Schritt 1 Konfigurieren der allgemeinen DirectAccess-Infrastruktur
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In diesem Thema wird die Konfiguration der Infrastruktur beschrieben, die für eine grundlegende DirectAccess-Bereitstellung mit einem einzelnen DirectAccess-Server in einer gemischten IPv4- und IPv6-Umgebung erforderlich ist. Stellen Sie vor Beginn der Bereitstellungsschritte sicher, dass Sie die unter Planen einer allgemeinen DirectAccess-Bereitstellung beschriebenen Planungsschritte abgeschlossen haben.
| Aufgabe | BESCHREIBUNG |
|---|---|
| Konfigurieren von Servernetzwerkeinstellungen | Konfigurieren Sie die Servernetzwerkeinstellungen auf dem DirectAccess-Server. |
| Konfigurieren des Routings im Unternehmensnetzwerk | Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird. |
| Konfigurieren von Firewalls | Konfigurieren Sie bei Bedarf zusätzliche Firewalls. |
| Konfigurieren des DNS-Servers | Konfigurieren Sie die DNS-Einstellungen für den DirectAccess-Server. |
| Konfigurieren von Active Directory | Fügen Sie der Active Directory-Domäne Clientcomputer und DirectAcess-Server hinzu. |
| Konfigurieren der Gruppenrichtlinienobjekte | Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte für die Bereitstellung. |
| Konfigurieren von Sicherheitsgruppen | Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind. |
Hinweis
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
Konfigurieren von Servernetzwerkeinstellungen
Für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 sind folgende Netzwerkschnittstelleneinstellungen erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.
Edgetopologie
Eine öffentliche statische IPv4- oder IPv6-Adresse mit Internetzugriff.
Hinweis
Zwei aufeinander folgende öffentliche IPv4-Adressen sind für Teredo erforderlich. Falls Sie Teredo nicht verwenden, können Sie eine einzelne, öffentliche, statische IPv4-Adresse konfigurieren.
Eine einzelne, interne, statische IPv4- oder IPv6-Adresse
Hinter einem NAT-Gerät (mit zwei Netzwerkadaptern)
Eine einzelne, interne, statische IPv4- oder IPv6-Adresse mit Netzwerkzugriff
Eine einzelne statische IPv4- oder IPv6-Adresse mit Umkreisnetzwerkzugriff.
Hinter einem NAT-Gerät (mit einem Netzwerkadapter)
- Eine einzelne, statische IPv4- oder IPv6-Adresse.
Hinweis
Für den Fall, dass der DirectAccess-Server zwei oder mehr Netzwerkadapter besitzt (einer, der in dem Domänenprofil klassifiziert ist, und der andere in einem öffentlichen/privaten Profil), jedoch nur eine einzelne NIC-Topologie verwendet wird, wird Folgendes empfohlen:
Vergewissern Sie sich, dass der zweite Netzwerkadapter und zusätzliche Netzwerkadapter im Domänenprofil klassifiziert sind.
Wenn die zweite NIC aus einem bestimmten Grund nicht für das Domänenprofil konfiguriert werden kann, muss der Bereich für die DirectAccess IPsec-Richtlinie manuell mithilfe der folgenden Windows PowerShell-Befehle festgelegt werden:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionDie Namen der IPsec-Richtlinien lauten „DirectAccess-DaServerToInfra“ und „DirectAccess-DaServerToCorp“.
Konfigurieren des Routings im Unternehmensnetzwerk
Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:
Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.
Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine öffentliche Route hinzu, sodass der gesamte Datenverkehr mit Organisations-IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.
Konfigurieren von Firewalls
Wenden Sie bei zusätzlichen Firewalls in der Bereitstellung die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:
IP6-zu-IP4-Datenverkehr – IP-Protokoll 41 ein- und ausgehend.
IP-HTTPS – TCP-Zielport 443 (Transmission Control Protocol) eingehend und TCP-Quellport 443 ausgehend. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.
Hinweis
Diese Ausnahme muss auf dem RAS-Server konfiguriert werden. Alle anderen Ausnahmen müssen in der Edgefirewall konfiguriert werden.
Hinweis
Bei Teredo- und IP6-zu-IP4-Datenverkehr sollten diese Ausnahmen für beide aufeinander folgenden öffentlichen IPv4-Adressen mit Internetzugriff auf dem RAS-Server angewendet werden. Bei IP-HTTPS müssen die Ausnahmen nur auf die Adresse angewendet werden, die zur Auflösung des externen Namens des Servers dient.
Wenden Sie bei zusätzlichen Firewalls die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:
IP-Protokoll 50
UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.
Wenden Sie bei zusätzlichen Firewalls die folgenden internen Netzwerkfirewallausnahmen für RAS-Datenverkehr an:
ISATAP – Protokoll 41 ein- und ausgehend
TCP/UDP für den gesamten IPv4/IPv6-Datenverkehr
Konfigurieren des DNS-Servers
Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.
So erstellen Sie den Netzwerkadressenserver und DNS-Einträge für den NCSI-Test
Führen Sie auf dem DNS-Server des internen Netzwerks dnsmgmt.msc aus und drücken Sie dann die EINGABETASTE.
Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und anschließend auf Neuer Host (A oder AAAA).
Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen für die Netzwerkadressenserver-Website (mit diesem Namen verbinden sich die DirectAccess-Clients mit dem Netzwerkadressenserver) ein. Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Netzwerkadressenservers ein und klicken Sie dann auf Host hinzufügen. Klicken Sie im Dialogfeld DNS auf OK.
Geben Sie im Dialogfeld Neuer Host in das Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen des Webtests ein (der Name für Standard-Webtests lautet directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld DNS auf OK.
Klicken Sie auf Fertig.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:
Der IP-HTTPS-Server – DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remote-Zugriffsservers aus dem Internet aufzulösen.
Überprüfung der Zertifikatsperrliste (CRL) – DirectAccess verwendet zertifizierte Sperrüberprüfungen für die IP-HTTPS-Verbindung zwischen den DirectAccess-Clients und dem Remote-Zugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressenserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.
Konfigurieren von Active Directory
Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:
Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.
Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.
Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.
So fügen Sie den RAS-Server einer Domäne hinzu
Klicken Sie im Server-Manager auf Lokaler Server. Klicken Sie im Detailbereich auf den Link neben Computername.
Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Computername. Klicken Sie in der Registerkarte Computername auf Ändern.
Geben Sie unter Computername den Namen des Computers ein, falls Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll, z. B. %%amp;quot;corp.contoso.com%%amp;quot;, und klicken Sie dann auf OK.
Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der über die Berechtigung zum Durchführen des Beitritts von Computern zur Domäne verfügt. Klicken Sie anschließend auf OK.
Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.
Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.
Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.
Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.
So fügen Sie Clientcomputer zur Domäne hinzu
Run explorer.exe.
Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.
Klicken Sie auf der Registerkarte Computername im Dialogfeld Systemeigenschaften auf Ändern.
Geben Sie unter Computername den Namen des Computers ein, falls Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll, z. B. %%amp;quot;corp.contoso.com%%amp;quot;, und klicken Sie dann auf OK.
Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der über die Berechtigung zum Durchführen des Beitritts von Computern zur Domäne verfügt. Klicken Sie anschließend auf OK.
Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.
Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.
Klicken Sie im Dialogfeld Systemeigenschaften auf „Schließen“. Klicken Sie bei Aufforderung auf Jetzt neu starten.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Beachten Sie, dass Sie die Domänenanmeldeinformationen nach der Eingabe des nachfolgenden Befehls %%amp;quot;Add-Computer%%amp;quot; bereitstellen müssen.
Add-Computer -DomainName <domain_name>
Restart-Computer
Konfigurieren der Gruppenrichtlinienobjekte
Für die Bereitstellung von Remote-Zugriff benötigen Sie mindestens zwei Gruppenrichtlinienobjekte: ein Gruppenrichtlinienobjekt enthält Einstellungen für den Remote-Zugriffsserver und eines für DirectAccess-Client-Computer. Wenn Sie den Remote-Zugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinienobjekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügen, müssen sie erstellt werden, bevor der Remote-Zugriff konfiguriert wird.
Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinienobjekts.
Wichtig
Der Administrator kann die DirectAccess-Gruppenrichtlinienobjekte anhand von folgenden Schritten manuell mit einer Organisationseinheit verknüpfen:
- Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.
- Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.
- Der Remotezugriffsadministrator verfügt möglicherweise über Berechtigungen zum Vernüpfen der Gruppenrichtlinienobjekte mit der Domäne, oder das ist nicht der Fall. In beiden Fällen werden die Gruppenrichtlinienobjekte automatisch konfiguriert. Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt. Die Gruppenrichtlinienobjekte werden auch nicht mit der Domäne verknüpft. Für ein Server-Gruppenrichtlinienobjekt muss die Organisationseinheit das Servercomputerobjekt enthalten, andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.
- Wenn Sie vor dem Ausführen des DirectAccess-Assistenten keine Verknüpfung zur Organisationseinheit hinzugefügt haben, kann der Administrator die DirectAccess-Gruppenrichtlinienobjekte nach Abschluss der Konfiguration mit den erforderlichen Organisationseinheiten verknüpfen. Die Verknüpfung zur Domäne kann entfernt werden. Schritte zum Verknüpfen eines Gruppenrichtlinienobjekts mit einer Organisationseinheit finden Sie hier.
Hinweis
Wenn ein Gruppenrichtlinienobjekt manuell erstellt wurde, kann es während der DirectAccess-Konfiguration vorkommen, dass das Gruppenrichtlinienobjekt nicht verfügbar ist. Das Gruppenrichtlinienobjekt wurde möglicherweise nicht mit dem Domänencontroller repliziert, der dem Verwaltungscomputer am nächsten liegt. In diesem Fall kann der Administrator warten, bis die Replikation abgeschlossen ist oder er kann die Replikation erzwingen.
Warnung
Die Konfiguration von DirectAccess mit anderen Mitteln als dem DirectAccess Setup-Assistenten, z. B. die direkte Änderung von DirectAccess-Gruppenrichtlinienobjekten oder die manuelle Änderung der Standardrichtlinieneinstellungen auf dem Server oder Client, wird nicht unterstützt.
Konfigurieren von Sicherheitsgruppen
Die DirectAccess-Einstellungen, die sich im Gruppenrichtlinienobjekt des Clientcomputers befinden, werden nur bei Computern angewendet, die Mitglieder der Sicherheitsgruppe sind, die Sie beim Konfigurieren des Remote-Zugriffs angeben.
So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients
Run dsa.msc. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.
Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.
Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.
Doppelklicken Sie auf die Sicherheitsgruppe der DirectAccess-Clientcomputer und dann im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder.
Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.
Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>