DirectAccess

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

DirectAccess ist eine proprietäre, VPN-ähnliche Lösung von Microsoft unter Windows Server 2008 R2 und 2012. Die Technik basiert komplett auf IPv6 und benutzt für den Zugriff auf IPv4-Server Überbrückungstechnologien, wobei unter Windows Server 2008 R2 für die IPv4-Überbrückung der Betrieb einer UAG-Firewall oder eines NAT64-Geräts nötig war. Bei einer Verbindung von extern werden die IPv6-Daten mittels eines IPsec-Tunnels übertragen. Im Gegensatz zu VPN benötigt DirectAccess kein benutzerseitiges Initiieren einer Verbindung, sondern stellt bereits beim Start des Computers automatisch eine Verbindung zum Unternehmensnetzwerk her, falls sich ein Client außerhalb des Unternehmensnetzwerkes befindet. Durch die automatische Verbindung der Clients zum Netzwerk ist ein Verwalten von externen Computern, sogenanntes „Manage-Out“, für Unternehmen möglich.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Beim Start eines Clientcomputers versucht der PC den sogenannten „Network Location Server“ (NLS) zu erreichen, wobei dieser nichts anderes ist, als eine nur im Domänennetzwerk erreichbare Website und von jedem Webserver bereitgestellt werden kann. Falls der Computer den NLS nicht erreichen kann, nimmt der Computer an, dass er sich nicht im Domänennetzwerk befindet und versucht daraufhin eine IPsec-gesicherte Verbindung zum Unternehmensnetzwerk aufzubauen, wobei die IPv6-Daten über IPv4 getunnelt werden. Falls diese Verbindung zustande kommt, wird die „Name Resolution Policy Table“ (NRPT) so konfiguriert, dass für den Zugriff auf Unternehmensressourcen die DirectAccess-Verbindung des Unternehmens verwendet wird. Je nach Konfiguration kann auch der gesamte Netzwerkverkehr über das Unternehmensnetzwerk gehen. Wenn keine Verbindung (z. B. bei fehlender Internet-Verbindung) zustande kommt, kann dem Benutzer je nach Einstellung die Anmeldung verweigert oder mithilfe von im Cache gespeicherten Authentifizierungsinformationen dennoch gewährt werden.

Anforderungen[Bearbeiten | Quelltext bearbeiten]

Windows Server 2008 R2[Bearbeiten | Quelltext bearbeiten]

Es wird mindestens ein einer Active-Directory-Domäne angehörender Windows Server 2008 R2 mit installiertem DirectAccess mit zwei Netzwerkadaptern (ein Adapter in das Internet und einer ins Intranet) benötigt. Ebenfalls werden zwei öffentliche IPv4-Adressen benötigt. Außerdem muss das Netzwerk über einen DNS-Server, eine PKI-Umgebung und Active Directory verfügen. Für die Interaktion mit reinen IPv4-Servern im internen Netzwerk wird die NAT64-Funktion der Microsoft TMG-Firewall (ehem. UAG-Firewall) oder ein NAT64-Gerät benötigt.[1]

Windows Server 2012[Bearbeiten | Quelltext bearbeiten]

Es wird mindestens ein einer AD-Domäne angehörender Windows Server 2012 mit installiertem DirectAccess benötigt, jedoch werden lediglich noch ein Netzwerkadapter und eine IP-Adresse benötigt. Ebenfalls kann man inzwischen auf eine PKI-Umgebung verzichten, wobei ein DNS-Server sowie Active Directory weiterhin nötig sind. Eine spezielle Firewall ist ebenfalls nicht mehr nötig, da IPv4-Überbrückungstechnologien bereits in Windows Server 2012 integriert sind.[2]

Clients[Bearbeiten | Quelltext bearbeiten]

Clients benötigen Windows 7 Ultimate/Enterprise Edition, Windows 8 Enterprise Edition oder Windows 10 Education/Enterprise Edition.

Andere Betriebssysteme[Bearbeiten | Quelltext bearbeiten]

DirectAccess ist eine proprietäre Lösung von Microsoft, die keine anderen Betriebssysteme unterstützt. Serverseitig gibt es für die Integration von Linux in eine DirectAccess-Infrastruktur jedoch Lösungen von Drittanbietern.[3]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Anforderungen für Direct Access bei Windows Server 2008 auf Microsoft TechNet. Abgerufen am 17. Februar 2014.
  2. Konfigurieren der Infrastruktur eines RAS-Server mit Direct Access auf Microsoft TechNet. Abgerufen am 17. Februar 2014.
  3. Centrify DirectSecure: DirectAccess Integration. (Memento des Originals vom 26. März 2011 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.centrify.com Abgerufen am 17. Februar 2014.