none
Проблемы с Direct Access (UAG). RRS feed

  • Вопрос

  • В-общем выделил 2 новых внешних ipшника, посадил на них новый сервак Win2k8 R2 SP1 (daserver1). Вогнал его в домен.
    Поднял на нём UAG, с ним с диска установился и TMG.
    В TMG создал правило разрешено всё всюду.
    В UAG настроил Direct Access (DA) standalone server, после нескольких правок всё удачно активировалось.
    В частности:
    На другом сервере (iisserver1) настроил IIS, для DA в качестве сервера определения местоположения или как там его.
    Запросил и получил DA серверу сертификаты от Root CA (ipsec, подпись ospc, компьютер и проверка подлинности рабочей станции).
    Root CA виден из инета, например, пользовательские ноуты используют его для проверки сертификата, когда удалённо подключаются к терминальному серверу.
    В-общем ниже будет текст скрипта, который UAG применил для установки DA.
    Второй сетевухой сервер в домене.
    В итоге создались 3 политики UAG Direct Access (Clients,Gateways,AppServers).
    На ноуте введённом в домен политикой установил Direct Access Connectivity Assistant (DACA). 
    В локальной сети комп видит подключение к DA серверу и DACA горит зелёным.
    Ноутом по 3G подключаюсь к интернету и DA не работает, т.е. корпоративные ресурсы не доступны, не пингуются и DACA горит красным.
    Как раз совпало - чуть ранее менял DHCP с маршрутизаторского на Microsoft Win2008R2SP1 DHCP. Этот же сервер DNS и контроллер домена (DC1)
    До этого с ipv6 не очень-то сталкивался и поднято это в сети не было, но сейчас в связи с появлением DA у всех появились какие-то ipv6 адреса, хотя DHCP под ipv6 настроен не был.
    // ipconfig с контроллера домена:
    Ethernet adapter Подключение по локальной сети:
       DNS-суффикс подключения . . . . . : ad.firma.ru
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.20
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.0.1
    Туннельный адаптер Подключение по локальной сети* 8:
       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
    Туннельный адаптер Подключение по локальной сети* 14:
       DNS-суффикс подключения . . . . . : ad.firma.ru
       Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.0.20%12
       Основной шлюз. . . . . . . . . :
    // ipconfig с DA сервера:
    Ethernet adapter Подключение по локальной сети* 9:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
    Ethernet adapter LAN:
       DNS-суффикс подключения . . . . . : ad.firma.ru
       Локальный IPv6-адрес канала . . . : fe80::7c53:c14e:dfbc:9bc%11
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.80
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . :
    Ethernet adapter WAN:
       DNS-суффикс подключения . . . . . :
       Локальный IPv6-адрес канала . . . : fe80::a144:fa26:f561:77b2%14
       IPv4-адрес. . . . . . . . . . . . : 123.456.69.66
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IPv4-адрес. . . . . . . . . . . . : 123.456.69.67
       Маска подсети . . . . . . . . . . : 255.255.255.248
       Основной шлюз. . . . . . . . . : 123.456.69.65
    Адаптер беспроводной локальной сети WLAN:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
    Туннельный адаптер 6TO4 Adapter:
       DNS-суффикс подключения . . . . . :
       IPv6-адрес. . . . . . . . . . . . : 2002:d9ad:4542::d9ad:4542
       IPv6-адрес. . . . . . . . . . . . : 2002:d9ad:4543::d9ad:4543
       Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
    Туннельный адаптер Teredo Tunneling Pseudo-Interface:
       DNS-суффикс подключения . . . . . :
       Локальный IPv6-адрес канала . . . : fe80::8000:f227:2652:babd%12
       Основной шлюз. . . . . . . . . :
    Туннельный адаптер isatap.{62C31FFF-53FC-4158-984C-0C4BD2454108}:
       DNS-суффикс подключения . . . . . :
       Локальный IPv6-адрес канала . . . : fe80::200:5efe:123.456.69.66%18
       Локальный IPv6-адрес канала . . . : fe80::200:5efe:123.456.69.67%18
       Основной шлюз. . . . . . . . . :
    Туннельный адаптер isatap.ad.firma.ru:
       DNS-суффикс подключения . . . . . : ad.firma.ru
       IPv6-адрес. . . . . . . . . . . . : 2002:d9ad:4542:8000:0:5efe:192.168.0.80
       Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.0.80%15
       Основной шлюз. . . . . . . . . :
    Туннельный адаптер IPHTTPSInterface:
       DNS-суффикс подключения . . . . . :
       IPv6-адрес. . . . . . . . . . . . : 2002:d9ad:4542:8100:a8a8:def1:609a:a928
       Локальный IPv6-адрес канала . . . : fe80::a8a8:def1:609a:a928%19
       Основной шлюз. . . . . . . . . :
    Туннельный адаптер isatap.{B0B42778-794C-48AC-8E0C-CD71DC94CD8F}:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
    Туннельный адаптер isatap.{25A7F829-D5A8-4316-8171-37D3571C30EF}:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
    // скрипт которым UAG настроил DA тут:
    http://depositfiles.com/files/jf14k9c26


    • Изменено cordlesspass 1 декабря 2011 г. 20:50
    • Перемещено Dmitry Davydov 9 декабря 2011 г. 11:49 (От:Forefront Endpoint Security)
    1 декабря 2011 г. 20:34