Teil 27e: DirectAccess-Konfiguration fertigstellen und testen

Jetzt ist es endlich so weit: Ich werde die DirectAccess-Konfiguration fertigstellen und testen. Zuerst möchte ich, dass die Daten der DirectAccess-Verbindungen ein Jahr lang gespeichert werden. Im Anschluss deaktiviere ich, wie in Teil 27 beschrieben, 6to4. Wenn das erledigt ist, werde ich meinen DirectAccess-Client zuerst direkt ins Internet, dann hinter einen Router hängen. Das sollte die Szenarien des mobilen Datensticks und den Router daheim ganz gut darstellen.

DirectAccess-Konfiguration fertigstellen und testen – Schritte:

  • DirectAccess-Reporting konfigurieren
  • IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren
  • Outlook-Problem mittles Group Policy Preferences lösen
  • DirectAccess in Action
  • DirectAccess-Protokoll am Client abrufen

DirectAccess-Reporting konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Im linken Bereich auf Reporting klicken
  4. Im mittleren Bereich auf Configure Accounting klicken
    DA_CUSTOM_SETTINGS-012
  5. Configure Accounting
    1. Select Accounting Method
      1. Use inbox accounting
    2. Configure Accounting Settings
      1. Accounting method: Inbox Accounting
      2. Store accounting logs for last 12 month > Apply
        DA_CUSTOM_SETTINGS-013
      3. Close
        DA_CUSTOM_SETTINGS-014
  6. Start rechts anklicken > Run > gpupdate /force

IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  5. Folgende Einstellungen vornehmen
    1. Computer Configuration\Policies\Administrative Templates\Network\Network Connections
      1. Prohibit installation and configuration of Network Bridge on your DNS domain network
        1. Enabled
          DA_CUSTOM_SETTINGS-001
    2. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\
      1. Set 6to4 State
        1. Enabled
        2. Select from the following states: Disabled State
          DA_CUSTOM_SETTINGS-002
      2. Set IP-HTTPS State
        1. Enabled
        2. Enter the IPHTTPS Url: https://da.einfaches-netzwerk.at:443/IPHTTPS
        3. Select Interface state from the following options: Default State
          DA_CUSTOM_SETTINGS-003
      3. Set Teredo State
        1. Enabled
        2. Select from the following states: Enterprise Client
  6. Alle Fenster schließen
    DA_CUSTOM_SETTINGS-005

Outlook-Problem mittles Group Policy Preferences lösen

Sollte Outlook über DirectAccess nicht funktionieren, muss auf den Clients folgender Registry-Eintrag gesetzt werden:

  • Outlook 2007
    • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC
  • Outlook 2010
    • HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
  • Outlook 2013
    • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
REG_DWORD > DefConnectOpts > Wert 1 (bei Bedarf Wert 0 testen)

Am einfachsten lässt sich das mittels Group Policy Preferences lösen.

DirectAccess in Action

  1. Als USER1 an CLIENT1 am Unternehmensnetzwerk anmelden
  2. Start rechts anklicken > Ausführen > gpupdate /force
    Weiterlesen

Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren

Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

  • DirectAccess Server-Rolle installieren
  • DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Remote Access > Next
      DA_ROLE-001
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
      DA_ROLE-002
    8. Confirmation > Install
    9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

  1. Server Manager > Tools > Remote Access Configuration
  2. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
  3. Run the Remote Access Setup Wizard
    DA_ROLE-003
  4. Configure Remote Access
    1. Deploy DirectAccess only
      DA_ROLE-004
  5. Unter Step 1 – Remote Clients auf Configure… klicken
    DA_ROLE-005
  6. DirectAccess Client Setup
    1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
      DA_ROLE-006
    2. Select Groups
      1. Add… > DirectAccess Computers > Next
        DA_ROLE-007
      2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
      3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
    3. Network Connectivity Assistant
      1. Ressource
        1. HTTP
        2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
          DA_ROLE-008
          Weiterlesen

Teil 27b: DirectAccess-Gruppenrichtlinienobjekte vorbereiten

Der Wizard von DirectAccess erstellt alle notwendigen Einstellungen für die erfolgreiche Verindung in Gruppenrichtlinienobjekten. Weil ich die Sicherheitsfilterung und die verknüpften OUs vorher festlegen möchte, muss ich die DirectAccess-Gruppenrichtlinienobjekte vorbereiten. Diese einfachen Schritte sind schnell erledigt.

DirectAccess-Gruppenrichtlinienobjekte vorbereiten – Schritte:

  • Sicherheitsgruppen in Active Directory erstellen
  • Gruppenrichtlinienobjekte erstellen und verknüpfen

Sicherheitsgruppen in Active Directory erstellen

Wie in Teil 27 beschrieben, werde ich drei Sicherheitsgruppen für DirectAccess erstellen. Damit auf den DirectAccess-Server keine anderen Gruppenrichtlinieneinstellungen wirken, erstelle ich eine eigene OU. Bei dieser OU werde ich dann die Vererbung deaktivieren.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
  4. In der OU Sicherheitgruppen folgende Gruppen erstellen
    1. DirectAccess Computers
    2. DirectAccess Servers
    3. DirectAccess ISATAP
      DA_ADDS-001
  5. Das Computerobject CLIENT1 zur Gruppe DirectAccess Computers hinzufügen
  6. Das Computerobjekt DA1 zur Gruppe DirectAccess Servers und IIS Web Server hinzufügen
  7. In der OU Servers eine weitere OU DirectAccess erstellen
  8. Das Computerobject DA1 in die OU DirectAccess verschieben
    DA_ADDS-002
  9. Fenster schließen

Gruppenrichtlinienobjekte erstellen und verknüpfen

  1. Server Manager > Tools > Group Policy Management
  2. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Folgende Gruppenrichtlinienobjekte erstellen
    1. DirectAccess Computers Custom
    2. DirectAccess Computers Wizard
    3. DirectAccess Servers
    4. DirectAccess ISATAP

    Weiterlesen