none
DirectAccess и доступ к внутренним серверам RRS feed

  • Вопрос

  • Доброго времени суток!

    Подняли в компании DirecAccess на WS2019,тунель подымается, все сервера пингуются, на терминальные сервера по RDP доступ есть...

    Но все остальное не работает, ни smr, ни https...

    Почему так, как исправить?


    25 апреля 2020 г. 4:39

Все ответы

  • На вопрос "Как исправить?" ответ простой: "Настроить правильно Direct Access".

    Но вы, наверное, хотите более полезный совет от коллег? Тогда дайте коллегам более подробную техническую информацию: что и как именно не работает. DirectAccess работает исключительно по IPv6. В связи с этим, нужны ответы на вопросы:

    • настроена ли у вас внутри сети маршрутизация по IPv6?
    • если да, то поддерживают ли её и прослушивают ли соответствующие адреса IPv6 те службы, которые не работают?
    • если нет, то как настроена трансляция IPv6-IPv4 на сервере DirectAccess?
    • получают ли клиенты DirectAccess правильные адреса IPv6 (возможно, транслированные из IPv4) для служб, которые не работают (для проверки испольуйте Resolve-DNSName в Powershell или, на худой конец, ping)?
    • устанавливается ли соединение TCP к нужным службам для нужных адресов/портов (для проверки используйте клиент Telnet)?

    Вот после ответов на такие вопросы (их может ещё и добавиться) вам будет помочь намного легче.


    Слава России!

    25 апреля 2020 г. 14:43
  •  - все сервера пингуются, и ресолвятся в IPv6, логично предположить что с маршрутизацией и DNS все ОК

    - т.к. развернут DirectAccess с одной сетевой картой и проблосом только 443-порта, то используется если не ошибаюсь только IP-HTTPS

    - проверка telnet-ом показа что соединится с серверами не удается...

    также могу опирался на такую информацию "Теперь наличие сети IPv6 в организации не требуется, то, что до этого делал UAG, делает сам сервер DirectAccess (NAT64/DNS64)"

    .


    25 апреля 2020 г. 15:54
  • Что еще можно проверить?
    27 апреля 2020 г. 16:41
  • нетмон\вайршарк? телнет не показатель
    27 апреля 2020 г. 17:02
  • Что еще можно проверить?

    Можно проверить настройки брандмауэра на серверах, к которым нет доступа - что внутренний адрес сервера DirectAccess попадает в то, что указано для Удаленный IP-адрес на вклаке Область правила.

    А также - состояние соединений TCP в момент попытки подключения на стороне сервера (команда netstat, возможно с дополнительными ключами): если оно находится в состоянии SYN_RECEIVED, то это означает, что нарушена маршрутизация или NAT64 в обратную сторону, если соединения не видно, то, скорее всего, где-то вмешался брандмауэр (локальный или межсетевой экран).


    Слава России!

    27 апреля 2020 г. 20:14
  • Оказалось что причина в политике шифрования трафика в домене IPSec ESP...

    Есть ли возможность использовать и DirectAccess, и политику  IPSec ESP одновременно?

    Что нужно сделать для возможности подключаться удаленным помощником к клиентам DirecAccess? 

    29 апреля 2020 г. 13:53