Teil 27g: DirectAccess-Clients mittels ISATAP erreichen

Man kann die DirectAccess-Clients mittels ISATAP erreichen und supporten. Microsoft empfiehlt allerdings auf den Einsatz von ISATAP zu verzichten.

Neben WPAD steht auch ISATAP in der globalen Blockliste vom DNS-Server. Um ISATAP nicht für alle Clients erreichbar zu machen, lege ich einen Host (A)-Eintrag DirectAccess-ISATAP in DNS an. Im GPO DirectAccess ISATAP konfiguriere ich dann den Pfad zum ISATAP-Router. Grundsätzlich kann jeder Windows-Server und auch Linux als ISATAP-Router konfiguriert werden. Ich werde dafür den DirectAccess-Server DA1 verwedenden.

DirectAccess-Clients mittels ISATAP erreichen – Schritte:

  • Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren
  • In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen
  • Gruppenrichtlinien für ISATAP konfigurieren
  • ISATAP-Router konfigurieren
  • Gängige Ports für die Fernwartung

Auf DA1 den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln und notieren

  1. Als Administrator an DA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl den IPv6-Intranetpräfix und den Schnittstellenindex vom Adapter Intern1 und ISATAP ermitteln
    ipconfig
  4. Command Promt
    DA_ISATAP-000
  5. Folgende Informationen sind interessant:
    1. Der relevante ISATAP-Adapter hat die Link-local IPv6 Address fe80::5efe:x.x.x.x
    2. Hinter der Adresse, nach dem %-Zeichen, steht der Schnittstellenindex des ISATAP-Adapters: 13
    3. Der Netzwerkadapter Intern1 hat den Schnittstellenindex 12
    4. Der Netzwerkadapter Intern1 hat die IP-Adresse 192.168.150.10
    5. Der IPv6-Intranetpräfix ist 2002:836b:a:1::/64
  6. Fenster schließen

In DNS einen Host (A)-Eintrag für DirectAccess-ISATAP erstellen

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > DNS
  3. DC1\Forward Lookup Zones erweitern
  4. In der Zone intern.einfaches-netzwerk.at folgenden Host (A)-Eintrag erstellen
    1. Name: DirectAccess-ISATAP
    2. IP address: 192.168.150.10 (IP-Adresse von Netzwerkadapter Intern1 auf DA1)
      DA_ISATAP-010
  5. Fenster schließen

Gruppenrichtlinien für ISATAP konfigurieren

  1. Server Manager > Tools > Group Policy Management
  2. Das GPO DirectAccess Custom zum Bearbeiten öffnen
  3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security erweitern
  4. Inbound Rules rechts anklicken > New Rule…
    DA_ISATAP-001
  5. New Inbound Rule Wizard
    1. Rule Type: Custom > Next
      DA_ISATAP-002
    2. Program: All Programs > Next
    3. Protocol and Ports
      1. Protocol type: ICMPv6 > Next
        DA_ISATAP-003
    4. Scope
      1. Remote IP addresses > Add…
        1. This IP address or subnet: 2002:836b:a:1:0:5efe:0.0.0.0/96
          <IPv6-Intranetpräfix>
          + :5efe:0.0.0.0/96 ist das gesamte ISATAP-Netzwerk des Unternehmens
          DA_ISATAP-012 DA_ISATAP-013
    5. Action: Allow the connection > Next
    6. Profile: Private, Public > Next
      DA_ISATAP-005
    7. Name: DirectAccess: Allow ICPMv6 > Finish
      DA_ISATAP-006
  6. Die neu erstellte Regel zum Bearbeiten öffnen
  7. Auf den Reiter Advanced wechseln
  8. Edge traversal
    1. Allow edge traversal > OK
      DA_ISATAP-008
  9. Fenster schließen
  10. Das GPO DirectAccess ISATAP zum Bearbeiten öffnen
  11. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies erweitern
  12. Folgende Einstellungen vornehmen
    1. Set ISATAP Router Name: Enabled
      1. Enter a router or relay name: DirectAccess-ISATAP.intern.einfaches-netzwerk.at
    2. Set ISATAP State: Enabled
      1. Select from the following states: Enabled State
        DA_ISATAP-014
  13. CLIENT1 in Active Directory zur Gruppe DirectAccess ISATAP hinzufügen und neu starten
    DA_ISATAP-015
  14. Von CLIENT1 versuchen CLIENT2 anzupingen > Die Konfiguration des ISATAP-Routers fehlt noch … 😉
    DA_ISATAP-009

ISATAP-Router konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl ISATAP aktivieren
    netsh interface isatap set state enabled
  4. Mit folgendem Befehl die ISATAP-Routeradresse konfigurieren
    netsh interface isatap set router 192.168.150.10
    1. 192.168.150.10 ist die IP-Adresse von Intern1 auf DA1
  5. Mit folgendem Befehl das ISATAP-Routing konfigurieren
    netsh interface ipv6 add route 2002:836b:a:1::/64 13 publish=yes
    1. 2002:836b:a:1::/64 ist der IPv6-Intranetpräfix
    2. 13 ist der Schnittstellenindex vom ISATAP-Adapter
  6. Mit folgendem Befehl die Intranetschnittstellenweiterleitung und -ankündigung an der ISATAP-Schnittstelle konfigurieren
    netsh interface ipv6 set interface 13 forwarding=enabled advertise=enabled
    1. 13 ist der Schnittstellenindex vom ISATAP-Adapter
  7. Mit folgendem Befehl die Intranetschnittstellenweiterleitung und -ankündigung an der LAN-Schnittstelle konfigurieren
    netsh interface ipv6 set interface 12 forwarding=enabled advertise=enabled
    1. 12 ist der Schnittstellenindex vom LAN-Adapter Intern1
  8. Mit folgendem Befehl den IP-Helper-Dienst neu starten
    net stop iphlpsvc && net start iphlpsvc
  9. Fenster schließen
  10. CLIENT1 neu starten und ipconfig ausführen > der ISATAP-Adapter wurde konfiguriert
    DA_ISATAP-016
  11. CLIENT2 anpingen
    DA_ISATAP-017

Funktioniert! 🙂

Gängige Ports für die Fernwartung

Für die Fernwartung eines Clients aus der ConfigMgr 2012 R2-Console sind folgende Firewall-Freigaben notwendig:

  • Remote Control (control): TCP 2701
  • Remote Assistance (RDP and RTC): TCP 3389

CC BY-NC-SA 4.0 Teil 27g: DirectAccess-Clients mittels ISATAP erreichen von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.