在Windows Server 2012中部署DirectAccess時,有兩種不同形式的部署場景:快速安裝和高級配置。從較高角度來看,這兩種場景的區別請參見下表:
今天我將利用第一種方式“快速安裝”來部署一臺遠程訪問服務器,並測試客戶端的連接性。
利用“快速安裝”部署的DirectAccess服務器,只支持Windows8客戶端的連接。
在前面幾篇的環境部署中,已經部署好了基本的網絡環境,但在今天的環境中,EDGE1服務器只需要一個公網IP,網絡拓撲結構如下圖
1. 創建一臺運行Windows 8 的虛擬機,命名爲CLIENT1,並且加入contoso.com域(步驟略)
2. 在DC1中創建一個用戶組DirectAccess Clients,並將CLIENT1添加到該組中
3. 在EDGE1服務器上安裝遠程訪問功能
選擇遠程訪問角色
添加所需的功能
功能選項,保持默認
下一步
遠程訪問角色服務,保持默認,下一步
確認安裝內容後,開始安裝
安裝完成
4. 配置遠程訪問功能(DirectAccess)
打開開始嚮導
選擇僅部署DirectAccess
網絡拓撲結構選擇邊緣,輸入遠程訪問服務器公用名稱edge1.test.com(就是我在前面環境部署中設置好的模擬公網域名,指向的edge1服務器的公網網卡IP)
在這裏,先不要急着點擊完成,快速部署嚮導中會默認把DirectAccess功能部署到域中所有的筆記本電腦中,這裏我們需要更改一下策略,點擊圖中標示處編輯
打開遠程訪問審閱窗口,點擊遠程客戶端更改
修改客戶端設置,刪除默認選擇的用戶組,添加我們之前創建的包含CLIENT1客戶端的用戶組(DirectAccess Clients),並清除“僅爲移動計算機啓用DirectAccess”複選框,下一步
這裏可以輸入支持人員電子郵件地址,以及更改客戶端DirectAccess連接的顯示名稱,默認點擊完成
更改好了以後,點擊確定
現在可以點擊完成
嚮導將自動部署
自動部署完成,確認沒有錯誤或警告信息
部署完成後,打開組策略管理,可以看到已經自動生成了兩條策略,一條是針對DirectAccess服務端,一條針對需要啓用DirectAccess功能的客戶端的策略
從開始屏幕打開遠程訪問,在遠程訪問管理控制檯中,查看操作狀態面板,確保所有的狀態都顯示爲工作狀態
5. 服務器配置完成後,接下來要配置啓用遠程訪問功能的客戶端
爲了測試方便,我爲安裝了Windows8的客戶端電腦CLIENT1配置了雙網卡,一個網卡連接到內網,命名爲contoso,一個網卡連接到模擬公網環境中,命名爲internet,所有網卡均採用自動獲取IP地址的方式。
首先將CLIENT1接入內網,將internet網卡禁用
在命令行中,運行gpupdate /force更新組策略,然後重啓電腦
重新開機後,在Windows8開始屏幕輸入powershell,查找到Windows PowerShell工具,右鍵以管理員身份運行,在命令窗口中輸入Get-DnsClientNrptPolicy回車,將顯示出客戶應用的名稱解析策略表(NRPT)
再運行Get-NCSIPolicyConfiguration,將顯示出當前的網絡連接狀態指示器的設置情況
請注意DomainLocationDeterminationURL 的值是https://DirectAccess-NLS.contoso.com:443/insideoutside,這個值是快速部署嚮導自動生成的,並且在域中的DNS中自動生成了A記錄,指向了部署DirectAccess功能的服務器EDGE1的內網地址,只要客戶端可以訪問此網絡位置服務器 URL,則客戶端就會確定自己當前是在內網域環境中,NRPT的策略設置就不會啓用
接下來再運行Get-DAConnectionStatus,該命令將顯示客戶端當前連接狀態
因爲我們現在是在內網中,所以statusr的值爲ConnectedLocally
由於在這個快速部署環境中,客戶端並沒有配置6to4,需要在客戶端CLIENT1上禁用6to4,輸入命令:
netsh interface 6to4 set state state=disabled
現在我們來看一下客戶端的網絡連接狀態,點擊右下角的系統通知欄的網絡圖標
由於客戶端現在處於內網,顯示工作區連接已在本地連接
查看工作區連接屬性
狀態已連接
把內網網卡禁用
這時肯定是無法連接的
我們啓用internet網卡,讓電腦連接到模擬公網
這時顯示網絡已經連接,工作區也已經連接
查看一下工作區連接屬性
狀態顯示你已遠程連接,這裏我們就成功的從公網連接到了內網
下面我們來測試一下訪問內網的共享文件和內網的WEB網站
輸入前面在環境部署中搭建的APP1服務器的共享\\app1.contoso.com\
已經順利的進入了共享文件夾
打開共享的文本文件,OK
輸入APP1服務器的WEB網站地址http://app1.contoso.com,看到了IIS8的標誌,OK
再輸入模擬公網的網站地址http://inet1.contoso.com,OK
打開內網EDGE1服務器,從開始屏幕打開遠程訪問管理
查看遠程客戶端狀態,顯示了當前通過遠程訪問連接的客戶端狀態
DirectAccess功能可以在沒有用戶登錄系統的狀態下連接到內網,這個測試可以這樣做:在DC上新建一個用戶,在通過遠程訪問連接的客戶端上登錄該用戶,看看效果怎麼樣。(截圖略)
總結:(摘錄自網上文章)
在Windows 7中對DirectAccess進行排錯的工作非常困難。但在Windows 8中,客戶端的體驗就好很多了。新DirectAccess中連接的屬性通過網絡的用戶界面很容易就能看到,該界面可以告訴我們當前DirectAccess的狀態,並且如果沒有連接,還會提供補救措施。
此外,在某些情況下如果有多個網絡接入點可供DirectAccess使用,該界面還會顯示用戶當前連接的站點,並且如果有必要,還可以連接到其他站點的接入點。
但如果所有接入點都連接失敗,屬性頁面還可以讓客戶端收集DirectAccess日誌(保存在一個可讀性非常高的HTML文件中),並用電子郵件將其發送給技術支持人員,協助對問題進行排查。(除非用戶能把它關掉,並且禁止別人使用)
因此基本上,通過對支持人員的電子郵件地址進行配置,爲用戶提供切換不同接入點的能力,以及臨時從DirectAccess斷開的能力,都可以通過組策略對象(GPO)進行配置。