Implementeer VPN en DirectAccess-oplossingen

4.2 Implementeer VPN en DirectAccess-oplossingen

U kunt VPN’s gebruiken om veel van de vereisten voor externe toegang van uw organisatie te ondersteunen, inclusief de mogelijkheid om uw sites te verbinden met behulp van site-to-site (S2S) verbindingen. Windows Server 2016 biedt ook ondersteuning voor DirectAccess, een always-on oplossing voor externe toegang die verbinding op afstand net zo naadloos maakt als lokaal verbinden.

4.2.1 Overzicht van VPN’s

Met Windows Server 2016 kunt u een aantal verschillende scenario’s voor externe toegang implementeren met behulp van VPN’s. Dit zijn:

• Toegang op afstand – Hiermee kunnen externe gebruikers veilig verbinding maken met hun werkplek. De VPN biedt een point-to-point-verbinding tussen de computer van de externe gebruiker en de server van uw organisatie, zoals weergegeven in de volgende afbeelding. Dat de verbinding tot stand komt via een openbaar netwerk, het internet, is voor de gebruiker transparant.
  

  

• Site-to-site – S2S-verbindingen, ook wel router-naar-router-verbindingen genoemd, stellen u in staat om uw externe sites te verbinden. Net als bij VPN’s voor externe toegang, zijn S2S VPN’s gebouwd op tunnelingprotocollen die internet gebruiken om netwerkpakketten tussen uw sites te routeren, zoals weergegeven in de volgende afbeelding.
  

  

Welk type VPN je ook implementeert, ze delen allemaal bepaalde kenmerken. Deze omvatten:

• Verificatie – Helpt ervoor te zorgen dat zowel de VPN-client als de VPN-server elkaar kunnen identificeren. U kunt kiezen uit een aantal verschillende authenticatiemethoden, afhankelijk van het VPN-protocol dat u selecteert en andere netwerkinfrastructuurfactoren, zoals of uw netwerk een openbare-sleutelinfrastructuur (PKI) biedt die het gebruik van digitale certificaten mogelijk maakt.
• Versleuteling – Omdat privégegevens via een openbaar netwerk worden gerouteerd, is het belangrijk om stappen te ondernemen om deze gegevens tijdens het transport te beveiligen. Hiervoor wordt gegevensversleuteling gebruikt. Afhankelijk van het gebruikte VPN-protocol en de specifieke configuratie van uw netwerkinfrastructuur kunt u een aantal verschillende coderingsmethoden implementeren.
• Inkapseling – Een VPN routeert gegevens via een openbaar netwerk met behulp van tunnelingprotocollen. Privégegevens zijn ingekapseld in een structuur, met een openbare kop die de juiste routeringsinformatie bevat, die door een openbaar netwerk kan gaan en op de juiste privébestemming kan aankomen.

4.2.1.1 Configureer verschillende VPN-protocolopties

U kunt de volgende VPN-protocollen gebruiken in Windows Server 2016:

• Point-to-Point Tunneling Protocol (PPTP) – Met PPTP kunt u zowel toegang op afstand als S2S VPN’s implementeren. PPTP is een algemeen ondersteund protocol, maar wordt als minder veilig beschouwd dan de alternatieven. Verificatie en versleuteling wordt verzorgd door ofwel de Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAPv2) of door de Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) authenticatiemethoden.
• Layer 2 Tunneling Protocol met Internet Protocol Security (L2TP/IPsec) – L2TP combineert PPTP en Layer 2 Forwarding (L2F), maar in tegenstelling tot PPTP vereist L2TP IPsec in transportmodus om codering te bieden.
• Secure Socket Tunneling Protocol (SSTP) – Op basis van het HTTPS-protocol vertrouwt SSTP op Transmission Control Protocol (TCP)-poort 443 om netwerkverkeer door te geven. Dit is een aanzienlijk voordeel, aangezien deze poort meestal open staat op firewalls om webserververkeer te vergemakkelijken, terwijl zowel PPTP als L2TP mogelijk een herconfiguratie van de firewall vereisen.
• Internet Key Exchange Versie 2 (IKEv2) – Gebruikt IPsec in tunnelmodus. Dit protocol is met name handig voor gebruikers die mobiele apparaten gebruiken, zoals telefoons en tablets, wanneer hun links kunnen worden verbroken. De functie VPN opnieuw verbinden is alleen beschikbaar met dit VPN-type. IKEv2 ondersteunt eenvoudige migratie tussen draadloze hotspots en maakt het gebruik van een VPN voor externe toegang veel gemakkelijker voor mobiele gebruikers.

Examentip

PPTP vereist TCP-poort 1723. L2TP gebruikt User Datagram Protocol (UDP)-poort 500, UDP-poort 1701 en UDP-poort 4500. IKEv2 vertrouwt op UDP-poort 500.

4.2.1.2 Verificatie-opties configureren

Authenticatie stelt communicerende partijen in staat elkaar te identificeren en is een essentieel onderdeel van elke infrastructuur voor externe toegang. Windows Server 2016 ondersteunt de volgende VPN-verificatiemethoden, zoals weergegeven in Tabel 4-3.

Authenticatie protocol	Beschrijiving	Opmerkingen
PAP	Op basis van wachtwoorduitwisseling in platte tekst is dit de minst veilige authenticatiemethode. Hoewel het niet wordt aanbevolen in productieomgevingen, kan het nuttig zijn bij het testen van externe toegang.	– Dit is de minst veilige authenticatiemethode en het wordt sterk aanbevolen om het gebruik van PAP te blokkeren. – Biedt geen bescherming tegen cliënt- of serverimitatie.
CHAP	CHAP is gebaseerd op uitdaging en reactie met behulp van MD5-hashing om de reactie te coderen. Bij challenge- en response-authenticatie worden geen wachtwoorden uitgewisseld. CHAP heeft echter een zwakte; het vereist dat het wachtwoord van de gebruiker wordt opgeslagen met behulp van omkeerbare codering.	– Verbetert ten opzichte van PAP omdat het wachtwoord niet wordt verzonden. – Vereist een tekstversie van het wachtwoord. – Biedt geen bescherming tegen serverimitatie.
MS-CHAP-v2	Net als CHAP is dit protocol gebaseerd op uitdaging en reactie, maar is het veiliger.	– Sterkere beveiliging dan PAP of CHAP en is het minimum dat u moet gebruiken. – Handig voor klanten die niet voldoen aan de vereisten voor EAP
EAP	EAP biedt de veiligste vorm van authenticatie voor VPN’s in Windows Server 2016 en is gebaseerd op een willekeurige authenticatiemethode die is overeengekomen door de RAS-client en RAS-server.	– Sterkste beveiliging beschikbaar. – Flexibiliteit bij het inschakelen van verschillende authenticatiemethoden.

4.2.1.3  Implementeer externe toegang en S2S VPN-oplossingen met behulp van RAS-gateway

Wanneer u in Windows Server 2016 de DirectAccess en VPN (RAS)-functieservice implementeert, die deel uitmaakt van de Remote Access-serverrol, implementeert u de RAS-gateway. RAS Gateway kan worden geïmplementeerd in zowel single-tenant- als multitenant-modi.

Omdat RAS Gateway multitenant-bewust is, kunt u meerdere virtuele netwerken hebben met overlappende adresruimten die zich op dezelfde virtuele infrastructuur bevinden. Dit kan handig zijn als u meerdere locaties of meerdere bedrijfsgroepen heeft die dezelfde adresruimten delen en verkeer naar de virtuele netwerken moeten kunnen routeren.

RAS Gateway ondersteunt de volgende scenario’s:

• Multitenant-bewuste VPN-gateway – De RAS-gateway is geconfigureerd als een virtuele netwerkbewuste VPN-gateway waarmee u:
  • Maak verbinding met de RAS Gateway met behulp van een S2S VPN vanaf een externe locatie.
  • Configureer individuele gebruikers met VPN-toegang tot de RAS Gateway.
• Multitenant-bewuste NAT-gateway – De RAS-gateway is geconfigureerd als een NAT-apparaat dat toegang tot internet mogelijk maakt voor virtuele machines op virtuele netwerken.
• Doorstuurgateway voor interne fysieke netwerktoegang – Maakt toegang tot serverbronnen op fysieke netwerken mogelijk vanuit uw virtuele netwerken.
• DirectAccess-server – Hiermee kunt u externe gebruikers verbinden met uw netwerkinfrastructuur zonder dat u VPN’s nodig hebt. DirectAccess wordt verderop in dit hoofdstuk besproken.
• GRE-tunneling – Maakt connectiviteit mogelijk tussen virtuele tenant-netwerken en externe netwerken.
• Dynamische routering met BGP – Gebruikt in grote netwerksystemen op bedrijfsniveau. BGP wordt vaak geïmplementeerd door cloudserviceproviders (CSP’s) om verbinding te maken met de netwerksites van hun huurders. BGP vermindert de noodzaak om handmatige routes op uw routers te configureren, omdat het een dynamisch routeringsprotocol is. Het kan bijvoorbeeld automatisch routes leren tussen sites die zijn verbonden met S2S VPN’s.

Als u van plan bent RAS Gateway in multitenant-modus te implementeren, moet u RAS Gateway alleen implementeren op virtuele machines met Windows Server 2016. Bijgevolg vereist het implementeren en configureren van RAS Gateway in multitenant-modus geavanceerde kennis van Hyper-V-virtualisatie, Windows PowerShell en vaardigheden met Virtual Machine Manager (VMM).

Hoewel RAS Gateway multitenant-bewust is, kunt u RAS Gateway ook implementeren en configureren in Windows Server 2016 in single-tenant-modus, op een fysieke of virtuele servercomputer. Voor de meeste organisaties is het implementeren van RAS Gateway in single-tenant-modus typisch en stelt u in staat om RAS Gateway te implementeren als:

• Een edge VPN-server (zowel voor externe toegang als S2S VPN’s)
• Een edge DirectAccess-server
• Zowel edge VPN als edge DirectAccess

In Windows Server 2016 kunt u Windows PowerShell-opdrachten gebruiken om de RAS-gateway te implementeren en configureren.

4.2.2 Bepaal wanneer u VPN voor externe toegang en S2S VPN moet gebruiken

De keuze om een VPN voor externe toegang te gebruiken of een S2S VPN te implementeren is eenvoudig. Als u een enkele externe gebruiker moet verbinden met de netwerkinfrastructuur van uw organisatie, implementeert u een VPN voor externe toegang. Als u echter meerdere sites met elkaar moet verbinden, implementeert u S2S VPN’s.

De principes achter deze twee soorten VPN’s zijn in grote lijnen vergelijkbaar, net als de tunneling- en authenticatieprotocollen. De methode die u voor de implementatie gebruikt, varieert echter.

4.2.2.1 Implementeer een VPN voor externe toegang

Voordat u uw VPN-server configureert, moet u het volgende controleren:

• Netwerkinterfaces – Uw VPN-server heeft minimaal twee netwerkinterfaces nodig. U moet ook bepalen welke interface internetgericht is en welke verbinding maakt met het (de) privénetwerk(en) van de organisatie.
• IP-configuratie van VPN-client – U moet bepalen hoe VPN-clients een geldige IP-configuratie verkrijgen. U kunt een DHCP-server gebruiken in het privénetwerk van uw organisatie, of u kunt adressen toewijzen uit een reeks adressen die u op de VPN-server definieert.

Examentip

Als u DHCP kiest, vraagt de VPN-server adressenblokken op bij de DHCP-server en wijst VPN-clientadressen van dat blok toe. Als uw DHCP-scope weinig beschikbare adressen heeft, kan een VPN-server mogelijk geen blokkering verkrijgen en kunnen VPN-clients geen verbinding maken.

• RADIUS-configuratie – Als u authenticatie en/of accounting centraal wilt beheren voor uw VPN-servers met RADIUS, moet u gereed zijn om de VPN-server te configureren als een RADIUS-client. Hiervoor moet u de NPS-rol in uw organisatie configureren. Dit wordt besproken in “4.3: NPS implementeren”.

Nadat u deze keuzes hebt geverifieerd, voert u de volgende procedure uit om een VPN voor externe toegang op Windows Server 2016 te implementeren:

1. Meld u aan op de server die u als VPN-server wilt gebruiken en open Serverbeheer.
2. Klik op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
3. Klik door de wizard Rollen en onderdelen toevoegen en schakel op de pagina Serverrollen het selectievakje Externe toegang in. Klik volgende.
4. Schakel op de pagina Rolservices selecteren het selectievakje DirectAccess en VPN (RAS) in en klik op Volgende. Klik desgevraagd op Functies toevoegen om de vereiste functies te installeren om de geselecteerde rolservices te ondersteunen.
5. Klik op Volgende, klik op Installeren en wanneer de installatie van de rol is voltooid, klikt u op Sluiten.

Nadat de rol is geïnstalleerd, in Serverbeheer:

1. Klik op Meldingen en klik vervolgens op de wizard Aan de slag openen.
2. Klik in de wizard Aan de slag op de pagina Welkom bij Remote Access op Alleen VPN implementeren, zoals weergegeven in de volgende afbeelding.
   

   

3. De console voor routering en toegang op afstand wordt geopend. Klik met de rechtermuisknop op de lokale server in het navigatievenster en klik vervolgens op Routering en externe toegang configureren en inschakelen.
4. Klik in de wizard Setup van de routerings- en RAS-server op de configuratiepagina, zoals weergegeven in de volgenden afbeelding, op Externe toegang (inbelverbinding of VPN) en klik vervolgens op Volgende.
   

   

5. Schakel op de pagina Toegang op afstand het selectievakje VPN in en klik op Volgende.
6. Selecteer op de pagina VPN-verbinding in de lijst Netwerkinterfaces de netwerkadapter die verbinding maakt met internet, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
   

   

7. Klik op de pagina IP-adrestoewijzing op Automatisch als u wilt dat een bestaande DHCP-server in het interne netwerk IP-adressen toewijst aan externe clients, of klik op Van een gespecificeerd bereik van adressen als u wilt dat de RAS-server deze adressen toewijst.
8. Als u ervoor hebt gekozen om adressen uit een gespecificeerd bereik toe te wijzen, geeft u op de pagina IP-adrestoewijzing, zoals weergegeven in de volgende afbeelding, het bereik van adressen op dat u wilt toewijzen. Zorg ervoor dat deze geen adressen overlappen die in gebruik zijn in DHCP of die statisch zijn toegewezen aan netwerkclients. Klik volgende.
   

   

9. 9. Als u NPS hebt geconfigureerd en deze server als RADIUS-client wilt gebruiken, klikt u op de pagina Meerdere RAS-servers beheren op Ja, deze server instellen om met een RADIUS-server te werken. Anders, als deze server authenticatie en autorisatie van externe toegangspogingen lokaal uitvoert, klikt u op Nee, Gebruik routering en externe toegang om verbindingsverzoeken te verifiëren, zoals weergegeven in de volgende afbeelding.
   

   

10. Klik op Voltooien om het proces te voltooien. Routering en toegang op afstand wordt gestart.

Na het voltooien van de wizard, wilt u misschien enkele aspecten van uw VPN-server opnieuw configureren.

Klik vanuit de Routing and Remote Access-console met de rechtermuisknop op uw lokale server en klik vervolgens op Eigenschappen. In het dialoogvenster Servereigenschappen kunt u de volgende eigenschappen configureren:

• Algemeen – U kunt deze server in- of uitschakelen als IPv4- en IPv6-router. U kunt deze server ook in- of uitschakelen als een IPv4- of IPv6-server voor externe toegang. Standaard is de server geconfigureerd als een LAN en routering via bellen op verzoek, IPv4-router en IPv4-server voor externe toegang.
• Beveiliging – Op het tabblad Beveiliging, kunt u de authenticatieprovider en accountingprovider specificeren. Windows-verificatie en Windows-accounting zijn standaard geselecteerd, maar u kunt ervoor kiezen om RADIUS te gebruiken.

U kunt ook ondersteunde authenticatiemethoden configureren, zoals weergegeven in de volgende afbeelding. Standaard zijn EAP en MS-CHAP-v2 geselecteerd. Dit zijn de methoden die worden ondersteund door de VPN-server en niet noodzakelijkerwijs die worden ondersteund door netwerkbeleid dat u configureert in NPS. NPS-netwerkbeleid wordt besproken in Hoofdstuk 4: Netwerkconnectiviteit en oplossingen voor externe toegang implementeren, “4.3, NPS implementeren, kopje “NPS-beleid configureren”.

• IPv4 – Configureer op het tabblad IPv4 de opties voor IPv4-adrestoewijzing, inclusief de statische adrespool.
• IPv6 – Op dezelfde manier kunt u op het tabblad IPv6 IPv6-instellingen configureren voor Remote Access Client.
• IKEv2 – Configureer op de IPEv2 de IKEv2-clientinstellingen: time-out bij inactiviteit, netwerkuitvaltijd en instellingen voor beheer van de vervaldatum van de beveiligingskoppeling.
• PPP – Op het tabblad PPP kunt u de Point-to-Point-instellingen voor uw VPN-server configureren. Deze omvatten het toestaan van multilink-verbindingen en de opties voor bandbreedtebeheer.
• Logging – Op het tabblad Logging kunt u configureren welk logniveau door de lokale server moet worden vastgelegd. De standaardinstelling is om logfouten en waarschuwingen te gebruiken.

Nadat u de configuratie van uw VPN-server hebt voltooid, moet u vervolgens de NPS-rol installeren en configureren, inclusief het definiëren van uw netwerkbeleid. Dit wordt besproken in “Vaardigheid 4.3: NPS implementeren”.

4.2.2.2 Configureer een cliënt-VPN

Om het proces van het configureren van een VPN te voltooien, moet u de externe client zelf configureren. Als u een VPN wilt maken in Windows 10, klikt u vanuit het Netwerkcentrum onder Uw netwerkinstellingen wijzigen op Een nieuwe verbinding of netwerk instellen en vervolgens op Verbinden met een werkplek.

Geef de volgende informatie op om uw VPN-verbinding te configureren in de wizard Verbinden met een werkplek.

• Hoe wil je aansluiten? – U kunt verbinding maken via een bestaande internetverbinding of door rechtstreeks op uw werkplek in te bellen.
• Internetadres – Dit is de naam of het IP-adres van de computer waarmee u verbinding maakt op uw werkplek, zoals weergegeven in de volgende afbeelding. Meestal is dit een FQDN, zoals remote. adatum.com.
  

  

• Bestemmingsnaam – De naam van deze VPN-verbinding.

Nadat u de VPN-verbinding hebt gemaakt, klikt u vanuit het Netwerkcentrum op Adapterinstellingen wijzigen, klikt u met de rechtermuisknop op uw VPN-verbinding en klikt u op Eigenschappen. U vervolgens aanvullende opties configureren zoals vereist door de netwerkinfrastructuur van uw organisatie.

Deze instellingen moeten overeenkomen met de instellingen van de VPN-server en de instellingen die zijn gedefinieerd in het beleid voor verbindingsverzoeken of netwerkbeleid dat is gedefinieerd in uw NPS. NPS wordt besproken in hoofdstuk 4, “Netwerkconnectiviteit en oplossingen voor externe toegang implementeren.” U kunt de volgende opties configureren:

• Type VPN
  • Point-to-Point Tunneling Protocol (PPTP)
  • Layer Two Tunneling Protocol met IPsec (L2TP/IPsec)
  • Secure Socket Tunneling Protocol (SSTP)
  • Internet Key Exchange versie 2 (IKEv2)
• Gegevenscodering
  • Geen
  • Optioneel
  • Vereist
  • Maximale sterkte

Onder Verificatie kiest u ofwel Extensible Authentication Protocol (EAP) gebruiken of Deze protocollen toestaan. Als u ervoor kiest om EAP te gebruiken, configureert u een van de volgende opties:

• Microsoft beveiligd wachtwoord (EAP-MSCHAP v2) (codering ingeschakeld) Microsoft-smartcard of ander certificaat (codering ingeschakeld)
• Cisco: EAP-FAST (codering ingeschakeld)
• Cisco: LEAP (codering ingeschakeld)
• Cisco: PEAP (codering ingeschakeld)

Als u Deze protocollen toestaan kiest, configureert u vervolgens de volgende opties:

• Unencrypted Password (PAP)
• Challenge Handshake Authentication Protocol (CHAP)
• Microsoft CHAP versie 2 (MS-CHAP v2)
  • Automatisch Mijn Windows-aanmeldingsnaam en wachtwoord (en domeinnaam) gebruiken
• Extensible Authentication Protocol (EAP) gebruiken

4.2.2.3 Configureer VPN Reconnect

Door opnieuw verbinding te maken met VPN kan Windows een verbroken VPN-verbinding herstellen zonder tussenkomst van de gebruiker. Denk bijvoorbeeld aan een gebruiker die met de trein reist. De gebruiker maakt verbinding met de werkplek met behulp van een VPN via een internetverbinding die tot stand is gebracht met behulp van een mobiele breedbandkaart. Wanneer de trein door een tunnel rijdt, valt de breedbandverbinding weg en wordt de VPN verbroken.

Bij eerdere versies van Windows, toen de trein uit de tunnel kwam, hoewel de mobiele breedband opnieuw verbinding maakte, vereiste de VPN handmatige tussenkomst. VPN reconnect herstelt de VPN-verbinding zonder de gebruiker te vragen.

Om VPN-reconnectie te implementeren, moet uw netwerkinfrastructuur aan de volgende vereisten voldoen:

• Uw VPN-server moet Windows Server 2008 R2 of nieuwer draaien.
• Op de computer van de gebruiker moet Windows 7 of nieuwer of Windows Server 2008 R2 of nieuwer worden uitgevoerd.
• Uw organisatie moet een PKI implementeren omdat VPN opnieuw verbinden het gebruik van een computercertificaat vereist.
• U moet een IKEv2 VPN implementeren.

4.2.2.4 App-getriggerde VPN’s

Windows 10 ondersteunt een nieuwe functie genaamd app-getriggerde VPN’s. Met deze functie kunt u configureren dat een VPN wordt gestart wanneer een bepaalde app of reeks apps wordt gestart.

 Om app-getriggerde VPN’s in te schakelen, moet u eerst de pakketfamilienaam voor de universele app(s) bepalen, of het pad voor eventuele desktop-apps, die de trigger voor de VPN zullen zijn. Hoewel het vrij eenvoudig is om het pad voor een desktop-app te bepalen (over het algemeen worden deze geïnstalleerd in de C-schijf in Program Files), moet u de Windows PowerShell Get-AppxPackage-cmdlet gebruiken om de pakketfamilienaam voor universele apps te vinden.

Om bijvoorbeeld de pakketfamilienaam voor Microsoft OneNote te bepalen, onderzoekt u de uitvoer, zoals weergegeven in de volgende afbeelding en zoekt u de eigenschap PackageFamilyName. U kunt zien dat het is: Microsoft.Office.OneNote_8wekyb3d8bbwe.

Gebruik de Add-VpnConnectionTriggerApplication Windows PowerShell-cmdlet om de app te configureren om een VPN te activeren. Als u bijvoorbeeld de OneNote-app wilt configureren om een VPN met de naam A. Datum HQ te activeren, gebruikt u de volgende opdracht:

Add-VpnConnectionTriggerApplication -ConnectionName "A. Datum HQ" -ApplicationID Microsoft.Office.OneNote_8wekyb3d8bbwe

Als u de desktopversie van OneNote gebruikt, kunt u ook de volgende Windows PowerShell-opdracht gebruiken:

Add-VpnConnectionTriggerApplication -ConnectionName "A. Datum HQ" -ApplicationID "C:\Program Files\Microsoft Office\root\Office16\ONENOTE.EXE"

Examentip

U kunt geen app-getriggerde VPN’s implementeren op computers die lid zijn van een domein.

4.2.2.5 Verbindingsprofielen maken en configureren

Hoewel het handmatig configureren van VPN-verbindingen relatief eenvoudig is, is het voltooien van het proces op veel computers met dezelfde of vergelijkbare instellingen erg tijdrovend. In deze omstandigheden is het logisch om een VPN-profiel te maken en dit profiel vervolgens te distribueren naar de computers van uw gebruikers.

Wanneer u VPN-profielen gebruikt in Windows Server 2016 of Windows 10, kunt u profiteren van een aantal geavanceerde functies. Dit zijn:

• Always On – U kunt het VPN-profiel zo configureren dat de VPN wordt gestart wanneer de gebruiker zich aanmeldt of wanneer de netwerkstatus is gewijzigd, bijvoorbeeld wanneer er geen verbinding meer is met de zakelijke Wi-Fi.
• App-Triggered VPN – U kunt het VPN-profiel configureren om te reageren op een specifieke set apps; als een gedefinieerde app wordt geladen, wordt de VPN gestart.
• Verkeersfilters – Met verkeersfilters kunnen uw VPN-profielen worden geconfigureerd om alleen te worden gestart wanneer aan bepaalde criteria, gedefinieerd in het beleid, wordt voldaan. U kunt bijvoorbeeld op apps gebaseerde regels maken waarin alleen verkeer dat afkomstig is van gedefinieerde apps de VPN kan gebruiken. U kunt ook op verkeer gebaseerde regels maken die filteren op protocol, adres en poort.
• LockDown – VPN U kunt LockDown configureren om het apparaat van uw gebruiker te beveiligen, zodat alleen de VPN kan worden gebruikt voor netwerkcommunicatie.

Examentip

U kunt meer informatie vinden over VPN-profielopties in Windows 10 op de Microsoft TechNet-website op https://technet.microsoft.com/itpro/windows/keep-secure/vpn-profile-options.

U kunt VPN-profielen maken en distribueren met behulp van de Connection Manager Administration Kit (CMAK), Microsoft Intune of Configuration Manager. Gebruik de volgende procedure om CMAK te gebruiken om het profiel te distribueren:

1. Klik op uw Windows 10-clientcomputer met de rechtermuisknop op Start en klik vervolgens op Programma’s en onderdelen.
2. Klik in het dialoogvenster Programma’s en onderdelen op Windows-onderdelen in- of uitschakelen.
3. Selecteer in het dialoogvenster Windows-functies de RAS Connection Manager Administration Kit (CMAK) en klik vervolgens op OK.
4. Klik op Sluiten.
5. Klik met de rechtermuisknop op Start en klik vervolgens op Configuratiescherm.
6. Klik in het Configuratiescherm op Systeem en beveiliging en klik vervolgens op Systeembeheer.
7. Dubbelklik op Connection Manager Administration Kit.
8. Klik op de pagina Welkom bij de wizard Connection Manager Administration Kit op Volgende.
9. Klik op de pagina Selecteer het doelbesturingssysteem op Windows Vista of hoger en klik vervolgens op Volgende.
10. Klik op de pagina Een profiel van een verbindingsbeheerder maken of wijzigen op Nieuw profiel en klik vervolgens op Volgende.
11. Typ op de pagina Specificeer de servicenaam en de bestandsnaam in het vak Servicenaam de naam voor uw VPN-verbinding. Uw gebruikers zullen deze naam zien wanneer ze de VPN-verbinding tot stand gaan brengen. Typ in het vak Bestandsnaam de bestandsnaam die u dit profiel wilt noemen. Deze bestandsnaam wordt gebruikt om het profiel te verspreiden en wordt niet gezien door uw gebruikers. Klik volgende.
12. Selecteer op de pagina Ondersteuning voor VPN-verbindingen toevoegen de optie Telefoonboek van dit profiel.
13. Typ in het tekstvak VPN-servernaam of IP-adres het IP-adres of FQDN voor de VPN-server en klik vervolgens op Volgende.
14. Klik op de pagina Een VPN-vermelding maken of wijzigen op Volgende.
15. Schakel op de pagina Een aangepast telefoonboek toevoegen het selectievakje Telefoonboekupdates automatisch downloaden uit en klik op Volgende.
16. Klik door de rest van de wizard. Klik vervolgens op de pagina Bouw het verbindingsbeheerprofiel en het bijbehorende installatieprogramma op Volgende.
17. Noteer op de pagina Uw Connection Manager-profiel is voltooid en klaar om te distribueren waar het profiel wordt gemaakt en klik vervolgens op Voltooien.

Uw profielen worden standaard opgeslagen op de C-schijf in de map Program Files\CMAK\Profiles\Windows Vista en hoger. Het profiel bestaat uit een uitvoerbaar bestand, waarvan u de naam hebt gedefinieerd in de wizard, en aanvullende bestanden.

4.2.2.6 Verbindingsprofielen implementeren

U kunt VPN-profielen distribueren met behulp van de volgende methoden:

• Distribueer met scripts – Gebruik een Windows PowerShell of een ander script om het profiel te distribueren naar uw VPN-gebruikers.
• Distribueren op verwisselbare media – Kopieer het CMAK-profiel naar een USB-geheugenstick zodat gebruikers het kunnen installeren.
• Bouwen als onderdeel van desktopimage – Voeg het CMAK-profiel toe aan de standaard Windows-desktopimage die u implementeert op nieuwe werkstations.
• Implementeren met geautomatiseerde softwaredistributie – U kunt de volgende methoden gebruiken om VPN-profielen op Windows-clients te implementeren:
• Microsoft System Center Configuration Manager – U kunt VPN-profielen implementeren op zowel Windows-clients als Android- en iOS-clients. Om iOS en Android te ondersteunen, moeten de apparaten zijn ingeschreven bij Intune. De volgende profieltypen kunnen worden gedistribueerd: Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP, L2TP, Cisco AnyConnect, Pulse Secure, F5 Edge Client, Dell SonicWALL Mobile Connect en Check Point Mobile VPN.
• Microsoft Intune – Als uw organisatie Microsoft Intune gebruikt, kunt u VPN-profielen distribueren naar ingeschreven apparaten met de volgende besturingssystemen: Windows, Android en iOS. U kunt dezelfde profieltypen distribueren als voor Configuration Manager.
• AD DS-groepsbeleid – Als uw organisatie Configuration Manager of Microsoft Intune niet gebruikt, kunt u overwegen GPO’s te gebruiken om uw VPN-profiel te implementeren. U kunt een Windows PowerShell-script gebruiken dat is gestart met een GPO-aanmeldingsscript om de profielen te distribueren. Het script maakt een voorkeur voor Groepsbeleid om het VPN-profiel te implementeren.

4.2.2.7 Implementeer een S2S VPN

U gebruikt een S2S VPN om twee delen van uw organisatie veilig te verbinden via internet. Technisch gezien is er geen verschil tussen een S2S VPN-verbinding en een VPN voor externe toegang.

Wanneer een router op de ene site een VPN-verbinding tot stand brengt met een router op de andere site, wordt de initiërende router beschouwd als een VPN-client, terwijl de reagerende router wordt beschouwd als de VPN-server. U moet een VPN-profiel configureren op de initiërende router, inclusief een VPN-protocol en authenticatietype en -methode. Deze moeten overeenkomen met het ondersteunde VPN-protocol en de authenticatie-opties op de reagerende router.

Netwerkverkeer dat de S2S-verbinding kruist, is niet afkomstig van een van de routers, maar van de client- of servercomputers op elke locatie. U moet daarom een interface voor bellen op verzoek definiëren op de oorspronkelijke router.

Wanneer u een interface voor bellen op verzoek maakt, moet u het volgende definiëren:

• De naam van de interface voor bellen op verzoek – Naast het definiëren van een identificerende naam, wordt deze naam gebruikt bij authenticatie. Zie “IP-filters voor bellen op verzoek instellen”.
• Of de verbinding nu eenrichtingsverkeer of tweerichtingsverkeer is – Bij een eenrichtingsverbinding start slechts één router de VPN-verbinding en reageert de andere router altijd. Bij een tweerichtingsverbinding kan elke router de VPN-verbinding initiëren en beide kunnen reageren.
• De referenties die worden gebruikt om te verifiëren – U moet ervoor zorgen dat de naam van de interface voor bellen op verzoek van de reagerende router overeenkomt met de naam van de gebruikersaccount die de initiërende router gebruikt, zoals weergegeven in de volgende afbeelding. Als u een tweerichtingsverbinding gebruikt, moeten de interfacenamen aan elk uiteinde overeenkomen met de gebruikersaccountnaam van het externe eind.
  

  

• Welk verkeer u via de verbinding toestaat – U kunt interfacefilters voor bellen op verzoek instellen die bepalen welk verkeer een verbinding tot stand kan brengen. U kunt bijvoorbeeld configureren dat alleen beveiligd webverkeer (HTTPS) via de link is toegestaan. U gebruikt de eigenschap Set IP Demand-Dial Filters om dit gedrag te configureren.
• Op welke tijden van de dag de verbinding is toegestaan – Als u wilt dat een verbinding alleen op bepaalde tijden wordt toegestaan, kunt u de eigenschap Uitbeluren van de interface voor bellen op verzoek configureren.
• Of de verbinding permanent is – Bellen op verzoek kan als permanent worden gedefinieerd. Dat wil zeggen, als ze eenmaal zijn gestart, blijven ze verbonden totdat u ze handmatig loskoppelt. Als een blijvende interface voor bellen op verzoek de verbinding verliest, wordt de verbinding automatisch hersteld. Als de verbinding niet-persistent is, wordt dit een verbinding op aanvraag genoemd. Bij on-demand bellen op verzoek wordt de verbinding verbroken na een periode van inactiviteit.

4.2.2.8 Een S2S-verbinding maken

Voer de volgende procedure uit om een S2S-verbinding tot stand te brengen met behulp van routering en externe toegang op beide servers die als S2S-routers worden geconfigureerd:

1. Installeer de functieservice DirectAccess en VPN (RAS). Dit maakt deel uit van de RAS-serverrol. Nadat de rol is geïnstalleerd, voert u in Serverbeheer de wizard Aan de slag uit.
2. Klik in de wizard Aan de slag op de pagina Welkom bij Remote Access op Alleen VPN implementeren.
3. De Routing and Remote Access-console wordt geopend. Klik met de rechtermuisknop op de lokale server in het navigatievenster en klik vervolgens op Routering en externe toegang configureren en inschakelen.
4. Klik in de wizard Setup van de routerings- en RAS-server op de configuratiepagina, zoals weergegeven in de volgende afbeelding, op Beveiligde verbinding tussen twee particuliere netwerken en klik vervolgens op Volgende.
   

   

5. Klik op de pagina Verbindingen voor bellen op verzoek, wanneer u wordt gevraagd of u verbindingen wilt gebruiken voor bellen op verzoek, zoals weergegeven in de volgende afbeelding, op Ja en vervolgens op Volgende.
   

   

6. Klik op de pagina IP-adrestoewijzing op Automatisch als u wilt dat een bestaande DHCP-server in het interne netwerk IP-adressen toewijst aan externe clients, of klik op Van een gespecificeerd bereik van adressen als u wilt dat de RAS-server deze adressen toewijst.
7. Als u ervoor hebt gekozen om adressen uit een opgegeven bereik toe te wijzen, geeft u op de pagina IP-adrestoewijzing het bereik van adressen op dat u wilt toewijzen. Zorg ervoor dat deze geen adressen overlappen die in gebruik zijn in DHCP, of die statisch zijn toegewezen aan netwerkclients. Klik volgende.
8. Klik op Voltooien om het proces te voltooien. Routering en toegang op afstand begint.

Nadat u de initiële configuratie hebt voltooid, wordt de wizard Interface voor bellen op verzoek automatisch gestart. Gebruik de volgende procedure om de configuratie te voltooien:

1. Klik in de wizard Interface voor bellen op verzoek op Volgende.
2. Typ op de pagina Interfacenaam in het vak Interfacenaam de interfacenaam, zoals weergegeven in de volgende afbeelding. Onthoud dat de interfacenaam moet overeenkomen met de naam van het gebruikersaccount dat wordt gebruikt om de verbinding aan de externe kant te verifiëren, zoals weergegeven in de volgende afbeelding. Klik volgende.
   

   

3. Klik op de pagina Verbindingstype op Verbinden via Virtual Private Network (VPN), zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
   

   

4. Selecteer op de pagina VPN-type het VPN-protocol dat u wilt gebruiken, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
   

   

5. Typ op de pagina Bestemmingsadres het FQDN- of IP-adres van de externe router en klik op Volgende.
6. Schakel op de pagina Protocollen en beveiliging, weergegeven in de volgende afbeelding, het selectievakje IP-pakketten op deze interface routeren in. Selecteer optioneel de optie Een gebruikersaccount toevoegen zodat een externe router kan inbellen. Als u deze optie selecteert, wordt dit een tweerichtingsverbinding. Klik volgende.
   

   

7. Configureer op de pagina Statische routes voor externe netwerken eventuele routeringsinformatie die nodig is om verbinding te maken met het externe netwerk en klik op Volgende.
8. Op de pagina Inbelreferenties, weergegeven in de volgende afbeelding, voert u het wachtwoord voor de gebruikersaccount in en klikt u op Volgende. U kunt de gebruikersnaam niet opgeven omdat de wizard deze definieert zodat deze overeenkomt met de naam van de lokale interface. Dit betekent dat wanneer u het externe uiteinde configureert, het opgegeven gebruikersaccount aan het externe uiteinde overeenkomt met het gebruikersaccount dat op deze pagina is gemaakt en ook met de naam van de lokale interface.
   

   

9. Voer op de pagina Uitbelreferenties, weergegeven in de volgende afbeelding, de gebruikersnaam, de domeinnaam en het wachtwoord in die nodig zijn om verbinding te maken met de externe router. Nogmaals, het opgegeven gebruikersaccount moet overeenkomen met de naam van de externe interface. Klik op Volgende en klik vervolgens op Voltooien.
   

   

Nadat u het ene uiteinde van de S2S VPN hebt geconfigureerd, moet u het andere uiteinde configureren. Wanneer dat proces is voltooid, kunt u optioneel de volgende eigenschappen van de verbinding configureren:

Om het VPN-type of de authenticatie-instellingen voor uw interface voor bellen op verzoek te configureren, klikt u met de rechtermuisknop op de interface in het knooppunt Netwerkinterfaces en klikt u vervolgens op Eigenschappen. Klik op het tabblad Beveiliging, zoals weergegeven in Afbeelding 4-37.

U kunt het volgende configureren:

• IP-filters voor bellen op verzoek instellen – Gebruik deze optie om het type verkeer te definiëren dat de link voor bellen op verzoek kan passeren. Vouw in de Routing and Remote Access-console de lokale server uit, vouw het knooppunt Netwerkinterfaces uit en klik vervolgens in het detailvenster met de rechtermuisknop op de interface voor bellen op verzoek en klik vervolgens op IP-filters voor bellen op verzoek instellen, zoals weergegeven in de volgende afbeelding. Voeg de gewenste filters toe door de netwerkbron, bestemming, protocol en poort te definiëren. Klik OK.
  

  

• Uitbeluren – Als u wilt configureren wanneer de koppeling kan worden gebruikt, klikt u in het knooppunt Netwerkinterfaces met de rechtermuisknop op de interface voor bellen op verzoek die u wilt configureren en klikt u vervolgens op Uitbeluren. Configureer de gewenste beschikbaarheid en klik op OK, zoals weergegeven in de volgende afbeelding.
  

  

• Permanent – Als u een verbinding als permanent wilt configureren, klikt u met de rechtermuisknop op de interface voor bellen op verzoek en klikt u vervolgens op Eigenschappen. Kies op het tabblad Opties, Bellen op verzoek voor niet-permanente verbindingen en configureer vervolgens de inactieve tijd voordat de verbinding wordt verbroken. U kunt ook voor een permanente interface voor bellen op verzoek op Permanente verbinding klikken.

Om het VPN-type of de authenticatie-instellingen voor uw interface voor bellen op verzoek te configureren, klikt u met de rechtermuisknop op de interface in het knooppunt Netwerkinterfaces en klikt u vervolgens op Eigenschappen. Klik op het tabblad Beveiliging.

U kunt het volgende configureren:

• Type VPN – Kies uit automatisch, PPTP, L2TP en IKEv2.
• Gegevensversleuteling – Kies uit Geen versleuteling toegestaan, Optionele versleuteling, Versleuteling vereist en Versleuteling met maximale sterkte.
• Verificatie – Beschikbare verificatiemethoden zijn EAP, PAP, CHAP en MS-CHAP-v2.

4.2.3 DirectAcces implementeren

DirectAccess is een functie van Windows Server 2016 waarmee externe clients verbinding kunnen maken met de netwerkinfrastructuur van uw organisatie zonder een VPN nodig te hebben.

Externe clientcomputers maken naadloos verbinding met interne bronnen, of ze nu lokaal (intern) of op afstand (extern) verbinding maken. Clientcomputers kunnen hun eigen locatie (intern of extern) detecteren en dienovereenkomstig configureren. Dit vereenvoudigt uw infrastructuur voor externe toegang, omdat u RADIUS niet hoeft te implementeren met behulp van NPS.

Om DirectAccess te implementeren, zoals weergegeven in bovenstaande afbeelding, zijn de volgende componenten vereist:

• DirectAccess Server – Deze Windows Server 2016-server maakt verbinding met zowel het interne netwerk als het internet en is een gateway voor externe clients.
• DirectAccess-clients – Elke computer die is aangesloten bij een domein en waarop een Enterprise-editie van Windows 7 of nieuwer wordt uitgevoerd. De clients maken verbinding met de DirectAccess-server via IPv6 en IPsec. Als een native IPv6-netwerk niet beschikbaar is, gebruiken de clients een IPv6-overgangstechnologie zoals 6to4 of Teredo.
• Netwerklocatieserver – DirectAccess-clients gebruiken de netwerklocatieserver om hun locaties te bepalen: intern of extern. Als een clientcomputer via HTTPS verbinding kan maken met de NLS, is dit een interne locatie en zijn DirectAccess-GPO’s niet van toepassing.
• Interne bronnen – Dit zijn de IPv6-compatibele apps en bronnen die u beschikbaar wilt stellen aan uw DirectAccess-clients.
• AD DS – Zorgt voor authenticatie en distributie en toepassing van groepsbeleidsobjecten.
• Groepsbeleid – DirectAccess-client- en serverconfiguratie is gebaseerd op GPO’s.
• PKI-infrastructuur – Dit is een optioneel onderdeel en wordt niet weergegeven in Afbeelding 4-38. Digitale certificaten kunnen worden gebruikt om de beveiliging te verbeteren, en wanneer u clientcomputers met Windows 7 implementeert, moet een PKI worden gebruikt om de implementatie te voltooien.
• DNS-server – DNS wordt door clientcomputers gebruikt om interne bronnen te lokaliseren.
• Tabel naamomzettingsbeleid – De NRPT wordt door clientcomputers gebruikt om te bepalen welke DNS-servers ze moeten gebruiken: interne DNS of externe DNS.

4.2.3.1 DirectAccess-tunneling opties

DirectAccess-gebruiker IPv6 en IPsec om verbindingen met interne bronnen mogelijk te maken. Niet alle organisaties hebben echter IPv6 geïmplementeerd. Dientengevolge gebruikt DirectAccess IPv6-transitietunnelingopties om clients in staat te stellen verbinding te maken met interne bronnen. De tunneling-opties omvatten:

• ISATAP – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via IPv4-netwerken voor (interne) intranetcommunicatie.
• 6to4 – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via het IPv4-gebaseerde internet voor externe communicatie.
• Teredo – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via het IPv4-gebaseerde internet als clients zich achter een NAT-apparaat bevinden.
• IP-HTTPS – Gebruikt door clients die geen verbinding kunnen maken met de DirectAccess-server met behulp van de voorgaande methoden.

4.2.3.2 Opties voor serverimplementatie

U kunt een DirectAccess-server implementeren op elke Windows Server 2016-servercomputer die lid is van een AD DS-domein met behulp van een van de drie netwerktopologieconfiguraties:

• Edge – Gebruik deze topologie als u uw firewallsoftware hebt geïmplementeerd op een edge-computer waarop Windows Server 2016 wordt uitgevoerd en waarop twee netwerkadapters zijn geïnstalleerd: de ene maakt verbinding met het intranet en de andere met internet.
• Achter de firewall met twee netwerkadapters – Gebruik deze als uw DirectAccess-server achter een firewall is geïmplementeerd en twee netwerkadapters heeft: de ene maakt verbinding met het intranet en de andere met het perimeternetwerk.
• Achter de firewall met één netwerkadapter – Gebruik van uw DirectAccess-server is achter uw firewall en geïnstalleerd met één netwerkadapter, die is aangesloten op het intranet.

Examentip

Hoewel de DirectAccess-server een computer met domeinlid moet zijn, mag het geen domeincontroller zijn.

4.2.3.3 Geavanceerde implementatieopties

DirectAccess ondersteunt een aantal geavanceerde implementatie-opties, waaronder:

• Meerdere eindpunten – Voor clients met Windows 8 of nieuwer, als u de DirectAccess Server-rol implementeert op meerdere servers op verschillende locaties, selecteren de DirectAccess-clients automatisch het dichtstbijzijnde eindpunt.
• Meerdere domeinen – Als uw organisatie meerdere domeinnamen heeft, kunnen de DirectAccess-clients verbinding maken met meerdere domeinen.
• Implementeren achter NAT-apparaat – Indien nodig kunt u een DirectAccess-server achter een NAT-apparaat implementeren.
• Off-premises inrichten – U kunt het hulpprogramma Djoin.exe gebruiken om een niet-domeinclientcomputer in te richten met een AD DS Binary Large Object (BLOB). Hierdoor kan de computer lid worden van uw domein zonder eerst verbonden te zijn met het interne netwerk.

Examentip

U moet het eindpunt handmatig opgeven voor DirectAccess-clients met Windows 7.

4.2.3.4 Implementeer DirectAccess-serververeisten

Voordat u DirectAccess kunt implementeren, moet u ervoor zorgen dat uw DirectAccess-server(s) aan de volgende vereisten voldoen. De DirectAccess-server moet:

• Wees een domeinlid maar geen domeincontroller.
• Zorg dat er ten minste één netwerkadapter is aangesloten op het interne netwerk.
• Zorg voor een openbaar IPv4-adres voor elke adapter met internetverbinding, als u hebt gekozen voor de Edge-topologieconfiguratie.
• Zorg dat de Windows Firewall op alle profielen is ingeschakeld.
• Worden geïnstalleerd met de DirectAccess en VPN (RAS)-rolservice, onderdeel van de Remote Access-serverrol.

4.2.3.5 Installeer en configureer DirectAccess

Als u een DirectAccess-server wilt implementeren, moet u eerst de functieservice DirectAccess en VPN (RAS) implementeren met behulp van Windows PowerShell of Server Manager. Voer vervolgens de volgende procedure uit:

1. Klik in Serverbeheer op Extra en vervolgens op Beheer op afstand.
2. Klik in de Remote Access Management-console onder het configuratieknooppunt op DirectAccess en VPN. Klik in het detailvenster, zoals weergegeven in volgende afbeelding, op De wizard Aan de slag uitvoeren.
   

   

3. Klik op de pagina Externe toegang configureren op Alleen DirectAccess implementeren. Vereisten zijn geverifieerd.
4. Klik op de pagina Remote Access Server Setup, weergegeven in de volgende afbeelding, op de juiste topologie en typ vervolgens het FQDN- of openbare IPv4-adres dat door clients wordt gebruikt om verbinding te maken met de DirectAccess-server. Klik volgende.
   

   

5. Klik op de pagina Instellingen voor externe toegang worden toegepast op de koppeling Hier om GPO-instellingen, instellingen voor DirectAccess-clientbeveiligingsgroepen, serveradapterinstellingen en DNS-eigenschappen te configureren.
6. Klik op de pagina De configuratie-instellingen bekijken, weergegeven in de volgende afbeelding, naast Externe clients op Wijzigen.
   

   

7. Definieer in het dialoogvenster DirectAccess-clientinstellingen op het tabblad Groepen selecteren, weergegeven in de volgende afbeelding, de AD DS-objecten waarop de DirectAccess-client-GPO’s van toepassing zijn. Het groepsbeleidsobject wordt standaard toegepast op de beveiligingsgroep Domeincomputers, maar de optie DirectAccess alleen voor mobiele computers inschakelen is geselecteerd. Als u het DirectAccess-client-GPO alleen wilt toepassen op computers die tot een specifieke groep behoren, bijvoorbeeld “DirectAccess Computers”, maakt u die groep in AD DS. Wijs vervolgens de gewenste computers aan die groep toe als leden en verwijder vervolgens in het dialoogvenster DirectAccess Client Setup Domeincomputers en voeg de groep toe die u hebt gemaakt. Schakel het selectievakje DirectAccess alleen voor mobiele computers inschakelen uit en klik op Volgende.
   

   

8. Definieer op de pagina Network Connectivity Assistant een DirectAccess-verbindingsnaam en klik vervolgens op Voltooien. Dit moet een naam zijn die belangrijk is voor uw gebruikers en netwerkbeheerders.
9. Klik op de pagina Controleer de configuratie-instellingen, weergegeven in de volgende afbeelding, optioneel naast GPO-instellingen op Wijzigen. Het dialoogvenster GPO-namen verschijnt, zodat u de namen kunt wijzigen van de GPO’s die van toepassing zijn op DirectAccess-servers en -clients. Er is geen technische reden waarom u dit moet doen, maar u kunt ervoor kiezen om andere namen te kiezen. De standaardinstellingen zijn: DirectAccess Client Settings en DirectAccess Server Settings. Als u deze wijzigt, klikt u op OK.
10. Klik op de pagina Controleer de configuratie-instellingen op OK.
11. Klik op de pagina Instellingen voor externe toegang worden toegepast op Voltooien. De DirectAccess-configuratie wordt toegepast. Klik op Sluiten wanneer daarom wordt gevraagd.

Nadat u de wizard hebt voltooid, kunt u de Remote Access Management Console gebruiken om de configuratie te verifiëren, zoals weergegeven in de volgende afbeelding.

Examentip

Het gebruik van de wizard Aan de slag maakt het implementeren van DirectAccess eenvoudig. Het wordt echter niet aanbevolen voor implementaties die een van de geavanceerde implementatie-opties vereisen die eerder in deze sectie zijn genoemd. Het is ook niet geschikt voor implementaties die Windows 7-clients ondersteunen.

U kunt het tabblad Dashboard gebruiken voor een overzicht van alle beschikbare informatie over uw DirectAccess-configuratie. Het tabblad Status van externe client is handig voor het oplossen van problemen met connectiviteit. Dit wordt besproken in de volgende sectie.

4.2.3.6 Wijzigingen aangebracht door de wizard Aan de slag

Als u de wizard Aan de slag gebruikt om DirectAccess te configureren en in te schakelen, worden de volgende wijzigingen aangebracht in uw netwerkinfrastructuur:

• De volgende DNS-hostrecords worden aangemaakt in uw DNS-zone:
  • directaccess-corpConnectivityHost
  • DirectAccess-NLS
  • directaccess-WebProbeHost
• Er worden twee GPO’s gemaakt (DirectAccess Client Settings en DirectAccess Server Settings) en toegepast op uw domein. Dit zijn:
  • DirectAccess-clientinstellingen. Instellingen in dit groepsbeleidsobject:
    • Configureer DirectAccess-clients om de zelfondertekende certificaten te vertrouwen die zijn uitgegeven door de DirectAccess-server.
    • Schakel het IPsec ICMP-protocol in op de lokale firewall op de DirectAccess-clients. Schakel uitgaand IP-HTTPS-verkeer in op de lokale firewall.
    • Definieer de IPv6-adresvoorvoegsels
    • Definieer Kerberos-verificatie-instellingen.
  • DirectAccess-serverinstellingen. Instellingen in dit groepsbeleidsobject:
    • Schakel het IPsec ICMP-protocol in op de lokale firewall op de DirectAccess-server.
    • Schakel binnenkomend IP-HTTPS-verkeer in op de lokale firewall.
    • Definieer de IPv6-adresvoorvoegsels.
    • Definieer Kerberos-verificatie-instellingen.

4.2.3.7 Wanneer moet u de wizard Aan de slag niet gebruiken?

Het gebruik van de wizard Aan de slag is de eenvoudigste manier om DirectAccess te configureren en in te schakelen, maar het is niet geschikt voor alle situaties. Als u meerdere locaties wilt ondersteunen, failoverconfiguraties wilt implementeren of gewoon Windows 7-clientcomputers wilt integreren in uw DirectAccess-oplossing, moet u een geavanceerde DirectAccess-configuratie implementeren.

4.2.3.8 Clientconfiguratie implementeren

Het implementeren van DirectAccess-clients is eenvoudig omdat dit wordt gedaan door de groepsbeleidsobjecten die zijn gemaakt wanneer u de wizard Aan de slag uitvoert. U kunt controleren of de instellingen correct zijn toegepast met behulp van GPO-monitoring en technieken voor probleemoplossing.

Om te bepalen of de DirectAccess-clientinstellingen van toepassing zijn, start u een clientcomputer op die een DirectAccess-client moet zijn zoals gedefinieerd door uw instellingen, en meldt u zich aan. Voer vanaf een verhoogde opdrachtprompt de opdracht gpresult /r uit. In het gedeelte Computerinstellingen retourneert deze opdracht informatie over de groepsbeleidsobjecten die wel of niet van toepassing zijn op de clientcomputer. Als de computer correct is geconfigureerd voor DirectAccess, zou de DirectAccess Client Settings GPO moeten verschijnen, zoals weergegeven in de volgende afbeelding.

Om DirectAccess te testen, moet u de computer naar een extern netwerk verplaatsen. U kunt vervolgens de Remote Access Management-console gebruiken om de resulterende DirectAccess-verbinding te bekijken, zoals weergegeven in de volgende afbeelding.

4.2.4 Problemen met DirectAcces oplossen

Als uw DirectAccess-clients geen verbinding kunnen maken met interne bronnen zoals verwacht, moet u een aantal dingen controleren. Onthoud dat, omdat DirectAccess is gebaseerd op de juiste toepassing van GPO’s, het belangrijk is dat u uw GPO-instellingen verifieert voordat u begint met het oplossen van problemen met DirectAccess zelf.

Begin met het verifiëren van het volgende. Op de DirectAccess-client:

1. Controleer of de DirectAccess Client Settings GPO is toegepast. U kunt gpresult /r gebruiken om dit te controleren. Als het groepsbeleidsobject niet van toepassing is, moet u ervoor zorgen dat de computer lid is van een groep die u hebt opgegeven in de wizard Aan de slag toen u DirectAccess configureerde. Gebruik standaard GPO-probleemoplossingstechnieken om de juiste toepassing van de benodigde client-GPO’s te verifiëren.
2. Controleer de verbinding met de DirectAccess-server
   • Controleer of de client een IPv6-adres heeft dat begint met 2002. Gebruik het opdrachtregelprogramma IPconfig.exe om te verifiëren. Dit adres wordt gebruikt om te communiceren met de DirectAccess-server.
   • Open de app Instellingen en klik in Netwerk en internet op het tabblad DirectAccess. Zoals weergegeven in de volgende afbeelding, zou het moeten laten zien dat de DirectAccess-verbinding actief is (de weergegeven naam is de naam die u definieert in de wizard Aan de slag) en dat de locatie correct is ingesteld voor DirectAccess.
     

     

   • Gebruik de opdracht netsh name show effectivepolicy bij een opdrachtprompt met verhoogde bevoegdheid. Dit zou een lijst met beleidsregels moeten retourneren wanneer correct verbonden met de DirectAccess-server.

Als deze tests de oorzaak van het probleem niet identificeren, gebruik dan de basishulpprogramma’s voor netwerkprobleemoplossing om de configuratie van de clientcomputer te controleren.