In Windows Server 2012 und Windows 8 hat Microsoft einige Neuerungen eingeführt, welche die DirectAccess-Anbindung von Windows-8-Clients vereinfachen können:
• Sie können nur Windows 8 Enterprise und Windows 7 Ultimate/Enterprise mit DirectAccess nutzen. Optimal arbeitet nur Windows 8 Enterprise mit Windows Server 2012-DirectAccess zusammen.
• Die Verbindung zwischen Client und Server erfolgt nur noch mit IP über HTTPS. Alle anderen Technologien werden nicht mehr unterstützt.
• Sie benötigen keine zwei öffentlichen IP-Adressen mehr.
• Eine Zertifizierungsstelle und deren Einrichtung ist nur noch optional, nicht mehr zwingend notwendig. DirectAccess-Server arbeiten jetzt wesentlich besser mit Kerberos und Active Directory zusammen.
• Windows Server 2012 erfordert keine IPv6-Anpassungen mehr, sondern richtet notwendige Einstellungen automatisch ein.
Die Einrichtung nehmen Sie über den Server-Manager vor. Die Konsole für die Einrichtung von DirectAccess und dem herkömmlichen VPN-Zugang hat Microsoft zusammengefasst und die Einrichtung deutlich erleichtert. Über Verwalten\Rollen und Funktionen hinzufügen\Remotezugriff installieren Sie die notwendigen Funktionen auf dem Server. Danach geht es an die Einrichtung der Funktion.
Remotezugriff in Windows Server 2012
In Windows Server 2012 sind DirectAccess und RRAS-VPN (Routing und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst und werden in einer gemeinsamen Oberfläche verwaltet. Clientcomputer, auf denen Windows 8 und Windows 7 ausgeführt wird, können Sie als DirectAccess-Clientcomputer konfigurieren.
Diese Clients können über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung einzuloggen. Andere Clientcomputer können per VPN eine Verbindung zum internen Netzwerk herstellen, aber kein DirectAccess nutzen. Zur Einrichtung benötigen Sie daher nur noch eine Konsole.
DirectAccess-Clientcomputer im Internet können von Remotezugriffsadministratoren über DirectAccess verwaltet werden, auch wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Der Remotezugriffsserver muss Domänenmitglied sein.
Der Anwender, der den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.
DirectAccess-Clients müssen ebenfalls Domänenmitglieder sein. Eine Active Directory-Sicherheitsgruppe ist notwendig, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden.
Geben Sie beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe an, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer in der Sicherheitsgruppe Domänencomputer angewendet. Dazu verwendet der Assistent WMI-Filter.
Die Active Directory-Domäne muss mit mindestens einem Windows-Server-2008-R2-, Windows-Server-2008- oder Windows- Server-2012-basierten Domänencontroller betrieben werden. Arbeitsgruppen werden nicht unterstützt.
Vorbereiten der Installation von DirectAccess und Remotezugriff
Passen Sie die Netzwerkadapter auf dem DirectAccess-Server an. Wenn Sie zwei Adapter verwenden, verbinden Sie die Schnittstelle zum internen Netzwerk und die Schnittstelle zum Internet und konfigurieren Sie die entsprechenden IP-Adressen. Benennen Sie auch die Namen der Netzwerkverbindungen entsprechend. Konfigurieren Sie kein Standardgateway auf Intranetschnittstellen. Für die Installation von DirectAccess sind anschließend drei Schritte notwendig:
-
Installieren der RAS-Serverrolle: Die RAS-Serverrolle fasst das DirectAccess-Feature und den RRAS-Rollendienst in einer einheitlichen Serverrolle zusammen. Diese neue Remotezugriffs-Serverrolle ermöglicht die zentrale Verwaltung, Konfiguration und Überwachung sowohl von DirectAccess- als auch von VPN-basierten Remotezugriffsdiensten.
-
Konfigurieren von DirectAccess
-
Aktualisieren von Clients mit der DirectAccess-Konfiguration: Zum Verwenden der DirectAccess-Einstellungen müssen Clients die Gruppenrichtlinien aktualisieren, während sie mit dem Intranet verbunden sind. Anschließend können diese eine Verbindung per DirectAccess auch über das Internet herstellen.
Starten Sie im Server-Manager Verwalten\Rollen und Features hinzufügen und installieren Sie die Rolle Remotezugriff. Auf der Seite Rollendienste auswählen können Sie festlegen, ob der Server als Router oder als Remoteaccess-Server mit RAS und DirectAccess funktionieren soll. Es wird nicht mehr zwischen DirectAccess und RAS unterschieden, die Installation erfolgt immer parallel. Sie können den Remotezugriff auch über die PowerShell installieren. Dazu verwenden Sie:
Install-WindowsFeature RemoteAccess -IncludeManagementTools
DirectAccess und VPN-Zugang einrichten
Nach der Installation findet sich im Server-Manager die neue Gruppe Remotezugriff. Über das Kontextmenü der hier integrierten Server lässt sich die Verwaltung von Remoteaccess starten. Über eine gemeinsame Konsole findet dann die Einrichtung der beiden Funktionen statt. Sie können den Assistenten auch über die Remotezugriffs-Verwaltungskonsole starten. Die finden Sie im Server-Manager.
Wählen Sie am besten den Link Assistent für erste Schritte ausführen. Dieser fragt nur die wichtigsten Optionen ab und richtet die Funktion ein. Sie können anschließend immer noch Änderungen vornehmen. Der Assistent ermöglicht die Auswahl, ob auf dem Server DirectAccess und/oder RAS genutzt werden soll. Der parallele Weg ist von Microsoft der empfohlene.
Wählen Sie die Topologie Ihrer Netzwerkkonfiguration aus, und geben Sie den öffentlichen Namen ein, mit dem Remotezugriffsclients eine Verbindung herstellen sollen. Klicken Sie auf Weiter. Nach der Auswahl prüft der Assistent zunächst die Voraussetzungen und startet danach die Einrichtung. Auf der ersten Seite wählen Sie aus, wo der Server positioniert ist und wie der Zugriff auf den Server erfolgen soll.
Achten Sie nach der Einrichtung darauf, die Firewall-Regeln zu überprüfen die DirectAccess auf dem Server einrichtet. Das gilt vor allem, wenn Sie die Einrichtung nur mit einer einzelnen Netzwerkkarte vornehmen. In diesem Fall ist der DirectAccess-Server unter Umständen per RDP erreichbar und auch der IIS8 ist im Internet verfügbar. Sie können die Einstellungen aber in der Firewall des Servers steuern, nachdem Sie DirectAccess eingerichtet haben.
Standardmäßig stellt der Assistent für erste Schritte DirectAccess für Laptops und Notebookcomputer in der Domäne bereit, indem er einen WMI-Filter auf das Gruppenrichtlinienobjekt für die Clienteinstellungen anwendet. Klicken Sie an dieser Stelle aber noch nicht auf Fertig stellen, sondern auf den Link, um Einstellungen anzupassen.
Standardmäßig erlaubt der Einrichtungs-Assistent den Zugriff per DirectAccess für alle Domänencomputer. Diese Einstellung sollten Sie möglichst anpassen und eine eigene Sicherheitsgruppe erstellen. Computer, deren Konten Sie in diese Gruppe aufnehmen, dürfen sich mit DirectAccess verbinden. Andere Computer dürfen das nicht.
Passen Sie die Einstellungen an, können Sie neben der Sicherheitsgruppe für DirectAccess auch noch die Gruppenrichtlinien anzeigen, die für den Betrieb notwendig sind. Hier sollten Sie aber keine Einstellungen verändern.
Klicken Sie in der Konsolenstruktur der Remotezugriffs-Verwaltungskonsole auf Vorgangsstatus. Warten Sie, bis der Status aller Monitore Funktionsfähig lautet. Klicken Sie danach im Bereich Aufgaben unter Überwachung auf Aktualisieren, um die Anzeige zu aktualisieren.
Aktualisieren von Clients mit der DirectAccess-Konfiguration
Haben Sie DirectAccess eingerichtet, sollten Sie die Clients aktualisieren, die sich mit DirectAccess verbinden sollen. Rufen Sie zunächst die Gruppenrichtlinien für den Client ab. Geben Sie dazu in der Befehlszeile
gpupdate /force
ein. Warten Sie, bis die Computerrichtlinien erfolgreich aktualisiert wurden und geben Sie in der PowerShell
Get-DnsClientNrptPolicy
ein. Die Einträge in der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) für Direct Access werden angezeigt. Der Assistent für erste Schritte hat diesen DNS-Eintrag für den DirectAccess-Server automatisch erstellt und ein zugehöriges selbstsigniertes Zertifikat bereitgestellt, sodass der DirectAccess-Server als Netzwerkadressenserver fungieren kann.
Geben Sie
Get-NCSIPolicyConfiguration
ein. Die vom Assistenten bereitgestellten Einstellungen für die Statusanzeige der Netzwerkkonnektivität werden angezeigt. Achten Sie auf den Wert von DomainLocationDeterminationURL. Sobald auf diese Netzwerkadressenserver-URL zugegriffen werden kann, ermittelt der Client, dass sie sich innerhalb des Unternehmensnetzwerks befindet, und die NRPT-Einstellungen werden nicht angewendet.
Geben Sie
Get-DAConnectionStatus
ein. Wenn der Client die Netzwerkadressenserver-URL erreichen kann, wird der Status ConnectedLocally angezeigt. Diesen Status ruft der DirectAccess-Client vom Infrastruktur-Server ab. Er verwendet dazu den IIS auf dem DirectAccess-Server. Sie können die Einstellungen dazu über die Verwaltungskonsole anpassen. Klicken Sie dazu im Bereich Infrastrukturserver-Setup auf Bearbeiten. Hier können Sie den Server und das dazugehörige Zertifikat auswählen.
Clients, die per DirectAccess verbunden sind, finden Sie über den Link Remoteclientstatus in der Remotezugriffs-Verwaltungskonsole. Sie können in der Konsole auch Berichte erstellen, um die Nutzung des Servers zu messen. Die Gruppenrichtlinien für die Anbindung an DirectAccess erstellen auch Firewall-Regeln und Verbindungssicherheitsregeln. Diese lassen Sie über wf.msc auf dem Client anzeigen.
Während der Einrichtung legt der Assistent auch DNS-Einträge fest, mit denen er überprüfen kann, ob sich Clients im internen Netzwerk befinden oder mit DirectAccess einwählen. Verbindet sich ein Client mit DirectAccess, sehen Sie die Verbindung, wenn Sie auf das Netzwerksymbol klicken.
Überprüfen der Bereitstellung
Sobald die HTTPS-Verbindung zum Netzwerkadressenserver (Infrastruktur-Server) erfolgreich hergestellt wurde, deaktiviert der DirectAccess-Client die DirectAccess-Clientkonfiguration und verwendet eine direkte Verbindung zum Unternehmensnetzwerk.
Verbinden Sie einen Clientcomputer mit Ihrem Unternehmensnetzwerk, und melden Sie sich mit einem Domänenbenutzernamen an. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten. Geben Sie im Eingabeaufforderungsfenster
ipconfig /all
ein. Im Bereich Tunneladapter iphttpsinterface sehen Sie, ob die Verbindung intern oder über DirectAccess erfolgt.
Geben Sie in der PowerShell
Get-DAConnectionStatus
ein. Der Status sollte als ConnectedRemotely angegeben werden. In diesem Fall sind Sie mit DirectAccess verbunden. Sie sehen das auch, wenn Sie im Desktop auf das Netzwerksymbol klicken. Auch hier sehen Sie den Status der Verbindung. Für Arbeitsbereichverbindung muss der Status Verbunden angegeben sein. Sie können während der Einrichtung aber auch einen eigenen Namen angeben.
Geben Sie in der PowerShell
Get-NetIPAddress
ein, um die IPv6-Konfiguration zu prüfen. Kontrollieren Sie, ob der Tunneladapter iphttpsinterface aktiv ist und eine gültige IP-HTTPS-Adresse hat. Ihr Client verwendet IP-HTTPS für das Tunneling von IPv6-Datenverkehr zum DirectAccess-Server über das Internet.
Remotezugriff verwalten
Unabhängig davon ob Sie DirectAccess oder den Remotezugriff mit VPN/DFÜ nutzen, findet die Verwaltung in Windows Server 2012 über die Remotezugriffs-Verwaltungskonsole statt. Diese finden Sie direkt im Server-Manager. Über den Menüpunkt Konfiguration auf der linken Seite ändern Sie Einstellungen.
Über die Einrichtung des Servers legen Sie die Art der Authentifizierung fest. An dieser Stelle müssen Sie auch die Verbindung von Windows 7-Computern genehmigen, wenn außer Windows 8 auch noch ältere Clients Zugriff erhalten sollen. Standardmäßig lässt DirectAccess in Windows Server 2012 nur Windows 8-Computer zu. Die notwendigen Einstellungen für Clientcomputer nimmt der Assistent über Gruppenrichtlinien vor. Deren Einstellungen lassen sich in der Gruppenrichtlinienverwaltung anpassen. Auch für die Einstellungen der DirectAccess-Server sind Gruppenrichtlinien verantwortlich.
Haben Sie alle Einstellungen vorgenommen, klicken Sie unten im Fenster auf Fertig und dann auf Anwenden, damit der Assistent die Einstellungen übernimmt. Im Fenster sehen Sie die Änderungen die der Assistent vornimmt und ob die Einstellungen erfolgreich übernommen wurden. Überprüfen Sie danach auch immer über den Link Vorgangstatus ob alles noch funktioniert. (mje)