Поскольку наша организация медленно развертывает Windows 10, я заметил объект групповой политики DirectAccess, связанный с подразделением ПК с Windows 10 (которое содержит внутренние рабочие столы, ноутбуки и даже виртуальные машины для VDI). Этот объект групповой политики был идентичен нашему стандартному объекту групповой политики DA, за исключением того, что он относился к прошедшим проверку пользователям, а не к группе безопасности «ПК DA». Я указал на эту странность нашему старшему администратору, и, что интересно, он говорит, что, поскольку Windows 10 поддерживает DirectAccess, его следует включить только потому, что он у нас уже настроен.
Я вижу несколько проблем с этим, но основной из них будет увеличение нагрузки на сервер DirectAccess со стороны клиентов, которым это даже не нужно. Развертывает DirectAccess на все клиентам разумный выбор дизайна, или это странно? Каковы преимущества / недостатки этого?
Если есть рабочие столы и серверы, которые взаимодействуют друг с другом, а сеть не разделена на разделы / нет брандмауэров, DirectAccess не имеет смысла. Это может фактически вызвать сбой, если сервер сетевого размещения (NLS) получит удар.
"Что происходит, когда NLS отключен?
Начнем с одной из самых безумных ситуаций, которые могут произойти в среде DirectAccess. Это особенно неприятно, потому что, когда это происходит, симптомы, которые вы испытываете, касаются ваших компьютеров ВНУТРИ офиса, в то время как ваша удаленная рабочая сила продолжает нормально функционировать. NLS - это механизм, с помощью которого все ваши клиентские компьютеры DirectAccess проверяют, находятся ли они в сети.
Это очень простое требование (просто веб-сайт), но если что-то пойдет не так с проверкой этого веб-сайта, происходят сумасшедшие вещи. Любой клиентский компьютер DirectAccess, который находится внутри офиса, не поймет, что он находится внутри офиса, и продолжит оставлять NRPT включенным, что приводит к тому, что все корпоративные DNS-запросы пытаются разрешить себя во внешний интерфейс сервера DirectAccess, что не является t маршрутизируемый, потому что пользователь находится внутри сети ".
- Рекомендации и устранение неполадок Microsoft DirectAccess
(Книга, которую вы, возможно, захотите прочитать)
http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061