Verwenden Gruppenrichtlinie zum Konfigurieren von Clientcomputern für Domänenmitglied

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Abschnitt erstellen Sie ein Gruppenrichtlinie-Objekt für alle Computer in Ihrer Organisation, konfigurieren Clientcomputer für Domänenmitglied mit verteiltem Cachemodus oder gehostetem Cachemodus und konfigurieren Windows Firewall mit erweiterter Sicherheit, um BranchCache-Datenverkehr zu ermöglichen.

Dieser Abschnitt enthält die folgenden Verfahren.

  1. So erstellen Sie ein Gruppenrichtlinie Objekt und konfigurieren BranchCache-Modi

  2. So konfigurieren sie Windows Firewall mit erweiterten Regeln für eingehenden Datenverkehr

  3. So konfigurieren Sie Windows Firewall mit erweiterten Sicherheitsregeln für ausgehenden Datenverkehr

Tipp

Im folgenden Verfahren werden Sie angewiesen, ein Gruppenrichtlinie-Objekt in der Standarddomänenrichtlinie zu erstellen. Sie können das Objekt jedoch in einer Organisationseinheit (OE) oder einem anderen Container erstellen, der für Ihre Bereitstellung geeignet ist.

Sie müssen Mitglied der Domänenadministratoren oder einer entsprechenden Gruppe sein, um diese Prozeduren ausführen zu können.

So erstellen Sie ein Gruppenrichtlinie Objekt und konfigurieren BranchCache-Modi

  1. Klicken Sie auf einem Computer, auf dem die Active Directory Domain Services-Serverrolle installiert ist, in Server-Manager auf Extras und dann auf Gruppenrichtlinie Management. Die Gruppenrichtlinie-Verwaltungskonsole wird geöffnet.

  2. Erweitern Sie in der Gruppenrichtlinie-Verwaltungskonsole den folgenden Pfad: Gesamtstruktur: example.com, Domänen, example.com, Gruppenrichtlinie Objects, wobei example.com der Name der Domäne ist, in der sich die BranchCache-Clientcomputerkonten befinden, die Sie konfigurieren möchten.

  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Neu. Das Dialogfeld Neues Gruppenrichtlinienobjekt wird geöffnet. Geben Sie unter Name einen Namen für das neue Gruppenrichtlinie Objekt (GPO) ein. Wenn Sie das Objekt z. B. BranchCache-Clientcomputer nennen möchten, geben Sie BranchCache-Clientcomputer ein. Klicken Sie auf OK.

  4. Stellen Sie in der Gruppenrichtlinien-Verwaltungskonsole sicher, dass Gruppenrichtlinienobjekte ausgewählt ist, und klicken Sie im Detailbereich mit der rechten Maustaste auf das soeben erstellte Gruppenrichtlinienobjekt. Wenn Sie das Gruppenrichtlinienobjekt z. B. „BranchCache-Clientcomputer“ genannt haben, klicken Sie mit der rechten Maustaste auf BranchCache-Clientcomputer. Klicken Sie auf Bearbeiten. Die Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

  5. Erweitern Sie in Gruppenrichtlinienverwaltungs-Editor-Konsole den folgenden Pfad: Computerkonfiguration, Richtlinien, Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien), die vom lokalen Computer abgerufen werden, Netzwerk, BranchCache.

  6. Klicken Sie auf BranchCache und doppelklicken Sie dann im Detailbereich auf BranchCache aktivieren. Das Dialogfeld für die Richtlinieneinstellung wird geöffnet.

  7. Klicken Sie im Dialogfeld BranchCache aktivieren auf Aktiviert und dann auf OK.

  8. Doppelklicken Sie im Detailbereich auf BranchCache Distributed Cache-Modus festlegen, um den BranchCache-Modus für verteilte Caches zu aktivieren. Das Dialogfeld für die Richtlinieneinstellung wird geöffnet.

  9. Klicken Sie im Dialogfeld BranchCache-Modus „Verteilter Cache“ festlegen auf Aktiviert und dann auf OK.

  10. Wenn Sie über eine oder mehrere Zweigstellen verfügen, in denen Sie BranchCache im gehosteten Cachemodus bereitstellen, und Sie gehostete Cacheserver in diesen Niederlassungen bereitgestellt haben, doppelklicken Sie auf Automatische gehostete Cacheermittlung nach Dienstverbindungspunkt aktivieren. Das Dialogfeld für die Richtlinieneinstellung wird geöffnet.

  11. Klicken Sie im Dialogfeld Automatische gehostete Cacheermittlung nach Dienstverbindungspunkt aktivieren auf Aktiviert, und klicken Sie dann auf OK.

    Hinweis

    Wenn Sie sowohl den BranchCache Distributed Cache-Modus festlegen als auch die Richtlinieneinstellungen Enable Automatic Hosted Cache Discovery by Service Connection Point (Automatische gehostete Cacheermittlung nach Dienstverbindungspunkt aktivieren) aktivieren, arbeiten Clientcomputer im BranchCache-Modus für verteilte Caches, es sei denn, sie finden einen gehosteten Cacheserver in der Filiale. An diesem Punkt arbeiten sie im Modus für gehostete Caches.

  12. Verwenden Sie die folgenden Verfahren, um Firewalleinstellungen auf Clientcomputern mithilfe von Gruppenrichtlinie.

So konfigurieren sie Windows Firewall mit erweiterten Regeln für eingehenden Datenverkehr

  1. Erweitern Sie in der Gruppenrichtlinie-Verwaltungskonsole den folgenden Pfad: Gesamtstruktur: example.com, Domänen, example.com, Gruppenrichtlinie Objects, wobei example.com der Name der Domäne ist, in der sich die BranchCache-Clientcomputerkonten befinden, die Sie konfigurieren möchten.

  2. Stellen Sie in der Gruppenrichtlinien-Verwaltungskonsole sicher, dass Gruppenrichtlinienobjekte ausgewählt ist, und klicken Sie im Detailbereich mit der rechten Maustaste auf das zuvor erstellte Gruppenrichtlinienobjekt der BranchCache-Clientcomputer. Wenn Sie das Gruppenrichtlinienobjekt z. B. „BranchCache-Clientcomputer“ genannt haben, klicken Sie mit der rechten Maustaste auf BranchCache-Clientcomputer. Klicken Sie auf Bearbeiten. Die Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

  3. Erweitern Sie in der Gruppenrichtlinienverwaltungs-Editor-Konsole den folgenden Pfad: Computerkonfiguration, Richtlinien, Windows Einstellungen, Einstellungen, Windows Firewall mit erweiterter Sicherheit , Windows Firewall mit erweiterter Sicherheit – LDAP, Eingehende Regeln.

  4. Klicken Sie mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue eingehende Regeln wird geöffnet.

  5. Klicken Sie unter Regeltyp auf Vordefinierte, erweitern Sie die Liste der Optionen, und klicken Sie dann auf BranchCache – Inhaltsabruf (verwendet HTTP). Klicken Sie auf Weiter.

  6. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  7. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr empfangen kann.

  8. Um die WS-Discovery-Firewallausnahme zu erstellen, klicken Sie erneut mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue eingehende Regeln wird geöffnet.

  9. Klicken Sie unter Regeltyp auf Vordefinierte, erweitern Sie die Liste der Optionen, und klicken Sie dann auf BranchCache – Peerermittlung (verwendet WSD). Klicken Sie auf Weiter.

  10. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  11. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr empfangen kann.

So konfigurieren Sie Windows Firewall mit erweiterten Regeln für ausgehenden Datenverkehr für die Sicherheit

  1. Klicken Sie in der Konsole des Gruppenrichtlinienverwaltungs-Editors mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue ausgehende Regeln wird geöffnet.

  2. Klicken Sie unter Regeltyp auf Vordefinierte, erweitern Sie die Liste der Optionen, und klicken Sie dann auf BranchCache – Inhaltsabruf (verwendet HTTP). Klicken Sie auf Weiter.

  3. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  4. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr senden kann.

  5. Um die WS-Discovery-Firewallausnahme zu erstellen, klicken Sie erneut mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue ausgehende Regeln wird geöffnet.

  6. Klicken Sie unter Regeltyp auf Vordefinierte, erweitern Sie die Liste der Optionen, und klicken Sie dann auf BranchCache – Peerermittlung (verwendet WSD). Klicken Sie auf Weiter.

  7. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  8. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr senden kann.