DirectAccess nicht unterstützte Konfigurationen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Überprüfen Sie die folgende Liste der nicht unterstützten DirectAccess-Konfigurationen, bevor Sie mit der Bereitstellung beginnen, um zu vermeiden, dass Die Bereitstellung erneut gestartet werden muss.

FRS-Verteilung (File Replication Service) von Gruppenrichtlinie Objekten (SYSVOL-Replikationen)

Stellen Sie DirectAccess nicht in Umgebungen bereit, in denen auf Ihren Domänencontrollern der Dateireplikationsdienst (File Replication Service, FRS) für die Verteilung Gruppenrichtlinie -Objekten (SYSVOL-Replikationen) ausgeführt wird. Die Bereitstellung von DirectAccess wird nicht unterstützt, wenn Sie FRS verwenden.

Sie verwenden FRS, wenn Sie über Domänencontroller verfügen, auf denen Windows Server 2003 oder Windows Server 2003 R2 ausgeführt wird. Darüber hinaus können Sie FRS verwenden, wenn Sie zuvor Windows 2000 Server- oder Windows Server 2003-Domänencontroller verwendet haben und die SYSVOL-Replikation nie von FRS zu verteiltes Dateisystem Replication (DFS-R) migriert haben.

Wenn Sie DirectAccess mit DER SYSVOL-Replikation von FRS bereitstellen, riskieren Sie das unbeabsichtigte Löschen von DirectAccess Gruppenrichtlinie-Objekten, die die Konfigurationsinformationen für den DirectAccess-Server und den Client enthalten. Wenn diese Objekte gelöscht werden, kommt es bei Ihrer DirectAccess-Bereitstellung zu einem Ausfall, und Clientcomputer, die DirectAccess verwenden, können keine Verbindung mit Ihrem Netzwerk herstellen.

Wenn Sie DirectAccess bereitstellen möchten, müssen Sie Domänencontroller verwenden, auf denen Betriebssysteme ausgeführt werden, die höher als Windows Server 2003 R2 sind, und DFS-R.

Informationen zum Migrieren von FRS zu DFS-R finden Sie im Migrationshandbuch zur SYSVOL-Replikation: FRS to DFS-Replikation.

Netzwerkzugriffsschutz für DirectAccess-Clients

Network Access Protection (NAP) wird verwendet, um zu bestimmen, ob Remoteclientcomputer IT-Richtlinien erfüllen, bevor ihnen Zugriff auf das Unternehmensnetzwerk gewährt wird. NAP wurde in R2 als veraltet Windows Server 2012 und ist nicht in der Windows Server 2016. Aus diesem Grund wird das Starten einer neuen Bereitstellung von DirectAccess mit NAP nicht empfohlen. Es wird eine andere Methode zur Steuerung des Endpunkts für die Sicherheit von DirectAccess-Clients empfohlen.

Unterstützung für mehrere Standorte für Windows 7 Clients

Wenn DirectAccess in einer Bereitstellung für mehrere Standorte konfiguriert ist, können ® Windows 10-, Windows ® 8.1- und Windows 8-Clients eine Verbindung mit dem nächstgelegenen Standort ® herstellen. Windows 7 ® Clientcomputer verfügen nicht über die gleiche Funktion. Die Standortauswahl für Windows 7-Clients wird zum Zeitpunkt der Richtlinienkonfiguration auf einen bestimmten Standort festgelegt, und diese Clients stellen unabhängig von ihrem Standort immer eine Verbindung mit diesem angegebenen Standort herstellen.

Benutzerbasierte Zugriffssteuerung

DirectAccess-Richtlinien sind computer- und nicht benutzerbasierte Richtlinien. Die Angabe von DirectAccess-Benutzerrichtlinien zum Steuern des Zugriffs auf das Unternehmensnetzwerk wird nicht unterstützt.

Anpassen der DirectAccess-Richtlinie

DirectAccess kann mithilfe der DirectAccess-Setup-Assistant, der Remotezugriffs-Verwaltungskonsole oder der Remotezugriffs-Windows PowerShell konfiguriert werden. Die Verwendung anderer Mittel als directAccess Setup-Assistant zum Konfigurieren von DirectAccess, z. B. direktes Ändern von DirectAccess Gruppenrichtlinie Objects oder manuelles Ändern der Standardrichtlinieneinstellungen auf dem Server oder Client, wird nicht unterstützt. Diese Änderungen können zu einer nicht verwendbaren Konfiguration führen.

KerbProxy-Authentifizierung

Wenn Sie einen DirectAccess-Server mit dem Erste Schritte-Assistenten konfigurieren, wird der DirectAccess-Server automatisch für die Verwendung der KerbProxy-Authentifizierung für die Computer- und Benutzerauthentifizierung konfiguriert. Aus diesem Grund sollten Sie den Erste Schritte-Assistenten nur für Bereitstellungen mit einem Standort verwenden, bei denen nur Windows 10-, Windows 8.1- oder ® Windows 8-Clients bereitgestellt werden.

Darüber hinaus sollten die folgenden Features nicht für die KerbProxy-Authentifizierung verwendet werden:

  • Lastenausgleich mithilfe eines externen Lastenausgleichs oder Windows Load Balancer

  • Zwei-Faktor-Authentifizierung, bei der Smartcards oder ein Einmalkennwort (One-Time Password, OTP) erforderlich sind

Die folgenden Bereitstellungspläne werden nicht unterstützt, wenn Sie die KerbProxy-Authentifizierung aktivieren:

  • Multisite.

  • DirectAccess-Unterstützung für Windows 7 Clients.

  • Tunneling erzwingen. Um sicherzustellen, dass die KerbProxy-Authentifizierung nicht aktiviert ist, wenn Sie Tunnelerzwingen verwenden, konfigurieren Sie beim Ausführen des Assistenten die folgenden Elemente:

    • Aktivieren des Erzwingens von Tunneln

    • Aktivieren von DirectAccess für Windows 7 Clients

Hinweis

Für die vorherigen Bereitstellungen sollten Sie den Assistenten für erweiterte Konfiguration verwenden, der eine Konfiguration mit zwei Tunneln mit einem zertifikatbasierten Computer und einer Benutzerauthentifizierung verwendet. Weitere Informationen finden Sie unter Deploy a Single DirectAccess Server with Advanced Einstellungen.

Verwenden von ISATAP

ISATAP ist eine Übergangstechnologie, die IPv6-Konnektivität in nur IPv4-Unternehmensnetzwerken bietet. Sie ist auf kleine und mittelgroße Organisationen mit einer einzelnen DirectAccess-Serverbereitstellung beschränkt und ermöglicht die Remoteverwaltung von DirectAccess-Clients. Wenn ISATAP in einer Multisite-, Lastenausgleichs- oder Mehrdomänenumgebung bereitgestellt wird, müssen Sie es entfernen oder in eine native IPv6-Bereitstellung verschieben, bevor Sie DirectAccess konfigurieren.

IPHTTPS- und OTP-Endpunktkonfiguration (One-Time Password, Einmalkennwort)

Wenn Sie IPHTTPS verwenden, muss die IPHTTPS-Verbindung auf dem DirectAccess-Server beendet werden, nicht auf einem anderen Gerät, z. B. einem Lastenausgleich. Auf ähnliche Weise muss die Ssl-Verbindung (Out-of-Band-Secure Sockets Layer), die während der Einmalkennwortauthentifizierung (One-Time Password, OTP) erstellt wird, auf dem DirectAccess-Server beendet werden. Alle Geräte zwischen den Endpunkten dieser Verbindungen müssen im Pass-Through-Modus konfiguriert werden.

Erzwingen Tunnel mit OTP-Authentifizierung

Stellen Sie keinen DirectAccess-Server mit zweiseitiger Authentifizierung mit OTP und Force Tunneling (Tunnelerzwingen) zur Verfügung, da anderst die OTP-Authentifizierung fehlschlägt. Zwischen dem DirectAccess-Server und dem DirectAccess-Client Secure Sockets Layer eine Out-of-Band-Verbindung (SSL) erforderlich. Diese Verbindung erfordert eine Ausnahme, um den Datenverkehr außerhalb des DirectAccess-Tunnels zu senden. In einer Force Tunnel-Konfiguration muss der ganze Datenverkehr über einen DirectAccess-Tunnel fließen, und es ist keine Ausnahme zulässig, nachdem der Tunnel eingerichtet wurde. Aus diesem Grund wird die OTP-Authentifizierung in einer Konfiguration für erzwungene Tunnel nicht unterstützt.

Bereitstellen von DirectAccess mit einem Read-Only Domänencontroller

DirectAccess-Server müssen Zugriff auf einen Domänencontroller mit Lese-/Schreibzugriff haben und nicht ordnungsgemäß mit einem Read-Only Domänencontroller (RODC) funktionieren.

Ein Domänencontroller mit Lese-/Schreibzugriff ist aus vielen Gründen erforderlich, z. B.:

  • Auf dem DirectAccess-Server ist ein Domänencontroller mit Lese-/Schreibzugriff erforderlich, um die REMOTE ACCESS Microsoft Management Console (MMC) zu öffnen.

  • Der DirectAccess-Server muss sowohl Lese- als auch Schreibzugriff auf den DirectAccess-Client und den DirectAccess-Server Gruppenrichtlinie Objects (GPOs) haben.

  • Der DirectAccess-Server liest und schreibt das Client-Gruppenrichtlinienobjekt speziell aus dem Primären Domänencontrolleremulator (PDCe).

Aufgrund dieser Anforderungen sollten Sie DirectAccess nicht mit einem RODC bereitstellen.