步骤 5. 从 Internet 和通过群集测试 DirectAccess 连接

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

CLIENT1 现在已准备好进行 DirectAccess 测试。

  • 测试来自 Internet 的 DirectAccess 连接性。 将 CLIENT1 连接到模拟的 Internet。 当连接到模拟互联网时,客户端被分配了公共 IPv4 地址。 当为 DirectAccess 客户端分配公共 IPv4 地址时,它会尝试使用 IPv6 转换技术建立与远程访问服务器的连接。

  • 通过群集测试 DirectAccess 客户端连接。 测试群集功能。 在开始测试之前,我们建议你关闭 EDGE1 和 EDGE2 至少五分钟。 原因有很多,其中包括 ARP 缓存超时和与 NLB 相关的更改。 在测试实验室中验证 NLB 配置时,你需要耐心等待,因为配置更改要经过一段时间后才会立即反映在连接中。 在执行以下任务时,请务必牢记这一点。

    提示

    我们建议你在执行此过程之前,以及每次通过不同的远程访问服务器测试连接时,清除 Internet Explorer 缓存,以确保你正在测试连接,而不是从缓存中检索网页。

测试来自 Internet 的 DirectAccess 连接性

  1. 从公司网络交换机拔下 CLIENT1,并将其连接到 Internet 交换机。 等待 30 秒。

  2. 在提升的 Windows PowerShell 窗口中,键入 ipconfig /flushdns,然后按 Enter 键。 这将刷新名称解析条目,这些条目在从客户端计算机连接到公司网络时开始,可能仍然存在于客户端 DNS 缓存中。

  3. 在 Windows PowerShell 窗口中,键入 Get-DnsClientNrptPolicy,然后按 Enter 键。

    该输出显示名称解析策略表 (NRPT) 的当前设置。 这些设置表明所有到 corp.contoso.com 的连接应由远程访问 DNS 服务器解析,并使用 IPv6 地址 2001:db8:1::2。 另外,请注意,NRPT 条目表明该值指示名称 nls.corp.contoso.com 存在免除条目;免除列表上的名称不由远程访问 DNS 服务器应答。 你可以对远程访问 DNS 服务器 IP 地址执行 ping 操作,以确认连接到远程访问服务器;例如,你可以对 2001:db8:1::2 执行 ping 操作。

  4. 在 Windows PowerShell 窗口中,键入 ping app1,然后按 Enter 键。 你应该看到来自 App1 的 IPv6 地址的回复,在本例中为 2001:db8:1::3。

  5. 在 Windows PowerShell 窗口中,键入 ping app2,然后按 Enter 键。 你应该看到由 EDGE1 分配给 APP2 的来自 NAT64 地址的答复,在本例中为 fdc9:9f4e:eb1b:7777::a00:4。

    ping App2 的能力非常重要,因为成功表示你能够使用 NAT64/DNS64 建立连接,因为 APP2 是仅 IPv4 资源。

  6. 让 Windows PowerShell 窗口保持打开状态,以便执行下一过程。

  7. 打开 Internet Explorer,在 Internet Explorer 地址栏中,输入 https://app1/,然后按 ENTER 键。 在 APP1 上,你将看到默认的 IIS 网站。

  8. 在 Internet Explorer 地址栏中,输入 https://app2/,然后按 Enter 键。 在 APP2 上,你将看到默认网站。

  9. 在“开始”屏幕上,键入 \\App2\Files,然后按 Enter 键。 双击“新文本文档”文件。

    此示例演示你能够连接到 IPv4 唯一的服务器是使用 SMB 来获取资源域中的资源。

  10. 在“开始”屏幕上,键入 wf.msc,然后按 Enter 键。

  11. 在“具有高级安全性的 Windows 防火墙”控制台中,请注意,只有专用或公用配置文件处于活动状态。 必须启用 Windows 防火墙,DirectAccess 才能正常工作。 如果禁用了 Windows 防火墙,DirectAccess 连接将不起作用。

  12. 在控制台的左窗格中,展开“监视”节点,然后单击“连接安全规则”节点。 你应该会看到活动的连接安全规则:DirectAccess Policy-ClientToCorp、DirectAccess Policy-ClientToDNS64NAT64PrefixExemption、DirectAccess Policy-ClientToInfra 和 DirectAccess Policy-ClientToNlaExempt。 向右滚动中间窗格,以显示“第一身份验证方法”和“第二身份验证方法”列。 请注意,第一个规则 (ClientToCorp) 使用 Kerberos V5 建立 Intranet 隧道,第三个规则 (ClientToInfra) 使用 NTLMv2 建立基础结构隧道。

  13. 在控制台的左窗格中,展开“安全关联”节点,然后单击“主模式”节点。 请注意使用 NTLMv2 的基础结构隧道安全关联和使用 Kerberos V5 的 Intranet 隧道安全关联。 右键单击将“用户 (Kerberos V5)”显示为“第二身份验证方法”的条目,然后单击“属性”。 在“常规”选项卡上,请注意“第二身份验证本地 ID”为“CORP\User1”,这指示 User1 能够使用 Kerberos 成功向 CORP 域进行身份验证。

通过群集测试 DirectAccess 客户端连接

  1. 在 EDGE2 上执行正常关机。

    运行这些测试时,可以使用网络负载平衡管理器查看服务器的状态。

  2. 在 CLIENT1 上的 Windows PowerShell 窗口中,键入 ipconfig /flushdns,然后按 Enter 键。 这将刷新可能仍存在于客户端 DNS 缓存中的名称解析条目。

  3. 在 Windows PowerShell 窗口中,ping APP1 和 APP2。 你应该会收到来自这两个资源的回复。

  4. 在“开始”屏幕上,键入 \\app2\files。 你应该在 App2 计算机上看到共享文件夹。 在 APP2 上打开文件共享的能力表明第二个隧道(需要对用户进行 Kerberos 身份验证)工作正常。

  5. 打开 Internet Explorer,然后打开网站 https://app1/ 和 https://app2/. 打开两个网站的能力确认第一个和第二个隧道都已启动并运行。 关闭 Internet Explorer。

  6. 启动 EDGE2 计算机。

  7. 在 EDGE1 上执行正常关机。

  8. 等待 5 分钟,然后返回到 CLIENT1。 执行步骤 2 到 5。 这证实了在 EDGE1 变得不可用后,CLIENT1 能够透明地故障转移到 EDGE2。