Installation und Konfiguration

Windows 8 - Remotezugriff mit DirectAccess und VPN

Vorbereiten der Installation von DirectAccess und Remotezugriff

Passen Sie die Netzwerkadapter auf dem DirectAccess-Server an. Wenn Sie zwei Adapter verwenden, verbinden Sie die Schnittstelle zum internen Netzwerk und die Schnittstelle zum Internet und konfigurieren Sie die entsprechenden IP-Adressen. Benennen Sie auch die Namen der Netzwerkverbindungen entsprechend. Konfigurieren Sie kein Standardgateway auf Intranetschnittstellen. Für die Installation von DirectAccess sind anschließend drei Schritte notwendig:

  • Installieren der RAS-Serverrolle: Die RAS-Serverrolle fasst das DirectAccess-Feature und den RRAS-Rollendienst in einer einheitlichen Serverrolle zusammen. Diese neue Remotezugriffs-Serverrolle ermöglicht die zentrale Verwaltung, Konfiguration und Überwachung sowohl von DirectAccess- als auch von VPN-basierten Remotezugriffsdiensten.

  • Konfigurieren von DirectAccess

  • Aktualisieren von Clients mit der DirectAccess-Konfiguration: Zum Verwenden der DirectAccess-Einstellungen müssen Clients die Gruppenrichtlinien aktualisieren, während sie mit dem Intranet verbunden sind. Anschließend können diese eine Verbindung per DirectAccess auch über das Internet herstellen.

Starten Sie im Server-Manager Verwalten\Rollen und Features hinzufügen und installieren Sie die Rolle Remotezugriff. Auf der Seite Rollendienste auswählen können Sie festlegen, ob der Server als Router oder als Remoteaccess-Server mit RAS und DirectAccess funktionieren soll. Es wird nicht mehr zwischen DirectAccess und RAS unterschieden, die Installation erfolgt immer parallel. Sie können den Remotezugriff auch über die PowerShell installieren. Dazu verwenden Sie:

Install-WindowsFeature RemoteAccess -IncludeManagementTools

DirectAccess und VPN-Zugang einrichten

Nach der Installation findet sich im Server-Manager die neue Gruppe Remotezugriff. Über das Kontextmenü der hier integrierten Server lässt sich die Verwaltung von Remoteaccess starten. Über eine gemeinsame Konsole findet dann die Einrichtung der beiden Funktionen statt. Sie können den Assistenten auch über die Remotezugriffs-Verwaltungskonsole starten. Die finden Sie im Server-Manager.

Wählen Sie am besten den Link Assistent für erste Schritte ausführen. Dieser fragt nur die wichtigsten Optionen ab und richtet die Funktion ein. Sie können anschließend immer noch Änderungen vornehmen. Der Assistent ermöglicht die Auswahl, ob auf dem Server DirectAccess und/oder RAS genutzt werden soll. Der parallele Weg ist von Microsoft der empfohlene.

Wählen Sie die Topologie Ihrer Netzwerkkonfiguration aus, und geben Sie den öffentlichen Namen ein, mit dem Remotezugriffsclients eine Verbindung herstellen sollen. Klicken Sie auf Weiter. Nach der Auswahl prüft der Assistent zunächst die Voraussetzungen und startet danach die Einrichtung. Auf der ersten Seite wählen Sie aus, wo der Server positioniert ist und wie der Zugriff auf den Server erfolgen soll.

Achten Sie nach der Einrichtung darauf, die Firewall-Regeln zu überprüfen die DirectAccess auf dem Server einrichtet. Das gilt vor allem, wenn Sie die Einrichtung nur mit einer einzelnen Netzwerkkarte vornehmen. In diesem Fall ist der DirectAccess-Server unter Umständen per RDP erreichbar und auch der IIS8 ist im Internet verfügbar. Sie können die Einstellungen aber in der Firewall des Servers steuern, nachdem Sie DirectAccess eingerichtet haben.

Standardmäßig stellt der Assistent für erste Schritte DirectAccess für Laptops und Notebookcomputer in der Domäne bereit, indem er einen WMI-Filter auf das Gruppenrichtlinienobjekt für die Clienteinstellungen anwendet. Klicken Sie an dieser Stelle aber noch nicht auf Fertig stellen, sondern auf den Link, um Einstellungen anzupassen.

Standardmäßig erlaubt der Einrichtungs-Assistent den Zugriff per DirectAccess für alle Domänencomputer. Diese Einstellung sollten Sie möglichst anpassen und eine eigene Sicherheitsgruppe erstellen. Computer, deren Konten Sie in diese Gruppe aufnehmen, dürfen sich mit DirectAccess verbinden. Andere Computer dürfen das nicht.

Passen Sie die Einstellungen an, können Sie neben der Sicherheitsgruppe für DirectAccess auch noch die Gruppenrichtlinien anzeigen, die für den Betrieb notwendig sind. Hier sollten Sie aber keine Einstellungen verändern.

Klicken Sie in der Konsolenstruktur der Remotezugriffs-Verwaltungskonsole auf Vorgangsstatus. Warten Sie, bis der Status aller Monitore Funktionsfähig lautet. Klicken Sie danach im Bereich Aufgaben unter Überwachung auf Aktualisieren, um die Anzeige zu aktualisieren.