Schritt 1 Konfigurieren der Remotezugriffsinfrastruktur

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Hinweis: Durch Windows Server 2012 werden DirectAccess und RRAS (Routing and Remote Access Service, Routing- und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst.

In diesem Thema wird beschrieben, wie Sie die Infrastruktur konfigurieren, die für eine erweiterte Remotezugriffsbereitstellung mit einem einzelnen Remotezugriffsserver in einer gemischten IPv4- und IPv6-Umgebung erforderlich ist. Stellen Sie vor Beginn der Bereitstellungsschritte sicher, dass Sie die in Schritt 1 beschriebenen Planungsschritte abgeschlossen haben : Planen der Remotezugriffsinfrastruktur.

Aufgabe BESCHREIBUNG
Konfigurieren von Servernetzwerkeinstellungen Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver.
Konfigurieren des Routings im Unternehmensnetzwerk Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird.
Konfigurieren von Firewalls Konfigurieren Sie bei Bedarf zusätzliche Firewalls.
Konfigurieren von Zertifizierungsstellen und Zertifikaten Konfigurieren Sie bei Bedarf eine Zertifizierungsstelle (Zertifizierungsstelle) und alle anderen Zertifikatvorlagen, die in der Bereitstellung erforderlich sind.
Konfigurieren des DNS-Servers Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver.
Konfigurieren von Active Directory Verknüpfen Sie Clientcomputer und den Remotezugriffsserver mit der Active Directory-Domäne.
Konfigurieren der Gruppenrichtlinienobjekte Konfigurieren Sie Gruppenrichtlinie Objekte (GPOs) für die Bereitstellung, falls erforderlich.
Konfigurieren von Sicherheitsgruppen Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind.
Konfigurieren des Netzwerkadressenservers Konfigurieren Sie den Netzwerkadressenserver, dazu gehört auch die Installation des Netzwerkadressenserver-Websitezertifikats.

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

Konfigurieren von Servernetzwerkeinstellungen

Je nachdem, ob Sie den Remotezugriffsserver am Edge oder hinter einem NAT-Gerät (Network Address Translation) platzieren möchten, sind die folgenden Netzwerkschnittstellenadresseneinstellungen für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.

Edgetopologie:

Folgendes wird benötigt:

  • Zwei auf dem Internet gerichtete öffentliche statische IPv4- oder IPv6-Adressen.

    Hinweis

    Zwei aufeinander folgende öffentliche IPv4-Adressen sind für Teredo erforderlich. Falls Sie Teredo nicht verwenden, können Sie eine einzelne, öffentliche, statische IPv4-Adresse konfigurieren.

  • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse

Hinter NAT-Gerät (zwei Netzwerkadapter):

Erfordert eine einzelne interne netzwerkbezogene statische IPv4- oder IPv6-Adresse.

Hinter NAT-Gerät (einem Netzwerkadapter):

Erfordert eine einzelne statische IPv4- oder IPv6-Adresse.

Wenn der Remotezugriffsserver über zwei Netzwerkadapter verfügt (eins für das Domänenprofil und das andere für ein öffentliches oder privates Profil), Sie verwenden jedoch eine einzelne Netzwerkadaptertopologie, lautet die Empfehlung wie folgt:

  1. Stellen Sie sicher, dass der zweite Netzwerkadapter auch im Domänenprofil klassifiziert wird.

  2. Wenn der zweite Netzwerkadapter aus irgendeinem Grund nicht für das Domänenprofil konfiguriert werden kann, muss die DirectAccess-IPsec-Richtlinie manuell auf alle Profile festgelegt werden, indem Sie den folgenden Windows PowerShell Befehl verwenden:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
    Save-NetGPO -GPOSession $gposession
    

    Die Namen der IPsec-Richtlinien, die in diesem Befehl verwendet werden sollen, sind DirectAccess-DaServerToInfra und DirectAccess-DaServerToCorp.

Konfigurieren des Routings im Unternehmensnetzwerk

Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:

  • Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.

  • Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine veröffentlichte Route hinzu, damit der gesamte Datenverkehr mit einem IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.

Konfigurieren von Firewalls

Je nachdem, welche Netzwerkeinstellungen Sie ausgewählt haben, wenden Sie bei Verwendung zusätzlicher Firewalls in Ihrer Bereitstellung die folgenden Firewall-Ausnahmen für Remotezugriffsdatenverkehr an:

Remotezugriffsserver auf IPv4 Internet

Wenden Sie die folgenden Internetverbindungsfirewallausnahmen für Remotezugriffsdatenverkehr an, wenn sich der Remotezugriffsserver im IPv4-Internet befindet:

  • Teredo-Datenverkehr

    Zielport 3544 des User Datagram Protocol (UDP)-Zielports 3544 eingehend und UDP-Quellport 3544 ausgehend. Wenden Sie diese Ausnahme für beide aufeinanderfolgende öffentliche IPv4-Adressen auf dem Remotezugriffsserver an.

  • 6to4 Datenverkehr

    IP-Protokoll 41 eingehend und ausgehend. Wenden Sie diese Ausnahme für beide aufeinanderfolgende öffentliche IPv4-Adressen auf dem Remotezugriffsserver an.

  • IP-HTTPS-Datenverkehr

    Tcp-Zielport 443 und TCP-Quellport 443 ausgehend. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt. Wenden Sie diese Ausnahmen nur für die Adresse an, auf die der externe Name des Servers aufgelöst wird.

    Hinweis

    Diese Ausnahme ist auf dem Remotezugriffsserver konfiguriert. Alle anderen Ausnahmen werden auf der Edgefirewall konfiguriert.

Remotezugriffsserver auf IPv6 Internet

Wenden Sie die folgenden Internetverbindungsfirewallausnahmen für Remotezugriffsdatenverkehr an, wenn sich der Remotezugriffsserver auf dem IPv6-Internet befindet:

  • IP-Protokoll 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.

  • Internet Control Message Protocol für IPv6 (ICMPv6) Datenverkehr eingehender und ausgehender Datenverkehr – nur für Teredo-Implementierungen.

Remotezugriffsverkehr

Wenden Sie die folgenden internen Netzwerkfirewall-Ausnahmen für Remotezugriffsdatenverkehr an:

  • ISATAP: Protokoll 41 eingehendes und ausgehendes Protokoll

  • TCP/UDP für alle IPv4- oder IPv6-Datenverkehr

  • ICMP für alle IPv4- oder IPv6-Datenverkehr

Konfigurieren von Zertifizierungsstellen und Zertifikaten

Mit Remotezugriff in Windows Server 2012 können Sie zwischen der Verwendung von Zertifikaten für die Computerauthentifizierung oder der Verwendung einer integrierten Kerberos-Authentifizierung wählen, die Benutzernamen und Kennwörter verwendet. Sie müssen auch ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver konfigurieren. In diesem Abschnitt wird erläutert, wie Sie diese Zertifikate konfigurieren.

Informationen zum Einrichten einer Public Key-Infrastruktur (PKI) finden Sie unter Active Directory-Zertifikatdienste.

Konfigurieren der IPsec-Authentifizierung

Ein Zertifikat ist auf dem Remotezugriffsserver und allen DirectAccess-Clients erforderlich, damit sie die IPsec-Authentifizierung verwenden können. Das Zertifikat muss von einer internen Zertifizierungsstelle (CA) ausgestellt werden. Remotezugriffsserver und DirectAccess-Clients müssen der Zertifizierungsstelle vertrauen, die die Stamm- und Zwischenzertifikate ausgibt.

So konfigurieren Sie die IPsec-Authentifizierung
  1. Entscheiden Sie in der internen Zertifizierungsstelle, ob Sie die Standardzertifikatvorlage des Computers verwenden oder eine neue Zertifikatvorlage erstellen, wie in der Erstellung von Zertifikatvorlagen beschrieben.

    Hinweis

    Wenn Sie eine neue Vorlage erstellen, muss sie für die Clientauthentifizierung konfiguriert werden.

  2. Stellen Sie die Zertifikatvorlage bei Bedarf bereit. Weitere Informationen finden Sie unter Bereitstellen von Zertifikatvorlagen.

  3. Konfigurieren Sie die Vorlage für die automatische Registrierung bei Bedarf.

  4. Konfigurieren Sie bei Bedarf die automatische Registrierung des Zertifikats. Weitere Informationen finden Sie unter Konfigurieren der automatischen Zertifikatregistrierung.

Konfigurieren von Zertifikatvorlagen

Wenn Sie eine interne Zertifizierungsstelle zum Ausgeben von Zertifikaten verwenden, müssen Sie Zertifikatvorlagen für das IP-HTTPS-Zertifikat und das Websitezertifikat für den Netzwerkspeicherortserver konfigurieren.

So konfigurieren Sie eine Zertifikatvorlage
  1. Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.

  2. Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.

Nachdem Sie Ihre Vorlagen vorbereitet haben, können Sie sie verwenden, um die Zertifikate zu konfigurieren. Ausführliche Informationen finden Sie in den folgenden Verfahren:

Konfigurieren des IP-HTTPS-Zertifikats

Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:

  • Public

    Von einem Drittanbieter bereitgestellt.

  • Privat

    Das Zertifikat basiert auf der Zertifikatvorlage, die Sie in der Konfiguration von Zertifikatvorlagen erstellt haben. Es ist erforderlich, eine Zertifikatsperrliste (CRL) Verteilungspunkt, die von einem öffentlich aufgelösten FQDN erreichbar ist.

  • Selbstsignierte

    Dieses Zertifikat erfordert einen CRL-Verteilungspunkt, der von einem öffentlich aufgelösten FQDN erreichbar ist.

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:

  • Der Antragstellername des Zertifikats sollte der extern aufgelöste vollqualifizierte Domänenname (FQDN) der IP-HTTPS-URL (die ConnectTo-Adresse) sein, die nur für die IP-HTTPS-Verbindungen des Remotezugriffsservers verwendet wird.

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.

  • Geben Sie im Betrefffeld die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder den FQDN der IP-HTTPS-URL an.

  • Verwenden Sie für das Feld "Erweiterte Schlüsselverwendung " den Serverauthentifizierungsobjektbezeichner (OID).

  • Geben Sie im Feld Sperrlisten-Verteilungspunkte einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.

So installieren Sie das IP-HTTPS-Zertifikat von einer internen Zertifizierungsstelle
  1. Geben Sie auf dem Remotezugriffsserver: Geben Sie auf dem Startbildschirmmmc.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf "Alle Vorgänge", klicken Sie auf "Neues Zertifikat anfordern", und klicken Sie dann zweimal auf "Weiter" .

  6. Aktivieren Sie auf der Seite "Zertifikate anfordern" das Kontrollkästchen für die Zertifikatvorlage, die Sie in der Konfiguration von Zertifikatvorlagen erstellt haben, und klicken Sie ggf. auf " Weitere Informationen", um sich für dieses Zertifikat zu registrieren.

  7. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  8. Geben Sie in "Wert" die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder den FQDN der IP-HTTPS-URL an, und klicken Sie dann auf "Hinzufügen".

  9. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  10. Geben Sie in "Wert" die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder den FQDN der IP-HTTPS-URL an, und klicken Sie dann auf "Hinzufügen".

  11. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  12. Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.

  13. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  14. Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, ob das neue Zertifikat mit dem beabsichtigten Zweck der Serverauthentifizierung registriert wurde.

Konfigurieren des DNS-Servers

Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.

So fügen Sie den Netzwerkspeicherortserver und die Web-Probe hinzu

  1. Geben Sie auf dem internen Netzwerk-DNS-Server: Geben Sie auf dem Startbildschirm die Taste "msc" ein, und drücken Sie dann die EINGABETASTE.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie auf "Neuer Host" (A oder AAAA).

  3. Geben Sie im Dialogfeld "Neuer Host " im Feld "Name" (übergeordneter Domänenname wenn leer) den DNS-Namen für die Website des Netzwerkspeicherortservers ein (dies ist der Name, den die DirectAccess-Clients verwenden, um eine Verbindung mit dem Netzwerkspeicherortserver herzustellen). Geben Sie im Ip-Adressfeld die IPv4-Adresse des Netzwerkspeicherortservers ein, und klicken Sie auf "Host hinzufügen", und klicken Sie dann auf "OK".

  4. Geben Sie im Dialogfeld "Neuer Host " im Feld "Name" (übergeordneter Domänenname wenn leer) den DNS-Namen für die Websonde ein (der Name für die Standardwebsonde ist directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen.

  5. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld "DNS " auf "OK".

  6. Klicken Sie auf Fertig.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:

  • Den IP-HTTPS-Server

    DirectAccess-Clients müssen den DNS-Namen des Remotezugriffsservers aus dem Internet auflösen können.

  • Sperrüberprüfungen der Zertifikatsperrliste

    DirectAccess verwendet die Zertifikatsperrüberprüfung für die IP-HTTPS-Verbindung zwischen DirectAccess-Clients und dem Remotezugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkspeicherortserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.

  • ISATAP

    Intrasite Automatic Tunnel Address Protocol (ISATAP) verwendet Tunnel, um DirectAccess-Clients zu ermöglichen, eine Verbindung mit dem Remotezugriffsserver über das IPv4 Internet herzustellen und IPv6-Pakete innerhalb eines IPv4-Headers zu kapseln. Es kann vom Remotezugriff verwendet werden, um IPv6-Konnektivität mit ISATAP-Hosts im gesamten Intranet bereitzustellen. In einer nicht nativen IPv6-Netzwerkumgebung konfiguriert sich der Remotezugriffsserver automatisch als ISATAP-Router. Auflösungsunterstützung für den ISATAP-Namen ist nicht erforderlich.

Konfigurieren von Active Directory

Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:

  • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.

  • Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.

  • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.

So fügen Sie den RAS-Server einer Domäne hinzu

  1. Klicken Sie im Server-Manager auf Lokaler Server. Klicken Sie im Detailbereich auf den Link neben Computername.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Computername und klicken Sie dann auf Ändern.

  3. Geben Sie im Feld " Computername " den Namen des Computers ein, wenn Sie auch den Computernamen ändern, wenn Sie den Server der Domäne beitreten. Klicken Sie unter "Mitglied" auf "Domäne", und geben Sie dann den Namen der Domäne ein, zu der Sie dem Server beitreten möchten (z. B. corp.contoso.com), und klicken Sie dann auf "OK".

  4. Wenn Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen für die Verknüpfung von Computern zur Domäne ein, und klicken Sie dann auf 'OK'.

  5. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.

  6. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

So fügen Sie Clientcomputer zur Domäne hinzu

  1. Geben Sie auf dem Startbildschirmexplorer.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.

  4. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  5. Geben Sie im Feld " Computername " den Namen des Computers ein, wenn Sie auch den Computernamen ändern, wenn Sie den Server der Domäne beitreten. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll (z. B. corp.contoso.com), und klicken Sie dann auf OK.

  6. Wenn Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen für die Verknüpfung von Computern zur Domäne ein, und klicken Sie dann auf 'OK'.

  7. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.

  8. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  9. Klicken Sie im Dialogfeld "Systemeigenschaften " auf "Schließen".

  10. Klicken Sie bei Aufforderung auf Jetzt neu starten.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Hinweis

Sie müssen Domänenanmeldeinformationen angeben, nachdem Sie den folgenden Befehl eingegeben haben.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurieren der Gruppenrichtlinienobjekte

Zum Bereitstellen von Remotezugriff benötigen Sie mindestens zwei Gruppenrichtlinie Objekte. Ein Gruppenrichtlinie -Objekt enthält Einstellungen für den Remotezugriffsserver und eine enthält Einstellungen für DirectAccess-Clientcomputer. Wenn Sie Remotezugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinie Objekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinie Objekten verfügen, müssen sie vor dem Konfigurieren des Remotezugriffs erstellt werden.

Informationen zum Erstellen Gruppenrichtlinie Objekte finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinie Objekts.

Ein Administrator kann die DirectAccess-Gruppenrichtlinie Objekte manuell mit einer Organisationseinheit (OU) verknüpfen. Beachten Sie Folgendes:

  1. Verknüpfen Sie die erstellten GPOs mit den jeweiligen OUs, bevor Sie DirectAccess konfigurieren.

  2. Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.

  3. Die GPOs werden automatisch konfiguriert, unabhängig davon, ob der Administrator über Berechtigungen zum Verknüpfen der GPOs mit der Domäne verfügt.

  4. Wenn die GPOs bereits mit einer OU verknüpft sind, werden die Links nicht entfernt, aber sie sind nicht mit der Domäne verknüpft.

  5. Für Server-GPOs muss die OU das Servercomputerobjekt enthalten. Andernfalls wird das GPO mit dem Stamm der Domäne verknüpft.

  6. Wenn die OU zuvor nicht verknüpft wurde, indem der DirectAccess-Setup-Assistent ausgeführt wird, nachdem die Konfiguration abgeschlossen ist, kann der Administrator die DirectAccess-GPOs mit den erforderlichen OUs verknüpfen und den Link zur Domäne entfernen.

    Weitere Informationen finden Sie unter Verknüpfen eines Gruppenrichtlinienobjekts.

Hinweis

Wenn ein Gruppenrichtlinie-Objekt manuell erstellt wurde, ist es möglich, dass das Gruppenrichtlinie-Objekt während der DirectAccess-Konfiguration nicht verfügbar ist. Das Gruppenrichtlinie -Objekt wurde möglicherweise nicht auf den Domänencontroller repliziert, der dem Verwaltungscomputer am nächsten ist. Der Administrator kann auf die Replikation warten, um die Replikation abzuschließen oder zu erzwingen.

Konfigurieren von Sicherheitsgruppen

Die DirectAccess-Einstellungen, die auf dem Clientcomputer enthalten sind, Gruppenrichtlinie -Objekt werden nur auf Computer angewendet, die Mitglieder der Sicherheitsgruppen sind, die Sie beim Konfigurieren von Remotezugriff angeben.

So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients

  1. Geben Sie auf dem Startbildschirm die EINGABETASTE ein.

  2. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.

  3. Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.

  4. Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.

  5. Doppelklicken Sie auf die Sicherheitsgruppe "DirectAccess", und klicken Sie im Dialogfeld "Eigenschaften " auf die Registerkarte "Mitglieder ".

  6. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  7. Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Konfigurieren des Netzwerkadressenservers

Der Netzwerkspeicherortserver sollte sich auf einem Server mit hoher Verfügbarkeit befinden und benötigt ein gültiges SSL-Zertifikat (Secure Sockets Layer), das von den DirectAccess-Clients vertrauenswürdig ist.

Hinweis

Wenn sich die Website des Netzwerkspeicherortservers auf dem Remotezugriffsserver befindet, wird eine Website automatisch erstellt, wenn Sie Remotezugriff konfigurieren und an das von Ihnen bereitgestellte Serverzertifikat gebunden sind.

Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:

  • Privat

    Hinweis

    Das Zertifikat basiert auf der Zertifikatvorlage, die Sie in der Konfiguration von Zertifikatvorlagen erstellt haben.

  • Selbst signiert

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

Unabhängig davon, ob Sie ein privates Zertifikat oder ein selbst signiertes Zertifikat verwenden, benötigen sie folgendes:

  • Ein Websitezertifikat für den Netzwerkadressenserver. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.

  • Ein CRL-Verteilerpunkt, der über hohe Verfügbarkeit im internen Netzwerk verfügt.

So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen Zertifizierungsstelle

  1. Geben Sie auf dem Server , auf dem die Website des Netzwerkspeicherortservers gehostet wird: Geben Siemmc.exeein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf "Alle Vorgänge", klicken Sie auf "Neues Zertifikat anfordern", und klicken Sie dann zweimal auf "Weiter ".

  6. Aktivieren Sie auf der Seite " Zertifikate anfordern" das Kontrollkästchen für die Zertifikatvorlage, die Sie in der Konfiguration von Zertifikatvorlagen erstellt haben, und klicken Sie bei Bedarf auf "Weitere Informationen", um sich für dieses Zertifikat anzumelden.

  7. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  8. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  9. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  10. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  11. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  12. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  13. Stellen Sie im Detailbereich des Zertifikat-Snap-Ins sicher, dass neues Zertifikat mit dem vorgesehenen Zweck der Serverauthentifizierung registriert wurde.

So konfigurieren Sie den Netzwerkadressenserver

  1. Richten Sie eine Website auf einem Server mit hoher Verfügbarkeit ein. Für die Website sind keine Inhalte erforderlich, für einen Test sollten Sie jedoch eine Standardseite definieren, die eine Meldung anzeigt, wenn Clients eine Verbindung zu der Website aufbauen.

    Dieser Schritt ist nicht erforderlich, wenn die Website des Netzwerkspeicherortservers auf dem Remotezugriffsserver gehostet wird.

  2. Binden Sie ein HTTPS-Serverzertifikate an die Website. Der allgemeine Name des Zertifikats sollte mit dem Namen der Netzwerkadressenserver-Website übereinstimmen. Vergewissern Sie sich, dass die DirectAccess-Clients der ausstellenden Zertifizierungsstelle vertrauen.

    Dieser Schritt ist nicht erforderlich, wenn die Website des Netzwerkspeicherortservers auf dem Remotezugriffsserver gehostet wird.

  3. Richten Sie einen CRL-Standort ein, der über hohe Verfügbarkeit im internen Netzwerk verfügt.

    Auf die Sperrlisten-Verteilungspunkte wurde folgendermaßen zugegriffen:

    • Webserver, die eine HTTP-basierte URL verwenden, z. B. folgendes: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl

    • Dateiserver, auf die über einen UNC-Pfad (Universal Naming Convention) zugegriffen wird, Beispiel: \\crl.corp.contoso.com\crld\corp-APP1-CA.crl

    Wenn der interne CRL-Verteilungspunkt nur über IPv6 erreichbar ist, müssen Sie eine Windows Firewall mit Sicherheitsregel für erweiterte Sicherheitsverbindungen konfigurieren. Dadurch wird der IPsec-Schutz vom IPv6-Adressraum Ihres Intranets an die IPv6-Adressen Ihrer CRL-Verteilungspunkte ausgenommen.

  4. Stellen Sie sicher, dass DirectAccess-Clients im internen Netzwerk den Namen des Netzwerkspeicherortservers auflösen können, und dass DirectAccess-Clients im Internet den Namen nicht auflösen können.