Schritt 1 Konfigurieren der Remote Zugriffs InfrastrukturStep 1 Configure the Remote Access Infrastructure

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Hinweis: Durch Windows Server 2012 werden DirectAccess und RRAS (Routing and Remote Access Service, Routing- und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst.Note: Windows Server 2012 combines DirectAccess and Routing and Remote Access Service (RRAS) into a single Remote Access role.

In diesem Thema wird beschrieben, wie Sie die Infrastruktur konfigurieren, die für eine erweiterte Remote Zugriffs Bereitstellung mit einem einzelnen Remote Zugriffs Server in einer gemischten IPv4-und IPv6-Umgebung erforderlich ist.This topic describes how to configure the infrastructure that is required for an advanced Remote Access deployment using a single Remote Access server in a mixed IPv4 and IPv6 environment. Vergewissern Sie sich vor Beginn der Bereitstellungs Schritte, dass Sie die in Schritt 1: Planen der Remote Zugriffs Infrastrukturbeschriebenen Planungsschritte abgeschlossen haben.Before beginning the deployment steps, ensure that you have completed the planning steps described in Step 1: Plan the Remote Access Infrastructure.

AufgabeTask BESCHREIBUNGDescription
Konfigurieren von ServernetzwerkeinstellungenConfigure server network settings Konfigurieren Sie die Servernetzwerkeinstellungen auf dem Remotezugriffsserver.Configure the server network settings on the Remote Access server.
Konfigurieren des Routings im UnternehmensnetzwerkConfigure routing in the corporate network Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird.Configure routing in the corporate network to make sure traffic is appropriately routed.
Konfigurieren von FirewallsConfigure firewalls Konfigurieren Sie bei Bedarf zusätzliche Firewalls.Configure additional firewalls, if required.
Konfigurieren von Zertifizierungsstellen und ZertifikatenConfigure CAs and certificates Konfigurieren Sie bei Bedarf eine Zertifizierungsstelle (Certification Authority, ca) und alle anderen Zertifikat Vorlagen, die in der Bereitstellung erforderlich sind.Configure a certification authority (CA), if required, and any other certificate templates required in the deployment.
Konfigurieren des DNS-ServersConfigure the DNS server Konfigurieren Sie DNS-Einstellungen für den Remotezugriffsserver.Configure DNS settings for the Remote Access server.
Konfigurieren von Active DirectoryConfigure Active Directory Fügen Sie Client Computer und RAS-Server der Active Directory Domäne hinzu.Join client computers and the Remote Access server to the Active Directory domain.
Konfigurieren der GruppenrichtlinienobjekteConfigure GPOs Konfigurieren Sie bei Bedarf Gruppenrichtlinie Objekte (GPOs) für die Bereitstellung.Configure Group Policy Objects (GPOs) for the deployment, if required.
Konfigurieren von SicherheitsgruppenConfigure security groups Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind.Configure security groups that will contain DirectAccess client computers, and any other security groups that are required in the deployment.
Konfigurieren des NetzwerkadressenserversConfigure the network location server Konfigurieren Sie den Netzwerkadressenserver, dazu gehört auch die Installation des Netzwerkadressenserver-Websitezertifikats.Configure the network location server, including installing the network location server website certificate.

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können.This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. Weitere Informationen finden Sie unter Verwenden von Cmdlets.For more information, see Using Cmdlets.

Konfigurieren von ServernetzwerkeinstellungenConfigure server network settings

Abhängig davon, ob Sie den Remote Zugriffs Server am Rand oder hinter einem NAT-Gerät (Network Address Translation, Netzwerk Adressübersetzung) platzieren möchten, sind die folgenden Einstellungen für die Netzwerkschnittstellen Adresse für eine einzelne Server Bereitstellung in einer Umgebung mit IPv4 und IPv6 erforderlich.Depending on if you decide to place the Remote Access server at the edge or behind a Network Address Translation (NAT) device, the following network interface address settings are required for a single server deployment in an environment with IPv4 and IPv6. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.All IP addresses are configured by using Change adapter settings in the Windows Networking and Sharing Center.

Edge-Topologie:Edge topology:

Folgendes wird benötigt:Requires the following:

  • Zwei aufeinander folgende öffentliche statische IPv4-oder IPv6-Adressen mit Internet Zugriff.Two Internet-facing consecutive public static IPv4 or IPv6 addresses.

    Hinweis

    Zwei aufeinander folgende öffentliche IPv4-Adressen sind für Teredo erforderlich.Two consecutive public IPv4 addresses are required for Teredo. Falls Sie Teredo nicht verwenden, können Sie eine einzelne, öffentliche, statische IPv4-Adresse konfigurieren.If you are not using Teredo, you can configure a single public static IPv4 address.

  • Eine einzelne, interne, statische IPv4- oder IPv6-AdresseA single internal static IPv4 or IPv6 address.

Hinter dem NAT-Gerät (zwei Netzwerkadapter):Behind NAT device (two network adapters):

Erfordert eine einzelne, interne, statische IPv4-oder IPv6-Adresse mit Netzwerk Zugriff.Requires a single internal network-facing static IPv4 or IPv6 address.

Hinter dem NAT-Gerät (ein Netzwerkadapter):Behind NAT device (one network adapter):

Erfordert eine einzelne statische IPv4-oder IPv6-Adresse.Requires a single static IPv4 or IPv6 address.

Wenn der RAS-Server über zwei Netzwerkadapter verfügt (eine für das Domänen Profil und die andere für ein öffentliches oder privates Profil), aber Sie eine einzelne Netzwerkadapter Topologie verwenden, lautet die Empfehlung wie folgt:If the Remote Access server has two network adapters (one for the domain profile and the other for a public or private profile), but you are using a single network adapter topology, the recommendation is as follows:

  1. Stellen Sie sicher, dass der zweite Netzwerkadapter ebenfalls im Domänen Profil klassifiziert ist.Ensure that the second network adapter is also classified in the domain profile.

  2. Wenn der zweite Netzwerkadapter aus irgendeinem Grund nicht für das Domänen Profil konfiguriert werden kann, muss die DirectAccess IPSec-Richtlinie mithilfe des folgenden Windows PowerShell-Befehls manuell auf alle Profile festgelegt werden:If the second network adapter cannot be configured for the domain profile for any reason, the DirectAccess IPsec policy must be manually scoped to all profiles by using the following Windows PowerShell command:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
    Save-NetGPO -GPOSession $gposession
    

    Die Namen der IPSec-Richtlinien, die in diesem Befehl verwendet werden sollen, sind DirectAccess-daservertoinfraund DirectAccess-DaServerToCorp.The names of the IPsec policies to use in this command are DirectAccess-DaServerToInfra and DirectAccess-DaServerToCorp.

Konfigurieren des Routings im UnternehmensnetzwerkConfigure routing in the corporate network

Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:Configure routing in the corporate network as follows:

  • Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.When native IPv6 is deployed in the organization, add a route so that the routers on the internal network route IPv6 traffic back through the Remote Access server.

  • Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern.Manually configure organization IPv4 and IPv6 routes on the Remote Access servers. Fügen Sie eine veröffentlichte Route hinzu, sodass der gesamte Datenverkehr mit dem IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird.Add a published route so that all traffic with an (/48) IPv6 prefix is forwarded to the internal network. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.In addition, for IPv4 traffic, add explicit routes so that IPv4 traffic is forwarded to the internal network.

Konfigurieren von FirewallsConfigure firewalls

Wenden Sie die folgenden Firewallausnahmen für RAS-Datenverkehr an, je nachdem, welche Netzwerkeinstellungen Sie ausgewählt haben.Depending on the network settings you chose, when you use additional firewalls in your deployment, apply the following firewall exceptions for Remote Access traffic:

RAS-Server im IPv4-InternetRemote Access server on IPv4 Internet

Wenden Sie die folgenden Firewallausnahmen mit Internet Zugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:Apply the following Internet-facing firewall exceptions for Remote Access traffic when the Remote Access server is on the IPv4 Internet:

  • Teredo-DatenverkehrTeredo traffic

    UDP-Zielport 3544 (User Datagram Protocol) eingehend und UDP-Quellport 3544 ausgehend.User Datagram Protocol (UDP) destination port 3544 inbound, and UDP source port 3544 outbound. Wenden Sie diese Ausnahme für beide aufeinander folgenden öffentlichen IPv4-Adressen auf dem Remote Zugriffs Server an.Apply this exemption for both of the Internet-facing consecutive public IPv4 addresses on the Remote Access server.

  • IPv6-zu-IPv4-Verkehr6to4 traffic

    IP-Protokoll 41 eingehend und ausgehend.IP Protocol 41 inbound and outbound. Wenden Sie diese Ausnahme für beide aufeinander folgenden öffentlichen IPv4-Adressen auf dem Remote Zugriffs Server an.Apply this exemption for both of the Internet-facing consecutive public IPv4 addresses on the Remote Access server.

  • IP-HTTPS-DatenverkehrIP-HTTPS traffic

    Der TCP-Zielport 443 (Transmission Control Protocol) und der TCP-Quellport 443 ausgehend.Transmission Control Protocol (TCP) destination port 443, and TCP source port 443 outbound. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.When the Remote Access server has a single network adapter, and the network location server is on the Remote Access server, then TCP port 62000 is also required. Wenden Sie diese Ausnahmen nur auf die Adresse an, auf die der externe Name des Servers aufgelöst wird.Apply these exemptions only for the address to which the external name of the server resolves.

    Hinweis

    Diese Ausnahme wird auf dem Remote Zugriffs Server konfiguriert.This exemption is configured on the Remote Access server. Alle anderen Ausnahmen werden auf der Edge-Firewall konfiguriert.All the other exemptions are configured on the edge firewall.

RAS-Server im IPv6-InternetRemote Access server on IPv6 Internet

Wenden Sie die folgenden Firewallausnahmen mit Internet Zugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:Apply the following Internet-facing firewall exceptions for Remote Access traffic when the Remote Access server is on the IPv6 Internet:

  • IP-Protokoll 50IP Protocol 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.UDP destination port 500 inbound, and UDP source port 500 outbound.

  • Internet Control Message Protocol für IPv6 (ICMPv6)-Datenverkehr eingehend und ausgehend: nur für Teredo-Implementierungen.Internet Control Message Protocol for IPv6 (ICMPv6) traffic inbound and outbound - for Teredo implementations only.

RAS-DatenverkehrRemote Access traffic

Wenden Sie die folgenden internen netzwerkfirewallausnahmen für RAS-Datenverkehr an:Apply the following internal network firewall exceptions for Remote Access traffic:

  • ISATAP: eingehende und ausgehende Protokolle 41ISATAP: Protocol 41 inbound and outbound

  • TCP/UDP für den gesamten IPv4-oder IPv6-DatenverkehrTCP/UDP for all IPv4 or IPv6 traffic

  • ICMP für den gesamten IPv4-oder IPv6-DatenverkehrICMP for all IPv4 or IPv6 traffic

Konfigurieren von Zertifizierungsstellen und ZertifikatenConfigure CAs and certificates

Mit dem Remote Zugriff in Windows Server 2012 können Sie zwischen der Verwendung von Zertifikaten für die Computer Authentifizierung oder der Verwendung einer integrierten Kerberos-Authentifizierung mit Benutzernamen und Kenn Wörtern wählen.With Remote Access in Windows Server 2012 , you to choose between using certificates for computer authentication or using a built-in Kerberos authentication that uses user names and passwords. Außerdem müssen Sie ein IP-HTTPS-Zertifikat auf dem Remote Zugriffs Server konfigurieren.You must also configure an IP-HTTPS certificate on the Remote Access server. In diesem Abschnitt wird erläutert, wie diese Zertifikate konfiguriert werden.This section explains how to configure these certificates.

Weitere Informationen zum Einrichten einer Public Key-Infrastruktur (PKI) finden Sie unter Active Directory Certificate Services.For information about setting up a public key infrastructure (PKI), see Active Directory Certificate Services.

Konfigurieren der IPSec-AuthentifizierungConfigure IPsec authentication

Auf dem RAS-Server und allen DirectAccess-Clients ist ein Zertifikat erforderlich, damit die IPSec-Authentifizierung verwendet werden kann.A certificate is required on the Remote Access server and all DirectAccess clients so that they can use IPsec authentication. Das Zertifikat muss von einer internen Zertifizierungsstelle (Certification Authority, ca) ausgestellt werden.The certificate must be issued by an internal certification authority (CA). RAS-Server und DirectAccess-Clients müssen der Zertifizierungsstelle vertrauen, die die Stamm-und zwischen Zertifikate ausgibt.Remote Access servers and DirectAccess clients must trust the CA that issues the root and intermediate certificates.

So konfigurieren Sie die IPsec-AuthentifizierungTo configure IPsec authentication
  1. Entscheiden Sie sich bei der internen Zertifizierungsstelle, ob Sie die standardmäßige Computer Zertifikat Vorlage verwenden möchten, oder wenn Sie eine neue Zertifikat Vorlage erstellen möchten, wie unter Erstellen von Zertifikat Vorlagenbeschrieben.On the internal CA, decide if you will use the default computer certificate template, or if you will create a new certificate template as described in Creating Certificate Templates.

    Hinweis

    Wenn Sie eine neue Vorlage erstellen, muss Sie für die Client Authentifizierung konfiguriert werden.If you create a new template, it must be configured for client authentication.

  2. Stellen Sie die Zertifikat Vorlage bei Bedarf bereit.Deploy the certificate template if required. Weitere Informationen finden Sie unter Bereitstellen von Zertifikatvorlagen.For more information, see Deploying Certificate Templates.

  3. Konfigurieren Sie bei Bedarf die Vorlage für die automatische Registrierung.Configure the template for autoenrollment if required.

  4. Konfigurieren Sie bei Bedarf die automatische Zertifikat Registrierung.Configure certificate autoenrollment if required. Weitere Informationen finden Sie unter Konfigurieren der automatischen Zertifikatregistrierung.For more information, see Configure Certificate Autoenrollment.

Konfigurieren von ZertifikatvorlagenConfigure certificate templates

Wenn Sie eine interne Zertifizierungsstelle zum Ausstellen von Zertifikaten verwenden, müssen Sie Zertifikat Vorlagen für das IP-HTTPS-Zertifikat und das Netzwerkadressen Server-Website Zertifikat konfigurieren.When you use an internal CA to issue certificates, you must configure certificate templates for the IP-HTTPS certificate and the network location server website certificate.

So konfigurieren Sie eine ZertifikatvorlageTo configure a certificate template
  1. Erstellen Sie eine Zertifikatvorlage für die interne Zertifizierungsstelle, wie beschrieben in Erstellen von Zertifikatvorlagen.On the internal CA, create a certificate template as described in Creating Certificate Templates.

  2. Stellen Sie die Zertifikatvorlage wie unter Deploying Certificate Templatesbeschrieben bereit.Deploy the certificate template as described in Deploying Certificate Templates.

Nachdem Sie Ihre Vorlagen vorbereitet haben, können Sie Sie zum Konfigurieren der Zertifikate verwenden.After you prepare your templates, you can use them to configure the certificates. Weitere Informationen finden Sie in den folgenden Prozeduren:See the following procedures for details:

Konfigurieren des IP-HTTPS-ZertifikatsConfigure the IP-HTTPS certificate

Für den Remotezugriff ist zum Authentifizieren von IP-HTTPS-Verbindungen mit dem Remotezugriffsserver ein IP-HTTPS-Zertifikat erforderlich.Remote Access requires an IP-HTTPS certificate to authenticate IP-HTTPS connections to the Remote Access server. Für das IP-HTTPS-Zertifikat sind drei Zertifikatoptionen verfügbar:There are three certificate options for the IP-HTTPS certificate:

  • PublicPublic

    Wird von einem Drittanbieter bereitgestellt.Supplied by a third party.

  • PrivatPrivate

    Das Zertifikat basiert auf der Zertifikat Vorlage, die Sie in Konfigurieren von Zertifikat Vorlagenerstellt haben.The certificate is based on the certificate template that you created in Configuring certificate templates. Hierfür ist ein Zertifikat Sperr Listen-Verteilungs Punkt erforderlich, der über einen öffentlich auflösbaren FQDN erreichbar ist.It requires, a certificate revocation list (CRL) distribution point that is reachable from a publicly resolvable FQDN.

  • Selbst signiertSelf-signed

    Für dieses Zertifikat ist ein CRL-Verteilungs Punkt erforderlich, der über einen öffentlich auflösbaren FQDN erreichbar ist.This certificate requires a CRL distribution point that is reachable from a publicly resolvable FQDN.

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.Self-signed certificates cannot be used in multisite deployments.

Stellen Sie sicher, dass das für die IP-HTTPS-Authentifizierung verwendete Websitezertifikat die folgenden Anforderungen erfüllt:Make sure that the website certificate used for IP-HTTPS authentication meets the following requirements:

  • Der Name des Zertifikat Antragstellers sollte der extern auflösbare voll qualifizierte Domänen Name (FQDN) der IP-HTTPS-URL (die ConnectTo-Adresse) sein, die nur für die IP-HTTPS-Verbindungen des RAS-Servers verwendet wird.The certificate subject name should be the externally resolvable fully qualified domain name (FQDN) of the IP-HTTPS URL (the ConnectTo address) that is used only for the Remote Access server IP-HTTPS connections.

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.The common name of the certificate should match the name of the IP-HTTPS site.

  • Geben Sie im Feld Betreff die IPv4-Adresse des externen Adapters des Remote Zugriffs Servers oder den voll qualifizierten Namen der IP-HTTPS-URL an.In the subject field, specify the IPv4 address of the external-facing adapter of the Remote Access server or the FQDN of the IP-HTTPS URL.

  • Verwenden Sie für das Feld Erweiterte Schlüssel Verwendung die Serverauthentifizierungs-Objekt Kennung (OID).For the Enhanced Key Usage field, use the Server Authentication object identifier (OID).

  • Geben Sie im Feld Sperrlisten-Verteilungspunkte einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.For the CRL Distribution Points field, specify a CRL distribution point that is accessible by DirectAccess clients that are connected to the Internet.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.The IP-HTTPS certificate must have a private key.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.The IP-HTTPS certificate must be imported directly into the personal store.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.IP-HTTPS certificates can have wildcard characters in the name.

So installieren Sie das IP-HTTPS-Zertifikat von einer internen ZertifizierungsstelleTo install the IP-HTTPS certificate from an internal CA
  1. Auf dem Remote Zugriffs Server: Geben Sie auf dem Start Bildschirm mmc.exe ein, und drücken Sie dann die EINGABETASTE.On the Remote Access server: On the Start screen, type mmc.exe, and then press ENTER.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.In the Add or Remove Snap-ins dialog box, click Certificates, click Add, click Computer account, click Next, click Local computer, click Finish, and then click OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf alle Aufgaben, klicken Sie auf Neues Zertifikat anfordern, und klicken Sie dann zweimal auf weiter .Right-click Certificates, point to All Tasks, click Request New Certificate, and then click Next twice..

  6. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikat Vorlage, die Sie unter Konfigurieren von Zertifikat Vorlagen erstellt haben, und klicken Sie bei Bedarf auf Weitere Informationen, die für die Registrierung dieses Zertifikats erforderlich sind.On the Request Certificates page, select the check box for the certificate template that you created in Configuring certificate templates, and if required, click More information is required to enroll for this certificate.

  7. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.In the Certificate Properties dialog box, on the Subject tab, in the Subject name area, in Type, select Common Name.

  8. Geben Sie unter Wert die IPv4-Adresse des externen Adapters des Remote Zugriffs Servers oder den voll qualifizierten Namen der IP-HTTPS-URL an, und klicken Sie dann auf Hinzufügen.In Value, specify the IPv4 address of the external-facing adapter of the Remote Access server, or the FQDN of the IP-HTTPS URL, and then click Add.

  9. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.In the Alternative name area, in Type, select DNS.

  10. Geben Sie unter Wert die IPv4-Adresse des externen Adapters des Remote Zugriffs Servers oder den voll qualifizierten Namen der IP-HTTPS-URL an, und klicken Sie dann auf Hinzufügen.In Value, specify the IPv4 address of the external-facing adapter of the Remote Access server, or the FQDN of the IP-HTTPS URL, and then click Add.

  11. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.On the General tab, in Friendly name, you can enter a name that will help you identify the certificate.

  12. Klicken Sie auf der Registerkarte Erweiterungen auf den Pfeil neben dem Feld Erweiterte Schlüsselverwendung und vergewissern Sie sich, dass in der Liste Ausgewählte Optionen Serverauthentifizierung angezeigt wird.On the Extensions tab, next to Extended Key Usage, click the arrow, and make sure that Server Authentication is in the Selected options list.

  13. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.Click OK, click Enroll, and then click Finish.

  14. Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, ob das neue Zertifikat mit dem beabsichtigten Zweck der Server Authentifizierung registriert wurde.In the details pane of the Certificates snap-in, verify that the new certificate was enrolled with the intended purpose of server authentication.

Konfigurieren des DNS-ServersConfigure the DNS server

Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.You must manually configure a DNS entry for the network location server website for the internal network in your deployment.

So fügen Sie den Netzwerkadressen Server und den Webtest hinzuTo add the network location server and web probe

  1. Auf dem internen Netzwerk-DNS-Server: Geben Sie auf dem Start Bildschirm dnsmgmt. msc ein, und drücken Sie dann die EINGABETASTE.On the internal network DNS server: On the Start screen, type dnsmgmt.msc, and then press ENTER.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne.In the left pane of the DNS Manager console, expand the forward lookup zone for your domain. Klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie auf neuer Host (A oder AAAA).Right-click the domain, and click New Host (A or AAAA).

  3. Geben Sie im Dialogfeld neuer Host in das Feld Name (verwendet übergeordneter Domänen Name) den DNS-Namen für die Netzwerkadressen Server-Website ein (der Name, der von den DirectAccess-Clients zum Herstellen einer Verbindung mit dem Netzwerkadressen Server verwendet wird).In the New Host dialog box, in the Name (uses parent domain name if blank) box, enter the DNS name for the network location server website (this is the name the DirectAccess clients use to connect to the network location server). Geben Sie im Feld IP-Adresse die IPv4-Adresse des Netzwerkadressen Servers ein, klicken Sie auf Host hinzufügen, und klicken Sie dann auf OK.In the IP address box, enter the IPv4 address of the network location server, and click Add Host, and then click OK.

  4. Geben Sie im Dialogfeld neuer Host in das Feld Name (verwendet übergeordneter Domänen Name, falls leer) den DNS-Namen für den Webtest ein (der Name für den Standardweb Test ist DirectAccess-WebProbe Host).In the New Host dialog box, in the Name (uses parent domain name if blank) box, enter the DNS name for the web probe (the name for the default web probe is directaccess-webprobehost). Geben Sie in das Feld IP-Adresse die IPv4-Adresse des Webtests ein und klicken Sie dann auf Host hinzufügen.In the IP address box, enter the IPv4 address of the web probe, and then click Add Host.

  5. Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer.Repeat this process for directaccess-corpconnectivityhost and any manually created connectivity verifiers. Klicken Sie im Dialogfeld DNS auf OK.In the DNS dialog box, click OK.

  6. Klicken Sie auf Fertig.Click Done.

Äquivalente Windows PowerShell-Befehle in WindowsPowerShellWindows PowerShellWindows PowerShell equivalent commands

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:You must also configure DNS entries for the following:

  • Den IP-HTTPS-ServerThe IP-HTTPS server

    DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remote Zugriffs Servers aus dem Internet aufzulösen.DirectAccess clients must be able to resolve the DNS name of the Remote Access server from the Internet.

  • Sperrüberprüfungen der ZertifikatsperrlisteCRL revocation checking

    DirectAccess verwendet Zertifikat Sperr Überprüfungen für die IP-HTTPS-Verbindung zwischen DirectAccess-Clients und dem RAS-Server sowie für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressen Server.DirectAccess uses certificate revocation checking for the IP-HTTPS connection between DirectAccess clients and the Remote Access server, and for the HTTPS-based connection between the DirectAccess client and the network location server. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.In both cases, DirectAccess clients must be able to resolve and access the CRL distribution point location.

  • ISATAPISATAP

    ISATAP (Inner Site Automatic Tunnel Adressierungs Protokoll) verwendet Tunnel, um DirectAccess-Clients das Herstellen einer Verbindung mit dem RAS-Server über das IPv4-Internet zu ermöglichen, wobei IPv6-Pakete in einem IPv4-Header gekapselt werden.Intrasite Automatic Tunnel Addressing Protocol (ISATAP) uses tunnels to enable DirectAccess clients to connect to the Remote Access server over the IPv4 Internet, encapsulating IPv6 packets within an IPv4 header. Es kann vom Remotezugriff verwendet werden, um IPv6-Konnektivität mit ISATAP-Hosts im gesamten Intranet bereitzustellen.It is used by Remote Access to provide IPv6 connectivity to ISATAP hosts across an intranet. In einer nicht systemeigenen IPv6-Netzwerkumgebung konfiguriert sich der RAS-Server automatisch als ISATAP-Router.In a non-native IPv6 network environment, the Remote Access server configures itself automatically as an ISATAP router. Auflösungsunterstützung für den ISATAP-Namen ist nicht erforderlich.Resolution support for the ISATAP name is required.

Konfigurieren von Active DirectoryConfigure Active Directory

Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden.The Remote Access server and all DirectAccess client computers must be joined to an Active Directory domain. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:DirectAccess client computers must be a member of one of the following domain types:

  • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.Domains that belong in the same forest as the Remote Access server.

  • Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.Domains that belong to forests with a two-way trust with the Remote Access server forest.

  • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.Domains that have a two-way domain trust to the Remote Access server domain.

So fügen Sie den RAS-Server einer Domäne hinzuTo join the Remote Access server to a domain

  1. Klicken Sie im Server-Manager auf Lokaler Server.In Server Manager, click Local Server. Klicken Sie im Detailbereich auf den Link neben Computername.In the details pane, click the link next to Computer name.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Computername und klicken Sie dann auf Ändern.In the System Properties dialog box, click the Computer Name tab, and then click Change.

  3. Geben Sie im Feld Computername den Namen des Computers ein, wenn Sie beim Hinzufügen des Servers zur Domäne auch den Computernamen ändern.In the Computer Name box, type the name of the computer if you are also changing the computer name when joining the server to the domain. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, der Sie den Server hinzufügen möchten (z. b. Corp.contoso.com), und klicken Sie dann auf OK.Under Member of, click Domain, and then type the name of the domain to which you want to join the server, (for example, corp.contoso.com), and then click OK.

  4. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen zum Hinzufügen von Computern zur Domäne ein, und klicken Sie dann auf OK.When you are prompted for a user name and password, enter the user name and password of a user with permissions to join computers to the domain, and then click OK.

  5. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.When you see a dialog box welcoming you to the domain, click OK.

  6. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.When you are prompted that you must restart the computer, click OK.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.In the System Properties dialog box, click Close.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.When you are prompted to restart the computer, click Restart Now.

So fügen Sie Clientcomputer zur Domäne hinzuTo join client computers to the domain

  1. Geben Sie auf dem Start Bildschirm explorer.exe ein, und drücken Sie dann die EINGABETASTE.On the Start screen, type explorer.exe, and then press ENTER.

  2. Klicken Sie mit der rechten Maustaste auf das Computersymbol und klicken Sie dann auf Eigenschaften.Right-click the Computer icon, and then click Properties.

  3. Klicken Sie auf der Seite System auf Erweiterte Systemeinstellungen.On the System page, click Advanced system settings.

  4. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.In the System Properties dialog box, on the Computer Name tab, click Change.

  5. Geben Sie im Feld Computername den Namen des Computers ein, wenn Sie beim Hinzufügen des Servers zur Domäne auch den Computernamen ändern.In the Computer name box, type the name of the computer if you are also changing the computer name when joining the server to the domain. Klicken Sie unter Mitglied von auf Domäne, und geben Sie dann den Namen der Domäne ein, für die der Beitritt des Servers durchgeführt werden soll (z. B. corp.contoso.com), und klicken Sie dann auf OK.Under Member of, click Domain, and then type the name of the domain to which you want to join the server (for example, corp.contoso.com), and then click OK.

  6. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen zum Hinzufügen von Computern zur Domäne ein, und klicken Sie dann auf OK.When you are prompted for a user name and password, enter the user name and password of a user with permissions to join computers to the domain, and then click OK.

  7. Klicken Sie auf OK, wenn das Begrüßungsdialogfeld für die Domäne angezeigt wird.When you see a dialog box welcoming you to the domain, click OK.

  8. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.When you are prompted that you must restart the computer, click OK.

  9. Klicken Sie im Dialogfeld System Eigenschaften auf schließen.In the System Properties dialog box, click Close.

  10. Klicken Sie bei Aufforderung auf Jetzt neu starten.Click Restart Now when prompted.

Äquivalente Windows PowerShell-Befehle in WindowsPowerShellWindows PowerShellWindows PowerShell equivalent commands

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Hinweis

Sie müssen Domänen Anmelde Informationen bereitstellen, nachdem Sie den folgenden Befehl eingegeben haben.You must supply domain credentials after you enter the following command.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurieren der GruppenrichtlinienobjekteConfigure GPOs

Zum Bereitstellen des Remote Zugriffs benötigen Sie mindestens zwei Gruppenrichtlinie Objekte.To deploy Remote Access, you require a minimum of two Group Policy Objects. Ein Gruppenrichtlinie Objekt enthält Einstellungen für den RAS-Server und eine enthält Einstellungen für DirectAccess-Client Computer.One Group Policy Object contains settings for the Remote Access server, and one contains settings for DirectAccess client computers. Wenn Sie den Remote Zugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinie Objekte.When you configure Remote Access, the wizard automatically creates the required Group Policy Objects. Wenn Ihre Organisation jedoch eine Benennungs Konvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinie Objekten verfügen, müssen Sie vor dem Konfigurieren des Remote Zugriffs erstellt werden.However, if your organization enforces a naming convention, or you do not have the required permissions to create or edit Group Policy Objects, they must be created prior to configuring Remote Access.

Informationen zum Erstellen von Gruppenrichtlinie Objekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinie Objekts.To create Group Policy Objects, see Create and Edit a Group Policy Object.

Ein Administrator kann die DirectAccess-Gruppenrichtlinie Objekte manuell mit einer Organisationseinheit (OU) verknüpfen.An administrator can manually link the DirectAccess Group Policy Objects to an organizational unit (OU). Beachten Sie Folgendes:Consider the following:

  1. Verknüpfen Sie die erstellten Gruppenrichtlinien Objekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.Link the created GPOs to the respective OUs before you configure DirectAccess.

  2. Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.When you configure DirectAccess, specify a security group for the client computers.

  3. Die GPOs werden automatisch konfiguriert, unabhängig davon, ob der Administrator über Berechtigungen zum Verknüpfen der Gruppenrichtlinien Objekte mit der Domäne verfügt.The GPOs are configured automatically, regardless of if the administrator has permissions to link the GPOs to the domain.

  4. Wenn die Gruppenrichtlinien Objekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt, Sie sind jedoch nicht mit der Domäne verknüpft.If the GPOs are already linked to an OU, the links will not be removed, but they are not linked to the domain.

  5. Für Server-Gruppenrichtlinien Objekte muss die Organisationseinheit das Server Computer Objekt enthalten. andernfalls wird das Gruppenrichtlinien Objekt mit dem Stamm der Domäne verknüpft.For server GPOs, the OU must contain the server computer object-otherwise, the GPO will be linked to the root of the domain.

  6. Wenn die Organisationseinheit zuvor durch Ausführen des DirectAccess-Setup-Assistenten nicht verknüpft wurde, kann der Administrator die DirectAccess-GPOs nach Abschluss der Konfiguration mit den erforderlichen Organisationseinheiten verknüpfen und den Link zur Domäne entfernen.If the OU has not been linked previously by running the DirectAccess Setup Wizard, after the configuration is complete, the administrator can link the DirectAccess GPOs to the required OUs, and remove the link to the domain.

    Weitere Informationen finden Sie unter Verknüpfen eines Gruppenrichtlinienobjekts.For more information, see Link a Group Policy Object.

Hinweis

Wenn ein Gruppenrichtlinie Objekt manuell erstellt wurde, ist es möglich, dass das Gruppenrichtlinie Objekt während der DirectAccess-Konfiguration nicht verfügbar ist.If a Group Policy Object was created manually, it is possible that the Group Policy Object will not be available during the DirectAccess configuration. Das Gruppenrichtlinie Objekt wurde möglicherweise nicht auf dem Domänen Controller repliziert, der dem Verwaltungs Computer am nächsten liegt.The Group Policy Object may not have been replicated to the domain controller closest to the management computer. Der Administrator kann warten, bis die Replikation beendet ist, oder die Replikation wird erzwungen.The administrator can wait for replication to complete or force the replication.

Konfigurieren von SicherheitsgruppenConfigure security groups

Die DirectAccess-Einstellungen, die auf dem Client Computer Gruppenrichtlinie Objekt enthalten sind, werden nur auf Computer angewendet, die Mitglieder der Sicherheitsgruppe sind, die Sie beim Konfigurieren des Remote Zugriffs angeben.The DirectAccess settings that are contained in the client computer Group Policy Object are applied only to computers that are members of the security groups that you specify when configuring Remote Access.

So erstellen Sie eine Sicherheitsgruppe für DirectAccess-ClientsTo create a security group for DirectAccess clients

  1. Geben Sie auf dem Start Bildschirm DSA. msc ein, und drücken Sie dann die EINGABETASTE.On the Start screen, type dsa.msc, and then press ENTER.

  2. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.In the Active Directory Users and Computers console, in the left pane, expand the domain that will contain the security group, right-click Users, point to New, and then click Group.

  3. Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.In the New Object - Group dialog box, under Group name, enter the name for the security group.

  4. Klicken Sie unter Gruppenbereich auf Global, unter Gruppentyp auf Sicherheit und anschließend auf OK.Under Group scope, click Global, and under Group type, click Security, and then click OK.

  5. Doppelklicken Sie auf die Sicherheitsgruppe DirectAccess-Client Computer, und klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder .Double-click the DirectAccess client computers security group, and in the Properties dialog box, click the Members tab.

  6. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.On the Members tab, click Add.

  7. Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.In the Select Users, Contacts, Computers, or Service Accounts dialog box, select the client computers that you want to enable for DirectAccess, and then click OK.

Äquivalente Windows PowerShell-Befehle in WindowsPowerShellWindows PowerShellWindows PowerShell equivalent commands

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Konfigurieren des NetzwerkadressenserversConfigure the network location server

Der Netzwerkadressen Server sollte sich auf einem Server mit hoher Verfügbarkeit befinden, und er benötigt ein gültiges Secure Sockets Layer (SSL)-Zertifikat, das von den DirectAccess-Clients als vertrauenswürdig eingestuft wird.The network location server should be on a server with high availability, and it needs a valid Secure Sockets Layer (SSL) certificate that is trusted by the DirectAccess clients.

Hinweis

Wenn sich die Netzwerkadressen Server-Website auf dem RAS-Server befindet, wird beim Konfigurieren des Remote Zugriffs automatisch eine Website erstellt, die an das von Ihnen bereitgestellte Serverzertifikat gebunden ist.If the network location server website is located on the Remote Access server, a website will be created automatically when you configure Remote Access and it is bound to the server certificate that you provide.

Für das Netzwerkadressenserver-Zertifikat sind zwei Zertifikatoptionen verfügbar:There are two certificate options for the network location server certificate:

  • PrivatPrivate

    Hinweis

    Das Zertifikat basiert auf der Zertifikat Vorlage, die Sie in Konfigurieren von Zertifikat Vorlagenerstellt haben.The certificate is based on the certificate template that you created in Configuring certificate templates.

  • Selbst signiertSelf-signed

    Hinweis

    Selbstsignierte Zertifikate können nicht in Bereitstellungen für mehrere Standorte verwendet werden.Self-signed certificates cannot be used in multisite deployments.

Unabhängig davon, ob Sie ein privates Zertifikat oder ein selbst signiertes Zertifikat verwenden, benötigen Sie Folgendes:Whether you use a private certificate or a self-signed certificate, they require the following:

  • Ein Websitezertifikat für den Netzwerkadressenserver.A website certificate that is used for the network location server. Der Zertifikatantragsteller sollte die URL des Netzwerkadressenservers sein.The certificate subject should be the URL of the network location server.

  • Ein Zertifikat Sperr Listen-Verteilungs Punkt mit hoher Verfügbarkeit im internen Netzwerk.A CRL distribution point that has high availability on the internal network.

So installieren Sie das Netzwerkadressenserver-Zertifikat von einer internen ZertifizierungsstelleTo install the network location server certificate from an internal CA

  1. Auf dem Server, auf dem die Netzwerkadressen Server-Website gehostet wird: Geben Sie auf dem Start Bildschirm mmc.exe ein, und drücken Sie dann die EINGABETASTE.On the server that will host the network location server website: On the Start screen, type mmc.exe, and then press ENTER.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. Klicken Sie im Dialogfeld Snap-ins hinzufügen oder entfernen auf Zertifikate, Hinzufügen, Computerkonto, Weiter, Lokaler Computer, Fertig stellen und anschließend auf OK.In the Add or Remove Snap-ins dialog box, click Certificates, click Add, click Computer account, click Next, click Local computer, click Finish, and then click OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf alle Aufgaben, klicken Sie auf Neues Zertifikat anfordern, und klicken Sie zweimal auf weiter .Right-click Certificates, point to All Tasks, click Request New Certificate, and then click Next twice.

  6. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen für die Zertifikat Vorlage, die Sie unter Konfigurieren von Zertifikat Vorlagen erstellt haben, und klicken Sie bei Bedarf auf Weitere Informationen, die für die Registrierung dieses Zertifikats erforderlich sind.On the Request Certificates page, select the check box for the certificate template that you created in Configuring certificate templates, and if required, click More information is required to enroll for this certificate.

  7. Klicken Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller im Bereich Antragstellername unter Typ auf Allgemeiner Name.In the Certificate Properties dialog box, on the Subject tab, in the Subject name area, in Type, select Common Name.

  8. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.In Value, enter the FQDN of the network location server website, and then click Add.

  9. Wählen Sie unter Alternativer Name für Typ die Option DNS aus.In the Alternative name area, in Type, select DNS.

  10. Geben Sie in das Feld Wert den FQDN der Netzwerkadressenserver-Website ein und klicken Sie dann auf Hinzufügen.In Value, enter the FQDN of the network location server website, and then click Add.

  11. Auf der Registerkarte Allgemein unter Anzeigename können Sie einen Namen für das Zertifikat eingeben, sodass Sie es schneller identifizieren können.On the General tab, in Friendly name, you can enter a name that will help you identify the certificate.

  12. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.Click OK, click Enroll, and then click Finish.

  13. Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, ob das neue Zertifikat mit dem beabsichtigten Zweck der Server Authentifizierung registriert wurde.In the details pane of the Certificates snap-in, verify that new certificate was enrolled with the intended purpose of server authentication.

So konfigurieren Sie den NetzwerkadressenserverTo configure the network location server

  1. Richten Sie eine Website auf einem Server mit hoher Verfügbarkeit ein.Set up a website on a high availability server. Für die Website sind keine Inhalte erforderlich, für einen Test sollten Sie jedoch eine Standardseite definieren, die eine Meldung anzeigt, wenn Clients eine Verbindung zu der Website aufbauen.The website does not require any content, but when you test it, you might define a default page that provides a message when clients connect.

    Dieser Schritt ist nicht erforderlich, wenn die Netzwerkadressen Server-Website auf dem Remote Zugriffs Server gehostet wird.This step is not required if the network location server website is hosted on the Remote Access server.

  2. Binden Sie ein HTTPS-Serverzertifikate an die Website.Bind an HTTPS server certificate to the website. Der allgemeine Name des Zertifikats sollte mit dem Namen der Netzwerkadressenserver-Website übereinstimmen.The common name of the certificate should match the name of the network location server site. Vergewissern Sie sich, dass die DirectAccess-Clients der ausstellenden Zertifizierungsstelle vertrauen.Ensure that DirectAccess clients trust the issuing CA.

    Dieser Schritt ist nicht erforderlich, wenn die Netzwerkadressen Server-Website auf dem Remote Zugriffs Server gehostet wird.This step is not required if the network location server website is hosted on the Remote Access server.

  3. Richten Sie eine CRL-Site ein, die Hochverfügbarkeit im internen Netzwerk hat.Set up a CRL site that has high availability on the internal network.

    Auf die Sperrlisten-Verteilungspunkte wurde folgendermaßen zugegriffen:CRL distribution points can be accessed through:

    Wenn der interne CRL-Verteilungs Punkt nur über IPv6 erreichbar ist, müssen Sie eine Verbindungs Sicherheitsregel für die Windows-Firewall mit erweiterter Sicherheit konfigurieren.If the internal CRL distribution point is reachable only over IPv6, you must configure a Windows Firewall with Advanced Security connection security rule. Dadurch wird der IPSec-Schutz von dem IPv6-Adressraum Ihres Intranets zu den IPv6-Adressen der CRL-Verteilungs Punkte ausgenommen.This exempts IPsec protection from the IPv6 address space of your intranet to the IPv6 addresses of your CRL distribution points.

  4. Stellen Sie sicher, dass DirectAccess-Clients im internen Netzwerk den Namen des Netzwerkadressen Servers auflösen können und dass DirectAccess-Clients im Internet den Namen nicht auflösen können.Ensure that DirectAccess clients on the internal network can resolve the name of the network location server, and that DirectAccess clients on the Internet cannot resolve the name.

Siehe auchSee also