0

我们正在使用 Windows Server 2012 R2 实现 DirectAccess。

DA 服务器是防火墙后面的单个 NIC,为 IPHTTPS 转发 TCP/443。

在初始测试/设置期间,我们严格为 Windows 8.1 客户端设置它,使用用户名/密码(计算机帐户)进行身份验证。一切都很顺利。

为了将测试扩展到 Windows 7 客户端,我们将 DA 配置为使用证书进行身份验证。我们有一个内部 PKI 基础设施,在过去 2 年中,它可以正常工作于我们需要的所有其他方面。

带有 DirectAccess 连接助手的 Windows 7 客户端可以完美地连接和工作。但是,Windows 8.1 客户端不能。

我们检查了证书,一切似乎都很好。使用 DirectAccess 疑难解答,我们看到它成功连接到 DA IPHTTPS URL,但是它无法访问任何内部资源。我们可以 ping 内部 DCE 地址 x:y:z::1 和 x:y:z::2,据我了解,这是我们网络内的 DA 服务器。

是否有任何其他工具可以解决此问题?谁能指出我正确的方向来确定为什么只有 Win8 客户端不会连接证书?

4

2 回答 2

0

DA 中的初始入门向导允许 Windows 8 / 8.1 使用 Kerberos 代理(无证书)进行连接。使用 PKI 的完整安装要求所有客户端都使用证书。将计算机证书部署到 Windows 8 / 8.1,你会没事的。

参考 - http://technet.microsoft.com/en-gb/windows/dn197886.aspx

Windows 8 和 Windows Server 2012 中的 DirectAccess 如何简化部署?在早期版本的 Windows Server 中,部署 DirectAccess 需要 PKI。DirectAccess 使用 PKI 进行基于服务器和客户端证书的身份验证。现在,Windows 8 使用 DirectAccess 服务器上运行的 Kerberos 代理服务发送客户端身份验证请求。Kerberos 代理服务代表客户端向域控制器发送请求。因此,对于简单的部署,不需要 PKI 来部署 DirectAccess,IT 管理员可以使用入门向导通过几个简单的步骤来配置 DirectAccess。对于更复杂的部署场景,仍然需要 PKI。

于 2014-07-31T14:43:11.500 回答
0

如果您可以提供一些问题的图形表示,这将有所帮助,因为对您的问题的每个回答都只是假设。故障排除如下:

  1. 检查以确保 Windows 客户端是企业版
  2. 如果上述第 1 点为真,则在 Powershell 上运行“get-DaConnectionstatus”命令,查看客户端是否可以确定其位置,否则获取 windows 企业版。3.如果第 1 点和第 2 点都为真,请检查以确保您的组策略配置正确。请记住将 Windows 7 和 Windows 8 客户端的安全组分开。
于 2016-08-08T13:39:40.933 回答