Soll DirectAccess noch eingesetzt werden? Was sind die Alternativen?
Always On VPN wird zur Zeit heiss diskutiert und gleichzeitig scheint ‘DirectAccess‘ an Popularität zu verlieren. Microsoft hat schon vor einiger Zeit verkündet, dass DirectAccess nicht mehr weiterentwickelt werde und deshalb ‘Always On VPN‘ genutzt werden soll. Allerdings wurde DirectAccess bis jetzt nicht offiziell gestoppt und ist auch in der aktuellsten Version des Server-Betriebssystems noch präsent. Die Frage stellt sich: Welche Optionen für eine Remote-Access Lösung bieten sich heute?
#Digital Workplace #Modern WorkDirectAccess erlaubt es Computern, die Mitglieder der Domäne sind, von extern eine Verbindung zum Firmennetzwerk aufzubauen, ohne dass der Benutzer dies explizit anstossen muss. Die Technologie war im Windows Server 2008 R2 eingeführt worden und wegen der Abhängigkeiten zu IPv6 eher kompliziert zu implementieren. Ab Windows Server 2012 wurde die Verbindung optimiert und über einen HTTPS Tunnel aufgebaut, der die Konfiguration zu einem Kinderspiel machte. Clients mit Windows 8 und neueren Versionen können statt Zertifikate einen Kerberos-Proxy auf dem DirectAccess-Server für die Authentisierung nutzen. Damit entfällt auch die aufwändigere Konfiguration einer PKI.
DirectAccess verwenden
DirectAccess wird weiterhin unterstützt und bietet einen sehr einfachen Setup von Server und Clients mittels Wizard und Gruppenrichtlinien. Die Verbindung über einen IPv6-basierten IPSec Tunnel und HTTPS – also einen Tunnel in Tunnel – kann nicht nur für Zugriffe des Clients zum LAN genutzt werden, sondern auch umgekehrt, von Management-Servern zu den Clients. DirectAccess benötigt Windows Clients mit Enterprise Editions der Betriebssysteme; IPv6 sowie Windows Firewall müssen aktiviert sein. Einzige Nachteile dieser Variante sind die fehlende Kompatibilität mit Applikationen, die IPv4-Verbindungsinformationen zum Client übertragen sowie die Abhängigkeit von der Domänenmitgliedschaft. Deshalb muss für VPN-Verbindungen von ausserhalb, zum Beispiel von externen Consultants, eine zusätzliche Lösung implementiert werden. Im Übrigen gibt es Security-Verantwortliche, die sich daran stören, dass der DirectAccess Server ebenfalls Domänenmitglied sein muss und deshalb entweder im internen Netz steht oder, falls in der DMZ positioniert, entsprechend viele Ports zum internen Netz geöffnet werden müssen.
Always On VPN konfigurieren
Always ON VPN wird von Microsoft als Nachfolger von DirectAccess angeboten. Es handelt sich dabei nicht um ein einziges Feature oder Produkt, sondern um eine Sammlung verschiedener Optionen, die zusammen oder getrennt verwendet werden können. Im Prinzip ist Always On VPN eine client-seitige Konfiguration, die ähnlich wie DirectAccess einen automatisierten Verbindungsaufbau erlaubt. Neben einem herkömmlichen Tunnel können auch Applikations-spezifische VPNs erstellt werden, die durch den Start der Applikation aufgebaut und nur von diesen verwendet werden. Mit dem sogenannten ‘Device Tunnel‘ wird die Option geboten, den Client schon vor der Benutzeranmeldung mit dem Firmennetzwerk zu verbinden – so wie das DirectAccess auch macht. Aber Achtung: Der Device Tunnel hat andere Anforderungen als der ‘User Tunnel‘: Das Client-Betriebssystem muss in der Enterprise Edition vorliegen und nur das IKEv2-Protokoll ist unterstützt. User Tunnel können auch Secure Socket Tunneling Protokoll (SSTP) verwenden.
Konfiguration macht den Unterschied
Die Konfiguration der Clients ist nur über den Cloud-Dienst Intune oder über Powershell Scripts möglich und deswegen nicht so intuitiv wie der grafische Wizard von DirectAccess. Auf der Server-Seite muss für den Device Tunnel ein Microsoft VPN-Server mit IKEv2-Protokoll aufgesetzt werden – für User Tunnel können auch SSTP- oder VPN-Lösungen von Dritten integriert werden, beispielsweise von Cisco, Checkpoint oder Fortinet. Übrigens bieten viele Firewalls integrierte VPN-Services. Auch andere Netzwerk-Appliances wie zum Beispiel Citrix Netscaler Gateway bieten diese Funktionalität. (Achtung: Citrix nennt sein Remote Access Feature ebenfalls AlwaysON – da besteht Verwechslungsgefahr.) Lösungen von Dritten stellen also tatsächlich eine Alternative dar - wenn das Knowhow dafür vorhanden ist und alle Funktionalitäten damit abgedeckt werden können.
Wir haben Experten für all Ihre Lösungen
Obwohl DirectAccess von Microsoft nicht mehr aktiv empfohlen wird, ist das Feature immer noch eine einfach umzusetzende Remote-Access-Lösung. Voraussetzung für den Einsatz ist die Kompatibilität der Applikationen über den IPv6-Tunnel. Ist diese gegeben, bleibt DirectAccess meine erste Wahl für Remote Access, eventuell in Kombination mit einem herkömmlichen VPN-Server, damit auch Geräte verbunden werden können, die nicht Domänenmitglieder sind. Always on VPN bietet zwar mehr Möglichkeiten als DirectAccess, ist aber nicht so einfach zu konfigurieren, und es ist wichtig von Anfang an zu definieren, welche Features genutzt werden sollen, da nicht alle gleich gut miteinander funktionieren.
Egal welche der beschriebenen Lösung für Sie die Richtige ist - die UMB-Experten werden Sie gerne bei Planung und Implementierung unterstützen. Bitte kontaktieren Sie mich.