Freigeben über

Schritt 1 Planen der grundlegenden DirectAccess-Infrastruktur

Der erste Schritt für eine grundlegende DirectAccess-Bereitstellung auf einem einzelnen Server besteht darin, die für die Bereitstellung erforderliche Infrastruktur zu planen. In diesem Thema werden die Schritte zur Planung der Infrastruktur beschrieben:

Aufgabe BESCHREIBUNG
Planen der Netzwerktopologie und -einstellungen Entscheiden Sie, wo der DirectAccess-Server platziert werden soll, sei es an der Netzwerkgrenze oder hinter einem NAT-Gerät (Netzwerkadressübersetzung) oder einer Firewall, und planen Sie IP-Adressen und Routing.
Planen der Firewallanforderungen Planen Sie das Zulassen von DirectAccess über Edge-Firewalls.
Planen der Zertifikatanforderungen DirectAccess kann Kerberos oder Zertifikate für die Clientauthentifizierung verwenden. In dieser grundlegenden DirectAccess-Bereitstellung wird automatisch ein Kerberos-Proxy konfiguriert, und die Authentifizierung erfolgt mithilfe von Active Directory-Anmeldeinformationen.
Planen der DNS-Anforderungen Planen Sie DNS-Einstellungen für den DirectAccess-Server, die Infrastrukturserver und die Clientkonnektivität.
Planen von Active Directory Planen Sie Ihre Domänencontroller und die Active Directory-Anforderungen.
Planen von Gruppenrichtlinienobjekten Entscheiden Sie, welche Gruppenrichtlinienobjekte in Ihrer Organisation erforderlich sind und wie diese erstellt oder bearbeitet werden.

Diese Planungsaufgaben müssen nicht in einer bestimmten Reihenfolge durchgeführt werden.

Planen der Netzwerktopologie und -einstellungen

Planen von Netzwerkadaptern und IP-Adressierung

  1. Identifizieren Sie die Netzwerkadaptertopologie, die Sie verwenden möchten. DirectAccess kann mit einer der folgenden Optionen eingerichtet werden:

    • Mit zwei Netzwerkadaptern – entweder am Edge mit einem Netzwerkadapter, der mit dem Internet verbunden ist, und der andere mit dem internen Netzwerk, oder hinter einem NAT-, Firewall- oder Routergerät, wobei ein Netzwerkadapter mit einem Umkreisnetzwerk und dem anderen mit dem internen Netzwerk verbunden ist.

    • Hinter einem NAT-Gerät mit einem Netzwerkadapter – Der DirectAccess-Server wird hinter einem NAT-Gerät installiert, und der einzelne Netzwerkadapter ist mit dem internen Netzwerk verbunden.

  2. Identifizieren Sie Ihre IP-Adressierungsanforderungen:

    DirectAccess verwendet IPv6 mit IPsec, um eine sichere Verbindung zwischen DirectAcces-Clientcomputern und dem internen Unternehmensnetzwerk herzustellen. Jedoch erfordert DirectAccess nicht unbedingt Konnektivität mit dem IPv6-Internet oder nativen IPv6-Support auf internen Netzwerken. Stattdessen konfiguriert und verwendet es automatisch IPv6-Übergangstechnologien, um IPv6-Datenverkehr durch das IPv4-Internet (durch die Verwendung von 6to4, Teredo oder IP-HTTPS) und durch Ihr nur-IPv4-Intranet (durch die Verwendung von NAT64 oder ISATAP) zu tunneln. Eine Übersicht über diese Übergangstechnologien finden Sie in folgenden Ressourcen:

  3. Konfigurieren Sie erforderliche Adapter und Adressen entsprechend folgender Tabelle. Konfigurieren Sie für Bereitstellungen hinter einem NAT-Gerät mit einem einzelnen Netzwerkadapter Ihre IP-Adressen nur mithilfe der Spalte " Interner Netzwerkadapter" .

    BESCHREIBUNG Externer Netzwerkadapter Interner Netzwerkadapter1 Routinganforderungen
    IPv4-Intranet und IPv4-Internet Konfigurieren Sie Folgendes:

    – Eine statische öffentliche IPv4-Adresse mit der entsprechenden Subnetzmaske.
    – Eine IPv4-Adresse für das Standardgateway der Internetfirewall oder des lokalen Routers Ihres Internetdienstanbieters (Internet Service Provider, ISP).

    		 Konfigurieren Sie Folgendes:

    - Eine IPv4-Intranetadresse mit der entsprechenden Subnetzmaske
    – Ein verbindungsspezifisches DNS-Suffix Ihres Intranetnamespace. Ein DNS-Server muss auch auf der internen Schnittstelle konfiguriert werden.
    – Konfigurieren Sie kein Standardgateway für Intranetschnittstellen.

    		 Gehen Sie wie folgt vor, um den DirectAccess-Server so zu konfigurieren, dass alle Subnetze im internen IPv4-Netzwerk erreicht werden:

    1. Listen Sie die IPv4-Adressräume für alle Standorte im Intranet auf.
    2. Verwenden Sie die Befehle route add -p oder netsh interface ipv4 add route, um die IPv4-Adressbereiche als statische Routen in der IPv4-Routingtabelle des DirectAccess-Servers hinzuzufügen.
    IPv6-Internet und IPv6-Intranet Konfigurieren Sie Folgendes:

    – Verwenden Sie die von Ihrem Internetdienstanbieter (ISP) automatisch konfigurierte Adresskonfiguration.
    – Verwenden Sie den Befehl route print, um sicherzustellen, dass in der IPv6-Routingtabelle eine IPv6-Standardroute vorhanden ist, die auf den ISP-Router verweist.
    – Finden Sie heraus, ob ISP und Intranetrouter die in RFC 4191 beschriebenen Standardroutervoreinstellungen verwenden und eine höhere Standardvoreinstellung als die lokalen Intranetrouter verwenden. Wenn beide Fälle zutreffen, ist keine weitere Konfiguration für die Standardroute erforderlich. Die höhere Präferenz für den ISP-Router stellt sicher, dass die aktive IPv6-Standardroute des DirectAccess-Servers auf das IPv6-Internet zeigt.

    Wenn Sie über eine systemeigene IPv6-Infrastruktur verfügen, kann die Internetschnittstelle außerdem auch die Domänencontroller im Intranet erreichen, da der DirectAccess-Server ein IPv6-Router ist. Fügen Sie in diesem Fall Paketfilter zum Domänencontroller im Perimeternetzwerk hinzu, die Konnektivität zur IPv6-Adresse der Internetschnittstelle des DirectAccess-Servers verhindern.

    		 Konfigurieren Sie Folgendes:

    – Wenn Sie nicht die standardmäßigen Voreinstellungsebenen verwenden, konfigurieren Sie Ihre Intranetschnittstellen mit dem Befehl netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled. Dieser Befehl stellt sicher, dass der IPv6-Routingtabelle keine weiteren Standardrouten hinzugefügt werden, die auf Intranetrouter zeigen. Den Schnittstellenindex Ihrer Intranetschnittstellen können Sie mit dem Befehl "netsh interface show interface" anzeigen.

    		 Wenn Sie ein IPv6-Intranet haben, führen Sie folgende Schritte aus, um den DirectAccess-Server so zu konfigurieren, dass er alle IPv6-Speicherorte erreicht:

    1. Listen Sie die IPv6-Adressräume für alle Standorte im Intranet auf.
    2. Verwenden Sie die netsh-Schnittstelle ipv6 zum Hinzufügen des Routenbefehls , um die IPv6-Adressplätze als statische Routen in der IPv6-Routingtabelle des DirectAccess-Servers hinzuzufügen.
    IPv4-Internet und IPv6-Intranet Der DirectAccess-Server leitet den IPv6-Standardroutendatenverkehr über die Microsoft 6to4-Adapterschnittstelle an ein 6to4-Relay im IPv4-Internet weiter. Sie können einen DirectAccess-Server für die IPv4-Adresse des Microsoft-IPv6-zu-IPv4-Relays im IPv4-Internet (wird verwendet, wenn die native IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird) mit dem folgenden Befehl konfigurieren: netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled.

    Hinweis

    Beachten Sie Folgendes:

    1. Wenn dem DirectAccess-Client eine öffentliche IPv4-Adresse zugewiesen wurde, verwendet diese die IP6-zu-IP4-Übergangstechnologie für die Verbindung mit dem Internet. Wenn der DirectAccess-Client mit IP6-zu-IP4 keine Verbindung mit dem DirectAccess-Server herstellen kann, wird IP-HTTPS verwendet.
    2. Systemeigene IPv6-Clientcomputer können über eine systemeigene IPv6 eine Verbindung zum DirectAccess-Server herstellen, und es ist keine Übergangstechnologie erforderlich.

Planen der Firewallanforderungen

Wenn sich der DirectAccess-Server hinter einer Edgefirewall befindet, sind die folgenden Ausnahmen für DirectAccess-Datenverkehr erforderlich, wenn sich der DirectAccess-Server im IPv4-Internet befindet:

  • IPv6-zu-IPv4-Datenverkehr – IP-Protokoll 41 eingehend und ausgehend.

  • IP-HTTPS: TCP-Zielport 443 (Transmission Control-Protokoll) eingehend und TCP-Quellport 443 ausgehend

  • Wenn Sie den Remotezugriff mit einem einzigen Netzwerkadapter bereitstellen und den Netzwerkadressenserver auf dem DirectAccess-Server installieren, sollte TCP-Port 62000 ebenfalls ausgenommen werden.

    Hinweis

    Diese Ausnahme befindet sich auf dem DirectAccess-Server. Alle weiteren Ausnahmen befinden sich auf der Firewall.

Die folgenden Ausnahmen sind für DirectAccess-Datenverkehr erforderlich, wenn sich der DirectAccess-Server im IPv6-Internet befindet:

  • IP-Protokoll 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.

Wenden Sie bei Verwendung zusätzlicher Firewalls die folgenden internen Netzwerkfirewall-Ausnahmen für DirectAccess-Datenverkehr an:

  • ISATAP - Protokoll 41 eingehend und ausgehend

  • TCP/UDP für den gesamten IPv4/IPv6-Datenverkehr

Planen der Zertifikatanforderungen

Zertifikatanforderungen für IPsec umfassen ein Computerzertifikat, das von DirectAccess-Clientcomputern verwendet wird, wenn die IPsec-Verbindung zwischen dem Client und dem DirectAccess-Server hergestellt wird, und ein Computerzertifikat, das von DirectAccess-Servern zum Herstellen von IPsec-Verbindungen mit DirectAccess-Clients verwendet wird. Für DirectAccess in Windows Server 2012 R2 und Windows Server 2012 ist die Verwendung dieser IPsec-Zertifikate nicht obligatorisch. Der Assistent für erste Schritte konfiguriert den DirectAccess-Server so, dass er als Kerberos-Proxy fungiert, um die IPsec-Authentifizierung auszuführen, ohne dass Zertifikate erforderlich sind.

  1. IP-HTTPS Server. Wenn Sie DirectAccess konfigurieren, wird der DirectAccess-Server automatisch so konfiguriert, dass er als IP-HTTPS Weblistener fungiert. Die IP-HTTPS-Website erfordert ein Websitezertifikat, und Clientcomputer müssen in der Lage sein, die CRL-Website (Certificate Revocation List, Zertifikatsperrlisten) für das Zertifikat zu kontaktieren. Der Assistent zum Aktivieren von DirectAccess versucht, das SSTP VPN-Zertifikat zu verwenden. Wenn SSTP nicht konfiguriert ist, prüft er, ob im persönlichen Speicher des Computers ein Zertifikat für IP-HTTPS vorhanden ist. Wenn kein Zertifikat verfügbar ist, erstellt er automatisch ein selbstsigniertes Zertifikat.

  2. Netzwerkstandortserver. Der Netzwerkstandortserver ist eine Website, die verwendet wird, um zu ermitteln, ob sich Clientcomputer im Unternehmensnetzwerk befinden. Für den Netzwerkstandortserver ist ein Websitezertifikat erforderlich. DirectAccess-Clients müssen die CRL-Website für das Zertifikat kontaktieren können. Der Assistent zum Aktivieren des Remotezugriffs prüft, ob im persönlichen Speicher des Computers ein Zertifikat für den Netzwerkadressenserver vorhanden ist. Wenn kein Zertifikat vorhanden ist, erstellt der Assistent automatisch ein selbstsigniertes Zertifikat.

Die einzelnen Zertifikatanforderungen werden in der folgenden Tabelle zusammengefasst:

IPsec-Authentifizierung IP-HTTPS-Server Netzwerkstandortserver
Es ist eine interne Zertifizierungsstelle erforderlich, um Computerzertifikate für den DirectAccess-Server und die Clients für die IPsec-Authentifizierung auszustellen, wenn Sie nicht den Kerberos-Proxy für die Authentifizierung verwenden. Öffentliche Zertifizierungsstelle – Es wird empfohlen, eine öffentliche Zertifizierungsstelle zu verwenden, um das IP-HTTPS Zertifikat auszugeben. Dadurch wird sichergestellt, dass der CRL-Verteilungspunkt extern verfügbar ist. Interne Zertifizierungsstelle – Sie können eine interne Zertifizierungsstelle verwenden, um das Netzwerkstandort-Serverzertifikat auszustellen. Stellen Sie sicher, dass der Sperrlisten-Verteilungspunkt eine hohe Verfügbarkeit vom internen Netzwerk aus hat.
Interne Zertifizierungsstelle – Sie können eine interne Zertifizierungsstelle verwenden, um das IP-HTTPS Zertifikat auszugeben; Sie müssen jedoch sicherstellen, dass der CRL-Verteilungspunkt extern verfügbar ist. Selbstsigniertes Zertifikat – Sie können ein selbstsigniertes Zertifikat für die Website des Netzwerkspeicherortservers verwenden; Sie können jedoch kein selbstsigniertes Zertifikat in Bereitstellungen mit mehreren Websites verwenden.
Selbstsigniertes Zertifikat – Sie können ein selbstsigniertes Zertifikat für den IP-HTTPS-Server verwenden; Sie müssen jedoch sicherstellen, dass der CRL-Verteilungspunkt extern verfügbar ist. Ein selbstsigniertes Zertifikat kann nicht in Bereitstellungen für mehrere Standorte verwendet werden.

Planen von Zertifikaten für IP-HTTPS und Netzwerkadressenservers

Wenn Sie ein Zertifikat für diese Zwecke bereitstellen möchten, lesen Sie " Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen". Wenn keine Zertifikate verfügbar sind, erstellt der Assistent für erste Schritte automatisch selbstsignierte Zertifikate für diese Zwecke.

Hinweis

Wenn Sie Zertifikate für IP-HTTPS und den Netzwerkstandortserver manuell bereitstellen, stellen Sie sicher, dass die Zertifikate über einen Betreffnamen verfügen. Wenn das Zertifikat keinen Betreffnamen hat, aber einen alternativen Namen besitzt, wird es vom DirectAccess-Assistenten nicht akzeptiert.

Planen der DNS-Anforderungen

In einer DirectAccess-Bereitstellung ist DNS für Folgendes erforderlich:

  • DirectAccess-Clientanforderungen. DNS wird verwendet, um Anforderungen von DirectAccess-Clientcomputern aufzulösen, die sich nicht im internen Netzwerk befinden. DirectAccess-Clients versuchen, eine Verbindung zum DirectAccess-Netzwerkadressenserver herzustellen, um zu bestimmen, ob sie sich im Internet oder auf dem internen Netzwerk befinden: Bei erfolgreicher Verbindung werden die Clients als im Intranet befindlich identifiziert, DirectAccess wird nicht verwendet, und Clientanforderungen werden mithilfe des DNS-Servers aufgelöst, welcher auf dem Netzwerkadapter des Clientcomputers konfiguriert ist. Wenn keine Verbindung hergestellt werden kann, wird davon ausgegangen, dass sich die Clients im Internet befinden. DirectAccess-Clients verwenden die Richtlinientabelle für die Namensauflösung, um zu ermitteln, welcher DNS-Server beim Auflösen von Namensanforderungen verwendet werden soll. Sie können angeben, dass Clients DirectAccess-DNS64 oder einen anderen internen DNS-Server für die Auflösung von Namen verwenden. Wenn eine Namensauflösung durchgeführt wird, verwenden DirectAccess-Clients die NRPT, um festzustellen, wie eine Anfrage behandelt wird. Clients fordern einen vollqualifizierten Domänennamen (FQDN) oder einen Namen mit einer einzelnen Bezeichnung an, z. B. http://internal. Wenn ein Name mit einer einzelnen Bezeichnung angefordert wird, wird ein DNS-Suffix angehängt, um einen FQDN zu bilden. Wenn die DNS-Abfrage einem Eintrag in der NRPT entspricht, und DNS4 oder ein Intranet-DNS-Server für den Eintrag angegeben wurde, wird die Abfrage für die Namensauflösung mithilfe des angegebenen Servers gesendet. Wenn eine Übereinstimmung vorhanden ist, aber kein DNS-Server angegeben wurde, weist dies auf eine Ausnahmeregel hin, und die normale Namensauflösung wird verwendet.

    Wenn der NRPT in der DirectAccess Management-Konsole ein neues Suffix hinzugefügt wird, können die Standard-DNS-Server für das Suffix automatisch ermittelt werden, indem Sie auf die Schaltfläche " Erkennen " klicken. Die automatische Erkennung funktioniert wie folgt:

    1. Wenn das Unternehmensnetzwerk IPv4-basiert oder IPv4 und IPv6 ist, ist die Standardadresse die DNS64-Adresse des internen Adapters auf dem DirectAccess-Server.

    2. Wenn das Unternehmensnetzwerk IPv6-basiert ist, ist die Standardadresse die IPv6-Adresse der DNS-Server auf dem Unternehmensnetzwerk.

Hinweis

Ab dem Windows 10-Update vom Mai 2020 registriert ein Client seine IP-Adressen nicht mehr auf DNS-Servern, die in einer Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) konfiguriert sind. Wenn eine DNS-Registrierung erforderlich ist (beispielsweise bei ManageOut), kann sie mit dem folgenden Registrierungsschlüssel explizit auf dem Client aktiviert werden:

Pfad: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
Typ: DWORD
Wertname: DisableNRPTForAdapterRegistration
Werte:
1: DNS-Registrierung deaktiviert (Standardeinstellung seit dem Windows 10-Update vom Mai 2020)
0: DNS-Registrierung aktiviert

  • Infrastrukturserver

    1. Netzwerkstandortserver. DirectAccess-Clients versuchen, den Netzwerkadressenserver zu erreichen, um zu bestimmen, ob sie sich auf dem internen Netzwerk befinden. Clients im internen Netzwerk müssen in der Lage sein, den Namen des Netzwerkadressenservers aufzulösen, befinden sie sich jedoch im Internet, dürfen sie den Namen nicht auflösen. Um dies zu gewährleisten, wird der FQDN des Netzwerkadressenservers standardmäßig als Ausnahmeregel zum NRPT hinzugefügt. Wenn Sie DirectAccess konfigurieren, werden außerdem automatisch die folgenden Regeln erstellt:

      1. Eine DNS-Suffixregel für die Stammdomäne oder den Domänennamen des DirectAccess-Servers und die IPv6-Adressen, die den intranet-DNS-Servern entsprechen, die auf dem DirectAccess-Server konfiguriert sind. Wenn der DirectAccess-Server z. B. Mitglied der Domäne corp.contoso.com ist, wird für das DNS-Suffix .corp.contoso.com eine Regel erstellt.

      2. Eine Ausnahmeregel für den FQDN des Netzwerkadressenservers. Wenn die Netzwerkadressenserver-URL z. B. https://nls.corp.contoso.com lautet, wird eine Ausnahmeregel für den FQDN nls.corp.contoso.com erstellt.

      IP-HTTPS Server. Der DirectAccess-Server fungiert als IP-HTTPS Listener und verwendet sein Serverzertifikat, um sich bei IP-HTTPS Clients zu authentifizieren. Der IP-HTTPS-Name muss von den DirectAccess-Clients mit den öffentlichen DNS-Servern aufgelöst werden können.

      Verbindungsprüfer. DirectAccess erstellt eine Standardwebsonde, die von DirectAccess-Clientcomputern verwendet wird, um die Konnektivität mit dem internen Netzwerk zu überprüfen. Damit der Test wie erwartet funktioniert, müssen folgende Namen manuell in dem DNS registriert werden:

      1. directaccess-webprobehost – sollte in die interne IPv4-Adresse des DirectAccess-Servers oder in die IPv6-Adresse in einer reinen IPv6-Umgebung aufgelöst werden.

      2. directaccess-corpconnectivityhost – sollte in die Localhost (Loopback)-Adresse aufgelöst werden. Ein A- und AAAA-Eintrag sollte erstellt werden, der A-Eintrag mit dem Wert 127.0.0.1 und der AAAA-Eintrag mit dem aus dem NAT64-Präfix und den letzten 32-Bit als 127.0.0.1 ermittelten Wert. Das NAT64-Präfix kann durch Ausführen des Cmdlets "get-netnattransitionconfiguration" abgerufen werden.

      Mithilfe anderer Webadressen über HTTP oder PING können Sie weitere Verbindungsprüfer erstellen. Für jeden Verbindungsprüfer muss ein DNS-Eintrag vorhanden sein.

DNS-Serveranforderungen

  • Für DirectAccess-Clients müssen Sie einen DNS-Server verwenden, auf dem Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 oder jeder DNS-Server ausgeführt wird, der IPv6 unterstützt.

Hinweis

Es wird nicht empfohlen, DNS-Server zu verwenden, auf denen Windows Server 2003 ausgeführt wird, wenn Sie DirectAccess bereitstellen. Windows Server 2003-DNS-Server unterstützen zwar IPv6-Datensätze, doch Windows Server 2003 wird nicht mehr von Microsoft unterstützt. Darüber hinaus sollten Sie DirectAccess nicht bereitstellen, wenn auf Ihren Domänencontrollern Windows Server 2003 aufgrund eines Problems mit dem Dateireplikationsdienst ausgeführt wird. Weitere Informationen finden Sie unter DirectAccess: Nicht unterstützte Konfigurationen.

Planen des Netzwerkstandortservers

Der Netzwerkstandortserver ist eine Website, die verwendet wird, um zu ermitteln, ob Sich DirectAccess-Clients im Unternehmensnetzwerk befinden. Clients im Unternehmensnetzwerk verwenden DirectAccess nicht, um interne Ressourcen zu erreichen, sondern stellen stattdessen eine direkte Verbindung her.

Der Assistent für erste Schritte konfiguriert automatisch den Netzwerkstandortserver auf dem DirectAccess-Server, und die Website wird ebenfalls automatisch erstellt, sobald Sie DirectAccess bereitstellen. Dies ermöglicht eine einfache Installation ohne die Verwendung einer Zertifikatinfrastruktur.

Wenn Sie einen Netzwerkspeicherortserver bereitstellen und keine selbstsignierten Zertifikate verwenden möchten, lesen Sie „Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen“.

Planen von Active Directory

DirectAccess verwendet Active Directory- und Active Directory-Gruppenrichtlinienobjekte wie folgt:

  • Authentifizierung. Active Directory wird für die Authentifizierung verwendet. Der DirectAccess-Tunnel verwendet die Kerberos-Authentifizierung für den Benutzer, um auf interne Ressourcen zuzugreifen.

  • Gruppenrichtlinienobjekte. DirectAccess sammelt Konfigurationseinstellungen in Gruppenrichtlinienobjekten, die auf DirectAccess-Server und Clients angewendet werden.

  • Sicherheitsgruppen. DirectAccess verwendet Sicherheitsgruppen, um DirectAccess-Clientcomputer und DirectAccess-Server zusammenzusammeln und zu identifizieren. Die Gruppenrichtlinien werden auf die erforderlichen Sicherheitsgruppen angewendet.

Active Directory-Anforderungen

Bei der Planung von Active Directory für eine DirectAccess-Bereitstellung ist Folgendes erforderlich:

  • Mindestens ein Domänencontroller, der unter Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008 installiert ist.

    Wenn sich der Domänencontroller in einem Umkreisnetzwerk befindet (und daher über den mit dem Internet zugänglichen Netzwerkadapter des DirectAccess-Servers erreichbar ist), verhindern Sie, dass der DirectAccess-Server darauf zugreift, indem Sie durch Hinzufügen von Paketfiltern auf dem Domänencontroller die Verbindung zur IP-Adresse des Internetadapters unterbinden.

  • Der DirectAccess-Server muss Domänenmitglied sein.

  • DirectAccess-Clients müssen Domänenmitglieder sein. Kunden können folgenden Bereichen angehören:

    • Domänen, die zur gleichen Gesamtstruktur wie der DirectAccess-Server gehören.

    • Domänen mit bidirektionaler Vertrauensstellung zur DirectAccess-Serverdomäne.

    • Domänen in einer Gesamtstruktur mit bidirektionaler Vertrauensstellung zu der Gesamtstruktur, der die DirectAccess-Domäne angehört.

Hinweis

  • Der DirectAccess-Server kann nicht als Domänencontroller verwendet werden.
  • Der für DirectAccess verwendete Active Directory-Domänencontroller darf nicht über den externen Internetadapter des DirectAccess-Servers erreichbar sein (der Adapter darf sich nicht im Domänenprofil der Windows-Firewall befinden).

Planen von Gruppenrichtlinienobjekten

Beim Konfigurieren von DirectAccess konfigurierte DirectAccess-Einstellungen werden in Gruppenrichtlinienobjekten (GPO) erfasst. Zwei unterschiedliche GPOs werden mit DirectAccess-Einstellungen aufgefüllt und wie folgt verteilt:

  • Gruppenrichtlinienobjekt des DirectAccess-Clients. Dieses Gruppenrichtlinienobjekt enthält die Client-Einstellungen, einschließlich der Einstellungen für die IPv6-Übergangstechnologie, der Einträge in der Richtlinientabelle für die Namensauflösung und der Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.

  • Gruppenrichtlinienobjekt des DirectAccess-Servers. Dieses GPO enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden als DirectAccess-Server konfigurierten Server in Ihrer Bereitstellung angewendet werden. Außerdem enthält es die Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.

GPOs können auf zwei Arten konfiguriert werden:

  1. Automatisch. Sie können angeben, dass sie automatisch erstellt werden. Für jedes Gruppenrichtlinienobjekt wird ein Standardname angegeben. GPOs werden automatisch vom Erste Schritte-Assistenten erstellt.

  2. Manuell. Sie können GPOs verwenden, die vom Active Directory-Administrator vordefiniert wurden.

Beachten Sie, dass keine anderen Gruppenrichtlinienobjekte mehr konfiguriert werden können, nachdem DirectAccess auf die Verwendung bestimmter Gruppenrichtlinienobjekte konfiguriert wurde.

Von Bedeutung

Unabhängig davon, ob Sie automatisch oder manuell konfigurierte GPOs verwenden, müssen Sie eine Richtlinie für die Erkennung langsamer Verknüpfungen hinzufügen, wenn Ihre Clients 3G verwenden. Der Gruppenrichtlinienpfad für Richtlinie: Konfigurieren der Erkennung von langsamen Verknüpfungen für Gruppenrichtlinien lautet: Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Gruppenrichtlinie.

Vorsicht

Verwenden Sie das folgende Verfahren, um alle DirectAccess-Gruppenrichtlinienobjekte vor dem Ausführen von DirectAccess-Cmdlets zu sichern: Sichern und Wiederherstellen der DirectAccess-Konfiguration

Automatisch erstellte Gruppenrichtlinienobjekte

Beachten Sie beim Verwenden automatisch erstellter Gruppenrichtlinienobjekte Folgendes:

Automatisch erstellte Gruppenrichtlinienobjekte werden entsprechend des Speicherorts und Verknüpfungszielparameters wie folgt angewendet:

  • Für GPO des DirectAccess-Servers zeigen der Speicherort und die Verknüpfungsparameter auf die Domäne, die den DirectAccess-Server enthält.

  • Beim Erstellen der Gruppenrichtlinienobjekte wird der Speicherort auf eine Domäne festgelegt, auf der das Gruppenrichtlinienobjekt erstellt wird. Der Gruppenrichtlinienobjektname wird in jeder Domäne nachgeschlagen und mit DirectAccess-Einstellungen aufgefüllt, falls vorhanden. Das Verknüpfungsziel wird auf den Stamm der Domäne festgelegt, in der das Gruppenrichtlinienobjekt erstellt wurde. Ein Gruppenrichtlinienobjekt wird für jede Domäne erstellt, die Clientcomputer enthält, und das Gruppenrichtlinienobjekt ist mit dem Stamm der jeweiligen Domäne verknüpft.

Wenn Sie automatisch erstellte GPOs verwenden, benötigt der DirectAccess-Serveradministrator die folgenden Berechtigungen, um DirectAccess-Einstellungen anzuwenden:

  • Schreibberechtigungen für die Gruppenrichtlinienobjekte für jede Domäne.

  • Verknüpfungsberechtigungen für alle ausgewählten Clientdomänenstämme.

  • Verknüpfungsberechtigungen für die Server-Gruppenrichtlinien-Domänenstämme.

  • Erstellen, Bearbeiten und Löschen von Sicherheitsberechtigungen, die für die Gruppenrichtlinienobjekte erforderlich sind.

  • Es wird empfohlen, dass der DirectAccess-Admin über Leserechte für GPO für jede Domäne verfügt. So kann DirectAccess prüfen, dass beim Erstellen von GPOs keine GPOs mit doppelten Namen vorhanden sind.

Beachten Sie, dass eine Warnung ausgegeben wird, wenn die korrekten Berechtigungen zum Verknüpfen der Gruppenrichtlinienobjekte nicht vorhanden sind. Der DirectAccess-Vorgang wird fortgesetzt, die Verknüpfung tritt jedoch nicht auf. Wenn diese Warnung ausgegeben wird, werden Links nicht automatisch erstellt, auch nachdem die Berechtigungen später hinzugefügt wurden. Stattdessen muss der Administrator die Links manuell erstellen.

Manuell erstellte Gruppenrichtlinienobjekte

Beachten Sie beim Verwenden manuell erstellter Gruppenrichtlinienobjekte Folgendes:

  • Die Gruppenrichtlinienobjekte sollten vorhanden sein, bevor Sie den Assistenten für erste Schritte mit dem Remotezugriff ausführen.

  • Beim Verwenden manuell erstellter Gruppenrichtlinienobjekte muss der DirectAccess-Administrator in den manuell erstellten Gruppenrichtlinienobjekten über uneingeschränkte Berechtigungen für die Gruppenrichtlinienobjekte verfügen (Bearbeiten, Löschen, Ändern der Sicherheit).

  • Beim Verwenden manuell erstellter Gruppenrichtlinienobjekte wird in der gesamten Domäne eine Suche nach einer Verknüpfung zum Gruppenrichtlinienobjekt durchgeführt. Wenn das Gruppenrichtlinienobjekt in der Domäne nicht verknüpft ist, wird im Domänenstamm automatisch eine Verknüpfung erstellt. Wenn die zum Erstellen der Verknüpfung erforderlichen Berechtigungen nicht verfügbar sind, wird eine Warnung ausgegeben.

Beachten Sie, dass eine Warnung ausgegeben wird, wenn die korrekten Berechtigungen zum Verknüpfen der Gruppenrichtlinienobjekte nicht vorhanden sind. Der DirectAccess-Vorgang wird fortgesetzt, die Verknüpfung tritt jedoch nicht auf. Wenn diese Warnung ausgegeben wird, werden Verknüpfungen nicht automatisch erstellt, selbst wenn die Berechtigungen zu einem späteren Zeitpunkt hinzugefügt werden. Stattdessen muss der Administrator die Links manuell erstellen.

Wiederherstellen eines gelöschten Gruppenrichtlinienobjekts

Wenn ein Gruppenrichtlinienobjekt eines DirectAccess-Servers, -Clients oder Anwendungsservers versehentlich gelöscht wurde und keine Sicherung verfügbar ist, müssen Sie die Konfigurationseinstellungen entfernen und sie neu konfigurieren. Wenn eine Sicherung verfügbar ist, können Sie das Gruppenrichtlinienobjekt aus der Sicherung wiederherstellen.

DirectAccess Management zeigt die folgende Fehlermeldung an: GPO <GPO-Name> kann nicht gefunden werden. Führen Sie folgende Schritte aus, um die Konfigurationseinstellungen zu entfernen:

  1. Führen Sie das PowerShell-Cmdlet Uninstall-remoteaccess aus.

  2. Öffnen Sie die DirectAccess-Verwaltung erneut.

  3. In der angezeigten Fehlermeldung werden Sie darauf hingewiesen, dass das Gruppenrichtlinienobjekt nicht gefunden werden konnte. Klicken Sie auf "Konfigurationseinstellungen entfernen". Nach Abschluss des Vorgangs wird der Server in einem nicht konfigurierten Zustand wiederhergestellt.