Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

• DirectAccess Server-Rolle installieren
• DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

1. Als Administrator an DA1 anmelden
2. Server Manager > Manage > Add Roles and Features
3. Add Roles and Features Wizard
   1. Before You Begin > Next
   2. Installation Type: Role-based or feature-based installation > Next
   3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
   4. Server Roles: Remote Access > Next
      
   5. Features > Next
   6. Remote Access > Next
   7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
      
   8. Confirmation > Install
   9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

1. Server Manager > Tools > Remote Access Configuration
2. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
3. Run the Remote Access Setup Wizard
   
4. Configure Remote Access
   1. Deploy DirectAccess only
      
5. Unter Step 1 – Remote Clients auf Configure… klicken
   
6. DirectAccess Client Setup
   1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
      
   2. Select Groups
      1. Add… > DirectAccess Computers > Next
         
      2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
      3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
   3. Network Connectivity Assistant
      1. Ressource
         1. HTTP
         2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
            
            
      2. Helpdesk email address: helpdesk@einfaches-netzwerk.at (wenn diese Adresse fehlt, können keine erweiterten Logs erstellt werden)
      3. DirectAccess connection name: Einfaches-Netzwerk DirectAccess > Finish
         
      4. Allow DirectAccess clients to use local name resolution: Erlaubt den DirectAccess-Clients die Unternehmensverbindung zu trennen und für die Namensauflösung ihre eigene DNS-Konfiguration zu verwenden. Ich lasse diese Option deaktiviert, weil meine Clients immer mit dem Unternehmen verbunden sein sollen. Man kann die Option später noch aktivieren.
7. Unter Step 2 – Remote Access Server auf Configure… klicken
   
8. Remote Access Server Setup
   1. Network Topology
      1. Network topology of the Server: Edge
         
      2. Public name used by clients to connect to the Romte Access server: da.einfaches-netzwerk.at > Next
   2. Network Adapters: Der Wizard hat alle Einstellungen automatisch richtig ermittelt! > Next
      
   3. Authentication
      1. User authentication: Active Directory Credentials
      2. Use computer certificates aktivieren > Browse…
         
      3. Das Zertifikat der CA auswählen, deren ausgestellten Computerzertifikaten vertraut werden soll, nicht das Computerzertifikat des Servers: Einfaches-Netzwerk Root CA > OK
      4. Enable Windows 7 client computers aktivieren > Finish
         
      5. NAP (Network Access Protection) habe ich nicht im Einsatz
9. Unter Step 3 – Infrastructure Servers auf Configure… klicken
   
10. Infrastructure Server Setup
    1. Network Location Server: https://nls.intern.einfaches-netzwerk.at > Validate > Next
       
    2. DNS: Die notwendigen Einträge im NRPT (Name Resolution Policy Table) wurden automatisch angelegt > Next
       
       1. intern.einfaches-netzwerk.at muss über den internen DNS-Server aufgelöst werden
       2. nls.intern.einfaches-netzwerk.at darf vom DirectAccess-Client nicht auflösbar sein. Der Eintrag ohne DNS Server Address bedeutet, dass für nls die DNS-Einstellungen des Clients verwendet werden sollen. Von außerhalb ist nls.intern.einfaches-netzwerk.at aber nicht zu erreichen. Sonst würde der DirectAccess-Client den Tunnel nicht aufbauen. Wäre der Eintrag hier nicht vorhanden, könnte der DirectAccess-Client bei bestehender Verbindung nls.intern.einfaches-netzwerk.at erreichen und würde den Tunnel wieder abbauen. Diese Seite ist bei Verwendung von Split-Brain DNS wichtig: Dann muss entschieden werden, ob der DirectAccess-Client das Ziel intern oder extern auflösen soll.
    3. DNS Suffix Search List > Next
       
    4. Management
       1. wsus.intern.einfaches-netzwerk.at
       2. pki.intern.einfaches-netzwerk.at > Finish
          
       3. Zu diesen Servern baut der DirectAccess-Client den Infrastruktur-Tunnel auf. Der Domain Controller und ConfigMgr-Server, wenn vorhanden, werden automatisch erkannt und zu dieser Liste hinzugefügt.
11. Ich habe keinen Application Server, welcher eine End-to-end-Authentication mit den DirectAccess-Clients benötigt, Step 4 entfällt
12. Im mittleren Bereich auf Finish… klicken
    
13. Remote Access Review
    1. GPO Settings > Change…
       
    2. GPO Names
       1. DirectAccess client GPO > Browse… > DirectAccess Computers Wizard
       2. DirectAccess server GPO > Browse… > DirectAccess Servers Wizard > OK
          
    3. Mit Apply die Einstellungen übernehmen
       
    4. Close
       
       1. Warnung: Es wurden zwei aufeinanderfolgende IP-Adressen gefunden und Teredo ist aktiv. Man soll darauf achten, dass der DirectAccess-Server von außen gepingt werden kann. Alles OK!
14. In der Remote Access Management-Konsole das Dashboard öffnen
    

Es ist alles grün! So muss es sein! 🙂