是否应将 DirectAccess 部署到所有支持它的 Windows 客户端?

是否应将 DirectAccess 部署到所有支持它的 Windows 客户端?

随着我们的组织逐渐推出 Windows 10,我观察到一个链接到 Windows 10 PC OU(其中包含内部台式机、笔记本电脑,甚至用于 VDI 的虚拟机)的 DirectAccess GPO。此 GPO 与我们的标准 DA GPO 相同,只是它的范围是经过身份验证的用户,而不是“DA PC”安全组。我向我们的高级管理员指出了这个奇怪之处,有趣的是,他说因为 Windows 10 支持 DirectAccess,所以应该启用它,因为我们已经设置了它。

我发现这有几个问题,但主要问题是 DirectAccess 服务器的负载会增加,因为客户端甚至不需要它。将 DirectAccess 部署到全部客户端的设计选择合理吗?还是很奇怪?这样做有什么好处/缺点?

答案1

如果桌面和服务器相互通信,并且网络未分区/没有防火墙,DirectAccess 就毫无用处。如果网络位置服务器 (NLS) 出现故障,它实际上可能会导致中断。

“当 NLS 处于离线状态时会发生什么?
让我们从 DirectAccess 环境中可能发生的最疯狂的情况之一开始。这种情况特别疯狂,因为当它发生时,您遇到的症状是针对办公室内的计算机,而您的远程工作人员继续正常工作。NLS 是您所有 DirectAccess 客户端计算机在网络内时进行验证的机制。

这是一个非常简单的要求(只是一个网站),但如果该网站的验证出现任何问题,就会发生疯狂的事情。办公室内的任何 DirectAccess 客户端计算机都不会意识到自己在办公室内,并将继续启用 NRPT,这会导致所有公司 DNS 请求都尝试自行解析为 DirectAccess 服务器的外部接口,但由于用户在网络内,因此无法路由该接口。”

-- Microsoft DirectAccess 最佳实践和故障排除

(您可能想考虑阅读的一本书)

http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061

https://www.packtpub.com/virtualization-and-cloud/microsoft-directaccess-best-practices-and-troubleshooting

相关内容