Microsofts Alleskönner-VPN

DirectAccess mit Windows Server 2008 R2

Voraussetzungen

Voraussetzung für DirectAccess ist Windows 7 auf den Client-Rechnern und Windows Server 2008 R2 auf dem DirectAccess-Server. Weiterhin funktioniert DirectAccess nur im Rahmen einer Active Directory Struktur, die Client-Rechner müssen also Mitglied in einer Firmen-Domäne sein.

Eine weitere Voraussetzung ist das Vorhandensein von zwei öffentlichen IPv4-Adressen, die auf die zwei notwendigen Netzwerkschnittstellen des DirectAccess-Servers geroutet werden müssen. Zu einer Adresse baut der Client einen Infrastructure-Tunnel auf, über den er sich Authentifiziert und auf DNS- und Active-Directory-Server zugreift. Der zweite dient dann dem eigentlichen Nutzdatenverkehr.

Die Rolle des DirectAccess Servers kann von einem Domaincontroller übernommen werden, wenn nur mit einem geringen Netzwerkverkehr gerechnet wird. Bei höherem Aufkommen empfiehlt es sich, einen separaten Server für diese Aufgabe abzustellen.

Bevor man daran gehen kann, den DirectAccess Server zu konfigurieren, muss eine Reihe von Voraussetzungen geschaffen sein.

  • Im Firmennetz muss eine Domäne konfiguriert sein und mindestens einer der Domänencontroller, die Benutzerkonten verwalten, muss unter Windows Server 2008 oder höher laufen.

  • Im Firmennetz muss eine Public-Key Infrastruktur vorhanden sein, d.h. auf mindestens einem der Domänencontroller müssen die Active Directory Zertifikatdienste installiert sein.

  • Über den Domänen-Policy-Editor muss die automatische Anforderung und Registrierung von Computerzertifikaten für die Client-Rechner konfiguriert sein.

  • Ein Verteilungspunkt für Zertifikatssperrlisten muss so konfiguriert sein, dass er über das Internet erreichbar ist.

  • Auf den Client-Rechnern muss Windows 7 installiert sein, sie müssen Mitglied der Domäne sein.

  • Die Computerkonten der DirectAccess-fähigen Client-Rechner müssen Mitglied in einer AD-Sicherheitsgruppe sein.

  • Die Internetfirewall muss so konfiguriert sein, dass sie DirectAccess- und Teredo-Datenpakete passieren lässt.

  • Eine HTTPS-basierte URL muss im internen Netzwerk erreichbar sein. Wenn nicht bereits eine entsprechende URL existiert, die nur im internen Netz erreichbar ist, muss eine solche eingerichtet werden. Über diese URL erkennt der Client-Rechner, ob er sich innerhalb oder außerhalb des Firmennetzes befindet.

  • Auf allen DNS-Servern, die unter Windows Server 2008 oder höher laufen, muss der Name „ISATAP“ aus der globalen Abfragesperrliste entfernt werden.

Die genauen Schritte zur Gewährleistung all dieser Voraussetzungen sind in der DirectAccess-Hilfe detailliert beschrieben. Aber die bloße Aufzählung der Punkte zeigt schon, dass das Aufsetzen eines DirectAccess-Zugangs sicher einige Zeit in Anspruch nimmt.