Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren

Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

  • DirectAccess Server-Rolle installieren
  • DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Remote Access > Next
      DA_ROLE-001
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
      DA_ROLE-002
    8. Confirmation > Install
    9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

  1. Server Manager > Tools > Remote Access Configuration
  2. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
  3. Run the Remote Access Setup Wizard
    DA_ROLE-003
  4. Configure Remote Access
    1. Deploy DirectAccess only
      DA_ROLE-004
  5. Unter Step 1 – Remote Clients auf Configure… klicken
    DA_ROLE-005
  6. DirectAccess Client Setup
    1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
      DA_ROLE-006
    2. Select Groups
      1. Add… > DirectAccess Computers > Next
        DA_ROLE-007
      2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
      3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
    3. Network Connectivity Assistant
      1. Ressource
        1. HTTP
        2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
          DA_ROLE-008
      2. Helpdesk email address: helpdesk@einfaches-netzwerk.at (wenn diese Adresse fehlt, können keine erweiterten Logs erstellt werden)
      3. DirectAccess connection name: Einfaches-Netzwerk DirectAccess > Finish
        DA_ROLE-009
      4. Allow DirectAccess clients to use local name resolution: Erlaubt den DirectAccess-Clients die Unternehmensverbindung zu trennen und für die Namensauflösung ihre eigene DNS-Konfiguration zu verwenden. Ich lasse diese Option deaktiviert, weil meine Clients immer mit dem Unternehmen verbunden sein sollen. Man kann die Option später noch aktivieren.
  7. Unter Step 2 – Remote Access Server auf Configure… klicken
    DA_ROLE-010
  8. Remote Access Server Setup
    1. Network Topology
      1. Network topology of the Server: Edge
        DA_ROLE-011
      2. Public name used by clients to connect to the Romte Access server: da.einfaches-netzwerk.at > Next
    2. Network Adapters: Der Wizard hat alle Einstellungen automatisch richtig ermittelt! > Next
      DA_ROLE-012
    3. Authentication
      1. User authentication: Active Directory Credentials
      2. Use computer certificates aktivieren > Browse…
        DA_ROLE-013
      3. Das Zertifikat der CA auswählen, deren ausgestellten Computerzertifikaten vertraut werden soll, nicht das Computerzertifikat des Servers: Einfaches-Netzwerk Root CA > OK
      4. Enable Windows 7 client computers aktivieren > Finish
        DA_ROLE-014
      5. NAP (Network Access Protection) habe ich nicht im Einsatz
  9. Unter Step 3 – Infrastructure Servers auf Configure… klicken
    DA_ROLE-015
  10. Infrastructure Server Setup
    1. Network Location Server: https://nls.intern.einfaches-netzwerk.at > Validate > Next
      DA_ROLE-016
    2. DNS: Die notwendigen Einträge im NRPT (Name Resolution Policy Table) wurden automatisch angelegt > Next
      DA_ROLE-017

      1. intern.einfaches-netzwerk.at muss über den internen DNS-Server aufgelöst werden
      2. nls.intern.einfaches-netzwerk.at darf vom DirectAccess-Client nicht auflösbar sein. Der Eintrag ohne DNS Server Address bedeutet, dass für nls die DNS-Einstellungen des Clients verwendet werden sollen. Von außerhalb ist nls.intern.einfaches-netzwerk.at aber nicht zu erreichen. Sonst würde der DirectAccess-Client den Tunnel nicht aufbauen. Wäre der Eintrag hier nicht vorhanden, könnte der DirectAccess-Client bei bestehender Verbindung nls.intern.einfaches-netzwerk.at erreichen und würde den Tunnel wieder abbauen. Diese Seite ist bei Verwendung von Split-Brain DNS wichtig: Dann muss entschieden werden, ob der DirectAccess-Client das Ziel intern oder extern auflösen soll.
    3. DNS Suffix Search List > Next
      DA_ROLE-018
    4. Management
      1. wsus.intern.einfaches-netzwerk.at
      2. pki.intern.einfaches-netzwerk.at > Finish
        DA_ROLE-020
      3. Zu diesen Servern baut der DirectAccess-Client den Infrastruktur-Tunnel auf. Der Domain Controller und ConfigMgr-Server, wenn vorhanden, werden automatisch erkannt und zu dieser Liste hinzugefügt.
  11. Ich habe keinen Application Server, welcher eine End-to-end-Authentication mit den DirectAccess-Clients benötigt, Step 4 entfällt
  12. Im mittleren Bereich auf Finish… klicken
    DA_ROLE-021
  13. Remote Access Review
    1. GPO Settings > Change…
      DA_ROLE-022
    2. GPO Names
      1. DirectAccess client GPO > Browse… > DirectAccess Computers Wizard
      2. DirectAccess server GPO > Browse… > DirectAccess Servers Wizard > OK
        DA_ROLE-023
    3. Mit Apply die Einstellungen übernehmen
      DA_ROLE-024
    4. Close
      DA_ROLE-025

      1. Warnung: Es wurden zwei aufeinanderfolgende IP-Adressen gefunden und Teredo ist aktiv. Man soll darauf achten, dass der DirectAccess-Server von außen gepingt werden kann. Alles OK!
  14. In der Remote Access Management-Konsole das Dashboard öffnen
    DA_ROLE-026

Es ist alles grün! So muss es sein! 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert