Windows Server 2012 R2 DirectAccess功能测试(7)―客户端访问测试

八、Client访问测试

配置Client

首先先登录域控,将要测试的漫游客户端Client添加到创建的DA-Clients组中

wKioL1LtwqfQ8TGlAAMHYjBaYHU146.jpg


将漫游客户端Client放置在内网,让其自由获取IP地址,并应用组策略。使用域帐号登录Client,会看到已经自动通过DirectAccess成功连接到内网

wKiom1LtwsuS2P1lAACmD1fq83U895.jpg


以管理员身份打开PowerShell,输入命令:Get-DnsClientNrptPolicy,可以查看名称解析策略表NRPTnls服务器为nls.corp.sxleilong.com,它是APP1服务器的别名。所有其它内部网络名称解析为corp.sxleilong.com的将使用DA服务器的内部IPv6地址2001:db8::1:2与外网通信。

wKioL1Ltwqehw_o0AANkWDObms8267.jpg


输入命令:Get-NCSIPolicyConfiguration,可以查看到网络位置服务器的URL,用于确定Client的位置,成功连接到url的客户端被认为是位于内部网络上,并且不会使用DirectAccess策略

wKiom1LtwsySzS6dAAGgIrvDZG8291.jpg


输入命令:Get-DAConnectionStatus,由于Client能访问到网络位置服务器的URL,所以状态会显示ConnectedLocally

wKiom1LtwsyS2_5OAACGsdX53xw912.jpg


测试从公网进行远程访问。

当切换客户端到公网时,客户端会提示如下图所示,点击“YES

wKioL1LtwqjDz33aAAEFZUoLJZg334.jpg


可以看到DirectAccess连接状态依旧显示“Connected

wKiom1LtwsyC74waAACaD0RkTbo166.jpg


此时,我们再次使用命令:Get-DAConnectionStatus,可以查看到状态显示为:ConnectedRemotely

wKioL1LtwqngviOlAAEdfR41zQQ411.jpg


Ping Inter.isp.example.com测试,会得到4条来自131.107.0.1的响应。Ping App1.corp.sxleilong.com测试,由于App1是一个启动了IPv6的内网资源,所以ICMP响应是来自App1服务器的IPv6地址2001:db8:1::3Ping App2.corp.sxleilong.com测试,因为我这里是使用WindowsServer 2012模拟一个只有IPv4通信的文件服务器,所以系统动态的创建了一个NAT64地址,地址为fdb5:9e49:468c:7777::a00:4 (为fdxx:xxxx:xxxx:7777::/96格式)

wKioL1LtwqnT0DsEAARwoTP8jGE232.jpg


分别验证访问Inter.sip.example.comApp1.corp.sxleilongApp2.corp.sxleilong.com均正常

wKiom1Ltws6iGyQEAALBpV0m4Do348.jpg


验证访问App1上的共享文件夹和App2上的共享文件夹,也均测试通过

wKioL1LtwquyEfVTAAHXkm_K5Uw672.jpg


以管理员身份打开PowerShell,输入命令Get-NetIPHTTPSConfiguration,检查组策略应用到客户端指向到https://Directaccess.sxleilong.com:443/IPHTTPS的设置

wKiom1Ltws-DMCDtAAEfnAbzsHY532.jpg


输入命令wf.msc,打开高级安全防火墙控制台,展开Monitoring―》Security Associations,可以看到认证方式使用ComputerKerberosUserKerberos,可以使用ComputerCertificateUserKerberos

wKiom1LtwtDj6cVtAAJ-_G7-KwQ360.jpg


选中“ConnectionSecurity Rules”,可以查看提供DirectAccess连接的规则策略

wKioL1Ltwqzz3YumAAKt3_PlerE981.jpg



你可能感兴趣的:(DA)