Teil 27e: DirectAccess-Konfiguration fertigstellen und testen

Jetzt ist es endlich so weit: Ich werde die DirectAccess-Konfiguration fertigstellen und testen. Zuerst möchte ich, dass die Daten der DirectAccess-Verbindungen ein Jahr lang gespeichert werden. Im Anschluss deaktiviere ich, wie in Teil 27 beschrieben, 6to4. Wenn das erledigt ist, werde ich meinen DirectAccess-Client zuerst direkt ins Internet, dann hinter einen Router hängen. Das sollte die Szenarien des mobilen Datensticks und den Router daheim ganz gut darstellen.

DirectAccess-Konfiguration fertigstellen und testen – Schritte:

  • DirectAccess-Reporting konfigurieren
  • IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren
  • Outlook-Problem mittles Group Policy Preferences lösen
  • DirectAccess in Action
  • DirectAccess-Protokoll am Client abrufen

DirectAccess-Reporting konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Im linken Bereich auf Reporting klicken
  4. Im mittleren Bereich auf Configure Accounting klicken
    DA_CUSTOM_SETTINGS-012
  5. Configure Accounting
    1. Select Accounting Method
      1. Use inbox accounting
    2. Configure Accounting Settings
      1. Accounting method: Inbox Accounting
      2. Store accounting logs for last 12 month > Apply
        DA_CUSTOM_SETTINGS-013
      3. Close
        DA_CUSTOM_SETTINGS-014
  6. Start rechts anklicken > Run > gpupdate /force

IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  5. Folgende Einstellungen vornehmen
    1. Computer Configuration\Policies\Administrative Templates\Network\Network Connections
      1. Prohibit installation and configuration of Network Bridge on your DNS domain network
        1. Enabled
          DA_CUSTOM_SETTINGS-001
    2. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\
      1. Set 6to4 State
        1. Enabled
        2. Select from the following states: Disabled State
          DA_CUSTOM_SETTINGS-002
      2. Set IP-HTTPS State
        1. Enabled
        2. Enter the IPHTTPS Url: https://da.einfaches-netzwerk.at:443/IPHTTPS
        3. Select Interface state from the following options: Default State
          DA_CUSTOM_SETTINGS-003
      3. Set Teredo State
        1. Enabled
        2. Select from the following states: Enterprise Client
  6. Alle Fenster schließen
    DA_CUSTOM_SETTINGS-005

Outlook-Problem mittles Group Policy Preferences lösen

Sollte Outlook über DirectAccess nicht funktionieren, muss auf den Clients folgender Registry-Eintrag gesetzt werden:

  • Outlook 2007
    • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC
  • Outlook 2010
    • HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
  • Outlook 2013
    • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
REG_DWORD > DefConnectOpts > Wert 1 (bei Bedarf Wert 0 testen)

Am einfachsten lässt sich das mittels Group Policy Preferences lösen.

DirectAccess in Action

  1. Als USER1 an CLIENT1 am Unternehmensnetzwerk anmelden
  2. Start rechts anklicken > Ausführen > gpupdate /force
  3. Das Netzwerksymbol im Infobereich anklicken, der NLS ist erreichbar > die DirectAccess-Verbindung wird nicht aufgebaut
    DA_CUSTOM_SETTINGS-006
  4. Unternehmensnetzwerk trennen und direkt mit dem Internet verbinden (z.B. mit einem mobilen Datenstick)
  5. Wichtig: Folgende Frage mit Nein beantworten, damit das Netzwerkprofil Öffentliches Netzwerk verwendet wird (Profil der Windows Firewall mit den Einstellungen für DirectAccess)
    DA_CUSTOM_SETTINGS-022
  6. Das Netzwerksymbol im Infobereich anklicken, der NLS ist nicht erreichbar > die DirectAccess-Verbindung wird aufgebaut
    DA_CUSTOM_SETTINGS-023
  7. Start rechts anklicken > Ausführen > \\APP1\Sourcen
    DA_CUSTOM_SETTINGS-009
  8. Auf DA1 in der Remote Access Management Console auf Remote Client Status klicken
    DA_CUSTOM_SETTINGS-011
  9. Reporting > Generate Report
    DA_CUSTOM_SETTINGS-015

Funktioniert soweit! 🙂

DirectAccess-Protokoll am Client abrufen

Gibt es mit der Verbindung Probleme, kann am Client ein Protokoll erzeugt werden. Dieses Protokoll kann dann der Helpdesk bei Verfügbarkeit überprüfen. Im Feld konnte ich den DirectAccess-Clients noch nicht wirklich helfen, wenn keine Verbindung hergestellt werden konnte. Microsoft empfiehlt eine Ausfall-VPN-Lösung zu implementieren.

  1. Auf CLIENT01 > Start > Einstellungen > PC-Einstellungen ändern
    DA_CUSTOM_SETTINGS-016
  2. Netzwerk > DirectAccess
    DA_CUSTOM_SETTINGS-018
  3. Protokolle > Speichern
    DA_CUSTOM_SETTINGS-019
  4. Im Anschluss wird Outlook mit dem Protokoll im Anhang geöffnet. Das kann bei mir nicht funktionieren, weil CLIENT01 keine Internetverbindung hat > Abbrechen
  5. Die Datei C:\Users\User1\AppData\Local\Temp\DirectAccess Logs.html öffnen
    DA_CUSTOM_SETTINGS-020
    DA_CUSTOM_SETTINGS-021

Das Protokoll enthält alle Informationen, ist aber nicht einfach zu lesen. Als weitere (derzeit unbrauchbare) Option gibt es den DirectAccess Troubleshooter. Unbrauchbar deshalb, weil der Troubleshooter auf einem deutschsprachigen System mit einem Fehler abbricht. Vielleicht schafft es der Hersteller, eine funktionierende Version zu veröffentlichen. Praktisch wäre das Tool nämlich schon.
DA_CUSTOM_SETTINGS-024

Als nächstes werde ich DirectAccess für Windows 7 konfigurieren. Offen ist auch noch der Zugriff aus dem Unternehmensnetzwerk auf die DirectAccess-Clients. Zum Abschluss installiere ich einen zweiten DirectAccess-Server und Windows NLB (Network Load Balancing).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.