Schritt 1 Konfigurieren der DirectAccess-Infrastruktur

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die erforderliche Infrastruktur zur Aktivierung von DirectAccess für eine vorhandene VPN-Bereitstellung konfigurieren. Stellen Sie vor Beginn der Bereitstellungsschritte sicher, dass Sie die in Schritt 1 beschriebenen Planungsschritte abgeschlossen haben : Plan DirectAccess Infrastructure.

Aufgabe BESCHREIBUNG
Konfigurieren von Servernetzwerkeinstellungen Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver.
Konfigurieren des Routings im Unternehmensnetzwerk Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird.
Konfigurieren von Firewalls Konfigurieren Sie bei Bedarf zusätzliche Firewalls.
Konfigurieren von Zertifizierungsstellen und Zertifikaten Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.
Konfigurieren des DNS-Servers Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver.
Konfigurieren von Active Directory Fügen Sie der Active Directory-Domäne Clientcomputer hinzu.
Konfigurieren der Gruppenrichtlinienobjekte Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte für die Bereitstellung.
Konfigurieren von Sicherheitsgruppen Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind.
Konfigurieren des Netzwerkadressenservers Der Assistent zum Aktivieren von DirectAccess konfiguriert den Netzwerkadressenserver auf dem DirectAccess-Server.

Konfigurieren von Servernetzwerkeinstellungen

Für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 sind folgende Netzwerkschnittstelleneinstellungen erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.

  • Edgetopologie

    • Eine öffentliche, statische IPv4- oder IPv6-Adresse mit Internetzugriff.

    • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse

  • Hinter einem NAT-Gerät (mit zwei Netzwerkadaptern)

    • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse mit Netzwerkzugriff
  • Hinter einem NAT-Gerät (mit einem Netzwerkadapter)

    • Eine einzelne, statische IPv4- oder IPv6-Adresse.

Hinweis

Für den Fall, dass der Remotezugriffsserver zwei Netzwerkadapter besitzt (einer, der in dem Domänenprofil klassifiziert ist und der andere in einem öffentlichen/privaten Profil), jedoch nur eine einzelne NIC-Topologie verwendet wird, wird Folgendes empfohlen:

  1. Vergewissern Sie sich, dass auch die zweite NIC in dem Domänenprofil klassifiziert ist.

  2. Wenn die zweite NIC aus einem bestimmten Grund nicht für das Domänenprofil konfiguriert werden kann, muss der Bereich für die DirectAccess IPsec-Richtlinie manuell mithilfe der folgenden Windows PowerShell-Befehle festgelegt werden:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
    Save-NetGPO -GPOSession $gposession
    

Konfigurieren des Routings im Unternehmensnetzwerk

Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:

  • Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.

  • Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine öffentliche Route hinzu, sodass der gesamte Datenverkehr mit Organisations-IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.

Konfigurieren von Firewalls

Wenden Sie bei zusätzlichen Firewalls in der Bereitstellung die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:

  • 6to4 Datenverkehr-IP-Protokoll 41 eingehende und ausgehende Daten.

  • IP-HTTPS-HTTPS-Transmission Control Protocol (TCP)-Zielport 443 und TCP-Quellport 443 ausgehend. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.

Wenden Sie bei zusätzlichen Firewalls die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:

  • IP-Protokoll 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.

Wenden Sie bei zusätzlichen Firewalls die folgenden internen Netzwerkfirewallausnahmen für RAS-Datenverkehr an:

  • ISATAP-Protocol 41 eingehende und ausgehende Daten

  • TCP/UDP für den gesamten IPv4/IPv6-Datenverkehr

Konfigurieren von Zertifizierungsstellen und Zertifikaten

Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.

Konfigurieren von Zertifikatvorlagen

Wenn Sie zur Ausstellung von Zertifikaten eine interne Zertifizierungsstelle verwenden, müssen Sie für das IP-HTTPS-Zertifikat und das Netzwerkadressenserver-Websitezertifikat eine Zertifikatvorlage konfigurieren.

So konfigurieren Sie eine Zertifikatvorlage
  1. Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.

  2. Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.

Konfigurieren des IP-HTTPS-Zertifikats

Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:

  • Öffentlich bereitgestellt von einer 3. Partei.

    Dies ist ein Zertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Wenn der Antragstellername des Zertifikats kein Platzhalter ist, muss er mit der extern auflösbaren FQDN-URL übereinstimmen, die nur für Remotezugriffsserver-IP HTTPS-Verbindungen verwendet wird.

  • Private-Die folgenden sind erforderlich, wenn sie noch nicht vorhanden sind:

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren, vollqualifizierten Domänennamen (FQDN) handeln, der über das Internet erreichbar ist.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren FQDN erreichbar ist.

  • Selbst signiert-Die folgenden sind erforderlich, wenn sie noch nicht vorhanden sind:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren FQDN handeln, der über das Internet erreichbar ist.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren vollqualifizierten Domänennamen (FQDN) erreichbar ist.

Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.

  • Geben Sie im Feld Antragsteller die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an.

  • Geben Sie im Feld %%amp;quot;Erweiterte Schlüsselverwendung%%amp;quot; die Serverauthentifizierungs-Objektkennung (OID) an.

  • Geben Sie im Feld "Sperrlisten-Verteilungspunkte" einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.

So installieren Sie das IP-HTTPS-Zertifikat von einer internen Zertifizierungsstelle
  1. Geben Sie auf dem Remotezugriffsserver auf dem Startbildschirmmmc.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  6. Klicken Sie zweimal auf Weiter.

  7. Aktivieren Sie auf der Seite " Zertifikate anfordern" das Kontrollkästchen für die Zertifikatvorlage, und klicken Sie bei Bedarf auf "Weitere Informationen", um sich für dieses Zertifikat anzumelden.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  9. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  11. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  13. Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.

  14. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  15. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.

Konfigurieren des DNS-Servers

Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.

So erstellen Sie den Netzwerkadressenserver und DNS-Einträge für den Webtest

  1. Geben Sie auf dem internen NETZWERK-DNS-Server folgendes ein: Geben Sie auf dem Startbildschirm ** dnsmgmt.msc** ein, und drücken Sie dann die EINGABETASTE.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und anschließend auf Neuer Host (A oder AAAA).

  3. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen für die Netzwerkadressenserver-Website (mit diesem Namen verbinden sich die DirectAccess-Clients mit dem Netzwerkadressenserver) ein. Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Netzwerkadressenservers ein und klicken Sie dann auf Host hinzufügen. Klicken Sie im Dialogfeld DNS auf OK.

  4. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen des Webtests ein (der Name für Standard-Webtests lautet directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld DNS auf OK.

  5. Klicken Sie auf Fertig.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:

  • Die IP-HTTPS-Server-DirectAccess-Clients müssen den DNS-Namen des Remotezugriffsservers im Internet auflösen können.

  • CRL-Sperrüberprüfung-DirectAccess verwendet die Zertifikatsperrüberprüfung für die IP-HTTPS-Verbindung zwischen DirectAccess-Clients und dem Remotezugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkstandortserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.

Konfigurieren von Active Directory

Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:

  • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.

  • Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.

  • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.

So fügen Sie Clientcomputer zur Domäne hinzu

  1. Geben Sie auf dem Startbildschirmexplorer.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.

  4. Klicken Sie auf der Registerkarte Computername im Dialogfeld Systemeigenschaften auf Ändern.

  5. Geben Sie unter Computername den Namen des Computers ein, falls Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll, z. B. %%amp;quot;corp.contoso.com%%amp;quot;, und klicken Sie dann auf OK.

  6. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der über die Berechtigung zum Durchführen des Beitritts von Computern zur Domäne verfügt. Klicken Sie anschließend auf OK.

  7. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.

  8. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf „Schließen“. Klicken Sie bei Aufforderung auf Jetzt neu starten.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Beachten Sie, dass Sie die Domänenanmeldeinformationen nach der Eingabe des nachfolgenden Befehls %%amp;quot;Add-Computer%%amp;quot; bereitstellen müssen.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurieren der Gruppenrichtlinienobjekte

Zum Bereitstellen von Remotezugriff benötigen Sie mindestens zwei Gruppenrichtlinie Objekte: ein Gruppenrichtlinie Objekt enthält Einstellungen für den Remotezugriffsserver und eine enthält Einstellungen für DirectAccess-Clientcomputer. Wenn Sie Remotezugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinie Objekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinie Objekten verfügen, müssen sie vor dem Konfigurieren des Remotezugriffs erstellt werden.

Informationen zum Erstellen Gruppenrichtlinie Objekte finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinie Objekts.

Wichtig

Der Administrator kann die DirectAccess-Gruppenrichtlinie Objekte manuell mit einer Organisationseinheit verknüpfen, indem Sie die folgenden Schritte ausführen:

  1. Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.
  2. Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.
  3. Der Remotezugriffsadministrator kann die Berechtigung haben, die Gruppenrichtlinie Objekte mit der Domäne zu verknüpfen. In beiden Fällen werden die Gruppenrichtlinienobjekte automatisch konfiguriert. Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt und die die Gruppenrichtlinienobjekte werden nicht mit der Domäne verknüpft. Für ein Server-Gruppenrichtlinienobjekt muss die Organisationseinheit das Servercomputerobjekt enthalten, andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.
  4. Wenn die Verknüpfung mit der OU vor dem Ausführen des DirectAccess-Assistenten nicht ausgeführt wurde, kann der Domänenadministrator die DirectAccess-Gruppenrichtlinie Objekte mit den erforderlichen Organisationseinheiten verknüpfen. Die Verknüpfung zur Domäne kann entfernt werden. Schritte zum Verknüpfen eines Gruppenrichtlinie Objekts mit einer Organisationseinheit finden Sie hier.

Hinweis

Wenn ein Gruppenrichtlinie-Objekt manuell erstellt wurde, ist es während der DirectAccess-Konfiguration möglich, dass das Gruppenrichtlinie-Objekt nicht verfügbar ist. Das Gruppenrichtlinie-Objekt wurde möglicherweise nicht auf den nächstgelegenen Domänencontroller des Verwaltungscomputers repliziert. In diesem Fall kann der Administrator warten, bis die Replikation abgeschlossen ist oder er kann die Replikation erzwingen.

Konfigurieren von Sicherheitsgruppen

Die DirectAccess-Einstellungen, die auf dem Clientcomputer Gruppenrichtlinie Objekt enthalten sind, werden nur auf Computer angewendet, die Mitglieder der Sicherheitsgruppen sind, die Sie beim Konfigurieren von Remotezugriff angeben. Außerdem müssen Sie eine Sicherheitsgruppe für diese Server erstellen, wenn Sie zum Verwalten Ihrer Anwendungsserver Sicherheitsgruppen verwenden.

So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients

  1. Geben Sie auf dem Startbildschirm die EINGABETASTE ein. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.

  2. Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.

  3. Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.

  4. Doppelklicken Sie auf die Sicherheitsgruppe der DirectAccess-Clientcomputer und dann im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder.

  5. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  6. Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Konfigurieren des Netzwerkadressenservers

Der Netzwerkadressenserver sollte sich auf einem Server mit hoher Verfügbarkeit befinden und über ein gültiges SSL-Zertifikat verfügen, dem die DirectAccess-Clients vertrauen. Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:

  • Private-Die folgenden sind erforderlich, wenn sie noch nicht vorhanden sind:

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.

    • Ein Sperrlisten-Verteilungspunkt mit hoher Verfügbarkeit aus dem internen Netzwerk.

  • Selbst signiert-Die folgenden sind erforderlich, wenn sie noch nicht vorhanden sind:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.

Hinweis

Wenn sich die Netzwerkadressenserver-Website auf einem Remotezugriffsserver befindet, wird bei der Konfiguration des Remotezugriffs automatisch eine Website erstellt, die an das von Ihnen angegebene Serverzertifikat gebunden ist.

So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen Zertifizierungsstelle

  1. Geben Sie auf dem Server , auf dem die Website des Netzwerkspeicherortservers gehostet wird: Geben Siemmc.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  6. Klicken Sie zweimal auf Weiter.

  7. Aktivieren Sie auf der Seite " Zertifikate anfordern" das Kontrollkästchen für die Zertifikatvorlage, und klicken Sie bei Bedarf auf "Weitere Informationen", um sich für dieses Zertifikat anzumelden.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  9. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  11. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  13. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  14. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.