Verwalten des Remotezugriffs
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Im Bereitstellungsszenario "DirectAccess-Clientremoteverwaltung" wird DirectAccess verwendet, um Clients über das Internet zu verwalten. In diesem Abschnitt wird das Szenario samt Phasen, Rollen, Features und Links zu weiteren Ressourcen beschrieben.
Windows Server 2016 und Windows Server 2012 kombinieren DirectAccess und Routing and Remote Access Service (RRAS) VPN in einer einzigen Remote Access-Rolle.
Hinweis
Über dieses Thema hinaus sind die folgenden Themen zur Verwaltung des Remotezugriffs verfügbar.
Beschreibung des Szenarios
DirectAccess-Clientcomputer sind unabhängig davon, ob der Benutzer sich am Computer angemeldet hat, mit dem Intranet verbunden. Sie können als Intranetressourcen verwaltet werden und mithilfe von Gruppenrichtlinienänderungen, Betriebssystemupdates, Updates von Antischadsoftware und anderen organisatorischen Änderungen aktualisiert werden.
In einigen Fällen müssen Intranetserver oder -computer Verbindungen mit DirectAccess-Clients initiieren. So können beispielsweise Mitarbeiter der Helpdeskabteilung über den Remotedesktop eine Verbindung mit DirectAccess-Remoteclients herstellen und Probleme beheben. Bei diesem Szenario wird die bestehende Remotezugriffslösung zwecks Benutzerkonnektivität beibehalten, während DirectAccess für die Remoteverwaltung verwendet wird.
DirectAccess bietet eine Konfiguration, die die Remoteverwaltung von DirectAccess-Clients unterstützt. Dies erfolgt mithilfe einer Option im Bereitstellungs-Assistenten, die die Erstellung von Richtlinien auf solche Richtlinien beschränkt, die für die Remoteverwaltung von Clientcomputer benötigt werden.
Hinweis
Bei dieser Bereitstellung sind Konfigurationsoptionen auf Benutzerebene, beispielsweise Tunnelerzwingung, Integration in den Netzwerkzugriffsschutz (Network Access Protection, NAP) und zweistufige Authentifizierung, nicht verfügbar.
Inhalt dieses Szenarios
Das Szenario der DirectAccess-Bereitstellung für die Remoteverwaltung von Clients umfasst für die Planung und Konfiguration die folgenden Schritte:
Planen der Bereitstellung
Für die Planung dieses Szenarios müssen nur wenige Computer- und Netzwerkanforderungen erfüllt werden. Dazu gehören:
Netzwerk- und Servertopologie: Mit DirectAccess können Sie den Remotezugriffsserver am Rand des Intranets oder hinter einem NAT-Gerät (Network Address Translation, Netzwerkadressenübersetzung) oder einer Firewall platzieren.
DirectAccess-Netzwerkadressenserver: Der Netzwerkadressenserver wird von DirectAccess-Clients verwendet, um festzustellen, ob sie sich im internen Netzwerk befinden. Der Netzwerkadressenserver kann auf dem DirectAccess-Server oder auf einem anderen Server installiert werden.
DirectAccess-Clients: Legen Sie fest, welche verwalteten Computer als DirectAccess-Clients konfiguriert werden sollen.
Konfigurieren der Bereitstellung
Das Konfigurieren der Bereitstellung besteht aus einer Reihe von Schritten. Dazu gehören:
Konfigurieren der Infrastruktur: Konfigurieren Sie DNS-Einstellungen, fügen Sie den Server und die Clientcomputer bei Bedarf einer Domäne hinzu, und konfigurieren Sie Active Directory-Sicherheitsgruppen.
Bei diesem Bereitstellungsszenario werden Gruppenrichtlinienobjekte automatisch vom Remotezugriff erstellt. Erweiterte Zertifikatoptionen für GPOs finden Sie unter Bereitstellen des erweiterten Remotezugriffs.
Konfigurieren der RAS-Server- und Netzwerkeinstellungen: Konfigurieren Sie Netzwerkadapter, IP-Adressen und Routing.
Konfigurieren der Zertifikateinstellungen: In diesem Bereitstellungsszenario erstellt der Assistent für erste Schritte selbstsignierte Zertifikate. Auf diese Weise muss die erweiterte Zertifikatinfrastruktur nicht konfiguriert werden.
Konfigurieren des Netzwerkadressenservers: In diesem Szenario ist der Netzwerkadressenserver auf dem RAS-Server installiert.
Planen der DirectAccess-Verwaltungsserver: Administratoren können DirectAccess-Clientcomputer, die sich außerhalb des Unternehmensnetzwerks befinden, remote über das Internet verwalten. Verwaltungsserver sind Computer, die für die Verwaltung von Remoteclients verwendet werden (beispielsweise Updateserver).
Konfigurieren des Remotezugriffsservers: Installieren Sie die Rolle "Remotezugriff", und führen Sie den DirectAccess-Assistenten für erste Schritte aus, um DirectAccess zu konfigurieren.
Überprüfen der Bereitstellung: Testen Sie einen Client, um sicherzustellen, dass er mithilfe von DirectAccess eine Verbindung mit dem internen Netzwerk und dem Internet herstellen kann.
Praktische Anwendung
Die Bereitstellung eines einzelnen Remotezugriffsservers für die Verwaltung von DirectAccess-Clients bietet Folgendes:
Erleichterte Bedienung: Verwaltete Clientcomputer mit Windows 8 oder Windows 7 können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können bei aktiver Verbindung mit dem Internet über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung anmelden zu müssen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung mit dem internen Netzwerk herstellen. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwaltet.
Erleichterte Verwaltung: Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von Remotezugriffsadministratoren über DirectAccess möglich, selbst wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Verwaltungsserver gewartet werden. Einer oder mehrere RAS-Server können über eine einzelne Remotezugriff-Verwaltungskonsole verwaltet werden.
In diesem Szenario enthaltene Rollen und Features
Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:
| Rolle oder Feature | Auf welche Weise dieses Szenario unterstützt wird |
|---|---|
| Remotezugriffs-Rolle | Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten: 1. DirectAccess und Routing- und RAS-Dienste (RRAS) für VPN: DirectAccess und VPN werden in der Remotezugriffs-Verwaltungskonsole verwaltet. Die Serverrolle "Remotezugriff" ist von den folgenden Features abhängig: – Webserver (IIS): Erforderlich, um den Netzwerkadressenserver und den Standardwebtest zu konfigurieren. |
| Feature %%amp;quot;Tools für die Remotezugriffsverwaltung%%amp;quot; | So installieren Sie dieses Feature: – Standardmäßig auf einem RAS-Server, wenn die Remotezugriffsrolle installiert ist. Die Benutzeroberfläche der Remoteverwaltungskonsole wird unterstützt. Dieses Feature umfasst Folgendes: – Benutzeroberfläche für den Remotezugriff und Befehlszeilentools Abhängigkeiten umfassen: - Gruppenrichtlinien-Verwaltungskonsole |
Hardwareanforderungen
Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:
Serveranforderungen
Ein Computer, der die Hardwareanforderungen für Windows Server 2016 erfüllt. Weitere Informationen finden Sie in den Systemanforderungen von Windows Server 2016.
Auf dem Server muss mindestens ein Netzwerkadapter installiert und aktiviert sein. Es darf nur ein Adapter an das interne Unternehmensnetzwerk und einer an das externe Netzwerk (Internet) angeschlossen sein.
Falls Teredo als IPv6- bis IPv4-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Wenn nur eine Netzwerkkarte verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.
Mindestens ein Domänencontroller. Der RAS-Server und die DirectAccess-Clients müssen Domänenmitglieder sein.
Eine Zertifizierungsstelle ist auf dem Server erforderlich, wenn Sie keine selbstsignierten Zertifikate für IP-HTTPS oder den Netzwerkadressenserver verwenden möchten, oder wenn Sie Clientzertifikate zur IPsec-Clientauthentifizierung verwenden möchten.
Clientanforderungen
- Auf einem Clientcomputer muss Windows 10, Windows 8 oder Windows 7 ausgeführt werden.
Anforderungen an Infrastruktur und Verwaltungsserver
Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Servern für Inhaltsregistrierungsstellen (Health Registration Authority, HRA). Diese Server bieten Dienste für Windows- und Antivirenupdates und NAP-Clientkompatibilität (Network Access Protection, Netzwerkzugriffsschutz). Die erforderlichen Server müssen bereitgestellt sein, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.
Ein DNS-Server mit Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008 mit SP2 ist erforderlich.
Softwareanforderungen
Für dieses Szenario müssen die folgenden Softwareanforderungen erfüllt werden:
Serveranforderungen
Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.
Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.
Administratoren, die einen Remotezugriffsserver bereitstellen, müssen lokale Administratorberechtigungen für den Server und Domänenbenutzerberechtigungen für die Domäne haben. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Funktionen nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, sind auf dem Domänencontroller Domänenadministratorberechtigungen erforderlich, um einen WMI-Filter zu erstellen.
Befindet sich der Netzwerkadressenserver nicht auf dem RAS-Server, ist ein separater Server für die Ausführung erforderlich.
Remotezugriffs-Client-Anforderungen
DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients beinhalten, können zur selben Gesamtstruktur gehören wie der RAS-Server, oder sie können eine bidirektionale Vertrauensstellung mit dem RAS-Server und der Domäne innehaben.
Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Computer dürfen immer nur einer Sicherheitsgruppe zugeordnet werden, die DirectAccess-Clients enthält. Wenn Clients in mehreren Gruppen enthalten sind, funktioniert die Namensauflösung für Clientanforderungen nicht wie erwartet.