由于我们的组织正在慢慢推出
Windows 10,我观察了一个链接到Windows 10 PC OU的DirectAccess GPO(其中包含用于VDI的内部台式机,笔记本电脑甚至VM).此GPO与我们的标准DA GPO相同,不同之处在于它的范围是经过身份验证的用户,而不是“DA PC”安全组.我向高级管理员指出了这个奇怪之处,有趣的是,他说因为Windows 10支持DirectAccess,所以应该启用它只是因为我们已经设置了它.
我看到了几个问题,但主要的问题是DirectAccess服务器上的负载会增加甚至不需要它的客户端.将DirectAccess部署到所有客户端是一个合理的设计选择,还是奇怪的?这样做的好处/缺点是什么?
如果有桌面和服务器相互通信且网络没有分区/没有防火墙,则DirectAccess没有用处.如果网络位置服务器(NLS)受到攻击,它实际上可能会导致中断.
“当NLS离线时会发生什么?
让我们从DirectAccess中可能发生的最疯狂的情况开始
环境.这个特别坚果,因为当它发生时,症状
您体验的是办公室内的计算机,而您的遥控器
劳动力继续正常运作. NLS是所有人的机制
您的DirectAccess客户端计算机在网络内部进行验证.
这是一个非常简单的要求(只是一个网站),但如果该网站的验证出现任何问题,就会发生疯狂的事情.位于办公室内的任何DirectAccess客户端计算机都不会意识到它在办公室内,并且将继续启用NRPT,这会导致所有企业DNS请求尝试将自己解析为DirectAccess服务器的外部接口,这不是可路由,因为用户在网络内.“
– Microsoft DirectAccess最佳实践和故障排除
(你可能要考虑阅读的一本书)
http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061