Teil 27e: DirectAccess-Konfiguration fertigstellen und testen

Jetzt ist es endlich so weit: Ich werde die DirectAccess-Konfiguration fertigstellen und testen. Zuerst möchte ich, dass die Daten der DirectAccess-Verbindungen ein Jahr lang gespeichert werden. Im Anschluss deaktiviere ich, wie in Teil 27 beschrieben, 6to4. Wenn das erledigt ist, werde ich meinen DirectAccess-Client zuerst direkt ins Internet, dann hinter einen Router hängen. Das sollte die Szenarien des mobilen Datensticks und den Router daheim ganz gut darstellen.

DirectAccess-Konfiguration fertigstellen und testen – Schritte:

  • DirectAccess-Reporting konfigurieren
  • IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren
  • Outlook-Problem mittles Group Policy Preferences lösen
  • DirectAccess in Action
  • DirectAccess-Protokoll am Client abrufen

DirectAccess-Reporting konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Tools > Remote Access Management
  3. Im linken Bereich auf Reporting klicken
  4. Im mittleren Bereich auf Configure Accounting klicken
    DA_CUSTOM_SETTINGS-012
  5. Configure Accounting
    1. Select Accounting Method
      1. Use inbox accounting
    2. Configure Accounting Settings
      1. Accounting method: Inbox Accounting
      2. Store accounting logs for last 12 month > Apply
        DA_CUSTOM_SETTINGS-013
      3. Close
        DA_CUSTOM_SETTINGS-014
  6. Start rechts anklicken > Run > gpupdate /force

IPv6 Transition Technologies mittels Gruppenrichtlinien konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. GPO DirectAccess Computers Custom zum Bearbeiten öffnen
  5. Folgende Einstellungen vornehmen
    1. Computer Configuration\Policies\Administrative Templates\Network\Network Connections
      1. Prohibit installation and configuration of Network Bridge on your DNS domain network
        1. Enabled
          DA_CUSTOM_SETTINGS-001
    2. Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\
      1. Set 6to4 State
        1. Enabled
        2. Select from the following states: Disabled State
          DA_CUSTOM_SETTINGS-002
      2. Set IP-HTTPS State
        1. Enabled
        2. Enter the IPHTTPS Url: https://da.einfaches-netzwerk.at:443/IPHTTPS
        3. Select Interface state from the following options: Default State
          DA_CUSTOM_SETTINGS-003
      3. Set Teredo State
        1. Enabled
        2. Select from the following states: Enterprise Client
  6. Alle Fenster schließen
    DA_CUSTOM_SETTINGS-005

Outlook-Problem mittles Group Policy Preferences lösen

Sollte Outlook über DirectAccess nicht funktionieren, muss auf den Clients folgender Registry-Eintrag gesetzt werden:

  • Outlook 2007
    • HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC
  • Outlook 2010
    • HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
  • Outlook 2013
    • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
REG_DWORD > DefConnectOpts > Wert 1 (bei Bedarf Wert 0 testen)

Am einfachsten lässt sich das mittels Group Policy Preferences lösen.

DirectAccess in Action

  1. Als USER1 an CLIENT1 am Unternehmensnetzwerk anmelden
  2. Start rechts anklicken > Ausführen > gpupdate /force
    Weiterlesen

Teil 27d: DirectAccess Server-Rolle installieren und konfigurieren

Nachdem ich alle Informationen zusammengetragen und die notwendingen Vorbereitungen getroffen habe, kann ich die DirectAccess Server-Rolle installieren und konfigurieren.

DirectAccess Server-Rolle installieren und konfigurieren – Schritte:

  • DirectAccess Server-Rolle installieren
  • DirectAccess konfigurieren

DirectAccess Server-Rolle installieren

  1. Als Administrator an DA1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: DA1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Remote Access > Next
      DA_ROLE-001
    5. Features > Next
    6. Remote Access > Next
    7. Role Services: DirectAccess and VPN (RAS) > Add Features… > Next
      DA_ROLE-002
    8. Confirmation > Install
    9. Results > Close

DirectAccess konfigurieren

Als Best Practice gilt, nicht den Getting Started Wizard zu verwenden, sondern den Remote Access Setup Wizard. Der Getting Started Wizard verwendet nicht die Einstellungen (z.B. bei den Zertifikaten), die ich möchte.

  1. Server Manager > Tools > Remote Access Configuration
  2. Auf der linken Seite auf Configuration\DirectAccess and VPN klicken
  3. Run the Remote Access Setup Wizard
    DA_ROLE-003
  4. Configure Remote Access
    1. Deploy DirectAccess only
      DA_ROLE-004
  5. Unter Step 1 – Remote Clients auf Configure… klicken
    DA_ROLE-005
  6. DirectAccess Client Setup
    1. Deployment Scenario > Deploy full DirectAccess for client access and remote management > Next
      DA_ROLE-006
    2. Select Groups
      1. Add… > DirectAccess Computers > Next
        DA_ROLE-007
      2. Enable DirectAccess for mobile computers only: Fügt zu den Gruppenrichtlinien einen WMI-Filter für mobile Geräte hinzu. Das brauche ich aber nicht, weil ich sonst mit meinen Hyper-V-Clients DirectAccess nicht ausprobieren kann.
      3. Use force tunneling: Zwingt die DirectAccess-Clients den gesamten Traffic über den DirectAccess-Tunnel zu schicken. Es wird ausschließlich IP-HTTPS verwendet, 6t04 und Teredo können deaktiviert werden.
    3. Network Connectivity Assistant
      1. Ressource
        1. HTTP
        2. http://app1.intern.einfaches-netzwerk.at > Validate > Add (das ist nicht der NLS)
          DA_ROLE-008
          Weiterlesen

Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren

Die Schritte für die Konfiguration von Zertifikaten und Web Server habe ich in den Teilen Teile 6ff, Teile 26ff detailliert beschrieben. Die Vorlagen für die Computer- und Web Server-Zertifikate können wie beschrieben verwendet werden, es sind keine Änderungen notwendig. Das Hinzufügen von Host (A)- und Alias (CNAME)-Einträgen am DNS Server habe ich ebenfalls schon öfter beschrieben (siehe z.B. Teil 12b: SSL mit WSUS verwenden). Deshalb habe ich in diesem Teil das Konfigurieren der DirectAccess-Zertifikate und Web Server etwas zusammengefasst.

DirectAccess-Zertifikate und Web Server konfigurieren – Schritte:

  • CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren
  • Am externen DNS Host (A oder AAAA)-Einträge für pki und da hinzufügen
  • Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen
  • Computer-Zertifikat auf den DirectAccess-Clients
  • Webseite für den NLS (Network Location Server) konfigurieren

CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren

Weil DA1 aus dem Internet erreichbar ist – Netzwerk-Adapter Extern1 mit 131.107.0.10 – muss ich die CRL hier verfügbar machen. Diese Schritte können bei einem Drittanbieter-Zertifikat übersprungen werden, weil die vorhandene Infrastruktur des Drittanbieters (z.B. StartSSL) verwendet wird.

  1. Als Administrator an DA1 anmelden
  2. Den Ordner C:\CertEnroll erstellen und freigeben
  3. Die Gruppe Cert Publishers und das Computerobjekt der SubCA1 (APP1) berechtigen (Ändern)
    DA_CERT-0001
  4. Die CA-Zertifikate nach C:\CertEnroll kopieren
    DA_CERT-0002
  5. Im IIS Manager ein virtuelles Verzeichnis CertEnroll anlegen
    DA_CERT-0003
  6. Directory Browsing und Double Escaping aktivieren (siehe Teil 6)
  7. In den Eigenschaften der SubCA1 die CDPs und AIAs hinzufügen
  8. Der CDP für http://pki.einfaches-netzwerk.at/CertEnroll und file:///da1.intern.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0004
  9. Der AIA-Eintrag für http://pki.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0005
  10. Den Dienst certsvc neu starten
  11. Die CRL neu veröffentlichen, diese wird sowohl auf APP1 > C:\CertEnroll als auch auf DA1 > C:\CertEnroll kopiert (für die interne Hochverfügbarkeit der CRL kann man diese zwei Server mittels Network Load Balancing zusammenführen, dazu mehr in einem späteren Teil)DA_CERT-0006
  12. Die interne Erreichbarkeit der CRL testen
    DA_CERT-0007

Am externen DNS Host (A)-Einträge für pki und da hinzufügen

  1. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für pki.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-010
  2. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für da.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-009
  3. Die externe Erreichbarkeit der CRL testen
    DA_CERT-011

Passt soweit! 🙂

Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen

Wie in Teil 27 beschrieben braucht DA1 für die IPsec-Verbindung das Computer-, für die IP-HTTPS-Verbindung das Web Server-Zertifikat.

  1. Eine MMC mit dem Snap-in Certificates für den Computer account starten
  2. Das Computer- und folgendes Web Server-Zertifikat ausstellen
    DA_CERT-004

    1. Subject name
      1. Type: Common name
      2. Value: da.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: da.einfaches-netzwerk.at
        DA_CERT-002
    3. Friendly name: IP-HTTPS Web Server Certificate
      DA_CERT-003
    4. MMC mit den ZertifikatenDA_CERT-006
  3. Alle Fenster schließen
  4. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-007
    DA_CERT-008
  5. Alle Fenster schließen

Computer-Zertifikat auf den DirectAccess-Clients

Weil ich die Computer-Zertifikate mittels Gruppenrichtlinen automatisch ausrolle (siehe Teil 6i), ist auf den Clients alles erledigt. 🙂
DA_CERT-012

Webseite für den NLS (Network Location Server) konfigurieren

Für die Webseite des NLS gilt als Best Practice nicht die IIS Standard Webseite zu verwenden. Aus diesem Grund erstelle ich eine einfache html-Datei.

  1. Als Administrator an APP1 anmelden
  2. Die Datei index.html mit folgendem Inhalt in C:\inetpub\wwwroot erstellen
    <html>
        <body>
            <a href="http://app1.intern.einfaches-netzwerk.at">www.einfaches-netzwerk.at</a>
        </body>
    </html>
  3. Am DNS Server einen neuen Host (A)-Eintrag für nls.intern.einfaches-netzwerk.at anlegen
    DA_SERVER-024
  4. Folgendes Web Server-Zertifikat ausstellen
    1. Subject name
      1. Type: Common name
      2. Value: nls.intern.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: nls.intern.einfaches-netzwerk.at
        DA_CERT-016
    3. Friendly name: NLS Web Server Certificate
      DA_CERT-017
  5. Fenster schließen
  6. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-018
  7. Der Aufruf mittels https://nls.intern.einfaches-netzwerk.at/DA_CERT-019

In diesem Teil ist viel geschehen: Ich habe die CRL für die DirectAccess-Clients aus dem Internet erreichbar gemacht. Außerdem habe ich für IP-HTTPS, IPsec und den NLS alle notwendigen Zertifikate installiert und die Web Server konfiguriert. Schon ist es soweit: Im nächsten Teil werde ich auf DA1 die Server-Rolle für DirectAccess installieren und konfigurieren.