Schritt 1 Konfigurieren der DirectAccess-InfrastrukturStep 1 Configure the DirectAccess Infrastructure

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die erforderliche Infrastruktur zur Aktivierung von DirectAccess für eine vorhandene VPN-Bereitstellung konfigurieren.This topic describes how to configure the infrastructure required for enabling DirectAccess in an existing VPN deployment. Vergewissern Sie sich vor Beginn der Bereitstellungs Schritte, dass Sie die in Schritt 1: Planen der DirectAccess-Infrastrukturbeschriebenen Planungsschritte abgeschlossen haben.Before beginning the deployment steps, ensure that you have completed the planning steps described in Step 1: Plan DirectAccess Infrastructure.

AufgabeTask BESCHREIBUNGDescription
Konfigurieren von ServernetzwerkeinstellungenConfigure server network settings Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver.Configure the server network settings on the Remote Access server.
Konfigurieren des Routings im UnternehmensnetzwerkConfigure routing in the corporate network Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird.Configure routing in the corporate network to make sure traffic is appropriately routed.
Konfigurieren von FirewallsConfigure firewalls Konfigurieren Sie bei Bedarf zusätzliche Firewalls.Configure additional firewalls, if required.
Konfigurieren von Zertifizierungsstellen und ZertifikatenConfigure CAs and certificates Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt.The Enable DirectAccess Wizard configures a built in Kerberos proxy that authenticates using user names and passwords. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.It also configures an IP-HTTPS certificate on the Remote Access server.
Konfigurieren des DNS-ServersConfigure the DNS server Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver.Configure DNS settings for the Remote Access server.
Konfigurieren von Active DirectoryConfigure Active Directory Fügen Sie der Active Directory-Domäne Clientcomputer hinzu.Join client computers to the Active Directory domain.
Konfigurieren der GruppenrichtlinienobjekteConfigure GPOs Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte für die Bereitstellung.Configure GPOs for the deployment, if required.
Konfigurieren von SicherheitsgruppenConfigure security groups Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind.Configure security groups that will contain DirectAccess client computers, and any other security groups required in the deployment.
Konfigurieren des NetzwerkadressenserversConfigure the network location server Der Assistent zum Aktivieren von DirectAccess konfiguriert den Netzwerkadressenserver auf dem DirectAccess-Server.The Enable DirectAccess Wizard configures the network location server on the DirectAccess server.

Konfigurieren von ServernetzwerkeinstellungenConfigure server network settings

Für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 sind folgende Netzwerkschnittstelleneinstellungen erforderlich.The following network interface settings are required for a single server deployment in an environment with IPv4 and IPv6. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.All IP addresses are configured by using Change adapter settings in the Windows Networking and Sharing Center.

  • EdgetopologieEdge topology

    • Eine öffentliche, statische IPv4- oder IPv6-Adresse mit Internetzugriff.One Internet-facing public static IPv4 or IPv6 address.

    • Eine einzelne, interne, statische IPv4- oder IPv6-AdresseA single internal static IPv4 or IPv6 address.

  • Hinter einem NAT-Gerät (mit zwei Netzwerkadaptern)Behind NAT device (two network adapters)

    • Eine einzelne, interne, statische IPv4- oder IPv6-Adresse mit NetzwerkzugriffA single internal network-facing static IPv4 or IPv6 address.
  • Hinter einem NAT-Gerät (mit einem Netzwerkadapter)Behind NAT device (one network adapter)

    • Eine einzelne, statische IPv4- oder IPv6-Adresse.A single static IPv4 or IPv6 address.

Hinweis

Für den Fall, dass der Remotezugriffsserver zwei Netzwerkadapter besitzt (einer, der in dem Domänenprofil klassifiziert ist und der andere in einem öffentlichen/privaten Profil), jedoch nur eine einzelne NIC-Topologie verwendet wird, wird Folgendes empfohlen:In the event that the Remote Access server has two network adapters (one classified in the domain profile and the other in a public/private profile), but a single NIC topology will be used, then the recommendation is as follows:

  1. Vergewissern Sie sich, dass auch die zweite NIC in dem Domänenprofil klassifiziert ist.Ensure that the 2nd NIC is also classified in the domain profile - Recommended.

  2. Wenn die zweite NIC aus einem bestimmten Grund nicht für das Domänenprofil konfiguriert werden kann, muss der Bereich für die DirectAccess IPsec-Richtlinie manuell mithilfe der folgenden Windows PowerShell-Befehle festgelegt werden:If the 2nd NIC cannot be configured for the domain profile for any reason, then the DirectAccess IPsec policy must be manually scoped to all profiles using the following Windows PowerShell commands:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
    Save-NetGPO -GPOSession $gposession
    

Konfigurieren des Routings im UnternehmensnetzwerkConfigure routing in the corporate network

Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:Configure routing in the corporate network as follows:

  • Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.When native IPv6 is deployed in the organization, add a route so that the routers on the internal network route IPv6 traffic back through the Remote Access server.

  • Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern.Manually configure organization IPv4 and IPv6 routes on the Remote Access servers. Fügen Sie eine öffentliche Route hinzu, sodass der gesamte Datenverkehr mit Organisations-IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird.Add a published route so that all traffic with an organization (/48) IPv6 prefix is forwarded to the internal network. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.In addition, for IPv4 traffic, add explicit routes so that IPv4 traffic is forwarded to the internal network.

Konfigurieren von FirewallsConfigure firewalls

Wenden Sie bei zusätzlichen Firewalls in der Bereitstellung die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:When using additional firewalls in your deployment, apply the following Internet-facing firewall exceptions for Remote Access traffic when the Remote Access server is on the IPv4 Internet:

  • IPv6-zu-IPv4-Datenverkehr-IP-Protokoll 41 eingehend und ausgehend.6to4 traffic-IP Protocol 41 inbound and outbound.

  • IP-HTTPS-TCP (Transmission Control Protocol)-Zielport 443 und TCP-Quellport 443 ausgehend.IP-HTTPS-Transmission Control Protocol (TCP) destination port 443, and TCP source port 443 outbound. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.When the Remote Access server has a single network adapter, and the network location server is on the Remote Access server, then TCP port 62000 is also required.

Wenden Sie bei zusätzlichen Firewalls die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:When using additional firewalls, apply the following Internet-facing firewall exceptions for Remote Access traffic when the Remote Access server is on the IPv6 Internet:

  • IP-Protokoll 50IP Protocol 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.UDP destination port 500 inbound, and UDP source port 500 outbound.

Wenden Sie bei zusätzlichen Firewalls die folgenden internen Netzwerkfirewallausnahmen für RAS-Datenverkehr an:When using additional firewalls, apply the following internal network firewall exceptions for Remote Access traffic:

  • Eingehende und ausgehende ISATAP-Protocol 41ISATAP-Protocol 41 inbound and outbound

  • TCP/UDP für den gesamten IPv4/IPv6-DatenverkehrTCP/UDP for all IPv4/IPv6 traffic

Konfigurieren von Zertifizierungsstellen und ZertifikatenConfigure CAs and certificates

Der Assistent zum Aktivieren von DirectAccess konfiguriert einen integrierten Kerberos-Proxy, der die Authentifizierung anhand der Benutzernamen und Kennwörter vornimmt.The Enable DirectAccess Wizard configures a built in Kerberos proxy that authenticates using user names and passwords. Außerdem konfiguriert er ein IP-HTTPS-Zertifikat auf dem Remotezugriffsserver.It also configures an IP-HTTPS certificate on the Remote Access server.

Konfigurieren von ZertifikatvorlagenConfigure certificate templates

Wenn Sie zur Ausstellung von Zertifikaten eine interne Zertifizierungsstelle verwenden, müssen Sie für das IP-HTTPS-Zertifikat und das Netzwerkadressenserver-Websitezertifikat eine Zertifikatvorlage konfigurieren.When you use an internal CA to issue certificates, you must configure a certificate template for the IP-HTTPS certificate and the network location server website certificate.

So konfigurieren Sie eine ZertifikatvorlageTo configure a certificate template
  1. Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.On the internal CA, create a certificate template as described in Creating Certificate Templates.

  2. Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.Deploy the certificate template as described in Deploying Certificate Templates.

Konfigurieren des IP-HTTPS-ZertifikatsConfigure the IP-HTTPS certificate

Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich.Remote Access requires an IP-HTTPS certificate to authenticate IP-HTTPS connections to the Remote Access server. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:There are three certificate options for the IP-HTTPS certificate:

  • Öffentlich: wird von einem Drittanbieter bereitgestellt.Public-Supplied by a 3rd party.

    Dies ist ein Zertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird.A certificate used for IP-HTTPS authentication. Wenn der Antragstellername des Zertifikats kein Platzhalter ist, muss er mit der extern auflösbaren FQDN-URL übereinstimmen, die nur für Remotezugriffsserver-IP HTTPS-Verbindungen verwendet wird.In the case that the certificate subject name is not a wild card, then it must be the externally resolvable FQDN URL used only for the Remote Access server IP-HTTPS connections.

  • Privat: die folgenden sind erforderlich, wenn Sie nicht bereits vorhanden sind:Private-The following are required, if they do not already exist:

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird.A website certificate used for IP-HTTPS authentication. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren, vollqualifizierten Domänennamen (FQDN) handeln, der über das Internet erreichbar ist.The certificate subject should be an externally resolvable fully qualified domain name (FQDN) reachable from the Internet.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren FQDN erreichbar ist.A certificate revocation list (CRL) distribution point that is reachable from a publicly resolvable FQDN.

  • Selbst signiert: Folgendes ist erforderlich, wenn Sie nicht bereits vorhanden sind:Self-signed-The following are required, if they do not already exist:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.Self-signed certificates cannot be used in multisite deployments.

    • Ein Websitezertifikat, das für die IP-HTTPS-Authentifizierung verwendet wird.A website certificate used for IP-HTTPS authentication. Beim Zertifikatantragsteller sollte es sich um einen extern auflösbaren FQDN handeln, der über das Internet erreichbar ist.The certificate subject should be an externally resolvable FQDN reachable from the Internet.

    • Ein Zertifikatsperrlisten-Verteilungspunkt, der über einen öffentlich auflösbaren vollqualifizierten Domänennamen (FQDN) erreichbar ist.A CRL distribution point that is reachable from a publicly resolvable fully qualified domain name (FQDN).

Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:Make sure that the website certificate used for IP-HTTPS authentication meets the following requirements:

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.The common name of the certificate should match the name of the IP-HTTPS site.

  • Geben Sie im Feld Antragsteller die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an.In the subject field, specify either the IPv4 address of the external-facing adapter of the Remote Access server, or the FQDN of the IP-HTTPS URL.

  • Geben Sie im Feld %%amp;quot;Erweiterte Schlüsselverwendung%%amp;quot; die Serverauthentifizierungs-Objektkennung (OID) an.For the Enhanced Key Usage field, use the Server Authentication object identifier (OID).

  • Geben Sie im Feld "Sperrlisten-Verteilungspunkte" einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.For the CRL Distribution Points field, specify a CRL distribution point that is accessible by DirectAccess clients that are connected to the Internet.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.The IP-HTTPS certificate must have a private key.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.The IP-HTTPS certificate must be imported directly into the personal store.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.IP-HTTPS certificates can have wildcards in the name.

So installieren Sie das IP-HTTPS-Zertifikat von einer internen ZertifizierungsstelleTo install the IP-HTTPS certificate from an internal CA
  1. Auf dem Remote Zugriffs Server: Geben Sie auf dem Start Bildschirm mmc.exe ein, und drücken Sie dann die EINGABETASTE.On the Remote Access server: On the Start screen, type mmc.exe, and then press ENTER.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.On the Add or Remove Snap-ins dialog box, click Certificates, click Add, click Computer account, click Next, click Local computer, click Finish, and then click OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.Right-click Certificates, point to All Tasks, and then click Request New Certificate.

  6. Klicken Sie zweimal auf Weiter.Click Next twice.

  7. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikat Vorlage, und klicken Sie bei Bedarf auf Weitere Informationen, die für die Registrierung dieses Zertifikats erforderlich sind.On the Request Certificates page, select the check box for the certificate template, and if required, click More information is required to enroll for this certificate.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.On the Certificate Properties dialog box, on the Subject tab, in the Subject name area, in Type, select Common Name.

  9. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.In Value, specify either the IPv4 address of the external-facing adapter of the Remote Access server, or the FQDN of the IP-HTTPS URL, and then click Add.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.In the Alternative name area, in Type, select DNS.

  11. Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.In Value, specify either the IPv4 address of the external-facing adapter of the Remote Access server, or the FQDN of the IP-HTTPS URL, and then click Add.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.On the General tab, in Friendly name, you can enter a name that will help you identify the certificate.

  13. Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.On the Extensions tab, next to Extended Key Usage, click the arrow, and make sure that Server Authentication is in the Selected options list.

  14. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.Click OK, click Enroll, and then click Finish.

  15. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.In the details pane of the Certificates snap-in, verify that new certificate was enrolled with Intended Purposes of Server Authentication.

Konfigurieren des DNS-ServersConfigure the DNS server

Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.You must manually configure a DNS entry for the network location server website for the internal network in your deployment.

So erstellen Sie den Netzwerkadressenserver und DNS-Einträge für den WebtestTo create the network location server and web probe DNS records

  1. Auf dem internen Netzwerk-DNS-Server: Geben Sie auf dem Start Bildschirm * * dnsmgmt. msc * * ein, und drücken Sie dann die EINGABETASTE.On the internal network DNS server: On the Start screen, type** dnsmgmt.msc**, and then press ENTER.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne.In the left pane of the DNS Manager console, expand the forward lookup zone for your domain. Klicken Sie mit der rechten Maustaste auf die Domäne, und anschließend auf Neuer Host (A oder AAAA).Right click the domain and click New Host (A or AAAA).

  3. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen für die Netzwerkadressenserver-Website (mit diesem Namen verbinden sich die DirectAccess-Clients mit dem Netzwerkadressenserver) ein.On the New Host dialog box, in the Name (uses parent domain name if blank) box, enter the DNS name for the network location server website (this is the name the DirectAccess clients use to connect to the network location server). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Netzwerkadressenservers ein und klicken Sie dann auf Host hinzufügen.In the IP address box, enter the IPv4 address of the network location server, and then click Add Host. Klicken Sie im Dialogfeld DNS auf OK.On the DNS dialog box, click OK.

  4. Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen des Webtests ein (der Name für Standard-Webtests lautet directaccess-webprobehost).On the New Host dialog box, in the Name (uses parent domain name if blank) box, enter the DNS name for the web probe (the name for the default web probe is directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen.In the IP address box, enter the IPv4 address of the web probe, and then click Add Host. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer.Repeat this process for directaccess-corpconnectivityhost and any manually created connectivity verifiers. Klicken Sie im Dialogfeld DNS auf OK.On the DNS dialog box, click OK.

  5. Klicken Sie auf Fertig.Click Done.

Entsprechende Windows PowerShell- * Befehle in Windows PowerShellWindows PowerShell*Windows PowerShell equivalent commands _

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:You must also configure DNS entries for the following:

  • _ * Der IP-HTTPS-Server * *-DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remote Zugriffs Servers aus dem Internet aufzulösen._*The IP-HTTPS server**-DirectAccess clients must be able to resolve the DNS name of the Remote Access server from the Internet.

  • CRL-Sperr Überprüfung: DirectAccess verwendet Zertifikat Sperr Überprüfungen für die IP-HTTPS-Verbindung zwischen DirectAccess-Clients und dem RAS-Server sowie für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressen Server.CRL revocation checking-DirectAccess uses certificate revocation checking for the IP-HTTPS connection between DirectAccess clients and the Remote Access server, and for the HTTPS-based connection between the DirectAccess client and the network location server. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.In both cases, DirectAccess clients must be able to resolve and access the CRL distribution point location.

Konfigurieren von Active DirectoryConfigure Active Directory

Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden.The Remote Access server and all DirectAccess client computers must be joined to an Active Directory domain. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:DirectAccess client computers must be a member of one of the following domain types:

  • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.Domains that belong in the same forest as the Remote Access server.

  • Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.Domains that belong to forests with a two-way trust with the Remote Access server forest.

  • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.Domains that have a two-way domain trust to the Remote Access server domain.

So fügen Sie Clientcomputer zur Domäne hinzuTo join client computers to the domain

  1. Geben Sie auf dem Start Bildschirm explorer.exe ein, und drücken Sie dann die EINGABETASTE.On the Start screen, type explorer.exe, and then press ENTER.

  2. Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.Right-click the Computer icon, and then click Properties.

  3. Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.On the System page, click Advanced system settings.

  4. Klicken Sie auf der Registerkarte Computername im Dialogfeld Systemeigenschaften auf Ändern.On the System Properties dialog box, on the Computer Name tab, click Change.

  5. Geben Sie unter Computername den Namen des Computers ein, falls Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern.In Computer name, type the name of the computer if you are also changing the computer name when joining the server to the domain. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll, z. B. %%amp;quot;corp.contoso.com%%amp;quot;, und klicken Sie dann auf OK.Under Member of, click Domain, and then type the name of the domain to which you want to join the server; for example, corp.contoso.com, and then click OK.

  6. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der über die Berechtigung zum Durchführen des Beitritts von Computern zur Domäne verfügt. Klicken Sie anschließend auf OK.When you are prompted for a user name and password, enter the user name and password of a user with rights to join computers to the domain, and then click OK.

  7. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.When you see a dialog box welcoming you to the domain, click OK.

  8. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.When you are prompted that you must restart the computer, click OK.

  9. Klicken Sie im Dialogfeld Systemeigenschaften auf „Schließen“.On the System Properties dialog box, click Close. Klicken Sie bei Aufforderung auf Jetzt neu starten.Click Restart Now when prompted.

Entsprechende Windows PowerShell- * Befehle in Windows PowerShellWindows PowerShell*Windows PowerShell equivalent commands _

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Beachten Sie, dass Sie die Domänenanmeldeinformationen nach der Eingabe des nachfolgenden Befehls %%amp;quot;Add-Computer%%amp;quot; bereitstellen müssen.Note that you must supply domain credentials after entering the Add-Computer command below.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurieren der GruppenrichtlinienobjekteConfigure GPOs

Zum Bereitstellen des Remote Zugriffs benötigen Sie mindestens zwei Gruppenrichtlinie Objekte: ein Gruppenrichtlinie Objekt enthält Einstellungen für den RAS-Server und eine enthält Einstellungen für DirectAccess-Client Computer.To deploy Remote Access, you require a minimum of two Group Policy Objects: one Group Policy Object contains settings for the Remote Access server and one contains settings for DirectAccess client computers. Wenn Sie den Remote Zugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinie Objekte.When you configure Remote Access, the wizard automatically creates the required Group Policy Objects. Wenn Ihre Organisation jedoch eine Benennungs Konvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinie Objekten verfügen, müssen Sie vor dem Konfigurieren des Remote Zugriffs erstellt werden.However, if your organization enforces a naming convention, or you do not have the required permissions to create or edit Group Policy Objects, they must be created prior to configuring Remote Access.

Informationen zum Erstellen von Gruppenrichtlinie Objekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinie Objekts.To create Group Policy Objects, see Create and Edit a Group Policy Object.

Wichtig

Der Administrator kann die DirectAccess-Gruppenrichtlinie Objekte mithilfe der folgenden Schritte manuell mit einer Organisationseinheit verknüpfen:The administrator can manually link the DirectAccess Group Policy Objects to an Organizational Unit using these steps:

  1. Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.Before configuring DirectAccess, link the created GPOs to the respective Organizational Units.
  2. Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.Configure DirectAccess, specifying a security group for the client computers.
  3. Der Remote Zugriffs Administrator verfügt möglicherweise über Berechtigungen zum Verknüpfen der Gruppenrichtlinie Objekte mit der Domäne.The Remote Access administrator may or may not have permissions to link the Group Policy Objects to the domain. In beiden Fällen werden die Gruppenrichtlinienobjekte automatisch konfiguriert.In either case, the Group Policy Objects will be configured automatically. Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt und die die Gruppenrichtlinienobjekte werden nicht mit der Domäne verknüpft.If the GPOs are already linked to an OU, the links will not be removed, and the GPOs will not be linked to the domain. Für ein Server-Gruppenrichtlinienobjekt muss die Organisationseinheit das Servercomputerobjekt enthalten, andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.For a server GPO, the OU must contain the server computer object, or the GPO will be linked to the root of the domain.
  4. Wenn die Verknüpfung mit der Organisationseinheit nicht vor dem Ausführen des DirectAccess-Assistenten erfolgt ist, kann der Domänen Administrator nach Abschluss der Konfiguration die DirectAccess-Gruppenrichtlinie Objekte mit den erforderlichen Organisationseinheiten verknüpfen.If the linking to the OU has not been done before running the DirectAccess wizard, then after the configuration is complete, the domain administrator can link the DirectAccess Group Policy Objects to the required Organizational Units. Die Verknüpfung zur Domäne kann entfernt werden.The link to the domain can be removed. Die Schritte zum Verknüpfen eines Gruppenrichtlinie Objekts mit einer Organisationseinheit finden Sie hier.Steps for linking a Group Policy Object to an Organization Unit can be found here.

Hinweis

Wenn ein Gruppenrichtlinie Objekt manuell erstellt wurde, kann es während der DirectAccess-Konfiguration vorkommen, dass das Gruppenrichtlinie Objekt nicht verfügbar ist.If a Group Policy Object was created manually, it is possible during the DirectAccess configuration that the Group Policy Object will not be available. Das Gruppenrichtlinie Objekt wurde möglicherweise nicht auf den nächstgelegenen Domänen Controller des Verwaltungs Computers repliziert.The Group Policy Object may not have been replicated to the closest Domain Controller to the management computer. In diesem Fall kann der Administrator warten, bis die Replikation abgeschlossen ist oder er kann die Replikation erzwingen.In this event, the administrator can wait for replication to complete, or force the replication.

Konfigurieren von SicherheitsgruppenConfigure security groups

Die DirectAccess-Einstellungen, die auf dem Client Computer Gruppenrichtlinie Objekt enthalten sind, werden nur auf Computer angewendet, die Mitglieder der Sicherheitsgruppe sind, die Sie beim Konfigurieren des Remote Zugriffs angeben.The DirectAccess settings contained in the client computer Group Policy Object are applied only to computers that are members of the security groups that you specify when configuring Remote Access. Außerdem müssen Sie eine Sicherheitsgruppe für diese Server erstellen, wenn Sie zum Verwalten Ihrer Anwendungsserver Sicherheitsgruppen verwenden.In addition, if you are using security groups to manage your application servers, create a security group for these servers.

So erstellen Sie eine Sicherheitsgruppe für DirectAccess-ClientsTo create a security group for DirectAccess clients

  1. Geben Sie auf dem Bildschirm _ Start****DSA. msc* ein, und drücken Sie dann die EINGABETASTE.On the _ Start* screen, type dsa.msc, and then press ENTER. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.In the Active Directory Users and Computers console, in the left pane, expand the domain that will contain the security group, right-click Users, point to New, and then click Group.

  2. Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.On the New Object - Group dialog box, under Group name, enter the name for the security group.

  3. Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.Under Group scope, click Global, under Group type, click Security, and then click OK.

  4. Doppelklicken Sie auf die Sicherheitsgruppe der DirectAccess-Clientcomputer und dann im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder.Double-click the DirectAccess client computers security group, and on the properties dialog box, click the Members tab.

  5. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.On the Members tab, click Add.

  6. Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.On the Select Users, Contacts, Computers, or Service Accounts dialog box, select the client computers that you want to enable for DirectAccess, and then click OK.

Äquivalente Windows PowerShell-Befehle in WindowsPowerShellWindows PowerShellWindows PowerShell equivalent commands

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Konfigurieren des NetzwerkadressenserversConfigure the network location server

Der Netzwerkadressenserver sollte sich auf einem Server mit hoher Verfügbarkeit befinden und über ein gültiges SSL-Zertifikat verfügen, dem die DirectAccess-Clients vertrauen.The network location server should be on a server with high availability, and a valid SSL certificate trusted by the DirectAccess clients. Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:There are two certificate options for the network location server certificate:

  • Privat: die folgenden sind erforderlich, wenn Sie nicht bereits vorhanden sind:Private-The following are required, if they do not already exist:

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird.A website certificate used for the network location server. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.The certificate subject should be the URL of the network location server.

    • Ein Sperrlisten-Verteilungspunkt mit hoher Verfügbarkeit aus dem internen Netzwerk.A CRL distribution point that is highly available from the internal network.

  • Selbst signiert: Folgendes ist erforderlich, wenn Sie nicht bereits vorhanden sind:Self-signed-The following are required, if they do not already exist:

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.Self-signed certificates cannot be used in multisite deployments.

    • Ein Websitezertifikat, das für den Netzwerkadressenserver verwendet wird.A website certificate used for the network location server. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.The certificate subject should be the URL of the network location server.

Hinweis

Wenn sich die Netzwerkadressenserver-Website auf einem Remotezugriffsserver befindet, wird bei der Konfiguration des Remotezugriffs automatisch eine Website erstellt, die an das von Ihnen angegebene Serverzertifikat gebunden ist.If the network location server website is located on the Remote Access server, a website will be created automatically when configuring Remote Access that is bound to the server certificate that you provide.

So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen ZertifizierungsstelleTo install the network location server certificate from an internal CA

  1. Auf dem Server, auf dem die Netzwerkadressen Server-Website gehostet wird: Geben Sie auf dem Start Bildschirm mmc.exe ein, und drücken Sie dann die EINGABETASTE.On the server that will host the network location server website: On the Start screen, type mmc.exe, and then press ENTER.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.On the Add or Remove Snap-ins dialog box, click Certificates, click Add, click Computer account, click Next, click Local computer, click Finish, and then click OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.Right-click Certificates, point to All Tasks, and then click Request New Certificate.

  6. Klicken Sie zweimal auf Weiter.Click Next twice.

  7. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikat Vorlage, und klicken Sie bei Bedarf auf Weitere Informationen, die für die Registrierung dieses Zertifikats erforderlich sind.On the Request Certificates page, select the check box for the certificate template, and if required, click More information is required to enroll for this certificate.

  8. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.On the Certificate Properties dialog box, on the Subject tab, in the Subject name area, in Type, select Common Name.

  9. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.In Value, enter the FQDN of the network location server website, and then click Add.

  10. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.In the Alternative name area, in Type, select DNS.

  11. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.In Value, enter the FQDN of the network location server website, and then click Add.

  12. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.On the General tab, in Friendly name, you can enter a name that will help you identify the certificate.

  13. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.Click OK, click Enroll, and then click Finish.

  14. Überprüfen Sie im Detailbereich des Zertifikat-Snap-in, dass das neue Zertifikat unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.In the details pane of the Certificates snap-in, verify that new certificate was enrolled with Intended Purposes of Server Authentication.