Definition

Was ist DirectAccess?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

DirectAccess ist eine proprietäre Lösung von Microsoft und stellt eine Alternative zu konventionellen VPNs (Virtual Private Network) in Windows-Umgebungen dar. Mit Hilfe von DirectAccess lassen sich Rechner sicher über das öffentliche Internet mit zentralen Anwendungen verbinden.

Mit DirectAccess bietet Microsoft eine eigene, komplett in Windows-Umgebungen integrierte Lösung für sichere und geschützte Verbindungen über das öffentliche Internet. Die Lösung ist proprietär und nur für bestimmte Windows-Client- und Windows-Server-Betriebssysteme verfügbar.

DirectAccess stellt eine Alternative zu herkömmlichen VPN-Verbindungen dar. Die komplette Kommunikation findet verschlüsselt in IPsec-Tunneln statt. Für den Datenaustausch verwendet das Verfahren das IPv6-Protokoll. Da IPv6 in Unternehmensnetzen und im öffentlichen Internet nur beschränkt zur Verfügung steht, ist es möglich, die IPv6-Verbindungen über herkömmliches IPv4 zu tunneln.

Clients bauen die Verbindung zum zentralen Netzwerk mit DirectAccess automatisch beim Start auf. Es muss keine separate Software auf den Endgeräten installiert werden und das Initiieren einer Verbindung durch den Anwender entfällt. Hierfür sind die Clients in der Lage, selbständig zu erkennen, ob sie sich innerhalb oder außerhalb des Zielnetzwerkes befinden. Je nach Ergebnis bauen sie direkte Verbindungen oder mit IPsec verschlüsselte Tunnel über das öffentliche Internet auf.

Das automatische Verbinden der Clients bietet Vorteile bei der Verwaltung der Rechner, da die Endgeräte prinzipiell immer erreichbar sind. Ist DirectAccess eingerichtet, erfordert es keinerlei Aktion durch den Anwender. Die Anbindung verhält sich aus Usersicht völlig transparent und zeigt außer eventueller Einschränkungen der Internetbandbreite keine Unterschiede zu lokalen Netzwerkverbindungen. Für Administratoren ist der mobile Client für Updates oder für den Support immer erreichbar. Als einzige Voraussetzungen benötigt der Client eine funktionierende Internetverbindung und eine geeignete Windows-Version.

Funktionsweise von DirectAccess

Wird ein Clientrechner mit DirectAccess-Funktion gestartet, versucht er im ersten Schritt einen bestimmten, im privaten Netz erreichbaren Server zu kontaktieren. Ist der Server erreichbar, weiß der Client, dass er sich bereits im Unternehmensnetzwerk befindet und muss keine weiteren Aktionen durchführen.

Kann der Server nicht erreicht werden, beginnt der Client den Verbindungsaufbau zum Unternehmensnetzwerk über einen gesicherte IPsec-Tunnel. Steht kein IPv6-Netzwerk für den Aufbau des Tunnels zur Verfügung, verpackt der Client IPv6 in IPv4. Ist die IPsec-Verbindung etabliert, kann sich der Anwender mit seinen Benutzerdaten an der Windows-Domäne wie in einem lokalen Netz anmelden.

Voraussetzungen für die Nutzung

Für die Nutzung von DirectAccess sind sowohl auf Client-Seite als auch auf Server-Seite einige Voraussetzungen zu erfüllen. Der Client benötigt eines der folgenden Betriebssysteme:

  • Windows 7 Ultimate oder Enterprise Edition
  • Windows 8 oder 8.1 Enterprise Edition
  • Windows 10 Enterprise oder Education Edition

Der Server sollte mit den Serverbetriebssystemen Windows Server 2012 R2 oder Windows Server 2016 arbeiten. Neben Windows Server 2012 R2 und Windows Server 2016 ist unter gewissen Umständen auch mit Windows Server 2008 R2 die Nutzung von DirectAccess möglich. Sind diese Voraussetzungen erfüllt, lässt sich die Umgebung so konfigurieren, dass Clients, die Mitglieder im Active Directory sind, ihre benötigten Einstellungen über die Gruppenrichtlinien erhalten.

Die Verwendung von IPv6

Microsoft setzt bei DirectAccess konsequent auf die Verwendung des IPv6-Protokolls. Dank der nativen IPv6-Verbindung entfallen die aus dem IPv4-Umfeld bekannten und teilweise hinderlichen Techniken wie NAT oder VPN-Tunnel. Leider ist die Zahl der Provider, die schon heute direkte IPv6-Zugänge zum Internet anbieten, noch recht gering. Um DirectAccess dennoch verwenden zu können, ist die Technik in der Lage, IPv6 über IPv4-Netzwerke zu tunneln. Microsoft hat hierfür das Teredo-Protokoll (RFC4380) implementiert, an dem man selbst maßgeblich mitgearbeitet hat. Teredo kann IPv6-Daten über UDP in IPv4 kapseln. Selbst IPv6-Verbindungen hinter einem Router ohne IPv6-Unterstützung, der Network Addess Translation (NAT) nutzt, sind dank Teredo möglich. Teredo funktioniert zudem über öffentliche WLANs oder Mobilfunknetze. Kommt die Verbindung ohne IPv4-Tunnel zustande, ist es erforderlich, die über öffentliche IPv6-Adressen erreichbaren Endgeräte entsprechend abzusichern.

Die die Nutzung von zwei IPsec-Tunneln

Eine Besonderheit von DirectAccess ist, dass für die Kommunikation mindestens zwei Tunnel eingerichtet werden. Beim ersten Tunnel handelt es sich um einen IPsec-ESP-Tunnel (Encapsulating Security Payload) für den Zugriff auf einen DNS-Server und den Domänencontroller. Der Tunnel nutzt ein Computerzertifikat und ermöglicht das Herunterladen von Gruppenrichtlinien auf den Rechner. Mit Hilfe dieser Richtlinien kann die Authentifizierung des Benutzers angefordert werden.

Der zweite Tunnel ist ebenfalls ein IPsec-ESP-Tunnel, verwendet aber Zertifikat und Anmeldeinformationen des Benutzers. Dieser Tunnel ist für die eigentliche Authentifizierung und den Zugriff auf die benötigten Ressourcen oder Server wie Microsoft Exchange Server vorgesehen. Grundsätzlich bestehen zwei Möglichkeiten, wie sich ein Client mit einem Server verbinden kann. Es sind End-to-End- oder End-to-Edge-Verbindungen möglich.

Bei der End-to-End-Verbindung besteht ein durchgängiger IPsec-Schutz zwischen Client und Anwendungsserver. Dies stellt den größtmöglichen Schutz sicher. Die End-to-Edge-Verbindung terminiert den IPsec-Schutz auf dem DirectAccess-Server. Von dort aus leitet der DirectAccess-Server den Datenverkehr ohne besonderen Schutz an die Anwendungsserver weiter. Da es sich auf dem zweiten Verbindungsabschnitt in der Regel um das geschützte Intranet handelt, ist eine gesonderte Verschlüsselung nicht zwingend erforderlich.

Vorteile von DirectAccess gegenüber konventionellen VPNs

Gegenüber konventionellen VPNs bietet DirectAccess von Microsoft einige Vorteile. Anstatt der Einwahl über einen VPN-Client verbindet sich der betreffende Rechner direkt beim Starten automatisch mit den Firmenrechnern. Dadurch ist der mobile Client zentralseitig immer erreichbar und kann beispielsweise mit Updates oder neuen Gruppenrichtlinien versorgt werden. Auch die aus der VPN-Welt bekannten Probleme mit Rechnern hinter NAT-Routern werden mit DirectAccess vermieden. Auf dem Client selbst muss keine spezielle Software wie ein VPN-Client installiert sein, da alle benötigten Komponenten direkt im Windows Betriebssystem integriert sind.

Die Clients verbinden sich über das Internet mit einer Windows-Domäne und profitieren von allen Vorteilen des Active Directory. Die komplette Verbindung ist verschlüsselt und funktioniert auch über Firewalls hinweg. Ist die DirectAccess-Umgebung einmal eingerichtet, sind weder vom Administrator noch vom Anwender Aktionen für die Verbindung mit der Windows-Domäne und den Anwendungsservern notwendig.

Administratoren können die Clients komfortabel aus der Ferne verwalten, ohne dass der Anwender eingreifen muss. Ein weiterer Vorteil ist, dass der Client selbständig erkennt, ob er sich im Firmennetz oder im Internet befindet. Handelt es sich um Laptops, die sowohl unterwegs als auch direkt in der Firma verwendet werden, sind sie ohne weitere Konfigurationen oder Useraktionen in beiden Umgebungen voll nutzbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

DirectAccess mit Windows Server 2016 und Windows 10

Anbindung übers Web – schneller und sicherer als VPN

DirectAccess mit Windows Server 2016 und Windows 10

Mit DirectAccess bietet Microsoft bereits seit den Vorgängerversionen von Windows 10 und Windows Server 2016 die Möglichkeit, Arbeitsstationen über das Internet schnell und sicher an das Firmennetz anzubinden. Vorteil: keine Zusatzkosten und ein wesentlich einfacheres Handling für Anwender all bei anderen VPN-Lösungen. lesen

VPN im Unternehmen: Opensource oder Windows?

Welcher VPN-Service fürs Business taugt

VPN im Unternehmen: Opensource oder Windows?

Um mobilen Anwendern eine Verbindung in das interne Unternehmensnetzwerk zu ermöglichen, ist ein VPN-Server der beste Weg. In diesem Bereich gibt es viele Lösungen – auch kostenlos als Opensource. Dazu kommen Hardware-Appliances und Bordmittel von Windows Server 2012 R2 und Windows Server 2016. lesen

So funktioniert DirectAccess

Sicherer Zugriff auf das Firmennetz übers Internet

So funktioniert DirectAccess

Mobile Anwender, die mit Notebooks auf interne Ressourcen in Firmennetzwerken zugreifen müssen, arbeiten seit Windows Server 2012 R2 am besten mit DirectAccess. Nachdem die Konfiguration einmal hinterlegt ist, können sich Notebooks automatisch über das Internet mit dem Firmennetzwerk verbinden, ohne dass Anwender eine VPN-Verbindung öffnen müssen. lesen

Vorteile der neuen Betriebssysteme im Überblick

Windows 10 mit Windows 10 Server und System Center vNext

Vorteile der neuen Betriebssysteme im Überblick

Windows 10 ist das Client-Betriebssystem für die nächste Serverversion Windows 10 Server, auch Windows Server vNext genannt. Windows 10 wird wohl im Sommer fertig, während die Serverversion weiter auf sich warten lässt. Ein optimales Zusammenspiel von Client und Server darf dennoch erwartet werden. Das gilt auch für die neue Version des System Centers. lesen

eBook erklärt Virtual Private Networks ausführlich

Alles Wissenswerte zu Remote Access und Virtuellen Privaten Netzen

eBook erklärt Virtual Private Networks ausführlich

Das Thema Virtuelle Private Netze (VPN) ist aktueller denn je. Denn immer mehr Mitarbeiter wollen von zu Hause oder von mobilen Geräten aus auf das Firmennetz zugreifen. Das sollte jedoch nur über sichere, verschlüsselte "Tunnel" erfolgen. Zeit, einen kritischen Blick auf aktuelle VPN-Techniken und ihren Einsatz in der Praxis zu werfen. lesen

VPN-Experten geben Auskunft

IP-Insider-Themenpaket 2012: Virtual Private Networks (VPN)

VPN-Experten geben Auskunft

Auch in Zeiten von Windows 8 und Windows Server 2012 mit verbesserten DirectAccces-Funktionen kommen Virtual Private Networks (VPN) nicht aus der Mode. Die Experten Rainer Enders und Jürgen Hönig erklären, worauf es beim Virtual Private Networking im Detail ankommt. lesen

Sterben klassische VPNs mit DirectAccess aus?

IP-Insider fragt nach – VPN-Experte Jürgen Hönig antwortet

Sterben klassische VPNs mit DirectAccess aus?

Warum Unternehmen trotz Windows 8 noch klassische Virtual Private Networks brauchen, welche Schwächen DirectAccess trotz Verbesserungen bei Windows 8 und Server 2012 immer noch hat und ob sich DirectAccess mit einem herkömmlichen VPN kombinieren lässt, erläutert VPN-Experte Jürgen Hönig im Gespräch mit IP-Insider. lesen

Mit neuen Tools Windows Server 2012 besser verwalten

Shortcuts, PowerShell 3.0 und neue Verwaltungs-Tools effizient nutzen

Mit neuen Tools Windows Server 2012 besser verwalten

Der neue Server Manager ist das zentrale Verwaltungstool in Windows Server 2012 und bietet Zugriff auf verschiedene Verwaltungswerkzeuge für Serverrollen und Server-Funktionen. lesen

Mobile Anwender schneller mit DirectAccess anbinden

Windows Server 2012 verbessert und vereinfacht die VPN-Möglichkeiten

Mobile Anwender schneller mit DirectAccess anbinden

Seit Windows Server 2008 R2 können Unternehmen Windows 7 PCs mit DirectAccess ohne Zusatzsoftware direkt mit dem Unternehmensnetzwerk verbinden. Mit Windows Server 2012 wird das noch einfacher. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44790473 / Definitionen)