Schritt 2: Konfigurieren des DirectAccess-VPN-ServersStep 2 Configure the DirectAccess-VPN Server

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema wird die Konfiguration der Client- und Servereinstellungen erläutert, die für eine einfache Remotezugriffsbereitstellung mit dem Assistenten zum Aktivieren von DirectAccess erforderlich sind.This topic describes how to configure the client and server settings required for a basic Remote Access deployment using the Enable DirectAccess Wizard.

In der folgenden Tabelle finden Sie eine Übersicht über die Schritte, die Sie in diesem Thema ausführen können.The following table provides an overview of the steps you can complete by using this topic.

AufgabeTask BESCHREIBUNGDescription
Konfigurieren von DirectAccess-ClientsConfigure DirectAccess clients Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten.Configure the Remote Access server with the security groups containing DirectAccess clients.
Konfigurieren der NetzwerktopologieConfigure the Network Topology Konfigurieren Sie die Einstellungen des RAS-Servers.Configure Remote Access server settings.
Konfigurieren der Suchliste für DNS-SuffixeConfigure the DNS Suffix Search List Ändern Sie die Suchliste für DNS-Suffixe bei Bedarf.Modify the Suffix search list if desired.
Konfiguration der GruppenrichtlinienobjekteGPO Configuration Ändern Sie bei Bedarf die Gruppenrichtlinienobjekte.Modify the GPOs if desired.

So starten Sie den Assistenten zum Aktivieren von DirectAccessTo Start the Enable DirectAcces Wizard

  1. Klicken Sie in Server-Manager auf Extras, und klicken Sie dann auf Remote Zugriff. Der Assistent zum Aktivieren von DirectAccess wird automatisch gestartet, es sei denn, Sie haben den Bildschirm nicht mehr anzeigen ausgewählt.In Server Manager, click Tools, and then click Remote Access.The Enable DirectAccess Wizard starts automatically unless you have selected Do not show this screen again.

  2. Wenn der Assistent nicht automatisch startet, klicken Sie mit der rechten Maustaste auf den Serverknoten in der Struktur Routing und Remotezugriff und anschließend auf DirectAccess aktivieren.If the wizard does not start automatically, right-click the server node in the Routing and Remote Access tree, and then click Enable DirectAccess.

  3. Klicken Sie auf Weiter.Click Next.

Konfigurieren von DirectAccess-ClientsConfigure DirectAccess clients

Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören.For a client computer to be provisioned to use DirectAccess it must belong to the selected security group. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie das DirectAccess-Gruppenrichtlinienobjekt empfangen.After DirectAccess is configured, client computers in the security group are provisioned to receive the DirectAccess group policy.

  1. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.On the Select Groups page, click Add.

  2. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die DirectAccess-Clientcomputer enthalten.On the Select Groups dialog box, select the security groups containing DirectAccess client computers.

  3. Aktivieren Sie das Kontrollkästchen DirectAccess ausschließlich für mobile Computer aktivieren, damit nur mobile Computer auf das interne Netzwerk zugreifen können.Select the Enable DirectAccess for mobile computers only check box to allow only mobile computers to access the internal network.

  4. Aktivieren Sie das Kontrollkästchen Tunnelerzwingung verwenden, um den gesamten Client-Datenverkehr (an das interne Netzwerk und das Internet) bei Bedarf über den Remotezugriffsserver zu leiten.Select the Use force tunneling check box to route all client traffic (to the internal network and to the Internet) through the Remote Access server.

  5. Klicken Sie auf Weiter.Click Next.

Konfigurieren der NetzwerktopologieConfigure the Network Topology

Um den Remotezugriff bereitzustellen, müssen Sie den Remotezugriffsserver mit korrekten Netzwerkadaptern, einer öffentlichen URL für den Remotezugriffsserver, zu dem Clientcomputer eine Verbindung aufbauen können (die ConnectTo-Adresse), einem IP-HTTPS-Zertifikat mit einem Antragsteller, der mit der ConnectTo-Adresse übereinstimmt, konfigurieren.To deploy Remote Access, you need to configure the Remote Access server with the correct network adapters, a public URL for the Remote Access server to which client computers can connect (the connect to address), and an IP-HTTPS certificate whose subject matches the connect to address.

  1. Klicken Sie auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird.On the Network Topology page, click the deployment topology that will be used in your organization. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.In Type the public name or IPv4 address used by clients to connect to the Remote Access server, enter the public name for the deployment (this name matches the subject name of the IP-HTTPS certificate, for example, edge1.contoso.com), and then click Next.

Konfigurieren der Suchliste für DNS-SuffixeConfigure the DNS Suffix Search List

Für DNS-Clients können Sie eine Suchliste für ein DNS-Domänensuffixe konfigurieren, die die DNS-Suchfunktionen erweitert oder überprüft.For DNS clients, you can configure a DNS domain suffix search list that extends or revises their DNS search capabilities. Indem Sie zusätzliche Suffixe zu der Liste hinzufügen, können Sie in mehreren angegebenen DNS-Domänen nach kurzen, nicht qualifizierten Computernamen suchen.By adding additional suffixes to the list, you can search for short, unqualified computer names in more than one specified DNS domain. Wenn eine DNS-Abfrage fehlschlägt, kann der DNS-Client Dienst diese Liste verwenden, um andere Namen Suffix-Endungen an ihren ursprünglichen Namen anzufügen und DNS-Abfragen für diese alternativen FQDNs an den DNS-Server zu wiederholen.Then, if a DNS query fails, the DNS Client service can use this list to append other name suffix endings to your original name and repeat DNS queries to the DNS server for these alternate FQDNs.

  1. Wählen Sie DirectAccess-Clients mit der Suchliste für DNS-Clientsuffixe konfigurieren, um zusätzliche Suffixe für Clientnamen-Suchvorgänge anzugeben.Select Configure DirectAccess Clients with DNS client suffix search list to specify additional suffixes for client name searches.

  2. Geben Sie in Neues Suffix einen neuen Suffix ein, und klicken Sie dann auf Hinzufügen.Type a new suffix name in New Suffix and then click Add. Außerdem können Sie die Such Reihenfolge ändern und Suffixe aus Domänen Suffixen entfernen, um Sie zu verwenden.Additionally, you can change the search order and remove suffixes from Domain Suffixes to use.

Nebenbei In einem Zusammenhang losen Namespace-Szenario, ( in dem ein oder mehrere Domänen Computer ein DNS-Suffix haben, das nicht der Active Directory Domäne entspricht, zu der die Computer gehören ) , sollten Sie sicherstellen, dass die Suchliste so angepasst ist, dass Sie alle erforderlichen Suffixe enthält.[NOTE] In a disjoint name space scenario (where one or more domain computers has an DNS suffix that does not match the Active Directory domain to which the computers belong), you should ensure that the search list is customized to include all the required suffixes. Der RAS-Assistent konfiguriert den Active Directory-DNS-Namen standardmäßig als primäres DNS-Suffix auf dem Client.The Remote Access wizard will by default configure the Active Directory DNS name as the primary DNS suffix on the client. Der Administrator sollte sicherstellen, dass er das von den Clients zur Namensauflösung verwendete DNS-Suffix hinzufügt.Admin should ensure that he adds the DNS suffix used by clients for name resolution.

Für Computer und Server ist das folgende standardmäßige DNS-Suchverhalten vorgegeben und wird verwendet, wenn kurze, nicht qualifizierte Namen vervollständigt und aufgelöst werden. Wenn die Suffixsuchliste leer oder nicht angegeben ist, wird das primäre DNS-Suffix des Computers an kurze, nicht qualifizierte Namen angehängt, und eine DNS-Abfrage wird verwendet, um den resultierenden FQDN aufzulösen.For computers and servers, the following default DNS search behavior is predetermined and used when completing and resolving short, unqualified names.When the suffix search list is empty or unspecified, the primary DNS suffix of the computer is appended to short unqualified names, and a DNS query is used to resolve the resultant FQDN.

Wenn bei der Abfrage ein Fehler auftritt, kann der Computer zusätzliche Abfragen für alternative voll qualifizierte Namen durchführen, indem ein beliebiges Verbindungs spezifisches DNS-Suffix angehängt wird, das für Netzwerkverbindungen konfiguriert ist. Wenn keine Verbindungs spezifischen Suffixe konfiguriert sind oder Abfragen für diese resultierenden Verbindungs spezifischen FQDNs fehlschlagen, kann der Client dann mit dem Wiederholen von Abfragen auf der Grundlage der systematischen Reduzierung des primären Suffixe (auch als "Devolution" bezeichnet) beginnen.If this query fails, the computer can try additional queries for alternate FQDNs by appending any connection-specific DNS suffix configured for network connections.If no connection-specific suffixes are configured or queries for these resultant connection-specific FQDNs fail, then the client can then begin to retry queries based on systematic reduction of the primary suffix (also known as devolution).

Wenn das primäre Suffix z. b. "example.Microsoft.com" ist, kann der Prozess der Verkürzung Abfragen für den Kurznamen wiederholen, indem er in den Domänen "Microsoft.com" und "com" danach sucht.For example, if the primary suffix is "example.microsoft.com," the devolution process can retry queries for the short name by searching for it in the "microsoft.com" and "com" domains.

Wenn die Suffixsuchliste nicht leer ist und mindestens ein DNS-Suffix angegeben wurde, ist der Versuch, kurze DNS-Namen zu qualifizieren und aufzulösen, nur auf die durch die angegebene Suffixliste möglichen FQDNs beschränkt.When the suffix search list is not empty and has at least one DNS suffix specified, attempts to qualify and resolve short DNS names is limited to searching only those FQDNs made possible by the specified suffix list.

Wenn die Abfragen für alle durch das Anfügen und Versuchen der Suffixe in der Liste gebildeten FQDNs nicht aufgelöst werden können, schlägt der Abfragevorgang fehl und als Ergebnis wird "Name nicht gefunden" ausgegeben.If queries for all FQDNs formed as a result of appending and trying each suffix in the list are not resolved, the query process fails, producing a "name not found" result.

Warnung

Wenn die Domänensuffixliste verwendet wird, senden die Clients weiterhin zusätzliche auf den verschiedenen DNS-Domänennamen basierende alternative Abfragen, wenn eine Abfrage nicht beantwortet oder aufgelöst wird.If the domain suffix list is used, clients continue to send additional alternate queries based on different DNS domain names when a query is not answered or resolved. Nachdem ein Name mit einem Eintrag in der Suffixliste aufgelöst wurde, werden die nicht verwendeten Listeneinträge nicht versucht.Once a name is resolved using an entry in the suffix list, unused list entries are not tried. Aus diesem Grund ist es am effizientesten, die Liste zunächst nach den am meisten verwendeten Domänensuffixen zu sortieren.For this reason, it is most efficient to order the list with the most used domain suffixes first.

Suchen nach Domänennamensuffixen werden nur verwendet, wenn ein DNS-Name nicht vollqualifiziert ist.Domain name suffix searches are used only when a DNS name entry is not fully qualified. Um einen DNS-Namen voll zu qualifizieren, müssen Sie am Ende des Namens einen nachstehenden Punkt (.) eingeben.To fully qualify a DNS name, a trailing period (.) is entered at the end of the name.

Konfiguration der GruppenrichtlinienobjekteGPO Configuration

Wenn Sie den Remote Zugriff konfigurieren, werden DirectAccess-Einstellungen in Gruppenrichtlinie Objekte (GPO) gesammelt.When you configure Remote Access, DirectAccess settings are collected into Group Policy Objects (GPO).

Unter GPO-Einstellungen werden der Name des Gruppenrichtlinien Objekts für den DirectAccess-Server und der Name des Gruppenrichtlinien Objekts aufgeführt.In GPO Settings, the DirectAccess server GPO name and Client GPO name are listed. Zusätzlich können Sie die GPO-Auswahleinstellungen ändern.Additionally, you can modify the GPO selection settings.

Zwei GPOs werden automatisch mit DirectAccess-Einstellungen aufgefüllt und auf diese Weise verteilt:Two GPOs are populated automatically with DirectAccess settings, and distributed in this way:

  1. DirectAccess-Client-Gruppenrichtlinienobjekt.DirectAccess client GPO. Dieses Gruppenrichtlinienobjekt enthält die Client-Einstellungen, einschließlich der Einstellungen für die IPv6-Übergangstechnologie, der Einträge in der Richtlinientabelle für die Namensauflösung und der Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.This GPO contains client settings, including IPv6 transition technology settings, NRPT entries, and Windows Firewall with Advanced Security connection security rules. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.The GPO is applied to the security groups specified for the client computers.

  2. DirectAccess-Server-Gruppenrichtlinienobjekt.DirectAccess server GPO. Dieses Gruppenrichtlinien Objekt enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden als RAS-Server konfigurierten Server in Ihrer Bereitstellung angewendet werden.This GPO contains the DirectAccess configuration settings that are applied to any server configured as a Remote Access server in your deployment. Außerdem enthält es die Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.It also contains Windows Firewall with Advanced Security connection security rules.

ZusammenfassungSummary

Sobald die Konfiguration des Remote Zugriffs fertiggestellt ist, wird die Zusammenfassung angezeigt.Once the Remote Access configuration is complete the Summary is displayed. Sie können die konfigurierten Einstellungen ändern oder auf Fertig stellen klicken, um die Konfiguration zu übernehmen.You can change the configured settings or click Finish to apply the configuration.