Direct-Access Enterprise

Sie haben auf den anderen Seite schon lesen können, wie Direct-Access im Grunde funktioniert und wie ein einfacher Server mal schnell installiert wird. Ein einzelner Server ist aber in vielen Fällen nicht genug.

Enterprise Anforderungen

Beim Einsatz in größeren Firmen gibt es über die prinzipielle Funktion noch drei wesentliche Punkte zu bedenken

  • Skalierung
    Ein einzelner Server kann schon mehrere Hundert und mehr Verbindungen bedienen und wenn Sie noch in Megabyte als externe Anbindung zählen, dann sollte ein einzelner Server auch ausreichend Leistungsfähig sein. Allerdings muss die CPU schon die komplette IPSec-Verschlüsselung durchführen und das erfordert schon einige "Körner". Oder man nutzt mehrere Server, um die Last zu verteilen
  • Verfügbarkeit
    Mehrere Server haben, bei passender Konfiguration, dann natürlich auch den Vorteil, dass Sie Abhängigkeit von einem Server reduzieren und die Verfügbarkeit zumindest des Service erhöhen. Über die WAN-Anbindung müssen Sie getrennt nachdenken
  • Geografische Aspekte
    Wen mehrere größere Standorte auf unterschiedlichen Kontinenten eigene Zugänge benötigen, sind lokale Zugänge gefordert, damit die Anwender nicht über den "Zentralzugang" im schlimmsten Fall zwei mal über weite Strecken gehen müssen.

Was kann DA 2012R2

Die erforderlichen Erweiterungen hat Direct Access mit der Server-Version 2012R2 und Windows 8 oder höher als Client erhalten. Wer also wirklich noch mit Windows 2008R2 als Server oder Windows 7 als Client arbeitet, braucht hier nicht weiter zu lesen. Wenn sie ihren Direct Access Server installiert haben, dann finden Sie im Portal zwei Punkte, die auf die neuen Funktionen hinweisen:

Sie können ein "Loadbalancing" mit mehreren Servern aktivieren, was zugleich die Verfügbarkeit als auch Skalierung verbessert. Sie können aber auch die "MultiSite"-Funktion aktivieren.

Load Balancing

Die meisten Firmen werden zuerst daran gehen, mehr als einen Server aufzubauen, um die Verfügbarkeit bei Ausfällen aber insbesondere auch bei geplanten Wartungsarbeiten zu erhöhen. Die DA-Server stehen ja quasi "direkt am Internet" und wenn es Updates gibt, sollten diese zeitnah eingespielt werden. Da ist es schon von Vorteil, wenn ein Server geplant in Wartung versetzt werden kann und die Client zum anderen Server wechseln.

Wenn Sie den Server einfach nur "Standard" installiert haben, dann stoppt Sie der Assistent schon sehr früh, ehe Sie angefangen haben mit der folgenden Meldung:

Wenn Sie neben Direct Access auch noch den Zugang per VPN erlauben, müssen Sie hier dann die IP-Adressen durch DA aus einem von ihnen vorgegebenen Pool zuweisen lassen und nicht durch den im LAN vorhandenen DNS-Server.

Das würde ich aber sowieso vorschlagen, dass VPN-Client einen eigenen Bereich nutzen, der im DHCP-Server des LAN dann ausgeschlossen wird. So können Sie dann direkt unterscheiden, woher der Client kommt.

Im Assistenten zur Aktivierung des Load Balancing werden Sie dann nach der Betriebsart gefragt. Sie können das in Windows installierbare NLB nutzen oder einen externen Loadbalancer davor für die Lastverteilung einsetzen

Wenn Sie NLB nutzen, müssen Sie diese Funktion noch installieren, damit der Assistent sie weiter machen lässt

Danach müssen Sie die virtuelle IP angeben, welche von allen Direct Access Servern in diesem Verbund genutzt wird

Hier müssen Sie eine Adresse eingeben, die keiner der Nodes bisher hat. Das wird dann die "Dedicated-IP" für den aktuellen Knoten und die vom aktuellen Knoten genutzte Adresse wird zur virtuellen Adresse des Clusters. Das kann verwirren aber so behalten die Clients quasi die Verbindung. Die bisherige Adresse wird zugleich für NLS-Dienste und weitere Kommunikationen genutzt. Auch die öffentliche Adresse wird auf diese Adresse umgesetzt.

Dann kommt noch eine Zusammenfassung und danach ist der Server der erste im NLB-Cluster oder kann als Real-Server im vorgelagerten Loadbalancer eingetragen werden. Mit den weiteren Servern ist genauso zu verfahren.

Multi Site

Wenn Sie mehrere Standorte mit eigenen Servern auf verschiedenen Kontinenten betreiben, dann stellt sich die Frage, wie Sie hier die Konfiguration optimal ausrichten. Direct Access unterstützt einen MultiSite-Ansatz, aber sie müssen abwägen, welche Lösung am besten passt Sie können nämlich zwei Überlegungen anstellen:

  • Mehrere DA-Server mit eigener GPO
    Es hinder sie niemand, in USA, Europa und Asien eigene DirectAccess-Server mit eigenen Gruppenrichtlinien aufzubauen und den Clients immer genau einen DA-Server zuweisen. In dem Fall würde der Anwender immer seinen "HomeServer"-Nutzen, d.h. ein Europäer, der in den USA weilt, geht über das Internet zum DA-Server in Europa auf die dortigen Server und belastet nicht das eigene Firmen-WAN.
  • MultiSite DA mit einer GPO
    Denkbar ist aber auch eine Konfiguration, dass der europäische Client den "nächsten" Zugang in den USA zum Firmennetzwerk nutzt um nur einen kurzen Weg auf dem Internet unterwegs zu sein und dann über das Firmen-WAN auf die Server in Europa zugreift.

Welcher Weg dabei sinnvoll ist, hängt auch von ihren WAN-Leitungen ab. Die Microsoft Cloud nutzt den "nächsten lokalen Zugang zu MGN - Microsoft Global Network, da Microsoft in seinem eigenen WAN dann eine bessere Qualität bereitstellen kann, als das Internet über Kontinente hinweg.

Bei der Einrichtung von "Multi Site" stoppt sie der Assistent aber sofort wieder, wenn eine Voraussetzung nicht erfüllt ist:

  • IPSec mit Client Zertifikaten

    Sie müssen also in der Konfiguration eine RootCA oder Intermediate-CA auswählen, welche die Client-Zertifikate ausstellt
  • Kein SelfSigned Zertifikat für IP-HTTPS
    Das Ist verständlich, da mehrere Server ja nicht das gleiche Zertifikat nutzen können.
  • Kein SelfSigned auf dem NLS
    Den Network Location Server wird es ja auch mehrfach geben und muss daher ein richtiges Zertifikat haben.

    Bei so einer Konfiguration würde ich aber eh prüfen, ob der NLS auf dem DA der richtige Platz ist oder nicht ein anderer interner hochverfügbarer Service eine bessere "ProbeURL" ist.
    Dann ändern Sie einfach die URL mit
Set-DANetworkLocationServer -URL "https://nls.uclabor.de"

Mit diesen Vorarbeiten kommt beim nächsten Versuch "MultiSite" einzurichten noch die folgende Warnung:

Suchen Sie sich bei einer Veränderung einer bestehenden Umgebung besser einen ruhigen Zeitpunkt aus oder sie bauen eine zweite parallele Umgebung auf, damit sie nach der Fertigstellung und Funktionstests die Clients über die Gruppenrichtlinie dann langsam umschwenken. Die weiteren Schritte sind eigentlich selbsterklärend

  • Die Konfiguration braucht einen Namen
    Der besteht aus dem Deployment selbst und der Site
  • Festlegen der Zugangsauswahl
    Der Client wählt den Zugang immer automatisch aber optional kann der Anwender am Gerät einen anderen Zugang wählen. Die Standardeinstellung macht hier auch Sinn, da die meisten Anwneder sich dort ehr nicht hin verirren aber der Support so einen manuellen Wechsel bei Problemen auflösen kann:
  • Verteilung von Extern
    Wenn Sie im Internet einen "globalen Loadbalancer" betreiben, der die Clients abhängig von ihrem Standort an den "richtigen" DA-Eingang verteilt, dann ist hier die Option zu wählen. Alle Clients lösen per DNS den gleichen Namen auf und der GeoDNS-Dienst liefert die IP-Adresse zum nächsten Zugang.

    Eine eigene "Global Load Balancing"-Lösung erlaubt ihnen mehr Flexibilität beim Verteilen der Client, z.B. eine Gewichtung nach Source-IP, Carrier etc. Das hängt natürlich auch von der verwendete Lösung des Loadbalancers ab.
  • Client Support
    Die neuen Funktionen können erst mit Windows 8 oder neue genutzt werden. Ich gehe nicht weiter darauf ein, wie man noch Windows 7 zulässt.

Die so vorgenommenen Änderungen werden auch in der Remote Access Verwaltung angezeigt:

Weitere Endpoints addieren Sie, wenn Sie das Deployment markieren und rechts auf "Add an Entry Point" anwählen

Die Einstellungen landen dann natürlich wieder in den Gruppenrichtlinien, die von den Clients dann herangezogen werden.

Multisite auf dem Client

Die Client bekommen per Gruppenrichtlinien die kompletten Einstellungen. Eine "GUI" zur Einstellung durch den Anwender gibt es nicht. Aber seit Windows 8 sehen Sie die Direct-Access-Verbindung in den Netzwerkverbindungen (Siehe auch Win8 Client). Hier sehe ich meine Kabelverbindung im Netzwerk und daneben die aktuell inaktive DirectAccess-Verbindung:

Hier sehen Sie erst dann wieder etwas, wenn das Deployment mit mehreren "Entry Points" arbeitet und der Benutzer die Wahl zum Wechsel des Entry Points hat.

Hier erscheinen natürlich ihre konfigurierten Deployment-Namen und Zugangsnamen.

Weitere Links

Enable Load Balancing for DirectAccess
https://www.youtube.com/watch?v=3tdqgY9Y-uo