Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird die Konfiguration der Client- und Servereinstellungen erläutert, die für eine einfache Remotezugriffsbereitstellung mit dem Assistenten zum Aktivieren von DirectAccess erforderlich sind.
Die folgende Tabelle gibt einen Überblick über die Schritte, die Sie mithilfe dieses Themas abschließen können.
| Aufgabe | BESCHREIBUNG |
|---|---|
| Konfigurieren von DirectAccess-Clients | Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten. |
| Konfigurieren der Netzwerktopologie | Konfigurieren Sie die Einstellungen des Remotezugriffsservers. |
| Konfigurieren der Suchliste für DNS-Suffixe | Ändern Sie die Suchliste für Suffixe bei Bedarf. |
| Konfiguration der Gruppenrichtlinienobjekte | Ändern Sie bei Bedarf die Gruppenrichtlinienobjekte. |
So starten Sie den Assistenten zum Aktivieren von DirectAccess
Klicken Sie im Server-Manager auf Tools und dann auf Remotezugriff.Der Assistent zum Aktivieren von DirectAccess startet automatisch, sofern Sie nicht die Option Nicht mehr anzeigen ausgewählt haben.
Wenn der Assistent nicht automatisch startet, klicken Sie mit der rechten Maustaste auf den Serverknoten in der Struktur Routing und Remotezugriff und anschließend auf DirectAccess aktivieren.
Klicken Sie auf Weiter.
Konfigurieren von DirectAccess-Clients
Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie das DirectAccess-Gruppenrichtlinienobjekt empfangen.
Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.
Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die DirectAccess-Clientcomputer enthalten.
Aktivieren Sie das Kontrollkästchen DirectAccess ausschließlich für mobile Computer aktivieren, damit nur mobile Computer auf das interne Netzwerk zugreifen können.
Aktivieren Sie das Kontrollkästchen Tunnelerzwingung verwenden, um den gesamten Client-Datenverkehr (an das interne Netzwerk und das Internet) bei Bedarf über den Remotezugriffsserver zu leiten.
Klicken Sie auf Weiter.
Konfigurieren der Netzwerktopologie
Um Remote Access bereitzustellen, müssen Sie den Remotezugriffsserver mit den richtigen Netzwerkadaptern konfigurieren, einer öffentlichen URL für den Remotezugriffsserver, mit der sich Clientcomputer verbinden können (die Verbindungsadresse), und einem IP-HTTPS-Zertifikat, dessen Betreff der Verbindungsadresse entspricht.
- Klicken Sie auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter den öffentlichen Namen oder die öffentliche IPv4-Adresse ein, die von Clients zur Verbindung mit dem Remote Access-Server verwendet wird, den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.
Konfigurieren der Suchliste für DNS-Suffixe
Für DNS-Clients können Sie eine Suchliste für DNS-Domänensuffixe konfigurieren, die die DNS-Suchfunktionen erweitert oder überarbeitet. Indem Sie zusätzliche Suffixe zu der Liste hinzufügen, können Sie in mehreren angegebenen DNS-Domänen nach kurzen, nicht qualifizierten Computernamen suchen. Wenn anschließend eine DNS-Abfrage fehlschlägt, kann der DNS-Clientdienst anhand dieser Liste andere Namenssuffixe an Ihren ursprünglichen Namen anhängen und die DNS-Abfragen an den DNS-Server unter Verwendung dieser alternativen FQDNs wiederholen.
Wählen Sie DirectAccess-Clients mit der Suchliste für DNS-Clientsuffixe konfigurieren, um zusätzliche Suffixe für Clientnamen-Suchvorgänge anzugeben.
Geben Sie in das Feld Neues Suffix einen neuen Suffixnamen ein, und klicken Sie dann auf Hinzufügen. Außerdem können Sie die Suchreihenfolge ändern und Suffixe aus der Liste Zu verwendende Domänensuffixe entfernen.
[HINWEIS] In einem Szenario mit einem nicht zusammenhängenden Namespace (mindestens ein Domänencomputer verfügt über ein DNS-Suffix, das nicht mit der Active Directory-Domäne übereinstimmt, der dieser Computer angehört) sollten Sie sicherstellen, dass die Suchliste so angepasst wird, dass sie alle erforderlichen Suffixe enthält. Der Assistent für Remotezugriff konfiguriert standardmäßig den DNS-Namen von Active Directory als primäres DNS-Suffix auf dem Client. Der Administrator sollte sicherstellen, dass er das von den Clients zur Namensauflösung verwendete DNS-Suffix hinzufügt.
Für Computer und Server ist das folgende DNS-Standardsuchverhalten voreingestellt und wird beim Auflösen kurzer, nicht qualifizierter Namen verwendet. Ist die Suchliste für DNS-Suffixe leer oder nicht angegeben, wird das primäre DNS-Suffix des Computers an die kurzen, nicht qualifizierten Namen angehängt. Für die Auflösung des daraus resultierenden FQDN wird eine DNS-Abfrage genutzt.
Wenn die Abfrage fehlschlägt, kann der Computer versuchen, zusätzliche Abfragen für alternative FQDNs durchzuführen, indem ein beliebiges verbindungsspezifisches DNS-Suffix angehängt wird, das für Netzwerkverbindungen konfiguriert ist. Wenn keine verbindungsspezifischen Suffixe konfiguriert sind oder Abfragen für die daraus resultierenden verbindungsspezifischen FQDNs fehlschlagen, kann der Client damit beginnen, die Abfragen basierend auf der systematischen Reduzierung des primären Suffixes (auch als Verkürzung bezeichnet) erneut auszuführen.
Wenn das primäre Suffix beispielsweise „beispiel.microsoft.com“ lautet, kann der Devolutionsprozess Abfragen nach dem Kurznamen erneut ausführen, indem er in den Domänen „microsoft.com“ und „com“ danach sucht.
Wenn die Suchliste für DNS-Suffixe nicht leer ist und darin mindestens ein DNS-Suffix angegeben ist, sind Versuche zum Qualifizieren und Auflösen von DNS-Kurznamen darauf beschränkt, nur die FQDNs zu durchsuchen, die in der angegebenen Suffixliste enthalten sind.
Wenn die Abfragen für alle durch das Anfügen und Versuchen der Suffixe in der Liste gebildeten FQDNs nicht aufgelöst werden können, schlägt der Abfragevorgang fehl und als Ergebnis wird "Name nicht gefunden" ausgegeben.
Warnung
Wenn die Domänensuffixliste verwendet wird, senden die Clients weiterhin zusätzliche auf den verschiedenen DNS-Domänennamen basierende alternative Abfragen, wenn eine Abfrage nicht beantwortet oder aufgelöst wird. Nachdem ein Name mit einem Eintrag in der Suffixliste aufgelöst wurde, werden die nicht verwendeten Listeneinträge nicht versucht. Aus diesem Grund ist es am effizientesten, die Liste zunächst nach den am meisten verwendeten Domänensuffixen zu sortieren.
Suchen nach Domänennamensuffixen werden nur verwendet, wenn ein DNS-Name nicht vollqualifiziert ist. Um einen DNS-Namen vollständig zu qualifizieren, müssen Sie am Ende des Namens einen Punkt (.) eingeben.
Konfiguration der Gruppenrichtlinienobjekte
Die beim Konfigurieren des Remotezugriffs konfigurierten DirectAccess-Einstellungen werden in Gruppenrichtlinienobjekten (GPO) erfasst.
In GPO-Einstellungen werden der GPO-Name des DirectAccess-Servers und der Client-GPO-Name aufgelistet. Zusätzlich können Sie die GPO-Auswahleinstellungen ändern.
Die beiden Gruppenrichtlinienobjekte werden mit DirectAccess-Einstellungen aufgefüllt und wie folgt verteilt:
Gruppenrichtlinienobjekt des DirectAccess-Clients. Dieses Gruppenrichtlinienobjekt enthält die Client-Einstellungen, einschließlich der Einstellungen für die IPv6-Übergangstechnologie, der Einträge in der Richtlinientabelle für die Namensauflösung und der Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.
Gruppenrichtlinienobjekt des DirectAccess-Servers. Dieses Gruppenrichtlinienobjekt enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden Server angewendet werden, der in Ihrer Bereitstellung als RAS-Server konfiguriert wurde. Außerdem enthält es die Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.
Zusammenfassung
Wenn die Konfiguration des Remotezugriffs abgeschlossen ist, wird das Dialogfeld Zusammenfassung angezeigt. Sie können die konfigurierte Einstellung ändern oder auf Fertig stellen klicken, um die Konfiguration anzuwenden.