DirectAccess

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

DirectAccess ist eine proprietäre, VPN-ähnliche Lösung von Microsoft unter Windows Server 2008 R2 und 2012. Die Technik basiert komplett auf IPv6 und benutzt für den Zugriff auf IPv4-Server Überbrückungstechnologien, wobei unter Windows Server 2008 R2 für die IPv4-Überbrückung der Betrieb einer UAG-Firewall oder eines NAT64-Geräts nötig war. Bei einer Verbindung von extern werden die IPv6-Daten mittels eines IPsec-Tunnels übertragen. Im Gegensatz zu VPN benötigt DirectAccess kein benutzerseitiges Initiieren einer Verbindung, sondern stellt bereits beim Start des Computers automatisch eine Verbindung zum Unternehmensnetzwerk her, falls sich ein Client außerhalb des Unternehmensnetzwerk befindet. Durch die automatische Verbindung der Clients zum Netzwerk ist ein Verwalten von externen Computern, sogenanntes „Manage-Out“, für Unternehmen möglich.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Beim Start eines Clientcomputers versucht der PC den sogenannten „Network Location Server“ (NLS) zu erreichen, wobei dieser nichts anderes ist als eine nur im privaten Netzwerk erreichbare Website und von jedem Webserver bereitgestellt werden kann. Falls der Computer den NLS nicht erreichen kann, nimmt dieser an, dass er sich nicht im privaten Netzwerk befindet und versucht daraufhin eine IPsec gesicherte Verbindung zum Unternehmensnetzwerk aufzubauen, wobei die IPv6-Daten über IPv4 getunnelt werden. Falls diese Verbindung zustande kommt, wird das „Name Resolution Policy Table“ (NRPT) so konfiguriert, dass für den Zugriff auf Unternehmensressourcen die DirectAccess-Verbindung des Unternehmens verwendet wird. Je nach Konfiguration kann auch der gesamte Netzwerkverkehr über das Unternehmensnetzwerk gehen. Wenn keine Verbindung (z. B. wenn keine Internetverbindung zur Verfügung steht) zustande kommt, kann dem Benutzer je nach Einstellung das Login verweigert werden oder mithilfe von im Cache gespeicherten Authentifizierungsinformationen dennoch gewährt werden.

Anforderungen[Bearbeiten | Quelltext bearbeiten]

Windows Server 2008 R2[Bearbeiten | Quelltext bearbeiten]

Es wird mindestens ein einer Active-Directory-Domäne angehörender Windows Server 2008 R2 mit installiertem DirectAccess benötigt mit zwei Netzwerkadaptern (ein Adapter fürs Internet und einer ins Intranet). Ebenfalls werden zwei öffentliche IPv4-Adressen benötigt. Außerdem muss das Netzwerk über einen DNS-Server, eine PKI-Umgebung und ein Active Directory verfügen. Für die Interaktion mit reinen IPv4-Servern im internen Netzwerk wird die NAT64-Funktion der Microsoft TMG-Firewall (früher UAG-Firewall) oder ein NAT64-Gerät benötigt.[1]

Windows Server 2012[Bearbeiten | Quelltext bearbeiten]

Es wird mindestens ein einer AD-Domäne angehörender Windows Server 2012 mit installiertem DirectAccess benötigt, jedoch werden nur noch ein Netzwerkadapter und eine IP-Adresse benötigt. Ebenfalls kann man inzwischen auf eine PKI-Umgebung verzichten, wobei ein DNS-Server sowie ein Active Directory weiterhin nötig sind. Eine spezielle Firewall ist ebenfalls nicht mehr nötig, da IPv4-Überbrückungstechnologien bereits in Windows Server 2012 integriert sind.[2]

Clients[Bearbeiten | Quelltext bearbeiten]

Clients benötigen Windows 7 Ultimate/Enterprise Edition, Windows 8 Enterprise Edition oder Windows 10 Education/Enterprise Edition.

Andere Betriebssysteme[Bearbeiten | Quelltext bearbeiten]

DirectAccess ist eine proprietäre Lösung von Microsoft, die keine anderen Betriebssysteme unterstützt. Serverseitig gibt es für die Integration von Linux in eine DirectAccess-Infrastruktur jedoch Lösungen von Drittanbietern.[3]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Anforderungen für Direct Access bei Windows Server 2008 auf Microsoft TechNet. Abgerufen am 17. Februar 2014.
  2. Konfigurieren der Infrastruktur eines RAS-Server mit Direct Access auf Microsoft TechNet. Abgerufen am 17. Februar 2014.
  3. Centrify DirectSecure: DirectAccess Integration. (Memento des Originals vom 26. März 2011 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.centrify.com Abgerufen am 17. Februar 2014.