Управление, подключение и обновление клиентов прямого доступа |

16 февраля Сервер 2012

За последние 6 месяцев я участвовал во многих установках Direct Access, некоторые из которых были отдельными серверами, а некоторые были более крупными кластерными развертываниями Direct Access. Через несколько недель я всегда здесь, чтобы был записан вызов поддержки, как показано ниже.

Я не могу пропинговать своих клиентов прямого доступа … Я не могу отправить обновления своим клиентам прямого доступа … Я не могу RDP своим клиентам прямого доступа и т. Д.

Причина, по которой люди регистрируют эти вызовы, заключается в том, что они не понимают технологию, лежащую в основе прямого доступа. Прямой доступ использует IPV6 для подключения к вашему серверу прямого доступа. Если у вас нет собственной сети IPV6, вы будете использовать преобразование 6to4, когда клиент прямого доступа подключается к сети, как только в сети он использует стандартный DNS. Таким образом, внешний клиент может общаться с чем угодно внутри, однако такой конвертации 4to6 не существует … поэтому любые внутренние серверы или клиенты НЕ МОГУТ инициировать связь обратно с конечной точкой прямого доступа, все подключения запускаются извне.

Вот несколько сценариев, которые объясняют эту ситуацию дальше:

  • Клиенты прямого доступа могут загружать обновления антивируса с вашего сервера обновлений антивируса, такого как Mcafee, но если вам нужно быстро развернуть обновление, антивирусный сервер не может общаться с клиентами прямого доступа.
  • Ваши клиенты прямого доступа могут использовать RDP в вашей сети для использования ресурсов, но вы не можете предлагать удаленную помощь той же конечной точке, что и RDP по адресу IPV6, который есть у конечной точки.

Чтобы поместить это в одну строку, вы не можете инициировать контакт с клиентами прямого доступа, если ваша сеть не является собственным IPV6. Тем не менее, существует обходной путь, мы можем настроить ISATAP, чтобы позволить серверам «управлять» / подключаться к нашим клиентам прямого доступа, в следующих шагах мы настраиваем «селективную среду ISATAP», которая позволит отдельным серверам в группе управлять.

Прямой доступ — настройка селективной среды ISATAP

  1. Сначала нам нужно создать новую запись A, которая указывает на наш сервер прямого доступа. замещать domain.com с вашим собственным доменом и заменить techieshelpisatap с вашим доменным именем IASTAP, например;
    techieshelpISATAP.domain.com
  2. Теперь нам нужно создать группу безопасности, мы делаем любой сервер, которым мы хотим «управлять», членом этой группы, называем группу DAManageOUT.
    DAManageOUT
  3. Теперь в управлении групповой политикой создайте новый объект групповой политики и назовите его ISATAP прямого доступа, в настройках области действия удалите Аутентифицированные пользователи и добавить DAManageOUT группа, установите параметры объекта групповой политики в Настройки конфигурации пользователя отключены.
  4. Теперь перейдите к Конфигурация компьютера | Политики | Административные шаблоны | Сеть | Настройки TCPIP | Переходные технологии IPv6. Включите следующее:

    Имя маршрутизатора ISATAP: Включено
    Введите имя маршрутизатора, чтобы быть записью A, которую мы создали ранее, в моем случае это был TechieshelpISATAP.domain.com.

    ISATAP State: Включено

    настройка прямого доступа

  5. Наконец перезагрузите любой сервер, который вы добавили в свою группу безопасности, а также любого клиента, который вам требуется для использования этого сервера, убедитесь, что объект групповой политики распространяется.

Ссылка на основную публикацию