De Direct Access server is een server met twee netwerkkaarten. Eentje gekoppeld aan je LAN, de ander gekoppeld aan het internet. De internetkaart moet minimaal 2 Global IPv4 nummers hebben. Deze twee nummers heeft hij nodig voor Teredo. Installeer op de Direct Access server Windows 2008 R2. Na de installatie maak je hem lid van je Active Directory.
Direct Access feature toevoegen.
Nu de server lid is van het AD kun je de Direct Access feature installeren en RRAS voor NAT funcinaliteit. Dit kun je doen via powershell:
- Add-WindowsFeature –IncludeAllSubFeature -Name NPAS-Routing,DAMC
IPv6 config.
DirectAccess werkt op basis van IPv6 en je zult dus IPv6 moeten gaan configureren. Hiervoor kun je gebruik maken van de range FC00:1234:ABCD::/48
Intern NIC DirectAccess server
- IPv6 Nummer: FC00:1234:ABCD:0001::2/64
- DNS: FC00:1234:ABCD:0001::1
NIC DC
- IPv6 Nummer: FC00:1234:ABCD:0001::1/64
- Gateway: FC00:1234:ABCD:0001::2/64
- DNS: FC00:1234:ABCD:0001::1
Configuratie NAT
De DA server gaat een dubbele rol vervullen. In de eerste plaats is het aan de NAT server om het interne netwerk te scheiden van het externe netwerk. Daarnaast zal hij dienst doen als DirectAccess server.
Optioneel zou je er voor kunnen kiezen om de DA server ook te gebruiken om de CRL lijst te publiceren.
Er komen dus twee netwerkkaarten in. De kaart voor het interne netwerk heeft een intern IP nummer nodig en de kaart voor het externe netwerk heeft twee externe IP nummers nodig.
Enable NAT
- Open het RRAS console. Deze staat onder de administration tools
- Selecteer Routing and Remote Access
- Rechtermuis => Configure and Enable Routing and Remote Access
- Next
- Selecteer Network address translation (NAT)
- Next
- Selecteer je extern netwerkkaart
- Next
- Finish
Configure DirectAccess
De laatste stap is het configureren van DirectAccess. Hiervoor open je de DirectAccess console:
- Start
- Administrative Tools
- DirectAccess Manager
Je hebt nu de DirectAccess Manager console voor je. Hier zie je twee opties Setup en Monitoring, selecteer Setup
Step 1, Remote Clients
- Op de DirectAccess Client Setup druk op Add, DA_Client (deze groep hebben we in een eerder blog aangemaakt.)
- Finish
Step 2, DirectAccess Server
Op de DirectAccess Server Setup controleer je of de juiste internet interface en internal network interface zijn gekozen.
Nu wordt er een voorstel gedaan voor de IPv6 Prefix. Controleer deze
- Next
- Klik op de bovenste browse knop en selecteer het certificaat van je eigen CA
- Klik op de onderste browse knop en selecteer het certificaat die je in de vorig blog hebt aangevraagd. Dit is een IP-HTTPS SSL certificaat.
- Finish
Step 3, Infrastructuur Servers
De Network Location server is een server die de client, op basis van een HTTPS verbinding probeert te benaderen. Lukt dit dan is hij op het interne netwerk zal geen DirectAccess gaan gebruiken. Lukt dit niet dan is hij buiten en zal DirectAccess gaan gebruiken. Kies dus voor een URL die alleen intern te benaderen is.
- Vul in: Https://www.interneserver.local
- Validate
- Los eventuele foute meldingen op. Next
- Default waardes zijn voor nu goed genoeg, next
- Vul als prefix de IPv6 prefix FC00:1234:ABCD::/48, Finish
Step 4, Application Servers
Deze stap heeft alleen zin als je gebruik maakt van IPSec op je interne netwerk. Tot nu toe in deze blog serie heb ik dat niet gedaan, dus sla ik deze stap over. Wil je wel end-to-end IPSec connectie zul je IPSec moeten configureren op je interne LAN.
- Druk nu op Save
- Finish
- Apply
Nadat je op Apply hebt gedrukt worden de benodigde GPO aangemaakt binnen je Active Directory. Nu kun je een Windows 7 Client lid maken van je domain en de DA_Client groep. Nadat hij de GPO heeft ontvangen zal hij een DirectAccess Connectie opzetten naar de DirectAccess server.
Voor zover de setup van Direct Access. In een volgende blog zal ik wat troubleshooting tips gegeven voor DirectAccess.
Martijn Bellaard