Поделиться через

Шаг 13. Тестирование подключения DirectAccess с устройства NAT

Когда клиент DirectAccess подключается к Интернету из-за устройства NAT или сервера веб-прокси, он использует либо Teredo, либо IP-HTTPS для подключения к серверу удаленного доступа. Если устройство NAT включает исходящий порт UDP 3544 на общедоступный IP-адрес сервера удаленного доступа, используется Teredo. Если доступ через Teredo недоступен, клиент DirectAccess возвращается к подключению IP-HTTPS через TCP-порт номер 443 исходящего трафика, который позволяет получать доступ через брандмауэр или сервер веб-прокси по традиционному SSL-порту. Если веб-прокси требует проверки подлинности, подключение IP-HTTPS завершится сбоем. Подключение IP-HTTPS также завершится сбоем, если веб-прокси проводит проверку исходящего SSL-соединения, поскольку HTTPS-сеанс завершается на веб-прокси, а не на сервере удаленного доступа.

Следующие процедуры выполняются на обоих клиентских компьютерах.

  1. Проверьте подключение Teredo. Первый набор тестов выполняется, когда клиент DirectAccess настроен на использование Teredo. Это задается автоматически, если устройство NAT разрешает исходящий трафик на UDP-порт номер 3544. Сначала запустите тесты на CLIENT1, а затем запустите тесты на CLIENT2.

  2. Проверьте подключение IP-HTTPS. Второй набор тестов выполняется, когда клиент DirectAccess настроен на использование IP-HTTPS. Чтобы продемонстрировать возможность подключения IP-HTTPS, Teredo на клиентских компьютерах отключается. Сначала запустите тесты на CLIENT1, а затем запустите тесты на CLIENT2.

Необходимые компоненты

Запустите EDGE1 и 2-EDGE1, если они еще не запущены, и убедитесь, что они подключены к подсети Интернета.

Перед выполнением этих тестов отключите CLIENT1 и CLIENT2 из коммутатора Интернета и подключите их к коммутатору Homenet. Если вам будет предложено определить текущую сеть, выберите "Главная сеть".

Проверка подключения Teredo

  1. В CLIENT1 откройте окно Windows PowerShell с повышенными привилегиями.

  2. Включите адаптер Teredo, введите netsh interface teredo set state enterpriseclient, а затем нажмите клавишу ВВОД.

  3. В окне Windows PowerShell введите ipconfig /all и нажмите клавишу ВВОД.

  4. Проверьте вывод команды ipconfig.

    Этот компьютер теперь подключен к Интернету из-за устройства NAT и получил частный адрес IPv4. Когда клиент DirectAccess находится за устройством NAT и получает частный адрес IPv4, предпочитаемой технологией туннелирования для IPv6 является Teredo. Если посмотреть на выходные данные команды ipconfig, вы увидите раздел адаптера Teredo Tunneling Pseudo-Interface, а затем описание адаптера Microsoft Teredo Tunneling Adapter, с IP-адресом, начинающимся с 2001:0, согласованным с адресом Teredo. Шлюз по умолчанию отображается для адаптера туннеля Teredo как "::".

  5. В окне Windows PowerShell введите ipconfig /flushdns и нажмите клавишу ВВОД.

    В результате будут удалены записи разрешения имен, которые могут до сих пор находиться в кэше клиента DNS со времени, когда компьютер был подключен к Интернету.

  6. В окне Windows PowerShell введите приложение ping1 и нажмите клавишу ВВОД. Должны появиться ответы от адреса IPv6 для APP1, 2001:db8:1::3.

  7. В окне Windows PowerShell введите приложение ping2 и нажмите клавишу ВВОД. Вы должны увидеть ответы от адреса NAT64, назначенного EDGE1 приложению APP2, который в данном случае fdc9:9f4e:eb1b:7777::a00:4. Обратите внимание, что полужирные значения будут отличаться в зависимости от того, как создается адрес.

  8. В окне Windows PowerShell введите ping 2-app1 и нажмите клавишу ВВОД. Вы увидите ответы с IPv6-адреса 2-APP1, 2001:db8:2:3.

  9. Откройте Internet Explorer в адресной строке Internet Explorer, введите и нажмите клавишу ВВОД https://2-app1/ . Вы увидите веб-сайт IIS по умолчанию на сайте 2-APP1.

  10. В адресной строке Internet Explorer введите https://app2/ и нажмите клавишу ВВОД. Появится веб-сайт IIS на APP2 по умолчанию.

  11. На начальномэкране введите\\App2\Files и нажмите клавишу ВВОД. Дважды щелкните файл "Новый текстовый документ". Это показывает, что вам удалось подключиться к серверу, работающему только с адресами IPv4, с помощью SMB и получить доступ к ресурсу на узле, работающему только с адресами IPv4.

  12. Повторите эту процедуру на CLIENT2.

Проверка подключения IP-HTTPS

  1. В CLIENT1 откройте окно Windows PowerShell с повышенными привилегиями и введите режим netsh interface teredo set и нажмите клавишу ВВОД. Это отключит Teredo на клиентском компьютере и позволит ему настроиться на использование IP-HTTPS. По завершении работы команды появится ответ Ok .

  2. В окне Windows PowerShell введите ipconfig /all и нажмите клавишу ВВОД.

  3. Проверьте вывод команды ipconfig. Этот компьютер теперь подключен к Интернету из-за устройства NAT и получил частный адрес IPv4. Туннелирование Teredo отключено, а клиент DirectAccess возвращается к использованию IP-HTTPS. При просмотре выходных данных команды ipconfig вы увидите раздел для адаптера tunnel iphttpsinterface с IP-адресом, который начинается с 2001:db8:1:1000 или 2001:db8:2:2000 в соответствии с этим IP-HTTPS-адресом на основе префиксов, настроенных при настройке DirectAccess. Шлюз по умолчанию не отображается для адаптера туннеля IPHTTPSInterface.

  4. В окне Windows PowerShell введите ipconfig /flushdns и нажмите клавишу ВВОД. В результате будут удалены записи разрешения имен, которые могут до сих пор находиться в кэше клиента DNS со времени, когда компьютер был подключен к сети предприятия.

  5. В окне Windows PowerShell введите приложение ping1 и нажмите клавишу ВВОД. Должны появиться ответы от адреса IPv6 для APP1, 2001:db8:1::3.

  6. В окне Windows PowerShell введите приложение ping2 и нажмите клавишу ВВОД. Вы должны увидеть ответы от адреса NAT64, назначенного EDGE1 приложению APP2, который в данном случае fdc9:9f4e:eb1b:7777::a00:4. Обратите внимание, что полужирные значения будут отличаться в зависимости от того, как создается адрес.

  7. В окне Windows PowerShell введите ping 2-app1 и нажмите клавишу ВВОД. Вы увидите ответы с IPv6-адреса 2-APP1, 2001:db8:2:3.

  8. Откройте Internet Explorer в адресной строке Internet Explorer, введите и нажмите клавишу ВВОД https://2-app1/ . Вы увидите веб-сайт IIS по умолчанию на сайте 2-APP1.

  9. В адресной строке Internet Explorer введите https://app2/ и нажмите клавишу ВВОД. Появится веб-сайт IIS на APP2 по умолчанию.

  10. На начальномэкране введите\\App2\Files и нажмите клавишу ВВОД. Дважды щелкните файл "Новый текстовый документ". Это показывает, что вам удалось подключиться к серверу, работающему только с адресами IPv4, с помощью SMB и получить доступ к ресурсу на узле, работающему только с адресами IPv4.

  11. Повторите эту процедуру на CLIENT2.