DirectAccess nicht unterstützte Konfigurationen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Überprüfen Sie die folgende Liste der nicht unterstützten DirectAccess-Konfigurationen, bevor Sie die Bereitstellung starten, um zu vermeiden, dass Sie die Bereitstellung erneut starten müssen.

Verteilung des Dateireplikationsdiensts (File Replication Service, FRS) von Gruppenrichtlinie-Objekten (SYSVOL-Replikationen)

Stellen Sie DirectAccess nicht in Umgebungen bereit, in denen Ihre Domänencontroller den Dateireplikationsdienst (File Replication Service, FRS) für die Verteilung von Gruppenrichtlinie-Objekten (SYSVOL-Replikationen) ausführen. Die Bereitstellung von DirectAccess wird nicht unterstützt, wenn Sie FRS verwenden.

Sie verwenden FRS, wenn Sie über Domänencontroller verfügen, auf denen Windows Server 2003 oder Windows Server 2003 R2 ausgeführt wird. Darüber hinaus können Sie FRS verwenden, wenn Sie zuvor Windows 2000 Server- oder Windows Server 2003-Domänencontroller verwendet haben und nie die SYSVOL-Replikation von FRS zu verteiltes Dateisystem Replication (DFS-R) migriert haben.

Wenn Sie DirectAccess mit FRS-SYSVOL-Replikation bereitstellen, riskieren Sie das unbeabsichtigte Löschen von DirectAccess-Gruppenrichtlinie-Objekten, die die DirectAccess-Server- und Clientkonfigurationsinformationen enthalten. Wenn diese Objekte gelöscht werden, kommt es bei Ihrer DirectAccess-Bereitstellung zu einem Ausfall, und Clientcomputer, die DirectAccess verwenden, können keine Verbindung mit Ihrem Netzwerk herstellen.

Wenn Sie DirectAccess bereitstellen möchten, müssen Sie Domänencontroller verwenden, auf denen Betriebssysteme nach Windows Server 2003 R2 ausgeführt werden, und Sie müssen DFS-R verwenden.

Informationen zum Migrieren von FRS zu DFS-R finden Sie im SYSVOL-Replikationsmigrationshandbuch: FRS zu DFS-Replikation.

Netzwerkzugriffsschutz für DirectAccess-Clients

Network Access Protection (NAP) wird verwendet, um zu bestimmen, ob Remoteclientcomputer IT-Richtlinien erfüllen, bevor ihnen Zugriff auf das Unternehmensnetzwerk gewährt wird. NAP ist in Windows Server 2012 R2 veraltet und nicht in Windows Server 2016 enthalten. Aus diesem Grund wird das Starten einer neuen Bereitstellung von DirectAccess mit NAP nicht empfohlen. Eine andere Methode der Endpunktsteuerung für die Sicherheit von DirectAccess-Clients wird empfohlen.

Unterstützung mehrerer Standorte für Windows 7 Clients

Wenn DirectAccess in einer Bereitstellung mit mehreren Websites konfiguriert ist, können Windows 10 ®- Windows ® 8.1- und Windows ® 8-Clients eine Verbindung mit dem nächstgelegenen Standort herstellen. Windows 7® Clientcomputer verfügen nicht über die gleiche Funktion. Die Standortauswahl für Windows 7 Clients wird zum Zeitpunkt der Richtlinienkonfiguration auf einen bestimmten Standort festgelegt, und diese Clients stellen unabhängig von ihrem Standort immer eine Verbindung mit diesem angegebenen Standort her.

Benutzerbasierte Zugriffssteuerung

DirectAccess-Richtlinien sind computerbasiert, nicht benutzerbasiert. Das Angeben von DirectAccess-Benutzerrichtlinien zum Steuern des Zugriffs auf das Unternehmensnetzwerk wird nicht unterstützt.

Anpassen der DirectAccess-Richtlinie

DirectAccess kann mithilfe der DirectAccess-Setup-Assistant, der Remotezugriffs-Verwaltungskonsole oder der Remotezugriffs-cmdlets Windows PowerShell konfiguriert werden. Die Verwendung anderer Möglichkeiten als der DirectAccess-Setup-Assistant zum Konfigurieren von DirectAccess, z. B. direktes Ändern von DirectAccess Gruppenrichtlinie-Objekten oder manuelles Ändern der Standardrichtlinieneinstellungen auf dem Server oder Client, wird nicht unterstützt. Diese Änderungen können zu einer unbrauchbaren Konfiguration führen.

KerbProxy-Authentifizierung

Wenn Sie einen DirectAccess-Server mit dem assistenten Erste Schritte konfigurieren, wird der DirectAccess-Server automatisch für die Verwendung der KerbProxy-Authentifizierung für die Computer- und Benutzerauthentifizierung konfiguriert. Aus diesem Grund sollten Sie den Erste Schritte-Assistenten nur für Bereitstellungen an einem einzelnen Standort verwenden, bei denen nur Windows 10 ®-, Windows 8.1- oder Windows 8-Clients bereitgestellt werden.

Darüber hinaus sollten die folgenden Features nicht mit der KerbProxy-Authentifizierung verwendet werden:

  • Lastenausgleich mithilfe eines externen Lastenausgleichs oder Windows Load Balancer

  • Zweistufige Authentifizierung, bei der Smartcards oder ein Einmalkennwort (One-Time Password, OTP) erforderlich sind

Die folgenden Bereitstellungspläne werden nicht unterstützt, wenn Sie die KerbProxy-Authentifizierung aktivieren:

  • Multisite.

  • DirectAccess-Unterstützung für Windows 7 Clients.

  • Tunnelerzzwingen. Um sicherzustellen, dass die KerbProxy-Authentifizierung nicht aktiviert ist, wenn Sie Tunnel erzwingen verwenden, konfigurieren Sie beim Ausführen des Assistenten die folgenden Elemente:

    • Aktivieren des Erzwingens von Tunneln

    • Aktivieren von DirectAccess für Windows 7 Clients

Hinweis

Für die vorherigen Bereitstellungen sollten Sie den Assistenten für erweiterte Konfiguration verwenden, der eine Konfiguration mit zwei Tunneln mit zertifikatbasierter Computer- und Benutzerauthentifizierung verwendet. Weitere Informationen finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

Verwenden von ISATAP

ISATAP ist eine Übergangstechnologie, die IPv6-Konnektivität in reinen IPv4-Unternehmensnetzwerken bereitstellt. Sie ist auf kleine und mittlere Organisationen mit einer einzelnen DirectAccess-Serverbereitstellung beschränkt und ermöglicht die Remoteverwaltung von DirectAccess-Clients. Wenn ISATAP in einer Multisite-, Lastenausgleichs- oder Multidomänenumgebung bereitgestellt wird, müssen Sie es entfernen oder in eine native IPv6-Bereitstellung verschieben, bevor Sie DirectAccess konfigurieren.

IPHTTPS- und OTP-Endpunktkonfiguration (One-Time Password)

Wenn Sie IPHTTPS verwenden, muss die IPHTTPS-Verbindung auf dem DirectAccess-Server beendet werden, nicht auf einem anderen Gerät, z. B. einem Lastenausgleich. Ebenso muss die Out-of-Band-SSL-Verbindung (Secure Sockets Layer), die während der Einmalkennwortauthentifizierung (One-Time Password, OTP) erstellt wird, auf dem DirectAccess-Server beendet werden. Alle Geräte zwischen den Endpunkten dieser Verbindungen müssen im Pass-Through-Modus konfiguriert werden.

Erzwingen Tunnel mit OTP-Authentifizierung

Stellen Sie keinen DirectAccess-Server mit zweistufiger Authentifizierung mit OTP und Tunnelerzzwingen bereit. Andernfalls schlägt die OTP-Authentifizierung fehl. Zwischen dem DirectAccess-Server und dem DirectAccess-Client ist eine Out-of-Band-ssl-Verbindung (Secure Sockets Layer) erforderlich. Für diese Verbindung ist eine Ausnahme erforderlich, um den Datenverkehr außerhalb des DirectAccess-Tunnels zu senden. In einer Force Tunnel-Konfiguration muss der gesamte Datenverkehr durch einen DirectAccess-Tunnel geleitet werden, und nach dem Aufbau des Tunnels ist keine Ausnahme zulässig. Aus diesem Grund wird die OTP-Authentifizierung in einer Erzwungenen Tunnel-Konfiguration nicht unterstützt.

Bereitstellen von DirectAccess mit einem Read-Only Domänencontroller

DirectAccess-Server müssen Zugriff auf einen Domänencontroller mit Lese-/Schreibzugriff haben und nicht ordnungsgemäß mit einem Read-Only-Domänencontroller (RODC) funktionieren.

Ein Domänencontroller mit Lese-/Schreibzugriff ist aus vielen Gründen erforderlich, einschließlich der folgenden:

  • Auf dem DirectAccess-Server ist ein Domänencontroller mit Lese-/Schreibzugriff erforderlich, um den Remotezugriffs-Microsoft Management Console (MMC) zu öffnen.

  • Der DirectAccess-Server muss sowohl Lese- als auch Schreibzugriff auf den DirectAccess-Client und den DirectAccess-Server Gruppenrichtlinie Objects (GPOs) haben.

  • Der DirectAccess-Server liest und schreibt in das Client-Gruppenrichtlinienobjekt speziell aus dem Primären Domänencontrolleremulator (PDCe).

Stellen Sie DirectAccess aufgrund dieser Anforderungen nicht mit einem RODC bereit.