Teil 27f: DirectAccess und Windows 7-Clients konfigurieren

Im Folgenden werde ich DirectAccess und Windows 7-Clients konfigurieren. Dafür müssen der DirectAccess Connectivity Assistant 2.0 (DCA) und einige empfohlene Updates heruntergeladen und installiert werden. Ich werde das gleich beim Aufsetzen mit MDT 2013 erledigen. Der DCA bringt seine eigenen .ADMX- und .ADML-Dateien mit, die in den Central Store kopiert werden (siehe Teil 10) um mittels Gruppenrichtlinie konfiguriert werden zu können.

DirectAccess und Windows 7-Clients konfigurieren – Schritte:

  • Die Tunnelendpunkte auf DA1 ermitteln und notieren
  • Dateien herunterladen und kopieren
  • MDT konfigurieren
  • DCA-Gruppenrichtlinien konfigurieren
  • Windows 7-Client testen

Die Tunnelendpunkte auf DA1 ermitteln und notieren

Für die Gruppenrichtlinieneinstellungen des DCA muss ich die DTEs in der Registry am DA1 ermitteln und für später notieren.

  1. Als Administrator an DA1 anmelden
  2. Start rechts anklicken > Run > regedit
  3. Folgende Werte notieren
    1. HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Config\Parameters
      1. DTE1: 2002:836b:b::836b:b
      2. DTE2: 2002:836b:a::836b:a
        DA_WINDOWS_7-014
  4. Registry Editor schließen

Dateien herunterladen und kopieren

  1. Als Administrator an APP1 anmelden
  2. Alle empfohlenen Updates für Windows 7 von http://support.microsoft.com/kb/2883952/de nach D:\Sourcen\Windows 7 DirectAccess Updates herunterladen
    DA_WINDOWS_7-019
  3. Den Microsoft DirectAccess Connectivity Assistant 2.0 von http://www.microsoft.com/en-us/download/details.aspx?id=29039 nach D:\Sourcen herunterladen und entpacken
    DA_WINDOWS_7-001
  4. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.ADMX nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
  5. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.adml nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions\en-US kopieren
    DA_WINDOWS_7-002
    DA_WINDOWS_7-003
  6. Die Datei Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi nach D:\Sourcen\Software\Microsoft DirectAccess Connectivity Assistant kopieren
  7. Alle Fenster schließen

MDT konfigurieren

Dieser Abschnitt setzt voraus, dass die Teile 19ff erarbeitet worden sind.

  1. Deployment Workbench öffnen
  2. OSD Build Share\Packages erweitern
  3. Falls noch nicht vorhanden, den Ordner Windows 7 SP1 x64 erstellen
  4. Die DirectAccess-Updates in den Ordner Windows 7 SP1 x64 importieren
    DA_WINDOWS_7-005
    DA_WINDOWS_7-006
  5. Ein neues Windows 7-Image mit den DirectAccess-Updates erstellen
  6. OSD Prod Share\Applications erweitern
  7. Die Application Microsoft DirectAccess Connectivity Assistant 2.0 in den Ordner Microsoft mit folgender Command Line importieren
    msiexec.exe /i Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi /q /norestart
  8. Application Wizard
    DA_WINDOWS_7-023
  9. Die Application doppelklicken und das Häkchen Hide this application in the Deployment Wizard aktivieren
    DA_WINDOWS_7-020
  10. Das neu erstellte Windows 7-Image in den Ordner Operating Systems importieren
    DA_WINDOWS_7-022
  11. Die Task Sequence Windows 7 SP1 Ent x64 – Office 2013 zum Bearbeiten öffnen
  12. Im Bereich Standard Software den Schritt INSTALL – Microsoft DirectAccess Connectivity Assistant hinzufügen
    DA_WINDOWS_7-009
  13. Auf den Reiter Options wechseln
  14. Folgende Bedingung hinzufügen
    1. Task Sequence Variable
      1. Variable: IsLaptop
      2. Condition: equals
      3. Value: TRUE
        DA_WINDOWS_7-011
        DA_WINDOWS_7-010
  15. CLIENT2 mit Windows 7 aufsetzen
    DA_WINDOWS_7-021
    DA_WINDOWS_7-024

DCA-Gruppenrichtlinien konfigurieren

  1. Sicherstellen, dass in der Konfiguration von DirectAccess der Punkt Enable Windows 7 client computers to connect via DirectAccess aktiviert wurde
    DA_ROLE-014
    Weiterlesen

Teil 27e: DirectAccess-Konfiguration fertigstellen und testen

Jetzt ist es endlich so weit: Ich werde die DirectAccess-Konfiguration fertigstellen und testen. Zuerst möchte ich, dass die Daten der DirectAccess-Verbindungen ein Jahr lang gespeichert werden. Im Anschluss deaktiviere ich, wie in Teil 27 beschrieben, 6to4. Wenn das erledigt ist, werde ich meinen DirectAccess-Client zuerst direkt ins Internet, dann hinter einen Router hängen. Das sollte die Szenarien des mobilen Datensticks und den Router daheim ganz gut darstellen.

DirectAccess-Konfiguration fertigstellen und testen – Schritte:

  • DirectAccess-Reporting konfigurieren
  • IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren
  • Outlook-Problem mittles Group Policy Preferences lösen
  • DirectAccess in Action
  • DirectAccess-Protokoll am Client abrufen

DirectAccess-Reporting konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Im linken Bereich auf Reporting klicken
  4. Im mittleren Bereich auf Configure Accounting klicken
    DA_CUSTOM_SETTINGS-012
  5. Configure Accounting
    1. Select Accounting Method
      1. Use inbox accounting
    2. Configure Accounting Settings
      1. Accounting method: Inbox Accounting
      2. Store accounting logs for last 12 month > Apply
        DA_CUSTOM_SETTINGS-013
      3. Close
        DA_CUSTOM_SETTINGS-014
  6. Start rechts anklicken > Run > gpupdate /force

IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  5. Folgende Einstellungen vornehmen
    1. Computer Configuration\Policies\Administrative Templates\Network\Network Connections
      1. Prohibit installation and configuration of Network Bridge on your DNS domain network
        1. Enabled
          DA_CUSTOM_SETTINGS-001
    2. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\
      1. Set 6to4 State
        1. Enabled
        2. Select from the following states: Disabled State
          DA_CUSTOM_SETTINGS-002
      2. Set IP-HTTPS State
        1. Enabled
        2. Enter the IPHTTPS Url: https://da.einfaches-netzwerk.at:443/IPHTTPS
        3. Select Interface state from the following options: Default State
          DA_CUSTOM_SETTINGS-003
      3. Set Teredo State
        1. Enabled
        2. Select from the following states: Enterprise Client
  6. Alle Fenster schließen
    DA_CUSTOM_SETTINGS-005

Outlook-Problem mittles Group Policy Preferences lösen

Sollte Outlook über DirectAccess nicht funktionieren, muss auf den Clients folgender Registry-Eintrag gesetzt werden:

  • Outlook 2007
    • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC
  • Outlook 2010
    • HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
  • Outlook 2013
    • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
REG_DWORD > DefConnectOpts > Wert 1 (bei Bedarf Wert 0 testen)

Am einfachsten lässt sich das mittels Group Policy Preferences lösen.

DirectAccess in Action

  1. Als USER1 an CLIENT1 am Unternehmensnetzwerk anmelden
  2. Start rechts anklicken > Ausführen > gpupdate /force
    Weiterlesen

Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren

Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

  • DirectAccess Server-Rolle installieren
  • DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Remote Access > Next
      DA_ROLE-001
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
      DA_ROLE-002
    8. Confirmation > Install
    9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

  1. Server Manager > Tools > Remote Access Configuration
  2. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
  3. Run the Remote Access Setup Wizard
    DA_ROLE-003
  4. Configure Remote Access
    1. Deploy DirectAccess only
      DA_ROLE-004
  5. Unter Step 1 – Remote Clients auf Configure… klicken
    DA_ROLE-005
  6. DirectAccess Client Setup
    1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
      DA_ROLE-006
    2. Select Groups
      1. Add… > DirectAccess Computers > Next
        DA_ROLE-007
      2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
      3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
    3. Network Connectivity Assistant
      1. Ressource
        1. HTTP
        2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
          DA_ROLE-008
          Weiterlesen