Installation und Konfiguration

Windows 8 - Remotezugriff mit DirectAccess und VPN

Seit Windows 7 und Server 2008 R2 bietet Microsoft mit DirectAccess eine geschützte und leistungsfähige VPN-Anbindung, mit allerdings kniffliger Einrichtung. Die gute Nachricht: Windows 8 und Windows Server 2012 erleichtern Admins die Arbeit bei der Anbindung von Clients erleichtern können.

In Windows Server 2012 und Windows 8 hat Microsoft einige Neuerungen eingeführt, welche die DirectAccess-Anbindung von Windows-8-Clients vereinfachen können:

• Sie können nur Windows 8 Enterprise und Windows 7 Ultimate/Enterprise mit DirectAccess nutzen. Optimal arbeitet nur Windows 8 Enterprise mit Windows Server 2012-DirectAccess zusammen.

• Die Verbindung zwischen Client und Server erfolgt nur noch mit IP über HTTPS. Alle anderen Technologien werden nicht mehr unterstützt.

• Sie benötigen keine zwei öffentlichen IP-Adressen mehr.

• Eine Zertifizierungsstelle und deren Einrichtung ist nur noch optional, nicht mehr zwingend notwendig. DirectAccess-Server arbeiten jetzt wesentlich besser mit Kerberos und Active Directory zusammen.

• Windows Server 2012 erfordert keine IPv6-Anpassungen mehr, sondern richtet notwendige Einstellungen automatisch ein.

Zentrale Rollenvergabe: Die Installation von VPN und DirectAccess erfolgt über den Server-Manager.
Zentrale Rollenvergabe: Die Installation von VPN und DirectAccess erfolgt über den Server-Manager.

Die Einrichtung nehmen Sie über den Server-Manager vor. Die Konsole für die Einrichtung von DirectAccess und dem herkömmlichen VPN-Zugang hat Microsoft zusammengefasst und die Einrichtung deutlich erleichtert. Über Verwalten\Rollen und Funktionen hinzufügen\Remotezugriff installieren Sie die notwendigen Funktionen auf dem Server. Danach geht es an die Einrichtung der Funktion.

Remotezugriff in Windows Server 2012

In Windows Server 2012 sind DirectAccess und RRAS-VPN (Routing und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst und werden in einer gemeinsamen Oberfläche verwaltet. Clientcomputer, auf denen Windows 8 und Windows 7 ausgeführt wird, können Sie als DirectAccess-Clientcomputer konfigurieren.

Diese Clients können über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung einzuloggen. Andere Clientcomputer können per VPN eine Verbindung zum internen Netzwerk herstellen, aber kein DirectAccess nutzen. Zur Einrichtung benötigen Sie daher nur noch eine Konsole.

DirectAccess-Clientcomputer im Internet können von Remotezugriffsadministratoren über DirectAccess verwaltet werden, auch wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Der Remotezugriffsserver muss Domänenmitglied sein.

Der Anwender, der den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.

DirectAccess-Clients müssen ebenfalls Domänenmitglieder sein. Eine Active Directory-Sicherheitsgruppe ist notwendig, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden.

Geben Sie beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe an, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer in der Sicherheitsgruppe Domänencomputer angewendet. Dazu verwendet der Assistent WMI-Filter.

Die Active Directory-Domäne muss mit mindestens einem Windows-Server-2008-R2-, Windows-Server-2008- oder Windows- Server-2012-basierten Domänencontroller betrieben werden. Arbeitsgruppen werden nicht unterstützt.