Windows Server 2016 und Windows 10 über die Cloud verbinden

DirectAccess und IPv6

| Autor: Thomas Joos

Netzwerke mit Windows (Quelle: Pixabay)
Netzwerke mit Windows (Quelle: Pixabay) (Netzwerke mit Windows (Quelle: Pixabay))

Mit DirectAccess können Sie PCs ab Windows 7 über das Internet direkt mit dem Unternehmensnetzwerk verbinden, ohne dass Sie Zusatzsoftware einsetzen müssen. Für den Verbindungsaufbau ist kein VPN notwendig, Windows verbindet sich automatisch. Nach der ersten Einrichtung erkennt ein DirectAccess-PC automatisch die Verbindung, verschlüsselt sie und kann sich mit dem Netzwerk verbinden. Auch Gruppenrichtlinien lassen sich über diesen Weg ausliefern.

Remotezugriff und DirectAccess lassen gemeinsam verwalten, und es gibt keine Konflikte beim parallelen Einsatz der Systeme. Clientcomputer lassen sich effizient über das Internet sicher am Netzwerk anbinden, ohne dass Anwender erst VPN-Verbindungen aufbauen müssen. Der Datenzugriff funktioniert, Gruppenrichtlinien lassen sich anwenden und Software-Updates verteilen. Die Kommunikation erfolgt über IPv6. Ist dies mit der aktuellen Datenverbindung nicht möglich, kapselt das Betriebssystem die IPv6-Pakete in IPv4-Pakete und versendet sie an die Zielserver.

In Windows Server 2016 und Windows 8/8.1/10 hat Microsoft in diesem Zusammenhang auch einige Neuerungen eingeführt, welche Windows 8/8.1/10-Clients die DirectAccess-Anbindung erleichtern:

Sie können nur Windows 8/8.1/10 Enterprise und Windows 7 Ultimate/Enterprise mit DirectAccess nutzen. Optimal arbeitet nur Windows 10 Enterprise mit DirectAccess von Windows Server 2016 zusammen.

Die Verbindung zwischen Client und Server erfolgt mit IP über HTTPS.

Eine Zertifizierungsstelle und deren Einrichtung ist optional, nicht zwingend notwendig. DirectAccess-Server arbeiten mit Kerberos und Active Directory zusammen.

Windows Server 2016 erfordert keine IPv6-Anpassungen, sondern richtet notwendige Einstellungen automatisch ein. DirectAccess ist eine IPv6-abhängige Anwendung. Daher dürfen die IPv6- und IPv6-Übergangstechnologien auf dem RAS-Server nicht deaktiviert sein, und die IPv6-Übergangstechnologien dürfen durch Gruppenrichtlinien nicht deaktiviert werden. Die Active Directory-Domäne muss erreichbar sein.

Damit im Netzwerk DirectAccess funktioniert, muss auf den beteiligten Firewalls einiges angepasst werden. Zunächst muss 6to4-Datenverkehr (IP-Protokoll 41) eingehend und ausgehend erlaubt sein. Auch HTTPS-Datenverkehr darf über den Port 443 zum DirectAccess-Server kommunizieren.

Der TCP-Port 62000 muss zum DirectAccess-Server durchgelassen werden. Beim Einsatz von IPV6 muss außerdem das IP Protokoll 50 sowie der UDP-Port 500 ein- und ausgehend geöffnet sein. Die Daten müssen in das Internet gesendet werden können. Zusätzlich sollte im internen Netzwerke ISATAP (IP-Protokoll 41) und der komplette IPv4/IPv6-Datenverkehr durchgelassen werden.

Geben Sie in der PowerShell Get-NetIPAddress ein, um die IPv6-Konfiguration zu prüfen. Kontrollieren Sie, ob der Tunneladapter iphttpsinterface aktiv ist und über eine gültige IP-HTTPS-Adresse verfügt. Ihr Client verwendet IP-HTTPS für das Tunneling von IPv6-Datenverkehr zum DirectAccess-Server über das Internet.