Seriál: Nasazujeme Direct Access - příprava a konfigurace DirectAccess Connectivity Assistant (část 6. - poslední)
Pro usnadnění diagnostiky ze strany klienta je zde Solution Accelerator pro DirectAccess ve kterém je obsažen tento nástroj. Obsahuje instalační balíček ve formátu MSI a GPO šablonu pro konfiguraci tohoto nástroje. Stáhněte tedy instalační balíček a rozbalte jej. Na doménový řadič si nakopírujte šablonu ADMX a ADML soubory. Soubor DirectAccess Connectivity Assistant GP.admx nakopírujte do %systemroot%\PolicyDefinitions a soubor DirectAccess Connectivity Assistant GP.adml do %systemroot%\PolicyDefinitions\en-us.
Stáhnout jej můžete na této adrese: https://go.microsoft.com/fwlink/?LinkId=181779
K instalaci DirectAccess Connectivity Assistant můžete využít GPO, nebo instalace pomocí různých management nástrojů.
Konfiguraci pro DirectAccess Connectivity Assistant přidáme do naší dříve vytvořené politiky pro klienty DirectAccess. Otevřeme si tedy již vytvořenou politiku a nastavíme základní části politiky.
Nastavíme části:
- PortalName – Jméno pro portal site
- Corporate portal site - Adresa portálu, která se ukazuje v Connectivity Assistant ve spodní části. Může to být i stránka s návodem pro uživatele. Například: https://helpdesk.organizace.cz
- CorporateResources – Jedno z nejdůležitějších nastavení, obsahuje adresy, které bude Connectivity Assistant testovat. Pokud klient nechá vygenerovat diagnostický log, veškeré tyto adresy bude klient testovat a výsledek testů zapíše do logu. Může obsahovat několik testovacích součástí. Doporučuji zde přidat i IPv6 ping adresy DNS serverů. Například:
- PING:IPv6 adresa
- PING:DNS interního serveru
- HTTP:https://DNS interního serveru/
- HTTP:https://IPv6 interního serveru/
- DTE – Obsahuje IP adresy DirectAccess serveru. Například: PING:IPv6 adresa
- LocalNamesOn – Toto nastavení povoluje či zakazuje klientovi položku v menu Prefer Local Names. Pokud klient zvolí tuto volbu, přestane DirectAccess posílat dotazy na interní DNS servery. V případě problémů s DirectAccess může být tato volba poměrně užitečná.
- AdminScript – Pokud je tato volba specifikována, musí být na klientech distribuován script který je zde uveden. Connectivity Assistant neřeší distribuci scriptu. Tento script je spouštěn v případě spuštění Advanced diagnostics. Pozor ovšem na nastavení práv k tomuto scriptu, je spouštěn s elevated právy.
Po úspěšné instalaci a konfiguraci Connectivity Assistent bude na klientském počítači v systém tray ikonka, která bude diagnostikovat stav připojení do korporátní sítě. Jednotlivé stavy jsou znázorněny v následující tabulce.
|
DirectAccess je funkční. |
|
Není dostupná internetová konektivita. |
|
DirectAccess není dostupný nebo je problém s dostupností některé části sítě. |
|
Pokud je DirectAccess nasazen spolu s NAP technologií může být v některých případech vyžadováno nová kontrola NAP serveru. |
Příprava klientů k nasazení DirectAccess
Pokud máte provedeny veškeré kroky z předchozích kapitol, pak už je samotné povolení využívaní DirectAccess technologie jen otázkou aplikace korektních politik na klienty. Přidejme tedy testovací počítač do skupiny DirectAccess klientů, kterou jsme si vytvořili.
Testovaní DirectAccess
Po přidání testovacího počítač do skupiny DirectAccess klientů nezapomeňte počkat nebo obnovit doménové politiky na klientovi. Aplikaci můžete ověřit pomocí nástroje gpresult. Také by v počítačovém úložišti certifikátů měl být certifikát pro konkrétní počítač. Po úspěšné aplikaci politik můžete počítač připojit mimo interní síť a po několik málo vteřinách by DirectAccess Connectivity Assistant měl ukazovat, že korporátní síť funguje v pořádku. Nyní můžete otestovat ping na interní DNS servery, případně další servery, které již mají dostupnou IPv6 adresu.
Řešení problémů
Při řešení problémů s DirectAccess serverem je důležité zaměřit se na podpůrné technologie, na kterých je DirectAccess přímo závislý. Při řešení většiny problémů vám pomůže log, který získáte z nefunkčních klientů.
DirectAccess server
Při většině implementací nebyl problém v samotném DirectAccess serveru, ale v nefunkčních komponentách nebo špatné konfiguraci některé z komponent.
Při řešení problémů bych postupoval v následujícím pořadí:
- Funguje v interní síti IPv6 konektivita?
Jak ověřit: např. ping mezi DirectAccess Serverem a ostatními servery ping -6 ipv6adresa - Je DNS dostupné přes IPv6?
Jak ověřit: nslookup pomocí ipv6 adresy. Spustíme nslookup, napíšeme server ipv6adresa, a otestujeme některé dotazy do DNS - Jsou korektně publikovány CRL?
Jak ověřit: Přes webový prohlížeč stáhneme soubor crl. Otestujte hlavně mimo interní síť. - Jsou CRL a Delta CRL ?
Jak ověřit: Přes webový prohlížeč stáhneme soubor delta crl (končí znakem +). Otestujte hlavně mimo interní síť.
Klient DirectAccess
Pokud je problém na straně klienta, je důležité ověřit funkčnost tunelovacích adaptérů a síťovou konektivitu. Následně stav certifikátů a dostupnost CRL. Bez možnosti ověřit certifikát nebude možné uskutečnit spojení s DirectAccess serverem. Se spoustou těchto kroků nám pomůže log, který je možné vygenerovat přes DirectAccess Connectivity Assistant. Tento log můžeme vygenerovat přes pravé tlačítko na ikonce Connectivity Assistenta v části the Advanced Diagnostics. Logy jsou automaticky vytvořené a uložené do cab souboru. V tomto log souboru jsou veškeré potřebné informace, které jsou nutné ke zjištění příčiny nefunkčnosti připojení. Log je rozdělen do několika částí:
- Zjištění dostupnosti DTE a jednotlivých Probe, tak jak jsme nastavili v politice
- Výpis IpConfig /all
- Stav jednotlivých adaptérů
- netsh int teredo show state
- netsh int httpstunnel show interfaces
- Stav DNS - netsh dns show state
- Výpis IPSEC policy - netsh name show policy
- Efektivní nastavení DNS (NRPT) - netsh name show effective
- Stav Ipv6 - netsh int ipv6 show int level=verbose
Závěr
Odkazy:
- Informace o ISATAP - https://207.46.16.252/en-us/magazine/2008.03.cableguy.aspx
- Informace o Teredo - https://technet.microsoft.com/en-us/network/cc917486.aspx
- Informace o IPv6 v češtině - https://www.ipv6.cz
- Kompletní informace o DirectAccess - https://technet.microsoft.com/en-us/library/dd630627(WS.10).aspx
- Více informací o NRPT - https://social.technet.microsoft.com/wiki/contents/articles/directaccess-client-location-awareness-nrpt-name-resolution.aspx
Předchozí díly seriálu:
Seriál: Nasazujeme Direct Access - nastavení firewallu (část 5.)
Seriál: Nasazujeme Direct Access - vygenerování certifikátů na DirectAccess Serveru (část 4.)
Seriál: Nasazujeme Direct Access - automatická distribuce klientských certifikátů (část 3.)
Seriál: Nasazujeme Direct Access - instalace WS 2008 R2 (část 2.)
Seriál: Nasazujeme Direct Access - úvod a požadavky (část 1.)