Schritt 5 Testen der DirectAccess-Konnektivität über das Internet und über den ClusterSTEP 5 Test DirectAccess Connectivity from the Internet and Through the Cluster

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

CLIENT1 ist jetzt für DirectAccess-Tests bereit.CLIENT1 is now ready for DirectAccess testing.

  • Testen Sie die DirectAccess-Konnektivität über das Internet.Test DirectAccess connectivity from the Internet. Verbinden Sie CLIENT1 mit dem simulierten Internet.Connect CLIENT1 to the simulated Internet. Wenn eine Verbindung mit dem simulierten Internet besteht, werden dem Client öffentliche IPv4-Adressen zugewiesen.When connected to the simulated Internet, the client is assigned public IPv4 addresses. Wenn einem DirectAccess-Client eine öffentliche IPv4-Adresse zugewiesen wird, versucht er, mithilfe einer IPv6-Übergangstechnologie eine Verbindung mit dem RAS-Server herzustellen.When a DirectAccess client is assigned a public IPv4 address, it tries to establish a connection to the Remote Access server using an IPv6 transition technology.

  • Testen Sie die DirectAccess-Client Konnektivität über den Cluster.Test DirectAccess client connectivity through the cluster. Testen Sie die Cluster Funktionalität.Test cluster functionality. Bevor Sie mit dem Testen beginnen, wird empfohlen, dass Sie für mindestens fünf Minuten sowohl Edge1 als auch EDGE2 Herunterfahren.Before you begin testing, we recommend that you shut down both EDGE1 and EDGE2 for at least five minutes. Hierfür gibt es eine Reihe von Gründen, einschließlich ARP-Cache Timeouts und Änderungen im Zusammenhang mit NLB.There are a number of reasons for this, which include ARP cache timeouts and changes related to NLB. Wenn Sie die NLB-Konfiguration in einer Testumgebung überprüfen, benötigen Sie einen Patienten, da Änderungen an der Konfiguration nicht sofort in der Konnektivität widergespiegelt werden, bis eine Zeitspanne verstrichen ist.When validating NLB configuration in a test lab, you will need to be patient as changes in configuration will not be immediately reflected in connectivity until after a period of time has elapsed. Dies ist wichtig, wenn Sie die folgenden Aufgaben durchführen.This is important to keep in mind when you carry out the following tasks.

    Tipp

    Es wird empfohlen, den Internet Explorer-Cache vor dem Ausführen dieses Verfahrens zu löschen und jedes Mal, wenn Sie die Verbindung über einen anderen RAS-Server testen, um sicherzustellen, dass Sie die Verbindung testen und nicht die Webseiten aus dem Cache abrufen.We recommend that you clear the Internet Explorer cache before performing this procedure and each time you test the connection through a different Remote Access server to make sure that you are testing the connection and not retrieving the webpages from the cache.

Testen der DirectAccess-Konnektivität über das InternetTest DirectAccess connectivity from the Internet

  1. Entfernen Sie die CLIENT1 vom Corpnet-Switch, und verbinden Sie Sie mit dem Internet-Switch.Unplug CLIENT1 from the corpnet switch and connect it to the Internet switch. Warten Sie 30 Sekunden.Wait for 30 seconds.

  2. Geben Sie in einem Windows PowerShell-Fenster mit erhöhten Rechten ipconfig/flushdns ein, und drücken Sie EINGABETASTE.In an elevated Windows PowerShell window, type ipconfig /flushdns and press ENTER. Dadurch werden namens Auflösungs Einträge geleert, die möglicherweise noch im Client-DNS-Cache vorhanden sind, wenn der Client Computer mit dem Unternehmensnetzwerk verbunden war.This flushes name resolution entries that may still exist in the client DNS cache from when the client computer was connected to the corpnet.

  3. Geben Sie im Windows PowerShell-Fenster Get-dnsclientnrptpolicy ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type Get-DnsClientNrptPolicy and press ENTER.

    In der Ausgabe werden die aktuellen Einstellungen der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) angezeigt.The output shows the current settings for the Name Resolution Policy Table (NRPT). Diese Einstellungen geben an, dass alle Verbindungen zu. Corp.contoso.com vom RAS-DNS-Server mit der IPv6-Adresse "2001: db8:1:: 2" aufgelöst werden sollen.These settings indicate that all connections to .corp.contoso.com should be resolved by the Remote Access DNS server, with the IPv6 address 2001:db8:1::2. Beachten Sie außerdem den NRPT-Eintrag, dass eine Ausnahme für den Namen "nls.corp.contoso.com" vorhanden ist; Namen in der Ausnahmeliste werden vom Remote-Access-DNS-Server nicht beantwortet.Also, note the NRPT entry indicating that there is an exemption for the name nls.corp.contoso.com; names on the exemption list are not answered by the Remote Access DNS server. Sie können an die IP-Adresse des RAS-DNS-Servers pingen, um die Konnektivität zum RAS-Server zu bestätigen. Beispielsweise können Sie den Ping 2001: db8:1:: 2 ausführen.You can ping the Remote Access DNS server IP address to confirm connectivity to the Remote Access server; for example, you can ping 2001:db8:1::2.

  4. Geben Sie im Windows PowerShell-Fenster Ping App1 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app1 and press ENTER. Es sollten Antworten von der IPv6-Adresse für App1 angezeigt werden. Dies ist in diesem Fall "2001: db8:1:: 3".You should see replies from the IPv6 address for APP1, which in this case is 2001:db8:1::3.

  5. Geben Sie im Windows PowerShell-Fenster Ping App2 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app2 and press ENTER. Sie sollten Antworten von der NAT64-Adresse erhalten, die von EDGE1 zu APP2 zugeordnet wurde (in diesem Fall "fdc9:9f4e:eb1b:7777::a00:4").You should see replies from the NAT64 address assigned by EDGE1 to APP2, which in this case is fdc9:9f4e:eb1b:7777::a00:4.

    Die Möglichkeit zum Ping-APP2 ist wichtig, da der Erfolg anzeigt, dass Sie eine Verbindung mithilfe von NAT64/DNS64 herstellen konnten, da APP2 eine reine IPv4-Ressource ist.The ability to ping APP2 is important, because success indicates that you were able to establish a connection using NAT64/DNS64, as APP2 is an IPv4 only resource.

  6. Lassen Sie das Windows PowerShell-Fenster für das nächste Verfahren geöffnet.Leave the Windows PowerShell window open for the next procedure.

  7. Öffnen Sie Internet Explorer, geben Sie in der Internet Explorer-Adressleiste ein, https://app1/ und drücken Sie die EINGABETASTE.Open Internet Explorer, in the Internet Explorer address bar, enter https://app1/ and press ENTER. Die Standard-IIS-Website auf APP1 wird angezeigt.You will see the default IIS website on APP1.

  8. Geben Sie in der Internet Explorer-Adressleiste ein, https://app2/ und drücken Sie die EINGABETASTE.In the Internet Explorer address bar, enter https://app2/ and press ENTER. Die Standardwebsite auf APP2 wird angezeigt.You will see the default website on APP2.

  9. Geben Sie auf dem Start Bildschirm \ \app2\filesein, und drücken Sie dann die EINGABETASTE.On the Start screen, type\\App2\Files, and then press ENTER. Doppelklicken Sie auf die neue Textdokumentdatei.Double-click the New Text Document file.

    Dies zeigt, dass Sie eine Verbindung mit einem reinen IPv4-Server herstellen konnten, indem Sie SMB zum Abrufen einer Ressource in der Ressourcen Domäne verwenden.This demonstrates that you were able to connect to an IPv4 only server using SMB to obtain a resource in the resource domain.

  10. Geben Sie auf dem Start Bildschirm WF. msc ein, und drücken Sie dann die EINGABETASTE.On the Start screen, type wf.msc, and then press ENTER.

  11. Beachten Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit, dass nur das private oder öffentliche Profil aktiv ist.In the Windows Firewall with Advanced Security console, notice that only the Private or Public Profile is active. Die Windows-Firewall muss aktiviert sein, damit DirectAccess ordnungsgemäß funktioniert.The Windows Firewall must be enabled for DirectAccess to work correctly. Wenn die Windows-Firewall deaktiviert ist, funktioniert die DirectAccess-Konnektivität nicht.If the Windows Firewall is disabled, DirectAccess connectivity does not work.

  12. Erweitern Sie im linken Bereich der Konsole den Knoten Überwachung , und klicken Sie auf den Knoten Verbindungs Sicherheitsregeln .In the left pane of the console, expand the Monitoring node, and click the Connection Security Rules node. Es sollten die aktiven Verbindungs Sicherheitsregeln angezeigt werden: DirectAccess Policy-clientdecorp, DirectAccess Policy-ClientToDNS64NAT64PrefixExemption, DirectAccess Policy-clientdeinfraund DirectAccess Policy-clienttonlaausgenommen.You should see the active connection security rules: DirectAccess Policy-ClientToCorp, DirectAccess Policy-ClientToDNS64NAT64PrefixExemption, DirectAccess Policy-ClientToInfra, and DirectAccess Policy-ClientToNlaExempt. Führen Sie im mittleren Bereich einen Bildlauf nach rechts durch, um die ersten Authentifizierungsmethoden und 2. Authentifizierungsmethoden Spalten anzuzeigen.Scroll the middle pane to the right to show the 1st Authentication Methods and 2nd Authentication Methods columns. Beachten Sie, dass die erste Regel (clientescorp) Kerberos V5 verwendet, um den intranettunnel einzurichten, und die dritte Regel (clientesinfrastructure) verwendet NTLMv2, um den Infrastruktur Tunnel einzurichten.Notice that the first rule (ClientToCorp) uses Kerberos V5 to establish the intranet tunnel and the third rule (ClientToInfra) uses NTLMv2 to establish the infrastructure tunnel.

  13. Erweitern Sie im linken Bereich der Konsole den Knoten Sicherheits Zuordnungen , und klicken Sie auf den Knoten Hauptmodus .In the left pane of the console, expand the Security Associations node, and click the Main Mode node. Beachten Sie die Infrastruktur Tunnel-Sicherheits Zuordnungen mit NTLMv2 und der intranettunnel-Sicherheits Zuordnung mithilfe von Kerberos V5.Notice the infrastructure tunnel security associations using NTLMv2 and the intranet tunnel security association using Kerberos V5. Klicken Sie mit der rechten Maustaste auf den Eintrag, der Benutzer (Kerberos V5) als 2. Authentifizierungsmethode anzeigt, und klicken Sie auf Eigenschaften.Right-click the entry that shows User (Kerberos V5) as the 2nd Authentication Method and click Properties. Beachten Sie, dass auf der Registerkarte Allgemein die zweite lokale Authentifizierungs-ID corp\user1 lautet, die angibt, dass sich user1 erfolgreich bei der Corp-Domäne mithilfe von Kerberos authentifizieren konnte.On the General tab, notice the Second authentication Local ID is CORP\User1, indicating that User1 was able to successfully authenticate to the CORP domain using Kerberos.

Testen der DirectAccess-Client Konnektivität über den ClusterTest DirectAccess client connectivity through the cluster

  1. Führen Sie ein ordnungsgemäßes Herunterfahren auf EDGE2 aus.Perform a graceful shutdown on EDGE2.

    Sie können den Netzwerk Lastenausgleich-Manager verwenden, um beim Ausführen dieser Tests den Status der Server anzuzeigen.You can use the Network Load Balancing Manager to view the status of the servers when running these tests.

  2. Geben Sie auf CLIENT1 im Windows PowerShell-Fenster ipconfig/flushdns ein, und drücken Sie die EINGABETASTE.On CLIENT1, in the Windows PowerShell window, type ipconfig /flushdns and press ENTER. Dadurch werden namens Auflösungs Einträge geleert, die möglicherweise noch im Client-DNS-Cache vorhanden sind.This flushes name resolution entries that may still exist in the client DNS cache.

  3. Pingen Sie im Windows PowerShell-Fenster den Befehl App1 und APP2.In the Windows PowerShell window, ping APP1, and APP2. Sie sollten Antworten von diesen beiden Ressourcen erhalten.You should receive replies from both of these resources.

  4. Geben Sie auf dem Start Bildschirm \ \app2\filesein.On the Start screen, type\\app2\files. Der Ordner "freigegeben" sollte auf dem Computer "APP2" angezeigt werden.You should see the shared folder on the APP2 computer. Die Möglichkeit zum Öffnen der Dateifreigabe auf APP2 gibt an, dass der zweite Tunnel, der die Kerberos-Authentifizierung für den Benutzer erfordert, ordnungsgemäß funktioniert.The ability to open the file share on APP2 indicates that the second tunnel, which requires Kerberos authentication for the user, is working correctly.

  5. Öffnen Sie Internet Explorer, und öffnen Sie dann die Websites https://app1/ und https://app2/ .Open Internet Explorer, and then open the websites https://app1/ and https://app2/. Die Möglichkeit, beide Websites zu öffnen, bestätigt, dass der erste und der zweite Tunnel aktiv sind und funktionsfähig sind.The ability to open both websites confirms that both the first and second tunnels are up and functioning. Schließen Sie Internet Explorer.Close Internet Explorer.

  6. Starten Sie den EDGE2-Computer.Start the EDGE2 computer.

  7. Auf Edge1 führen Sie ein ordnungsgemäßes Herunterfahren aus.On EDGE1 perform a graceful shutdown.

  8. Warten Sie fünf Minuten, und kehren Sie dann zu CLIENT1 zurück.Wait for 5 minutes, and then return to CLIENT1. Führen Sie die Schritte 2-5 aus.Perform steps 2-5. Dadurch wird bestätigt, dass CLIENT1 transparent ein Failover zu EDGE2 ausführen konnte, nachdem Edge1 nicht mehr zur Verfügung stand.This confirms that CLIENT1 was able to transparently fail over to EDGE2 after EDGE1 became unavailable.