Bereitstellen eines DirectAccess-Servers mit dem Assistenten für erste Schritte

Artikel
03/09/2023

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Wichtig

Microsoft empfiehlt dringend, für neue Bereitstellungen Always On VPN anstelle von DirectAccess zu verwenden. Weitere Informationen finden Sie unter Always On VPN-Features und -Funktionen.

Dieses Thema bietet eine Einführung in das DirectAccess-Szenario mit einem einzelnem DirectAccess-Server und ermöglicht Ihnen die Bereitstellung von DirectAccess über ein paar einfache Schritte.

Bevor Sie mit der Bereitstellung beginnen, sollten Sie sich die folgende Liste mit nicht unterstützten Konfigurationen, bekannten Problemen und Voraussetzungen ansehen:

In den folgenden Themen finden Sie wichtige Informationen, u. a. zu den Voraussetzungen der Bereitstellung von DirectAccess.

Beschreibung des Szenarios

In diesem Szenario wird ein Windows Server-Computer als DirectAccess-Server mit Standardeinstellungen konfiguriert. Für die Konfiguration sind nur wenige einfache Schritte des Assistenten erforderlich, ohne dass die Notwendigkeit zur Konfiguration von Infrastruktureinstellungen wie einer Zertifizierungsstelle oder Active Directory-Sicherheitsgruppen besteht.

Hinweis

Informationen zum Konfigurieren einer erweiterten Bereitstellung mit benutzerdefinierten Einstellungen finden Sie unter Deploy a Single DirectAccess Server with Advanced Settings.

Inhalt dieses Szenarios

Zum Einrichten eines einfachen DirectAccess-Servers sind mehrere Planungs- und Bereitstellungsschritte erforderlich.

Voraussetzungen

Bevor Sie mit der Bereitstellung dieses Szenarios beginnen, sollten Sie die Liste der wichtigen Anforderungen lesen:

Windows-Firewall muss in allen Profilen aktiviert sein.
Dieses Szenario wird nur unterstützt, wenn auf den Clientcomputern Windows 10 und Windows 8.1 oder Windows 8 ausgeführt werden.
ISATAP wird im Unternehmensnetzwerk nicht unterstützt. Wenn Sie ISATAP verwenden, sollten Sie es entfernen und das native IPv6 verwenden.
Eine Public Key-Infrastruktur ist nicht erforderlich.
Die Bereitstellung der zweistufigen Authentifizierung wird nicht unterstützt. Für die Authentifizierung sind Domänenanmeldeinformationen erforderlich.
DirectAccess wird automatisch auf allen mobilen Computern in der aktuellen Domäne bereitgestellt.
Datenverkehr zum Internet wird nicht über den DirectAccess-Tunnel übertragen. Die Konfiguration einer Tunnelerzwingung wird nicht unterstützt.
Der DirectAccess-Server ist der Netzwerkadressenserver.
Netzwerkzugriffsschutz (Network Access Protection, NAP) wird nicht unterstützt.
Das Ändern von Richtlinien außerhalb der DirectAccess-Verwaltungskonsole oder von PowerShell-Cmdlets wird nicht unterstützt.
Stellen Sie zunächst einen einzelnen DirectAccess-Server mit erweiterten Einstellungen bereit, wenn Sie jetzt oder in Zukunft eine Bereitstellung an mehreren Standorten planen.

Planungsschritte

Die Planung besteht aus zwei Phasen:

Planen der DirectAccess-Infrastruktur. Diese Phase beschreibt die erforderlichen Planungsschritte zum Einrichten der Netzwerkinfrastruktur vor der DirectAccess-Bereitstellung. Zur Planung gehört das Entwerfen der Netzwerk- und Servertopologie sowie des DirectAccess-Netzwerkadressenservers.
Planen der DirectAccess-Bereitstellung. Diese Phase beschreibt die erforderlichen Planungsschritte zur Vorbereitung der DirectAccess-Bereitstellung. Dazu gehört die Planung für DirectAccess-Clientcomputer, Server- und Clientauthentifizierungsanforderungen, VPN-Einstellungen, Infrastrukturserver sowie Verwaltungs- und Anwendungsserver.

Ausführliche Informationen zu den Planungsschritten finden Sie unter Planen einer erweiterten DirectAccess-Bereitstellung.

Bereitstellungsschritte

Die Bereitstellung besteht aus drei Phasen:

Konfigurieren der DirectAccess-Infrastruktur. Diese Phase umfasst die Konfiguration der folgenden Komponenten:

Netzwerk und Routing
Firewalleinstellungen (falls erforderlich)
Zertifikate
DNS-Server
Active Directory- und GPO-Einstellungen
DirectAccess-Netzwerkadressenserver

Konfigurieren der DirectAccess-Servereinstellungen. Die Phase beinhaltet Schritte zum Konfigurieren von DirectAccess-Clientcomputern, DirectAccess-Server, Infrastrukturservern sowie Verwaltungs- und Anwendungsservern.
Überprüfen der Bereitstellung. Diese Phase beinhaltet Schritte zur Überprüfung der ordnungsgemäßen Ausführung der Bereitstellung.

Informationen zu den Bereitstellungsschritten finden Sie unter Install and Configure Basic DirectAccess.

Praktische Anwendung

Die Bereitstellung eines einzelnen Remotezugriffsservers bietet folgende Vorteile:

Erleichterte Bedienung. Sie können verwaltete Clientcomputer mit Windows 10, Windows 8.1, Windows 8 oder Windows 7 als DirectAccess-Clients konfigurieren. Diese Clients können immer, wenn sie im Internet sind, über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung anzumelden. Clientcomputer, die keines dieser Betriebssysteme verwenden, können über herkömmliche VPN-Verbindungen eine Verbindung mit dem internen Netzwerk herstellen.
Erleichterte Verwaltung. Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von Remotezugriffsadministratoren über DirectAccess möglich, selbst wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Verwaltungsserver gewartet werden. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwaltet. Außerdem können einer oder mehrere RAS-Server über eine einzelne Remotezugriffs-Verwaltungskonsole verwaltet werden.

In diesem Szenario enthaltene Rollen und Features

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

Rolle/Feature	Auf welche Weise dieses Szenario unterstützt wird
Remotezugriffs-Rolle	Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess sowie die Routing- und RAS-Dienste. Die Remotezugriffs-Rolle besteht aus zwei Komponenten: 1. DirectAccess und Routing- und RAS-Dienste (RRAS) für VPN. DirectAccess und VPN werden zusammen in der Remotezugriffs-Verwaltungskonsole verwaltet. 2. RRAS-Routing. RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet. Die RAS-Serverrolle ist von den folgenden Serverrollen/-features abhängig: - Internetinformationsdienste-Webserver (Internet Information Services, IIS): Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem RAS-Server und den Standardwebtest zu konfigurieren. - Interne Windows-Datenbank. Wird zur lokalen Ressourcenerfassung auf dem Remotezugriffsserver verwendet.
Feature %%amp;quot;Tools für die Remotezugriffsverwaltung%%amp;quot;	So installieren Sie dieses Feature: - Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole und Windows PowerShell-Cmdlets. - Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt. Das Feature „Tools für die Remotezugriffsverwaltung“ besteht aus den folgenden Komponenten: - Remotezugriffs-GUI - RAS-Modul für Windows PowerShell Abhängigkeiten umfassen: - Gruppenrichtlinien-Verwaltungskonsole - RAS-Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Kit, CMAK) - Windows PowerShell 3.0 - Grafische Verwaltungstools und Infrastruktur

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess sowie die Routing- und RAS-Dienste. Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

1. DirectAccess und Routing- und RAS-Dienste (RRAS) für VPN. DirectAccess und VPN werden zusammen in der Remotezugriffs-Verwaltungskonsole verwaltet.
2. RRAS-Routing. RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die RAS-Serverrolle ist von den folgenden Serverrollen/-features abhängig:

- Internetinformationsdienste-Webserver (Internet Information Services, IIS): Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem RAS-Server und den Standardwebtest zu konfigurieren.
- Interne Windows-Datenbank. Wird zur lokalen Ressourcenerfassung auf dem Remotezugriffsserver verwendet.

Feature %%amp;quot;Tools für die Remotezugriffsverwaltung%%amp;quot;

So installieren Sie dieses Feature:

- Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole und Windows PowerShell-Cmdlets.
- Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature „Tools für die Remotezugriffsverwaltung“ besteht aus den folgenden Komponenten:

- Remotezugriffs-GUI
- RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

- Gruppenrichtlinien-Verwaltungskonsole
- RAS-Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Kit, CMAK)
- Windows PowerShell 3.0
- Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

Serveranforderungen:
- Ein Computer, der die Hardwareanforderungen für Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 erfüllt
- Auf dem Server muss mindestens ein Netzwerkadapter installiert, aktiviert und mit dem internen Netzwerk verbunden sein. Werden zwei Adapter verwendet, sollte ein Adapter mit dem internen Unternehmensnetzwerk und der andere mit dem externen Netzwerk (Internet oder privates Netzwerk) verbunden sein.
- Mindestens ein Domänencontroller. RAS-Server und DirectAccess-Clients müssen Domänenmitglieder sein.
Clientanforderungen:
- Auf einem Clientcomputer muss unter Windows 10, Windows 8.1 oder Windows 8 ausgeführt werden.
  
  Wichtig
  
  Wenn Windows 7 auf einigen oder allen Ihren Clientcomputern ausgeführt wird, müssen Sie den erweiterten Setup-Assistenten verwenden. Der in diesem Dokument beschriebene Setup-Assistent für erste Schritte unterstützt keine Clientcomputer mit Windows 7. Anweisungen zur Verwendung von Windows 7-Clients mit DirectAccess finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.
  
  Hinweis
  
  Nur die folgenden Betriebssysteme können als DirectAccess-Clients verwendet werden: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise und Windows 7 Ultimate.
Anforderungen an Infrastruktur und Verwaltungsserver:
- Falls VPN aktiviert und kein statischer IP-Adressenpool konfiguriert ist, müssen Sie einen DHCP-Server bereitstellen, um VPN-Clients automatisch IP-Adressen zuzuweisen.
Ein DNS-Server mit Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 oder Windows Server 2008 R2 ist erforderlich.

Softwareanforderungen

Im Anschluss finden Sie die Anforderungen für dieses Szenario:

Serveranforderungen:
- Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.
- Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.
- Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.
RAS-Client-Anforderungen:
- DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients enthalten, können zur selben Gesamtstruktur gehören wie der Remotezugriffsserver oder eine bidirektionale Vertrauensstellung mit der Remotezugriffsserver-Gesamtstruktur innehaben.
- Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Wird beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe angegeben, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer in der Sicherheitsgruppe „Domänencomputer“ angewendet. Nur die folgenden Betriebssysteme können als DirectAccess-Clients verwendet werden: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise und Windows 7 Ultimate.

Siehe auch

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

Inhaltstyp	Referenzen
RAS auf TechNet	RAS im TechCenter
Tools und Einstellungen	PowerShell-Cmdlets für den Remotezugriff
Communityressourcen	DirectAccess Wiki-Einträge
Verwandte Technologien	Funktionsweise von IPv6