70-680 Konfiguration von Windows 7 - Gattner
70-680 Konfiguration von Windows 7 - Gattner
70-680 Konfiguration von Windows 7 - Gattner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
DirectAccess<br />
DirectAccess löst herkömmliche VPN (Virtual Privat Network) Lösungen über PPTP<br />
(Point-to-Point Tunneling Protocol), L2TP/IPsec (Layer 2 Tunneling Protocol/Internet<br />
Protocol Security) und SSTP (Secure Socket Tunneling Protocol) ab.<br />
GPO -> Computerrichtlinien -> Administrative Vorlagen -> Netzwerk -> TCP/IP-<br />
Einstellungen -> IPv6-Übergangstechnologien<br />
Grundlagen<br />
• IPv6-VPN-Verbindung, geschützt durch IPsec<br />
• verfügbar sobald eine Internetverbindung besteht<br />
• bidirektional, Client-Server und Server-Client Kommunikation möglich<br />
• kombinierbar mit NAP (Network Access Protection), <strong>Windows</strong>-Updates,<br />
Gruppenrichtlinienupdates, Software-Updates<br />
• Verbindungssicherheitsrichtlinien<br />
• <strong>Konfiguration</strong> über GPO<br />
Voraussetzungen<br />
• <strong>Windows</strong> 7 Enterprise oder Ultimate<br />
• Benutzer muss einer speziellen DirectAccess-Sicherheitsgruppe angehören<br />
• Computerzertifikate zur beidseitigen Authentifizierung<br />
• DirectAccess-Server (<strong>Windows</strong> 2008 R2 Server), DNS-Server, AD DS<br />
DirectAccess-Verbindungsaufbau<br />
i. Herstellung der Internetverbindung (meist vor dem Anmelden)<br />
ii. Netzwerkidentifikationsphase prüft ob die DirectAccess-IntranetWebsite<br />
erreichbar ist<br />
iii. Falls kein Kontakt zur DirectAccess-IntranetWebsite; prüfen ob ein IPv6-<br />
Netzwerk vorliegt<br />
iv. Falls IPv6-Netzwerk vorliegt; Client verbindet sich mit seiner Öffentlichen-<br />
IPv6-Adresse direkt zum DirectAccess-Server<br />
v. Keine IPv6-Netzwerk; Client IPv6-über-IPv4-Tunnel (IP6-zu-IP4 oder Teredo)<br />
vi. Kein Tunnel weil Firewall oder Proxy; Verbindungsaufbau via HTTPS. IP-<br />
HTTPS kapselt IPv6-Datenverkehr in HTTPS.<br />
vii. DirectAccess-IPsec-Sitzung wird eingerichtet nach der Authentifizierung über<br />
Comptuterzertifikate<br />
viii. DirectAccess-Server prüft AD DS ob Computer und Benutzer autorisiert<br />
sind für eine Verbindung via DirectAccess<br />
Client-Nertzwerkverbindung<br />
Öffentliche IPv6-Adresse<br />
Öffentliche IPv4-Adresse<br />
Private IPv4-Adresse (NAT)<br />
Firewall oder Proxy<br />
DirectAccess-Verbindungsmethode<br />
Öffentliche IPv6-Adesse<br />
IP6-zu-IP4<br />
Teredo<br />
IP-HTTPS<br />
$netsh interface ipv6 set teredo enterpriseclient <br />
$netsh interface 6to4 set relay <br />
$netsh interface httpstunnel add interface client<br />
https://FQDN/IPHTTPS