Verwenden von Gruppenrichtlinien zum Konfigurieren von Domänenmitglieds-Clientcomputern

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Abschnitt erstellen Sie ein Gruppenrichtlinienobjekt für alle Computer in Ihrer Organisation, konfigurieren Domänenmitglieds-Clientcomputer mit verteiltem Cachemodus oder gehostetem Cachemodus und konfigurieren die Windows-Firewall mit erweiterter Sicherheit, um BranchCache-Datenverkehr zuzulassen.

In diesem Abschnitt werden die folgenden Verfahren behandelt.

  1. Erstellen eines Gruppenrichtlinienobjekts und Konfigurieren von BranchCache-Modi

  2. Konfigurieren der Windows-Firewall mit Regeln für eingehenden Datenverkehr für erweiterte Sicherheit

  3. Konfigurieren der Windows-Firewall mit Regeln für ausgehenden Datenverkehr für erweiterte Sicherheit

Tipp

Im folgenden Verfahren werden Sie angewiesen, ein Gruppenrichtlinienobjekt in der Standarddomänenrichtlinie zu erstellen. Sie können das Objekt jedoch auch in einer Organisationseinheit (OE) oder einem anderen Container erstellen, der für Ihre Bereitstellung geeignet ist.

Sie müssen Mitglied der Gruppe Domänenadministratoren oder einer gleichwertigen Gruppe sein, um diese Verfahren ausführen zu können.

So erstellen Sie ein Gruppenrichtlinienobjekt und konfigurieren BranchCache-Modi

  1. Klicken Sie auf einem Computer, auf dem die Active Directory Domain Services-Serverrolle installiert ist, in Server-Manager auf Extras, und klicken Sie dann auf Gruppenrichtlinienverwaltung. Die Konsole „Gruppenrichtlinienverwaltung wird geöffnet.

  2. Erweitern Sie in der Konsole „Gruppenrichtlinienverwaltung“ den folgenden Pfad: Gesamtstruktur:beispiel.com, Domänen, beispiel.com, Gruppenrichtlinienobjekte, wobei beispiel.com der Name der Domäne ist, in der sich die BranchCache-Clientcomputerkonten befinden, die Sie konfigurieren möchten.

  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Neu. Das Dialogfeld Neues Gruppenrichtlinienobjekt wird geöffnet. Geben Sie im Feld Name einen Namen für das neue Gruppenrichtlinienobjekt (GPO) ein. Wenn Sie das Objekt z. B. BranchCache-Clientcomputer nennen möchten, geben Sie BranchCache-Clientcomputer ein. Klicke auf OK.

  4. Stellen Sie in der Gruppenrichtlinien-Verwaltungskonsole sicher, dass Gruppenrichtlinienobjekte ausgewählt ist, und klicken Sie im Detailbereich mit der rechten Maustaste auf das soeben erstellte Gruppenrichtlinienobjekt. Wenn Sie das Gruppenrichtlinienobjekt z. B. „BranchCache-Clientcomputer“ genannt haben, klicken Sie mit der rechten Maustaste auf BranchCache-Clientcomputer. Klicke auf Bearbeiten. Die Konsole „Gruppenrichtlinienverwaltungs-Editor“ wird geöffnet.

  5. Erweitern Sie in der Konsole „Gruppenrichtlinienverwaltungs-Editor“ den folgenden Pfad: Computerkonfiguration, Richtlinien, Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien), Netzwerk, BranchCache.

  6. Klicken Sie auf BranchCache und doppelklicken Sie dann im Detailbereich auf BranchCache aktivieren. Das Dialogfeld „Richtlinieneinstellung“ wird geöffnet.

  7. Klicken Sie im Dialogfeld BranchCache aktivieren auf Aktiviert und dann auf OK.

  8. Doppelklicken Sie zum Aktivieren des verteilten BranchCache-Cachemodus im Detailbereich auf BranchCache-Modus für verteilten Cache festlegen. Das Dialogfeld „Richtlinieneinstellung“ wird geöffnet.

  9. Klicken Sie im Dialogfeld BranchCache-Modus „Verteilter Cache“ festlegen auf Aktiviert und dann auf OK.

  10. Wenn Sie über mindestens eine Zweigstelle verfügen, in der Sie BranchCache im Modus „Gehosteter Cache“ bereitstellen und gehostete Cacheserver in diesen Niederlassungen bereitgestellt haben, doppelklicken Sie auf Automatische Ermittlung gehosteter Caches nach Dienstverbindungspunkt aktivieren. Das Dialogfeld „Richtlinieneinstellung“ wird geöffnet.

  11. Klicken Sie im Dialogfeld Automatische Ermittlung gehosteter Caches nach Dienstverbindungspunkt aktivieren auf Aktiviert, und klicken Sie dann auf OK.

    Hinweis

    Wenn Sie sowohl den Modus „Verteilten BranchCache festlegen“ als auch die Richtlinieneinstellungen Automatische Ermittlung gehosteter Caches nach Dienstverbindungspunkt aktivieren aktivieren, arbeiten Clientcomputer im verteilten BranchCache-Cachemodus, es sei denn, sie ermitteln einen gehosteten Cacheserver in der Zweigstelle. In diesem Fall arbeiten sie im gehosteten Cachemodus.

  12. Verwenden Sie die folgenden Verfahren, um Firewalleinstellungen auf Clientcomputern mithilfe von Gruppenrichtlinien zu konfigurieren.

So konfigurieren Sie die Windows-Firewall mit Regeln für eingehenden Datenverkehr für erweiterte Sicherheit

  1. Erweitern Sie in der Konsole „Gruppenrichtlinienverwaltung“ den folgenden Pfad: Gesamtstruktur:beispiel.com, Domänen, beispiel.com, Gruppenrichtlinienobjekte, wobei beispiel.com der Name der Domäne ist, in der sich die BranchCache-Clientcomputerkonten befinden, die Sie konfigurieren möchten.

  2. Stellen Sie in der Gruppenrichtlinien-Verwaltungskonsole sicher, dass Gruppenrichtlinienobjekte ausgewählt ist, und klicken Sie im Detailbereich mit der rechten Maustaste auf das zuvor erstellte Gruppenrichtlinienobjekt der BranchCache-Clientcomputer. Wenn Sie das Gruppenrichtlinienobjekt z. B. „BranchCache-Clientcomputer“ genannt haben, klicken Sie mit der rechten Maustaste auf BranchCache-Clientcomputer. Klicke auf Bearbeiten. Die Konsole „Gruppenrichtlinienverwaltungs-Editor“ wird geöffnet.

  3. Erweitern Sie in der Konsole „Gruppenrichtlinien-Editor“ den folgenden Pfad: Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Windows-Firewall mit erweiterter Sicherheit, Windows-Firewall mit erweiterter Sicherheit – LDAP, Eingangsregeln.

  4. Klicken Sie mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel. Daraufhin wird der Assistent für neue eingehende Regeln geöffnet.

  5. Klicken Sie unter Regeltyp auf Vordefiniert, erweitern Sie die Auswahlliste, und klicken Sie dann auf BranchCache – Inhaltsabruf (verwendet HTTP). Klicke auf Weiter.

  6. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  7. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr empfangen kann.

  8. Um die WS-Discovery-Firewallausnahme zu erstellen, klicken Sie erneut mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel. Daraufhin wird der Assistent für neue eingehende Regeln geöffnet.

  9. Klicken Sie unter Regeltyp auf Vordefiniert, erweitern Sie die Auswahlliste, und klicken Sie dann auf BranchCache – Peerermittlung (verwendet WSD). Klicke auf Weiter.

  10. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  11. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr empfangen kann.

So konfigurieren Sie die Windows-Firewall mit Regeln für ausgehenden Datenverkehr für erweiterte Sicherheit

  1. Klicken Sie in der Konsole des Gruppenrichtlinienverwaltungs-Editors mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue Ausgangsregeln wird geöffnet.

  2. Klicken Sie unter Regeltyp auf Vordefiniert, erweitern Sie die Auswahlliste, und klicken Sie dann auf BranchCache – Inhaltsabruf (verwendet HTTP). Klicke auf Weiter.

  3. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  4. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr senden kann.

  5. Um die WS-Discovery-Firewallausnahme zu erstellen, klicken Sie erneut mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel. Der Assistent für neue Ausgangsregeln wird geöffnet.

  6. Klicken Sie unter Regeltyp auf Vordefiniert, erweitern Sie die Auswahlliste, und klicken Sie dann auf BranchCache – Peerermittlung (verwendet WSD). Klicke auf Weiter.

  7. Klicken Sie unter Vordefinierte Regeln auf Weiter.

  8. Vergewissern Sie sich, dass für Aktion die Option Verbindung zulassen ausgewählt ist, und klicken Sie dann auf Fertig stellen.

    Wichtig

    Sie müssen Verbindung zulassen auswählen, damit der BranchCache-Client auf diesem Port Datenverkehr senden kann.