none
Direct Access (за пограничным пограничным устройством в одним интерфейсом). RRS feed

  • Общие обсуждения

  • Добрый день господа.У кого то был опыт поднятия DirectAccess так же ка я пытаюсь сделать "За пограничным устройством с одним интерфейсом" ? Т .е .у меня RRAS Server за NAT и имеет всего один сетевой интерфейс.

    Всё уже перепроверил, сто раз. Инструкции все перечитал. Видел кучу примеров как у кого то "бац, бац и в продакшн", а у меня DA клиент пытается подключаться (TCP дамп снимал, реально пытается подключиться), но в результате подключения нет. Найти документацию по тому где найти логи на клиенте и на сервере в которых скорей всего задокументированы ошибки, я не могу.

    Прошу помощи. Кто знает в каких логах Windows 10 Ent и Win Srv 2016 Std пишет подробные дебаги с ошибками по подключениям DA. Есть ощущение, что проблема где то с аутенфикацией DA клиента как машины. Но что именно не так, не понимаю и не знаю где искать логи...


    awefawef

    21 января 2017 г. 14:35

Все ответы

  • Эту статью читали? DA за NAT с одним интерфейсом. Только это для 2012 R2


    21 января 2017 г. 15:49
    Модератор
  • И эту тоже. Отличие только в том, что у меня + VPN. Уже грешным делом думаю может дело именно в этом?! Но находил где народ писал что и VPN и DA вместе ОК. У меня как будто чакры не мытые и карма кривая... Уже не знаю куда копать. С нуля поднял новый Win Srv и на нём поднял RRAS. Сразу обратилв внимание что в IIS не создались привязки корректно для 443 и 62000 порты. Создал руками. Ошибок в локах нет никаких. Трафик бегает от клиента и обратно. Клиент запрашивает TLS1.2, не получает должный ответ и презапрос. И так вечно. Могу дамп выложить, но думаю это не спасёт "отца русской демократии"....

    awefawef

    23 января 2017 г. 19:43
  • Да там не статьи даже, а набор скриншотов того как делается "по умолчанию".

    Никаких понимаемых мер дебага не вижу нигде...

    Настраивал "Setup -> Далее -> Далее -> готово"

    По всем мануалам всё должно именно так работать. Единственное что поменял, это на какие компьютеры применяется политика клиента DA. Добавил тестовый компьютер в ACL группы, которой разрешено применять эту политику. Политика применилась. Пока виртуалка в "локальной" сети и сервер WebProbe доступен - DA не стучится никуда и всё ОК.

    Как только выношу в другую VLAN с другим выходом в Internet, DA пытается подключиться и не подключатеся! Собрал tcpbdump. Из него видно что пытается установиться TLS сессия, но судя по всему какие то пакеты от RRAS не доходят или не те приходят на DA клиента. Потом DA клиент пытается заново подключиться.


    awefawef

    3 февраля 2017 г. 20:51
  • И того. Ничего не работает и на втором тестовом стенде.

    Microsoft перестал оказывать платную техподдержку. Кто знает куда и как можно обратиться за техподдержкой в MS? Или теперь только самостоятельно?


    awefawef

    17 февраля 2017 г. 19:50
  • На сколько я помню, по серверным продуктам не консультируют и первое что я увидел, что выбрать серверную OS не возможно.

    awefawef

    18 февраля 2017 г. 9:56
  • Это не так.

    Консультируют по всему, за ваши деньги.

    18 февраля 2017 г. 10:38
  • Ранее такое было. Но около года назад я попробовал обратиться и меня отправили "лесом". Обращайтесь к нашим партнёрам и они будут использовать за деньги свои обращения по программе партнёрства. Прямые обращения за те 150$ вроде как отсутствуют. Попробую ещё раз в понедельник позвонить, всё записать и тут изложить что мне ответили.


    awefawef

    18 февраля 2017 г. 10:43
  • Отличие только в том, что у меня + VPN.

    зайдите в настройки VPN - Ports - SSTP - выставите там 0. Перезагрузите сервер, проверьте.

    18 февраля 2017 г. 17:36
    Модератор
  • Странная рекомендация по двум причинам:

    1. А если нужен SSTP реально? На тестовом стенде могу проверить конечно....
    2. После внесения любых изменений через управление DA, данные параметры перезапишутся всё равно же...


    awefawef

    18 февраля 2017 г. 18:50
  • Странная рекомендация по двум причинам

    Ну если две службы умеют работать с одним портом (443) - то да, рекомендация странная.

    Хотя может IIS как-то этим управляет. Надо проверить. Я как раз у себя тестовый стенд настраиваю. Завтра закончу, отпишусь о результатах.

    18 февраля 2017 г. 19:10
    Модератор
  • При этом соединение так и не устанавливается. В логе C:\Windows\System32\LogFiles\HTTPERR\httperr1.log

    =============================

    2017-02-18 08:09:39 11.55.33.22 61033 192.168.222.111 443 - - - - - - Timer_ConnectionIdle -
    2017-02-18 08:43:41 11.44.22.33 1295 192.168.222.111 443 - - - - - - Timer_ConnectionIdle -


    awefawef

    18 февраля 2017 г. 19:14