Konfigurieren von DirectAccess in Windows Server Essentials
Gilt für: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials
Dieser Artikel enthält Einzelschrittanweisungen, mit denen DirectAccess in Windows Server Essentials so konfiguriert werden kann, dass mobile Mitarbeiter an einem beliebigen Remotestandort, der über einen Internetanschluss verfügt, nahtlos eine Verbindung mit dem Unternehmensnetzwerk herstellen können, ohne eine VPN-Verbindung einrichten zu müssen. DirectAccess bietet mobilen Mitarbeitern auf Computern unter Windows 8.1, Windows 8 und Windows 7 eine sowohl innerhalb als auch außerhalb des Büros gleichbleibende Konnektivität.
In Windows Server Essentials muss DirectAccess auf dem Domänencontroller konfiguriert werden, wenn die Domäne mehr als einen Windows Server Essentials-Server enthält.
Hinweis
Dieser Artikel enthält Anweisungen, wie DirectAccess zu konfigurieren ist, wenn der Windows Server Essentials-Server der Domänencontroller ist. Wenn der Windows Server Essentials-Server Mitglied einer Domäne ist, folgen Sie stattdessen den Anweisungen zum Konfigurieren von DirectAccess auf einem Domänenmitglied in Hinzufügen von DirectAccess zu einer vorhandenen Remotezugriffsbereitstellung (VPN).
Übersicht über den Prozess
Zum Konfigurieren von DirectAccess in Windows Server Essentials führen Sie die folgenden Schritte aus.
Wichtig
Bevor Sie die Verfahren in diesem Leitfaden zum Konfigurieren von DirectAccess in Windows Server Essentials einsetzen, müssen Sie VPN auf dem Server aktivieren. Entsprechende Anweisungen finden Sie unter Verwalten von VPN.
Schritt 1: Hinzufügen von %%amp;quot;Tools für die Remotezugriffsverwaltung%%amp;quot; zum Server
Schritt 2: Ändern der Netzwerkadapteradresse des Servers zu einer statischen IP-Adresse
„Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver
Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer
Schritt 8: Ändern der DNS64-Konfiguration zum Abhören der IP-HTTPS-Schnittstelle
Hinweis
Anhang: Einrichten von DirectAccess mithilfe von Windows PowerShell bietet ein Windows PowerShell-Skript, mit dem Sie das DirectAccess-Setup ausführen.
Schritt 1: Hinzufügen von %%amp;quot;Tools für die Remotezugriffsverwaltung%%amp;quot; zum Server
So fügen Sie Remote Acc®ss Management Tools® hinzu
Klicken Sie auf dem Server in der unteren linken Ecke der Startseite auf das Symbol Server-Manager.
In Windows Server Essentials müssen Sie zum Öffnen nach Server-Manager suchen. Geben Sie auf der Startseite Server Manager ein, und klicken Sie dann auf Server-Manager in den Suchergebnissen. Um den Server-Manager an die Startseite anzuheften, klicken Sie mit der rechten Maustaste auf den Server-Manager in den Suchergebnissen, und klicken Sie dann auf An Startmenü anheften.
Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.
Klicken Sie auf dem Server-Manager-Dashboard auf Verwalten, und klicken Sie dann auf Rollen und Features hinzufügen.
Im Assistenten zum Hinzufügen von Rollen und Features gehen folgendermaßen Sie vor:
Klicken Sie auf der Seite Installationstyp auf Rollenbasierte oder featurebasierte Installation.
Auf der Seite Serverauswahl (oder auf der Seite Zielserver auswählen in Windows Server Essentials) klicken Sie auf Einen Server aus dem Serverpool auswählen.
Auf der Seite Features erweitern Sie Remoteserver-Verwaltungstools (installiert), erweitern Sie Tools für die Remotezugriffsverwaltung (installiert), erweitern Sie Rollenverwaltungstools (installiert), erweitern Sie Tools für die Remotezugriffsverwaltung, und wählen Sie dann Remotezugriffs-GUI und Befehlszeilentools.
Folgen Sie den Anweisungen, um den Assistenten fertigzustellen.
Schritt 2: Ändern der Netzwerkadapteradresse des Servers zu einer statischen IP-Adresse
DirectAccess erfordert einen Adapter mit einer statischen IP-Adresse. Sie müssen die IP-Adresse für den lokalen Netzwerkadapter auf Ihrem Server ändern.
So fügen Sie eine statische IP-Adresse hinzu
Öffnen Sie auf der Startseite Systemsteuerung.
Klicken Sie auf Netzwerk und Internet und dann auf Netzwerkstatus und -aufgaben anzeigen.
Klicken Sie im Aufgabenbereich des Netzwerk- und Freigabecenters auf Adaptereinstellungen ändern.
Klicken Sie mit der rechten Maustaste auf den lokalen Netzwerkadapter, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Netzwerk auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden, und geben Sie dann die zu verwendende IP-Adresse ein.
Im Feld Subnetzmaske wird automatisch ein Standardwert für die Subnetzmaske angezeigt. Übernehmen Sie entweder den Standardwert, oder geben Sie den gewünschten Subnetzmaskenwert ein.
Geben Sie im Feld Standardgateway die IP-Adresse des Standardgateways ein.
Geben Sie im Feld Bevorzugter DNS-Server die IP-Adresse des DNS-Servers ein.
Hinweis
Verwenden Sie die IP-Adresse, die dem Netzwerkadapter von DHCP (z. B. 192.168.X.X) zugewiesen ist, anstatt eines Loopback-Netzwerks (z. B. 127.0.0.1). Um die zugewiesene IP-Adresse herauszufinden, führen Sie ipconfig an einer Eingabeaufforderung aus.
Geben Sie gegebenenfalls im Feld Alternativer DNS-Server die IP-Adresse des alternativen DNS-Servers ein.
Klicken Sie auf OKund dann auf Schließen.
Wichtig
Konfigurieren Sie unbedingt den Router für die Weiterleitung der Ports 80 und 443 an die neue statische IP-Adresse des Servers.
„Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver
Um ein Zertifikat und den DNS-Eintrag für den Netzwerkadressenserver vorzubereiten, führen Sie die folgenden Aufgaben aus:
Schritt 3a: Zuweisen uneingeschränkter Berechtigungen für die Webserver-Zertifikatvorlage zu authentifizierten Benutzern
Die erste Aufgabe besteht darin, Benutzern uneingeschränkte Berechtigungen für die Webserver-Zertifikatvorlage in der Zertifizierungsstelle zu gewähren.
So gewähren Sie authentifizierten Benutzern uneingeschränkte Berechtigungen für die Webserver-Zertifikatvorlage
Auf der Seite Start öffnen Sie Zertifizierungsstelle.
In der Konsolenstruktur erweitern Sie unter Zertifizierungsstelle (lokal) das Element <Servername>-Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.
In Zertifizierungsstelle (lokal) klicken Sie mit der rechten Maustaste auf Webserver, und klicken Sie dann auf Eigenschaften.
In den Webservereigenschaften klicken Sie auf der Registerkarte Sicherheit auf Authentifizierte Benutzer, wählen Sie Vollzugriff, und klicken Sie dann auf OK.
Starten Sie Active Directory-Zertifikatdienste neu. Öffnen Sie in der Systemsteuerung Lokale Dienste anzeigen. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf Active Directory-Zertifikatdienste, und klicken Sie dann auf Neustarten.
Schritt 3: Registrieren Sie ein Zertifikat für den Netzwerkadressenserver mit einem allgemeinen Namen, der aus dem externen Netzwerk nicht aufgelöst werden kann
Anschließend registrieren Sie ein Zertifikat für den Netzwerkadressenserver mit einem allgemeinen Namen, der aus dem externen Netzwerk nicht aufgelöst werden kann.
So registrieren Sie ein Zertifikat für den Netzwerkadressenserver
Auf der Seite Start öffnen Sie MMC (Microsoft Management Console).
Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.
Die Microsoft Management Console (MMC) wird geöffnet.
Im Menü Datei klicken Sie auf Snap-Ins hinzufügen bzw. entfernen.
Im Feld Snap-Ins hinzufügen bzw. entfernen klicken Sie auf Zertifikate, und klicken Sie dann auf Hinzufügen.
Klicken Sie auf der Seite Zertifikat-Snap-In auf Computerkonto, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Computer auswählen auf Lokaler Computer, auf Fertig stellen und dann auf OK.
Erweitern Sie in der Konsolenstruktur Zertifikate (Lokaler Computer), erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, und klicken Sie dann in Alle Aufgaben auf Neues Zertifikat anfordern.
Wenn der Zertifikatregistrierungs-Assistent angezeigt wird, klicken Sie auf Weiter.
Auf der Seite Zertifikatregistrierungsrichtlinie auswählen klicken Sie auf Weiter.
Auf der Seite Zertifikate anfordern wählen Sie Webserver, und klicken Sie dann auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.
Im Feld Zertifikateigenschaften geben Sie die folgenden Einstellungen für Antragstellername ein:
Für Typ wählen Sie Allgemeiner Name.
Für Wert geben Sie den Namen des Netzwerkadressenservers (z. B. DirectAccess-NLS.contoso.local) ein, und klicken Sie dann auf Hinzufügen.
Klicken Sie auf OK, und klicken Sie dann auf Registrieren.
Klicken Sie nach Abschluss der Zertifikatregistrierung auf Fertig stellen.
Schritt 3c: Hinzufügen eines neuen Hosts auf dem DNS-Server und Zuordnen des Hosts zur Windows Server Essentials-Serveradresse
Zum Abschließen der DNS-Konfiguration fügen Sie einen neuen Host auf dem DNS-Server hinzu und ordnen ihn der Windows Server Essentials-Adresse des Servers zu.
So ordnen Sie einen neuen Host zur Windows Server Essentials-Serveradresse zu
Öffnen Sie auf der Startseite den DNS-Manager. Suchen Sie zum Öffnen des DNS-Managers nach dnsmgmt.msc, und klicken Sie dann auf dnsmgmt.msc in den Ergebnissen.
In der Konsolenstruktur des DNS-Managers erweitern Sie den lokalen Server, erweitern Sie Forward-Lookupzonen, klicken Sie mit der rechten Maustaste auf die Zone mit dem Domänensuffix des Servers, und klicken Sie dann auf Neuer Host (A oder AAAA).
Geben Sie den Namen und die IP-Adresse des Servers (z. B. %%amp;quot;DirectAccess-NLS.contoso.local%%amp;quot;) und die entsprechende Serveradresse ein (z. B. 192.168.x.x).
Klicken Sie auf Host hinzufügen, klicken Sie auf OK, und klicken Sie dann auf Fertig.
Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer
Anschließend erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clientcomputer, und fügen Sie dann die Computerkonten der Gruppe hinzu.
So fügen Sie eine Sicherheitsgruppe für Clientcomputer hinzu, die DirectAccess verwenden
Klicken Sie auf dem Server-Manager-Dashboard auf Tools, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
Hinweis
Wenn Active Directory-Benutzer und -Computer nicht im Menü Tools angezeigt wird, müssen Sie das Feature installieren. Um Active Directory-Benutzer und -Gruppen zu installieren, führen Sie das folgende Windows PowerShell-Cmdlet als Administrator aus:
Install-WindowsFeature RSAT-ADDS-Tools. Weitere Informationen finden Sie unter Installieren oder Entfernen der Remoteserver-Verwaltungstools.Erweitern Sie in der Konsolenstruktur den Server, klicken Sie mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu, und klicken Sie dann auf Gruppe.
Geben Sie einen Gruppennamen, den Gruppenbereich und den Gruppentyp (Erstellen einer Sicherheitsgruppe) ein, und klicken Sie dann auf OK.
Die neue Sicherheitsgruppe wird dem Ordner Benutzer hinzugefügt.
So fügen Sie Computerkonten zur Sicherheitsgruppe hinzu
Klicken Sie auf dem Server-Manager-Dashboard auf Tools, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
In der Konsolenstruktur, erweitern Sie den Server, und klicken Sie dann auf Benutzer.
Klicken Sie in der Liste von Benutzerkonten und Sicherheitsgruppen auf dem Server mit der rechten Maustaste auf die Sicherheitsgruppe, die Sie für DirectAccess erstellt haben, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.
Geben Sie im Dialogfeld die Namen der Computerkonten, die Sie der Gruppe hinzufügen möchten, durch ein Semikolon (;) getrennt ein. Klicken Sie dann auf Namen überprüfen.
Nachdem die Computerkonten überprüft wurden, klicken Sie auf OK. Klicken Sie dann erneut auf OK.
Hinweis
Sie können auch die Registerkarte Mitglied von in den Eigenschaften des Computerkontos verwenden, um das Konto der Sicherheitsgruppe hinzuzufügen.
Schritt 5: Aktivieren und Konfigurieren von DirectAccess
Damit Sie DirectAccess in Windows Server Essentials aktivieren und konfigurieren können, müssen Sie die folgenden Schritte ausführen:
Schritt 5a: Aktivieren von DirectAccess mithilfe der Remotezugriffs-Verwaltungskonsole
Schritt 5c: Aktivieren von Clientcomputern mit Windows 7 Enterprise für DirectAccess
Schritt 5a: Aktivieren von DirectAccess mithilfe der Remotezugriffs-Verwaltungskonsole
Dieser Abschnitt enthält Einzelschrittanweisungen zum Aktivieren von DirectAccess in Windows Server Essentials. Wenn Sie auf dem Server noch kein VPN konfiguriert haben, sollten Sie dies tun, bevor Sie mit diesem Vorgang beginnen. Entsprechende Anweisungen finden Sie unter Verwalten von VPN.
So aktivieren Sie DirectAccess mithilfe der Remotezugriffs-Verwaltungskonsole
Öffnen Sie auf der Startseite Remotezugriffsverwaltung.
Führen Sie im Assistenten zum Aktivieren von DirectAccess folgende Schritte aus:
Überprüfen Sie Voraussetzungen für DirectAccess, und klicken Sie auf Weiter.
Auf der Registerkarte Gruppen auswählen fügen Sie die zuvor für DirectAccess-Clients erstellte Sicherheitsgruppe hinzu. (Wenn Sie die Sicherheitsgruppe nicht erstellt haben, finden Sie entsprechende Anweisungen in Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer.)
Wenn Sie den Remotezugriff auf den Server für mobile Computer über DirectAccess zulassen möchten, klicken Sie auf der Registerkarte Gruppen auswählen auf DirectAccess ausschließlich für mobile Computer aktivieren und anschließend auf Weiter.
Wählen Sie in Netzwerktopologie die Topologie des Servers aus, und klicken Sie dann auf Weiter.
Fügen Sie in Suchliste für DNS-Suffix ggf. das zusätzliche DNS-Suffix für die Clientcomputer hinzu, und klicken Sie dann auf Weiter.
Hinweis
Standardmäßig fügt der Assistent zum Aktivieren von DirectAccess bereits das DNS-Suffix für die aktuelle Domäne hinzu. Sie können bei Bedarf jedoch weitere Domänen hinzufügen.
Überprüfen Sie die anzuwendenden Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), und ändern Sie sie ggf.
Klicken Sie auf Weiterund dann auf Fertig stellen.
Führen Sie den folgenden Windows PowerShell-Befehl im Modus mit erhöhten Rechten aus, um den Remotezugriffsverwaltungs-Dienst neu zu starten:
Restart-Service RaMgmtSvc
Schritt 5b: Entfernen des ungültigen IPv6Prefix im RRAS-Gruppenrichtlinienobjekt (nur Windows Server Essentials)
Dieser Abschnitt gilt für einen Server mit Windows Server Essentials.
Öffnen Sie Windows PowerShell als Administrator, und führen Sie die folgenden Befehle aus:
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
Schritt 5c: Aktivieren von Clientcomputern mit Windows 7 Enterprise für DirectAccess
Wenn Sie über Clientcomputer verfügen, auf denen Windows 7 Enterprise ausgeführt wird, führen Sie das folgende Verfahren zum Aktivieren von DirectAccess auf diesen Computern aus.
So aktivieren Sie die Verwendung von DirectAccess auf Computern unter Windows 7 Enterprise
Öffnen Sie auf der Serverstartseite Remotezugriffsverwaltung.
Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Konfiguration. Klicken Sie dann im Bereich Einstellungsdetails unter Schritt 2 auf Bearbeiten.
Der Setup-Assistent für Remotezugriffsserver wird geöffnet.
Auf der Registerkarte Authentifizierung wählen Sie das Zertifikat der Zertifizierungsstelle (Certification Authority, CA) aus, das das vertrauenswürdige Stammzertifikat werden soll (Sie können das Zertifizierungsstellenzertifikat des Windows Server Essentials-Servers auswählen). Klicken Sie auf Für Windows 7-Clientcomputer Verbindungen über DirectAccess zulassen, und klicken Sie dann auf Weiter.
Folgen Sie den Anweisungen, um den Assistenten fertigzustellen.
Wichtig
Es gibt ein bekanntes Problem, das bei Computern unter Windows 7 Enterprise auftritt, wenn eine Verbindung über DirectAccess hergestellt wird und UR1 auf dem Windows Server Essentials-Server nicht vorinstalliert ist. Um DirectAccess-Verbindungen in dieser Umgebung zu ermöglichen, müssen Sie die folgenden zusätzlichen Schritte ausführen:
Installieren Sie den im Microsoft Knowledge Base-Artikel 2796394 beschriebenen Hotfix auf dem Windows Server Essentials-Server. Starten Sie dann den Server neu. 2. Installieren Sie dann den im Microsoft Knowledge Base-Artikel 2615847 beschriebenen Hotfix auf allen Windows 7-Computern.
Dieses Problem wurde in Windows Server Essentials behoben.
Schritt 5d: Konfigurieren des Netzwerkadressenservers
Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der Einstellungen des Netzwerkadressenservers.
Hinweis
Bevor Sie beginnen, kopieren Sie den Inhalt des Ordners <SystemDrive>\inetpub\wwwroot in den Ordner <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside. Kopieren Sie außerdem die Datei default.aspx aus dem Ordner <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site in den Ordner <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside.
So konfigurieren Sie den Netzwerkadressenserver
Öffnen Sie auf der Startseite Remotezugriffsverwaltung.
In der Remotezugriffs-Verwaltungskonsole klicken Sie auf Konfiguration, und klicken Sie im Detailbereich Remotezugriff einrichten im Schritt 3 auf Bearbeiten.
Im Setup-Assistenten für den Remotezugriffsserver auf der Registerkarte Netzwerkadressenserver wählen Sie Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt, und wählen Sie dann das Zertifikat, das zuvor ausgegeben wurde (in Step 3: Prepare a certificate and DNS record for the network location server).
Folgen Sie den Anweisungen, um den Assistenten fertigzustellen, und klicken Sie dann auf Fertig stellen.
Schritt 5e: Hinzufügen eines Registrierungsschlüssels zur Umgehung der CA-Zertifizierung beim Einrichten des IPsec-Kanals
Im nächsten Schritt konfigurieren Sie den Server, um die CA-Zertifizierung zu umgehen, wenn ein IPsec-Kanal eingerichtet wird.
So fügen Sie einen Registrierungsschlüssel zum Umgehen der CA-Zertifizierung hinzu
Öffnen Sie auf der Startseite Regedit (den Registrierungs-Editor).
Erweitern Sie im Registrierungs-Editor HKEY_LOCAL_MACHINE, erweitern Sie System, erweitern Sie CurrentControlSet, erweitern Sie Services, und erweitern Sie IKEEXT.
Klicken Sie unter IKEEXT mit der rechten Maustaste auf Parameter, klicken Sie auf Neu, und klicken Sie dann auf DWORD-Wert (32 Bit).
Geben Sie dem neu hinzugefügten Wert den Namen ikeflags.
Doppelklicken Sie auf Ikeflags, geben Sie als Typ die Option Hexadezimal an, legen Sie als Wert 8000 fest, und klicken Sie dann auf OK.
Hinweis
Den folgenden Windows PowerShell-Befehl können Sie im erweiterten Modus verwenden, um diesen Registrierungsschlüssel hinzuzufügen:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
Schritt 6: Konfigurieren der Richtlinientabelleneinträge für die Namensauflösung des DirectAccess-Servers
Dieser Abschnitt enthält Anweisungen zum Bearbeiten der Namensauflösungseinträge in der Richtlinientabelle für interne Adressen (z. B. Einträge mit dem Suffix "contoso.local") für DirectAccess-Client-Gruppenrichtlinienobjekte und zum Einrichten der IPHTTPS-Schnittstellenadresse.
So konfigurieren Sie Richtlinientabelleneinträge für die Namensauflösung
Öffnen Sie auf der Startseite Gruppenrichtlinienverwaltung.
Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die standardmäßige Gesamtstruktur und Domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Clienteinstellungen, und klicken Sie dann auf Bearbeiten.
Klicken Sie auf Computerkonfigurationen, klicken Sie auf Richtlinien, klicken Sie auf Windows-Einstellungen, und klicken Sie dann auf Namensauflösungsrichtlinie. Wählen Sie den Eintrag, bei dem der Namespace mit Ihrem DNS-Suffix übereinstimmt, und klicken Sie dann auf Regel bearbeiten.
Klicken Sie auf die Registerkarte DNS-Einstellungen für DirectAccess, und wählen Sie dann DNS-Einstellungen für DirectAccess in dieser Regel aktivieren. Fügen Sie der DNS-Serverliste die IPv6-Adresse für die IP-HTTPS-Schnittstelle hinzu.
Hinweis
Mit dem folgenden Windows PowerShell-Befehl können Sie die IPv6-Adresse abrufen:
(Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress
Schritt 7: Konfigurieren der TCP- und UDP-Firewallregeln für die Gruppenrichtlinienobjekte des DirectAccess-Servers
Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der TCP- und UDP-Firewallregeln für die Gruppenrichtlinienobjekte des DirectAccess-Servers.
So konfigurieren Sie Firewallregeln
Öffnen Sie auf der Startseite Gruppenrichtlinienverwaltung.
Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die standardmäßige Gesamtstruktur und Domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Servereinstellungen, und klicken Sie dann auf Bearbeiten.
Klicken Sie auf Computerkonfiguration, klicken Sie auf Richtlinien, klicken Sie auf Windows-Einstellungen, klicken Sie auf Sicherheitseinstellungen, klicken Sie auf Windows-Firewall mit erweiterter Sicherheit, klicken Sie auf die nächste Ebene Windows-Firewall mit erweiterter Sicherheit, und klicken Sie dann auf Eingehende Regeln. Klicken Sie mit der rechten Maustaste auf Domänennamenserver (TCP eingehend), und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Bereich, und fügen Sie in der Liste Lokale IP-Adresse die IPv6-Adresse der IP-HTTPS-Schnittstelle hinzu.
Wiederholen Sie dieses Verfahren für Domänennamenserver (UDP eingehend).
Schritt 8: Ändern der DNS64-Konfiguration zum Abhören der IP-HTTPS-Schnittstelle
Sie müssen die DNS64-Konfiguration mithilfe des folgenden Windows PowerShell so ändern, dass die IP-HTTPS-Schnittstelle abgehört wird:
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
Schritt 9: Reservieren von Ports für den WinNat-Dienst
Verwenden Sie den folgenden Windows PowerShell-Befehl, um Ports für des WinNat-Diensts zu reservieren. Ersetzen Sie 192.168.1.100 durch die tatsächliche IPv4-Adresse des Windows Server Essentials-Servers.
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
Wichtig
Um Portkonflikte mit Anwendungen zu vermeiden, stellen sicher, dass der für den WinNat-Dienst reservierte Portbereich nicht Port 6602 enthält.
Schritt 10: Neustarten des WinNat-Diensts
Mit dem folgenden Windows PowerShell-Befehl starten Sie den Windows-NAT-Treiberdienst (WinNat)-Dienst neu.
Restart-Service winnat
Anhang: Einrichten von DirectAccess mithilfe von Windows PowerShell
In diesem Abschnitt wird das Einrichten und Konfigurieren von DirectAccess mithilfe von Windows PowerShell beschrieben.
Vorbereitung
Bevor Sie mit der Konfiguration des Servers für DirectAccess beginnen, müssen Sie folgende Schritte ausführen:
Führen Sie das Verfahren in Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver aus, um ein Zertifikat mit dem Namen DirectAccess-NLS.contoso.com zu registrieren (wobei contoso.com durch den tatsächlichen internen Domänennamen ersetzt wird) und einen DNS-Eintrag für den Netzwerkadressenserver (Network Location Server, NLS) hinzuzufügen.
Fügen Sie in Active Directory eine Sicherheitsgruppe mit dem Namen DirectAccessClients hinzu, und fügen Sie dann Clientcomputer hinzu, auf denen Sie die DirectAccess-Funktionen bereitstellen möchten. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer.
Befehle
Wichtig
In Windows Server Essentials muss das unnötige IPv6-Präfix-Gruppenrichtlinienobjekt nicht entfernt werden. Löschen Sie den Codeabschnitt mit der folgenden Beschriftung: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.
# Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }
# Server may need to restart if you installed RemoteAccess role in the above step
# Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name
# Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)
# Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}
# Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
# Install DirectAccess.
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force
#Restart Remote Access Management service
Restart-Service RaMgmtSvc
# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
# Enable client computers running Windows 7 to use DirectAccess
$allcertsinroot = dir cert:\LocalMachine\root
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}
Set-DAServer -IPSecRootCertificate $rootcert[0]
Set -DAClient -OnlyRemoteComputers Disabled -Downlevel Enabled
#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup
Remove-DAClient -SecurityGroupNameList "Domain Computers"
# Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration
# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP
# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y
# Reserve ports for the WinNat service
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
# Restart the WinNat service
Restart-Service winnat