Direct Access-t kell konfigolnom egy ügyfélnek, ezért teszt környezetben próbálgattam a DA-Step-by-step dokumentum alapján, de valamiért a Win7 kliens még nem lát rá a belső hálóra. Elvileg a dokumentumban szereplő etalon alapján van beállítva, vagyis a DC-n AD-ben megvan a biztonsági csoport a DA klienseknek, tanúsítványok telepítve, és a Direct Access konzol négy lépéses setup-ja is kész. A kliens látja a Direct Access server külső lábát, és a DA szerver felől is megy a LAN kártyán a névfeloldás.
Viszont az ipconfig eredménye alapján mind az isatap, mind pedig az ip-https adapter "media disconnected" állapotban van. Ha netsh-val kérdezem le az isatap állapotát, akkor default-ot ad vissza.
Ha jól sejtem, a kliens adapter beállításainál kell keresni a hibát, hiszen a szerver konfig lépésről lépésre a hivatalosan kiadott dokumentum alapján lett beállítva.
Igen, a kliens megkapta a direct access konfigurálása után a frissített csoportházirend beállításokat, csak ezután lett letiltva a LAN-hoz kapcsolódó kártyája. Ha jól tudom, amikor nem éri el a "Network Localization" szerver "URL"-jét, automatikusan átvált a direct access módra. Nem tudom, mindezt ellenőrizni hogyan lehet, valamint azt, hogy az IPSec csatorna valóban felépült-e?
A publikus címek között megy a ping, a 6to4 adapter gateway tulajdonságaiban szereplő gateway cím (2002:836b:2::836b:2) alapján is, ami ugye szintén a Direct Access szerver. A belső hálózati kiszolgálók viszont már nem érhetők el az IPv6-on keresztül (2002:836b:2:1::5efe:10.0.0.1).
Ami még érdekes, hogy egy on-line demóban azt láttam, a gpupdate után a kliens két IPv6-os címet regisztrál a DNS-be. Nálam ez nem történik meg. A szerverek IPv6-os címei viszont rendben regisztrálódik a hálózati kártya tiltás-engedélyezése után.
Ha a W7 kliens nem regisztrálja be az IPv6-os címét amíg még a hálózaton belül van, addig ez biztosan nem fog működni. És ugye a kliens W7 Ult vagy ENT? Egyébként a StepbyStep nem éles környezetre készült, hanem virtuális tesztkörnyezethez, a beállítások amik ott olvashatóak nem biztosan működnek éles környezetben, illetve biztosan nem. :)
"Viszont az ipconfig eredménye alapján mind az isatap, mind pedig az ip-https adapter "media disconnected" állapotban van."
Ez mikor van? Amikor bent vagy, vagy amikor kint? Mert ha akkor amikor kint, akkor ez nem baj, hiszen mondjuk ha a publikus neten vagy akkor nincs ISATAP, az IP-HTTPS meg nem aktiválodik magától alapértelmezésben, csak ha letiltod a Teredo-t. Ha kívül vagy egy publikus címmel, akkor először a 6to4 az ami működik, ha bemégy egy proxy, tűzfal mögé és privát címed lesz akkor meg a Teredo. Ezekkel mi a helyzet?Tamas GAL - Systems Engineer, Microsoft Hungary
