DirectAccess nicht unterstützte Konfigurationen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Überprüfen Sie vor dem Beginn der Bereitstellung die folgende Liste nicht unterstützter DirectAccess-Konfigurationen, um zu vermeiden, dass die Bereitstellung erneut gestartet werden muss.

FRS-Verteilung (File Replication Service) von Gruppenrichtlinienobjekten (SYSVOL-Replikationen)

Stellen Sie DirectAccess nicht in Umgebungen bereit, in denen auf den Domänencontrollern der Dateireplikationsdienst (File Replication Service, FRS) für die Verteilung von Gruppenrichtlinienobjekten (SYSVOL-Replikationen) ausgeführt wird. Die Bereitstellung von DirectAccess wird mit FRS nicht unterstützt.

Sie verwenden FRS, wenn Sie über Domänencontroller verfügen, auf denen Windows Server 2003 oder Windows Server 2003 R2 ausgeführt wird. Darüber hinaus verwenden Sie möglicherweise FRS, wenn Sie zuvor Windows 2000 Server- oder Windows Server 2003-Domänencontroller verwendet haben und nie die SYSVOL-Replikation von FRS zu DFS-R (Replikation im verteilten Dateisystem) migriert haben.

Wenn Sie DirectAccess mit der SYSVOL-Replikation über FRS bereitstellen, riskieren Sie das unbeabsichtigte Löschen der DirectAccess-Gruppenrichtlinienobjekte, die den DirectAccess-Server und die Clientkonfigurationsinformationen enthalten. Wenn diese Objekte gelöscht werden, kommt es zu einem Ausfall Ihrer DirectAccess-Bereitstellung, und Clientcomputer, die DirectAccess nutzen, können keine Verbindung mehr mit Ihrem Netzwerk herstellen.

Wenn Sie die Bereitstellung von DirectAccess planen, müssen Sie Domänencontroller, auf denen neuere Betriebssysteme als Windows Server 2003 R2 ausgeführt werden, und DFS-R verwenden.

Informationen zur Migration von FRS zu DFS-R finden Sie in der Anleitung zur SYSVOL-Replikationsmigration: FRS- zu DFS-Replikation.

Netzwerkzugriffsschutz für DirectAccess-Clients

Mit dem Netzwerkzugriffsschutz (Network Access Protection, NAP) wird ermittelt, ob Remoteclientcomputer IT-Richtlinien einhalten, bevor ihnen der Zugriff auf ein Unternehmensnetzwerk gewährt wird. NAP wurde in Windows Server 2012 R2 als veraltet markiert und ist in Windows Server 2016 nicht enthalten. Aus diesem Grund wird das Starten einer neuen Bereitstellung von DirectAccess mit NAP nicht empfohlen. Es wird eine andere Methode der Endpunktsteuerung für die Sicherheit von DirectAccess-Clients empfohlen.

Unterstützung mehrerer Sites für Windows 7-Clients

Wenn DirectAccess in einer Bereitstellung mit mehreren Standorten konfiguriert ist, können Windows 10®-, Windows® 8.1- und Windows® 8-Clients eine Verbindung mit der nächstgelegenen Site herstellen. Windows 7®-Clientcomputer verfügen nicht über diese Funktion. Die Siteauswahl für Windows 7-Clients wird zum Zeitpunkt der Richtlinienkonfiguration auf eine bestimmte Site festgelegt, und diese Clients stellen unabhängig von ihrem Standort immer eine Verbindung mit der angegebenen Site her.

Benutzerbasierte Zugriffssteuerung

DirectAccess-Richtlinien sind computerbasiert und nicht benutzerbasiert. Das Angeben von DirectAccess-Benutzerrichtlinien zum Steuern des Zugriffs auf das Unternehmensnetzwerk wird nicht unterstützt.

Anpassen der DirectAccess-Richtlinie

DirectAccess kann mithilfe des DirectAccess-Setup-Assistenten, der Remotezugriffs-Verwaltungskonsole oder der Remotezugriffs-Cmdlets für Windows PowerShell konfiguriert werden. Die Konfiguration von DirectAccess mit anderen Mitteln als dem DirectAccess Setup-Assistenten, z. B. die direkte Änderung von DirectAccess-Gruppenrichtlinienobjekten oder die manuelle Änderung der Standardrichtlinieneinstellungen auf dem Server oder Client, wird nicht unterstützt. Diese Änderungen können zu einer unbrauchbaren Konfiguration führen.

KerbProxy-Authentifizierung

Wenn Sie einen DirectAccess-Server mit dem Assistenten für erste Schritte konfigurieren, wird der Server automatisch für die KerbProxy-Authentifizierung für Computer und Benutzer*innen konfiguriert. Aus diesem Grund sollten Sie den Assistenten für erste Schritte nur in Einzelstandortbereitstellungen verwenden, bei denen ausschließlich Windows 10®-, Windows 8.1- und Windows 8-Clients bereitgestellt werden.

Darüber hinaus sollten die folgenden Features nicht mit der KerbProxy-Authentifizierung verwendet werden:

  • Externer Lastenausgleich oder Windows Load Balancer

  • Zweistufige Authentifizierung mit Smartcards oder Einmalkennwort (One-Time Password, OTP)

Die folgenden Bereitstellungspläne werden nicht unterstützt, wenn Sie die KerbProxy-Authentifizierung aktivieren:

  • Mehrere Standorte.

  • DirectAccess-Unterstützung für Windows 7-Clients.

  • Erzwingen von Tunneln. Um sicherzustellen, dass die KerbProxy-Authentifizierung bei Verwendung der Tunnelerzwingung nicht aktiviert ist, konfigurieren Sie beim Ausführen des Assistenten die folgenden Elemente:

    • Aktivieren des Erzwingens von Tunneln

    • Aktivieren von DirectAccess für Windows 7-Clients

Hinweis

Für die vorherigen Bereitstellungen sollten Sie den Assistenten für erweiterte Konfigurationen verwenden. Hierbei wird eine Konfiguration mit zwei Tunneln mit einer zertifikatbasierten Authentifizierung für Computer und Benutzer*innen verwendet. Weitere Informationen hierzu finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

Verwenden von ISATAP

ISATAP ist eine Übergangstechnologie, die IPv6-Konnektivität in reinen IPv4-Unternehmensnetzwerken bereitstellt. Sie ist auf kleine und mittlere Organisationen mit einer einzelnen DirectAccess-Serverbereitstellung beschränkt und ermöglicht die Remoteverwaltung von DirectAccess-Clients. Wenn ISATAP in einer Umgebung mit mehreren Websites, Lastenausgleich oder mehreren Domänen bereitgestellt wird, müssen Sie es vor der Konfiguration von DirectAccess entfernen oder in eine native IPv6-Bereitstellung verschieben.

IPHTTPS- und OTP-Endpunktkonfiguration (One-Time Password)

Wenn Sie IPHTTPS verwenden, muss die IPHTTPS-Verbindung auf dem DirectAccess-Server enden und nicht auf einem anderen Gerät wie einem Lastenausgleich. Ebenso muss die während der OTP-Authentifizierung (One-Time Password) erstellte Out-of-Band-SSL-Verbindung (Secure Sockets Layer) auf dem DirectAccess-Server enden. Alle Geräte zwischen den Endpunkten dieser Verbindungen müssen im Passthroughmodus konfiguriert werden.

Tunnelerzwingung mit OTP-Authentifizierung

Stellen Sie keinen DirectAccess-Server mit Zwei-Faktor-Authentifizierung mit OTP und Tunnelerzwingung bereit, andernfalls tritt ein Fehler bei der OTP-Authentifizierung auf. Zwischen dem DirectAccess-Server und dem DirectAccess-Client ist eine Out-of-Band-SSL-Verbindung (Secure Sockets Layer) erforderlich. Für diese Verbindung wird eine Ausnahme benötigt, um den Datenverkehr außerhalb des DirectAccess-Tunnels zu senden. In einer Konfiguration mit Tunnelerzwingung muss der gesamte Datenverkehr über einen DirectAccess-Tunnel fließen, und nach der Einrichtung des Tunnels ist keine Ausnahme mehr zulässig. Aus diesem Grund wird die OTP-Authentifizierung in einer Konfiguration mit Tunnelerzwingung nicht unterstützt.

Bereitstellen von DirectAccess mit einem schreibgeschützten Domänencontroller

DirectAccess-Server müssen Zugriff auf einen Domänencontroller mit Lese-/Schreibzugriff haben und funktionieren mit einem schreibgeschützten Domänencontroller (RODC) nicht ordnungsgemäß.

Ein Domänencontroller mit Lese-/Schreibzugriff ist aus vielen Gründen erforderlich, z. B. aus den folgenden:

  • Der DirectAccess-Server kann die Microsoft Management Console (MMC) für den Remotezugriff nur über einen Domänencontroller mit Lese-/Schreibzugriff öffnen.

  • Der DirectAccess-Server muss die Gruppenrichtlinienobjekte (GPOs) des DirectAccess-Clients und des DirectAccess-Servers lesen und in sie schreiben.

  • Der DirectAccess-Server liest das Client-Gruppenrichtlinienobjekt speziell aus dem PDCe (PDC-Emulator) und schreibt in dieses.

Stellen Sie DirectAccess aufgrund dieser Anforderungen nicht mit einem RODC bereit.