请原谅我的幼稚,但我之前从未设置过 DirectAccess,我之前做过一些研究,但找不到相关资源。让我先介绍一下背景,然后我再开始回答问题。
2012R2 服务器设置在 NAT 后面,端口 443 和 6200(这个端口有必要吗?)转发到 WAN。该 WAN IP 上也有一个域。
该服务器同时运行 DA 和 CA,而 DC 位于单独的 2012R2 服务器上。
至少根据远程访问管理控制台,服务器运行正常:
我在 DirectAccessClients AD 组中的域上放置了一个客户端。这是我从客户端收到的令人沮丧的错误:
据我所知,IPv6 没有特别的设置(DC 上的 DHCP 甚至可能没有设置来分配这些)。
需要做什么才能让我的客户端正常上网?
附件是一些调试日志:
[4/10/2015 8:18:31 AM]: The public DNS Server (2001:4860:4860::8888) does not reply on ICMP Echo requests, the request or response is maybe filtered?
[4/10/2015 8:18:31 AM]: NLS is reachable via HTTPS, the client computer is connected to the corporate network (internal).
[4/10/2015 8:18:31 AM]: Found (unique) DNS server: [redacted]::1
[4/10/2015 8:18:31 AM]: Send an ICMP message to check if the server is reachable.
[4/10/2015 8:18:31 AM]: DNS Server [redacted]::1 does not reply on ICMP Echo requests.
注意:我不知道 Google 的 IPv6 DNS 来自哪里?
每个相关错误似乎都与 IPv6 DNS 有关,有什么解决办法吗?
答案1
远程访问安装向导在服务器上配置 NLS 服务。这将启用端口 62000,该端口应可从内部网络上的计算机访问。此端口不必具有公共 NAT,唯一需要的端口是 443。
答案2
https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows- 我在客户端电脑上使用了“Microsoft Fix it 50440”和“Microsoft Fix it 50444”工具(展开表格,这里的图标不是广告,而是安装程序)。这些工具在受影响的系统上重新启用了 IPv6。
答案3
我认为这是由 Direct Access 自动分配的,在我的所有部署中,当我看到这样的错误时,它与以下两项之一有关:
DA 部署中使用的服务器和客户端上的 Windows 防火墙已关闭。要使其正常工作,需要启用 Windows 防火墙
DA 服务器上未配置 IPv6,并且/或者 DA 服务器指向的 DNS 服务器上未配置 IPv6。这需要在 DNS 服务器上创建适当的反向 IPv6 DNS 区域,并为 DA 服务器和 DNS 服务器注册 AAAA 记录和 PTR 记录。