Schritt 1: Konfigurieren der DirectAccess-Infrastruktur

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die erforderliche Infrastruktur zur Aktivierung von DirectAccess für eine vorhandene VPN-Bereitstellung konfigurieren. Vor dem Ausführen der Bereitstellungsschritte müssen die unter Schritt 1: Planen der DirectAccess-Infrastruktur angegebenen Planungsschritte ausgeführt worden sein.

Aufgabe BESCHREIBUNG
Konfigurieren von Servernetzwerkeinstellungen Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver.
Konfigurieren des Routings im Unternehmensnetzwerk Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird.
Konfigurieren von Firewalls Konfigurieren Sie bei Bedarf zusätzliche Firewalls.
Konfigurieren von Zertifizierungsstellen und Zertifikaten Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.
Konfigurieren des DNS-Servers Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver.
Konfigurieren von Active Directory Fügen Sie der Active Directory-Domäne Clientcomputer hinzu.
Konfigurieren der Gruppenrichtlinienobjekte Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte für die Bereitstellung.
Konfigurieren von Sicherheitsgruppen Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind.
Konfigurieren des Netzwerkadressenservers Der Assistent zum Aktivieren von DirectAccess konfiguriert den Netzwerkadressenserver auf dem DirectAccess-Server.

Konfigurieren von Servernetzwerkeinstellungen

Für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 sind folgende Netzwerkschnittstelleneinstellungen erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.

  • Edgetopologie

    • Eine öffentliche, statische IPv4- oder IPv6-Adresse mit Internetzugriff.

    • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse

  • Hinter einem NAT-Gerät (mit zwei Netzwerkadaptern)

    • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse mit Netzwerkzugriff

  • Hinter einem NAT-Gerät (mit einem Netzwerkadapter)

    • Eine einzelne, statische IPv4- oder IPv6-Adresse.

Hinweis

Für den Fall, dass der Remotezugriffsserver zwei Netzwerkadapter besitzt (einer, der in dem Domänenprofil klassifiziert ist und der andere in einem öffentlichen/privaten Profil), jedoch nur eine einzelne NIC-Topologie verwendet wird, wird Folgendes empfohlen:

  1. Vergewissern Sie sich, dass auch die zweite NIC in dem Domänenprofil klassifiziert ist.

  2. Wenn die zweite NIC aus einem bestimmten Grund nicht für das Domänenprofil konfiguriert werden kann, muss der Bereich für die DirectAccess IPsec-Richtlinie manuell mithilfe der folgenden Windows PowerShell-Befehle festgelegt werden:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
Save-NetGPO -GPOSession $gposession

Konfigurieren des Routings im Unternehmensnetzwerk

Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:

  • Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.

  • Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine öffentliche Route hinzu, sodass der gesamte Datenverkehr mit Organisations-IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.

Konfigurieren von Firewalls

Wenden Sie bei zusätzlichen Firewalls in der Bereitstellung die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:

  • IP6-zu-IP4-Datenverkehr: IP-Protokoll 41 ein- und ausgehend

  • IP-HTTPS: TCP-Zielport 443 (Transmission Control-Protokoll) eingehend und TCP-Quellport 443 ausgehend Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.

Wenden Sie bei zusätzlichen Firewalls die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:

  • IP-Protokoll 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.

Wenden Sie bei zusätzlichen Firewalls die folgenden internen Netzwerkfirewallausnahmen für RAS-Datenverkehr an:

  • ISATAP: Protokoll 41 ein- und ausgehend

  • TCP/UDP für den gesamten IPv4/IPv6-Datenverkehr

Konfigurieren von Zertifizierungsstellen und Zertifikaten

Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.

Konfigurieren von Zertifikatvorlagen

Wenn Sie zur Ausstellung von Zertifikaten eine interne Zertifizierungsstelle verwenden, müssen Sie für das IP-HTTPS-Zertifikat und das Netzwerkadressenserver-Websitezertifikat eine Zertifikatvorlage konfigurieren.

So konfigurieren Sie eine Zertifikatvorlage

  1. Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.

  2. Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.

Konfigurieren des IP-HTTPS-Zertifikats

Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:

  • Öffentlich: Von einem Drittanbieter bereitgestellt

    Dies ist ein Zertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Wenn der Antragstellername des Zertifikats kein Platzhalter ist, muss er mit der extern auflösbaren FQDN-URL übereinstimmen, die nur für Remotezugriffsserver-IP HTTPS-Verbindungen verwendet wird.

  • Privat: Falls noch nicht vorhanden, ist Folgendes erforderlich:

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren, vollqualifizierten Domänennamen (FQDN) handeln, der über das Internet erreichbar ist.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren FQDN erreichbar ist.

  • Selbstsigniert: Falls noch nicht vorhanden, ist Folgendes erforderlich:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren FQDN handeln, der über das Internet erreichbar ist.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren vollqualifizierten Domänennamen (FQDN) erreichbar ist.

Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.

  • Geben Sie im Feld Antragsteller die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an.

  • Geben Sie im Feld %%amp;quot;Erweiterte Schlüsselverwendung%%amp;quot; die Serverauthentifizierungs-Objektkennung (OID) an.

  • Geben Sie im Feld Sperrlisten-Verteilungspunkte einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.

So installieren Sie das IP-HTTPS-Zertifikat von einer internen Zertifizierungsstelle

  1. Auf dem RAS-Server: Geben Sie auf dem Bildschirm Start die Zeichenfolge mmc.exe ein, und drücken Sie anschließend die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  6. Klicken Sie zweimal auf Weiter.

  7. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikatvorlage, und klicken Sie bei Bedarf auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  9. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  11. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  13. Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.

  14. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  15. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.

Konfigurieren des DNS-Servers

Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.

So erstellen Sie den Netzwerkadressenserver und DNS-Einträge für den Webtest

  1. Geben Sie auf dem DNS-Server des internen Netzwerks auf dem Bildschirm Start die Zeichenfolge **dnsmgmt.msc** ein, und drücken Sie anschließend die EINGABETASTE.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und anschließend auf Neuer Host (A oder AAAA).

  3. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen für die Netzwerkadressenserver-Website (mit diesem Namen verbinden sich die DirectAccess-Clients mit dem Netzwerkadressenserver) ein. Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Netzwerkadressenservers ein und klicken Sie dann auf Host hinzufügen. Klicken Sie im Dialogfeld DNS auf OK.

  4. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen des Webtests ein (der Name für Standard-Webtests lautet directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld DNS auf OK.

  5. Klicken Sie auf Fertig.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:

  • IP-HTTPS-Server: DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remotezugriffsservers aus dem Internet aufzulösen.

  • Sperrüberprüfungen der Zertifikatsperrliste: DirectAccess verwendet zertifizierte Sperrüberprüfungen für die IP-HTTPS-Verbindung zwischen den DirectAccess-Clients und dem Remotezugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressenserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.

Konfigurieren von Active Directory

Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:

  • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.

  • Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.

  • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.

So fügen Sie Clientcomputer zur Domäne hinzu

  1. Geben Sie auf dem Bildschirm Start die Zeichenfolge explorer.exe ein, und drücken Sie anschließend die EINGABETASTE.

  2. Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.

  4. Klicken Sie auf der Registerkarte Computername im Dialogfeld Systemeigenschaften auf Ändern.

  5. Geben Sie unter Computername den Namen des Computers ein, falls Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll, z. B. %%amp;quot;corp.contoso.com%%amp;quot;, und klicken Sie dann auf OK.

  6. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der über die Berechtigung zum Durchführen des Beitritts von Computern zur Domäne verfügt. Klicken Sie anschließend auf OK.

  7. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.

  8. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf „Schließen“. Klicken Sie bei Aufforderung auf Jetzt neu starten.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Beachten Sie, dass Sie die Domänenanmeldeinformationen nach der Eingabe des nachfolgenden Befehls %%amp;quot;Add-Computer%%amp;quot; bereitstellen müssen.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurieren der Gruppenrichtlinienobjekte

Für die Bereitstellung von Remotezugriff werden mindestens zwei Gruppenrichtlinienobjekte benötigt: eins mit Einstellungen für den Remotezugriffsserver und eins mit Einstellungen für DirectAccess-Clientcomputer. Wenn Sie Remotezugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinienobjekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügen, müssen sie erstellt werden, bevor Remotezugriff konfiguriert wird.

Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinienobjekts.

Wichtig

Der Administrator kann die DirectAccess-Gruppenrichtlinienobjekte mithilfe folgender Schritte manuell mit einer Organisationseinheit verknüpfen:

  1. Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.
  2. Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.
  3. Der Remotezugriffsadministrator verfügt ggf. über Berechtigungen zum Verknüpfen der Gruppenrichtlinienobjekte mit der Domäne. In beiden Fällen werden die Gruppenrichtlinienobjekte automatisch konfiguriert. Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt und die die Gruppenrichtlinienobjekte werden nicht mit der Domäne verknüpft. Für ein Server-Gruppenrichtlinienobjekt muss die Organisationseinheit das Servercomputerobjekt enthalten, andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.
  4. Wenn Sie vor dem Ausführen des DirectAccess-Assistenten keine Verknüpfung mit der Organisationseinheit eingerichtet haben, kann der Domänenadministrator die DirectAccess-Gruppenrichtlinienobjekte nach Abschluss der Konfiguration mit den erforderlichen Organisationseinheiten verknüpfen. Die Verknüpfung zur Domäne kann entfernt werden. Schritte zum Verknüpfen eines Gruppenrichtlinienobjekts mit einer Organisationseinheit finden Sie hier.

Hinweis

Wenn ein Gruppenrichtlinienobjekt manuell erstellt wurde, kann es bei der DirectAccess-Konfiguration vorkommen, dass das Gruppenrichtlinienobjekt nicht verfügbar ist. Das Gruppenrichtlinienobjekt wurde möglicherweise nicht auf dem Domänencontroller repliziert, der dem Verwaltungscomputer am nächsten ist. In diesem Fall kann der Administrator warten, bis die Replikation abgeschlossen ist oder er kann die Replikation erzwingen.

Konfigurieren von Sicherheitsgruppen

Die DirectAccess-Einstellungen, die sich im Gruppenrichtlinienobjekt des Clientcomputers befinden, werden nur auf Computer angewendet, die der Sicherheitsgruppe angehören, die Sie beim Konfigurieren von Remotezugriff angeben. Außerdem müssen Sie eine Sicherheitsgruppe für diese Server erstellen, wenn Sie zum Verwalten Ihrer Anwendungsserver Sicherheitsgruppen verwenden.

So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients

  1. Geben Sie auf dem Bildschirm Start die Zeichenfolge dsa.msc ein, und drücken Sie anschließend die EINGABETASTE. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.

  2. Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.

  3. Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.

  4. Doppelklicken Sie auf die Sicherheitsgruppe der DirectAccess-Clientcomputer und dann im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder.

  5. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  6. Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Konfigurieren des Netzwerkadressenservers

Der Netzwerkadressenserver sollte sich auf einem Server mit hoher Verfügbarkeit befinden und über ein gültiges SSL-Zertifikat verfügen, dem die DirectAccess-Clients vertrauen. Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:

  • Privat: Falls noch nicht vorhanden, ist Folgendes erforderlich:

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.

    • Ein Sperrlisten-Verteilungspunkt mit hoher Verfügbarkeit aus dem internen Netzwerk.

  • Selbstsigniert: Falls noch nicht vorhanden, ist Folgendes erforderlich:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.

Hinweis

Wenn sich die Netzwerkadressenserver-Website auf einem Remotezugriffsserver befindet, wird bei der Konfiguration des Remotezugriffs automatisch eine Website erstellt, die an das von Ihnen angegebene Serverzertifikat gebunden ist.

So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen Zertifizierungsstelle

  1. Geben Sie auf dem Server, der die Website des Netzwerkadressenservers hostet, auf dem Bildschirm Start die Zeichenfolge mmc.msc ein, und drücken Sie anschließend die EINGABETASTE.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  6. Klicken Sie zweimal auf Weiter.

  7. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikatvorlage, und klicken Sie bei Bedarf auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.

  9. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.

  11. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.

  13. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  14. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.