Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Будущее Starfield, фанаты The Day Before, Spider-Man 2 и Wolverine на PC! Новости игр ALL IN 21.12

Обзор Warhammer 40000: Rogue Trader

Видеообзор Avatar: Frontiers of Pandora

Во что поиграть на этой неделе — 7 июля (Accel World VS. Sword Art Online, Heroes Never Die, Это ты)

Во что поиграть на этой неделе — 27 октября (Assassin's Creed Истоки, Wolfenstein 2 New Colossus)

Игромания! Игровые новости, 25 января (Iron Maiden, The Elder Scrolls, Minecraft, FNaF World)

Во что поиграть на этой неделе — 8 ноября + Лучшие скидки на игры

Во что поиграть на этой неделе — 19 января (Street Fighter 5: Arcade Edition, InnerSpace)

Игромания! Игровые новости, 22 мая (Ведьмак, Destiny 2, Life is Strange, Sega, GTA 5)

Игромания! ИГРОВЫЕ НОВОСТИ, 26 февраля (Корсары 4, Call of Cthulhu, Five Nights at Freddy’s)

Left 2 Play - Выпуск 02 - Left 4 Dead (комментарии)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1510
Видео: 220
Каталог файлов: 98
Каталог статей: 6781
Фотоальбом: 1236
Форум: 1137/8079
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1663
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 8

Из них:
Пользователи: 1588
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1258
Девушек 403


ON-Line всего: 3
Гостей: 3
Пользователей: 0

Сейчас на сайте:


Кто был?
Фокусник, valerymasyaev,
День Рождения у: cnc-profi(37)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

7 шагов диагностики клиентов DirectAccess

DirectAccess является новой технологией удаленного доступа от Microsoft, позволяющей всегда быть подключенным к сети компании независимо от места нахождения. К тому же, DirectAccess позволяет ИТ персоналу предприятия всегда быть подключенным к управляемым ими активам, чтобы иметь постоянную возможность управления этими активами, содержать их в актуальном состоянии, обеспечивать их соответствие и всегда держать их под контролем сотрудников ИТ отдела предприятия. DirectAccess обеспечивается сочетанием Windows 7 и Windows Server 2008 R2, и становится еще мощнее, если добавить в эту конфигурацию продукт Unified Access Gateway (UAG) 2010. Хотя работа DirectAccess возможна без UAG, без данного продукта это решение не является жизнеспособным, готовым к работе на предприятиях решением.

Я использую DirectAccess уже достаточно длительное время и не знаю, чтобы я делала без него. Очень удобно иметь постоянное подключение. Мне не нужно думать о запуске VPN подключений, не нужно беспокоиться о том, будет ли работать мое VPN подключение, и не нужно иметь дела с ужасными веб-приложениями, которые доступны через SSL VPN шлюз. Благодаря DirectAccess я могу использовать свои всевозможные приложения для настольных компьютеров на своем клиенте для выполнения качественной работы без необходимости задумываться о подключении. Я просто всегда подключена. С точки зрения пользователя – это мечта, ставшая реальностью.

Однако, администраторам, возможно, придется диагностировать DirectAccess подключения от случая к случаю. Хотя DirectAccess подключения весьма надежны, в мире нет ничего идеального, и могут возникать ситуации, когда клиенты не могут подключиться, в результате чего вам придется определять причины проблемы. Именно это мы и будем обсуждать в этой статье: некоторые основные шаги, которые можно предпринять для диагностики подключений DirectAccess клиентов.

Основываясь на документации Microsoft и своем собственном опыте проб и ошибок, предлагаю вам свой план из семи шагов по диагностике подключения DirectAccess клиентов:

  • Проверить, что клиенты DirectAccess получили свои параметры групповой политики
  • Проверить, что клиент знает, что он находится не в интрасети
  • Проверить NRPT параметры на DirectAccess клиенте
  • Проверить IPv6 адрес на DirectAccess клиенте
  • Убедиться в наличии проверки подлинности для DirectAccess туннелей
  • Проверить работоспособность подключения к DNS и контроллерам домена

А теперь давайте рассмотрим каждый шаг более подробно.

Проверка параметров групповой политики

DirectAccess клиенты получают свои клиентские параметры через групповую политику. Если групповая политика не применена к DirectAccess клиенту, он не сможет работать в качестве DirectAccess клиента. Есть множество способов проверки параметров групповой политики на DirectAccess клиенте, но моим любимым является проверка брандмауэра Windows на наличие правил безопасности подключений (Connection Security Rules), которые DirectAccess клиенты используют для подключения к UAG DirectAccess серверу. Эти правила назначаются групповой политикой, поэтому если они есть, то групповая политика применена.

Можно ввести wf.msc в строку поиска на машине Windows 7, чтобы открыть консоль брандмауэра Windows Firewall with Advanced Security. В левой панели консоли нажмите на разделе Правила безопасности подключения (Connection Security Rules).

*

Рисунок 1

Если вы видите три правила, показанных на рисунке 1: UAG DirectAccess Client ' Clients Access Enabling Tunnel ' All, UAG DirectAccess Clients ' Clients Corp Tunnel и UAG DirectAccess Clients ' Example NLA, то можете быть уверены, что групповая политика применена.

Проверка того, что клиент знает, что он находится не в интрасети

Клиент DirectAccess должен знать, находится ли он в или за пределами корпоративной сети. Если он расположен в пределах корпоративной сети, он отключает DirectAccess туннели и использует локальное разрешение имен на основе DNS сервера, который указан в настройках его сетевой карты. Если DirectAccess клиент находится за пределами корпоративной сети, он будет создавать DirectAccess туннели для подключения к UAG DirectAccess серверу, и будет позволять UAG DirectAccess серверу разрешать имена для DirectAccess клиента.

Можно быстро определить, знает ли клиент DirectAccess о том, находится ли он в или за пределами корпоративной сети, с помощью следующей команды:

netshdns show state

Эта команда должна вернуть результат, похожий на рисунок 2 ниже.

*
Увеличить

Рисунок 2

Как показано на рисунке, расположение машины обозначено как Вне корпоративной сети (Outside corporate network). Если бы машина сообщила о том, что она находится в пределах корпоративной сети, когда на самом деле это не так, то вам пришлось бы искать причину такого сообщения. А если машина, находясь в корпоративной сети, сообщает о том, что она находится за ее пределами, также придется искать причину этого. Во втором случае неисправность, скорее всего, в проблеме подключения к серверу сетевых расположений (Network Location Server - NLS).

Проверка параметров таблицы политики разрешения имен на клиенте DirectAccess

Таблица политики разрешения имен (Name Resolution Policy Table - NRPT) используется клиентом DirectAccess для определения того, какой DNS сервер должен использоваться для разрешения имени. Когда DirectAccess клиент находится во внутренней сети, NRPT отключена, и единственным DNS сервером, используемым клиентом, является DNS сервер, настроенный на его сетевой карте. Однако когда DirectAccess клиент находится за пределами корпоративной сети, NRPT включается и используется для определения того, какой DNS сервер будет использоваться для разрешения имен в зависимости от имени, которое нужно разрешить.

Параметры таблицы NRPT можно посмотреть с помощью следующей команды:

netsh namespace show effectivepolicy

*

Рисунок 3

На рисунке 3 видно, что все имена в домене corp.contoso.com будут отправляться на DNS сервер по адресу 2002:836b:3::836b:3, а это 6to4 адрес на сервере UAG DirectAccess. Сервер UAG DirectAccess используется в качестве DNS сервера, так как UAG DirectAccess использует DNS64 в качестве DNS прокси для клиентов DirectAccess. Обратите внимание, что имя nls.corp.contoso.com не имеет адреса DNS сервера в списке, поскольку оно представляет собой исключение из серверов в corp.contoso.com собрании. Причина в том, что вам не нужно, чтобы клиент DirectAccess подключался к NLS, находясь за пределами корпоративной сети, поскольку клиент DirectAccess использует подключение к NLS для определения того, когда он находится в корпоративной сети!

Проверка IPv6 адресов на клиенте DirectAccess

DirectAccess клиенты используют IPv6 для взаимодействия с DirectAccess сервером. Это всегда так. Клиент DirectAccess может также использовать IPv6 для взаимодействия с ресурсами в интрасети. Это будет так, если ресурсы интрасети поддерживают IPv6. Однако если ресурс интрасети не поддерживает IPv6, то UAG DirectAccess сервер будет использовать NAT64/DNS64 для перевода IPv6 сообщений с DirectAccess клиента IPv4 ресурсу в интрасети. Очень важно понимать, что DirectAccess клиент всегда использует IPv6 при подключении к UAG DirectAccess серверу.

Однако поскольку IPv6 интернет для большинства из нас пока еще не существует, нам нужно передавать IPv6 сообщения через IPv4 интернет, и это мы делаем с помощью технологий туннелирования IPv6. Клиент DirectAccess может использовать одну из трех технологий туннелирования IPv6 для подключения к UAG DirectAccess серверу через IPv4 интернет:

  • 6to4
  • Teredo
  • IP-HTTPS

Вы можете определить то, какая технология туннелирования IPv6 используется, запустив команду ipconfig /all.

*
Увеличить

Рисунок 4

На рисунке 4 выше видно, что Tunnel adapter 6TO4 Adapter используется для подключения к UAG DirectAccess серверу и что для него назначен IP адрес и основной шлюз. Основной шлюз – это 6to4 адрес UAG DirectAccess сервера.

При диагностике DirectAccess клиента необходимо убедиться в том, что для него имеется IPv6 адрес. Если нет IPv6 адреса, это указывает на то, что есть проблемы в настройке IPv6 на клиенте и внимание нужно уделить этому аспекту. Могут также возникать проблемы с подключением к UAG DirectAccess серверу, поэтому нужно обязательно выполнить пинг IPv6 адреса сервера UAG, такого адреса IPv6, который указан в строке основного шлюза адаптера 6to4.

Проверка аутентификации клиента DirectAccess

Когда клиент DirectAccess подключается к UAG DirectAccess серверу, он использует IPsec туннели для обеспечения подключения к корпоративной сети. Здесь используется два туннеля:

  • Туннель инфраструктуры (Infrastructure Tunnel) ' это туннель, создаваемый до входа пользователя с помощью сертификата компьютера и учетной записи пользователя компьютера в Active Directory, а также с помощью проверки подлинности NTLMv2. Используется два способа проверки подлинности для создания первого туннеля, и клиент DirectAccess может получить доступ только к определенному количеству компьютеров через туннель инфраструктуры.
  • Туннель интрасети (Intranet Tunnel) ' этот туннель создается после создания туннеля инфраструктуры, поскольку туннель инфраструктуры необходим для предоставления доступа к контроллерам домена для проверки подлинности Kerberos. Туннель интрасети использует проверку подлинности на основе сертификата компьютера и на основе учетной записи вошедшего пользователя (Kerberos) для создания второго туннеля. Туннель интрасети позволяет пользователю подключаться к остальной части сети.

Вопрос заключается в следующем: как узнать, какой способ проверки подлинности используется и что не/работает? Одним из способов сделать это является использование консоли брандмауэра Windows Firewall with Advanced Security. Разверните раздел Наблюдение (Monitoring), затем разверните раздел Сопоставления безопасности (Security Associations) и нажмите на разделе Основной режим (Main Mode). Здесь вы видите сопоставления безопасности в основном режиме для туннелей инфраструктуры и интрасети, как показано на рисунке 5. Обратите внимание, что в разделе Второй способ проверки подлинности (2nd Authentication Method) есть подключения, использующие NLTMv2 и Kerberos V5. NTLM используется для проверки подлинности туннеля инфраструктуры, а Kerberos используется туннелем интрасети.

*

Рисунок 5

Обычно у вас не должно возникать проблем с NTLM проверкой подлинности. Чаще проблемы возникают с проверкой подлинности Kerberos. Убедитесь, что учетная запись пользователя не отключена и что она использует текущий пароль, а не кэшированный пароль. Обратите внимание, что вы не увидите никаких подключений по туннелю интрасети Kerberos, пока не попытаетесь подключиться к ресурсу, который не входит в состав собрания серверов, определенных как серверы инфраструктуры. Эти соединения проходят через туннель инфраструктуры с NTLM проверкой подлинности.

Проверка подключения к DNS серверам и контроллерам домена

Как и в случае диагностики сценариев без DirectAccess, необходимо убедиться, что клиент DirectAccess может взаимодействовать с вашими контроллерами домена и DNS серверами.

Например, можно выполнить следующую команду:

nltest /dsgetdc:

и вы получите результат подобный тому, что показан на рисунке 6 ниже. Здесь показано, что клиент DirectAccess смог подключиться к контроллеру домена, а также предоставлена информация о IPv6 адресе контроллера домена. Следует отметить, что если контроллер домена не имеет IPv6 адрес, вы все равно увидите здесь IPv6 адрес, но это будет NAT64 адрес.

*

Рисунок 6

Вы легко можете проверить разрешение имен с помощью пинга, как показано на рисунке 7 ниже.

*

Рисунок 7

Если пинг запрос не выполняется по имени ресурса, попробуйте выполнить пинг запрос по его адресу IPv6. Если ресурс не поддерживает IPv6, вы можете выполнить пинг по его NAT64 адресу. Для информации о том, как рассчитать NAT64 адрес для узлов, поддерживающих только IPv4, можете использовать информация на блоге Тома здесь.

Заключение

В этой статье мы рассмотрели краткое введение о том, как диагностировать клиентов DirectAccess. Проверка этих семи моментов поможет вам получить информацию, необходимую для того, чтобы направить свои действия по устранению проблем в нужное русло. Если вы хотите узнать больше о UAG DirectAccess, для начала лучше всего подойдет руководство по диагностике в тестовой лаборатории для UAG DirectAccess, которое можно найти здесь. Дайте мне знать, если у вас возникли вопросы по диагностированию UAG DirectAccess, и я постараюсь сделать все от меня зависящее, чтобы направить вас в правильном направлении.

 


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " 7 шагов диагностики клиентов DirectAccess ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Цену на Fallout 3 сбросили в два раза
Игра Splinter Cell: Conviction не станет слишком лёгкой
ASUS и Paramount превратили ноутбук G60 в "трансформера"
Пополнение в линейке Olympus: FE-360 и FE-370
Демоверсия и дата выхода Resident Evil 5 на PC
Intel представила флагманский процессор для настольных ПК
Бесплатные офисы дорого обходятся Microsoft
«Рамблер Кинозал» - бесплатная загрузка лицензионного видео
Женское счастье: Cекс в семье
Совет недели по групповым политикам 6 – Настройка персонализации
Пять новых шестиядерных процессоров AMD Opteron
IDF SF 2008: Intel поделилась планами завоевания рынка SSD
Intel будет адаптировать свои продукты под особенности русской души
Игра Tropico 3 отправлена на золото
Английский трейлер Yakuza 2
«Тетрису» исполнилось 25 лет
Zune HD выходит 8 сентября
Релиз BioShock 2 откладывается
Почему уходят мужья.
Windows Seven – следующая ОС после Windows Vista

Если вам понравился материал "7 шагов диагностики клиентов DirectAccess", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (15.03.2011)
Просмотров: 1300

Ниже вы можете добавить комментарии к материалу " 7 шагов диагностики клиентов DirectAccess "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ



WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Игромания! ИГРОВЫЕ НОВОСТИ, 4 июня (Assassin's Creed Odyssey, Fallout 76, Battlefield 5)
Игромания! ИГРОВЫЕ НОВОСТИ, 4 июня (Assassin's Creed Odyssey, Fallout 76, Battlefield 5)
Star Citizen: Calling All Devs - In-Game Ship Renting & Insurance Timers
Star Citizen: Calling All Devs - In-Game Ship Renting & Insurance Timers
Видеообзор игры Halo: The Master Chief Collection
Видеообзор игры Halo: The Master Chief Collection
Вот почему вы никогда не сможете подделать деньги
Вот почему вы никогда не сможете подделать деньги
Человек муравей и оса клипсы (Русский) 2018
Человек муравей и оса клипсы (Русский) 2018
50 лучших игр E3 2018. Часть 2/5
50 лучших игр E3 2018. Часть 2/5
Elite Dangerous - Новости от GIF - выпуск 105 - Шахтёрство
Elite Dangerous - Новости от GIF - выпуск 105 - Шахтёрство
Джаконда - Исток Любви
Джаконда - Исток Любви
5 минут - и вы поймете за что нужно любить родителей...
5 минут - и вы поймете за что нужно любить родителей...
Все ждут продолжение этой игры! - Medieval II: Total War
Все ждут продолжение этой игры! - Medieval II: Total War

Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
Как выглядит путешествие в «превосходном классе» поезда Glacier Express
33 фотографии неуклюжих комочков, выросших в пушистых красавиц и красавцев
33 фотографии неуклюжих комочков, выросших в пушистых красавиц и красавцев
Потрясающие виды из номеров отелей (19 фото)
Потрясающие виды из номеров отелей (19 фото)
Героические животные, спасшие жизни людей
Героические животные, спасшие жизни людей
Порция демотиваторов (13 шт)
Порция демотиваторов (13 шт)
Что можно сделать из старых тракторных шин
Что можно сделать из старых тракторных шин
Тем временем в Азии
Тем временем в Азии
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz