DirectAccess mit Windows Server 2012

Vor einigen Tagen wurde ich zufällig mit dem Thema „DirectAccess“ konfrontiert. Da viel mir ein das ich diese Art der Einwahl in ein Firmennetz schon immer mal testen wollte. Nun habe ich mir die Zeit genommen und eine kleine Anleitung geschrieben.

In diesem „how-to“ beschreibe ich die Installation und Konfiguration eines Remotezugriffs-Servers (DirectAccess) hinter einem NAT-Router.

Folgendes habe ich bereits vorher erledigt:

  • Domänencontroller
  • Windows Server 2012 Memberserver
  • Windows 8 Client
  • Domänen-Administrator Zugang
  • Öffentliche IP mit DNS Record zu dieser IP

Das Szenario:

Ich habe einen Hyper-V Host auf Basis eines Windows Server 2012. Auf diesem laufen 2 virtuelle Maschinen, der DC und der DirectAccess-Server. Beides sind ebenfalls auf Basis Windows Server 2012. Alles hängt hinter einer Firewall. Die Domäne heißt „sv2013.local“

Die eigentliche Installation:

Auf dem zukünftigen DirectAccess Server fügt ihr die Rolle „Remotezugriff“ hinzu. Einfach mit Standard durch klicken.

Während der Installation legt bitte eine Sicherheitsgruppe in der Domäne an und fügt alle Clients die später „DirectAccess“ nutzen sollen hinzu. Meine Gruppe nennt sich „DirectAccessGroup“.

Weiter muss auf dem Domaincontroller noch das ISATAP Protokoll erlaubt werden. Dies könnt ihr mit folgendem Befehl tun.

dnscmd /config /globalqueryblocklist wpad

Nachdem die Installation fertig ist könnt ihr die Remotezugriffsverwaltung über den Server Manager starten.

Schritt 1:

 

Weiter

Füge die vorher erstelle Sicherheitsgruppe hinzu und Weiter.

Mit der oberen Einstellung prüfen die Clients später ob sie sich im internen Netz befinden oder nicht. Daran wird dann festgestellt ob der Client sich mit dem DirectAccess Server verbinden muss oder nicht. Weiter muss noch eine E-Mail Adresse eingetragen werden und ein Name der später als Netzwerkname am Client angezeigt wird. Hier „DirectAccessVPN“. Mit „Fertig stellen“ ist der erste Schritt abgeschlossen.

Schritt 2:

 

Bitte die öffentlich IP bzw. den DNS Namen eintragen auf die sich später die Clients einwählen.

Da ich keine eigene PKI habe, bleibt mir hier nur das „Eigene Zertifikat“.

Die Anmeldung soll später mit Benutzername und Kennwort passieren, daher erste Option. Weiter habe ich in meiner Demo Umgebung nur Windows 8 Clients. Das Verbinden mit Windows 7 erfordert mehr Aufwand, denn ich hier aber nicht beschreibe.

Die VPN Konfiguration kann so übernommen werden.

Schritt 3:

 

Für meine Demoumgebung wähle ich hier die zweite Option und der NLS-Server wird mit auf dem DirectAccess Server bereitgestellt. In Produktiven Umgebungen sollte dies immer vermieden werden, da im Falle eines Ausfalls des DA Servers keiner mehr arbeiten kann.

Weitere Infos unter:
http://technet.microsoft.com/en-us/library/gg315317.aspx

Der Rest kann so übernommen werden.

Schritt 4:

Falls ihr nicht möchtet das DirectAccess Clients Zugriff auf alle Server haben, kann man hier mithilfe von Gruppen nur bestimmte Server zulassen. Ich habe mich für vollen Zugriff entschieden.

Anschließend müsst ihr die Konfiguration noch anwenden.

Kontrollieren und Anwenden.

Nun könnt ihr über das Dashboard einige Infos bekommen.

Hier sollte alles „grün“ sein.

Der Server ist nun fertig. Weiter geht’s mit dem Client.

Windows 8 Client

Damit der Client sich auf später Verbinden kann muss auf der Firewall noch der Port 443 geöffnet werden und die externe IP weitergeleitet werden auf den DA Server.

Der Windows 8 Client bekommt nach einem Neustart die GPO zugeteilt (Vorausgesetzt er ist Mitglied der Gruppe „DirectAccessGroup“) und hat somit alle Einstellungen die er brauch. Wenn der Client sich nun im externen Netz befindet und er den NLS Server nicht erreichen kann versucht er sich über die öffentliche IP mit dem DA Server zu verbinden.

Unter den Verbindungen in Windows 8 taucht dann „DirectAccessVPN Verbunden“ auf.

 

Weitere Infos:

http://www.msxfaq.de/verschiedenes/directaccess2012.htm

http://syscomlab.blog.com/2012/09/directaccess-for-windows-server-2012-guide/

Greetz

Stephan

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s

%d Bloggern gefällt das: