Teil 28: Split-DNS für Active Directory Federation Services einrichten

Veröffentlicht am 8. März 2015 von Dietmar Haimann

Bei der Planung für die Konfiguration von Active Directory Federeation Services bin ich gleich auf ein Problem gestoßen: Der interne und externe DNS-Name des ADFS-Dienstes muss gleich sein. In meinem Fall adfs.einfaches-netzwerk.at. Damit in meinem einfachen Netzwerk der Name intern und extern aufgelöst werden kann, muss ich am internen DNS eine Forward Lookup Zone für einfaches-netzwerk.at anlegen. Das nennt sich dann Split-DNS oder Split-Brain-DNS.

Split-DNS für Active Directory Federation Services einrichten – Schritte:

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen
Host (A)- und Alias (CNAME)-Einträge erstellen
DNS-Client mittels Gruppenrichtlinien konfigurieren

Eine Forward Lookup Zone für einfaches-netzwerk.at anlegen

Als Administrator an DC1 anmelden
Server Manager > Tools > DNS
Forward Lookup Zones rechts anklicken > New Zone…
New Zone Wizard
1. Welcome > Next
2. Zone Type
  1. Primary Zone
  2. Store the zone in Active Directory deaktivieren
3. Zone Name: einfaches-netzwerk.at > Next
4. Zone File: Standard lassen > Next
5. Dynamic Update: Do not allow dynamic updates > Next
6. Completing the New Zone Wizard > Finish

Host (A)- und Alias (CNAME)-Einträge erstellen

In der Zone einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
1. Name: adfs
2. IP address: 192.168.150.3
In der Zone einfaches-netzwerk.at folgende Alias (CNAME)-Einträge erstellen
1. New Resource Record
  1. Alias name: enterpriseregistration
  2. Fully qualified domain name: enterpriseregistration.einfaches-netzwerk.at
  3. Fully qualified domain name for target host: adfs1.intern.einfaches-netzwerk.at
2. New Resource Record
  1. Alias name: arbeitsordner
  2. Fully qualified domain name: arbeitsordner.einfaches-netzwerk.at
  3. Fully qualified domain name for target host: app1.intern.einfaches-netzwerk.at

DNS-Client mittels Gruppenrichtlinien konfigurieren

Server Manager > Tools > Group Policy Management
Group Policy Objects anklicken
GPO Standard Settings for Workstations zum Bearbeiten öffnen
Computer Configuration\Policies\Administrative Templates\Network\DNS Client erweitern
Folgende Einstellungen vornehmen
1. Allow DNS suffix appending to unqualified multi-label name queries > Enabled
2. Connection-specific DNS suffix > Enabled
  1. DNS suffix: intern.einfaches-netzwerk.at
3. DNS suffix search list > Enabled
  1. DNS Suffixes: intern.einfaches-netzwerk.at,einfaches-netzwerk.at
4. Primary DNS suffix > Enabled
  1. Primary DNS suffix: intern.einfaches-netzwerk.at
Group Policy Management Editor schließen
Group Policy Management schließen
Auf CLIENT1 mit gpupdate /force die Einstellungen sofort übernehmen
adfs anpingen

Teil 28: Split-DNS für Active Directory Federation Services einrichten was last modified: März 9th, 2015 by Dietmar Haimann

Teil 27g: DirectAccess-Clients mittels ISATAP erreichen

Veröffentlicht am 16. Februar 2015 von Dietmar Haimann

Antworten

Man kann die DirectAccess-Clients mittels ISATAP erreichen und supporten. Microsoft empfiehlt allerdings auf den Einsatz von ISATAP zu verzichten.

Neben WPAD steht auch ISATAP in der globalen Blockliste vom DNS-Server. Um ISATAP nicht für alle Clients erreichbar zu machen, lege ich einen Host (A)-Eintrag DirectAccess-ISATAP in DNS an. Im GPO DirectAccess ISATAP konfiguriere ich dann den Pfad zum ISATAP-Router. Grundsätzlich kann jeder Windows-Server und auch Linux als ISATAP-Router konfiguriert werden. Ich werde dafür den DirectAccess-Server DA1 verwedenden.

DirectAccess-Clients mittels ISATAP erreichen – Schritte:

Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren
In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen
Gruppenrichtlinien für ISATAP konfigurieren
ISATAP-Router konfigurieren
Gängige Ports für die Fernwartung

Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren

Als Administrator an DA1 anmelden
Command Prompt (Admin) starten
Mit folgendem Befehl den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln
```
ipconfig
```
Command Promt
Folgende Informationen sind interessant:
1. Der relevante ISATAP-Adapter hat die Link-local IPv6 Address fe80::5efe:x.x.x.x
2. Hinter der Adresse, nach dem %-Zeichen, steht der Schnittstellenindex des ISATAP-Adapters: 13
3. Der Netzwerkadapter Intern1 hat den Schnittstellenindex 12
4. Der Netzwerkadapter Intern1 hat die IP-Adresse 192.168.150.10
5. Der IPv6-Intranetpräfix ist 2002:836b:a:1::/64
Fenster schließen

In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen

Als Administrator an APP1 anmelden
Server Manager > Tools > DNS
DC1\Forward Lookup Zones erweitern
In der Zone intern.einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
1. Name: DirectAccess-ISATAP
2. IP address: 192.168.150.10 (IP-Adresse von Netzwerkadapter Intern1 auf DA1)
Fenster schließen

Gruppenrichtlinien für ISATAP konfigurieren

Server Manager > Tools > Group Policy Management
Das GPO DirectAccess Custom zum Bearbeiten öffnen
Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security erweitern
Inbound Rules rechts anklicken > New Rule…
New Inbound Rule Wizard
1. Rule Type: Custom > Next
2. Program: All Programs > Next
3. Protocol and Ports
  1. Protocol type: ICMPv6 > Next
4. Scope
  1. Remote IP addresses > Add…
    1. This IP address or subnet: 2002:836b:a:1:0:5efe:0.0.0.0/96
      <IPv6-Intranetpräfix> + :5efe:0.0.0.0/96 ist das gesamte ISATAP-Netzwerk des Unternehmens
5. Action: Allow the connection > Next
6. Profile: Private, Public > Next
7. Name: DirectAccess: Allow ICPMv6 > Finish
Die neu erstellte Regel zum Bearbeiten öffnen
Auf den Reiter Advanced wechseln
Edge traversal
1. Allow edge traversal > OK
  
  Weiterlesen →

Teil 27g: DirectAccess-Clients mittels ISATAP erreichen was last modified: Februar 20th, 2015 by Dietmar Haimann

Teil 27f: DirectAccess und Windows 7-Clients konfigurieren

Veröffentlicht am 12. Februar 2015 von Dietmar Haimann

Im Folgenden werde ich DirectAccess und Windows 7-Clients konfigurieren. Dafür müssen der DirectAccess Connectivity Assistant 2.0 (DCA) und einige empfohlene Updates heruntergeladen und installiert werden. Ich werde das gleich beim Aufsetzen mit MDT 2013 erledigen. Der DCA bringt seine eigenen .ADMX- und .ADML-Dateien mit, die in den Central Store kopiert werden (siehe Teil 10) um mittels Gruppenrichtlinie konfiguriert werden zu können.

DirectAccess und Windows 7-Clients konfigurieren – Schritte:

Die Tunnelendpunkte auf DA1 ermitteln und notieren
Dateien herunterladen und kopieren
MDT konfigurieren
DCA-Gruppenrichtlinien konfigurieren
Windows 7-Client testen

Die Tunnelendpunkte auf DA1 ermitteln und notieren

Für die Gruppenrichtlinieneinstellungen des DCA muss ich die DTEs in der Registry am DA1 ermitteln und für später notieren.

Als Administrator an DA1 anmelden
Start rechts anklicken > Run > regedit
Folgende Werte notieren
1. HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Config\Parameters
  1. DTE1: 2002:836b:b::836b:b
  2. DTE2: 2002:836b:a::836b:a
Registry Editor schließen

Dateien herunterladen und kopieren

Als Administrator an APP1 anmelden
Alle empfohlenen Updates für Windows 7 von http://support.microsoft.com/kb/2883952/de nach D:\Sourcen\Windows 7 DirectAccess Updates herunterladen
Den Microsoft DirectAccess Connectivity Assistant 2.0 von http://www.microsoft.com/en-us/download/details.aspx?id=29039 nach D:\Sourcen herunterladen und entpacken
Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.ADMX nach
\\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.adml nach
\\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions\en-US kopieren
Die Datei Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi nach D:\Sourcen\Software\Microsoft DirectAccess Connectivity Assistant kopieren
Alle Fenster schließen

MDT konfigurieren

Dieser Abschnitt setzt voraus, dass die Teile 19ff erarbeitet worden sind.

Deployment Workbench öffnen
OSD Build Share\Packages erweitern
Falls noch nicht vorhanden, den Ordner Windows 7 SP1 x64 erstellen
Die DirectAccess-Updates in den Ordner Windows 7 SP1 x64 importieren
Ein neues Windows 7-Image mit den DirectAccess-Updates erstellen
OSD Prod Share\Applications erweitern
Die Application Microsoft DirectAccess Connectivity Assistant 2.0 in den Ordner Microsoft mit folgender Command Line importieren
```
msiexec.exe /i Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi /q /norestart
```
Application Wizard
Die Application doppelklicken und das Häkchen Hide this application in the Deployment Wizard aktivieren
Das neu erstellte Windows 7-Image in den Ordner Operating Systems importieren
Die Task Sequence Windows 7 SP1 Ent x64 – Office 2013 zum Bearbeiten öffnen
Im Bereich Standard Software den Schritt INSTALL – Microsoft DirectAccess Connectivity Assistant hinzufügen
Auf den Reiter Options wechseln
Folgende Bedingung hinzufügen
1. Task Sequence Variable
  1. Variable: IsLaptop
  2. Condition: equals
  3. Value: TRUE
CLIENT2 mit Windows 7 aufsetzen

DCA-Gruppenrichtlinien konfigurieren

Sicherstellen, dass in der Konfiguration von DirectAccess der Punkt Enable Windows 7 client computers to connect via DirectAccess aktiviert wurde

Weiterlesen →

Teil 27f: DirectAccess und Windows 7-Clients konfigurieren was last modified: Januar 26th, 2017 by Dietmar Haimann

Ein einfaches Netzwerk

Dietmar's Blog (Noch so ein IT-Blog)

Archiv der Kategorie: Gruppenrichtlinien