com\
已经顺利的进入了共享文件夹
打开共享的文本文件,OK
输入APP1服务器的WEB网站地址http://app1.contoso.com,看到了IIS8的标志,OK
再输入模拟公网的网站地址http://inet1.contoso.com,OK
打开内网EDGE1服务器,从开始屏幕打开远程访问管理
查看远程客户端状态,显示了当前通过远程访问连接的客户端状态
DirectAccess功能可以在没有用户登录系统的状态下连接到内网,这个测试可以这样做:在DC上新建一个用户,在通过远程访问连接的客户端上登录该用户,看看效果怎么样。(截图略)
总结:(摘录自网上文章)
在Windows 7中对DirectAccess进行排错的工作非常困难。但在Windows 8中,客户端的体验就好很多了。新DirectAccess中连接的属性通过网络的用户界面很容易就能看到,该界面可以告诉我们当前DirectAccess的状态,并且如果没有连接,还会提供补救措施。
此外,在某些情况下如果有多个网络接入点可供DirectAccess使用,该界面还会显示用户当前连接的站点,并且如果有必要,还可以连接到其他站点的接入点。
但如果所有接入点都连接失败,属性页面还可以让客户端收集DirectAccess日志(保存在一个可读性非常高的HTML文件中),并用电子邮件将其发送给技术支持人员,协助对问题进行排查。(除非用户能把它关掉,并且禁止别人使用)
因此基本上,通过对支持人员的电子邮件地址进行配置,为用户提供切换不同接入点的能力,以及临时从DirectAccess断开的能力,都可以通过组策略对象(GPO)进行配置。