Martijn Bellaard

RSS
Overzicht van artikelen >

Deel III. Direct Access server setup

Geplaatst op 8-3-2010 09:15 door Martijn Bellaard

De Direct Access server is een server met twee netwerkkaarten. Eentje gekoppeld aan je LAN, de ander gekoppeld aan het internet. De internetkaart moet minimaal 2 Global IPv4 nummers hebben. Deze twee nummers heeft hij nodig voor Teredo. Installeer op de Direct Access server Windows 2008 R2. Na de installatie maak je hem lid van je Active Directory.

NGN Evenement
"Windows 7; uitdagingen en kansen
 van de nieuwe werkplek." op 15 april
Je kan je hier inschrijven

Martijn Bellaard presenteert daar
ook en behandelt oa Direct Access,
bitlocker en IPv6
Leden slechts €50,-
Niet-leden €99,-
Lid worden kan hier

Direct Access feature toevoegen.

Nu de server lid is van het AD kun je de Direct Access feature installeren en RRAS voor NAT funcinaliteit. Dit kun je doen via powershell:

  • Add-WindowsFeature –IncludeAllSubFeature -Name NPAS-Routing,DAMC

IPv6 config.

DirectAccess werkt op basis van IPv6 en je zult dus IPv6 moeten gaan configureren. Hiervoor kun je gebruik maken van de range FC00:1234:ABCD::/48

Intern NIC DirectAccess server

  • IPv6 Nummer: FC00:1234:ABCD:0001::2/64
  • DNS: FC00:1234:ABCD:0001::1

NIC DC

  • IPv6 Nummer: FC00:1234:ABCD:0001::1/64
  • Gateway: FC00:1234:ABCD:0001::2/64
  • DNS: FC00:1234:ABCD:0001::1

Configuratie NAT

De DA server gaat een dubbele rol vervullen. In de eerste plaats is het aan de NAT server om het interne netwerk te scheiden van het externe netwerk. Daarnaast zal hij dienst doen als DirectAccess server.

Optioneel zou je er voor kunnen kiezen om de DA server ook te gebruiken om de CRL lijst te publiceren.

Er komen dus twee netwerkkaarten in. De kaart voor het interne netwerk heeft een intern IP nummer nodig en de kaart voor het externe netwerk heeft twee externe IP nummers nodig.

Enable NAT

  • Open het RRAS console. Deze staat onder de administration tools
  • Selecteer Routing and Remote Access
  • Rechtermuis => Configure and Enable Routing and Remote Access
  • Next
  • Selecteer Network address translation (NAT)
  • Next
  • Selecteer je extern netwerkkaart
  • Next
  • Finish

Configure DirectAccess

De laatste stap is het configureren van DirectAccess. Hiervoor open je de DirectAccess console:

  • Start
  • Administrative Tools
  • DirectAccess Manager

Je hebt nu de DirectAccess Manager console voor je. Hier zie je twee opties Setup en Monitoring, selecteer Setup

Step 1, Remote Clients

  • Op de DirectAccess Client Setup druk op Add, DA_Client (deze groep hebben we in een eerder blog aangemaakt.)
  • Finish

Step 2, DirectAccess Server

Op de DirectAccess Server Setup controleer je of de juiste internet interface en internal network interface zijn gekozen.

  • Next

Nu wordt er een voorstel gedaan voor de IPv6 Prefix. Controleer deze

  • Next
  • Klik op de bovenste browse knop en selecteer het certificaat van je eigen CA
  • Klik op de onderste browse knop en selecteer het certificaat die je in de vorig blog hebt aangevraagd. Dit is een IP-HTTPS SSL certificaat.
  • Finish

Step 3, Infrastructuur Servers

De Network Location server is een server die de client, op basis van een HTTPS verbinding probeert te benaderen. Lukt dit dan is hij op het interne netwerk zal geen DirectAccess gaan gebruiken. Lukt dit niet dan is hij buiten en zal DirectAccess gaan gebruiken. Kies dus voor een URL die alleen intern te benaderen is.

  • Vul in: Https://www.interneserver.local
  • Validate
  • Los eventuele foute meldingen op. Next
  • Default waardes zijn voor nu goed genoeg, next
  • Vul als prefix de IPv6 prefix FC00:1234:ABCD::/48, Finish

Step 4, Application Servers

Deze stap heeft alleen zin als je gebruik maakt van IPSec op je interne netwerk. Tot nu toe in deze blog serie heb ik dat niet gedaan, dus sla ik deze stap over. Wil je wel end-to-end IPSec connectie zul je IPSec moeten configureren op je interne LAN.

  • Druk nu op Save
  • Finish
  • Apply

Nadat je op Apply hebt gedrukt worden de benodigde GPO aangemaakt binnen je Active Directory. Nu kun je een Windows 7 Client lid maken van je domain en de DA_Client groep. Nadat hij de GPO heeft ontvangen zal hij een DirectAccess Connectie opzetten naar de DirectAccess server.

Voor zover de setup van Direct Access. In een volgende blog zal ik wat troubleshooting tips gegeven voor DirectAccess.

Martijn Bellaard



Share/Save/Bookmark

Reacties

Reageer op dit artikel

Naam:
Uw Email adres:
Titel:
Bericht: