Schritt 3: Planen der Bereitstellung für mehrere Standorte

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Nachdem Sie die Infrastrukturplanung für mehrere Standorte abgeschlossen haben, planen Sie zusätzliche Zertifikatanforderungen und wie Clientcomputer Einstiegspunkte und IPv6-Adressen auswählen, die in Ihrer Bereitstellung zugewiesen wurden.

Die folgenden Abschnitte enthalten ausführliche Informationen zur Planung.

3.1 Planen von IP-HTTPS-Zertifikaten

Bei der Konfiguration der Einstiegspunkte konfigurieren Sie jeden Einstiegspunkt mit einer bestimmten ConnectTo-Adresse. Das IP-HTTPS-Zertifikat für jeden Einstiegspunkt muss mit der ConnectTo-Adresse übereinstimmen. Beachten Sie Beim Abrufen des Zertifikats Folgendes:

• Sie können keine selbstsignierten Zertifikate in einer Bereitstellung für mehrere Standorte verwenden.

• Die Verwendung einer öffentlichen Zertifizierungsstelle wird empfohlen, damit Zertifikatsperrlisten schneller verfügbar sind.

• Geben Sie im Feld für den Antragsteller entweder die IPv4-Adresse des externen Adapters des RAS-Servers an (wenn die ConnectTo-Adresse als IP-Adresse und nicht als DNS-Name angegeben wurde) oder den FQDN der IP-HTTPS-URL.

• Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen. Die Verwendung einer Platzhalter-URL, die mit dem ConnectTo-DNS-Namen übereinstimmt, wird ebenfalls unterstützt.

• Im Antragstellernamen von IP-HTTPS-Zertifikaten können Platzhalter verwendet werden. Für alle Einstiegspunkte kann dasselbe Platzhalterzertifikat verwendet werden.

• Geben Sie im Feld %%amp;quot;Erweiterte Schlüsselverwendung%%amp;quot; die Serverauthentifizierungs-Objektkennung (OID) an.

• Wenn die Bereitstellung für mehrere Standorte Clientcomputer mit Windows 7 unterstützt, geben Sie im Feld „Sperrlisten-Verteilungspunkte“ einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können. Dies ist für Clients, auf denen Windows 8 ausgeführt wird, nicht erforderlich (die Überprüfung der Zertifikatsperrliste für IP-HTTPS auf diesen Clients ist standardmäßig deaktiviert).

• Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.

• Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher des Computers und nicht des Benutzers importiert werden.

3.2 Planen des Netzwerkadressenservers

Die Website des Netzwerkadressenservers kann auf dem RAS-Server oder auf einem anderen Server in Ihrem Unternehmen gehostet werden. Wenn Sie den Netzwerkadressenserver auf dem RAS-Server hosten, wird die Website automatisch erstellt, wenn Sie den Remotezugriff bereitstellen. Wenn Sie den Netzwerkadressenserver auf einem anderen Server in Ihrem Unternehmen hosten, auf dem ein Windows-Betriebssystem läuft, müssen Sie sicherstellen, dass Internetinformationsdienste (IIS) installiert sind, um die Website zu erstellen.

3.2.1 Zertifikatanforderungen für den Netzwerkadressenserver

Stellen Sie sicher, dass die Website des Netzwerkadressenservers folgende Anforderungen an die Zertifikatbereitstellung erfüllt:

• Es ist ein HTTPS-Serverzertifikat erforderlich.

• Wenn sich der Netzwerkadressenserver auf dem RAS-Server befindet und Sie bei der Bereitstellung des einzelnen RAS-Servers ein selbstsigniertes Zertifikat ausgewählt haben, müssen Sie die Einzelserverbereitstellung neu konfigurieren, um ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat zu verwenden.

• DirectAccess-Clientcomputer müssen der Zertifizierungsstelle vertrauen, die das Serverzertifikat zur Netzwerkadressenserver-Website ausgegeben hat.

• DirectAccess-Clientcomputer im internen Netzwerk müssen in der Lage sein, den Namen der Netzwerkadressenserver-Website aufzulösen.

• Die Netzwerkadressenserver-Website muss für Computer im internen Netzwerk hoch verfügbar sein.

• Der Netzwerkadressenserver darf nicht für DirectAccess-Clientcomputer auf dem internen Netzwerk erreichbar sein.

• Das Serverzertifikat muss anhand einer Zertifikatssperrliste (Certificate Revocation List, CRL) überprüft werden.

• Platzhalterzertifikate werden nicht unterstützt, wenn der Netzwerkadressenserver auf dem RAS-Server gehostet wird.

Beachten Sie Folgendes, wenn Sie das Websitezertifikat für den Netzwerkadressenserver abrufen:

1. Im Feld Antragsteller muss eine IP-Adresse der Intranetschnittstelle des Netzwerkadressenservers oder der FQDN der Netzwerkadressen-URL angegeben sein. Beachten Sie, dass Sie keine IP-Adresse angeben sollten, wenn der Netzwerkadressenserver auf dem RAS-Server gehostet wird. Dies liegt daran, dass der Netzwerkadressenserver für alle Einstiegspunkte denselben Antragstellernamen verwenden muss und nicht alle Einstiegspunkte über dieselbe IP-Adresse verfügen.

2. Im Feld Erweiterte Schlüsselverwendung muss die Serverauthentifizierungs-OID angegeben sein.

3. Verwenden Sie im Feld „Sperrlisten-Verteilungspunkte“ einen Zertifikatsperrlisten-Verteilungspunkt, auf den mit dem Intranet verbundene DirectAccess-Clients zugreifen können.

3.2.2 DNS für den Netzwerkadressenserver

Wenn Sie den Netzwerkadressenserver auf dem RAS-Server hosten, müssen Sie für jeden Einstiegspunkt in Ihrer Bereitstellung einen DNS-Eintrag für die Website des Netzwerkadressenservers hinzufügen. Beachten Sie Folgendes:

• Der Antragstellername im ersten Zertifikat des Netzwerkadressenservers in der Bereitstellung für mehrere Standorte wird als Netzwerkadressenserver-URL für alle Einstiegspunkte verwendet. Daher dürfen der Antragstellername und die Netzwerkadressenserver-URL nicht mit dem Computernamen des ersten RAS-Servers in der Bereitstellung übereinstimmen. Es muss sich um einen dedizierten FQDN für den Netzwerkadressenserver handeln.

• Der vom Netzwerkadressenserver bereitgestellte Dienst wird mithilfe von DNS gleichmäßig auf die Einstiegspunkte verteilt. Daher sollte für jeden Einstiegspunkt ein DNS-Eintrag mit der gleichen URL vorhanden sein, der mit der internen IP-Adresse des Einstiegspunkts konfiguriert ist.

• Alle Einstiegspunkte müssen mit einem Netzwerkadressenserver-Zertifikat mit demselben Antragstellernamen konfiguriert werden (der der URL des Netzwerkadressenservers entspricht).

• Die Netzwerkadressenserver-Infrastruktur (DNS- und Zertifikateinstellungen) für einen Einstiegspunkt muss vor dem Hinzufügen des Einstiegspunkts erstellt werden.

3.3 Planen des IPsec-Stammzertifikats für alle RAS-Server

Wenn Sie die IPsec-Clientauthentifizierung in einer Bereitstellung für mehrere Standorte planen, sollten Sie Folgendes beachten:

1. Wenn Sie sich beim Einrichten des einzelnen RAS-Servers für die Verwendung des integrierten Kerberos-Proxys für die Computerauthentifizierung entschieden haben, müssen Sie die Einstellung so ändern, dass von einer internen Zertifizierungsstelle ausgestellte Computerzertifikate verwendet werden, da der Kerberos-Proxy in einer Bereitstellung für mehrere Standorte nicht unterstützt wird.

2. Wenn Sie ein selbstsigniertes Zertifikat verwendet haben, müssen Sie die Einzelserverbereitstellung so neu konfigurieren, dass ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat verwendet wird.

3. Damit die IPsec-Authentifizierung während der Clientauthentifizierung erfolgreich verläuft, müssen alle RAS-Server über ein Zertifikat verfügen, das von der IPsec-Stamm- oder Zwischenzertifizierungsstelle und mit der Clientauthentifizierungs-OID für die erweiterte Schlüsselverwendung ausgestellt wurde.

4. Auf allen RAS-Servern in der Bereitstellung für mehrere Standorte muss dasselbe IPsec-Stamm- oder Zwischenzertifikat installiert sein.

3.4 Planen des globalen Serverlastenausgleichs

In einer Bereitstellung für mehrere Standorte können Sie zusätzlich einen globalen Serverlastenausgleich konfigurieren. Ein globaler Serverlastenausgleich kann für Ihr Unternehmen hilfreich sein, wenn sich die Bereitstellung über ein umfangreiches geografisches Gebiet erstreckt, da die Datenverkehrslast zwischen den Einstiegspunkten verteilt werden kann. Der globale Serverlastenausgleich kann so konfiguriert werden, dass für DirectAccess-Clients Informationen zum nächstgelegenen Einstiegspunkt bereitgestellt werden. Der Prozess funktioniert wie folgt:

1. Clientcomputer, auf denen Windows 10 oder Windows 8 ausgeführt wird, verfügen über eine Liste mit IP-Adressen für den globalen Serverlastenausgleich, die jeweils einem Einstiegspunkt zugeordnet sind.

2. Der Windows 10- oder Windows 8-Clientcomputer versucht, den FQDN des globalen Serverlastenausgleichs im öffentlichen DNS in eine IP-Adresse aufzulösen. Wenn die aufgelöste IP-Adresse als Einstiegspunkt-IP-Adresse des globalen Serverlastenausgleich aufgelistet wird, wählt der Clientcomputer automatisch diesen Einstiegspunkt aus und stellt eine Verbindung mit seiner IP-HTTPS-URL (ConnectTo-Adresse) oder mit der IP-Adresse des Teredo-Servers her. Beachten Sie, dass die IP-Adresse des globalen Serverlastenausgleichs nicht mit der ConnectTo-Adresse oder der Teredo-Serveradresse des Einstiegspunkts identisch sein muss, da die Clientcomputer niemals versuchen, eine Verbindung mit der IP-Adresse des globalen Serverlastenausgleichs herzustellen.

3. Wenn sich der Clientcomputer hinter einem Webproxy befindet (und keine DNS-Auflösung verwenden kann) oder wenn der FQDN des globalen Lastenausgleichs nicht in eine konfigurierte IP-Adresse des globalen Serverlastenausgleichs aufgelöst wird, wird automatisch ein Einstiegspunkt ausgewählt, indem ein HTTPS-Test für die IP-HTTPS-URLs aller Einstiegspunkte durchgeführt wird. Der Client stellt eine Verbindung mit dem Server her, der zuerst antwortet.

Eine Liste der Geräte für den globalen Serverlastenausgleich, die den Remotezugriff unterstützen, finden Sie auf der Seite „Einen Partner finden“ unter Microsoft Server und Cloudplattform.

3.5 Planen der Auswahl des DirectAccess-Clienteinstiegspunkts

Wenn Sie eine Bereitstellung für mehrere Standorte konfigurieren, werden Windows 10- und Windows 8-Clientcomputer standardmäßig mit den Informationen konfiguriert, die erforderlich sind, um eine Verbindung mit allen Einstiegspunkten in der Bereitstellung herzustellen und basierend auf einem Auswahlalgorithmus automatisch eine Verbindung mit einem einzelnen Einstiegspunkt herzustellen. Sie können Ihre Bereitstellung auch so konfigurieren, dass Windows 10- und Windows 8-Clientcomputer den Einstiegspunkt, mit dem sie eine Verbindung herstellen möchten, manuell auswählen können. Angenommen, ein Windows 10- oder Windows 8-Clientcomputer ist derzeit mit dem Einstiegspunkt in den USA verbunden, und die automatische Einstiegspunktauswahl ist aktiviert: Wenn der Einstiegspunkt in den USA nicht erreichbar ist, versucht der Clientcomputer nach einigen Minuten, eine Verbindung über den Einstiegspunkt in Europa herzustellen. Es wird empfohlen, die automatische Einstiegspunktauswahl zu verwenden. Wenn Sie jedoch die manuelle Einstiegspunktauswahl zulassen, können Endbenutzer basierend auf dem aktuellen Netzwerkzustand eine Verbindung mit einem anderen Einstiegspunkt herstellen. Beispielsweise, wenn ein Computer mit dem Einstiegspunkt in den USA verbunden ist und die Verbindung mit dem internen Netzwerk viel langsamer ist als erwartet. In diesem Fall kann der Endbenutzer manuell auswählen, eine Verbindung mit dem Einstiegspunkt in Europa herzustellen, um die Verbindung mit dem internen Netzwerk zu verbessern.

Hinweis

Nachdem ein Endbenutzer einen Einstiegspunkt manuell ausgewählt hat, kehrt der Clientcomputer nicht zur automatischen Einstiegspunktauswahl zurück. Das heißt, wenn der manuell ausgewählte Einstiegspunkt nicht erreichbar ist, muss der Endbenutzer entweder zur automatischen Einstiegspunktauswahl zurückkehren oder manuell einen anderen Einstiegspunkt auswählen.

Windows 7-Clientcomputer werden mit den Informationen konfiguriert, die für die Verbindung mit einem einzelnen Einstiegspunkt in der Bereitstellung für mehrere Standorte erforderlich sind. Sie sind nicht in der Lage, Informationen für mehrere Einstiegspunkte gleichzeitig zu speichern. Beispielsweise kann ein Windows 7-Clientcomputer so konfiguriert werden, dass er eine Verbindung mit dem Einstiegspunkt in den USA, aber nicht mit dem Einstiegspunkt in Europa herstellt. Wenn der Einstiegspunkt in den USA nicht erreichbar ist, wird die Verbindung zwischen dem Windows 7-Clientcomputer und dem internen Netzwerk getrennt, bis der Einstiegspunkt wieder erreichbar ist. Der Endbenutzer kann keine Änderungen vornehmen, um zu versuchen, eine Verbindung mit dem Einstiegspunkt in Europa herzustellen.

3.6 Planen von Präfixen und Routing

Internes IPv6-Präfix

Während der Bereitstellung des einzelnen RAS-Servers haben Sie die IPv6-Präfixe des internen Netzwerks geplant. Beachten Sie bei einer Bereitstellung für mehrere Standorte Folgendes:

1. Wenn Sie beim Konfigurieren der Remotezugriffsbereitstellung für einen einzelnen Server alle Active Directory-Standorte einbezogen haben, sind die IPv6-Präfixe für das interne Netzwerk bereits in der Remotezugriffs-Verwaltungskonsole definiert.

2. Wenn Sie zusätzliche Active Directory-Standorte für die Bereitstellung für mehrere Standorte erstellen, müssen Sie neue IPv6-Präfixe für die zusätzlichen Standorte planen und im Remotezugriff definieren. Beachten Sie, dass IPv6-Präfixe nur mit der Remotezugriffs-Verwaltungskonsole oder PowerShell-Cmdlets konfiguriert werden können, wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird.

IPv6-Präfix für DirectAccess-Clientcomputer (IP-HTTPS-Präfix)

1. Wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird, müssen Sie ein IPv6-Präfix planen, das DirectAccess-Clientcomputern in allen zusätzlichen Einstiegspunkten in Ihrer Bereitstellung zugewiesen werden soll.

2. Stellen Sie sicher, dass die IPv6-Präfixe, die DirectAccess-Clientcomputern in jedem Einstiegspunkt zugewiesen werden sollen, verschieden sind und dass es keine Überlappungen zwischen den IPv6-Präfixen gibt.

3. Wenn IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird, wird beim Hinzufügen des Einstiegspunkts automatisch ein IP-HTTPS-Präfix für jeden Einstiegspunkt ausgewählt.

IPv6-Präfix für VPN-Clients

Wenn Sie VPN auf dem einzelnen RAS-Server bereitgestellt haben, sollten Sie Folgendes beachten:

1. Das Hinzufügen eines IPv6-VPN-Präfixes zu einem Einstiegspunkt ist nur erforderlich, wenn Sie es dem VPN-Client ermöglichen möchten, IPv6-Verbindungen mit dem Unternehmensnetzwerk herzustellen.

2. Das VPN-Präfix kann nur mithilfe der Remotezugriffs-Verwaltungskonsole oder PowerShell-Cmdlets für einen Einstiegspunkt konfiguriert werden, wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird und VPN am Einstiegspunkt aktiviert ist.

3. Das VPN-Präfix sollte in jedem Einstiegspunkt eindeutig sein und darf nicht mit anderen VPN- oder IP-HTTPS-Präfixen überlappen.

4. Wenn IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird, wird VPN-Clients, die eine Verbindung mit dem Einstiegspunkt herstellen, keine IPv6-Adresse zugewiesen.

Routing

In einer Bereitstellung für mehrere Standorte wird symmetrisches Routing mithilfe von Teredo und IP-HTTPS erzwungen. Beachten Sie Folgendes, wenn IPv6 im Unternehmensnetzwerk bereitgestellt wird:

1. Die Teredo- und IP-HTTPS-Präfixe jedes Einstiegspunkts müssen über das Unternehmensnetzwerk zum zugehörigen RAS-Server geroutet werden können.

2. Die Routen müssen in der Routinginfrastruktur des Unternehmensnetzwerks konfiguriert werden.

3. Für jeden Einstiegspunkt sollten ein bis drei Routen im internen Netzwerk vorhanden sein:

   1. IP-HTTPS-Präfix – Dieses Präfix wird vom Administrator im Assistenten Zum Hinzufügen eines Einstiegspunkts ausgewählt.

   2. VPN-IPv6-Präfix (optional) – Dieses Präfix kann nach dem Aktivieren von VPN für einen Einstiegspunkt ausgewählt werden.

   3. Teredo-Präfix (optional) – Dieses Präfix ist nur relevant, wenn der RAS-Server mit zwei aufeinanderfolgenden öffentlichen IPv4-Adressen auf dem externen Adapter konfiguriert ist. Das Präfix basiert auf der ersten öffentlichen IPv4-Adresse des Adressenpaars. Angenommen, die externen Adressen lauten wie folgt:

      1. www.xxx.yyy.zzz

      2. www.xxx.yyy.zzz+1

      In diesem Fall lautet das zu konfigurierende Teredo-Präfix 2001:0:WWXX:YYZZ::/64. Dabei entspricht „WWXX:YYZZ“ der hexadezimalen Darstellung der IPv4-Adresse „www.xxx.yyy.zzz“.

      Sie können das folgende Skript zur Berechnung des Teredo-Präfix verwenden:

      $TeredoIPv4 = (Get-NetTeredoConfiguration).ServerName # Use for a Remote Access server that is already configured
      $TeredoIPv4 = "20.0.0.1" # Use for an IPv4 address
      
          [Byte[]] $TeredoServerAddressBytes = `
          [System.Net.IPAddress]::Parse("2001::").GetAddressBytes()[0..3] + `
          [System.Net.IPAddress]::Parse($TeredoIPv4).GetAddressBytes() + `
          [System.Net.IPAddress]::Parse("::").GetAddressBytes()[0..7]
      
      Write-Host "The server's Teredo prefix is $([System.Net.IPAddress]$TeredoServerAddressBytes)/64"
      

   4. Alle oben genannten Routen müssen zur IPv6-Adresse auf dem internen Adapter des RAS-Servers (oder zur internen virtuellen IP-Adresse [VIP] für einen Einstiegspunkt mit Lastenausgleich) führen.

Hinweis

Wenn IPv6 im Unternehmensnetzwerk bereitgestellt wird und der RAS-Server remote über DirectAccess verwaltet wird, müssen Routen für die Teredo- und IP-HTTPS-Präfixe aller anderen Einstiegspunkte jedem RAS-Server hinzugefügt werden, damit der Datenverkehr an das interne Netzwerk weitergeleitet wird.

Standortspezifische Active Directory-IPv6-Präfixe

Wenn ein Clientcomputer, auf dem Windows 10 oder Windows 8 ausgeführt wird, mit einem Einstiegspunkt verbunden ist, wird der Clientcomputer sofort dem Active Directory-Standort des Einstiegspunkts zugeordnet und mit IPv6-Präfixen konfiguriert, die dem Einstiegspunkt zugeordnet sind. Clientcomputer sind so eingestellt, dass sie mithilfe dieser IPv6-Präfixe eine Verbindung mit Ressourcen herstellen, da sie in der Richtlinientabelle für IPv6-Präfixe dynamisch mit höherer Priorität konfiguriert werden, wenn sie eine Verbindung mit einem Einstiegspunkt herstellen.

Wenn Ihr Unternehmen eine Active Directory-Topologie mit standortspezifischen IPv6-Präfixen verwendet (z. B. wird der interne Ressourcen-FQDN „app.corp.com“ sowohl in Nordamerika als auch in Europa mit einer standortspezifischen IP-Adresse an jedem Standort gehostet), wird dies nicht standardmäßig mithilfe der Remotezugriffskonsole konfiguriert. Außerdem werden keine standortspezifischen IPv6-Präfixe für jeden Einstiegspunkt konfiguriert. Wenn dieses optionale Szenario unterstützt werden soll, müssen Sie jeden Einstiegspunkt mit den spezifischen IPv6-Präfixen konfigurieren, die von Clientcomputern bevorzugt werden sollten, die eine Verbindung mit einem bestimmten Einstiegspunkt herstellen. Gehen Sie hierzu wie folgt vor:

1. Führen Sie für jedes GPO, das für Windows 10- oder Windows 8-Clientcomputer verwendet wird, das PowerShell-Cmdlet Set-DAEntryPointTableItem aus.

2. Legen Sie den EntryPointRange-Parameter für das Cmdlet mit den standortspezifischen IPv6-Präfixen fest. Um einem Einstiegspunkt namens „Europa“ die standortspezifischen Präfixe 2001:db8:1:1::/64 und 2001:db:1:2::/64 hinzuzufügen, führen Sie folgenden Code aus:

   $entryPointName = "Europe"
   $prefixesToAdd = @("2001:db8:1:1::/64", "2001:db8:1:2::/64")
   $clientGpos = (Get-DAClient).GpoName
   $clientGpos | % { Get-DAEntryPointTableItem -EntryPointName $entryPointName -PolicyStore $_ | %{ Set-DAEntryPointTableItem -PolicyStore $_.PolicyStore -EntryPointName $_.EntryPointName -EntryPointRange ($_.EntryPointRange) + $prefixesToAdd}}
   

3. Stellen Sie beim Ändern des EntryPointRange-Parameters sicher, dass Sie nicht die vorhandenen 128-Bit-Präfixe entfernen, die zu den IPsec-Tunnelendpunkten und der DNS64-Adresse gehören.

3.7 Planen des Übergangs zu IPv6 bei der Bereitstellung des Remotezugriffs für mehrere Standorte

Viele Unternehmen verwenden das IPv4-Protokoll im Unternehmensnetzwerk. Da der Pool an verfügbaren IPv4-Präfixen erschöpft ist, gehen viele Unternehmen von reinen IPv4- zu reinen IPv6-Netzwerken über.

Dieser Übergang erfolgt höchstwahrscheinlich in zwei Phasen:

1. Von einem reinen IPv4-Netzwerk zu einem IPv6 + IPv4-Unternehmensnetzwerk

2. Von einem IPv6 + IPv4-Netzwerk zu einem reinen IPv6-Unternehmensnetzwerk

Der Übergang kann jeweils in Phasen erfolgen. Beispielsweise kann in jeder Phase nur ein Teil des Netzwerks in die neue Netzwerkkonfiguration überführt werden. Daher ist eine DirectAccess-Bereitstellung für mehrere Standorte erforderlich, um eine Hybridbereitstellung zu unterstützen, bei der einige Einstiegspunkte zu einem reinen IPv4-Subnetz und andere zu einem IPv6 + IPv4-Subnetz gehören. Darüber hinaus dürfen Clientverbindungen über DirectAccess während des Übergangs durch die Konfigurationsänderungen nicht beeinträchtigt werden.

Übergang von einem reinen IPv4-Netzwerk zu einem IPv6 + IPv4-Unternehmensnetzwerk

Wenn Sie einem reinen IPv4-Unternehmensnetzwerk IPv6-Adressen hinzufügen, möchten Sie einem bereits bereitgestellten DirectAccess-Server möglicherweise eine IPv6-Adresse hinzufügen. Darüber hinaus können Sie in der DirectAccess-Bereitstellung einen Einstiegspunkt oder Knoten zu einem Cluster mit Lastenausgleich mit IPv4- und IPv6-Adressen hinzufügen.

Der Remotezugriff ermöglicht das Hinzufügen von Servern mit IPv4- und IPv6-Adressen zu einer Bereitstellung, die ursprünglich nur mit IPv4-Adressen konfiguriert war. Diese Server werden als reine IPv4-Server hinzugefügt, und ihre IPv6-Adressen werden von DirectAccess ignoriert. Daher kann Ihr Unternehmen die Vorteile der nativen IPv6-Konnektivität auf diesen neuen Servern nicht nutzen.

Um die Bereitstellung in eine IPv6 + IPv4-Bereitstellung zu transformieren und die nativen IPv6-Funktionen zu nutzen, müssen Sie DirectAccess neu installieren. Informationen dazu, wie Sie die Clientkonnektivität während der gesamten Neuinstallation aufrechterhalten, finden Sie unter „Übergang von einer reinen IPv4-Bereitstellung zu einer reinen IPv6-Bereitstellung mithilfe dualer DirectAccess-Bereitstellungen“.

Hinweis

Wie bei einem reinen IPv4-Netzwerk muss in einem gemischten IPv4 + IPv6-Netzwerk die Adresse des DNS-Servers, der zum Auflösen von DNS-Clientanforderungen verwendet wird, mit dem DNS64 konfiguriert werden, der auf RAS-Servern selbst bereitgestellt wird, und nicht mit einem Unternehmens-DNS.

Übergang von einem IPv6 + IPv4-Netzwerk zu einem reinen IPv6-Unternehmensnetzwerk

Mit DirectAccess können Sie nur reine IPv6-Einstiegspunkte hinzufügen, wenn der erste RAS-Server in der Bereitstellung ursprünglich entweder IPv4- und IPv6-Adressen oder nur eine IPv6-Adresse hatte. Das heißt, Sie können nicht in einem einzigen Schritt von einem reinen IPv4-Netzwerk zu einem reinen IPv6-Netzwerk wechseln, ohne DirectAccess neu zu installieren. Informationen zum direkten Übergang von einem reinen IPv4-Netzwerk zu einem reinen IPv6-Netzwerk finden Sie unter „Übergang von einer reinen IPv4-Bereitstellung zu einer reinen IPv6-Bereitstellung mithilfe dualer DirectAccess-Bereitstellungen“.

Nachdem Sie den Übergang von einer reinen IPv4-Bereitstellung zu einer IPv6 + IPv4-Bereitstellung abgeschlossen haben, können Sie zu einem reinen IPv6-Netzwerk wechseln. Beachten Sie während und nach dem Übergang Folgendes:

• Wenn reine IPv4-Back-End-Server im Unternehmensnetzwerk verbleiben, sind sie nicht für Clients erreichbar, die über die reinen IPv6-Einstiegspunkte eine Verbindung herstellen.

• Beim Hinzufügen von reinen IPv6-Einstiegspunkten zu einer IPv4 + IPv6-Bereitstellung werden DNS64 und NAT64 auf den neuen Servern nicht aktiviert. Clients, die eine Verbindung mit diesen Einstiegspunkten herstellen, werden automatisch für die Verwendung der DNS-Unternehmensserver konfiguriert.

• Wenn Sie IPv4-Adressen von einem bereitgestellten Server löschen müssen, müssen Sie den Server aus der DirectAccess-Bereitstellung entfernen, seine IPv4-Adresse für das Unternehmensnetzwerk entfernen und den Server der Bereitstellung erneut hinzufügen.

Um die Clientkonnektivität mit dem Unternehmensnetzwerk zu unterstützen, müssen Sie sicherstellen, dass der Netzwerkadressenserver vom Unternehmens-DNS in seine IPv6-Adresse aufgelöst werden kann. Eine zusätzliche IPv4-Adresse kann ebenfalls festgelegt werden, ist aber nicht erforderlich.

Übergang von einer reinen IPv4-Bereitstellung zu einer reinen IPv6-Bereitstellung mithilfe dualer DirectAccess-Bereitstellungen

Der Übergang von einem reinen IPv4- zu einem reinen IPv6-Unternehmensnetzwerk kann nicht durchgeführt werden, ohne die DirectAccess-Bereitstellung neu zu installieren. Um die Clientkonnektivität während des Übergangs aufrechtzuerhalten, können Sie eine andere DirectAccess-Bereitstellung verwenden. Die duale Bereitstellung ist erforderlich, wenn die erste Übergangsphase abgeschlossen ist (reines IPv4-Netzwerk wurde auf IPv4 + IPv6 aktualisiert) und Sie beabsichtigen, sich auf einen zukünftigen Übergang zu einem reinen IPv6-Unternehmensnetzwerk vorzubereiten oder die Vorteile nativer IPv6-Verbindungen zu nutzen. Die duale Bereitstellung wird in den folgenden allgemeinen Schritten beschrieben:

1. Installieren Sie eine zweite DirectAccess-Bereitstellung. Sie können DirectAccess auf neuen Servern installieren oder Server aus der ersten Bereitstellung entfernen und für die zweite Bereitstellung verwenden.

   Hinweis

   Stellen Sie beim Installieren einer zusätzlichen DirectAccess-Bereitstellung neben einer aktuellen Bereitstellung sicher, dass keine zwei Einstiegspunkte das gleiche Clientpräfix verwenden.

   Wenn Sie DirectAccess mithilfe des Assistenten für erste Schritte oder mit dem Cmdlet Install-RemoteAccess installieren, wird das Clientpräfix des ersten Einstiegspunkts in der Bereitstellung von der Remotezugriffsfunktion automatisch auf den Standardwert <IPv6 subnet_prefix>:1000::/64 festgelegt. Sie müssen das Präfix ggf. ändern.

2. Entfernen Sie die ausgewählten Clientsicherheitsgruppen aus der ersten Bereitstellung.

3. Fügen Sie die Clientsicherheitsgruppen der zweiten Bereitstellung hinzu.

   Wichtig

   Um die Clientkonnektivität während des gesamten Prozesses aufrechtzuerhalten, müssen Sie die Sicherheitsgruppen sofort zur zweiten Bereitstellung hinzufügen, nachdem Sie sie von der ersten entfernt haben. Dadurch wird verhindert, dass Clients mit zwei oder null DirectAccess-GPOs aktualisiert werden. Clients beginnen mit der Verwendung der zweiten Bereitstellung, sobald sie ihr Client-GPO abgerufen und aktualisiert haben.

4. Optional: Entfernen Sie die DirectAccess-Einstiegspunkte aus der ersten Bereitstellung, und fügen Sie diese Server in der zweiten Bereitstellung als neue Einstiegspunkte hinzu.

Wenn Sie die Umstellung abgeschlossen haben, können Sie die erste DirectAccess-Bereitstellung deinstallieren. Bei der Deinstallation können die folgenden Probleme auftreten:

• Wenn die Bereitstellung so konfiguriert wurde, dass nur Clients auf mobilen Computern unterstützt werden, wird der WMI-Filter gelöscht. Wenn die Clientsicherheitsgruppen der zweiten Bereitstellung Desktopcomputer einschließen, werden vom DirectAccess-Client-GPO keine Desktopcomputer gefiltert, wodurch Probleme auf den diesen Computern auftreten können. Wenn ein Filter für mobile Computer erforderlich ist, erstellen Sie diesen gemäß den Anweisungen unter Erstellen von WMI-Filtern für das GPO neu.

• Wenn beide Bereitstellungen ursprünglich in derselben Active Directory-Domäne erstellt wurden, wird der DNS-Testeintrag, der auf „localhost“ verweist, gelöscht und kann Probleme bei Clientverbindungen verursachen. Beispielsweise können Clients eine Verbindung über IP-HTTPS anstelle von Teredo herstellen oder zwischen DirectAccess-Einstiegspunkten für mehrere Standorte wechseln. In diesem Fall müssen Sie dem Unternehmens-DNS den folgenden DNS-Eintrag hinzufügen:

  • Zone: Domänenname

  • Name: directaccess-corpConnectivityHost

  • IP-Adresse: ::1

  • Typ: AAAA