7 стъпки за диагностика на клиентите DirectAccess

Аз съм с DirectAccess за доста дълго време и не знам какво щях да правя без него. Много удобно да имате постоянна връзка. Не е нужно да имате, за да не мисля за VPN връзки започнете да се притеснявате за това дали да тече ми VPN връзка, и не е необходимо да се справят с ужасните уеб приложения, които са достъпни чрез портала на SSL VPN. С DirectAccess, че мога да използвам всички видове техните настолни приложения на вашия клиент за извършване на качествена работа без да се налага да се притеснявате за свързване. Просто винаги свързани. От гледна точка на потребителя - това е една сбъдната мечта.

Въпреки това, администраторите може да се наложи да се диагностицира DirectAccess връзката за всеки отделен случай. Докато DirectAccess връзка е много надежден, няма нищо перфектно в света, и може да има ситуации, когато клиентите не могат да се свързват, са причина да се наложи да се определи причината за проблема. Това е, което ние ще обсъдим в тази статия: някои основни стъпки, които можете да предприемете, за да се диагностицира клиентските връзки DirectAccess.

Въз основа на документацията на Microsoft и собствения си опит на пробата и грешката, аз ви предлагам план за седем стъпки за диагностика свързаност за клиенти DirectAccess:

Сега нека да разгледаме всяка стъпка по-подробно.

Проверка на настройките на Group Policy

клиенти DirectAccess получите настройките си клиенти чрез Group Policy. Ако Group Policy не се прилага към клиента DirectAccess, тя няма да бъде в състояние да работи като клиент DirectAccess. Има много начини, за да проверите настройките на групови правила на клиента DirectAccess, но любимото ми е да се провери за наличие на защитната стена на Windows правила за сигурност връзка (правилата за взаимно свързване за сигурност), които клиентите DirectAccess използват, за да се свържете със сървъра за UAG DirectAccess. Тези права са възложени чрез Group Policy, така че ако са те, а след това е бил приложен политика на групата.

Можете да въведете wf.msc в Windows 7 машина лентата за търсене, за да отворите конзола защитна стена на Windows Firewall с разширена защита. В левия панел на конзолата, кликнете върху раздела на правилата за сигурност връзка (правилата за взаимно свързване за сигурност).

7 стъпки за диагностика на клиентите DirectAccess

Ако видите трите правила, показани на фигура 1: UAG DirectAccess Клиент "Клиенти достъп, осигуряващо Тунел" Всичко. UAG DirectAccess на Клиенти Клиенти Corp тунела и UAG DirectAccess Клиенти "Пример от АНО. можете да бъдете сигурни, че се прилага в областта на политиката.

За да се уверите, че клиентът знае, че не е в интранет

Клиентът DirectAccess трябва да знае дали е в или извън корпоративната мрежа. Ако той се намира в рамките на корпоративната мрежа, тя забранява тунелите DirectAccess и използва местната разрешаване на имена на DNS сървъра на базата, която е посочена в настройките на мрежовата карта на интерфейс. Ако клиентът DirectAccess е извън корпоративната мрежа, тя ще създаде DirectAccess тунели, за да се свържете със сървъра за UAG DirectAccess и ще позволи на сървъра на UAG DirectAccess за разрешаване на имена за клиенти DirectAccess.

Можете бързо да се определи дали клиентът DirectAccess знае дали е в или извън корпоративната мрежа, като се използва следната команда:

netshdns показва това състояние,

Тази команда трябва да се върне изход, подобно на фигура 2 по-долу.

Както е показано на фигурата, местоположението на машината е посочена като извън корпоративната мрежа (Извън корпоративна мрежа). Ако машината се казва, че тя е в рамките на корпоративната мрежа, когато в действителност не е така, тогава ще трябва да се търси причината за това съобщение. И ако колата по време на корпоративната мрежа, съобщи, че е навън, то ще се наложи да потърсите причината за това. Във втория случай, проблемът е, най-вероятно във връзката на проблема с сървъра на места в мрежата (Network сървър за местоположението - NLS).

Проверете името на настройките за правилото маса резолюция за клиента DirectAccess

Име Правила за разрешаване на (име на правилата на маса Резолюция - NRPT) таблица, използван от клиента DirectAccess да се определи кои DNS сървър, за да се използва за разпознаване на имената. Когато клиентът DirectAccess е във вътрешната мрежа, на NRPT е изключена, а само DNS сървър, използван от клиента, а DNS сървъра, който е конфигуриран в картата за мрежов интерфейс. Въпреки това, когато клиентът DirectAccess е извън корпоративната мрежа, това NRPT е включен и се използва за да определи кои DNS сървър ще бъде използван за резолюция име, в зависимост от името, което искате да разрешите.

параметри NRPT маса могат да се видят със следната команда:

Netsh пространство от имена шоу effectivepolicy

7 стъпки за диагностика на клиентите DirectAccess

клиенти DirectAccess използват IPv6, за да установи връзка със сървъра DirectAccess. Винаги е така. Клиентът DirectAccess да използвате IPv6 да общуват с ресурси на интранет. Такъв е случаят, ако интранет ресурси поддържат IPv6. Въпреки това, ако ресурсът на интранет не поддържа IPv6, можете UAG DirectAccess сървъра ще използва NAT64 / DNS64 за превод IPv6 комуникация от DirectAccess клиент IPv4 ресурс във вътрешната мрежа. Важно е да се разбере, че клиентът DirectAccess винаги използва IPv6 при свързване към сървъра на UAG DirectAccess.

Въпреки това, тъй като IPv6 интернет за повечето от нас все още не съществува, ние трябва да се предават съобщения чрез IPv6 IPv4 интернет, а това, което правим с помощта на IPv6 преходните технологии. Клиентът DirectAccess да използвате един от трите преходни технологии IPv6 да се свърже с UAG DirectAccess сървъра през интернет IPv4:

Можете да определите какъв вид преход технологиите IPv6 се използва като изпълните командата IPCONFIG / всички.

Проверка на удостоверяване DirectAccess клиент

Когато клиентът DirectAccess свързва със сървъра на UAG DirectAccess, тя използва IPsec тунели, за да се гарантира свързаност към корпоративната мрежа. два тунела, използвани тук:

  • Инфраструктурата на тунел (Инфраструктура тунел) "този тунел е създаден преди влизане на потребителя с помощта на сертификат за компютър и потребител на сметка компютър в Active Directory, както и с помощта на NTLMv2 автентификация. Той използва два метод за идентификация, за да създадете първия тунел и клиента DirectAccess имат достъп само до определен брой компютри чрез тунел инфраструктура.
  • Тунел интранет (Интранет тунел) "този тунел е създаден след създаването на инфраструктурата на тунела, като тунел инфраструктура е длъжен да предостави достъп до домейн контролери за Kerberos удостоверяване. Интранет тунел използва удостоверяване на базата сертификат компютър и въз основа на влезли в потребителски акаунт (Kerberos), за да създадете втори тунел. Тунел интранет позволява на потребителя да се свърже с останалата част от мрежата.

Въпросът е: как да знам кой метод за удостоверяване се използва и кое не е / работа? Един от начините да направите това е да използвате конзолата защитната стена на Windows с Advanced Firewall Security. Разширете наблюдение (мониторинг). след това разширяване асоциации за сигурност (Асоциации сигурност) и кликнете върху раздела Basic Mode (Main Mode). Тук можете да видите асоциация за сигурност в родния режим за интранет и инфраструктурни тунели, както е показано на фигура 5. Обърнете внимание, че секцията на втория метод за удостоверяване (2-ри Метод за удостоверяване) има връзки с помощта на NLTMv2 и Kerberos V5. NTLM се използва за удостоверяване на инфраструктурата на тунела, и Kerberos използва интранет тунела.

Проверете връзката към сървърите на DNS и домейн контролери

Както и в случая на диагностични сценарии без DirectAccess, трябва да се гарантира, че клиентът DirectAccess може да взаимодейства с контролери на домейни и DNS сървъри.

Например, можете да изпълните следната команда:

Можете лесно да се тества резолюция име с пинг, както е показано на фигура 7 по-долу.

7 стъпки за диагностика на клиентите DirectAccess

заключение

В тази статия, ние погледна кратко въведение за това как да се диагностицира клиентите DirectAccess. Проверете тези седем точки ще ви помогне да получите информацията, която е необходима, за да ръководи действията си за справяне с проблемите в правилната посока. Ако искате да научите повече за UAG DirectAccess, като за начало е най-подходящи насоки за диагностика в тест лаборатория за UAG DirectAccess, която може да бъде намерена тук. Нека да знаят, ако имате някакви въпроси относно диагнозата UAG DirectAccess и аз ще направя всичко възможно, за да ви насочи в правилната посока.