随着我们的组织逐渐推出 Windows 10,我观察到一个链接到 Windows 10 PC OU(其中包含内部台式机、笔记本电脑,甚至用于 VDI 的虚拟机)的 DirectAccess GPO。此 GPO 与我们的标准 DA GPO 相同,只是它的范围是经过身份验证的用户,而不是“DA PC”安全组。我向我们的高级管理员指出了这个奇怪之处,有趣的是,他说因为 Windows 10 支持 DirectAccess,所以应该启用它,因为我们已经设置了它。
我发现这有几个问题,但主要问题是 DirectAccess 服务器的负载会增加,因为客户端甚至不需要它。将 DirectAccess 部署到全部客户端的设计选择合理吗?还是很奇怪?这样做有什么好处/缺点?
答案1
如果桌面和服务器相互通信,并且网络未分区/没有防火墙,DirectAccess 就毫无用处。如果网络位置服务器 (NLS) 出现故障,它实际上可能会导致中断。
“当 NLS 处于离线状态时会发生什么?
让我们从 DirectAccess 环境中可能发生的最疯狂的情况之一开始。这种情况特别疯狂,因为当它发生时,您遇到的症状是针对办公室内的计算机,而您的远程工作人员继续正常工作。NLS 是您所有 DirectAccess 客户端计算机在网络内时进行验证的机制。
这是一个非常简单的要求(只是一个网站),但如果该网站的验证出现任何问题,就会发生疯狂的事情。办公室内的任何 DirectAccess 客户端计算机都不会意识到自己在办公室内,并将继续启用 NRPT,这会导致所有公司 DNS 请求都尝试自行解析为 DirectAccess 服务器的外部接口,但由于用户在网络内,因此无法路由该接口。”
-- Microsoft DirectAccess 最佳实践和故障排除
(您可能想考虑阅读的一本书)
http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061