Я пытаюсь понять, почему мои внутренние сетевые машины не могут подключаться к моим клиентам DirectAccess по протоколу RDP. Моя внутренняя сеть находится на IPv6, поэтому ISATAP не работает. Просто прямые маршруты к клиентам и от них. Я могу беспроблемно пропинговать клиентов DA с моих устройств управления во внутренней сети .. Но когда я пытаюсь подключиться к одному из клиентов DA напрямую по RDP, я не могу подключиться. Клиенты принимают соединения RDP.
Чтобы исключить брандмауэр Windows, я установил общие разрешающие правила на управляющем компьютере, сервере DA и удаленном клиенте, который я тестирую.
Я использовал wirehark для проведения некоторого исследования и обнаружил, что сервер DA получает запрос на подключение RDP на 3389 с правильным источником IPV6 управляющего компьютера и правильным IP-HTTPS IPV6-адресом туннеля клиента DA.
Я не могу прочитать трафик, кроме этого, поскольку он становится зашифрованным в туннеле IP-HTTPS, но я не вижу, чтобы попытки подключения регистрировались в брандмауэре Windows на удаленном клиенте.
Я могу установить RDP-соединение непосредственно с самого DA-сервера.
Я не знаю, куда идти дальше, и был бы признателен, если бы кто-нибудь мог оказать помощь.
Если вам нужна дополнительная информация, дайте мне знать, что вам нужно, и я вам ее предоставлю.
Я нашел старую статью Forefront UAG, посвященную именно этой проблеме. Компьютеры, инициирующие исходящее соединение с удаленными клиентами, требуют разрешений политики безопасности «Доступ к этому компьютеру из сети» на удаленном клиентском компьютере для прохождения проверки безопасности в туннеле IPsec. Разрешения Windows по умолчанию для этого работают нормально, но мы недавно прошли аудит безопасности, одна из рекомендаций заключалась в том, чтобы ограничить «Доступ к этому компьютеру из сети» для определенных групп, которым нужен только этот доступ. Ослабление этого, чтобы позволить всем нашим внутренним машинам и учетным записям пользователей «получать доступ к этому компьютеру из сети», решило эту проблему для меня.