In dit onderwerp vindt u informatie over de onderdelen van een DirectAccess-implementatie, verbindingsmethoden voor DirectAccess-clients, de firewallconfiguratie voor DirectAccess-verkeer en integratie met smartcards.

DirectAccess-onderdelen

Een DirectAccess-implementatie bestaat uit de volgende onderdelen:

  • DirectAccess-clients

  • Minstens één DirectAccess-server

  • Een AD DS-domein (Active Directory® Domain Services)

  • Een openbare-sleutelinfrastructuur (PKI, Public Key Infrastructure)

  • Netwerklocatieserver

  • Een intern netwerk en toepassingen die geschikt zijn voor IPv6 (Internet Protocol versie 6) of NAT-PT-apparaten (Network Address Translation-Port Translation)

DirectAccess-clients

Een DirectAccess-client is een computer met Windows 7 of Windows Server 2008 R2 die is toegevoegd aan een AD DS-domein, en IPv6 en IPsec (Internet Protocol-beveiliging) gebruikt om vanaf internet automatisch externe verbindingen tot stand te brengen en te onderhouden met een intern netwerk.

Computers die niet zijn toegevoegd aan een AD DS-domein of computers waarop Windows Vista of eerdere versies van Windows worden uitgevoerd, bieden geen ondersteuning voor DirectAccess.

Minstens één DirectAccess-server

Een DirectAccess-server is een computer met Windows Server 2008 R2 die is toegevoegd aan een AD DS-domein, IPv6 en IPsec gebruikt om te reageren op DirectAccess-clients op internet en deze op transparante wijze verbindt met een intern netwerk.

Computers die niet zijn toegevoegd aan een Active Directory-domein of computers waarop Windows Server 2008 of eerdere versies van Windows Server worden uitgevoerd, bieden geen ondersteuning voor de DirectAccess-serverfunctionaliteit.

Zie DirectAccess installeren voor de installatie van DirectAccess.

U moet DirectAccess-servers niet gebruiken als host voor andere primaire functies. DirectAccess-servers moeten speciaal worden gebruikt voor DirectAccess. Afhankelijk van uw implementatie- en schaalbaarheidsvereisten hebt u mogelijk meer dan één DirectAccess-server nodig of moet u een handmatige configuratie gebruiken om DirectAccess-functies over meerdere servers te verdelen. Raadpleeg de DirectAccess-startpagina van Microsoft TechNet (https://go.microsoft.com/fwlink/?LinkId=142598 (deze pagina is mogelijk Engelstalig)) voor meer informatie over implementaties met meerdere servers.

Zie Controlelijst: voordat u DirectAccess configureert voor meer informatie over de vereisten voor de DirectAccess-server.

Een AD DS-domein

DirectAccess is afhankelijk van AD DS voor verificatiereferenties, de automatische inschrijving van computercertificaten en de gecentraliseerde configuratie van IPsec, IPv6 en andere instellingen op basis van een groepsbeleid. DirectAccess-clients en -servers moeten lid zijn van een AD DS-domein.

PKI

DirectAccess is afhankelijk van computercertificaten die zijn uitgegeven door een AD CS-certificeringsinstantie (Active Directory Certificate Services) voor de verificatie van IPsec-sessies en op IP-HTTPS gebaseerde verbindingen.

Netwerklocatieserver

Een netwerklocatieserver is een interne netwerkserver waarop een op HTTPS gebaseerde URL (Uniform Resource Locator) wordt gehost. DirectAccess-clients maken contact met de URL om te bepalen of ze zich op het interne netwerk bevinden. De DirectAccess-server kan ook de netwerklocatieserver zijn, maar hiervoor wordt een webserver met een hoge mate van beschikbaarheid aanbevolen. De webserver hoeft niet enkel als netwerklocatieserver te worden gebruikt.

Intern netwerk en toepassingen die geschikt zijn voor IPv6 of een NAT-PT-apparaat

DirectAccess-clients maken exclusief gebruik van IPv6 om toegang te krijgen tot interne netwerkbronnen. Daarom kunnen DirectAccess-clients alleen communiceren met interne netwerkservers en bronnen die bereikbaar zijn door IPv6 te gebruiken. Er zijn drie manieren waarop een IPv6-verbinding met een intern netwerk tot stand kan worden gebracht:

  • Configureer de routeringsinfrastructuur van het interne netwerk zodat systeemeigen IPv6 wordt ondersteund. Interne netwerkservers en toepassingen die IPv6 ondersteunen, zijn dan bereikbaar. Computers waarop Windows 7, Windows Server 2008 R2, Windows Vista of Windows Server 2008 wordt uitgevoerd, zijn standaard geconfigureerd voor het gebruik van IPv6.

  • Implementeer ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) op uw interne netwerk. Door ISATAP te gebruiken kunnen interne netwerkservers en toepassingen die geschikt zijn voor IPv6, IPv6-verkeer door een tunnel leiden via uw interne netwerk dat alleen IPv4 ondersteunt. Computers waarop Windows 7, Windows Server 2008 R2, Windows Vista of Windows Server 2008 wordt uitgevoerd, bieden ondersteuning voor de ISATAP-hostfunctionaliteit. Met ISATAP kunnen deze computers IPv6 gebruiken zonder dat systeemeigen IPv6-routering vereist is. De DirectAccess-server configureert zichzelf automatisch als ISATAP-router als er geen IPv6-verbinding aanwezig is in het interne netwerk.

  • Gebruik een NAT-PT-apparaat (Network Address Translation-Protocol Translation) om verkeer om te zetten tussen DirectAccess-clients die IPv6 gebruiken en servers en toepassingen die alleen IPv4 kunnen gebruiken. In Windows Server 2008 R2 is de NAT-PT-functionaliteit niet beschikbaar. NAT-PT-apparaten zijn doorgaans verkrijgbaar bij leveranciers die Layer 2- en Layer 3- switches en -routers leveren. Raadpleeg uw switch- en routerdocumentatie voor informatie over NAT-PT-mogelijkheden en -configuraties.

Verbindingsmethoden voor DirectAccess-clients

In de volgende tabel vindt u een overzicht van alle mogelijke configuraties van DirectAccess-clients en de bijbehorende methode voor het verzenden van IPv6-verkeer naar de DirectAccess-server.

ClientconfiguratieAanbevolen verbindingsmethode

Een globaal IPv6-adres toegewezen

Globaal IPv6-adres

Een openbaar IPv4-adres toegewezen (adressen die niet vallen binnen de bereiken 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16).

6to4, een overgangstechnologie voor IPv6 waarmee een IPv6-verbinding wordt geboden via het gedeelte van internet dat IPv4 gebruikt voor hosts of sites met een openbaar IPv4-adres.

Een particulier IPv4-adres toegewezen (adressen die vallen binnen de bereiken 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16).

Teredo, een overgangstechnologie voor IPv6 waarmee een IPv6-verbinding wordt geboden via het gedeelte van internet dat IPv4 gebruikt voor hosts waaraan een particulier IPv4-adres is toegewezen en die zich bevinden achter een IPv4 NAT-apparaat (Network Address Translation) dat de 6to4-routerfunctionaliteit niet ondersteunt.

De client kan geen verbinding maken met 6to4 of Teredo

IP-HTTPS, een nieuw protocol voor Windows 7 en Windows Server 2008 R2 waarmee hosts achter een webproxyserver of firewall een verbinding tot stand kunnen brengen door de tunneling van IPv6-pakketten binnen een op IPv4 gebaseerde HTTPS-sessie (Secure Hypertext Transfer Protocol). IP-HTTPS wordt doorgaans alleen gebruikt als de client geen verbinding met de DirectAccess-server kan maken met een van de andere IPv6-verbindingsmethoden.

Firewallconfiguratie voor DirectAccess-verkeer

Externe firewalls achter internet en uw perimeternetwerk moeten de volgende typen verkeer van en naar de DirectAccess-server kunnen doorlaten:

  • Voor systeemeigen IPv6-verkeer: ICMPv6-verkeer (Internet Control Message Protocol voor IPv6) (IPv6-protocol 58) en IPsec ESP-verkeer (Encapsulating Security Payload) (IPv6-protocol 50).

  • Voor 6to4-verkeer: IPv4-verkeer dat IPv6-verkeer inkapselt (IPv4-protocol 41).

  • Voor Teredo-verkeer: IPv4-verkeer met de UDP-poort 3544 (User Datagram Protocol).

  • Voor IP-HTTPS-verkeer: IPv4-verkeer met de TCP-poort 443 (Transmission Control Protocol).

De uitzonderingen op de internetinterface van uw externe firewall hebben bijvoorbeeld de volgende indeling:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Interne firewalls tussen het perimeternetwerk en het interne netwerk moeten de volgende typen verkeer van en naar de DirectAccess-server kunnen doorlaten:

  • Voor systeemeigen IPv6-verkeer: alle typen IPv6-verkeer.

  • Voor ISATAP-verkeer: IPv4-verkeer dat IPv6-verkeer inkapselt (IPv4-protocol 41).

  • Voor IPv4- en NAT-PT-verkeer: al het TCP-, UDP- en UDP 500 IKE (Internet Key Exchange)/AuthIP-verkeer.

Als u een verbinding op basis van Teredo wilt toestaan, moet u de volgende aanvullende regels voor Windows Firewall met geavanceerde beveiliging configureren en implementeren voor alle domeinlidcomputers in uw organisatie:

  • Binnenkomende berichten voor ICMPv6-echoaanvragen (vereist)

  • Uitgaande berichten voor ICMPv6-echoaanvragen (aanbevolen)

Hiervoor moet u niet de vooraf gedefinieerde binnenkomende regel Bestands- en printerdeling (Echoaanvraag - ICMPv6-In) of de uitgaande regel Bestands- en printerdeling (Echoaanvraag - ICMPv6-Out) gebruiken. Als u deze vooraf gedefinieerde regels gebruikt, kunnen deze worden uitgeschakeld door bestands- en printerdeling binnen een organisatie uit te schakelen, waardoor een gebrek aan Teredo-verbindingen ontstaat.

De eenvoudigste manier om deze Windows Firewall-instellingen te implementeren op alle lidcomputers in uw organisatie, is via het groepsbeleidsobject Standaarddomein. Zie Controlelijst: een eenvoudig ontwerp voor een firewallbeleid implementeren (https://go.microsoft.com/fwlink/?LinkId=147688 (Deze pagina is mogelijk Engelstalig)) voor meer informatie.

Regel 1: binnenkomende berichten voor ICMPv6-echoaanvragen

Maak een aangepaste inkomende regel met de volgende instellingen en schakel deze in:

  • Alle programma's

  • ICMPv6-protocoltype met het echoaanvraagbericht

  • Alle lokale en externe IP-adressen

  • Actie toestaan

  • Alle profielen (domein, werk, openbaar)

Deze regel is vereist.

Regel 2: uitgaande berichten voor ICMPv6-echoaanvragen

Maak een aangepaste uitgaande regel met de volgende instellingen en schakel deze in:

  • Alle programma's

  • ICMPv6-protocoltype met het echoaanvraagbericht

  • Alle lokale en externe IP-adressen

  • Actie toestaan

  • Alle profielen (domein, werk, openbaar)

Deze regel wordt aanbevolen, tenzij u Windows Firewall gebruikt om al het uitgaande verkeer te blokkeren. In dat geval is deze regel vereist.

Integratie met smartcards

U kunt het gebruik van smartcards vereisen wanneer DirectAccess-clients verbinding maken met de DirectAccess-server. Gebruikers kunnen zich zonder smartcard aanmelden bij hun computers en toegang krijgen tot internet, maar hebben smartcardverificatie nodig om toegang te krijgen tot alle interne netwerkbronnen.

Aanvullende naslaginformatie

Raadpleeg de DirectAccess-startpagina van Microsoft TechNet (https://go.microsoft.com/fwlink/?LinkId=142598 (deze pagina is mogelijk Engelstalig)) voor meer informatie over DirectAccess-integratie met server- en domeinisolatie en NAP (Network Access Protection).

Inhoudsopgave