Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 3)

Опубликовано: 7 Апреля, 2023

  • Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 1)

Давайте начнем

В первой части этой серии статей мы завершили установку всех необходимых компонентов для успешной реализации Forefront UAG DirectAccess. Во второй части мы настроили Forefront UAG в качестве сервера DirectAccess. В этой статье показано, как отслеживать клиентов DirectAccess, подключенных к серверу Forefront UAG, и как устранять проблемы с подключением DirectAccess.


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

После того, как параметры групповой политики DirectAccess были применены к клиенту DirectAccess, клиент теперь должен иметь доступ к корпоративной сети с помощью DirectAccess. Можно контролировать соединение DirectAccess с помощью веб-монитора Forefront UAG. Запустите веб-монитор Forefront UAG, перейдите к монитору DirectAccess и нажмите «Активные сеансы». Вы увидите всех подключенных клиентов, имя компьютера клиента DirectAccess, имя пользователя, тип туннеля IPsec и используемую технологию подключения DirectAccess (Teredo, 6to4, IP-HTTPS).

Веб-монитор Forefront UAG позволяет отслеживать подключенные клиенты DirectAccess, как показано на следующем снимке экрана:


Рисунок 1: Монитор DirectAccess — активные сеансы

Можно создать фильтр для поиска, например, определенных учетных записей клиентских компьютеров и учетных записей пользователей.

Мониторинг состояния DirectAccess на сервере Forefront UAG

Веб-монитор Forefront UAG предоставляет некоторую высокоуровневую информацию об общем состоянии работоспособности реализации Forefront UAG DirectAccess. Запустите веб-монитор Forefront UAG и перейдите к монитору DirectAccess, и вы увидите состояние служб Forefront UAG в представлении текущего состояния.


Рис. 2. Монитор DirectAccess — текущее состояние

С помощью веб-монитора Forefront UAG вы также можете фильтровать журналы событий, созданные Forefront UAG в отношении DirectAccess. На следующем снимке экрана показаны журналы событий, связанные с подключениями DirectAccess от клиентов.


Рисунок 3:
Forefront UAG — средство просмотра событий

Устранение неполадок DirectAccess на сервере Forefront UAG

Прежде чем мы углубимся в шаги по устранению неполадок на сервере Forefront UAG, убедитесь, что к системе применена групповая политика DirectAccess для сервера Forefront UAG.

Затем проверьте, запущены ли все службы Forefront UAG. Обратите особое внимание на службу Microsoft Forefront UAG DNS64, которая отвечает за преобразование DNS IPv4 в IPv6.

Forefront UAG поставляется с оснасткой Powershell для мониторинга UAG DirectAccess, которая отслеживает текущих пользователей Forefront UAG DirectAccess и состояние служб Forefront UAG, как показано на следующем снимке экрана.


Рисунок 4:
Оснастка Forefront UAG PowerShell

Чтобы узнать больше об устранении неполадок, связанных с DirectAccess, я рекомендую вам прочитать следующую статью.

Общие способы устранения неполадок DirectAccess

Для общих рекомендаций по устранению неполадок DirectAccess Microsoft предоставляет отличную блок-схему для устранения неполадок:


Рисунок 5:
Справочник по устранению неполадок DirectAccess (Источник: нажмите здесь)

Устранение неполадок клиентского компьютера DirectAccess

Прежде чем мы углубимся в устранение неполадок, убедитесь, что выполнены следующие требования:

  • Windows 7 Максимальная или Корпоративная
  • Клиент DirestAccess должен быть присоединен к домену Active Directory.
  • Сертификат компьютера, хранящийся в хранилище сертификатов локального компьютера
  • Применена групповая политика DirectAccess.
  • Клиент DirectAccess должен иметь глобальный адрес IPv6.
  • Проверьте NRPT (таблицу политик разрешения имен) на клиентском компьютере DirectAccess.
  • Убедитесь, что брандмауэр Windows на клиенте DirectAccess активирован и используется общедоступный профиль брандмауэра.

Брандмауэр Windows

В качестве следующего шага проверьте, включен ли брандмауэр Windows на клиентском компьютере DirectAccess, используется ли общедоступный профиль брандмауэра Windows и применены ли к клиенту параметры групповой политики DirectAccess, как показано на следующем снимке экрана.


Рисунок 6:
Брандмауэр Windows в режиме повышенной безопасности на клиенте DirectAccess

DCA (помощник по подключению DirectAccess)

В качестве дополнительного шага можно автоматически развернуть программное обеспечение DCA на компьютере с DirectAccess. DCA сообщит конечному пользователю, если он успешно установил соединение с корпоративной сетью, и если возникнут какие-либо проблемы с подключением, DCA отобразит предупреждающее сообщение о невозможности установления соединения DirectAccess. Теперь конечный пользователь может создавать набор файлов журналов, касающихся DirectAccess, которые могут быть полезны администраторам Forefront UAG для анализа причин проблем с подключением.


Рисунок 7:
Создание DCA и расширенного файла журнала

Полезные команды NETSH для устранения неполадок

Устранение неполадок DirectAccess на стороне клиента и сервера основано на ряде инструментов командной строки, таких как Netsh. Вот несколько полезных команд Netsh на стороне клиента DirectAccess:

netsh dns показать состояние

Отображает состояние DirectAccess и общее состояние конфигурации.

политика отображения пространства имен netsh

Эта команда отображает содержимое таблицы политики разрешения имен (NRPT) на стороне клиента, созданной мастером групповой политики в Forefront UAG.

Пространство имен netsh показать эффективную политику

Эта команда показывает активное содержимое NRPT на клиенте, а не только параметры групповой политики.

Следующие две команды показывают состояние интерфейса Teredo и IP-HTTPS:


Интерфейс netsh Teredo показывает состояние

интерфейс netsh httpstunnel показать интерфейсы

Следующие три команды очень полезны для просмотра состояния брандмауэра Windows на клиенте DirectAccess, текущего используемого профиля брандмауэра и созданной ассоциации безопасности (SA) основного режима IPSec.

монитор netsh advfirewall показывает брандмауэр

netsh advfirewall показать текущий профиль

netsh advfirewall монитор показывает mmsa

Вывод

В этой третьей статье я показал вам, как контролировать клиентские подключения DirectAccess и как устранять проблемы с подключением DirectAccess. По моему мнению, устранение проблем с подключением DirectAccess может быть болезненным, но с помощью правильных инструментов и методов вы сможете успешно устранить причину проблем с подключением DirectAccess.

Ссылки по теме

  • Руководство по устранению неполадок DirectAccess
  • Руководство по лаборатории тестирования: устранение неполадок DirectAccess
  • Общая методика устранения неполадок с подключениями DirectAccess
  • Новый контент по устранению неполадок UAG DirectAccess на TechNet Wiki
  • Microsoft Forefront UAG — обзор Microsoft Forefront UAG
  • Технический обзор Forefront UAG

  • Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 1)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023