DirectAccess Manage-Out 与本机 IPv6 实施的问题

DirectAccess Manage-Out 与本机 IPv6 实施的问题

我试图了解为什么我的内部网络计算机无法通过 RDP 连接到我的 DirectAccess 客户端。我的内部网络使用 IPv6,因此没有 ISATAP 运行。只是直接路由到客户端和从客户端路由。我能够从内部网络上的管理设备 ping DA 客户端,没有任何问题。但是当我尝试通过 RDP 直接连接到其中一个 DA 客户端时,我无法连接。客户端正在接受 RDP 连接。

为了排除 Windows 防火墙,我在管理 PC、DA 服务器和我正在测试的远程客户端上设置了全面的允许规则。

我使用 wireshark 进行了一些调查,发现 DA 服务器在 3389 上接收了具有管理计算机正确 IPV6 源的 RDP 连接请求,以及 DA 客户端正确 IP-HTTPS IPV6 隧道地址。

由于它在 IP-HTTPS 隧道中被加密,我无法读取除此之外的流量,但我没有看到任何连接尝试记录在远程客户端的 Windows 防火墙中。

我可以直接从 DA 服务器本身建立 RDP 连接。

我不知道下一步该去哪里,如果有人能提供帮助我将不胜感激。

如果您需要更多信息,请告诉我您的需求,我会提供给您。

答案1

我找到了一篇旧的 Forefront UAG 文章,它解决了这个问题。发起到远程客户端的传出连接的计算机需要远程客户端计算机上的“从网络访问这台计算机”安全策略权限,才能通过 IPsec 隧道的安全检查。此操作的默认 Windows 权限工作正常,但我们最近进行了安全审核,其中一项建议是将“从网络访问这台计算机”限制为仅需要此访问权限的特定组。放宽此限制以允许我们所有的内部计算机和用户帐户“从网络访问这台计算机”,这为我解决了这个问题。

相关内容