我正在考虑在我们的网络中部署 DirectAccess,但对 DirectAccess 服务器必须加入域的要求有些担心,特别是因为它将位于 DMZ 中。外部防火墙上的防火墙规则对我来说相当简单(几乎只是 TCP443,因为它将进行 NAT,因此不需要 6to4 和 teredo 端口),但内部防火墙不太清楚。
这里有其他人部署过 DA 吗?除了按照 Microsoft 的建议(我们不会获得批准)开放从 DA 服务器到内部网络的所有 IPv4 和 IPv6 流量外,到底需要开放什么?AD DS 操作所需的所有端口,以及我们的客户端需要访问的任何服务/资源?
我考虑过在 DMZ 中使用 RODC,但显然需要读/写 DC(尽管线程表明它在某些情况下有效)。
答案1
我已经部署了几次 DirectAccess。;) 您说得对,域通信所需的所有协议/端口以及连接的 DirectAccess 客户端使用内部资源所需的协议/端口都是必需的。如您所见,这是一条非常宽的路径,必须从 DMZ 到 LAN 打开。绝对不是一个好主意。DirectAccess 不支持 RODC,因此该解决方案也不可行。
您的选项是配置具有两个 NIC 的 DirectAccess 服务器,并将外部 NIC 放在 DMZ 中,将内部 NIC 放在 LAN 上。实际上,您是在桥接 LAN,但有些管理员对此表示反对。
另一个选择是将 DirectAccess 服务器放置在具有单个 NIC 的 LAN 上。这将只需要打开从 DMZ 到 LAN 的一个端口 - TCP 端口 443。
希望有帮助!