Windows Server 2012 R2 DirectAccess功能测试(7)—客户端访问测试
八、Client访问测试
配置Client。
首先先登录域控,将要测试的漫游客户端Client添加到创建的DA-Clients组中
将漫游客户端Client放置在内网,让其*获取IP地址,并应用组策略。使用域帐号登录Client,会看到已经自动通过DirectAccess成功连接到内网
以管理员身份打开PowerShell,输入命令:Get-DnsClientNrptPolicy,可以查看名称解析策略表NRPT中nls服务器为nls.corp.sxleilong.com,它是APP1服务器的别名。所有其它内部网络名称解析为corp.sxleilong.com的将使用DA服务器的内部IPv6地址2001:db8::1:2与外网通信。
输入命令:Get-NCSIPolicyConfiguration,可以查看到网络位置服务器的URL,用于确定Client的位置,成功连接到url的客户端被认为是位于内部网络上,并且不会使用DirectAccess策略
输入命令:Get-DAConnectionStatus,由于Client能访问到网络位置服务器的URL,所以状态会显示ConnectedLocally。
测试从公网进行远程访问。
当切换客户端到公网时,客户端会提示如下图所示,点击“YES”
可以看到DirectAccess连接状态依旧显示“Connected”
此时,我们再次使用命令:Get-DAConnectionStatus,可以查看到状态显示为:ConnectedRemotely。
Ping Inter.isp.example.com测试,会得到4条来自131.107.0.1的响应。Ping App1.corp.sxleilong.com测试,由于App1是一个启动了IPv6的内网资源,所以ICMP响应是来自App1服务器的IPv6地址2001:db8:1::3。Ping App2.corp.sxleilong.com测试,因为我这里是使用WindowsServer 2012模拟一个只有IPv4通信的文件服务器,所以系统动态的创建了一个NAT64地址,地址为fdb5:9e49:468c:7777::a00:4 (为fdxx:xxxx:xxxx:7777::/96格式)
分别验证访问Inter.sip.example.com、App1.corp.sxleilong和App2.corp.sxleilong.com均正常
验证访问App1上的共享文件夹和App2上的共享文件夹,也均测试通过
以管理员身份打开PowerShell,输入命令Get-NetIPHTTPSConfiguration,检查组策略应用到客户端指向到https://Directaccess.sxleilong.com:443/IPHTTPS的设置
输入命令wf.msc,打开高级安全防火墙控制台,展开Monitoring—》Security Associations,可以看到认证方式使用ComputerKerberos和UserKerberos,可以使用ComputerCertificate和UserKerberos
选中“ConnectionSecurity Rules”,可以查看提供DirectAccess连接的规则策略
本文出自 “Ray” 博客,请务必保留此出处http://sxleilong.blog.51cto.com/5022169/1357455
转载于:https://blog.51cto.com/tsingtao/1664912