当前位置:网站首页 > Windows运维 > 正文

DA服务器的配置及客户端验证

作者:jinxijing发布时间:2019-04-15分类:Windows运维浏览:488


导读:DA服务器的配置及客户端验证下篇前一篇我们构建了DA实验的基础环境,这一篇主要看下DA服务器的配置及客户端验证DA服务器配置首先看下CLIENT1在...

DA服务器的配置及客户端验证

下篇

前一篇我们构建了DA实验的基础环境,这一篇主要看下DA服务器的配置及客户端验证

DA服务器配置

首先看下CLIENT1在内网测试访问APP1服务器,结果如下:

访问正常。

配置DA服务器

DA服务器-服务器管理器-工具-点击"远程访问"组件

运行开始向导

选择"仅部署DirectAccess"

网络拓扑选择"边缘",向导自动检索远程访问服务器的公用名称,这里是"directaccess.sr.local",下一步

点击"此处"可做一些修改,这里先跳过,后续通过步骤1,2,3,4一起修改,直接完成。

配置成功,但提示有警告。

接下来,我们需要做一些设置

点击步骤1-编辑

选择部署方案,默认,下一步

选择组,这里删除默认的组"Domain Computers",添加之前创建的安全组"da-clients"

取消勾选"仅为移动计算机启用direct access"设置.下一步

确认NCA资源URL及DA连接名称,完成。

切换到步骤2编辑

确认网络拓扑及DA对外访问名称

确认网络适配器信息,并选择用于IP-HTTPS连接的证书

身份验证页面,勾选"使用计算机证书",浏览选择企业CA的根证书,完成。

切换到步骤3-编辑

网络位置服务器页面,设置NLS服务器的URL,并点击验证通过。这里是https://2012r2-a.sr.local,也可以在DNS设置别名nls指向2012r2-a主机记录,下一步

确认DNS后缀及内部DNS服务器IPV6地址

DNS后缀搜索列表,默认设置,下一步

设置管理服务器IP地址,这里无。

点击完成,使更改生效。

成功应用配置。

仪表板查看DA各组件操作状态及配置状态。

域中新增2条GPO:DA服务器设置,DA客户端设置

Client 1强制更新策略

查看DA连接状态,显示为ConnectedLocally.

将客户端CLIENT1移至Internet网络

查看DA连接状态,显示为ConnectedRemotely.

查看客户端IP地址

测试与企业内部服务器网络连通性

Client1测试访问内网文件服务器和web服务器

 

客户端其它诊断命令:

Get-NCSIPolicyConfiguration

Get-DnsClientNrptPolicy

Get-NetIphttpsConfiguration

Netsh int 6to4 show state

远程客户端状态

DA配置的注意事项:

  • 域中计算机的Windows防火墙必须被启用,以便阻止默认配置文件中允许和阻止项, 因为禁用Windows防火墙服务也会禁用Ipsec
  • 如果你想使客户通过使用Teredo的连接,DirectAccess服务器外部物理接口上必须具有配置两个连续的公用IPv4地址,并且DA服务器不能在NAT设备后面。这是对于一个Teredo客户端NAT检测的要求;
  • 如果DirectAccess服务器位于NAT设备之后或只有一个网络接口,只能使用IP-HTTPS方式来部署用于客户端连接。
  • 验证PKI基础设施和服务器证书。企业内部有CA架构或企业使用公共CA颁发的证书,域计算机配置自动申请证书,DA服务器除自动申请的一张计算机证书外,还要单独申请一张用于IP-HTTPS连接的计算机证书(证书公用名和访问名称要一致),如果是企业CA,最好还需设置CRL证书吊销列表并对外发布
  • 检查DirectAccess客户端安全组的成员在远程访问设置向导的第1步
  • DA连接的防火墙端口例外设置Firewall exceptions