Delen via

STAP 13: DirectAccess-connectiviteit testen vanaf achter een NAT-apparaat

Wanneer een DirectAccess-client is verbonden met internet vanaf een NAT-apparaat of een webproxyserver, gebruikt de DirectAccess-client Teredo of IP-HTTPS om verbinding te maken met de RAS-server. Als het NAT-apparaat uitgaande UDP-poort 3544 naar het openbare IP-adres van de server voor Externe Toegang inschakelt, wordt Teredo gebruikt. Als teredo-toegang niet beschikbaar is, valt de DirectAccess-client terug op IP-HTTPS via uitgaande TCP-poort 443, waardoor toegang via firewalls of webproxyservers via de traditionele SSL-poort mogelijk is. Als voor de webproxy verificatie is vereist, mislukt de IP-HTTPS-verbinding. IP-HTTPS verbindingen mislukken ook als de webproxy uitgaande SSL-inspectie uitvoert vanwege het feit dat de HTTPS-sessie wordt beëindigd bij de webproxy in plaats van de RAS-server.

De volgende procedures worden uitgevoerd op beide clientcomputers:

  1. Test Teredo-connectiviteit. De eerste set tests wordt uitgevoerd wanneer de DirectAccess-client is geconfigureerd voor het gebruik van Teredo. Dit is de automatische instelling wanneer het NAT-apparaat uitgaande toegang tot UDP-poort 3544 toestaat. Voer eerst de tests uit op CLIENT1 en voer vervolgens de tests uit op CLIENT2.

  2. Test IP-HTTPS connectiviteit. De tweede set tests wordt uitgevoerd wanneer de DirectAccess-client is geconfigureerd voor het gebruik van IP-HTTPS. Teredo is uitgeschakeld op de clientcomputers om IP-HTTPS connectiviteit te demonstreren. Voer eerst de tests uit op CLIENT1 en voer vervolgens de tests uit op CLIENT2.

Benodigdheden

Start EDGE1 en 2-EDGE1 als ze nog niet draaien en zorg ervoor dat ze zijn verbonden met het internet-subnet.

Voordat u deze tests uitvoert, koppelt u CLIENT1 en CLIENT2 los van de internetswitch en verbindt u deze met de Homenet-switch. Als u wordt gevraagd welk type netwerk u het huidige netwerk wilt definiëren, selecteert u thuisnetwerk.

Teredo-connectiviteit testen

  1. Open in CLIENT1 een Windows PowerShell-venster met verhoogde bevoegdheid.

  2. Schakel de Teredo-adapter in, typ netsh interface teredo set state enterpriseclienten druk op Enter.

  3. Typ in het Windows PowerShell-venster ipconfig /all en druk op Enter.

  4. Bekijk de uitvoer van de ipconfig-opdracht.

    Deze computer is nu verbonden met internet achter een NAT-apparaat en krijgt een privé-IPv4-adres toegewezen. Wanneer de DirectAccess-client zich achter een NAT-apparaat bevindt en een privé-IPv4-adres heeft toegewezen, is de voorkeurs-IPv6-overgangstechnologie Teredo. Als u de uitvoer van de ipconfig-opdracht bekijkt, ziet u een sectie voor tunneladapter Teredo Tunneling Pseudo-Interface en vervolgens een beschrijving microsoft Teredo Tunneling Adapter, met een IP-adres dat begint met 2001:0 consistent met een Teredo-adres. De standaardgateway wordt weergegeven voor de Teredo-tunneladapter als ::.

  5. Typ in het Windows PowerShell-venster ipconfig /flushdns en druk op Enter.

    Hiermee worden vermeldingen voor naamomzetting verwijderd die mogelijk nog aanwezig zijn in de DNS-cache van de client. Deze vermeldingen zijn afkomstig van toen de clientcomputer met het Internet was verbonden.

  6. Typ in het Windows PowerShell-venster ping-app1 en druk op Enter. U zou antwoorden moeten zien van het IPv6-adres van APP1, 2001:db8:1::3.

  7. Typ in het Windows PowerShell-venster ping-app2 en druk op Enter. Als het goed is, ziet u antwoorden van het NAT64-adres dat door EDGE1 aan APP2 is toegewezen, dat in dit geval fdc9:9f4e:eb1b:7777::a00:4 is. Houd er rekening mee dat de vetgedrukte waarden variëren vanwege de wijze waarop het adres wordt gegenereerd.

  8. Typ in het Windows PowerShell-venster ping 2-app1 en druk op Enter. U zou antwoorden moeten zien van het IPv6-adres van 2-APP1, 2001:db8:2::3.

  9. Open Internet Explorer, voer in de adresbalk van Internet Explorer https://2-app1/ in en druk op Enter. U ziet de standaard IIS-website op 2-APP1.

  10. Voer in de adresbalk van Internet Explorer https://app2/ in en druk op Enter. U ziet de standaardwebsite op APP2.

  11. Typ in het scherm Start\\App2\Filesen druk op Enter. Dubbelklik op het bestand Nieuw tekstbestand. Dit laat zien dat u verbinding kunt maken met een IPv4-server met behulp van SMB om een resource op een alleen IPv4-host te verkrijgen.

  12. Herhaal deze procedure op CLIENT2.

IP-HTTPS-connectiviteit testen

  1. Open op CLIENT1 een verhoogd Windows PowerShell-venster en typ netsh interface teredo set state disabled en druk op Enter. Hierdoor wordt Teredo uitgeschakeld op de clientcomputer en kan de clientcomputer zichzelf configureren voor het gebruik van IP-HTTPS. Er wordt een ok-antwoord weergegeven wanneer de opdracht is voltooid.

  2. Typ in het Windows PowerShell-venster ipconfig /all en druk op Enter.

  3. Bekijk de uitvoer van de ipconfig-opdracht. Deze computer is nu verbonden met internet achter een NAT-apparaat en krijgt een privé-IPv4-adres toegewezen. Teredo is uitgeschakeld en de DirectAccess-client valt terug op IP-HTTPS. Wanneer u de uitvoer van de ipconfig-opdracht bekijkt, ziet u een sectie voor Tunnel adapter iphttpsinterface met een IP-adres dat begint met 2001:db8:1:1000 of 2001:db8:2:2000 consistent met dit een IP-HTTPS adres op basis van de voorvoegsels die zijn geconfigureerd bij het instellen van DirectAccess. Er wordt geen standaardgateway weergegeven voor de IPHTTPSInterface-tunneladapter.

  4. Typ in het Windows PowerShell-venster ipconfig /flushdns en druk op Enter. Hiermee worden vermeldingen voor naamomzetting verwijderd die mogelijk nog aanwezig zijn in de DNS-cache van de client vanaf het moment dat de clientcomputer is verbonden met het corpnet.

  5. Typ in het Windows PowerShell-venster ping-app1 en druk op Enter. U zou antwoorden moeten zien van het IPv6-adres van APP1, 2001:db8:1::3.

  6. Typ in het Windows PowerShell-venster ping-app2 en druk op Enter. U moet antwoorden zien van het NAT64-adres dat EDGE1 heeft toegewezen aan APP2, dat in dit geval fd isc9:9f4e:eb1b:7777::a00:4. Houd er rekening mee dat de vetgedrukte waarden variëren vanwege de wijze waarop het adres wordt gegenereerd.

  7. Typ in het Windows PowerShell-venster ping 2-app1 en druk op Enter. U ziet antwoorden van het IPv6-adres van 2-APP1, 2001:db8:2::3.

  8. Open Internet Explorer, voer in de adresbalk van Internet Explorer https://2-app1/ in en druk op Enter. U ziet de standaard IIS-website op 2-APP1.

  9. Voer in de adresbalk van Internet Explorer https://app2/ in en druk op Enter. U ziet de standaardwebsite op APP2.

  10. Typ in het scherm Start\\App2\Filesen druk op Enter. Dubbelklik op het bestand Nieuw tekstbestand. Dit laat zien dat u verbinding kunt maken met een IPv4-server met behulp van SMB om een resource op een alleen IPv4-host te verkrijgen.

  11. Herhaal deze procedure op CLIENT2.