Schritt 1: Konfigurieren der Infrastruktur für den Remotezugriff
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Hinweis: Durch Windows Server 2012 werden DirectAccess und RRAS (Routing and Remote Access Service, Routing- und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst.
Diese Thema enthält Informationen zur Konfiguration der Infrastruktur, die für eine Bereitstellung des erweiterten Remotezugriffs erforderlich ist, mit einem einzelnen Remotezugriffsserver in einer gemischten Umgebung mit IPv4- und IPv6-Adressen. Vor dem Ausführen der Bereitstellungsschritte müssen die unter Schritt 1: Planen der Infrastruktur für den Remotezugriff angegebenen Planungsschritte ausgeführt worden sein.
| Aufgabe | BESCHREIBUNG |
|---|---|
| Konfigurieren von Servernetzwerkeinstellungen | Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver. |
| Konfigurieren des Routings im Unternehmensnetzwerk | Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird. |
| Konfigurieren von Firewalls | Konfigurieren Sie bei Bedarf zusätzliche Firewalls. |
| Konfigurieren von Zertifizierungsstellen und Zertifikaten | Konfigurieren Sie bei Bedarf eine Zertifizierungsstelle und weitere für die Bereitstellung erforderliche Zertifikatsvorlagen. |
| Konfigurieren des DNS-Servers | Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver. |
| Konfigurieren von Active Directory | Fügen Sie der Active Directory-Domäne Clientcomputer und Remotezugriffsserver hinzu. |
| Konfigurieren der Gruppenrichtlinienobjekte | Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) für die Bereitstellung. |
| Konfigurieren von Sicherheitsgruppen | Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind. |
| Konfigurieren des Netzwerkadressenservers | Konfigurieren Sie den Netzwerkadressenserver, dazu gehört auch die Installation des Netzwerkadressenserver-Websitezertifikats. |
Hinweis
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
Konfigurieren von Servernetzwerkeinstellungen
Je nachdem, ob Sie den Remotezugriffsserver am Edge oder hinter einem NAT-Gerät platzieren möchten, sind die folgenden NIC-Adresseinstellungen für die Bereitstellung eines einzelnen Servers in einer Umgebung mit IPv4- und IPv6-Adressen erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.
Edgetopologie:
Folgendes wird benötigt:
Zwei aufeinanderfolgende öffentliche statische Internet-IPv4- oder IPv6-Adressen.
Hinweis
Zwei aufeinander folgende öffentliche IPv4-Adressen sind für Teredo erforderlich. Falls Sie Teredo nicht verwenden, können Sie eine einzelne, öffentliche, statische IPv4-Adresse konfigurieren.
Eine einzelne, interne, statische IPv4- oder IPv6-Adresse
Hinter einem NAT-Gerät (zwei Netzwerkadapter):
Eine einzelne interne statische Netzwerk-IPv4- oder IPv6-Adresse.
Hinter einem NAT-Gerät (ein Netzwerkadapter):
Eine einzelne statische IPv4- oder IPv6-Adresse.
Wenn der Remotezugriffsserver zwei Netzwerkadapter aufweist (einen für das Domänenprofil und einen für ein öffentliches oder privates Profil), Sie aber eine Topologie mit einem Netzwerkadapter nutzen, empfehlen wir die folgende Vorgehensweise:
Stellen Sie sicher, dass der zweite Netzwerkadapter ebenfalls im Domänenprofil klassifiziert ist.
Wenn der zweite Netzwerkadapter aus irgendeinem Grund nicht für das Domänenprofil konfiguriert werden kann, müssen Sie den Geltungsbereich der DirectAccess-IPsec-Richtlinie mit dem folgenden Windows PowerShell-Befehl manuell anpassen:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionDie IPsec-Richtlinien, die bei diesem Befehl verwendet werden, tragen die Namen DirectAccess-DaServerToInfra und DirectAccess-DaServerToCorp.
Konfigurieren des Routings im Unternehmensnetzwerk
Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:
Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.
Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine veröffentlichte Route hinzu, damit jeglicher Datenverkehr mit einem IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.
Konfigurieren von Firewalls
Je nachdem, welche Netzwerkeinstellungen Sie bei der Verwendung zusätzlicher Firewalls in Ihrer Bereitstellung auswählen, wenden Sie die folgenden Firewallausnahmen für den Remotezugriffsdatenverkehr an:
Remotezugriffsserver im IPv4-Internet
Wenn sich der Remotezugriffsserver im IPv4-Internet befindet, wenden Sie die folgenden Internet-Firewallausnahmen für den Remotezugriffsdatenverkehr an:
Teredo-Datenverkehr
UDP-Zielport: 3544 eingehend, UDP-Quellport: 3544 ausgehend. Wenden Sie diese Ausnahme für beide aufeinanderfolgenden öffentlichen Internet-IPv4-Adressen auf dem Remotezugriffsserver an.
6to4-Datenverkehr
IP-Protokoll 41 eingehend und ausgehend. Wenden Sie diese Ausnahme für beide aufeinanderfolgenden öffentlichen Internet-IPv4-Adressen auf dem Remotezugriffsserver an.
IP-HTTPS-Datenverkehr
TCP-Zielport: 443, TCP-Quellport 443 ausgehend. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt. Wenden Sie diese Ausnahmen nur für die Adressen an, in die der externe Name des Servers aufgelöst wird.
Hinweis
Diese Ausnahme wird auf dem Remotezugriffsserver konfiguriert. Alle anderen Ausnahmen werden auf der Edgefirewall konfiguriert.
Remotezugriffsserver im IPv6-Internet
Wenn sich der Remotezugriffsserver im IPv6-Internet befindet, wenden Sie die folgenden Internet-Firewallausnahmen für den Remotezugriffsdatenverkehr an:
IP-Protokoll 50
UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.
ICMPv6-Datenverkehr eingehend und ausgehend – nur für Teredo-Implementierungen.
Remotezugriffsdatenverkehr
Wenden Sie die folgenden internen Netzwerk-Firewallausnahmen für den Remotezugriffsdatenverkehr an:
ISATAP: Protokoll 41 eingehend und ausgehend
TCP/UDP für den gesamten IPv4- oder IPv6-Datenverkehr
ICMP für den gesamten IPv4- oder IPv6-Datenverkehr
Konfigurieren von Zertifizierungsstellen und Zertifikaten
Beim Remotezugriff in Windows Server 2012 können Sie wahlweise Zertifikate für die Computerauthentifizierung oder die integrierte Kerberos-Authentifizierung mit Benutzernamen und Kennwörtern verwenden. Außerdem müssen Sie auf dem Remotezugriffsserver ein IP-HTTPS-Zertifikat konfigurieren. In diesem Abschnitt wird erklärt, wie Sie diese Zertifikate konfigurieren.
Informationen zum Einrichten einer Public Key-Infrastruktur (PKI) finden Sie unter Active Directory-Zertifikatdienste.
Konfigurieren der IPsec-Authentifizierung
Auf dem Remotezugriffsserver und allen DirectAccess-Clients ist ein Zertifikat erforderlich, damit sie die IPsec-Authentifizierung verwenden können. Das Zertifikat muss von einer internen Zertifizierungsstelle ausgestellt werden. Remotezugriffsserver und DirectAccess-Clients müssen der Zertifizierungsstelle vertrauen, die das Stamm- und Zwischenzertifikate ausstellt.
So konfigurieren Sie die IPsec-Authentifizierung
Entscheiden Sie in der internen Zertifizierungsstelle, ob Sie die standardmäßige Computerzertifikatvorlage verwenden oder, wie unter Erstellen von Zertifikatvorlagen beschrieben, eine neue Zertifikatvorlage erstellen möchten.
Hinweis
Wenn Sie eine neue Vorlage erstellen, müssen Sie sie für die Clientauthentifizierung konfigurieren.
Stellen Sie bei Bedarf die Zertifikatvorlage bereit. Weitere Informationen finden Sie unter Bereitstellen von Zertifikatvorlagen.
Konfigurieren Sie die Zertifikatvorlage bei Bedarf für die automatische Registrierung.
Konfigurieren Sie bei Bedarf die automatische Registrierung von Zertifikaten. Weitere Informationen finden Sie unter Konfigurieren der automatischen Zertifikatregistrierung.
Konfigurieren von Zertifikatvorlagen
Wenn Sie zum Ausstellen von Zertifikaten eine interne Zertifizierungsstelle verwenden, müssen Sie Zertifikatvorlagen für das IP-HTTPS-Zertifikat und das Netzwerkadressenserver-Websitezertifikat konfigurieren.
So konfigurieren Sie eine Zertifikatvorlage
Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.
Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.
Wenn Sie die Vorlagen erstellt haben, können Sie mit ihnen die Zertifikate konfigurieren. Genauere Informationen finden Sie in den folgenden Themen:
Konfigurieren des IP-HTTPS-Zertifikats
Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:
Public
Von einem Drittanbieter bereitgestellt.
Privat
Das Zertifikat basiert auf der Zertifikatvorlage, die Sie unter Konfigurieren von Zertifikatvorlagen erstellt haben. Es erfordert einen Verteilungspunkt für die Zertifikatssperrliste, der über einen öffentlich auflösbaren FQDN erreichbar bist.
Selbstsigniert
Dieses Zertifikat erfordert einen Verteilungspunkt für die Zertifikatssperrliste, der über einen öffentlich auflösbaren FQDN erreichbar ist.
Hinweis
Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.
Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:
Der Name des Zertifikatantragstellers sollte der externe auflösbare FQDN der IP-HTTPS-URL (der ConnectTo-Adresse) sein, die nur für die IP-HTTPS-Verbindungen des Remotezugriffsservers verwendet wird.
Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.
Geben Sie im Feld „Antragsteller“ die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder den FQDN der IP-HTTPS-URL an.
Geben Sie im Feld Erweiterte Schlüsselverwendung die Serverauthentifizierungs-Objektkennung (OID) an.
Geben Sie im Feld Sperrlisten-Verteilungspunkte einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.
Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.
Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.
Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.
So installieren Sie das IP-HTTPS-Zertifikat von einer internen Zertifizierungsstelle
Auf dem RAS-Server: Geben Sie auf dem Bildschirm Start die Zeichenfolge mmc.exe ein, und drücken Sie anschließend die EINGABETASTE.
Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.
Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.
Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.
Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, klicken Sie auf Neues Zertifikat anfordern und anschließend zweimal auf Weiter.
Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die unter Konfigurieren von Zertifikatvorlagen erstellte Zertifikatvorlage und klicken Sie bei Bedarf auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.
Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.
Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.
Wählen Sie unter Alternativer Name für Typ die Option DNS aus.
Geben Sie im Feld Wert die IPv4-Adresse des externen Adapters des Remotezugriffsservers oder die FQDN der IP-HTTPS-URL an und klicken Sie anschließend auf Hinzufügen.
Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.
Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.
Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.
Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, dass das neue Zertifikat mit dem beabsichtigten Zweck der Serverauthentifizierung registriert wurde.
Konfigurieren des DNS-Servers
Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.
So fügen Sie den Netzwerkadressenserver und den Webtest hinzu
Geben Sie auf dem DNS-Server des internen Netzwerks auf dem Bildschirm Startdnsmgmt.msc ein, und drücken Sie die Eingabetaste.
Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne und anschließend auf Neuer Host (A oder AAAA).
Geben Sie im Dialogfeld Neuer Host im Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen für die Netzwerkadressenserver-Website (mit diesem Namen verbinden sich die DirectAccess-Clients mit dem Netzwerkadressenserver) ein. Geben Sie im Feld IP-Adresse die IPv4-Adresse des Netzwerkadressenservers ein. Klicken Sie dann auf Host hinzufügen und anschließend auf OK.
Geben Sie im Dialogfeld Neuer Host im Feld Name (bei Nichtangabe wird übergeordnete Domäne verwendet) den DNS-Namen des Webtests ein (der Name für Standard-Webtests lautet directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen.
Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld DNS auf OK.
Klicken Sie auf Fertig.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:
Den IP-HTTPS-Server
DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remotezugriffsservers aus dem Internet aufzulösen.
Sperrüberprüfungen der Zertifikatsperrliste
DirectAccess verwendet Zertifikatsperrüberprüfungen für die IP-HTTPS-Verbindung zwischen den DirectAccess-Clients und dem Remotezugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressenserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.
ISATAP
ISATAP verwendet Tunnel, damit DirectAccess-Clients über das IPv4-Internet eine Verbindung zum Remotezugriffsserver aufbauen können, dabei werden die IPv6-Pakete in einem IPv4-Header eingekapselt. Es kann vom Remotezugriff verwendet werden, um IPv6-Konnektivität mit ISATAP-Hosts im gesamten Intranet bereitzustellen. In einer nicht nativen IPv6-Umgebung konfiguriert sich der Remotezugriffsserver selbst als ISATAP-Router. Auflösungsunterstützung für den ISATAP-Namen ist nicht erforderlich.
Konfigurieren von Active Directory
Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:
Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.
Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.
Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.
So fügen Sie den RAS-Server einer Domäne hinzu
Klicken Sie im Server-Manager auf Lokaler Server. Klicken Sie im Detailbereich auf den Link neben Computername.
Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Computername und klicken Sie dann auf Ändern.
Wenn Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern, geben Sie im Feld Computername den Namen des Computers ein. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, der der Server beitreten soll (z. B. corp. contoso.com). Klicken Sie dann auf OK.
Wenn Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der zum Ausführen der Serverbeitritte zur Domäne berechtigt ist. Klicken Sie dann auf OK.
Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.
Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.
Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.
Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.
So fügen Sie Clientcomputer zur Domäne hinzu
Geben Sie auf dem Startbildschirm die Zeichenfolge explorer.exe ein, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.
Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.
Wenn Sie beim Beitritt des Servers zur Domäne auch den Computernamen ändern, geben Sie im Feld Computername den Namen des Computers ein. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll (z. B. corp.contoso.com), und klicken Sie dann auf OK.
Wenn Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der zum Ausführen der Serverbeitritte zur Domäne berechtigt ist. Klicken Sie dann auf OK.
Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.
Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.
Klicken Sie im Dialogfeld Systemeigenschaften auf „Schließen“.
Klicken Sie bei Aufforderung auf Jetzt neu starten.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Hinweis
Sie müssen die Anmeldeinformationen für die Domäne angeben, wenn Sie den folgenden Befehl eingegeben haben.
Add-Computer -DomainName <domain_name>
Restart-Computer
Konfigurieren der Gruppenrichtlinienobjekte
Um Remotezugriff bereitzustellen, benötigen Sie mindestens zwei Gruppenrichtlinienobjekte. Ein Gruppenrichtlinienobjekt enthält die Einstellungen für den Remotezugriffsserver, und eines enthält die Einstellungen für DirectAccess-Clientcomputer. Wenn Sie Remotezugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinienobjekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügen, müssen sie erstellt werden, bevor Remotezugriff konfiguriert wird.
Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinienobjekts.
Ein Administrator kann die DirectAccess-Gruppenrichtlinienobjekte manuell mit einer Organisationseinheit verknüpfen. Beachten Sie Folgendes:
Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.
Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.
Die Gruppenrichtlinienobjekte werden automatisch konfiguriert, unabhängig davon, ob der Administrator zum Verknüpfen der Gruppenrichtlinienobjekte mit der Domäne berechtigt ist.
Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt, aber sie werden nicht mit der Domäne verknüpft.
Bei Server-Gruppenrichtlinienobjekten muss die Organisationseinheit das Servercomputerobjekt enthalten. Andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.
Wenn die Organisationseinheit nicht bereits nach Abschluss der Konfiguration mit dem DirectAccess-Setup-Assistenten verknüpft wurde, kann der Administrator die DirectAccess-Gruppenrichtlinienobjekte mit den erforderlichen Organisationseinheiten verknüpfen und die Verknüpfung mit der Domäne entfernen.
Weitere Informationen finden Sie unter Verknüpfen eines Gruppenrichtlinienobjekts.
Hinweis
Wenn ein Gruppenrichtlinienobjekt manuell erstellt wurde, kann es vorkommen, dass dieses Gruppenrichtlinienobjekt bei der DirectAccess-Konfiguration nicht verfügbar ist. Das Gruppenrichtlinienobjekt wurde möglicherweise auf dem Domänencontroller repliziert, der dem Verwaltungscomputer am nächsten ist. Der Administrator kann warten, bis die Replikation abgeschlossen ist, oder die Replikation erzwingen.
Konfigurieren von Sicherheitsgruppen
Die DirectAccess-Einstellungen, die im Gruppenrichtlinienobjekt des Clientcomputers enthalten sind, werden nur auf Computer angewendet, die der Sicherheitsgruppe angehören, die Sie bei der Konfiguration des Remotezugriffs angeben.
So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients
Geben Sie auf dem Bildschirm Start die Zeichenfolge dsa.msc ein, und drücken Sie anschließend die EINGABETASTE.
Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.
Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.
Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.
Doppelklicken Sie auf die Sicherheitsgruppe „DirectAccess-Clientcomputer“, und klicken Sie dann im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder.
Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.
Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.
Äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
Konfigurieren des Netzwerkadressenservers
Der Netzwerkadressenserver sollte ein Server mit hoher Verfügbarkeit sein und benötigt ein gültiges SSL-Zertifikat, dem DirectAccess-Clients vertrauen.
Hinweis
Wenn Sie die Netzwerkadressenserver-Website auf dem Remotezugriffsserver befindet, wird bei der Konfiguration des Remotezugriffs automatisch eine Website erstellt und an das angegebene Serverzertifikat gebunden.
Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:
Privat
Hinweis
Das Zertifikat basiert auf der Zertifikatvorlage, die Sie unter Konfigurieren von Zertifikatvorlagen erstellt haben.
Selbstsigniert
Hinweis
Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.
Gleich, ob Sie ein privates Zertifikat oder ein selbstsigniertes Zertifikat verwenden, beide benötigen Folgendes:
Ein Websitezertifikat für den Netzwerkadressenserver. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.
Einen Sperrlisten-Verteilungspunkt mit hoher Verfügbarkeit im internen Netzwerk.
So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen Zertifizierungsstelle
Geben Sie auf dem Server, der die Website des Netzwerkadressenservers hostet, auf dem Bildschirm Start die Zeichenfolge mmc.msc ein, und drücken Sie anschließend die EINGABETASTE.
Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.
Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.
Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.
Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, klicken Sie auf Neues Zertifikat anfordern und anschließend zweimal auf Weiter.
Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die unter Konfigurieren von Zertifikatvorlagen erstellte Zertifikatvorlage und klicken Sie bei Bedarf auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.
Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.
Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.
Wählen Sie unter Alternativer Name für Typ die Option DNS aus.
Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.
Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.
Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.
Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, dass das neue Zertifikat mit dem beabsichtigten Zweck der Serverauthentifizierung registriert wurde.
So konfigurieren Sie den Netzwerkadressenserver
Richten Sie eine Website auf einem Server mit hoher Verfügbarkeit ein. Für die Website sind keine Inhalte erforderlich, für einen Test sollten Sie jedoch eine Standardseite definieren, die eine Meldung anzeigt, wenn Clients eine Verbindung zu der Website aufbauen.
Dieser Schritt ist nicht erforderlich, wenn die Netzwerkadressenserver-Website auf dem Remotezugriffsserver gehostet wird.
Binden Sie ein HTTPS-Serverzertifikate an die Website. Der allgemeine Name des Zertifikats sollte mit dem Namen der Netzwerkadressenserver-Website übereinstimmen. Vergewissern Sie sich, dass die DirectAccess-Clients der ausstellenden Zertifizierungsstelle vertrauen.
Dieser Schritt ist nicht erforderlich, wenn die Netzwerkadressenserver-Website auf dem Remotezugriffsserver gehostet wird.
Richten Sie eine Zertifikatssperrlisten-Website mit hoher Verfügbarkeit im internen Netzwerk ein.
Auf die Sperrlisten-Verteilungspunkte wurde folgendermaßen zugegriffen:
Webserver, die eine HTTP-basierte URL verwenden, z. B.: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
Dateiserver, auf die über einen UNC-Pfad (Universal Naming Convention) zugegriffen wird, Beispiel: \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Wenn der interne Verteilungspunkt für die Zertifikatssperrliste nur über IPv6 erreichbar ist, müssen Sie eine Windows-Firewall mit der erweiterten Sicherheitsregel für Verbindungen konfigurieren. Dadurch wird der IPsec-Schutz vom IPv6-Adressraum Ihres Intranets an die IPv6-Adressen Ihrer Zertifikatssperrlisten-Verteilungspunkte ausgenommen.
Stellen Sie sicher, dass die DirectAccess-Clients im internen Netzwerk den Namen des Netzwerkadressenservers auflösen und die DirectAccess-Clients im Internet den Namen auflösen können.