Sicherer Zugriff auf das Firmennetz übers Internet

So funktioniert DirectAccess

| Autor / Redakteur: Thomas Joos / Rainer Graefen

Mit DirectAccess können mobile Mitarbeiter sicher und einfach auf das Firmennetz zugreifen.
Mit DirectAccess können mobile Mitarbeiter sicher und einfach auf das Firmennetz zugreifen. (Bild: Microsoft)

Mobile Anwender, die mit Notebooks auf interne Ressourcen in Firmennetzwerken zugreifen müssen, arbeiten seit Windows Server 2012 R2 am besten mit DirectAccess. Nachdem die Konfiguration einmal hinterlegt ist, können sich Notebooks automatisch über das Internet mit dem Firmennetzwerk verbinden, ohne dass Anwender eine VPN-Verbindung öffnen müssen.

Eine DirectAcces-Verbindung ist verschlüsselt, für den Anwender transparent und sehr leistungsstark. Nach der Einrichtung müssen Anwender keinerlei Aktionen mehr durchführen, um ihren Rechner mit dem Firmennetzwerk zu verbinden.

Damit Anwender über das Internet mit DirectAccess eine Verbindung aufbauen können, muss auf dem Client Windows 7 Ultimate/Enterprise, Windows 8/8.1 Enterprise oder Windows 10 Enterprise/Education installiert sein. Die Rechner sind Mitglied in Active Directory und erhalten auch alle Einstellungen, die über Gruppenrichtlinien definiert sind. Dabei spielt es keine Rolle, ob auf den DirectAccess-Servern Windows Server 2012 R2 oder Windows Server 2016 installiert ist, um die Einrichtung vorzunehmen.

Andere Windows-Versionen und -Editionen beherrschen die Technik nicht. Am besten konfigurieren lässt sich DirectAccess mit Windows Server 2012 R2, aber auch in der neuen Version Windows Server 2016 ist die Funktion weiterhin enthalten, und wird für Windows 10 optimiert.

DirectAccess mit Windows 10

Am besten geeignet ist Windows 10, da Microsoft in der neuen Windows-Version die Verschlüsselung verbessert und beschleunigt hat. Windows 7 verschlüsselt die Verbindungen von DirectAccess zusätzlich noch mit SSL/TLS, obwohl die Verbindung bereits durch IPSec verschlüsselt ist. Das erzeugt einen Overhead, der die Leistung der Verbindung mindert.

Außerdem kann Windows 10 mehr gleichzeitige Kanäle zwischen Notebook und Firmennetzwerk aufbauen, was die Leistung verbessert. Ab Windows 10 dürfen die DirectAccess-Server in einer DMZ positioniert sein, die durch ein Edge-Security-System mit NAT angebunden ist.

Zusätzlich unterstützt DirectAccess mit Windows 10 die Anbindung in einer Multi-Site-Umgebung. Dadurch lassen sich geografische Redundanzen erreichen, da Windows 10-Rechner mit allen konfigurierten Endpunkten eine Verbindung aufbauen können – was unter Windows 7/8/8.1 nicht möglich ist. Dabei initiiert Windows 10 einen Verbindungsaufbau zu dem Verbindungspunkt, der am schnellsten erreichbar ist und kann bei einem Ausfall automatisch einen Wechsel vornehmen.

Außerdem ist die Verwaltung von DirectAccess in Windows 10 über die grafische Oberfläche wesentlich besser steuerbar – lässt sich aber auch über die PowerShell managen.

DirectAccess-Server mit Windows Server 2012 R2/2016 einrichten

Die Installation von DirectAccess und Remotezugriff erfolgt in Windows Server 2012 R2 mithilfe des Server-Managers. Über "Verwalten/Rollen und Funktionen hinzufügen/Remotezugriff" installieren Sie die notwendigen Funktionen auf dem Server (siehe Abbildung 1). Die Installation kann auch über die PowerShell erfolgen. Dazu wird der Befehl "Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools" verwendet.

Administratoren starten die Einrichtung über die Remotezugriffs-Verwaltungskonsole. Diese ist im Menüpunkt "Tools" des Server-Managers zu finden (siehe Abbildung 2). Durch die Einrichtung führt ein Assistent, über den alle notwendigen Konfigurationen vorgenommen werden können.

Im Rahmen der Einrichtung werden zunächst die Topologie des Netzwerkes und der Standort des DirectAccess-Servers ausgewählt. Außerdem können Administratoren für den Zugriff den FQDN oder die öffentliche IP-Adresse angeben. Danach richtet der Assistent die notwendigen Funktionen ein, und erstellt Gruppenrichtlinien, um die Konfiguration an die DirectAccess-Clients zu verteilen (siehe Abbildung 4).

DirectAcess in der RemoteAccess Management Console verwalten

Nach der ersten Einrichtung erfolgt die weitere Konfiguration in der RemoteAccess Management Console. Diese startet automatisch nach der ersten Konfiguration (siehe Abbildung 5). Administratoren können diese aber auch jederzeit mit dem Befehl "ramgmtui" starten. Über verschiedene Schritte lässt sich die Konfiguration jetzt an die eigenen Anforderungen anpassen.

Standardmäßig erlaubt der Einrichtungs-Assistent den Zugriff per DirectAccess für alle Domänencomputer. Diese Einstellung sollten Administratoren anpassen und eine eigene Sicherheitsgruppe erstellen. Computer, deren Konten Mitglied in dieser Gruppe sind, dürfen sich dann über DirectAccess verbinden.

Clients mit der DirectAccess-Konfiguration anbinden

Nach der Einrichtung von DirectAccess erhalten Clientcomputer die Konfiguration über die Gruppenrichtlinien, die der Assistent konfiguriert hat. Die Verwaltung findet am besten in der PowerShell statt. "Get-DnsClientNrptPolicy" zeigt die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) von Direct Access an. "Get-NCSIPolicyConfiguration" zeigt die vom Assistenten bereitgestellten Einstellungen für die Statusanzeige der Netzwerkkonnektivität an.

Administratoren können die Einstellungen über die Verwaltungskonsole anpassen. Die Optionen sind im Bereich "Infrastrukturserver-Setup" über "Bearbeiten" zu erreichen. Hier können Administratoren den Server und das dazugehörige Zertifikat auswählen, über den ein Client überprüfen kann, ob er sich gerade im Firmennetzwerk befindet, oder ob er von außerhalb verbunden ist und DirectAccess nutzen muss (siehe Abbildung 6).

Clients, die per DirectAccess verbunden sind, finden Administratoren über den Link "Remoteclientstatus" in der Remotezugriffs-Verwaltungskonsole. Die Gruppenrichtlinien für die Anbindung an DirectAccess erstellen Firewallregeln und Verbindungssicherheitsregeln. Diese lassen Sie über "wf.msc" auf dem Client anzeigen (siehe Abbildung 7). Während der Einrichtung legt der Assistent auch DNS-Einträge fest, mit denen er überprüfen kann, ob sich Clients im internen Netzwerk befinden oder über DirectAccess verbunden sind. Verbindet sich ein Client mit DirectAccess, sehen Anwender die Verbindung, wenn sie auf das Netzwerksymbol klicken. Der Befehl "Get-DAConnectionStatus" zeigt "ConnectedRemotely" an, wenn ein Computer von außerhalb verbunden ist, also DirectAcess nutzt.

Microsoft Windows DirectAccess Client Troubleshooting Tool

Auch wenn DirectAccess generell recht einfach einzurichten ist, und Microsoft Assistenten für die Konfiguration zur Verfügung stellt, ist das Troubleshooting nicht gerade trivial. Microsoft bietet zur Fehlerbehebung das Werkzeug "Microsoft Windows DirectAccess Client Troubleshooting Tool" kostenlos an, mit dem Anwender auf ihren Rechnern die Anbindung testen können. Das Tool ist aktuell noch nicht für Windows 10 freigegeben, funktioniert aber bereits (siehe Abbildung 8). Um das Tool zu verwenden, muss es nur aufgerufen werden, eine Installation ist nicht notwendig.

Damit DirectAccess auf einem Rechner funktioniert, müssen die erstellten Gruppenrichtlinien angewendet werden. Dazu können Administratoren auf den Ziel-Rechnern die Befehle "rsop.msc" oder "gpresult /r" nutzen. Damit lässt sich überprüfen, ob die Richtlinien übertragen wurden. Nach einer Änderung der Gruppenmitgliedschaft müssen Computer neu gestartet werden, um die Richtlinien zu übernehmen. Zudem muss die Firewall auf den Rechnern gestartet sein.

Weiterführende Hinweise sind auf der Internetseite "The DirectAccess Guide" zu finden. Mithilfe dieses Guides können Administratoren eine umfangreiche Fehlerbehebung durchführen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43792262 / Ressourcen)