Schritt 2: Konfigurieren des DirectAccess-VPN-Servers

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird die Konfiguration der Client- und Servereinstellungen erläutert, die für eine einfache Remotezugriffsbereitstellung mit dem Assistenten zum Aktivieren von DirectAccess erforderlich sind.

Die folgende Tabelle enthält eine Übersicht über die Schritte, die Sie mithilfe dieses Themas ausführen können.

Aufgabe Beschreibung
Konfigurieren von DirectAccess-Clients Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten.
Konfigurieren der Netzwerktopologie Konfigurieren Sie die Einstellungen des RAS-Servers.
Konfigurieren der Suchliste für DNS-Suffixe Ändern Sie die Suchliste für DNS-Suffixe bei Bedarf.
Konfiguration der Gruppenrichtlinienobjekte Ändern Sie bei Bedarf die Gruppenrichtlinienobjekte.

So starten Sie den Assistenten zum Aktivieren von DirectAccess

  1. Klicken Sie in Server-Manager auf Extras und dann auf Remotezugriff. Der Assistent zum Aktivieren von DirectAccess wird automatisch gestartet, es sei denn, Sie haben die Option Diesen Bildschirm nicht erneut anzeigen ausgewählt.

  2. Wenn der Assistent nicht automatisch startet, klicken Sie mit der rechten Maustaste auf den Serverknoten in der Struktur Routing und Remotezugriff und anschließend auf DirectAccess aktivieren.

  3. Klicken Sie auf Weiter.

Konfigurieren von DirectAccess-Clients

Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie das DirectAccess-Gruppenrichtlinienobjekt empfangen.

  1. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.

  2. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die DirectAccess-Clientcomputer enthalten.

  3. Aktivieren Sie das Kontrollkästchen DirectAccess ausschließlich für mobile Computer aktivieren, damit nur mobile Computer auf das interne Netzwerk zugreifen können.

  4. Aktivieren Sie das Kontrollkästchen Tunnelerzwingung verwenden, um den gesamten Client-Datenverkehr (an das interne Netzwerk und das Internet) bei Bedarf über den Remotezugriffsserver zu leiten.

  5. Klicken Sie auf Weiter.

Konfigurieren der Netzwerktopologie

Um den Remotezugriff bereitzustellen, müssen Sie den Remotezugriffsserver mit korrekten Netzwerkadaptern, einer öffentlichen URL für den Remotezugriffsserver, zu dem Clientcomputer eine Verbindung aufbauen können (die ConnectTo-Adresse), einem IP-HTTPS-Zertifikat mit einem Antragsteller, der mit der ConnectTo-Adresse übereinstimmt, konfigurieren.

  1. Klicken Sie auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.

Konfigurieren der Suchliste für DNS-Suffixe

Für DNS-Clients können Sie eine Suchliste für ein DNS-Domänensuffixe konfigurieren, die die DNS-Suchfunktionen erweitert oder überprüft. Indem Sie zusätzliche Suffixe zu der Liste hinzufügen, können Sie in mehreren angegebenen DNS-Domänen nach kurzen, nicht qualifizierten Computernamen suchen. Wenn dann bei einer DNS-Abfrage ein Fehler auftritt, kann der DNS-Clientdienst diese Liste verwenden, um andere Namenssuffixenden an Ihren ursprünglichen Namen anzufügen und DNS-Abfragen für diese alternativen FQDNs an den DNS-Server zu wiederholen.

  1. Wählen Sie DirectAccess-Clients mit der Suchliste für DNS-Clientsuffixe konfigurieren, um zusätzliche Suffixe für Clientnamen-Suchvorgänge anzugeben.

  2. Geben Sie unter Neues Suffix einen neuen Suffixnamen ein, und klicken Sie dann auf Hinzufügen. Darüber hinaus können Sie die Suchreihenfolge ändern und Suffixe aus Domänensuffixen entfernen, die verwendet werden sollen.

[HINWEIS] In einem Zusammenhang mit dem Namensbereich (in dem mindestens ein Domänencomputer über ein DNS-Suffix verfügt, das nicht mit der Active Directory-Domäne übereinstimmt, zu der die Computer gehören), sollten Sie sicherstellen, dass die Suchliste so angepasst ist, dass sie alle erforderlichen Suffixe enthält. Der RAS-Assistent konfiguriert den Active Directory-DNS-Namen standardmäßig als primäres DNS-Suffix auf dem Client. Der Administrator sollte sicherstellen, dass er das von den Clients zur Namensauflösung verwendete DNS-Suffix hinzufügt.

Für Computer und Server ist das folgende DNS-Standardsuchverhalten vordefiniert und wird verwendet, wenn kurze, nicht qualifizierte Namen ausgefüllt und aufgelöst werden. Wenn die Suffixsuchliste leer oder nicht angegeben ist, wird das primäre DNS-Suffix des Computers an kurze nicht qualifizierte Namen angefügt, und es wird eine DNS-Abfrage verwendet, um den resultierenden FQDN aufzulösen.

Wenn diese Abfrage fehlschlägt, kann der Computer zusätzliche Abfragen für alternative FQDNs ausprobieren, indem er ein beliebiges verbindungsspezifisches DNS-Suffix anfügt, das für Netzwerkverbindungen konfiguriert ist. Wenn keine verbindungsspezifischen Suffixe konfiguriert sind oder Abfragen für diese resultierenden verbindungsspezifischen FQDNs fehlschlagen, kann der Client dann versuchen, Abfragen basierend auf der systematischen Reduzierung des primären Suffixes (auch als Devolution bezeichnet) erneut zu versuchen.

Wenn das primäre Suffix beispielsweise "example.microsoft.com" ist, kann der Devolutionsprozess Abfragen für den Kurznamen wiederholen, indem er in den Domänen "microsoft.com" und "com" danach sucht.

Wenn die Suffixsuchliste nicht leer ist und mindestens ein DNS-Suffix angegeben ist, ist der Versuch, kurze DNS-Namen zu qualifizieren und aufzulösen, auf die Suche nur auf die FQDNs beschränkt, die durch die angegebene Suffixliste möglich sind.

Wenn die Abfragen für alle durch das Anfügen und Versuchen der Suffixe in der Liste gebildeten FQDNs nicht aufgelöst werden können, schlägt der Abfragevorgang fehl und als Ergebnis wird "Name nicht gefunden" ausgegeben.

Warnung

Wenn die Domänensuffixliste verwendet wird, senden die Clients weiterhin zusätzliche auf den verschiedenen DNS-Domänennamen basierende alternative Abfragen, wenn eine Abfrage nicht beantwortet oder aufgelöst wird. Nachdem ein Name mit einem Eintrag in der Suffixliste aufgelöst wurde, werden die nicht verwendeten Listeneinträge nicht versucht. Aus diesem Grund ist es am effizientesten, die Liste zunächst nach den am meisten verwendeten Domänensuffixen zu sortieren.

Suchen nach Domänennamensuffixen werden nur verwendet, wenn ein DNS-Name nicht vollqualifiziert ist. Um einen DNS-Namen voll zu qualifizieren, müssen Sie am Ende des Namens einen nachstehenden Punkt (.) eingeben.

Konfiguration der Gruppenrichtlinienobjekte

Wenn Sie den Remotezugriff konfigurieren, werden DirectAccess-Einstellungen in Gruppenrichtlinie-Objekten (GPO) erfasst.

In GPO-Einstellungen werden der DirectAccess-Server-Gruppenrichtlinienobjektname und der Client-Gruppenrichtlinienobjektname aufgeführt. Zusätzlich können Sie die GPO-Auswahleinstellungen ändern.

Zwei Gruppenrichtlinienobjekte werden automatisch mit DirectAccess-Einstellungen aufgefüllt und auf diese Weise verteilt:

  1. DirectAccess-Client-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält die Client-Einstellungen, einschließlich der Einstellungen für die IPv6-Übergangstechnologie, der Einträge in der Richtlinientabelle für die Namensauflösung und der Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.

  2. DirectAccess-Server-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden Server angewendet werden, der als Remotezugriffsserver in Ihrer Bereitstellung konfiguriert ist. Außerdem enthält es die Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.

Zusammenfassung

Sobald die Remotezugriffskonfiguration abgeschlossen ist, wird die Zusammenfassung angezeigt. Sie können die konfigurierten Einstellungen ändern oder auf Fertig stellen klicken, um die Konfiguration anzuwenden.