Kategorien

DirectAccess

DirectAccess ist eine proprietäre VPN-ähnliche Lösung von Microsoft unter Windows Server 2008 R2 und 2012. Die Technik basiert komplett auf IPv6 und benutzt für den Zugriff auf IPv4-Server Überbrückungstechnologien, wobei unter Windows Server 2008 R2 für die IPv4-Überbrückung der Betrieb einer TMG-Firewall oder eines NAT64-Geräts nötig war. Bei einer Verbindung von extern werden die IPv6-Daten mittels eines IPsec-Tunnels übertragen. Im Gegensatz zu VPN benötigt DirectAccess kein benutzerseitiges initiieren einer Verbindung, sondern stellt bereits beim Start des Computers automatisch eine Verbindung zum Unternehmensnetzwerk her, falls sich ein Client außerhalb des Unternehmensnetzwerk befindet. Durch die automatische Verbindung der Clients zum Netzwerk ist ein Verwalten von externen Computern, sogenanntes „Manage-Out“, für Unternehmen möglich.

Inhaltsverzeichnis 

  • 1 Funktionsweise
  • 2 Anforderungen
    • 2.1 Windows Server 2008 R2
    • 2.2 Windows Server 2012
    • 2.3 Clients
  • 3 Andere Betriebssysteme
  • 4 Weblinks
  • 5 Einzelnachweise

Funktionsweise

Beim Start eines Clientcomputers versucht der PC den sogenannten „Network Location Server“ (NLS) zu erreichen, wobei dieser nichts anderes ist als eine nur im privaten Netzwerk erreichbare Website und von jedem Webserver bereitgestellt werden kann. Falls der Computer den NLS nicht erreichen kann, nimmt dieser an, dass er sich nicht im privaten Netzwerk befindet und versucht daraufhin eine IPsec gesicherte Verbindung zum Unternehmensnetzwerk aufzubauen, wobei die IPv6-Daten über IPv4 getunnelt werden. Falls diese Verbindung zustande kommt, wird das „Name Resolution Policy Table“ (NRPT) so konfiguriert, dass für den Zugriff auf Unternehmensressourcen die DirectAccess-Verbindung des Unternehmens verwendet wird. Je nach Konfiguration kann auch der gesamte Netzwerkverkehr über das Unternehmensnetzwerk gehen. Wenn keine Verbindung (z. B. wenn keine Internetverbindung zur Verfügung steht) zustande kommt, kann dem Benutzer je nach Einstellung das Login verweigert werden oder mithilfe von im Cache gespeicherten Authentifizierungsinformationen dennoch gewährt werden.

Anforderungen

Windows Server 2008 R2

Es wird mindestens ein einer Active Directory-Domäne angehörender Windows Server 2008 R2 mit installiertem DirectAccess benötigt mit zwei Netzwerkadaptern (ein Adapter fürs Internet und einer ins Intranet). Ebenfalls werden zwei öffentliche IPv4-Adressen benötigt. Außerdem muss das Netzwerk über einen DNS-Server, eine PKI-Umgebung und ein Active Directory verfügen. Für die Interaktion mit reinen IPv4-Servern im internen Netzwerk wird die NAT64-Funktion der Microsoft TMG-Firewall (früher UAG-Firewall) oder ein NAT64-Gerät benötigt.

Windows Server 2012

Es wird mindestens ein einer AD-Domäne angehörender Windows Server 2012 mit installiertem DirectAccess benötigt, jedoch werden nur noch ein Netzwerkadapter und eine IP-Adresse benötigt. Ebenfalls kann man inzwischen auf eine PKI-Umgebung verzichten, wobei ein DNS-Server sowie ein Active Directory weiterhin nötig sind. Eine spezielle Firewall ist ebenfalls nicht mehr nötig, da IPv4-Überbrückungstechnologien bereits in Windows Server 2012 integriert sind.

Clients

Clients benötigen Windows 7 Ultimate/Enterprise Edition oder Windows 8 Enterprise Edition.

Andere Betriebssysteme

DirectAccess ist eine proprietäre Lösung von Microsoft, die keine anderen Betriebssysteme unterstützt. Serverseitig gibt es für die Integration von Linux in eine DirectAccess-Infrastruktur jedoch Lösungen von Drittanbietern.

Weblinks

 Quelle: http://de.wikipedia.org/wiki/DirectAccess

 

Kontrolle der DirectAccess – Verbindung im Unternehmen.

Link: https://danls.******.com/

Falls der Rückgabewert den IIS (Bild 1.0) zeigt ist DirectAccess in Ordnung.

2015-03-27 07_23_56-IIS7 - Internet Explorer

 

In der CommandLine den Befehl „netsh dnsclient Show state“ eingeben, durch die Rückinfo ist das Verhalten ersichtlich.

 

CMD-DirectAccess