我正在考虑在我们的networking中部署DirectAccess,但是对DirectAccess服务器join域的要求有一些担忧,尤其是因为它将在DMZ中。 外部防火墙的防火墙规则对我来说很简单(几乎只有TCP443,因为它将被NAT,所以不需要6to4和teredo端口),但内部防火墙不太清楚。
有没有其他人在这里部署DA? 根据微软的build议(我们不会得到批准),从DA服务器到内部networking的所有IPv4和IPv6stream量都没有开放,那么究竟需要开辟什么呢? AD DS操作所需的所有端口,以及我们的客户需要访问的服务/资源。
我想在DMZ中使用RODC,但显然需要读/写DC(尽pipe线程暗示它在某些情况下有效)。
我已经部署了几次DirectAccess。 ;)您是正确的,需要域通信所需的所有协议/端口以及连接的DirectAccess客户端使用内部资源所需的所有协议/端口。 正如你所看到的,这是一个非常宽的path,必须从DMZ打开到LAN。 绝对不是一个好主意。 DirectAccess不支持RODC,因此解决scheme也不支持。
您的select是使用两个NICconfigurationDirectAccess服务器,并将外部NIC放置在DMZ中,并将局域网中的内部NIC置于其中。 有效地,你桥接你的局域网,一些pipe理员反对。
另一个选项是将DirectAccess服务器放置在具有单个NIC的LAN上。 这就需要打开从DMZ到LAN的单个端口 – TCP端口443。
希望有所帮助!