none
DA 2012R2 + ISATAP + SCCM удаленное управление DirecAccess клиентами. RRS feed

  • Вопрос

  • Добрый, день просто в тупике каком-то...

    1. Есть DA сервер, находится за ТМГ

    2. Удаленные клиенты DA успешно подключаются и получают доступ к ресурсам

    Вопрос в том, как заставить SCCM и, например, администраторские раб станции успешно подключаться к удаленным клиентам DA. 

    Для этого нужна трансляция из 6 в 4, ISATAP, ISATAP я успешно настроил, согласно данной статье: http://blogs.technet.com/b/jasonjones/archive/2013/04/19/limiting-isatap-services-to-directaccess-manage-out-clients.aspx

    Политики применились,  адптер ISATAP на SCCM получил адрес, но он из fe80 link local adress и я не могу пинговать ни DA сервер ни удаленного клиента...

    DA Server:

    Ethernet adapter LAN:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
       Physical Address. . . . . . . . . : 00-50-56-87-6F-B9
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv6 Address. . . . . . . . . . . : fd72:3d36:76b8:3333::1(Preferred)
       Link-local IPv6 Address . . . . . : fe80::884c:fb2:838c:474e%12(Preferred)
       IPv4 Address. . . . . . . . . . . : 10.62.4.55(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.252.0
       Default Gateway . . . . . . . . . : 10.62.7.254
       DHCPv6 IAID . . . . . . . . . . . : 302010454
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1B-19-0D-16-00-50-56-87-6F-B9
       DNS Servers . . . . . . . . . . . : 10.62.4.4
                                           10.62.4.44
       NetBIOS over Tcpip. . . . . . . . : Disabled

    Tunnel adapter 6TO4 Adapter:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft 6to4 Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Tunnel adapter IPHTTPSInterface:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : IPHTTPSInterface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv6 Address. . . . . . . . . . . : fd72:3d36:76b8:1000::1(Preferred)
       IPv6 Address. . . . . . . . . . . : fd72:3d36:76b8:1000::2(Preferred)
       IPv6 Address. . . . . . . . . . . : fd72:3d36:76b8:1000:8dac:2df:c4bf:e891(Preferred)
       Link-local IPv6 Address . . . . . : fe80::8dac:2df:c4bf:e891%15(Preferred)
       Default Gateway . . . . . . . . . :
       DHCPv6 IAID . . . . . . . . . . . : 419430400
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1B-19-0D-16-00-50-56-87-6F-B9
       NetBIOS over Tcpip. . . . . . . . : Disabled

    Tunnel adapter isatap.{4E20B5D6-171C-4F5C-A90F-DED6C04D5D87}:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::5efe:10.62.4.55%16(Preferred)
       Default Gateway . . . . . . . . . :
       DHCPv6 IAID . . . . . . . . . . . : 436207616
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1B-19-0D-16-00-50-56-87-6F-B9
       DNS Servers . . . . . . . . . . . : 10.62.4.4
                                           10.62.4.44
       NetBIOS over Tcpip. . . . . . . . : Disabled

    SCCM Server:

    Ethernet adapter LAN:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Physical Address. . . . . . . . . : 00-50-56-90-60-E9
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv6 Address. . . . . . . . . . . : fd72:3d36:76b8:3333::5(Preferred)
       Link-local IPv6 Address . . . . . : fe80::5c82:4b2e:8bd6:8e43%11(Preferred)
       IPv4 Address. . . . . . . . . . . : 10.62.4.110(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.252.0
       Default Gateway . . . . . . . . . : fd72:3d36:76b8:3333::1
                                           10.62.7.250
       DHCPv6 IAID . . . . . . . . . . . : 234901590
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-17-73-A3-D6-00-50-56-90-60-E9
       DNS Servers . . . . . . . . . . . : 10.62.4.4
                                           10.62.4.44
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{5EB70485-A107-4C58-B87E-57D134463BCA}:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::5efe:10.62.4.110%12(Preferred)
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 10.62.4.4
                                           10.62.4.44
       NetBIOS over Tcpip. . . . . . . . : Disabled

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    На LAN адаптере это я уже сам руками прописал IPv6 адрес из линка fd72:3d36:76b8:3333:: /64 и в качестве шлюза указал адрес DA сервера: fd72:3d36:76b8:3333::1 

    При таких настройках:

    с сервера SCCM я пингую DA сервер, но не пингую клиента DA

    DA пингует и клиента DA и сервер SCCM.

    Да в качестве эксперимента, чтобы исключить влияние FW - я его отключал на DA, но на SCCM так и не прилетел адрес для ISATAP с нужным префиксом.....

    Помогайте люди добрые )

Ответы

  • Ну и по традиции :) решение опубликовал здесь:

    http://social.technet.microsoft.com/Forums/en-US/c3f4269c-2ff8-429c-a84e-00f9a5080648/directaccess2012-sccm2012-isatap-manage-out-da-clients?forum=winserver8gen

    • Помечено в качестве ответа Aleksey Ozerov 3 июня 2014 г. 11:41
    3 июня 2014 г. 11:41

Все ответы

  • Вот к примеру tracert от SCCM до DA удаленного клиента:

    Tracing route to fd72:3d36:76b8:1000:3077:665f:cdeb:2b00 over a maximum of 30 hops

      1    <1 ms     *       <1 ms  fd72:3d36:76b8:3333::1
      2     *        *        *     Request timed out.
      3     *        *        *     Request timed out.
      4     *        *        *     Request timed out.
      5     *        *        *     Request timed out.

    И пинг этого же клиента от DA сервера:

    Pinging fd72:3d36:76b8:1000:3077:665f:cdeb:2b00 with 32 bytes of data:
    Reply from fd72:3d36:76b8:1000:3077:665f:cdeb:2b00: time=4ms
    Reply from fd72:3d36:76b8:1000:3077:665f:cdeb:2b00: time=3ms
    Reply from fd72:3d36:76b8:1000:3077:665f:cdeb:2b00: time=2ms

  • Ну и по традиции :) решение опубликовал здесь:

    http://social.technet.microsoft.com/Forums/en-US/c3f4269c-2ff8-429c-a84e-00f9a5080648/directaccess2012-sccm2012-isatap-manage-out-da-clients?forum=winserver8gen

    • Помечено в качестве ответа Aleksey Ozerov 3 июня 2014 г. 11:41
    3 июня 2014 г. 11:41