Windows Server 2012 Essentials: VPN und Remotewebzugriff einrichten

    Remotewebzugriff im Launchpad startenWindows Server 2012 Essentials bietet einige exklusive Funktionen, die seinen Einsatz in kleinen Firmen und bei privaten Anwendern erleichtern sollen. Ein solches Feature ist Zugriff überall. Es kombiniert den Web-Zugang zu freigegebenen Ordnern mit der Einrichtung eines VPN, der Registrierung einer Internet-Domäne und der automatischen Konfiguration eines Routers. Remote Web Access erlaubt somit die Nutzung des kleinsten Windows-Servers von außerhalb der Firewall.

    Unter der Haube von Windows Server 2012 Essentials befindet sich zwar die Technik aus dem großen Server, unter anderen auch das Active Directory. Microsoft möchte aber die Zielgruppe dieses Produkts von zu großer Komplexität abschirmen und integriert eine Reihe von Tools und Wizards, um die Verwaltung des Systems zu vereinfachen.

    Anspruchsvolle Konfiguration von Zugriff überall

    Während dieses Konzept von Server 2012 Essentials bei einigen anderen Funktionen, wie etwa bei der Benutzerverwaltung oder der Konfiguration des Client-Backups, gut aufgeht, sind die Dinge bei Zugriff überall komplizierter, als der Wizard glauben machen möchte. Ohne Kenntnisse dessen, was hinter den Kulissen passiert, kann die Einrichtung des VPN daher leicht scheitern (während die Konfiguration des reinen Browser-Zugriffs auf die Dateien völlig unproblematisch ist).

    Der Wizard für Zugriff überall hilft beim Konfigurien der Domäne, des Routers, des VPN und des Remote Web Access.

    Wie die meisten Aufgaben der Administration erfolgt auch die Aktivierung von Remotewebzugriff über das Dashboard. Nach der Auswahl des Menüpunkts Zugriff überall einrichten kann man über den Link in der rechten Fensterhälfte den zuständigen Wizard starten.

    Die Kombination des SSTP VPN mit dem eigentlichen Remote Web Access, den man ja auch innerhalb des LANs nutzen kann, führt dazu, dass man in den ersten Schritten die nötige Netzkonfiguration durchlaufen muss. Sie beginnt damit, dass man den Namen der Domäne eingibt, über die Windows Server 2012 Essentials von außen erreichbar sein soll.

    Bestehende Domäne verwenden

    Die erste Option dabei lautet: Ich möchte einen Domänennamen verwenden, den ich bereits besitze. Hier liegt es nahe, gleich die bestehende Internet-Domäne der Firma zu verwenden. So einfach geht das in den meisten Fällen aber nicht, weil kleine Unternehmen und private Anwender in der Regel keine festen, sondern dynamisch zugeteilte IP-Adressen verwenden.

    Wenn man eine vorhandene Domäne verwenden möchte, dann sind einige Konfigurationsschritte manuell zu erledigen.

    Wenn man unter diesen Bedingungen von unterwegs auf den Server in der Firma zugreifen möchte, dann muss der Domänenname stets in die gerade aktuelle IP-Adresse des DSL-Anschlusses aufgelöst werden. Daher ist es notwendig, dass der Provider, der die Domäne hostet, dynamisches DNS unterstützt und dass man diesen Service gebucht hat.

    Besitzt man eine feste IP-Adresse, dann sollte man sie vor der Konfiguration des Remotewebzugriffs zusammen mit dem Hostnamen des Essentials-Servers im DNS des Providers eintragen.

    Manuelle Konfiguration für Anwender außerhalb der USA

    Die Eingabe einer bestehenden Domäne führt unweigerlich zum schnellen Ende der Wizard-geführten Konfiguration, weil es im nächsten Dialog nur noch die Auswahl zwischen manueller und automatischer Einrichtung der Domäne gibt.

    Die automatische Option besteht nur bei Providern, die einen auf Windows Server 2012 Essentials abgestimmten Mechanismus implementiert haben. Er ist für die Registrierung der Domäne, die Konfiguration des DNS sowie das Ausstellen und den Import eines Zertifikats zuständig. In der vom Wizard angebotenen Auswahl von ISPs befinden sich derzeit jedoch nur zwei US-amerikanische Firmen (GoDaddy und eNomCentral).

    Für die automatische Einrichtung der Domäne enthält die Provider-Liste von Server 2012 Essentials derzeit nur 2 US-Firmen.

    Daher muss man als europäischer Anwender alle Schritte zur Konfiguration einer bestehenden oder für die Anmeldung einer neuen Domäne zu Fuß absolvieren. Microsoft fasst die dabei anfallenden Aufgaben in diesem Hilfedokument zusammen, allerdings nur ein einer sehr allgemeinen und oberflächlichen Form. Wer etwa eine genaue Anleitung benötigt, wie man selbst ein Zertifikat ausstellt und in den Wizard für Zugriff überall übernimmt, dem sollte dieser Blog-Beitrag von Cesare Auteri helfen.

    Neuen Domänennamen verwenden

    Alternativ zur Verwendung einer bestehenden Domäne bietet der Wizard an, einen neuen Domänennamen einzurichten. Entscheidet man sich für diese Option, dann besteht beim nächsten Dialog die Auswahl zwischen der Registrierung der Domäne bei einem unterstützten Provider und einem Domänennamen von Microsoft.

    Die unterstützten Provider sind wieder nur 2 US-Firmen. Alternativ kann man eine Subdomäne unter remotewebaccess.com bekommmen.

    Entscheidet man sich für die Option Professionellen Domänennamen von einem unterstützten Provider erwerben, dann landet man derzeit wieder bei der Auswahl zwischen den beiden genannten US-Providern.

    Alternativ springt Microsoft mit einem eigenen kostenlosen Angebot ein, das primär für private Anwender gedacht ist (Option Persönlichen Domänennamen abrufen). In der Praxis erhält man so eine Subdomäne unter remotewebaccess.com, wobei man gleich innerhalb des Dialogs prüfen kann, ob der gewählte Name noch verfügbar ist.

    Konfiguration von Remotewebzugriff und VPN

    Erst nach Festlegung der Domäne, egal auf welchem Weg, gelangt der Wizard zur eigentlichen Konfiguration des Remotewebzugriffs und des VPN. Der Browser-Zugang zu den freigegebenen Dateien auf dem Server bereitet keinerlei Kopfzerbrechen, denn nach Aktivierung der entsprechenden Checkbox wird er automatisch eingerichtet.

    Nach der Konfiguration der Domäne kann man VPN und Remotewebzugriff getrennt installieren.

    Router-Konfiguration

    Mehr Aufmerksamkeit erfordert dagegen das VPN, weil dafür auch die Konfiguration des Routers erforderlich ist. Genau genommen geht es darum, ein Port-Forwarding für HTTPS einzurichten. Es bewirkt, dass der Router die Anfragen auf Port 443 an Server 2012 Essentials durchreicht. Für Geräte, die UPnP (Universal Plug and Play) unterstützen, übernimmt der Wizard diese Aufgabe.

    Wenn man gleich beim Start des Wizards die Option zur automatischen Konfiguration des Routers abgewählt hat oder ein älteres Gerät besitzt, dann muss man das Port-Forwarding selbst einrichten. Microsoft veröffentlichte ein umfangreiches Hilfe-Dokument, das für mehrere im SOHO-Bereich populäre Router beschreibt, wie man dabei vorgehen muss.

    Benutzerrechte für Zugriff überall

    Der Wizard räumt standardmäßig allen vorhandenen und künftig angelegten Usern das Recht ein, dieses Feature zu nutzen. Es ist allerdings relativ leicht, einzelnen Benutzern dieses Privileg ganz oder teilweise zu entziehen. Zu diesem Zweck öffnet man im Dashboard die Benutzerverwaltung und wechselt in den Kontoeigenschaften zur Registerkarte Zugriff überall.

    Die Rechte für die Funktionen von Zugriff überall lassen sich getrennt und pro Benutzer verwalten.

    Hier besteht die Möglichkeit, die Rechte für die VPN-Nutzung und Remotewebzugriff separat zu verwalten. Außerdem lässt sich hier steuern, auf welche Ressourcen ein Benutzer remote zugreifen darf.

    Remote Web Access starten

    Wenn bisher alle Schritte erfolgreich absolviert wurden, dann sollte dem Browser-Zugriff auf die freigegebenen Ordner auf dem Server 2012 Essentials nichts mehr im Wege stehen. Der einfachste Zugang führt über das Launchpad, das einen eigenen Eintrag für Remotewebzugriff enthält. Dieser startet den Browser mit einer URL, die auf die zuvor konfigurierte externe Domäne verweist.

    Am einfachsten lässt sich Remotewebzugriff aus dem Launchpad starten.

    Falls man die schon bestehende Internet-Domäne der Firma verwendet hat, dann ist der voll qualifizierte Hostname (FQHN) normalerweise innerhalb und außerhalb des LAN ohnehin gleich. Nutzt man aber zum Beispiel eine Subdomäne von remotewebaccess.com, dann kann man Server 2012 Essentials im Firmennetz über den internen FQHN ansprechen.

    Zugriff per RDP oder Browser

    Die Startseite von Remotewebaccess ist in die Bereiche Computer, Freigegebene Ordner und Links unterteilt. Unter Computer findet sich eine Liste aller Server und Clients, die in die Domäne von Server 2012 Essentials aufgenommen wurden. Klickt man dort auf die Schaltfläche Verbinden, dann wird eine .rdp-Datei für den betreffenden Rechner heruntergeladen, um damit eine Remotedesktop-Verbindung aufbauen zu können.

    Auf der Startseite von Remotewebzugriff kann man RDP-Verbindungen zu anderen PCs aufbauen oder per Browser auf Ordner zugreifen.

    Der eigentliche Remotewebaccess verbirgt sich dagegen hinter Freigegebene Ordner, durch die man im Browser navigieren kann. Er unterstützt einfache Dateioperationen wie Löschen, Umbenennen und Kopieren. Außerdem ermöglicht das Web-Frontend das Hinauf- und Herunterladen von Dateien.

    Remotewebzugriff erlaubt das Kopieren, Umbenennen und Löschen von Dateien oder das Anlegen von Verzeichnissen.

    Konfiguration der Web-Oberfläche

    Unter den Einstellungen für Zugriff überall, die man über das Dashboard öffnen kann, lässt sich das Aussehen der Browser-Oberfläche für Remotewebaccess zu einem gewissen Grad an die eigenen Bedürfnisse anpassen.

    Unter Websiteeinstellungen lässt sich das Aussehen der Browser-Oberfläche anpassen.

    So kann man unter Websiteinstellungen das Hintergrundbild und das Logo ändern. Außerdem lassen sich unter der Registerkarte Links auf der Startseite die Verweise auf diverse Microsoft-Seiten durch eigene URLs ersetzen bzw. ergänzen.

    5 Kommentare

    Bild von Florian Albeck
    Florian Albeck sagt:
    21. März 2013 - 9:09

    Hallo Herr Sommergut, immer wieder gern lese ich ihren Blog :) nun aber eine Frage: Gibt es eine solche Funktion für den Remote Webzugriff auf Dateien auch im Server 2008 R2 Standard oder Enterprise? Könnten Sie ihren Blogpost evtl. auch noch um ein Foto ergänzen in dem Man sieht wie die Oberfläche im Browser für die Dateiverwaltung aussieht und was sie für Möglichkeiten bietet? Ich bin schon lang auf der suche nach einer Lösung für Dateizugriff via Browser. Vielen Dank.

    Bild von Wolfgang Sommergut
    21. März 2013 - 10:54

    Hallo Herr Albeck, der Remotewebzugriff ist ein exklusives Feature der Essentials-Version, ebenso die Wizard-geführte Einrichtung von Domäne und VPN. Screenshot von der Oberfläche mit den Dateibefehlen habe ich eingefügt.

    Bild von Timo
    Timo sagt:
    3. Juni 2013 - 10:00

    Hallo,

    ich hätte auch noch eine Frage bezüglich der VPN-Verbindung zum Server 2012 Essentials. Ich kenne mich mit den VPN-Verbindungen nur grob aus, habe aber schon ein paar Dinge darüber gelesen. Zum Einen, dass ein VPN nur wirklich sehr sicher über eine IPsec- oder SSL-Verbindung sein soll. Liege ich damit richtig? Was für eine Art Verbindung hat man denn, wenn man nun eine VPN-Verbindung mit Hilfe des von Ihnen beschriebenen Wizzards auf dem Server 2012 Essentials einrichtet? Ist dies nicht eine PPTP? Allgemein: Ist die VPN-Verbindung, die mit dem Wizzard eingerichtet wird, sicher?

    Vielen Dank und viele Grüße
    Timo

    Bild von S. Lindstadt
    S. Lindstadt sagt:
    15. Mai 2014 - 12:50

    Hallo ,

    habe ich das nun richtig verstanden, dass man soweit man über eine feste IP Adresse verfügt nur diese als Domänenamen einträgt?

    Bild von Jan
    Jan sagt:
    8. Mai 2015 - 16:45

    Hi zusammen,

    ich habe hier das Problem, dass unsere mobilen Clients (Smartphones und Tablets) bislang auch mittels WLAN über den Lancom Router auf den Windows Server SBS 2008 zugreifen konnten und z.B. die Exchange Mails aktualisiert wurden. Es wurde auf Windows Server 2012R2 umgestellt, interne feste IPs vergeben (extern existiert ebenfalls eine feste IP vom DSL-Anbieter), die Ports wurden gleich wie vorher verwendet, die Top-Level-Domain ist die gleiche etc.. Im Grunde wurde nur der SBS2008 durch den Server2012R2 "ausgetauscht".

    Die Desktopclients können sich per Netzwerkkabel über den Router z.B. für Exchange Mail oder für Ordnerzugriffe im Netzwerk verbinden, nicht jedoch die mobilen Clients über Wireless Lan. Interessanter Weise funktioniert der Outlook-Abgleich oder OWA access für die mobilen Clients jedoch bei Verwendung der mobilen Datentarife, nicht jedoch im Haus per Router-WLAN. Der SBS2008 hatte wohl in die Router-Konfiguration eingegriffen und ich bekomme es nicht zustande, auch den WLAN-Zugriff über den Router beim Server2012R2 den mobilen Clients zu ermöglichen. Wäre toll, wenn ihr eine Idee habt, woran es liegen kann?

    Dickes Dankeschön vorab.
    Jan