最佳实践 – 是否应将DirectAccess部署到支持它的所有Windows客

发布时间：2020-12-13 23:02:34 所属栏目：Windows 来源：网络整理

导读：由于我们的组织正在慢慢推出 Windows 10,我观察了一个链接到Windows 10 PC OU的DirectAccess GPO(其中包含用于VDI的内部台式机,笔记本电脑甚至VM).此GPO与我们的标准DA GPO相同,不同之处在于它的范围是经过身份验证的用户,而不是“DA PC”安全组.我向高级管

由于我们的组织正在慢慢推出 Windows 10,我观察了一个链接到Windows 10 PC OU的DirectAccess GPO(其中包含用于VDI的内部台式机,笔记本电脑甚至VM).此GPO与我们的标准DA GPO相同,不同之处在于它的范围是经过身份验证的用户,而不是“DA PC”安全组.我向高级管理员指出了这个奇怪之处,有趣的是,他说因为Windows 10支持DirectAccess,所以应该启用它只是因为我们已经设置了它.

我看到了几个问题,但主要的问题是DirectAccess服务器上的负载会增加甚至不需要它的客户端.将DirectAccess部署到所有客户端是一个合理的设计选择,还是奇怪的？这样做的好处/缺点是什么？

如果有桌面和服务器相互通信且网络没有分区/没有防火墙,则DirectAccess没有用处.如果网络位置服务器(NLS)受到攻击,它实际上可能会导致中断.

“当NLS离线时会发生什么？
让我们从DirectAccess中可能发生的最疯狂的情况开始
环境.这个特别坚果,因为当它发生时,症状
您体验的是办公室内的计算机,而您的遥控器
劳动力继续正常运作. NLS是所有人的机制
您的DirectAccess客户端计算机在网络内部进行验证.

这是一个非常简单的要求(只是一个网站),但如果该网站的验证出现任何问题,就会发生疯狂的事情.位于办公室内的任何DirectAccess客户端计算机都不会意识到它在办公室内,并且将继续启用NRPT,这会导致所有企业DNS请求尝试将自己解析为DirectAccess服务器的外部接口,这不是可路由,因为用户在网络内.“

– Microsoft DirectAccess最佳实践和故障排除

(你可能要考虑阅读的一本书)

http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061

https://www.packtpub.com/virtualization-and-cloud/microsoft-directaccess-best-practices-and-troubleshooting

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!