Workshopserie: DirectAccess unter Windows Server 2012 R2 (2)

Das richtige Fundament

Mit DirectAccess bietet Microsoft eine hauseigene VPN-Umgebung an. Im zweiten Teil unserer Workshopserie zeigen wir die Einrichtung und Konfiguration der notwendigen Infrastruktur für DirectAccess. Dabei kommt auch eine PKI samt Zertifikaten ins Spiel.
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern ... (mehr)

Für unser Beispielszenario verwenden wir als DirectAccess-Clients Windows 7- und 8-Rechner. Aus diesem Grund müssen wir die Konfiguration des DirectAccess-Servers mit dem erweiterten Assistenten durchführen, damit wir alle notwendigen Konfigurationseinstellungen vornehmen können. Unsere DirectAccess-Infrastruktur für diesen Workshop setzt sich wie folgt zusammen:

- Windows Server 2012 R2 DirectAccess-Server mit einer Netzwerkschnittstelle und einer privaten IPv4-IP-Adresse hinter Forefront TMG.

- Forefront TMG Server als Edge-Firewall zur Veröffentlichung des DirectAccess-Servers und der Certificate Revocation List (CRL).

- Windows 7 und Windows 8.1 als DirectAccess-Clients.

- Network Location Server (NLS) auf einem dedizierten hochverfügbaren Server.

- Vorhandene Public Key Infrastruktur (PKI) auf Basis von Windows Server 2008 R2.

- Active Directory-Sicherheitsgruppe mit dem Namen "DA-Clients", die alle Computerkonten von DirectAccess-Clients enthält. Diese Sicherheitsgruppe dient der Anwendung der durch DirectAccess erstellten Gruppenrichtlinie und dem Autoenrollment von Computer-Zertifikaten.

- Interne IPv4-Infrastruktur ohne ISATAP-Implementierung.

- Ausschließliche Verwendung von IP-HTTPS als Protokoll für die DirectAccess-Clients.

Public Key-Infrastruktur vorbereiten

Für das Beispiel in dieser Artikelserie ist schon eine interne Public Key-Infrastruktur auf Basis von Windows Server 2012 R2 vorhanden, welche alle notwendigen Zertifikate für den NLS-Server, das IP-HTTPS-Zertifikat auf dem Remote Access Server und die Computerzertifikate für die DirectAccess-Clients bereitstellen kann. Die Verteilung der notwendigen Computerzertifikate für DirectAccess-Clients erfolgt unter Verwendung des automatischen Zertifikatenrollments in einer zu erstellenden Zertifikatvorlagenkopie der Computer-Zertifikatvorlage.

Zum

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021