Man kann die DirectAccess-Clients mittels ISATAP erreichen und supporten. Microsoft empfiehlt allerdings auf den Einsatz von ISATAP zu verzichten.

Neben WPAD steht auch ISATAP in der globalen Blockliste vom DNS-Server. Um ISATAP nicht für alle Clients erreichbar zu machen, lege ich einen Host (A)-Eintrag DirectAccess-ISATAP in DNS an. Im GPO DirectAccess ISATAP konfiguriere ich dann den Pfad zum ISATAP-Router. Grundsätzlich kann jeder Windows-Server und auch Linux als ISATAP-Router konfiguriert werden. Ich werde dafür den DirectAccess-Server DA1 verwedenden.

DirectAccess-Clients mittels ISATAP erreichen – Schritte:

• Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren
• In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen
• Gruppenrichtlinien für ISATAP konfigurieren
• ISATAP-Router konfigurieren
• Gängige Ports für die Fernwartung

Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren

1. Als Administrator an DA1 anmelden
2. Command Prompt (Admin) starten
3. Mit folgendem Befehl den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln

   ipconfig

4. Command Promt
   
5. Folgende Informationen sind interessant:
   1. Der relevante ISATAP-Adapter hat die Link-local IPv6 Address fe80::5efe:x.x.x.x
   2. Hinter der Adresse, nach dem %-Zeichen, steht der Schnittstellenindex des ISATAP-Adapters: 13
   3. Der Netzwerkadapter Intern1 hat den Schnittstellenindex 12
   4. Der Netzwerkadapter Intern1 hat die IP-Adresse 192.168.150.10
   5. Der IPv6-Intranetpräfix ist 2002:836b:a:1::/64
6. Fenster schließen

In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen

1. Als Administrator an APP1 anmelden
2. Server Manager > Tools > DNS
3. DC1\Forward Lookup Zones erweitern
4. In der Zone intern.einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
   1. Name: DirectAccess-ISATAP
   2. IP address: 192.168.150.10 (IP-Adresse von Netzwerkadapter Intern1 auf DA1)
      
5. Fenster schließen

Gruppenrichtlinien für ISATAP konfigurieren

1. Server Manager > Tools > Group Policy Management
2. Das GPO DirectAccess Custom zum Bearbeiten öffnen
3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security erweitern
4. Inbound Rules rechts anklicken > New Rule…
   
5. New Inbound Rule Wizard
   1. Rule Type: Custom > Next
      
   2. Program: All Programs > Next
   3. Protocol and Ports
      1. Protocol type: ICMPv6 > Next
         
   4. Scope
      1. Remote IP addresses > Add…
         1. This IP address or subnet: 2002:836b:a:1:0:5efe:0.0.0.0/96
            <IPv6-Intranetpräfix> + :5efe:0.0.0.0/96 ist das gesamte ISATAP-Netzwerk des Unternehmens
            
   5. Action: Allow the connection > Next
   6. Profile: Private, Public > Next
      
   7. Name: DirectAccess: Allow ICPMv6 > Finish
      
6. Die neu erstellte Regel zum Bearbeiten öffnen
7. Auf den Reiter Advanced wechseln
8. Edge traversal
   1. Allow edge traversal > OK
      
      Weiterlesen →