DirectAccess

Beim Start eines Clientcomputers versucht der PC, den sogenannten „Network Location Server “(NLS) zu erreichen, wobei dieser nichts anderes ist als eine nur im Domänennetzwerk erreichbare Website und von jedemWebserverbereitgestellt werden kann. Falls der Computer den NLS nicht erreichen kann, nimmt der Computer an, dass er sich nicht im Domänennetzwerk befindet, und versucht daraufhin eineIPsec-gesicherte Verbindung zum Unternehmensnetzwerk aufzubauen. Ist keine native IPv6 Verbindung möglich, wird versucht, einen Tunnel mithilfe der Protokolle6to4,Teredo tunneling,oderIP-HTTPSaufzubauen. Falls diese Verbindung zustande kommt, wird die „Name Resolution Policy Table “(NRPT) so konfiguriert, dass für den Zugriff auf Unternehmensressourcen die DirectAccess-Verbindung des Unternehmens verwendet wird. Je nach Konfiguration kann auch der gesamte Netzwerkverkehr über das Unternehmensnetzwerk gehen. Wenn keine Verbindung (z. B. bei fehlender Internet-Verbindung) zustande kommt, kann dem Benutzer je nach Einstellung die Anmeldung verweigert oder mithilfe von im Cache gespeicherten Authentifizierungsinformationen dennoch gewährt werden.

Im Vergleich zu anderen "road warrior" -VPN (auch Client2Site) Lösungen bietet diese Variante die benutzerunabhängige Authentifizierung des Gerätes. Bei entsprechender Konfiguration des DirectAccess-Servers ist es ebenfalls möglich den Tunnel bis zum Endpunkt (dem dahinterliegenden Server) durchzuziehen und somit in "Cloud Native" -Szenarien, bei dem die Server nicht im Unternehmen, sondern bei einem Dienstleister im Rechenzentrum stehen, ebenfalls sicher zu verschlüsseln. Außerdem kann aufgrund der von Windows bekannten Authentifizierungsmöglichkeiten eine Verbindung an der Windows Firewall aufgrund von Benutzer- oder Computer-Gruppenzugehörigkeiten erlaubt oder verweigert werden. Zwei weitere wichtige Funktionen sind "Manage-Out", welche die Verwaltung der Clients mittels "PSSession" und "WinRM" erlaubt, sowie die Always-On-Funktion, die automatische benutzerunabhängige Aushandlung eines VPN-Protokolls aufgrund der im aktuellen Netzwerk des Clients vorhandenen Gegebenheiten (IPv6?, IPSec geblockt?, Teredo möglich?, HTTPS-Verbindungen möglich?).

Im Zuge der Einführung von DirectAccess wurde ebenfalls das Protokoll IP-HTTPS entwickelt, welches kurz zusammengefasst eine VPN-Verbindung über eine HTTPS-Verbindung ermöglicht. Für die TLS-Verbindung wird NULL-Encryption verwendet. Was auf den ersten Blick wie ein gefährliches Sicherheitsproblem wirkt, stellt sich bei genauer Betrachtung jedoch als nicht gegeben heraus. Wichtig hierbei ist, dass die Kommunikation mittels HTTPS auf Port 443 lediglich die Aufgaben des Linklayers übernimmt, damit die IPSec verschlüsselte IPv6 Verbindung aufgebaut werden kann.

Es wird mindestens ein einerActive-Directory-Domäne angehörender Windows Server 2008 R2 mit installiertem DirectAccess mit zwei Netzwerkadaptern (ein Adapter in das Internet und einer ins Intranet) benötigt. Ebenfalls werden zwei öffentliche IPv4-Adressen benötigt. Außerdem muss das Netzwerk über einenDNS-Server, einePKI-Umgebung und Active Directory verfügen. Für die Interaktion mit reinen IPv4-Servern im internen Netzwerk wird dieNAT64-Funktion der Microsoft TMG-Firewall (ehem. UAG-Firewall) oder ein NAT64-Gerät benötigt.^[1]

Es wird mindestens ein einer AD-Domäne angehörender Windows Server 2012 mit installiertem DirectAccess benötigt, jedoch werden lediglich noch ein Netzwerkadapter und eine IP-Adresse benötigt. Ebenfalls kann man inzwischen auf eine PKI-Umgebung verzichten, wobei ein DNS-Server sowieActive Directoryweiterhin nötig sind. Eine spezielle Firewall ist ebenfalls nicht mehr nötig, da IPv4-Überbrückungstechnologien bereits inWindows Server 2012integriert sind.^[2]

Clients benötigenWindows 7Ultimate/Enterprise Edition,Windows 8Enterprise Edition oderWindows 10Education/Enterprise Edition.

DirectAccess ist eine proprietäre Lösung von Microsoft, die keine anderen Betriebssysteme unterstützt. Serverseitig gibt es für die Integration vonLinuxin eine DirectAccess-Infrastruktur jedoch Lösungen von Drittanbietern.^[3]

Für die Integration von anderen Betriebssystemen wird die Konfiguration eines VPN-Protokolls schon während der Installation von DirectAccess empfohlen.

Da DirectAccess nur eine Art Abfolge zur Verwendung von standardisierten Tunnel-Protokollen ist, ist eineImplementierungunter anderen Betriebssystemen zumindest theoretisch möglich. Für IP-HTTPs ist das Protokoll auf der Webseite von Microsoft spezifiziert.^[4]

• DirectAccess für Windows Server 2008 R2auf Microsoft TechNet
• [MS-IPHTTPS]: IP over HTTPS (IP-HTTPS) Tunneling Protocol

1. ↑Anforderungen für Direct Access bei Windows Server 2008auf Microsoft TechNet. Abgerufen am 17. Februar 2014.
2. ↑Konfigurieren der Infrastruktur eines RAS-Server mit Direct Accessauf Microsoft TechNet. Abgerufen am 17. Februar 2014.
3. ↑Centrify DirectSecure: DirectAccess Integration.(Mementovom 26. März 2011 imInternet Archive) Abgerufen am 17. Februar 2014.
4. ↑MS-IPHTTPS: IP over HTTPS (IP-HTTPS) Tunneling Protocol.Microsoft,abgerufen am 21. Februar 2019(englisch).