Teil 27: Vorbereitung von DirectAccess

Vorbereitung von DirectAccess: Systeme und Protokolle

Für die Vorbereitung von DirectAccess ist es wichtig, einige wenige Begriffe zu kennen. Im folgenden Abschnitt möchte ich die Konfiguration der Systeme und Protokolle für mein einfaches Netzwerk so kurz wie möglich beschreiben. Nachdem ich alle notwendigen Informationen zusammengetragen habe, werde ich DirectAccess installieren und konfigurieren.

Als Referenz für die Vorbereitung von DirectAccess verwende ich DirectAccess in Windows Server. Für die Kapazitätsplanung hilft DirectAccess Capacity Planning.

IPv6 / IPv4 Übergangstechnologien

  • 6to4: Wird verwendet, wenn der DirectAccess-Client eine öffentliche IPv4-Adresse bezieht. Der Client darf sich nicht hinter einem NAT-Gerät befinden. Das dabei verwendete Protokoll 41 ist häufig durch die Internet Provider blockiert. Ich werde 6to4 nicht verwenden und mittels Gruppenrichtlinie deaktivieren.
  • Teredo: Funktioniert 6to4 nicht, wird der Verbindungsaufbau mittels Teredo versucht. Teredo überprüft zuerst hinter welchem NAT-Gerät sich der DirectAccess-Client befindet, verpackt dann den IPv6-Verkehr und startet die Kommunikation. Teredo verwendet den UDP-Port 3544.
    • Vorteil: Ermöglicht DirectAccess hinter einem NAT-Gerät (Router)
    • Nachteil: zwei öffentliche IP-Adressen am externen Netzwerk-Adapter des DirectAccess-Servers notwendig
  • IP-HTTPS: IPv6-Pakete werden in HTTPS eingekapselt. IP-HTTPS verwendet den TCP-Port 443. Weil der Port 443 (jede https-Webseite) eigentlich überall erlaubt ist, funktioniert IP-HTTPS in den meisten Fällen. Wird das Häkchen bei „Use force tunneling“ aktiviert, wird ausschließlich IP-HTTPS verwendet. In diesem Fall kann 6to4 und Teredo deaktiviert werden.
    • Vorteil: Funktioniert (fast) immer
    • Nachteil: IPsec und HTTPS-Verschlüsselt (nur bei Windows 7) und dadurch etwas langsamer als Teredo, weil die Pakete doppelt ver- und entschlüsselt werden müssen; Verwaltung von Zertifikaten
  • ISATAP: Um aus dem IPv4-Intranet DirectAccess-Clients verwalten zu können, ist ISATAP notwendig. Dafür wird am internen Computer ein ISATAP-Adapter mit einer auf der IPv4-Adresse basierenden IPv6-Adresse erstellt (mehr Informationen später).
    • Vorteil: Zugriff auf die DirectAccess-Clients (z.B. durch den Helpdesk)
    • Nachteil: Konfigurationsaufwand; von Microsoft nicht empfohlen
  • DNS64: DNS64 wird am DirectAccess-Server ausgeführt und löst für die DirectAccess-Clients interne Namen in IPv4-Adressen auf. Dafür verwendet er seine eigene DNS-Konfiguration. Es ist keine Konfiguration notwendig.
  • NAT64: NAT64 übersetzt den Verkehr von öffentlichen IP-Adressen zu privaten und zurück. NAT64 übersetzt den Verkehr von IPv6 zu IPv4 und zurück. Es ist auch für NAT64 keine Konfiguration notwendig.

Verwendete Systeme:

  • Active Directory Domain Services: Es können nur Domänen-Computer DirectAccess-Clients sein. Für die Konfiguration der Clients werden ausschließlich Gruppenrichtlinien verwendet. Für die Zielgruppenfilterung werde ich Sicherheitsgruppen für Server und Clients erstellen. Der DirectAccess-Server kommt in eine eigene OU, damit dieser Server keine anderen Gruppenrichtlinien erhält.
  • Active Directory Certificate Services: Für die Kommunikation mittels IP-HTTPS und für die Webseite des NLS (Network Location Server) sind Zertifikate notwendig. Weil für IP-HTTPS die CRL extern erreichbar und hochverfügbar sein muss, empfiehlt sich ein Zertifikat von einem Drittanbieter, um dessen bestehende Infrastruktur nutzen zu können. Ich werde meine PKI für den NLS und IP-HTTPS verwenden, weil ich keinen „echten“ Internetzugang in der Laborumgebung habe. (Siehe Hosting the Windows Server 2012 Base Configuration Test Lab with Windows Server 2012 Hyper-V)
    Weiterlesen

Windows Server 2012 R2 Storage Spaces Tiering

Zum Thema Windows Server 2012 R2 Storage Spaces Tiering habe ich einen hervorragenden Blog-Beitrag von Jose Barreto gefunden. Allerdings beschreibt dieser Artikel die Konfiguration ausschließlich mittels PowerShell. Zum besseren Verständnis habe ich die Schritte im Server Manager und mit PowerShell gemacht und habe mitgeschrieben. 🙂

Ziel der Übung ist, auf SERVER03 (Hyper-V Guest) einen Storage Pool mit einem SSD-Tier, einem HDD-Tier und Storage Spaces (vDisks, einfach und gespiegelt) zu erstellen.

Voraussetzung:

  • SERVER02:
    • 1 SSD 128GB freier Speicherplatz (hier Laufwerk E:)
    • 1 HDD 512 GB freier Speicherplatz (hier Laufwerk F:)
    • Hyper-V
  • SERVER03:
    • Hyper-V Guest
    • mind. 2GB RAM

Windows Server 2012 R2 Storage Spaces Tiering – Schritte:

  • 4 vhdx-Dateien mit 10GB auf der SSD-Festplatte erstellen, 8 vhdx-Dateien mit 25GB auf der HDD erstellen
  • vhdx-Dateien SERVER03 zuweisen
  • Auf SERVER03 den Storage Pool erstellen
  • MediaType und Fehlertoleranz (Resiliency) konfigurieren
  • Virtuelle Disks erstellen
  • Volumes erstellen

4 vhdx-Dateien mit 10GB auf der SSD-Festplatte erstellen, 8 vhdx-Dateien mit 25GB auf der HDD erstellen

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Tools > Hyper-V Manager
  3. SERVER02 rechts anklicken > New > Hard Disk…
    Storage_Spaces_Tiering-001
  4. New Virtual Hard Disk Wizard
    1. Before You Begin
      1. Do not show this page again > aktivieren > Next
        Storage_Spaces_Tiering-002
    2. Choose Disk Format: VHDX > Next
      Storage_Spaces_Tiering-003
    3. Choose Disk Type: Fixed size > Next
      Storage_Spaces_Tiering-004
    4. Specify Name and Location
      1. Name: VM_SSD_1.vhdx
      2. Location: E:\VMs\ > Next
        Storage_Spaces_Tiering-005
    5. Configure Disk
      1. Create a new blank vhd
        1. Size: 10GB > Next
          Storage_Spaces_Tiering-006
    6. Summary > Finish
      Storage_Spaces_Tiering-007
  5. Die Schritte 4A-F für VM_SSD_2-4.vhdx und für VM_HDD_1-8.vhdx (auf Laufwerk F:)  wiederholden
    Storage_Spaces_Tiering-008
    Storage_Spaces_Tiering-009
    Weiterlesen

Windows Server 2012 R2 Storage Pool erstellen

In dieser Kurznotiz werde ich einen Windows Server 2012 R2 Storage Pool erstellen. Dazu baue ich in meinen Server zwei SATA HDD– und eine SATA SSD-Festplatte ein. Vorsicht: Mit dieser Konfiguration ist keine Parität (RAID 5, mind. 3 gleiche Platten) und keine Spiegelung (RAID 1 mind. jeweils 2 gleiche Platten) zur Absicherung der Daten möglich (Stripe Set > RAID 0)! Durch die Konfiguration als mehrstufigen Speicher (Tiered Storage) werden die Daten, welche häufig verwendet werden auf die SSD verlagert. Für JBOD-Systeme (Just a Bunch Of Disks) eine optimale Lösung, wenn diese performant (Fibre Channel) angebunden sind.

Windows Server 2012 R2 Storage Pool erstellen – Schritte:

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > File and Storage Services
    TieredStorage-001
  3. Auf der linken Seite auf Storage Pools klicken
    TieredStorage-003
  4. PhysicalDisk1, 2, 3 makrieren, rechts anklicken (oder TASKS anklicken) > New Storage Pool…
    TieredStorage-004
  5. New Storage Pool Wizard
    1. Before You Begin > Next
    2. Storage Pool Name:
      1. Name: StoragePool_01 > Next
        TieredStorage-005
        Weiterlesen