Archiv der Kategorie: Gruppenrichtlinien

Gruppenrichtlinien

Teil 27e: DirectAccess-Konfiguration fertigstellen und testen

Veröffentlicht am von
Antworten

Jetzt ist es endlich so weit: Ich werde die DirectAccess-Konfiguration fertigstellen und testen. Zuerst möchte ich, dass die Daten der DirectAccess-Verbindungen ein Jahr lang gespeichert werden. Im Anschluss deaktiviere ich, wie in Teil 27 beschrieben, 6to4. Wenn das erledigt ist, werde ich meinen DirectAccess-Client zuerst direkt ins Internet, dann hinter einen Router hängen. Das sollte die Szenarien des mobilen Datensticks und den Router daheim ganz gut darstellen.

DirectAccess-Konfiguration fertigstellen und testen – Schritte:

  • DirectAccess-Reporting konfigurieren
  • IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren
  • Outlook-Problem mittles Group Policy Preferences lösen
  • DirectAccess in Action
  • DirectAccess-Protokoll am Client abrufen

DirectAccess-Reporting konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Im linken Bereich auf Reporting klicken
  4. Im mittleren Bereich auf Configure Accounting klicken
    DA_CUSTOM_SETTINGS-012
  5. Configure Accounting
    1. Select Accounting Method
      1. Use inbox accounting
    2. Configure Accounting Settings
      1. Accounting method: Inbox Accounting
      2. Store accounting logs for last 12 month > Apply
        DA_CUSTOM_SETTINGS-013
      3. Close
        DA_CUSTOM_SETTINGS-014
  6. Start rechts anklicken > Run > gpupdate /force

IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  5. Folgende Einstellungen vornehmen
    1. Computer Configuration\Policies\Administrative Templates\Network\Network Connections
      1. Prohibit installation and configuration of Network Bridge on your DNS domain network
        1. Enabled
          DA_CUSTOM_SETTINGS-001
    2. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\
      1. Set 6to4 State
        1. Enabled
        2. Select from the following states: Disabled State
          DA_CUSTOM_SETTINGS-002
      2. Set IP-HTTPS State
        1. Enabled
        2. Enter the IPHTTPS Url: https://da.einfaches-netzwerk.at:443/IPHTTPS
        3. Select Interface state from the following options: Default State
          DA_CUSTOM_SETTINGS-003
      3. Set Teredo State
        1. Enabled
        2. Select from the following states: Enterprise Client
  6. Alle Fenster schließen
    DA_CUSTOM_SETTINGS-005

Outlook-Problem mittles Group Policy Preferences lösen

Sollte Outlook über DirectAccess nicht funktionieren, muss auf den Clients folgender Registry-Eintrag gesetzt werden:

  • Outlook 2007
    • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC
  • Outlook 2010
    • HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
  • Outlook 2013
    • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
REG_DWORD > DefConnectOpts > Wert 1 (bei Bedarf Wert 0 testen)

Am einfachsten lässt sich das mittels Group Policy Preferences lösen.

DirectAccess in Action

  1. Als USER1 an CLIENT1 am Unternehmensnetzwerk anmelden
  2. Start rechts anklicken > Ausführen > gpupdate /force
    Weiterlesen

Teil 27b: DirectAccess-Gruppenrichtlinienobjekte vorbereiten

Veröffentlicht am von
Antworten

Der Wizard von DirectAccess erstellt alle notwendigen Einstellungen für die erfolgreiche Verindung in Gruppenrichtlinienobjekten. Weil ich die Sicherheitsfilterung und die verknüpften OUs vorher festlegen möchte, muss ich die DirectAccess-Gruppenrichtlinienobjekte vorbereiten. Diese einfachen Schritte sind schnell erledigt.

DirectAccess-Gruppenrichtlinienobjekte vorbereiten – Schritte:

  • Sicherheitsgruppen in Active Directory erstellen
  • Gruppenrichtlinienobjekte erstellen und verknüpfen

Sicherheitsgruppen in Active Directory erstellen

Wie in Teil 27 beschrieben, werde ich drei Sicherheitsgruppen für DirectAccess erstellen. Damit auf den DirectAccess-Server keine anderen Gruppenrichtlinieneinstellungen wirken, erstelle ich eine eigene OU. Bei dieser OU werde ich dann die Vererbung deaktivieren.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
  4. In der OU Sicherheitgruppen folgende Gruppen erstellen
    1. DirectAccess Computers
    2. DirectAccess Servers
    3. DirectAccess ISATAP
      DA_ADDS-001
  5. Das Computerobject CLIENT1 zur Gruppe DirectAccess Computers hinzufügen
  6. Das Computerobjekt DA1 zur Gruppe DirectAccess Servers und IIS Web Server hinzufügen
  7. In der OU Servers eine weitere OU DirectAccess erstellen
  8. Das Computerobject DA1 in die OU DirectAccess verschieben
    DA_ADDS-002
  9. Fenster schließen

Gruppenrichtlinienobjekte erstellen und verknüpfen

  1. Server Manager > Tools > Group Policy Management
  2. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Folgende Gruppenrichtlinienobjekte erstellen
    1. DirectAccess Computers Custom
    2. DirectAccess Computers Wizard
    3. DirectAccess Servers
    4. DirectAccess ISATAP

    Weiterlesen

Teil 27: Vorbereitung von DirectAccess

Veröffentlicht am von
Antworten

Vorbereitung von DirectAccess: Systeme und Protokolle

Für die Vorbereitung von DirectAccess ist es wichtig, einige wenige Begriffe zu kennen. Im folgenden Abschnitt möchte ich die Konfiguration der Systeme und Protokolle für mein einfaches Netzwerk so kurz wie möglich beschreiben. Nachdem ich alle notwendigen Informationen zusammengetragen habe, werde ich DirectAccess installieren und konfigurieren.

Als Referenz für die Vorbereitung von DirectAccess verwende ich DirectAccess in Windows Server. Für die Kapazitätsplanung hilft DirectAccess Capacity Planning.

IPv6 / IPv4 Übergangstechnologien

  • 6to4: Wird verwendet, wenn der DirectAccess-Client eine öffentliche IPv4-Adresse bezieht. Der Client darf sich nicht hinter einem NAT-Gerät befinden. Das dabei verwendete Protokoll 41 ist häufig durch die Internet Provider blockiert. Ich werde 6to4 nicht verwenden und mittels Gruppenrichtlinie deaktivieren.
  • Teredo: Funktioniert 6to4 nicht, wird der Verbindungsaufbau mittels Teredo versucht. Teredo überprüft zuerst hinter welchem NAT-Gerät sich der DirectAccess-Client befindet, verpackt dann den IPv6-Verkehr und startet die Kommunikation. Teredo verwendet den UDP-Port 3544.
    • Vorteil: Ermöglicht DirectAccess hinter einem NAT-Gerät (Router)
    • Nachteil: zwei öffentliche IP-Adressen am externen Netzwerk-Adapter des DirectAccess-Servers notwendig
  • IP-HTTPS: IPv6-Pakete werden in HTTPS eingekapselt. IP-HTTPS verwendet den TCP-Port 443. Weil der Port 443 (jede https-Webseite) eigentlich überall erlaubt ist, funktioniert IP-HTTPS in den meisten Fällen. Wird das Häkchen bei „Use force tunneling“ aktiviert, wird ausschließlich IP-HTTPS verwendet. In diesem Fall kann 6to4 und Teredo deaktiviert werden.
    • Vorteil: Funktioniert (fast) immer
    • Nachteil: IPsec und HTTPS-Verschlüsselt (nur bei Windows 7) und dadurch etwas langsamer als Teredo, weil die Pakete doppelt ver- und entschlüsselt werden müssen; Verwaltung von Zertifikaten
  • ISATAP: Um aus dem IPv4-Intranet DirectAccess-Clients verwalten zu können, ist ISATAP notwendig. Dafür wird am internen Computer ein ISATAP-Adapter mit einer auf der IPv4-Adresse basierenden IPv6-Adresse erstellt (mehr Informationen später).
    • Vorteil: Zugriff auf die DirectAccess-Clients (z.B. durch den Helpdesk)
    • Nachteil: Konfigurationsaufwand; von Microsoft nicht empfohlen
  • DNS64: DNS64 wird am DirectAccess-Server ausgeführt und löst für die DirectAccess-Clients interne Namen in IPv4-Adressen auf. Dafür verwendet er seine eigene DNS-Konfiguration. Es ist keine Konfiguration notwendig.
  • NAT64: NAT64 übersetzt den Verkehr von öffentlichen IP-Adressen zu privaten und zurück. NAT64 übersetzt den Verkehr von IPv6 zu IPv4 und zurück. Es ist auch für NAT64 keine Konfiguration notwendig.

Verwendete Systeme:

  • Active Directory Domain Services: Es können nur Domänen-Computer DirectAccess-Clients sein. Für die Konfiguration der Clients werden ausschließlich Gruppenrichtlinien verwendet. Für die Zielgruppenfilterung werde ich Sicherheitsgruppen für Server und Clients erstellen. Der DirectAccess-Server kommt in eine eigene OU, damit dieser Server keine anderen Gruppenrichtlinien erhält.
  • Active Directory Certificate Services: Für die Kommunikation mittels IP-HTTPS und für die Webseite des NLS (Network Location Server) sind Zertifikate notwendig. Weil für IP-HTTPS die CRL extern erreichbar und hochverfügbar sein muss, empfiehlt sich ein Zertifikat von einem Drittanbieter, um dessen bestehende Infrastruktur nutzen zu können. Ich werde meine PKI für den NLS und IP-HTTPS verwenden, weil ich keinen „echten“ Internetzugang in der Laborumgebung habe. (Siehe Hosting the Windows Server 2012 Base Configuration Test Lab with Windows Server 2012 Hyper-V)
    Weiterlesen