Шаг 13. Тестирование подключения DirectAccess из устройства NAT

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Когда клиент DirectAccess подключается к Интернету из-за устройства NAT или сервера веб-прокси, он использует либо Teredo, либо IP-HTTPS для подключения к серверу удаленного доступа. Если устройство NAT включает исходящий порт UDP 3544 на общедоступный IP-адрес сервера удаленного доступа, используется Teredo. Если доступ через Teredo недоступен, клиент DirectAccess возвращается к подключению IP-HTTPS через TCP-порт номер 443 исходящего трафика, который позволяет получать доступ через брандмауэр или сервер веб-прокси по традиционному SSL-порту. Если веб-прокси требует проверки подлинности, подключение IP-HTTPS завершится сбоем. Подключение IP-HTTPS также завершится сбоем, если веб-прокси проводит проверку исходящего SSL-соединения, поскольку HTTPS-сеанс завершается на веб-прокси, а не на сервере удаленного доступа.

Следующие процедуры выполняются на обоих клиентских компьютерах.

  1. Проверьте подключение Teredo. Первый набор тестов выполняется, когда клиент DirectAccess настроен для использования Teredo. Это задается автоматически, если устройство NAT разрешает исходящий трафик на UDP-порт номер 3544. Сначала запустите тесты на компьютере КЛИЕНТ1, а затем выполните тесты на КЛИЕНТ2.

  2. Проверьте подключение IP-HTTPS. Второй набор тестов выполняется, когда клиент DirectAccess настроен для использования IP-HTTPS. Чтобы продемонстрировать возможность подключения IP-HTTPS, Teredo на клиентских компьютерах отключается. Сначала запустите тесты на компьютере КЛИЕНТ1, а затем выполните тесты на КЛИЕНТ2.

Предварительные требования

Запустите EDGE1 и 2-EDGE1, если они еще не запущены, и убедитесь, что они подключены к подсети Интернета.

Перед выполнением этих тестов отключите подключение КЛИЕНТ1 и КЛИЕНТ2 от коммутатора Интернета и подключите их к коммутатору Хоменет. При появлении запроса на тип сети, для которой необходимо определить текущую сеть, выберите Домашняя сеть.

Проверка подключения Teredo

  1. На компьютере КЛИЕНТ1 откройте окно Windows PowerShell с повышенными правами.

  2. Включите адаптер Teredo, введите netsh interface Teredo Set State ентерприсеклиенти нажмите клавишу ВВОД.

  3. в окне Windows PowerShell введите ipconfig/all и нажмите клавишу ввод.

  4. Проверьте вывод команды ipconfig.

    Этот компьютер теперь подключен к Интернету из-за устройства NAT и получил частный адрес IPv4. Когда клиент DirectAccess находится за устройством NAT и получает частный адрес IPv4, предпочитаемой технологией туннелирования для IPv6 является Teredo. если взглянуть на выходные данные команды ipconfig, вы увидите раздел для Tunnel адаптера teredo Pseudo-Interface, а затем описание адаптера туннелирования Microsoft Teredo с IP-адресом, который начинается с 2001:0, в соответствии с адресом Teredo. Вы должны увидеть шлюз по умолчанию, указанный для туннельного адаптера Teredo, как "::".

  5. в окне Windows PowerShell введите ipconfig/flushdns и нажмите клавишу ввод.

    В результате будут удалены записи разрешения имен, которые могут до сих пор находиться в кэше клиента DNS со времени, когда компьютер был подключен к Интернету.

  6. в окне Windows PowerShell введите ping app1 и нажмите клавишу ввод. Должны появиться ответы от адреса IPv6 для APP1, 2001:db8:1::3.

  7. в окне Windows PowerShell введите ping , а затем нажмите клавишу ввод. Вы должны увидеть ответы от NAT64-адреса, назначенного EDGE1, в корпорацию, в данном случае — демонC9:9F4E: eb1b: 7777:: A00:4. Обратите внимание, что значения полужирного шрифта будут отличаться в зависимости от способа создания адреса.

  8. в окне Windows PowerShell введите ping 2-app1 и нажмите клавишу ввод. Вы должны увидеть ответы с IPv6-адреса 2 – APP1, 2001: db8:2:: 3.

  9. Откройте Internet Explorer, в адресной строке Internet Explorer введите https://2-app1/ и нажмите клавишу ВВОД. Вы увидите веб-сайт IIS по умолчанию с 2 по APP1.

  10. В адресной строке Internet Explorer введите https://app2/ и нажмите клавишу ВВОД. Появится веб-сайт IIS на APP2 по умолчанию.

  11. На начальном экране введите\\App2\Filesи нажмите клавишу ВВОД. Дважды щелкните файл "Новый текстовый документ". Это показывает, что вам удалось подключиться к серверу, работающему только с адресами IPv4, с помощью SMB и получить доступ к ресурсу на узле, работающему только с адресами IPv4.

  12. Повторите эту процедуру на КЛИЕНТ2.

Проверка подключения IP-HTTPS

  1. на компьютере клиент1 откройте окно Windows PowerShell с повышенными привилегиями и введите netsh interface teredo set state disabled и нажмите клавишу ввод. Это отключит Teredo на клиентском компьютере и позволит ему настроиться на использование IP-HTTPS. По завершении работы команды появится ответ Ok.

  2. в окне Windows PowerShell введите ipconfig/all и нажмите клавишу ввод.

  3. Проверьте вывод команды ipconfig. Этот компьютер теперь подключен к Интернету из-за устройства NAT и получил частный адрес IPv4. Туннелирование Teredo отключено, а клиент DirectAccess возвращается к использованию IP-HTTPS. при просмотре выходных данных команды ipconfig отображается раздел Tunnel адаптера ифттпсинтерфаце с IP-адресом, который начинается с 2001: db8:1: 1000 или 2001: db8:2: 2000 — это ip-адрес HTTPS, основанный на префиксах, которые были настроены при настройке directaccess. Шлюз по умолчанию, указанный для адаптера туннелирования Ифттпсинтерфаце, не отображается.

  4. в окне Windows PowerShell введите ipconfig/flushdns и нажмите клавишу ввод. В результате будут удалены записи разрешения имен, которые могут до сих пор находиться в кэше клиента DNS со времени, когда компьютер был подключен к сети предприятия.

  5. в окне Windows PowerShell введите ping app1 и нажмите клавишу ввод. Должны появиться ответы от адреса IPv6 для APP1, 2001:db8:1::3.

  6. в окне Windows PowerShell введите ping , а затем нажмите клавишу ввод. Вы должны увидеть ответы от NAT64-адреса, назначенного EDGE1, в корпорацию, в данном случае — демонC9:9F4E: eb1b: 7777:: A00:4. Обратите внимание, что значения полужирного шрифта будут отличаться в зависимости от способа создания адреса.

  7. в окне Windows PowerShell введите ping 2-app1 и нажмите клавишу ввод. Вы должны увидеть ответы с IPv6-адреса 2 – APP1, 2001: db8:2:: 3.

  8. Откройте Internet Explorer, в адресной строке Internet Explorer введите https://2-app1/ и нажмите клавишу ВВОД. Вы увидите веб-сайт IIS по умолчанию с 2 по APP1.

  9. В адресной строке Internet Explorer введите https://app2/ и нажмите клавишу ВВОД. Появится веб-сайт IIS на APP2 по умолчанию.

  10. На начальном экране введите\\App2\Filesи нажмите клавишу ВВОД. Дважды щелкните файл "Новый текстовый документ". Это показывает, что вам удалось подключиться к серверу, работающему только с адресами IPv4, с помощью SMB и получить доступ к ресурсу на узле, работающему только с адресами IPv4.

  11. Повторите эту процедуру на КЛИЕНТ2.