Suchen

Definition Was ist DirectAccess?

DirectAccess ist eine proprietäre Lösung von Microsoft und stellt eine Alternative zu konventionellen VPNs (Virtual Private Network) in Windows-Umgebungen dar. Mit Hilfe von DirectAccess lassen sich Rechner sicher über das öffentliche Internet mit zentralen Anwendungen verbinden.

(© aga7ta - Fotolia)

Mit DirectAccess bietet Microsoft eine eigene, komplett in Windows-Umgebungen integrierte Lösung für sichere und geschützte Verbindungen über das öffentliche Internet. Die Lösung ist proprietär und nur für bestimmte Windows-Client- und Windows-Server-Betriebssysteme verfügbar.

DirectAccess stellt eine Alternative zu herkömmlichen VPN-Verbindungen dar. Die komplette Kommunikation findet verschlüsselt in IPsec-Tunneln statt. Für den Datenaustausch verwendet das Verfahren das IPv6-Protokoll. Da IPv6 in Unternehmensnetzen und im öffentlichen Internet nur beschränkt zur Verfügung steht, ist es möglich, die IPv6-Verbindungen über herkömmliches IPv4 zu tunneln.

Clients bauen die Verbindung zum zentralen Netzwerk mit DirectAccess automatisch beim Start auf. Es muss keine separate Software auf den Endgeräten installiert werden und das Initiieren einer Verbindung durch den Anwender entfällt. Hierfür sind die Clients in der Lage, selbständig zu erkennen, ob sie sich innerhalb oder außerhalb des Zielnetzwerkes befinden. Je nach Ergebnis bauen sie direkte Verbindungen oder mit IPsec verschlüsselte Tunnel über das öffentliche Internet auf.

Das automatische Verbinden der Clients bietet Vorteile bei der Verwaltung der Rechner, da die Endgeräte prinzipiell immer erreichbar sind. Ist DirectAccess eingerichtet, erfordert es keinerlei Aktion durch den Anwender. Die Anbindung verhält sich aus Usersicht völlig transparent und zeigt außer eventueller Einschränkungen der Internetbandbreite keine Unterschiede zu lokalen Netzwerkverbindungen. Für Administratoren ist der mobile Client für Updates oder für den Support immer erreichbar. Als einzige Voraussetzungen benötigt der Client eine funktionierende Internetverbindung und eine geeignete Windows-Version.

Funktionsweise von DirectAccess

Wird ein Clientrechner mit DirectAccess-Funktion gestartet, versucht er im ersten Schritt einen bestimmten, im privaten Netz erreichbaren Server zu kontaktieren. Ist der Server erreichbar, weiß der Client, dass er sich bereits im Unternehmensnetzwerk befindet und muss keine weiteren Aktionen durchführen.

Kann der Server nicht erreicht werden, beginnt der Client den Verbindungsaufbau zum Unternehmensnetzwerk über einen gesicherte IPsec-Tunnel. Steht kein IPv6-Netzwerk für den Aufbau des Tunnels zur Verfügung, verpackt der Client IPv6 in IPv4. Ist die IPsec-Verbindung etabliert, kann sich der Anwender mit seinen Benutzerdaten an der Windows-Domäne wie in einem lokalen Netz anmelden.

Voraussetzungen für die Nutzung

Für die Nutzung von DirectAccess sind sowohl auf Client-Seite als auch auf Server-Seite einige Voraussetzungen zu erfüllen. Der Client benötigt eines der folgenden Betriebssysteme:

  • Windows 7 Ultimate oder Enterprise Edition
  • Windows 8 oder 8.1 Enterprise Edition
  • Windows 10 Enterprise oder Education Edition

Der Server sollte mit den Serverbetriebssystemen Windows Server 2012 R2 oder Windows Server 2016 arbeiten. Neben Windows Server 2012 R2 und Windows Server 2016 ist unter gewissen Umständen auch mit Windows Server 2008 R2 die Nutzung von DirectAccess möglich. Sind diese Voraussetzungen erfüllt, lässt sich die Umgebung so konfigurieren, dass Clients, die Mitglieder im Active Directory sind, ihre benötigten Einstellungen über die Gruppenrichtlinien erhalten.

Die Verwendung von IPv6

Microsoft setzt bei DirectAccess konsequent auf die Verwendung des IPv6-Protokolls. Dank der nativen IPv6-Verbindung entfallen die aus dem IPv4-Umfeld bekannten und teilweise hinderlichen Techniken wie NAT oder VPN-Tunnel. Leider ist die Zahl der Provider, die schon heute direkte IPv6-Zugänge zum Internet anbieten, noch recht gering. Um DirectAccess dennoch verwenden zu können, ist die Technik in der Lage, IPv6 über IPv4-Netzwerke zu tunneln. Microsoft hat hierfür das Teredo-Protokoll (RFC4380) implementiert, an dem man selbst maßgeblich mitgearbeitet hat. Teredo kann IPv6-Daten über UDP in IPv4 kapseln. Selbst IPv6-Verbindungen hinter einem Router ohne IPv6-Unterstützung, der Network Addess Translation (NAT) nutzt, sind dank Teredo möglich. Teredo funktioniert zudem über öffentliche WLANs oder Mobilfunknetze. Kommt die Verbindung ohne IPv4-Tunnel zustande, ist es erforderlich, die über öffentliche IPv6-Adressen erreichbaren Endgeräte entsprechend abzusichern.

Die die Nutzung von zwei IPsec-Tunneln

Eine Besonderheit von DirectAccess ist, dass für die Kommunikation mindestens zwei Tunnel eingerichtet werden. Beim ersten Tunnel handelt es sich um einen IPsec-ESP-Tunnel (Encapsulating Security Payload) für den Zugriff auf einen DNS-Server und den Domänencontroller. Der Tunnel nutzt ein Computerzertifikat und ermöglicht das Herunterladen von Gruppenrichtlinien auf den Rechner. Mit Hilfe dieser Richtlinien kann die Authentifizierung des Benutzers angefordert werden.

Der zweite Tunnel ist ebenfalls ein IPsec-ESP-Tunnel, verwendet aber Zertifikat und Anmeldeinformationen des Benutzers. Dieser Tunnel ist für die eigentliche Authentifizierung und den Zugriff auf die benötigten Ressourcen oder Server wie Microsoft Exchange Server vorgesehen. Grundsätzlich bestehen zwei Möglichkeiten, wie sich ein Client mit einem Server verbinden kann. Es sind End-to-End- oder End-to-Edge-Verbindungen möglich.

Bei der End-to-End-Verbindung besteht ein durchgängiger IPsec-Schutz zwischen Client und Anwendungsserver. Dies stellt den größtmöglichen Schutz sicher. Die End-to-Edge-Verbindung terminiert den IPsec-Schutz auf dem DirectAccess-Server. Von dort aus leitet der DirectAccess-Server den Datenverkehr ohne besonderen Schutz an die Anwendungsserver weiter. Da es sich auf dem zweiten Verbindungsabschnitt in der Regel um das geschützte Intranet handelt, ist eine gesonderte Verschlüsselung nicht zwingend erforderlich.

Vorteile von DirectAccess gegenüber konventionellen VPNs

Gegenüber konventionellen VPNs bietet DirectAccess von Microsoft einige Vorteile. Anstatt der Einwahl über einen VPN-Client verbindet sich der betreffende Rechner direkt beim Starten automatisch mit den Firmenrechnern. Dadurch ist der mobile Client zentralseitig immer erreichbar und kann beispielsweise mit Updates oder neuen Gruppenrichtlinien versorgt werden. Auch die aus der VPN-Welt bekannten Probleme mit Rechnern hinter NAT-Routern werden mit DirectAccess vermieden. Auf dem Client selbst muss keine spezielle Software wie ein VPN-Client installiert sein, da alle benötigten Komponenten direkt im Windows Betriebssystem integriert sind.

Die Clients verbinden sich über das Internet mit einer Windows-Domäne und profitieren von allen Vorteilen des Active Directory. Die komplette Verbindung ist verschlüsselt und funktioniert auch über Firewalls hinweg. Ist die DirectAccess-Umgebung einmal eingerichtet, sind weder vom Administrator noch vom Anwender Aktionen für die Verbindung mit der Windows-Domäne und den Anwendungsservern notwendig.

Administratoren können die Clients komfortabel aus der Ferne verwalten, ohne dass der Anwender eingreifen muss. Ein weiterer Vorteil ist, dass der Client selbständig erkennt, ob er sich im Firmennetz oder im Internet befindet. Handelt es sich um Laptops, die sowohl unterwegs als auch direkt in der Firma verwendet werden, sind sie ohne weitere Konfigurationen oder Useraktionen in beiden Umgebungen voll nutzbar.

(ID:44790473)

Über den Autor