7 bước khắc phục sự cố máy khách DirectAccess

DirectAccess là một công nghệ truy cập từ xa mới của Microsoft, cho phép bạn luôn kết nối với mạng công ty của mình dù ở bất cứ nơi đâu. Thêm vào đó, DirectAccess cho phép CNTT công ty luôn kết nối với tài nguyên đặt dưới sự quản lý của họ, để từ đó các hệ thống này luôn được quản lý, giám sát, được cập nhật và tuân thủ đúng các nguyên tắc, luật lệ và nằm trong sự điều khiển của công ty. DirectAccess được kích hoạt bằng cách kết hợp Windows 7 và Windows Server 2008 R2, nó sẽ trở nên hoàn hảo khi bạn bổ sung thêm Unified Access Gateway (UAG) 2010 vào hệ thống của mình. Trong khi DirectAccess hoàn toàn có thể khi không cần đến UAG nhưng sẽ là một giải pháp doanh nghiệp không khả thi nếu thiếu nó.

Nếu đã sử dụng DirectAccess một thời gian, chắn bạn sẽ không thể tiếp tục mà không có nó. DirectAccess quả là một thứ đặc biệt để có được sự kết nối liên tục.

Về ưu điểm là vậy, nhưng đặt dưới trách nhiệm một quản trị viên, để có được điều đó, mỗi quản trị viên cần phải biết cách khắc phục các sự cố kết nối DirectAccess. Mặc dù các kết nối DirectAccess có thể nói là khá tin cậy nhưng không gì có thể hoàn hảo và chắc chắn sẽ có lúc nào đó các máy khách của bạn không thể kết nối và nhiệm vụ của bạn, một quản trị viên mạng, cần chỉ ra vấn đề ở đâu và khắc phục nó nhanh nhất có thể. Đó cũng chính là những gì mà chúng tôi muốn giới thiệu cho các bạn trong bài này: một số bước cơ bản để giúp các bạn khắc phục sự cố các kết nối máy khách DirectAccess.

Dựa trên các tài liệu của Microsoft và qua thử nghiệm cũng như các lỗi bắt gặp, đây là kế hoạch 7 bước cho việc khắc phục sự cố kết nối máy khách DirectAccess:

  • Xác nhận rằng các máy khách DirectAccess đã nhận các thiết lập Group Policy của chúng.
  • Xác nhận rằng máy khách biết rằng nó không nằm trên mạng nội bộ.
  • Xác nhận các thiết lập NRPT trên máy khách DirectAccess
  • Xác nhận địa chỉ IPv6 trên máy khách DirectAccess
  • Xác nhận quá trình nhận thực cho các đường hầm DirectAccess
  • Xác nhận kết nối đến DNS và các bộ điều khiển miền đang làm việc.

Sau đây chúng ta hãy đi xem xét cụ thể từng bước một.

Xác nhận các thiết lập Group Policy

Các máy khách DirectAccess sẽ nhận các thiết lập khác DirectAccess của chúng thông qua Group Policy. Vì vậy nếu Group Policy không được sử dụng cho máy khách DirectAccess thì máy khách sẽ không thể làm việc như một máy khách DirectAccess thông thường. Có nhiều cách bạn có thể xác nhận các thiết lập Group Policy trên máy khách DirectAccess, tuy nhiên cách mà chúng tôi giới thiệu ở đây là kiểm tra các rule bảo mật kết nối trong Windows Firewall mà máy khách DirectAccess sử dụng để kết nối đến máy chủ UAG DirectAccess. Các rule này được gán bởi Group Policy, vì vậy nếu có chúng ở đây, thì có nghĩa Group Policy đã được gán.

Bạn có thể đánh wf.msc vào  hộp tìm kiếm Search trong máy tính Windows 7 để mở cửa sổ Windows Firewall with Advanced Security. Trong phần panel bên trái của cửa sổ, kích nút Connection Security Rules.


Hình 1

Nếu bạn thấy ba rule như thể hiện trong hình 1: UAG DirectAccess Client – Clients Access Enabling Tunnel – All, UAG DirectAccess Clients – Clients Corp Tunnel and UAG DirectAccess Clients – Example NLA, thì có nghĩa rằng Group Policy đã được áp dụng.

Xác nhận rằng máy khách biết rằng nó hiện không nằm trên mạng nội bộ

Máy khách DirectAccess cần biết liệu chúng có đang nằm trong mạng nội bộ của công ty hay không. Nếu nó đang nằm trong mạng công ty, máy khách sẽ tắt các đường hầm DirectAccess và sử dụng giải pháp phân định tên cục bộ dựa trên máy chủ DNS server được cấu hình trên NIC của nó. Nếu máy khách DirectAccess nằm ngoài mạng công ty, nó sẽ thiết lập các đường hầm DirectAccess để kết nối với máy chủ UAG DirectAccess và cho phép UAG DirectAccess server phân định tên cho máy khách DirectAccess.

Bạn có thể xác định một cách dễ dàng việc máy khách DirectAccess có biết nó hiện đang nằm trên mạng hay không bằng cách sử dụng lệnh sau:

netshdns show state

Lệnh này sẽ trả về kết quả giống như thể hiện trong hình 2 bên dưới:


Hình 2

Như những gì bạn thấy trong hình, vị trí của máy được báo cáo là bên ngoài mạng công ty. Nếu máy tính đã báo cáo rằng nó nằm trong mạng công ty thì nó đã sai, khi đó bạn cần chỉ ra tại sao nó lại báo cáo như vậy. Ngược lại nếu máy tính đang báo cáo nó nằm ngoài mạng công ty nhưng sự thật thì nó đang ở trong mạng thì bạn cần phải chỉ ra tại sao nó lại nó mình nằm ngoài mạng như vậy. Trong trường hợp sau, nguyên nhân thường là vấn đề kết nối với Network Location Server (NLS).

Văn Linh (Theo Windowsnetworking)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s