Teil 27f: DirectAccess und Windows 7-Clients konfigurieren

Im Folgenden werde ich DirectAccess und Windows 7-Clients konfigurieren. Dafür müssen der DirectAccess Connectivity Assistant 2.0 (DCA) und einige empfohlene Updates heruntergeladen und installiert werden. Ich werde das gleich beim Aufsetzen mit MDT 2013 erledigen. Der DCA bringt seine eigenen .ADMX- und .ADML-Dateien mit, die in den Central Store kopiert werden (siehe Teil 10) um mittels Gruppenrichtlinie konfiguriert werden zu können.

DirectAccess und Windows 7-Clients konfigurieren – Schritte:

  • Die Tunnelendpunkte auf DA1 ermitteln und notieren
  • Dateien herunterladen und kopieren
  • MDT konfigurieren
  • DCA-Gruppenrichtlinien konfigurieren
  • Windows 7-Client testen

Die Tunnelendpunkte auf DA1 ermitteln und notieren

Für die Gruppenrichtlinieneinstellungen des DCA muss ich die DTEs in der Registry am DA1 ermitteln und für später notieren.

  1. Als Administrator an DA1 anmelden
  2. Start rechts anklicken > Run > regedit
  3. Folgende Werte notieren
    1. HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Config\Parameters
      1. DTE1: 2002:836b:b::836b:b
      2. DTE2: 2002:836b:a::836b:a
        DA_WINDOWS_7-014
  4. Registry Editor schließen

Dateien herunterladen und kopieren

  1. Als Administrator an APP1 anmelden
  2. Alle empfohlenen Updates für Windows 7 von http://support.microsoft.com/kb/2883952/de nach D:\Sourcen\Windows 7 DirectAccess Updates herunterladen
    DA_WINDOWS_7-019
  3. Den Microsoft DirectAccess Connectivity Assistant 2.0 von http://www.microsoft.com/en-us/download/details.aspx?id=29039 nach D:\Sourcen herunterladen und entpacken
    DA_WINDOWS_7-001
  4. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.ADMX nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
  5. Die Datei DirectAccess_Connectivity_Assistant_2_0_GP.adml nach
    \\dc1\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions\en-US kopieren
    DA_WINDOWS_7-002
    DA_WINDOWS_7-003
  6. Die Datei Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi nach D:\Sourcen\Software\Microsoft DirectAccess Connectivity Assistant kopieren
  7. Alle Fenster schließen

MDT konfigurieren

Dieser Abschnitt setzt voraus, dass die Teile 19ff erarbeitet worden sind.

  1. Deployment Workbench öffnen
  2. OSD Build Share\Packages erweitern
  3. Falls noch nicht vorhanden, den Ordner Windows 7 SP1 x64 erstellen
  4. Die DirectAccess-Updates in den Ordner Windows 7 SP1 x64 importieren
    DA_WINDOWS_7-005
    DA_WINDOWS_7-006
  5. Ein neues Windows 7-Image mit den DirectAccess-Updates erstellen
  6. OSD Prod Share\Applications erweitern
  7. Die Application Microsoft DirectAccess Connectivity Assistant 2.0 in den Ordner Microsoft mit folgender Command Line importieren
    msiexec.exe /i Microsoft_DirectAccess_Connectivity_Assistant_2_0_x64.msi /q /norestart
  8. Application Wizard
    DA_WINDOWS_7-023
  9. Die Application doppelklicken und das Häkchen Hide this application in the Deployment Wizard aktivieren
    DA_WINDOWS_7-020
  10. Das neu erstellte Windows 7-Image in den Ordner Operating Systems importieren
    DA_WINDOWS_7-022
  11. Die Task Sequence Windows 7 SP1 Ent x64 – Office 2013 zum Bearbeiten öffnen
  12. Im Bereich Standard Software den Schritt INSTALL – Microsoft DirectAccess Connectivity Assistant hinzufügen
    DA_WINDOWS_7-009
  13. Auf den Reiter Options wechseln
  14. Folgende Bedingung hinzufügen
    1. Task Sequence Variable
      1. Variable: IsLaptop
      2. Condition: equals
      3. Value: TRUE
        DA_WINDOWS_7-011
        DA_WINDOWS_7-010
  15. CLIENT2 mit Windows 7 aufsetzen
    DA_WINDOWS_7-021
    DA_WINDOWS_7-024

DCA-Gruppenrichtlinien konfigurieren

  1. Sicherstellen, dass in der Konfiguration von DirectAccess der Punkt Enable Windows 7 client computers to connect via DirectAccess aktiviert wurde
    DA_ROLE-014
  2. CLIENT2 zur Gruppe DirectAccess Computers hinzufügen
  3. Server Manager > Tools > Group Policy Management
  4. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  5. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  6. Computer Configuration\Policies\Administrative Templates\DirectAccess Connectivity Assistant erweitern
  7. Folgende Einstellungen vornehmen
    1. Support Email: Enabled
      1. Support Email: helpdesk@einfaches-netzwerk.at
        DA_WINDOWS_7-013
    2. DTEs: Enabled
      1. DTE: PING:2002:836b:b::836b:b
      2. DTE: PING:2002:836b:a::836b:a
        DA_WINDOWS_7-039
    3. LocalNamesOn: Disabled
      DA_WINDOWS_7-016
    4. Corporate Resources: Enabled
      1. HTTP:http://app1.intern.einfaches-netzwerk.at/
        DA_WINDOWS_7-017
  8. Computer Configuration\Policies\Administrative Templates\Network\Network Connections erweitern
  9. Prohibit installation and configuration of Network Bridge on your DNS domain network: Enabled
  10. Group Policy Editor schließen
    DA_WINDOWS_7-018

Windows 7-Client testen

  1. Als USER1 an CLIENT2 anmelden
    DA_WINDOWS_7-030
  2. DCA im Infobereich rechts anklicken > Erweiterte Diagnose > Protokollverzeichnis öffnen
    DA_WINDOWS_7-031
  3. Die Datei DcaDefaultLog.html öffnen
    DA_WINDOWS_7-032
  4. CLIENT2 hinter einem Router ins Internet hängen (wie es die meisten Benutzer zuhause machen werden)
  5. Netzwerkadresse festlegen: Öffentliches Netzwerk (auch zuhause!)
    DA_WINDOWS_7-033
  6. Erweitertes Protokoll erneut abrufen
    DA_WINDOWS_7-034
  7. Windows Update über den internen WSUS funktioniert
    DA_WINDOWS_7-035
  8. Mit folgendem Befehl den Anmeldeserver abrufen
    nltest /dsgetdc: /force
  9. Anmeldeserver abrufen funktioniert
    DA_WINDOWS_7-036
  10. Zugriff auf ein Netzlaufwerk funktioniert
    DA_WINDOWS_7-037
  11. Dashboard auf DA1
    DA_WINDOWS_7-038

DirectAccess und Windows 7-Clients konfigurieren ist kein Problem. Natürlich können die Updates und der DCA auch auf bestehende Systeme installiert werden. Den Bereich MDT konfigurieren habe ich für die Vollständigkeit hinzugefügt. Der einzige Nachteil von DirectAccess mit Windows 7 ist die doppelte Ver- und Entschlüsselung bei der Verwendung von IP-HTTPS (IPsec und https). Windows 8 verwendet in diesem Fall NULL Encryption.

 

Funktioniert super! 🙂

CC BY-NC-SA 4.0 Teil 27f: DirectAccess und Windows 7-Clients konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

2 Gedanken zu „Teil 27f: DirectAccess und Windows 7-Clients konfigurieren

  1. Hallo,
    im Prinzip funktioniert alles gut, wenn man es gemäß der Anleitung macht. Aber bei einer Sache habe ich ein großes Problem: Bei uns werden einige Laufwerke über Gruppenrichtlinien gemappt, das Home-Laufwerk des Benutzers hingegen über sein AD-Objekt, Registerkarte Profile. Nun dauert das Login über DirectAccess eine ganze Weile und danach werden im Explorer alle Netzlaufwerke mit einem roten x gekennzeichnet. Klickt man drauf, erscheint dennoch der Inhalt. Das wäre noch hinnehmbar, aber das Home-Laufwerk fehlt komplett. Man könnte es zwar nachträglich mit net use mappen, aber das kann nicht die Lösung sein. Es sieht aus, als würde versucht, die Laufwerke zu mappen, ehe die Namensauflösung über DirectAccess funktioniert. Ist ein ähnliches Verhalten bekannt? Und kennen Sie dafür eine Lösung? Jeder Hinweis wird dankend angenommen 🙂

    Gruß, Leipold

    • Die Anmeldung über DirectAccess dauert ein Bisschen länger, das hat aber keinen unserer Benutzer bisher so gestört, dass das bemängelt geworden wäre. Wir mappen die Laufwerke ebenfalls mit Hilfe von GPP. Die roten x sind auch bei uns, der Zugriff funktioniert immer. Dann sind auch die roten x weg. Zu den Home-Laufwerken:
      – Es dürfen nirgendwo in DA IPv4-Adressen im Spiel sein > ausschließlich mit DNS-Namen auflösen > bitte überprüfen
      – Sind die Fileshares der Home-LW auf eigenen Servern? > Gib alle Datei-Server in die Liste der Management Servers in DA
      – Sind alle DNS-Server in der Liste der Management Servers? > bitte überprüfen
      – Sind alle DCs in der Liste der Management Servers? > bitte überprüfen
      – Sind die Datei-Server im gleichen Subnetz wie die DA-Server? Falls nein, muss zusätzlich eine statische Route am DA-Server eingetragen werden, sonst kommt der DA-Server da nicht hin. Am besten für jedes Subnetz eine statische Route hinzufügen. Wenn ihr 10.1.1.0/24 und 10.1.2.0/24 habt, kann man 10.1.0.0/255.255.0.0 als statische Route hinzufügen, um alles ab zu decken.

      Ich hoffe das hilft. Cheers…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.