Schritt 2: Konfigurieren des DirectAccess-VPN-Servers

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird die Konfiguration der Client- und Servereinstellungen erläutert, die für eine einfache Remotezugriffsbereitstellung mit dem Assistenten zum Aktivieren von DirectAccess erforderlich sind.

Die folgende Tabelle enthält eine Übersicht der Schritte, die in diesem Artikel beschrieben werden.

Aufgabe BESCHREIBUNG
Konfigurieren von DirectAccess-Clients Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten.
Konfigurieren der Netzwerktopologie Konfigurieren Sie die Einstellungen des RAS-Servers.
Konfigurieren der Suchliste für DNS-Suffixe Ändern Sie die Suchliste für DNS-Suffixe bei Bedarf.
Konfiguration der Gruppenrichtlinienobjekte Ändern Sie bei Bedarf die Gruppenrichtlinienobjekte.

So starten Sie den Assistenten zum Aktivieren von DirectAccess

  1. Klicken Sie im Server-Manager auf Tools und dann auf Remotezugriff.Der Assistent zum Aktivieren von DirectAccess startet automatisch, sofern Sie nicht die Option Nicht mehr anzeigen ausgewählt haben.

  2. Wenn der Assistent nicht automatisch startet, klicken Sie mit der rechten Maustaste auf den Serverknoten in der Struktur Routing und Remotezugriff und anschließend auf DirectAccess aktivieren.

  3. Klicken Sie auf Weiter.

Konfigurieren von DirectAccess-Clients

Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie das DirectAccess-Gruppenrichtlinienobjekt empfangen.

  1. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.

  2. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die DirectAccess-Clientcomputer enthalten.

  3. Aktivieren Sie das Kontrollkästchen DirectAccess ausschließlich für mobile Computer aktivieren, damit nur mobile Computer auf das interne Netzwerk zugreifen können.

  4. Aktivieren Sie das Kontrollkästchen Tunnelerzwingung verwenden, um den gesamten Client-Datenverkehr (an das interne Netzwerk und das Internet) bei Bedarf über den Remotezugriffsserver zu leiten.

  5. Klicken Sie auf Weiter.

Konfigurieren der Netzwerktopologie

Um den Remotezugriff bereitzustellen, müssen Sie den Remotezugriffsserver mit korrekten Netzwerkadaptern, einer öffentlichen URL für den Remotezugriffsserver, zu dem Clientcomputer eine Verbindung aufbauen können (die ConnectTo-Adresse), einem IP-HTTPS-Zertifikat mit einem Antragsteller, der mit der ConnectTo-Adresse übereinstimmt, konfigurieren.

  1. Klicken Sie auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.

Konfigurieren der Suchliste für DNS-Suffixe

Für DNS-Clients können Sie eine Suchliste für ein DNS-Domänensuffixe konfigurieren, die die DNS-Suchfunktionen erweitert oder überprüft. Indem Sie zusätzliche Suffixe zu der Liste hinzufügen, können Sie in mehreren angegebenen DNS-Domänen nach kurzen, nicht qualifizierten Computernamen suchen. Wenn anschließend eine DNS-Abfrage fehlschlägt, kann der DNS-Clientdienst anhand dieser Liste andere Namenssuffixe an Ihren ursprünglichen Namen anhängen und die DNS-Abfragen an den DNS-Server unter Verwendung dieser alternativen FQDNs wiederholen.

  1. Wählen Sie DirectAccess-Clients mit der Suchliste für DNS-Clientsuffixe konfigurieren, um zusätzliche Suffixe für Clientnamen-Suchvorgänge anzugeben.

  2. Geben Sie in das Feld Neues Suffix einen neuen Suffixnamen ein, und klicken Sie dann auf Hinzufügen. Außerdem können Sie die Suchreihenfolge ändern und Suffixe aus der Liste Zu verwendende Domänensuffixe entfernen.

[HINWEIS] In einem Szenario mit einem nicht zusammenhängenden Namespace (mindestens ein Domänencomputer verfügt über ein DNS-Suffix, das nicht mit der Active Directory-Domäne übereinstimmt, der dieser Computer angehört) sollten Sie sicherstellen, dass die Suchliste so angepasst wird, dass sie alle erforderlichen Suffixe enthält. Der RAS-Assistent konfiguriert den Active Directory-DNS-Namen standardmäßig als primäres DNS-Suffix auf dem Client. Der Administrator sollte sicherstellen, dass er das von den Clients zur Namensauflösung verwendete DNS-Suffix hinzufügt.

Für Computer und Server wird zuvor folgendes DNS-Standardsuchverhalten festgelegt und nach dem Abschluss und dem Auflösen von kurzen, nicht qualifizierten Namen verwendet. Wenn die Suchliste für DNS-Suffixe leer ist oder nicht angegeben wurde, wird das primäre DNS-Suffix des Computers an die kurzen, nicht qualifizierten Namen angehängt. Zum Auflösen des daraus resultierenden FQDN wird eine DNS-Abfrage verwendet.

Wenn die Abfrage fehlschlägt, kann der Computer versuchen, zusätzliche Abfragen für alternative FQDNs durchzuführen, indem ein beliebiges verbindungsspezifisches DNS-Suffix angehängt wird, das für Netzwerkverbindungen konfiguriert ist. Wenn keine verbindungsspezifischen Suffixe konfiguriert sind oder Abfragen für die daraus resultierenden verbindungsspezifischen FQDNs fehlschlagen, kann der Client damit beginnen, die Abfragen basierend auf der systematischen Reduzierung des primären Suffixes (auch als Verkürzung bezeichnet) erneut auszuführen.

Wenn das primäre Suffix beispielsweise „beispiel.microsoft.com“ lautet, können Abfragen nach dem Kurznamen mit dem Verkürzungsvorgang ausgeführt werden. Hierbei werden die Domänen „microsoft.com“ und „com“ nach dem Kurznamen durchsucht.

Wenn die Suchliste für DNS-Suffixe nicht leer ist und darin mindestens ein DNS-Suffix angegeben ist, sind Versuche zum Qualifizieren und Auflösen von DNS-Kurznamen darauf beschränkt, nur die FQDNs zu durchsuchen, die in der angegebenen Suffixliste enthalten sind.

Wenn die Abfragen für alle durch das Anfügen und Versuchen der Suffixe in der Liste gebildeten FQDNs nicht aufgelöst werden können, schlägt der Abfragevorgang fehl und als Ergebnis wird "Name nicht gefunden" ausgegeben.

Warnung

Wenn die Domänensuffixliste verwendet wird, senden die Clients weiterhin zusätzliche auf den verschiedenen DNS-Domänennamen basierende alternative Abfragen, wenn eine Abfrage nicht beantwortet oder aufgelöst wird. Nachdem ein Name mit einem Eintrag in der Suffixliste aufgelöst wurde, werden die nicht verwendeten Listeneinträge nicht versucht. Aus diesem Grund ist es am effizientesten, die Liste zunächst nach den am meisten verwendeten Domänensuffixen zu sortieren.

Suchen nach Domänennamensuffixen werden nur verwendet, wenn ein DNS-Name nicht vollqualifiziert ist. Um einen DNS-Namen voll zu qualifizieren, müssen Sie am Ende des Namens einen nachstehenden Punkt (.) eingeben.

Konfiguration der Gruppenrichtlinienobjekte

Die beim Konfigurieren des Remotezugriffs konfigurierten DirectAccess-Einstellungen werden in Gruppenrichtlinienobjekten (GPO) erfasst.

In GPO-Einstellungen werden der GPO-Name des DirectAccess-Servers und der Client-GPO-Name aufgelistet. Zusätzlich können Sie die GPO-Auswahleinstellungen ändern.

Die beiden Gruppenrichtlinienobjekte werden mit DirectAccess-Einstellungen aufgefüllt und wie folgt verteilt:

  1. DirectAccess-Client-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält die Client-Einstellungen, einschließlich der Einstellungen für die IPv6-Übergangstechnologie, der Einträge in der Richtlinientabelle für die Namensauflösung und der Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.

  2. DirectAccess-Server-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden Server angewendet werden, der in Ihrer Bereitstellung als RAS-Server konfiguriert wurde. Außerdem enthält es die Verbindungssicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.

Zusammenfassung

Wenn die Konfiguration des Remotezugriffs abgeschlossen ist, wird das Dialogfeld Zusammenfassung angezeigt. Sie können die konfigurierte Einstellung ändern oder auf Fertig stellen klicken, um die Konfiguration anzuwenden.