Im Folgenden werde ich DirectAccess und Windows 7-Clients konfigurieren. Dafür müssen der DirectAccess Connectivity Assistant 2.0 (DCA) und einige empfohlene Updates heruntergeladen und installiert werden. Ich werde das gleich beim Aufsetzen mit MDT 2013 erledigen. Der DCA bringt seine eigenen .ADMX- und .ADML-Dateien mit, die in den Central Store kopiert werden (siehe Teil 10) um mittels Gruppenrichtlinie konfiguriert werden zu können.

DirectAccess und Windows 7-Clients konfigurieren – Schritte:

• Die Tunnelendpunkte auf DA1 ermitteln und notieren
• Dateien herunterladen und kopieren
• MDT konfigurieren
• DCA-Gruppenrichtlinien konfigurieren
• Windows 7-Client testen

Die Tunnelendpunkte auf DA1 ermitteln und notieren

Für die Gruppenrichtlinieneinstellungen des DCA muss ich die DTEs in der Registry am DA1 ermitteln und für später notieren.

1. Als Administrator an DA1 anmelden
2. Start rechts anklicken > Run > regedit
3. Folgende Werte notieren
   1. HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Config\Parameters
      1. DTE1: 2002:836b:b::836b:b
      2. DTE2: 2002:836b:a::836b:a
         
4. Registry Editor schließen

Dateien herunterladen und kopieren

1. Als Administrator an APP1 anmelden
2. Alle empfohlenen Updates für Windows 7 von http://support.microsoft.com/kb/2883952/de nach D:\Sourcen\Windows 7 DirectAccess Updates herunterladen
   
3. Den Microsoft DirectAccess Connectivity Assistant 2.0 von http://www.microsoft.com/en-us/download/details.aspx?id=29039 nach D:\Sourcen herunterladen und entpacken
   
4. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.ADMX nach
   \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
5. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.adml nach
   \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions\en-US kopieren
   
   
6. Die Datei Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi nach D:\Sourcen\Software\Microsoft DirectAccess Connectivity Assistant kopieren
7. Alle Fenster schließen

MDT konfigurieren

Dieser Abschnitt setzt voraus, dass die Teile 19ff erarbeitet worden sind.

1. Deployment Workbench öffnen
2. OSD Build Share\Packages erweitern
3. Falls noch nicht vorhanden, den Ordner Windows 7 SP1 x64 erstellen
4. Die DirectAccess-Updates in den Ordner Windows 7 SP1 x64 importieren
   
   
5. Ein neues Windows 7-Image mit den DirectAccess-Updates erstellen
6. OSD Prod Share\Applications erweitern
7. Die Application Microsoft DirectAccess Connectivity Assistant 2.0 in den Ordner Microsoft mit folgender Command Line importieren

   msiexec.exe /i Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi /q /norestart

8. Application Wizard
   
9. Die Application doppelklicken und das Häkchen Hide this application in the Deployment Wizard aktivieren
   
10. Das neu erstellte Windows 7-Image in den Ordner Operating Systems importieren
    
11. Die Task Sequence Windows 7 SP1 Ent x64 – Office 2013 zum Bearbeiten öffnen
12. Im Bereich Standard Software den Schritt INSTALL – Microsoft DirectAccess Connectivity Assistant hinzufügen
    
13. Auf den Reiter Options wechseln
14. Folgende Bedingung hinzufügen
    1. Task Sequence Variable
       1. Variable: IsLaptop
       2. Condition: equals
       3. Value: TRUE
          
          
15. CLIENT2 mit Windows 7 aufsetzen
    
    

DCA-Gruppenrichtlinien konfigurieren

1. Sicherstellen, dass in der Konfiguration von DirectAccess der Punkt Enable Windows 7 client computers to connect via DirectAccess aktiviert wurde
   
   
2. CLIENT2 zur Gruppe DirectAccess Computers hinzufügen
3. Server Manager > Tools > Group Policy Management
4. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
5. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
6. Computer Configuration\Policies\Administrative Templates\DirectAccess Connectivity Assistant erweitern
7. Folgende Einstellungen vornehmen
   1. Support Email: Enabled
      1. Support Email: helpdesk@einfaches-netzwerk.at
         
   2. DTEs: Enabled
      1. DTE: PING:2002:836b:b::836b:b
      2. DTE: PING:2002:836b:a::836b:a
         
         
   3. LocalNamesOn: Disabled
      
   4. Corporate Resources: Enabled
      1. HTTP:http://app1.intern.einfaches-netzwerk.at/
         
8. Computer Configuration\Policies\Administrative Templates\Network\Network Connections erweitern
9. Prohibit installation and configuration of Network Bridge on your DNS domain network: Enabled
10. Group Policy Editor schließen
    

Windows 7-Client testen

1. Als USER1 an CLIENT2 anmelden
   
2. DCA im Infobereich rechts anklicken > Erweiterte Diagnose > Protokollverzeichnis öffnen
   
3. Die Datei DcaDefaultLog.html öffnen
   
4. CLIENT2 hinter einem Router ins Internet hängen (wie es die meisten Benutzer zuhause machen werden)
5. Netzwerkadresse festlegen: Öffentliches Netzwerk (auch zuhause!)
   
6. Erweitertes Protokoll erneut abrufen
   
7. Windows Update über den internen WSUS funktioniert
   
8. Mit folgendem Befehl den Anmeldeserver abrufen

   nltest /dsgetdc: /force

9. Anmeldeserver abrufen funktioniert
   
10. Zugriff auf ein Netzlaufwerk funktioniert
    
11. Dashboard auf DA1
    

DirectAccess und Windows 7-Clients konfigurieren ist kein Problem. Natürlich können die Updates und der DCA auch auf bestehende Systeme installiert werden. Den Bereich MDT konfigurieren habe ich für die Vollständigkeit hinzugefügt. Der einzige Nachteil von DirectAccess mit Windows 7 ist die doppelte Ver- und Entschlüsselung bei der Verwendung von IP-HTTPS (IPsec und https). Windows 8 verwendet in diesem Fall NULL Encryption.

Funktioniert super! 🙂