Schritt 2: Konfigurieren des RAS-Servers

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die Client- und Servereinstellungen konfigurieren, die für die Remoteverwaltung von DirectAccess-Clients erforderlich sind. Bevor Sie mit den Bereitstellungsschritten beginnen, stellen Sie sicher, dass alle Planungsschritte in Schritt 2: Planen der Bereitstellung des Remotezugriffs ausgeführt wurden.

Aufgabe BESCHREIBUNG
Installieren der Remotezugriffsrolle Installieren Sie die Remotezugriffsrolle.
Konfigurieren des Bereitstellungstypen Konfigurieren Sie den Bereitstellungstypen als DirectAccess und VPN, nur DirectAccess, oder nur VPN
Konfigurieren von DirectAccess-Clients Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten.
Konfigurieren des RAS-Servers Konfigurieren Sie die Einstellungen des RAS-Servers.
Konfigurieren des Infrastrukturservers Konfigurieren Sie die Infrastrukturserver, die in der Organisation eingesetzt werden.
Konfigurieren von Anwendungsservern Konfigurieren Sie die Anwendungsserver so, dass Authentifizierung und Verschlüsselung erforderlich sind.
Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte Zeigen Sie die Zusammenfassung der Remotezugriffskonfiguration an und ändern Sie bei Bedarf die Gruppenrichtlinienobjekte.

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

Installieren der Remotezugriffsrolle

Sie müssen die Remotezugriffsrolle auf einem Server in Ihrer Organisation installieren, der als RAS-Server fungiert.

So installieren Sie die Remotezugriffsrolle

So installieren Sie die Remotezugriffsrolle auf DirectAccess-Servern

  1. Klicken Sie auf dem DirectAccess-Server in der Server-Manager-Konsole auf dem Dashboard auf Rollen und Features hinzufügen.

  2. Klicken Sie dreimal auf Weiter, um zur Anzeige für die Serverrollenauswahl zu gelangen.

  3. Wählen Sie im Dialogfeld Serverrollen auswählen die Option Remotezugriff aus, und klicken Sie dann auf Weiter.

  4. Klicken Sie dreimal auf Weiter.

  5. Wählen Sie im Dialogfeld Rollendienste auswählen die Option DirectAccess und VPN (RAS) aus, und klicken Sie dann auf Features hinzufügen.

  6. Wählen Sie Routing und Webanwendungsproxy aus, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf Weiter und dann auf Installieren.

  8. Überprüfen Sie im Dialogfeld Installationsstatus, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Install-WindowsFeature RemoteAccess -IncludeManagementTools

Konfigurieren des Bereitstellungstypen

Zum Bereitstellen des Remotezugriffs über die Remotezugriffs-Verwaltungskonsole können Sie drei Optionen verwenden:

  • DirectAccess und VPN

  • Nur DirectAccess

  • Nur VPN

Hinweis

Im vorliegenden Leitfaden wird in den Beispielverfahren die Bereitstellung nur über DirectAccess verwendet.

So konfigurieren Sie den Bereitstellungstypen

  1. Öffnen Sie auf dem RAS-Server die Remotezugriffs-Verwaltungskonsole: Geben Sie im Bildschirm Start die Zeichenfolge Remotezugriffs-Verwaltungskonsole ein, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole im mittleren Bereich auf Remotezugriffs-Setup-Assistenten ausführen.

  3. Wählen Sie im Dialogfeld Remotezugriff konfigurieren eine der Optionen „DirectAccess und VPN“, „Nur DirectAccess“ oder „Nur VPN“ aus.

Konfigurieren von DirectAccess-Clients

Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nach der Konfiguration von DirectAccess werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie DirectAccess-Gruppenrichtlinienobjekte für die Remoteverwaltung empfangen können.

So konfigurieren Sie DirectAccess-Clients

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 1 Remoteclients auf Konfigurieren.

  2. Klicken Sie im Assistenten zur Einrichtung von DirectAccess-Clients auf der Seite Bereitstellungsszenario auf DirectAccess nur für die Remoteverwaltung bereitstellen, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.

  4. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die die DirectAccess-Clientcomputer enthalten, und klicken Sie dann auf Weiter.

  5. Vorgehensweise auf der Seite Netzwerkkonnektivitäts-Assistent:

    • Fügen Sie in der Tabelle die Ressourcen hinzu, die zum Ermitteln der Konnektivität mit dem internen Netzwerk verwendet werden. Wenn keine weiteren Ressourcen konfiguriert werden, wird automatisch ein Standardwebtest erstellt. Wenn Sie die Webtestspeicherorte zum Ermitteln der Konnektivität mit dem Unternehmensnetzwerk konfigurieren, vergewissern Sie sich, dass mindestens ein HTTP-basierter Test konfiguriert ist. Es reicht nicht aus, nur einen Pingtest zu konfigurieren, und eine solche Vorgehensweise kann zu einer ungenauen Ermittlung des Konnektivitätsstatus führen. Dies liegt daran, dass Ping von IPsec ausgenommen ist. Aus diesem Grund stellt ein Pingtest nicht sicher, dass die IPsec-Tunnel ordnungsgemäß eingerichtet sind.

    • Fügen Sie eine Helpdesk-E-Mail-Adresse hinzu, damit Benutzer Informationen absenden können, wenn bei ihnen Verbindungsprobleme auftreten.

    • Geben Sie einen Anzeigenamen für die DirectAccess-Verbindung ein.

    • Aktivieren Sie bei Bedarf das Kontrollkästchen DirectAccess-Clients ermöglichen, die lokale Namensauflösung zu verwenden.

      Hinweis

      Wenn die Auflösung lokaler Namen aktiviert ist, können Benutzer, die den Netzwerkkonnektivitäts-Assistenten ausführen, Namen mithilfe von DNS-Servern auflösen, die auf dem DirectAccess-Clientcomputer konfiguriert sind.

  6. Klicken Sie auf Fertig stellen.

Konfigurieren des RAS-Servers

Zum Bereitstellen des Remotezugriffs müssen Sie den Server, der als RAS-Server fungiert, mit Folgendem konfigurieren:

  1. Korrekte Netzwerkadapter

  2. Eine öffentliche URL für den RAS-Server, mit dem Clientcomputer eine Verbindung herstellen können (die ConnectTo-Adresse)

  3. Ein IP-HTTPS-Zertifikat mit einem Antragsteller, der mit der ConnectTo-Adresse übereinstimmt

  4. IPv6-Einstellungen

  5. Clientcomputerauthentifizierung

So konfigurieren Sie den RAS-Server

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 2 RAS-Server auf Konfigurieren.

  2. Klicken Sie im Setup-Assistenten für den RAS-Server auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.

  3. Auf der Seite Netzwerkadapter erkennt der Assistent Folgendes automatisch:

    • Netzwerkadapter für die Netzwerke in Ihrer Bereitstellung. Falls der Assistent nicht die korrekten Netzwerkadapter erkennt, wählen Sie die korrekten Adapter manuell aus.

    • IP-HTTPS-Zertifikat. Dies basiert auf dem öffentlichen Namen für die Bereitstellung, den Sie im vorherigen Schritt des Assistenten festgelegt haben. Wenn der Assistent das korrekte IP-HTTPS-Zertifikat nicht erkennt, klicken Sie auf Durchsuchen, um das korrekte Zertifikat manuell auszuwählen.

  4. Klicken Sie auf Weiter.

  5. Auf der Seite Präfixkonfiguration (diese Seite wird nur angezeigt, wenn IPv6 im internen Netzwerk erkannt wurde) erkennt der Assistent automatisch die IPv6-Einstellungen, die im internen Netzwerk verwendet werden. Wenn für Ihre Bereitstellung zusätzliche Präfixe erforderlich sind, konfigurieren Sie die IPv6-Präfixe für das interne Netzwerk, ein IPv6-Präfix zum Zuweisen für DirectAccess-Clientcomputer und ein IPv6-Präfix zum Zuweisen für VPN-Clientcomputer.

  6. Vorgehensweise auf der Seite Authentifizierung:

    • In Bereitstellungen für mehrere Standorte oder die zweistufige Authentifizierung müssen Sie die Computerzertifikatauthentifizierung verwenden. Aktivieren Sie das Kontrollkästchen Computerzertifikate verwenden, um die Computerzertifikatauthentifizierung zu verwenden, und wählen Sie das IPsec-Stammzertifikat aus.

    • Damit Clientcomputer unter Windows 7 eine Verbindung über DirectAccess herstellen können, aktivieren Sie das Kontrollkästchen Für Windows 7-Clientcomputer Verbindungen über DirectAccess zulassen. Für diesen Bereitstellungstypen müssen Sie ebenfalls die Computerzertifikatauthentifizierung verwenden.

  7. Klicken Sie auf Fertig stellen.

Konfigurieren des Infrastrukturservers

Für die Infrastrukturserver in einer Remotezugriffsbereitstellung müssen Sie Folgendes konfigurieren:

  • Netzwerkadressenserver

  • DNS-Einstellungen, einschließlich DNS-Suffixsuchliste

  • Alle Verwaltungsserver, die von RAS nicht automatisch erkannt werden

So konfigurieren Sie die Infrastrukturserver

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 3 Infrastrukturserver auf Konfigurieren.

  2. Klicken Sie im Assistenten zum Einrichten des Infrastrukturservers auf der Seite Netzwerkadressenserver auf die Option, die dem Speicherort des Netzwerkadressenservers in Ihrer Bereitstellung entspricht.

    • Wenn der Netzwerkadressenserver auf einem Remotewebserver installiert ist, geben Sie die URL ein, und klicken Sie auf Überprüfen, bevor Sie fortfahren.

    • Wenn der Netzwerkadressenserver nicht auf einem Remotewebserver installiert ist, klicken Sie auf Durchsuchen, um das entsprechende Zertifikat zu suchen und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite DNS in der Tabelle zusätzliche Namenssuffixe ein, die als NRPT-Ausnahmen (Name Resolution Policy Table, Richtlinientabelle für die Namensauflösung) angewendet werden. Wählen Sie die entsprechende Option für die lokale Namensauflösung, und klicken Sie dann auf Weiter.

  4. Auf der Seite DNS-Suffixsuchliste erkennt der RAS-Server die Domänensuffixe in der Bereitstellung automatisch. Verwenden Sie die Schaltflächen Hinzufügen und Entfernen, um eine Liste der Domänensuffixe zu erstellen, die Sie verwenden möchten. Um ein neues Domänensuffix unter Neues Suffix hinzuzufügen, müssen Sie dass Suffix eingeben und anschließend auf Hinzufügen klicken. Klicken Sie auf Weiter.

  5. Fügen Sie auf der Seite Verwaltung die Verwaltungsserver hinzu, die nicht automatisch erkannt wurden, und klicken Sie dann auf Weiter. RAS fügt Domänencontroller und Konfigurations-Manager-Server automatisch hinzu.

  6. Klicken Sie auf Fertig stellen.

Konfigurieren von Anwendungsservern

Bei einer vollständigen Remotezugriffsbereitstellung ist das Konfigurieren von Anwendungsservern eine optionale Aufgabe. In diesem Szenario für die Remoteverwaltung von DirectAccess-Clients werden keine Anwendungsserver verwendet, und dieser Schritt ist abgeblendet, um darauf hinzuweisen, dass er nicht aktiv ist. Klicken Sie auf Fertigstellen, um die Konfiguration anzuwenden.

Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte

Wenn die Konfiguration des Remotezugriffs abgeschlossen ist, wird das Dialogfeld Überprüfung des Remotezugriffs angezeigt. Sie können alle zuvor ausgewählten Einstellungen überprüfen, dazu gehören:

  • GPO-Einstellungen

    Hier werden der Name des DirectAccess-Server-GPO und der Name des Client-GPO aufgelistet. Sie können auf den Link Ändern neben der Überschrift GPO-Einstellungen klicken, um die GPO-Einstellungen zu ändern.

  • Remoteclients

    Hier wird die DirectAccess-Clientkonfiguration angezeigt, einschließlich der Sicherheitsgruppe, der Verbindungsüberprüfungen und des DirectAccess-Verbindungsnamens.

  • Remotezugriffsserver

    Die DirectAccess-Konfiguration wird angezeigt, einschließlich des öffentlichen Namens und der Adresse, der Netzwerkadapterkonfiguration und der Zertifikatinformationen.

  • Infrastrukturserver

    Diese Liste enthält die Netzwerkadressenserver-URL, DNS-Suffixe, die von DirectAcccess-Clients verwendet werden sowie Verwaltungsserverinformationen.