Wer DirectAccess von Windows Server 2008 R2 noch her kennt, der weiß wie aufwendig es ist DirectAccess zu implementieren. Gerade unter Windows Server 2008 R2 hat sich eine DirectAccess Implementierung nur für Enterprise Umgebungen gelohnt, da in kleineren oder mittelständischen Unternehmen nicht genügend Ressourcen vorhanden waren oder einfach das KnowHow fehlte. Mit Windows Server 2012 wird DirectAccess nun auch für kleinere und mittelständische Unternehmen interessant. Denn Microsoft hat die Konfiguration ordentlich überarbeitet sowie die Einsatzgebiete erweitert. In nur wenigen Schritten kann man nun DirectAccess einrichten und benutzen. Für die Experten und größere Umgebungen steht weiterhin der Expertenmodus zur Verfügung, um DirectAccess auch weiterhin so zu implementieren wie unter Windows Server 2008 R2.
Ich habe nun den Versuch in meiner Demoumgebung gestartet und DirectAccess innerhalb von 5 Minuten implementiert. Zuerst muss auf dem Server die Rolle “Remotezugriff” installiert werden. Danach ruft man die Remotezugriffsverwaltung auf und klickt auf “Assistent für erste Schritte ausführen”.
Als nächstes wählt man “Nur DirectAccess bereitstellen” aus.
Da mein DirectAccess Server hinter einem NAT-Gerät steht wählte ich “Hinter einem Edgegerät (mit einem einzelnen Netzwerkadapter)” aus und gab unten den dynamischen DNS Namen an. Denn mit DirectAccess unter Windows Server 2012 ist eine fixe IP-Adresse nicht mehr zwingend erforderlich, daher der dynamische DNS Name. Wichtig ist es auf dem NAT-Gerät Port 443 auf den DirectAccess Server weiterzuleiten. Denn DirectAccess hinter einem NAT-Gerät funktioniert nur über IP-HTTPS und nicht über die Technologien 6to4 oder Teredo.
Danach auf “Fertig stellen” klicken und DirectAccess ist schon fertig konfiguriert. Nun kann man über die Verwaltungskonsole noch einige Änderungen vornehmen. Ich empfehle eine separate Gruppe für die Computerkonten im AD anzulegen, die sich über DirectAccess mit dem Unternehmensnetzwerk verbinden können.
Aber wieso funktioniert DirectAccess ohne eigenständige PKI und ohne separaten Network Location Server? Die einfache DirectAccess Konfiguration unter Windows Server 2012 setzt auf selbstsignierte Zertifikate die automatisch per GPO verteilt werden. Allerdings funktioniert diese Konfiguration nur mit Windows 8 Clients. Bei Windows 7 Clients wird wiederum eine eigenständige PKI im Unternehmensnetzwerk vorausgesetzt.
Durch Windows Server 2012 und die Möglichkeit schnell und einfach DirectAccess einzurichten, dürfte die klassische VPN-Verbindung in den Unternehmen obsolet werden. Jedenfalls ist es für einen IT-Pro, wie mich, jetzt durch DirectAccess möglich von überall gesichert auf seine Demoumgebung zuzugreifen.