Schritt 13 Testen der DirectAccess-Konnektivität hinter einem NAT-GerätSTEP 13 Test DirectAccess Connectivity from Behind a NAT Device

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Wenn ein DirectAccess-Client hinter einem NAT-Gerät oder einem Webproxyserver mit dem Internet verbunden wird, verwendet der DirectAccess-Client entweder Teredo oder IP-HTTPS zur Verbindungsherstellung mit dem RAS-Server.When a DirectAccess client is connected to the Internet from behind a NAT device or a web proxy server, the DirectAccess client uses either Teredo or IP-HTTPS to connect to the Remote Access server. Wenn das NAT-Gerät ausgehenden UDP-Port 3544 für die öffentliche IP-Adresse des RAS-Servers aktiviert, wird Teredo verwendet.If the NAT device enables outbound UDP port 3544 to the Remote Access server's public IP address, then Teredo is used. Wenn kein Teredo-Zugriff verfügbar ist, fällt der DirectAccess-Client auf IP-HTTPS über den ausgehenden TCP-Port 443 zurück, wodurch der Zugriff durch Firewalls oder Webproxyserver über den herkömmlichen SSL-Port ermöglicht wird.If Teredo access is not available, the DirectAccess client falls back to IP-HTTPS over outbound TCP port 443, which enables access through firewalls or web proxy servers over the traditional SSL port. Falls eine Authentifizierung für den Webproxy erforderlich ist, wird die IP-HTTPS-Verbindung fehlschlagen.If the web proxy requires authentication, the IP-HTTPS connection will fail. IP-HTTPS-Verbindungen schlagen auch fehl, wenn vom Webproxy eine ausgehende SSL-Prüfung durchgeführt wird, da die HTTPS-Sitzung am Webproxy anstatt am RAS-Server beendet wird.IP-HTTPS connections also fail if the web proxy performs outbound SSL inspection, due to the fact that the HTTPS session is terminated at the web proxy instead of the Remote Access server.

Die folgenden Verfahren werden auf beiden Clientcomputern ausgeführt:The following procedures are performed on both client computers:

  1. Testen Sie die Teredo-Konnektivität.Test Teredo connectivity. Der erste Satz von Tests wird ausgeführt, wenn der DirectAccess-Client für die Verwendung von Teredo konfiguriert ist.The first set of tests are performed when the DirectAccess client is configured to use Teredo. Das ist die automatische Einstellung, wenn das NAT-Gerät ausgehenden Zugriff auf den UDP-Port 3544 ermöglicht.This is the automatic setting when the NAT device allows outbound access to UDP port 3544. Führen Sie zuerst die Tests auf CLIENT1 aus, und führen Sie dann die Tests auf CLIENT2 aus.First run the tests on CLIENT1 and then run the tests on CLIENT2.

  2. Testen Sie die IP-HTTPS-Konnektivität.Test IP-HTTPS connectivity. Die zweite Testreihe wird durchgeführt, wenn der DirectAccess-Client für die Verwendung von IP-HTTPS konfiguriert ist.The second set of tests are performed when the DirectAccess client is configured to use IP-HTTPS. Um IP-HTTPS-Konnektivität vorzuführen, wird Teredo auf den Clientcomputern deaktiviert.In order to demonstrate IP-HTTPS connectivity, Teredo is disabled on the client computers. Führen Sie zuerst die Tests auf CLIENT1 aus, und führen Sie dann die Tests auf CLIENT2 aus.First run the tests on CLIENT1 and then run the tests on CLIENT2.

VoraussetzungenPrerequisites

Starten Sie Edge1 und 2 Edge1, wenn Sie nicht bereits ausgeführt werden, und stellen Sie sicher, dass Sie mit dem Internet-Subnetz verbunden sind.Start EDGE1 and 2-EDGE1 if they are not already running, and make sure they are connected to the Internet subnet.

Bevor Sie diese Tests durchführen, entfernen Sie CLIENT1 und CLIENT2 vom Internet-Switch, und verbinden Sie Sie mit dem homenet-Switch.Before performing these tests, unplug CLIENT1 and CLIENT2 from the Internet switch and connect them to the Homenet switch. Wenn Sie gefragt werden, welche Art von Netzwerk Sie für das aktuelle Netzwerk definieren möchten, wählen Sie Heimnetzwerk aus.If asked what type of network you want to define the current network, select Home network.

Testen der Teredo-KonnektivitätTest Teredo connectivity

  1. Öffnen Sie auf CLIENT1 ein Windows PowerShell-Fenster mit erhöhten Rechten.On CLIENT1, open an elevated Windows PowerShell window.

  2. Aktivieren Sie den Teredo-Adapter, geben Sie Netsh Interface Teredo Set State enterpriseclient ein, und drücken Sie dann die EINGABETASTE.Enable the Teredo adapter, type netsh interface teredo set state enterpriseclient, and then press ENTER.

  3. Geben Sie im Windows PowerShell-Fenster ipconfig/all ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ipconfig /all and press ENTER.

  4. Prüfen Sie die Ausgabe des Befehls "ipconfig".Examine the output of the ipconfig command.

    Dieser Computer ist jetzt hinter einem NAT-Gerät mit dem Internet verbunden und hat eine private IPv4-Adresse erhalten.This computer is now connected to the Internet from behind a NAT device and is assigned a private IPv4 address. Wenn sich der DirectAccess-Client hinter einem NAT-Gerät befindet und eine private IPv4-Adresse zugeordnet wurde, wird Teredo als IPv6-Übergangstechnologie bevorzugt.When the DirectAccess client is behind a NAT device and assigned a private IPv4 address, the preferred IPv6 transition technology is Teredo. Wenn Sie sich die Ausgabe des Befehls ipconfig ansehen, sollte ein Abschnitt für Tunnel Adapter Teredo Tunneling Pseudo-Interface und dann eine Beschreibung für den Microsoft Teredo-Tunneling-Adapter mit einer IP-Adresse angezeigt werden, die mit 2001:0 übereinstimmt, die mit einer Teredo-Adresse übereinstimmt.If you look at the output of the ipconfig command, you should see a section for Tunnel adapter Teredo Tunneling Pseudo-Interface and then a description Microsoft Teredo Tunneling Adapter, with an IP address that starts with 2001:0 consistent with being a Teredo address. Das Standard Gateway für den Teredo-Tunnel Adapter sollte als "::" aufgeführt werden.You should see the default gateway listed for the Teredo tunnel adapter as '::'.

  5. Geben Sie im Windows PowerShell-Fenster ipconfig/flushdns ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ipconfig /flushdns and press ENTER.

    Dadurch werden Namensauflösungseinträge geleert, die eventuell noch im Client-DNS-Cache vorhanden sind, seitdem der Clientcomputer mit dem Internet verbunden wurde.This will flush name resolution entries that may still exist in the client DNS cache from when the client computer was connected to the Internet.

  6. Geben Sie im Windows PowerShell-Fenster Ping App1 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app1 and press ENTER. Es sollten Antworten von der IPv6-Adresse von APP1 "2001:db8:1::3" angezeigt werden.You should see replies from the IPv6 address of APP1, 2001:db8:1::3.

  7. Geben Sie im Windows PowerShell-Fenster Ping App2 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app2 and press ENTER. Es sollten Antworten von der NAT64-Adresse angezeigt werden, die von Edge1 zu APP2 zugewiesen wird. in diesem Fall lautet der Wert FD C9:9f4e: eb1b: 7777:: A00:4.You should see replies from the NAT64 address assigned by EDGE1 to APP2, which in this case is fd c9:9f4e:eb1b:7777::a00:4. Beachten Sie, dass die fett formatierten Werte variieren, weil die Adresse generiert wird.Note that the bold values will vary due to how the address is generated.

  8. Geben Sie im Windows PowerShell-Fenster Ping 2-App1 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping 2-app1 and press ENTER. Es sollten Antworten von der IPv6-Adresse "2-App1, 2001: db8:2:: 3" angezeigt werden.You should see replies from the IPv6 address of 2-APP1, 2001:db8:2::3.

  9. Öffnen Sie Internet Explorer, geben Sie in der Internet Explorer-Adressleiste ein, https://2-app1/ und drücken Sie die EINGABETASTE.Open Internet Explorer, in the Internet Explorer address bar, enter https://2-app1/ and press ENTER. Die IIS-Standard Website wird unter 2-App1 angezeigt.You will see the default IIS website on 2-APP1.

  10. Geben Sie in der Internet Explorer-Adressleiste ein, https://app2/ und drücken Sie die EINGABETASTE.In the Internet Explorer address bar, enter https://app2/ and press ENTER. Die Standardwebsite auf APP2 wird angezeigt.You will see the default website on APP2.

  11. Geben Sie auf dem Start Bildschirm \ \app2\filesein, und drücken Sie dann die EINGABETASTE.On the Start screen, type\\App2\Files, and then press ENTER. Doppelklicken Sie auf die neue Textdokumentdatei.Double-click the New Text Document file. Dadurch wird bewiesen, dass Sie eine Verbindung zu einem reinen IPv4-Server herstellen konnten, indem Sie mit SMB eine Ressource auf einem reinen IPv4-Host abgerufen haben.This demonstrates that you were able to connect to an IPv4 only server using SMB to obtain a resource on an IPv4 only host.

  12. Wiederholen Sie diesen Vorgang auf client2.Repeat this procedure on CLIENT2.

IP-HTTPS-Konnektivität testenTest IP-HTTPS connectivity

  1. Öffnen Sie auf CLIENT1 ein Windows PowerShell-Fenster mit erhöhten Rechten, geben Sie Netsh Interface Teredo Set State deaktiviert ein, und drücken Sie die EINGABETASTE.On CLIENT1, open an elevated Windows PowerShell window, and type netsh interface teredo set state disabled and press ENTER. Dadurch wird Teredo auf dem Clientcomputer deaktiviert. Der Clientcomputer kann sich nun selbst für IP-HTTPS konfigurieren.This disables Teredo on the client computer and enables the client computer to configure itself to use IP-HTTPS. Nach Ausführung des Befehls wird die Antwort OK angezeigt.An Ok response appears when the command completes.

  2. Geben Sie im Windows PowerShell-Fenster ipconfig/all ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ipconfig /all and press ENTER.

  3. Prüfen Sie die Ausgabe des Befehls "ipconfig".Examine the output of the ipconfig command. Dieser Computer ist jetzt hinter einem NAT-Gerät mit dem Internet verbunden und hat eine private IPv4-Adresse erhalten.This computer is now connected to the Internet from behind a NAT device and is assigned a private IPv4 address. Teredo ist deaktiviert, und der DirectAccess-Client fällt auf IP-HTTPS zurück.Teredo is disabled and the DirectAccess client falls back to IP-HTTPS. Wenn Sie sich die Ausgabe des Befehls "ipconfig" ansehen, sehen Sie einen Abschnitt für Tunnel Adapter iphttpsinterface mit einer IP-Adresse, die mit 2001: db8:1: 1000 oder 2001: db8:2: 2000 übereinstimmt. Dies ist eine IP-HTTPS-Adresse, die auf den Präfixen basiert, die beim Einrichten von DirectAccess konfiguriert wurden.When you look at the output of the ipconfig command, you see a section for Tunnel adapter iphttpsinterface with an IP address that starts with 2001:db8:1:1000 or 2001:db8:2:2000 consistent with this being an IP-HTTPS address based on the prefixes that were configured when setting up DirectAccess. Für den iphttpsinterface-Tunnel Adapter wird kein Standard Gateway aufgeführt.You will not see a default gateway listed for the IPHTTPSInterface tunnel adapter.

  4. Geben Sie im Windows PowerShell-Fenster ipconfig/flushdns ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ipconfig /flushdns and press ENTER. Dadurch werden Namensauflösungseinträge geleert, die eventuell noch im Client-DNS-Cache vorhanden sind, seitdem der Clientcomputer mit dem Unternehmensnetzwerk verbunden war.This will flush name resolution entries that may still exist in the client DNS cache from when the client computer was connected to the corpnet.

  5. Geben Sie im Windows PowerShell-Fenster Ping App1 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app1 and press ENTER. Es sollten Antworten von der IPv6-Adresse von APP1 "2001:db8:1::3" angezeigt werden.You should see replies from the IPv6 address of APP1, 2001:db8:1::3.

  6. Geben Sie im Windows PowerShell-Fenster Ping App2 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping app2 and press ENTER. Es sollten Antworten von der NAT64-Adresse angezeigt werden, die von Edge1 zu APP2 zugewiesen wird. in diesem Fall lautet der Wert FD C9:9f4e: eb1b: 7777:: A00:4.You should see replies from the NAT64 address assigned by EDGE1 to APP2, which in this case is fd c9:9f4e:eb1b:7777::a00:4. Beachten Sie, dass die fett formatierten Werte variieren, weil die Adresse generiert wird.Note that the bold values will vary due to how the address is generated.

  7. Geben Sie im Windows PowerShell-Fenster Ping 2-App1 ein, und drücken Sie die EINGABETASTE.In the Windows PowerShell window, type ping 2-app1 and press ENTER. Es sollten Antworten von der IPv6-Adresse "2-App1, 2001: db8:2:: 3" angezeigt werden.You should see replies from the IPv6 address of 2-APP1, 2001:db8:2::3.

  8. Öffnen Sie Internet Explorer, geben Sie in der Internet Explorer-Adressleiste ein, https://2-app1/ und drücken Sie die EINGABETASTE.Open Internet Explorer, in the Internet Explorer address bar, enter https://2-app1/ and press ENTER. Die IIS-Standard Website wird unter 2-App1 angezeigt.You will see the default IIS website on 2-APP1.

  9. Geben Sie in der Internet Explorer-Adressleiste ein, https://app2/ und drücken Sie die EINGABETASTE.In the Internet Explorer address bar, enter https://app2/ and press ENTER. Die Standardwebsite auf APP2 wird angezeigt.You will see the default website on APP2.

  10. Geben Sie auf dem Start Bildschirm \ \app2\filesein, und drücken Sie dann die EINGABETASTE.On the Start screen, type\\App2\Files, and then press ENTER. Doppelklicken Sie auf die neue Textdokumentdatei.Double-click the New Text Document file. Dadurch wird bewiesen, dass Sie eine Verbindung zu einem reinen IPv4-Server herstellen konnten, indem Sie mit SMB eine Ressource auf einem reinen IPv4-Host abgerufen haben.This demonstrates that you were able to connect to an IPv4 only server using SMB to obtain a resource on an IPv4 only host.

  11. Wiederholen Sie diesen Vorgang auf client2.Repeat this procedure on CLIENT2.