当我们的组织正在慢慢地推出Windows 10时,我观察到与Windows 10个人计算机OU(包含内部台式计算机,便携式计算机,甚至是用于VDI的VM)相连的DirectAccess GPO。 该GPO与我们的标准DA GPO相同,除了它的范围是授权用户,而不是“DA PC”安全组。 我向我们的高级pipe理员指出了这个怪事,有趣的是,他说因为Windows 10支持DirectAccess,所以应该启用,因为我们已经设置了它。
我发现有几个问题,但主要的问题是会增加DirectAccess服务器的负载,甚至不需要客户端。 是否将DirectAccess部署给所有客户一个合理的deviseselect,还是这是离奇的? 这样做有什么好处/缺点?
如果有桌面和服务器相互通信,networking没有分区/没有防火墙,DirectAccess没有任何用处。 如果networking位置服务器(NLS)受到攻击,它实际上可能会导致中断。
“当NLS离线时会发生什么?
让我们从DirectAccess环境中可能发生的最疯狂的情况开始吧。 这个问题特别棘手,因为当它发生时,您遇到的症状是您的计算机内部办公室,而您的远程员工继续正常工作。 NLS是您的所有DirectAccess客户端计算机在networking内进行validation的机制。
这是一个非常简单的要求(只是一个网站),但如果有任何错误的网站validation,疯狂的东西发生。 任何位于办公室内部的DirectAccess客户端计算机都不会意识到它位于办公室内部,并且将继续保持启用NRPT,这将导致所有企业DNS请求尝试将自己parsing到DirectAccess服务器的外部接口,因为用户在networking内部可以路由“。
– Microsoft DirectAccess最佳实践和故障排除
(您可能要考虑阅读的书)
http://www.amazon.com/Microsoft-DirectAccess-Best-Practices-Troubleshooting/dp/1782171061