Ersatz für VPN: DirectAccess mit Windows Server 2016 und Windows 10

Mit DirectAccess bietet Microsoft in Windows Server 2016 und Windows 8.1/10 die Möglichkeit, Arbeitsstationen einfach und sicher über das Internet an das interne Netzwerk anzubinden. DirectAccess lässt sich als Alternativ zu VPNs einsetzen oder auch als Ergänzung zu einer bestehenden VPN-Lösung.

Mit DirectAccess lassen sich Windows 10-Arbeitsstationen über das Internet an ein internes Firmennetzwerk anbinden, ohne dass Anwender dazu einen VPN-Client installieren, einrichten oder starten müssen. Sobald eine Arbeitsstation mit DirectAccess konfiguriert ist, verbinden sie sich automatisch mit einem Windows-Server im Netzwerk, um mobilen Clients interne Netzwerkdienste zur Verfügung zu stellen. Wird die Arbeitsstation, zum Beispiel ein Notebook, im internen Netzwerk angeschlossen, erkennt das Betriebssystem die interne Verbindung und umgeht DirectAccess. Dadurch erhalten Unternehmen also eine vollkommen automatisierte Anbindung ihrer Arbeitsstationen.Windows Server 2016: DirectAccess (Bild: Microsoft)

Auch Gruppenrichtlinieneinstellungen lassen sich auf diesem Weg verteilen sowie Remoteverwaltungs-Tools nutzen. Die Technik wurde mit Windows Server 2008 R2 eingeführt und mit Windows Server 2012/2012 R2 deutlich verbessert. In der neusten DirectAccess-Version von Windows Server 2016 ist die Anbindung von Arbeitsstationen mit Windows 10 der beste Weg.  Microsoft stellt in der TechNet eine umfassende Anleitung für die VPN-Alternative in Windows Server 2016 zur Verfügung.

Das Gute an dieser Technik ist, dass sich DirectAccess nahtlos in Netzwerke mit Windows Server 2012 und Windows Server 2012 R2 integrieren lässt. Selbst mit Windows Server 2008 R2 lassen sich Clients und Server mit Windows Server 2016 verbinden, wenn auch mit etwas Aufwand. Für Migrationsszenarien von älteren Windows-Versionen zu Windows Server 2016 ist DirectAccess also ebenfalls durchaus interessant.

Schneller Verbindungsaufbau und effiziente Verwaltung

Mit DirectAccess können sich Arbeitsstationen über das Internet an der Windows-Domäne anmelden und so alle Vorteile von Active Directory nutzen. Die Verbindung wird dazu verschlüsselt aufgebaut und ist problemlos über Firewalls hinweg nutzbar. Der Vorteil von DirectAccess liegt vor allem in der Einfachheit der Verbindung. Sobald die Umgebung einmal eingerichtet ist, müssen Administratoren und Anwender für die Anbindung keine Aktionen mehr durchführen.

Die Arbeitsstationen verbinden sich vollkommen automatisch mit dem DirectAccess-Server, sobald eine Internetverbindung zur Verfügung steht und sich die Arbeitsstation nicht im internen Netzwerk befindet. Daher können Administratoren diese Arbeitsstationen auch remote verwalten, ohne dass Anwender einen VPN-Client starten und manuell eine Verbindung aufbauen müssen. Der Verbindungsaufbau erfolgt über IPv6. Dazu sind aber keinerlei Anpassungen am internen Netzwerk oder der Internetverbindung notwendig. Wenn keine native IPv6-Verbindung hergestellt werden kann, dann tunneln Windows Server 2016 und Windows 10 den IPv6-Datenverkehr über eine IPv4-Verbindung. Das funktioniert auch mit Windows Server 2012 R2 und Windows 8.1. Über das Internet wird dazu auf 6to4, Teredo oder IP-HTTPs gesetzt. Im internen Netzwerk setzen Windows Server 2016 und Windows 10 auf NAT64 oder ISATAP.

Nicht nur Windows Server 2016 und Windows 10 lassen sich nutzen

Als DirectAccess-Server lassen sich nicht nur Server mit Windows Server 2016 verwenden, auch wenn diese am besten mit Windows 10 zusammenarbeiten. Auch Windows Server 2008 R2 und Windows Server 2012/2012 R2 lassen sich als DirectAccess-Client und -Server nutzen. Allerdings ist erst Windows Server 2016 dazu in der Lage schnell und einfach sichere Verbindungen aufzubauen, vor allem, wenn Windows 10 zum Einsatz kommt. Neben Windows 10 Enterprise lassen sich auch Windows 8/8.1 Enterprise-Clients mit der VPN-Alternative betreiben. Auch Windows 7 Ultimate und Enterprise können an einen DirectAccess-Server angebunden werden. Allerdings funktionieren nur Windows 8.1 und Windows 10 zuverlässig mit DirectAccess in Windows Server 2016. Ältere Windows-Versionen, also vor allem Windows 7 und Windows 8 lassen sich ebenfalls anbinden. Allerdings sind die Verbindungen in diesem Fall komplizierter in der Einrichtung und weniger stabil.

DirectAccess vorbereiten

DirectAccess nutzt Zertifikate für die sichere Anbindung von Clients. Für Testumgebungen reicht es aber auch aus mit selbstsignierten Zertifikaten zu arbeiten. Die kann der Installations-Assistent von DirectAccess selbst erstellen. Die Anmeldung an den Arbeitsstationen erfolgt mit einer Windows-Authentifizierung. Der DirectAccess-Server kann über die Firewall mit dem Internet verbunden sein, und mit der zweiten Schnittstelle mit dem internen Netzwerk oder der DMZ. Es besteht aber auch die Möglichkeit einen DirectAccess-Server mit nur einer Schnittstelle zu betreiben und hinter einer NAT-Firewall zu positionieren. Die Schnittstelle ist in diesem Fall mit dem internen Netzwerk und der DMZ verbunden.

Sind zwei Netzwerkadapter im Einsatz, muss der öffentliche Netzwerk-Adapter mit zwei öffentlichen IP-Adressen konfiguriert werden. Das ist notwendig, damit der Server als Teredo-Server und als DirectAccess-Server Verbindungen aufbauen kann. Die Netzwerkverbindung zum externen Netzwerk wird mit einem Standardgateway konfiguriert. Den internen Adapter konfigurieren Administratoren mit einer IP-Adresse im internen Netzwerk. Hier ist kein Standardgateway empfohlen, dafür aber eine Anbindung an die internen DNS-Server inklusive der Active Directory-Domäne.

Es ist wichtig, dass der externe Netzwerkadapter des DirectAccess-Servers alle internen IP4-Bereiche erreichen kann, die auch durch DirectAccess-Clients erreichbar ist. Das lässt sich zum Beispiel durch das Erstellen von internen Routen mit route add -p oder netsh interface ipv4 add route erreichen.

Die Bereitstellung der VPN-Alternative in Windows Server 2016 besteht im Grunde genommen aus drei Schritten. Zunächst wird die DA-Infrastruktur bereitgestellt. In dieser Bereitstellungsphase werden die eigentlichen Server installiert, die IP-Adresse konfiguriert sowie die Firewall-Einstellungen festgelegt. Auch die Namensauflösung, die Zertifikate, Active Directory und die Gruppenrichtlinien müssen zuvor angepasst werden.

In der zweiten Phase werden die Einstellungen auf dem DirectAccess-Server vorgenommen und die Clients angebunden. Dadurch ist verifiziert, dass die Umgebung generell funktioniert. Schlussendlich wird überprüft, ob sich die Clients problemlos an die Infrastruktur anbinden können.

Firewall anpassen

Damit im Netzwerk DirectAccess funktioniert, muss auf den beteiligten Firewalls einiges angepasst werden. Zunächst muss 6to4-Datenverkehr (IP-Protokoll 41) eingehend und ausgehend erlaubt sein. Auch HTTPS-Datenverkehr darf über den Port 443 zum DirectAccess-Server kommunizieren. Der TCP-Port 62000 muss zum DirectAccess-Server durchgelassen werden. Beim Einsatz von IPV6 muss außerdem das IP Protokoll 50 sowie der UDP-Port 500 ein- und ausgehend geöffnet sein. Die Daten müssen in das Internet gesendet werden können. Zusätzlich sollte im internen Netzwerke ISATAP (IP-Protokoll 41) und der komplette IPv4/IPv6-Datenverkehr durchgelassen werden.

DirectAccess installieren

DirectAccess richten Administratoren über den Server-Manager als Serverrolle ein. Zur Auswahl wird dazu die Rolle „Remotezugriff“ ausgewählt.

DirectAccess wird als Serverrolle installiert (Screenshot: Thomas Joos).DirectAccess wird als Serverrolle installiert (Screenshot: Thomas Joos).

 

Als Rollendienst sollte für die Installation eines DirectAccess-Servers die Option “DirectAccess und VPN (RAS)“ ausgewählt sein.

Installieren des Rollendienstes für DirectAccess (Screenshot: Thomas Joos).Installieren des Rollendienstes für DirectAccess (Screenshot: Thomas Joos).

 

Der Remotezugriff kann auch über die PowerShell installiert werden:

Install-WindowsFeature RemoteAccess -IncludeManagementTools

Nach der Installation findet sich im Server-Manager die neue Gruppe Remotezugriff. Über das Kontextmenü der hier integrierten Server lässt sich die Verwaltung des Remotezugriffs starten. Über eine gemeinsame Konsole findet dann die Einrichtung der beiden Funktionen statt.

Nach der Installation erscheint im Server-Manager auch die Meldung, dass eine Konfiguration für den Serverdienst erforderlich ist. Über die Meldung starten Administratoren den Assistenten für die erste Einrichtung. Dieser führt komplett durch alle Schritte der Einrichtung.

Starten des Assistenten zur Einrichtung von DirectAccess (Screenshot: Thomas Joos).Starten des Assistenten zur Einrichtung von DirectAccess (Screenshot: Thomas Joos).

 

Am einfachsten lässt sich DirectAccess durch die Option „Nur DirectAccess bereitstellen“ konfigurieren. Im Rahmen der Einrichtung wird die Topologie der Netzwerkkonfiguration ausgewählt, und der öffentlichen Namen oder die IP-Adresse eingegeben, mit dem Remotezugriffclients eine Verbindung zum DA-Server herstellen können. Nach der Auswahl prüft der Assistent zunächst die Voraussetzungen und startet danach die Einrichtung.

Auswählen der Netzwerktopologie für die Einrichtung von DirectAccess (Screenshot: Thomas Joos).Auswählen der Netzwerktopologie für die Einrichtung von DirectAccess (Screenshot: Thomas Joos).

 

Standardmäßig stellt der Assistent DirectAccess für Computer in der Domäne bereit, indem er einen WMI-Filter auf das Gruppenrichtlinienobjekt für die Clienteinstellungen anwendet. Klicken Administratoren vor der Fertigstellung des Assistenten an dieser Stelle aber noch nicht auf Fertig stellen, sondern auf den Link „hier“, um Einstellungen anzupassen, lassen sich einige Konfigurationen bereits vor der Fertigstellung der Konfiguration abschließen. Die Einstellungen sind aber auch jederzeit danach anpassbar. Standardmäßig erlaubt der Einrichtungs-Assistent den Zugriff per DirectAccess für alle Domänencomputer, allerdings per WMI-Filter nur für Notebooks und Tablets. Alle Einstellungen lassen sich über den Assistenten aber problemlos anpassen.

DirectAccess lässt sich in der Verwaltungskonsole für den Remotezugriff jederzeit anpassen (Screenshot: Thomas Joos).DirectAccess lässt sich in der Verwaltungskonsole für den Remotezugriff jederzeit anpassen (Screenshot: Thomas Joos).

 

Neben der Sicherheitsgruppe für den Zugriff per DirectAccess lassen sich auch noch die Gruppenrichtlinien anzeigen, die für den Betrieb konfiguriert sind. In Remotezugriffs-Verwaltungskonsole kann durch einen Klick auf Vorgangsstatus überprüft werden, ob DirectAccess funktioniert. Der Status aller Monitore muss Funktionsfähig lauten.

DirectAccess ist voll funktionsfähig (Screenshot: Thomas Joos).DirectAccess ist voll funktionsfähig (Screenshot: Thomas Joos).

 

Im Assistenten lassen sich durch Anklicken der jeweiligen Schaltflächen „Bearbeiten“ Einstellungen ändern. Bei Remoteclients ist zum Beispiel festgelegt, dass nur Notebooks eine Verbindung aufbauen dürfen. Das lässt sich über einen Assistenten anpassen. Hier lässt sich außerdem steuern, welche Active Directory-Sicherheitsgruppen Zugriff erhalten sollen.

Für Remoteclients lassen sich umfassende Einstellungen bezüglich der Berechtigung vorgeben (Screenshot: Thomas Joos).Für Remoteclients lassen sich umfassende Einstellungen bezüglich der Berechtigung vorgeben (Screenshot: Thomas Joos).

 

Aktualisieren von Clients mit der DirectAccess-Konfiguration

Ist DirectAccess auf dem Server eingerichtet, sollten die Clients aktualisiert werden, die sich mit DirectAccess über das Internet verbinden sollen. Dazu sollten für erste Tests zunächst die Gruppenrichtlinien für den Client abgerufen werden. Hier wird der Client-Rechner entweder neu gestartet oder in der Befehlszeile mit gpupdate /force aktualisiert. Nachdem die Computerrichtlinien erfolgreich aktualisiert sind, kann in der PowerShell mit Get-DnsClientNrptPolicy überprüft werden, wie die Anbindung an DirectAccess generell funktioniert. Die Einträge in der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) für Direct Access werden durch diesen Befehl angezeigt. Der Assistent für erste Schritte hat diesen DNS-Eintrag für den DirectAccess-Server automatisch erstellt und ein zugehöriges selbstsigniertes Zertifikat bereitgestellt, sodass der DirectAccess-Server als Netzwerkadressenserver fungieren kann.

Get-NCSIPolicyConfiguration zeigt wiederum die bereitgestellten Einstellungen für die Statusanzeige der Netzwerkkonnektivität an. Wichtig ist hier der Wert „DomainLocationDeterminationURL“. Sobald auf diese Netzwerkadressenserver-URL zugegriffen werden kann, ermittelt der Client, dass sich diese innerhalb des Unternehmensnetzwerks befindet, und die NRPT-Einstellungen werden nicht angewendet.

Überprüfen von DirectAccess nach der Einrichtung auf dem Client (Screenshot: Thomas Joos).Überprüfen von DirectAccess nach der Einrichtung auf dem Client (Screenshot: Thomas Joos).

 

Get-DAConnectionStatus ruft den Status der Clientverbindung zur Netzwerkadressenserver-URL ab. Bei der internen Verbindung wird der Status ConnectedLocally angezeigt. Diesen Status ruft der DirectAccess-Client vom Infrastruktur-Server ab. Er verwendet dazu die Internetinformationsdienste auf dem DirectAccess-Server.

Die entsprechenden Einstellungen lassen sich über die Verwaltungskonsole für den Remotezugriff anpassen. Die Einstellungen dazu sind im Bereich Infrastrukturserver-Setup über die Schaltfläche Bearbeiten zu finden. Sobald die HTTPS-Verbindung zum Netzwerkadressenserver (Infrastruktur-Server) erfolgreich hergestellt wurde, deaktiviert der DirectAccess-Client die DirectAccess-Clientkonfiguration und verwendet eine direkte Verbindung zum Unternehmensnetzwerk.

Anpassen des Infrastrukturservers (Screenshot: Thomas Joos).Anpassen des Infrastrukturservers (Screenshot: Thomas Joos).

 

Erfolgreiche DirectAccess-Verbindung testen

Clients, die per DirectAccess verbunden sind, sind über den Link Remoteclientstatus in der Remotezugriffs-Verwaltungskonsole zu finden. Während der Einrichtung legt der Assistent auch DNS-Einträge fest, mit denen er überprüfen kann, ob sich Clients im internen Netzwerk befinden oder mit DirectAccess einwählen.

Verbinden Anwender einen Clientcomputer mit dem Unternehmensnetzwerk, und melden sich mit einem Domänenbenutzernamen an, lässt sich in der Befehlszeile mit ipconfig /all überprüfen, wie die Verbindung hergestellt wird. Im Abschnitt Tunneladapter iphttpsinterface ist zu sehen, ob die Verbindung intern oder über DirectAccess erfolgt.

In der PowerShell lässt sich das wiederum mit Get-DAConnectionStatus überprüfen. Der Status sollte als ConnectedRemotely angegeben werden, wenn die Verbindung über DirectAccess erfolgt. Mit Get-NetIPAddress lässt sich die IPv6-Konfiguration zu prüfen. Der Tunneladapter iphttpsinterface sollte aktiv sein und über eine gültige IP-HTTPS-Adresse verfügen. Der Client verwendet IP-HTTPS für das Tunneling von IPv6-Datenverkehr zum DirectAccess-Server über das Internet.

Die notwendigen Einstellungen für Clientcomputer nimmt der Assistent über Gruppenrichtlinien vor. Deren Einstellungen lassen sich in der Gruppenrichtlinienverwaltung anpassen. Auch für die Einstellungen der DirectAccess-Server sind Gruppenrichtlinien verantwortlich. Die Einstellungen lassen sich auch in der PowerShell mit dem Cmdlet Get-NetTeredoConfiguration vornehmen. Die Einstellungen sind sich natürlich jederzeit anpassbar. Dazu wird die Remotezugriffs-Verwaltungskonsole verwendet.

Fazit

DirectAccess ist dann der richtige Weg Remote-Clients zu verbinden, wenn die Anwender vor allem mit Arbeitsstationen auf Basis von Windows 8.1 oder Windows 10 arbeiten. Der Vorteil von DirectAccess liegt in der einfachen Verwendung. Sobald die Umgebung eingerichtet ist, können sich Anwender schnell und einfach verbinden. Die Verbindung übernimmt das Betriebssystem automatisch im Hintergrund. Administratoren können per remote auf die Arbeitsstationen zugreifen, und auch die Gruppenrichtlinien funktionieren. Administratoren, die zahlreiche externe Anwender an das interne Netzwerk anbinden müssen, sollten sich DirectAccess ansehen. Die Umgebung ist durchaus als VPN-Alternative interessant und lässt sich natürlich auch parallel einsetzen.

Themenseiten: Cloud by HPE, DirectAccess, Microsoft, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: