Teil 28a: Arbeitsordner installieren und konfigurieren

Veröffentlicht am 9. März 2015 von Dietmar Haimann

Nachdem ich Split-DNS (Teil 28) eingerichtet habe, kann ich schon die Arbeitsordner installieren und konfigurieren. Den Anfang macht wieder einmal das SSL-Zertifikat (Teil 6j), gefolgt von der Server-Rolle WorkFolders. Danach können die Clients im Intranet die Arbeitsordner schon verwenden.

Arbeitsordner installieren und konfigurieren – Schritte:

SSL-Zertifikat für Arbeitsordner ausstellen
Zertifikat in IIS binden
Die Server-Rolle WorkFolders installieren
Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen
Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren
Arbeitsordner konfigurieren
Arbeitsordner am Client einrichten

SSL-Zertifikat für Arbeitsordner ausstellen

Als Administrator an APP1 anmelden
Eine MMC als Admin starten
Das Snap-in Certificates für das lokale Computerkonto hinzufügen
Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
Folgendes Web Server Zertifikat anfordern
1. Subject name
  1. Type: Common name
  2. Value: arbeitsordner.einfaches-netzwerk.at
2. Alternative name
  1. Type: DNS
  2. Value: arbeitsordner.einfaches-netzwerk.at
  3. Value: app1.intern.einfaches-netzwerk.at
3. Friendly name: Arbeitsordner SSL Certificate
4. WICHTIG: Private Key > Make private key exportable > OK
Das ausgestellte Zertifikat rechts anklicken > All Tasks > Export…
Das Zertifikat
1. mit Private Key
2. dem Passwort Password1
3. nach \\APP1\Sourcen\ADFS\arbeitsordner.pfx exportieren
Alle Fenster schließen

Zertifikat in IIS binden

Server Manager > Tools > IIS Manager
Default Web Site markieren
Auf der rechten Seite auf Bindings… klicken
Site Bindings > Add…
Add Site Binding
1. Type: https
2. SSL certificate: Arbeitsordner SSL Certificate > OK
Fenster schließen

Die Server-Rolle WorkFolders installieren

Server Manager > Add Roles and Features
Add Roles and Features Wizard
1. Before You Begin > Next
2. Installation Type: Role-based or feature-based installation > Next
3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
4. Server Roles: File and Storage Services\File and SCSI Services\Work Folders > Add Features > Next
5. Features > Next
6. Confirmation > Install
7. Results > Close
WICHTIG: Server auf jeden Fall neu starten!

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

Server Manager > Tools > Active Directory Users and Computers
OU Einfaches-Netzwerk erweitern
In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppen erstellen
1. Sync Share Administrators
  1. Mitglieder: Domain Administrators
2. Sync Share Benutzer Linz
  1. Mitglieder: USER1, USER2

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Mit diesem Recht kann ein Sync Share Administrator (hier in meinem Labor die Domain Admins, welche das Recht aber ohnehin haben) bei jedem Benutzer das Attribut msDS-SyncServerURL konfigurieren. Das ist praktisch, wenn mehrere Sync Server konfiguriert und die Benutzer automatisch zum richtigen Server geleitet werden sollen. In großen Umgebungen ist das nicht empfehlenswert. Das geht auch mittels Gruppenrichtlinien.

Weiterlesen →

Teil 28a: Arbeitsordner installieren und konfigurieren was last modified: März 15th, 2015 by Dietmar Haimann

Teil 27h: DirectAccess Network Load Balancing konfigurieren

Veröffentlicht am 20. Februar 2015 von Dietmar Haimann

Um DirectAccess Network Load Balancing konfigurieren zu können, braucht man noch zwei weitere externe IP-Adressen für Teredo. Die zwei bereits verwendeten IP-Adressen werden als VIPs (Virtual IP) verwendet. DA1 bekommt eine neue IP-Adresse als DIP (Dedicated IP) zugewiesen. DA2 braucht ebenfalls eine externe IP-Adresse als DIP, das sind dann 4 IP-Adressen. DA2 wird genau so wie installiert und konfiguriert wie DA1, bis auf die zweite externe IP-Adresse (Teil 27a) und der DirectAccess-Konfiguration selbst. Neben der DirectAccess-Rolle wird auf beiden Servern noch das Feature Network Load Balancing installiert.

DA2-Konfiguration:

Netzwerkadapter Intern1: 192.168.150.11/24
Netzwerkadapter Extern1: 131.107.0.12/24
IP-HTTPS-Zertifikat für da.einfaches-netzwerk.at inkl. Private Key von DA1 exportieren und auf DA2 importieren

Cluster-IP-Adressen:

DIP-Extern für DA1: 131.107.0.14/24
DIP-Intern für DA1: 192.168.150.12/24

DirectAccess Network Load Balancing konfigurieren – Schritte:

Network Load Balancing auf DA1 aktivieren
DA2 zum DirectAccess-Cluster hinzufügen

Network Load Balancing auf DA1 aktivieren

Als Administrator an DA1 anmelden
Server Manager > Tools > Remote Access Management
Sicherstellen, dass unter Operations Status alle Punkte grün sind
Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
Auf der rechten Seite auf Enable Load Balancing klicken
Enable Load Balancing
1. Before You Begin > Next
2. Load Balancing Method
  1. Use Windows Network Load Balancing (NLB) > Next
3. External DIPs
  1. IPv4 address: 131.107.0.14
  2. Subnet mask: 255.255.255.0 > Next
4. Internal DIPs
  1. IPv4 address: 192.168.150.12
  2. Subnet mask: 255.255.255.0 > Next
5. Summary > Commit
6. Completion > Close

DA2 zum DirectAccess-Cluster hinzufügen

Auf der rechten Seite auf Add or Remove Servers klicken

Weiterlesen →

Teil 27h: DirectAccess Network Load Balancing konfigurieren was last modified: Februar 20th, 2015 by Dietmar Haimann

Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren

Veröffentlicht am 6. Februar 2015 von Dietmar Haimann

Antworten

Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

DirectAccess Server-Rolle installieren
DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

Als Administrator an DA1 anmelden
Server Manager > Manage > Add Roles and Features
Add Roles and Features Wizard
1. Before You Begin > Next
2. Installation Type: Role-based or feature-based installation > Next
3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
4. Server Roles: Remote Access > Next
5. Features > Next
6. Remote Access > Next
7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
8. Confirmation > Install
9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

Server Manager > Tools > Remote Access Configuration
Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
Run the Remote Access Setup Wizard
Configure Remote Access
1. Deploy DirectAccess only
Unter Step 1 – Remote Clients auf Configure… klicken
DirectAccess Client Setup
1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
2. Select Groups
  1. Add… > DirectAccess Computers > Next
  2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
  3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
3. Network Connectivity Assistant
  1. Ressource
    1. HTTP
    2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
      
      Weiterlesen →

Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren was last modified: Februar 20th, 2015 by Dietmar Haimann

Ein einfaches Netzwerk

Dietmar's Blog (Noch so ein IT-Blog)

Schlagwort-Archive: Windows Server 2012 R2

Teil 28a: Arbeitsordner installieren und konfigurieren

Arbeitsordner installieren und konfigurieren – Schritte: