Direct Access技术之四：DA服务器的配置及客户端验证

下篇

前一篇我们构建了DA实验的基础环境，这一篇主要看下DA服务器的配置及客户端验证

DA服务器配置

首先看下CLIENT1在内网测试访问APP1服务器，结果如下：

访问正常。

 

配置DA服务器

DA服务器-服务器管理器-工具-点击“远程访问”组件

运行开始向导

选择“仅部署DirectAccess”

网络拓扑选择“边缘”，向导自动检索远程访问服务器的公用名称，这里是“directaccess.sr.local”,下一步

点击“此处”可做一些修改，这里先跳过，后续通过步骤1，2，3，4一起修改，直接完成。

配置成功，但提示有警告。

接下来，我们需要做一些设置

点击步骤1-编辑

选择部署方案，默认，下一步

选择组，这里删除默认的组“Domain Computers“,添加之前创建的安全组”da-clients”

取消勾选”仅为移动计算机启用direct access“设置.下一步

确认NCA资源URL及DA连接名称，完成。

切换到步骤2编辑

确认网络拓扑及DA对外访问名称

确认网络适配器信息，并选择用于IP-HTTPS连接的证书

身份验证页面，勾选“使用计算机证书“，浏览选择企业CA的根证书，完成。

切换到步骤3-编辑

网络位置服务器页面，设置NLS服务器的URL，并点击验证通过。这里是https://2012r2-a.sr.local，也可以在DNS设置别名nls指向2012r2-a主机记录,下一步

确认DNS后缀及内部DNS服务器IPV6地址

DNS后缀搜索列表，默认设置，下一步

设置管理服务器IP地址，这里无。

点击完成，使更改生效。

成功应用配置。

仪表板查看DA各组件操作状态及配置状态。

域中新增2条GPO:DA服务器设置，DA客户端设置

Client 1强制更新策略

查看DA连接状态，显示为ConnectedLocally.

将客户端CLIENT1移至Internet网络

 

查看DA连接状态，显示为ConnectedRemotely.

查看客户端IP地址

测试与企业内部服务器网络连通性

Client1测试访问内网文件服务器和web服务器

 

客户端其它诊断命令：

Get-NCSIPolicyConfiguration

Get-DnsClientNrptPolicy

Get-NetIphttpsConfiguration

Netsh int 6to4 show state

远程客户端状态

DA配置的注意事项：

• 域中计算机的Windows防火墙必须被启用，以便阻止默认配置文件中允许和阻止项， 因为禁用Windows防火墙服务也会禁用Ipsec

• 如果你想使客户通过使用Teredo的连接，DirectAccess服务器外部物理接口上必须具有配置两个连续的公用IPv4地址，并且DA服务器不能在NAT设备后面。这是对于一个Teredo客户端NAT检测的要求；

• 如果DirectAccess服务器位于NAT设备之后或只有一个网络接口，只能使用IP-HTTPS方式来部署用于客户端连接。

• 验证PKI基础设施和服务器证书。企业内部有CA架构或企业使用公共CA颁发的证书，域计算机配置自动申请证书，DA服务器除自动申请的一张计算机证书外，还要单独申请一张用于IP-HTTPS连接的计算机证书（证书公用名和访问名称要一致），如果是企业CA，最好还需设置CRL证书吊销列表并对外发布

• 检查DirectAccess客户端安全组的成员在远程访问设置向导的第1步

• DA连接的防火墙端口例外设置Firewall exceptions

更多（排错部分在文档结尾）