none
Direct Access Windows 2012 R2 Проблемы с DNS на клиенте RRS feed

  • Вопрос

  • Добрый день!

    Настроил сервер Direct Access. После завершения мастера DA создались, как и положено, 2 групповые политики. Записи в DNS тоже появились. После применения политики на Win8 Ent подключение сразу не устанавливалось. Сделал на сервере DA следующие действия:

    1. Get-NetIPAddress –InterfaceAlias IPHTTPSInterface –PrefixLength 64 | ForEach { $_.IPAddress }

    2. Откроем для редактирования политику DirectAccess Client Settings и переходим в настройкиName Resolution Policy. В настройках Name Resolution Policy Table нажимаем Edit Rule. Перезаписываем старое значение теми, которые получили после отработки предыдущего коммандлета

    3.Set-NetDnsTransitionConfiguration –AcceptInterface IPHTTPSInterface

    4.Set-NetNatTransitionConfiguration –IPv4AddressPortPool @(“172.16.20.5, 6001-6601”, “172.16.20.5, 6603-47000”)

    5.Restart-Service WinNat

    После переприменения заново всех политики, клиент успешно подключился. Все внутренние ресурсы при активном DA доступны.

    Но возникла проблема: при нахождении в доменной сети DNS записи не резолвятся. Хотя nslookup имядомена выдает все нужные ipv4 адреса контроллеров домена.

    В чем может быть проблема? 

Ответы

  • Сайт недоступен с компьютеров домена. Хотя с самого сервера DA он открывается.

    Проверяйте настройки брандмауэра на сервере DirectAccess: скорее всего, он блокирует.

    PS И я вам очень сильно не советую использовать "на всякий случай" рекомендации, взятые непонятно откуда.


    Слава России!


    • Изменено M.V.V. _ 4 мая 2016 г. 14:11
    • Помечено в качестве ответа RUSAGRO 5 мая 2016 г. 8:14

Все ответы

  • Скореее всего - в том, что у вас подключение DirectAcces активно и внутри домена, и попытки разрешения имён идут через NRPT. Чтобы проверить, смотрите выдачу команды netsh dnsclient show state, строчку Machine Location: если там написано Outside corporate network - дело в этом. 

    Вероятная причина почему клиент себя считает находящимся вне корпоративной сети - или сервер NLS просто недоступен,  или для него нет записи-исключения в NRPT (которую вы отредактировали в п.2, при том, что редактирование политик DirectAccess чем-либо, кроме мастера настройки сервера или соответствующих командлетов не поддерживается).

    PS А nslookup про DirectAccess и NRPT ничего не знает - потому и работает. Проверять разрешение имён через DNS Client нужно командой Powershell Resolve-DNSName


    Слава России!


    • Изменено M.V.V. _ 4 мая 2016 г. 11:06
  • Действительно, netsh dnsclient show state выводит "Вне корпоративной сети". Запись для directaccess-nls существует в DNS на контроллере домена. Из домена пингуется. Резолвит адрес DA сервера, потому что при конфигурировании выбран пункт "Располагается на этом сервере" и добавлен самоподписанный сертификат.

    Скорее всего дело в политике на клиент и там в NRPT для записи directaccess-nls не указаны адреса dns(см.скриншот).

    При конфигурации описанной выше для записи NLS по идее должен быть указан ipv6 адрес сервера DA ? 


  • Да, для NLS в правилах NRPT должна быть запись (в конфигурации по умолчанию - для пространства имён directaccess-nls.имя.домена) с пустым значением DirectAccessDNSServers. У вас эта запись вроде как есть.  Но нужно проверить ещё и разрешение этого имени, и доступность URL сервера NLS по HTTPS.


    Слава России!


    • Изменено M.V.V. _ 4 мая 2016 г. 12:31
  • Запись есть - это видно на скриншоте выше. Там 2 записи как раз. Одна - directaccess-nls.имя.домена (она с пустым значением DirectAccessDNSServers), а вторая для суффикса имя.домена она с адресом ipv6.

    Странно, т.е. запись nls есть, она пингуется по имени на доменных компах и резолвится в ipv4 адрес сервера DA. Но после применения политики клиента DA становится недоступна и из-за этого клиент определяет себя как "во вне корпоративной сети"...

    Вот вывод команды netsh dnsclient show state при подключении к доменной сети:

    C:\Windows\system32>netsh dnsclient show state

    Параметры таблицы политики разрешения имен
    --------------------------------------------------------------------

    Поведение при ошибке запроса          : Всегда возвращаться к LLMNR и NetBIOS,
                                            если имя отсутствует в DNS или если
                                            DNS-серверы недоступны в частной сети

    Поведение разрешения запроса          : разрешать для имен только IPv6-адреса

    Поведение сетевого расположения          : Использование параметров Direct Access
                                            определяется по сетевому ИД

    Размещение компьютера                  : Вне корпоративной сети

    Параметры Direct Access             : настроен и включен

    Параметры DNSSEC                      : не настроены



    • Изменено RUSAGRO 4 мая 2016 г. 13:12
  • Пингуется - это хорошо, но проверка NLS происходит по HTTPS, а не ping'ом.

    Проверьте (с помощью IE) с корпоративного компьютера подключение по URL

    https://DirectAccess-NLS.имя.домена:443/insideoutside

    Если там всё нормально, то проверьте, действительно ли на клиенте применилась политика, в которой определены указанные на скриншоте правила NRPT: командой netsh namespace show policy посмотрите те правила, которые реально есть на клиенте DirectAccess и сравните их с теми, которые в вашей политике.


    Слава России!


    • Изменено M.V.V. _ 4 мая 2016 г. 13:38
  • Сайт недоступен с компьютеров домена. Хотя с самого сервера DA он открывается. Нашел следующий совет:

    Для функционирования NLS сервера необходимо скопировать несколько файлов, они находятся в каталогах “C:inetpubwwwroot ” и “C:Program FilesWindows ServerBinWebAppsSiteDefault.aspx”. Используем следующие команды:

    XCOPY ‘C:inetpubwwwroot’ ‘C:Program FilesWindows ServerBinWebAppsSiteinsideoutside’ /E

    XCOPY ‘C:Program FilesWindows ServerBinWebAppsSiteDefault.aspx’ ‘C:Program FilesWindows ServerBinWebAppsSiteinsideoutside’

    После того, как файлы скопированы закончим конфигурацию выбрав 3-й шаг в консоли.

    Попробую реализовать.


  • Сайт недоступен с компьютеров домена. Хотя с самого сервера DA он открывается.

    Проверяйте настройки брандмауэра на сервере DirectAccess: скорее всего, он блокирует.

    PS И я вам очень сильно не советую использовать "на всякий случай" рекомендации, взятые непонятно откуда.


    Слава России!


    • Изменено M.V.V. _ 4 мая 2016 г. 14:11
    • Помечено в качестве ответа RUSAGRO 5 мая 2016 г. 8:14
  • Да, проблема была в брандмауре.

    Сделал правильно: развернул на отдельном сервере IIS c дефолтной страничкой и доменным сертификатом. Все сразу заработало как надо.

    Спасибо!