Schritt 2 Konfigurieren des Remotezugriffsservers

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die Client- und Servereinstellungen konfigurieren, die für die Remoteverwaltung von DirectAccess-Clients erforderlich sind. Bevor Sie die Bereitstellungsschritte beginnen, stellen Sie sicher, dass Sie die Planungsschritte abgeschlossen haben, die in Schritt 2 Planen der Remotezugriffsbereitstellung beschrieben sind.

Aufgabe BESCHREIBUNG
Installieren der Remotezugriffsrolle Installieren Sie die Remotezugriffsrolle.
Konfigurieren des Bereitstellungstypen Konfigurieren Sie den Bereitstellungstypen als DirectAccess und VPN, nur DirectAccess, oder nur VPN
Konfigurieren von DirectAccess-Clients Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten.
Konfigurieren des RAS-Servers Konfigurieren Sie die Einstellungen für den Remotezugriffsserver.
Konfigurieren des Infrastrukturservers Konfigurieren Sie die Infrastrukturserver, die in der Organisation eingesetzt werden.
Konfigurieren von Anwendungsservern Konfigurieren Sie die Anwendungsserver, um Authentifizierung und Verschlüsselung zu benötigen.
Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte Zeigen Sie die Zusammenfassung der Remotezugriffskonfiguration an und ändern Sie bei Bedarf die Gruppenrichtlinienobjekte.

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

Installieren der Remotezugriffsrolle

Sie müssen die Remotezugriffsrolle auf einem Server in Ihrer Organisation installieren, der als Remotezugriffsserver fungiert.

So installieren Sie die Remotezugriffsrolle

So installieren Sie die Remotezugriffsrolle auf DirectAccess-Servern

  1. Klicken Sie auf dem DirectAccess-Server in der Server-Manager-Konsole im Dashboard auf "Rollen und Features hinzufügen".

  2. Klicken Sie dreimal auf Weiter, um zur Anzeige für die Serverrollenauswahl zu gelangen.

  3. Wählen Sie im Dialogfeld " Serverrollen auswählen " Remotezugriff aus, und klicken Sie dann auf "Weiter".

  4. Klicken Sie dreimal auf "Weiter ".

  5. Wählen Sie im Dialogfeld " Rollendienste auswählen " DirectAccess und VPN (RAS) aus , und klicken Sie dann auf "Features hinzufügen".

  6. Wählen Sie "Routing" aus, wählen Sie "Web Anwendungsproxy" aus, klicken Sie auf "Features hinzufügen", und klicken Sie dann auf "Weiter".

  7. Klicken Sie auf Weiter und dann auf Installieren.

  8. Überprüfen Sie im Dialogfeld Installationsstatus, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Windows PowerShellWindows PowerShell gleichwertigen Befehlen

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Install-WindowsFeature RemoteAccess -IncludeManagementTools

Konfigurieren des Bereitstellungstypen

Es gibt drei Optionen, mit denen Sie Remotezugriff aus der Remotezugriffsverwaltungskonsole bereitstellen können:

  • DirectAccess und VPN

  • Nur DirectAccess

  • Nur VPN

Hinweis

In diesem Leitfaden wird die nur DirectAccess-Methode der Bereitstellung in den Beispielprozeduren verwendet.

So konfigurieren Sie den Bereitstellungstypen

  1. Öffnen Sie auf dem Remotezugriffsserver die Remotezugriffsverwaltungskonsole: Geben Sie auf dem Startbildschirm die Remotezugriffsverwaltungskonsole ein, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole im mittleren Bereich auf Remotezugriffs-Setup-Assistenten ausführen.

  3. Wählen Sie im Dialogfeld "Remotezugriff konfigurieren " nur DirectAccess und VPN, DirectAccess oder VPN aus.

Konfigurieren von DirectAccess-Clients

Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, um die DirectAccess-Gruppenrichtlinie-Objekte (GPOs) für die Remoteverwaltung zu empfangen.

So konfigurieren Sie DirectAccess-Clients

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 1 Remoteclients auf Konfigurieren.

  2. Klicken Sie im DirectAccess-Clienteinrichtungs-Assistenten auf der Seite "Bereitstellungsszenario " nur auf "DirectAccess für Remoteverwaltung bereitstellen", und klicken Sie dann auf "Weiter".

  3. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.

  4. Wählen Sie im Dialogfeld "Gruppen auswählen " die Sicherheitsgruppen aus, die die DirectAccess-Clientcomputer enthalten, und klicken Sie dann auf "Weiter".

  5. Vorgehensweise auf der Seite Netzwerkkonnektivitäts-Assistent:

    • Fügen Sie in der Tabelle die Ressourcen hinzu, die verwendet werden, um die Konnektivität mit dem internen Netzwerk zu bestimmen. Wenn keine weiteren Ressourcen konfiguriert werden, wird automatisch ein Standardwebtest erstellt. Stellen Sie beim Konfigurieren der Webtestspeicherorte für die Ermittlung der Konnektivität mit dem Unternehmensnetzwerk sicher, dass mindestens ein HTTP-basiertes Prüfpunkt konfiguriert ist. Die Konfiguration eines Ping-Prüfpunkts ist nicht ausreichend, und es könnte zu einer ungenauen Bestimmung des Verbindungsstatus führen. Dies liegt daran, dass Ping von IPsec ausgenommen ist. Dadurch wird sichergestellt, dass die IPsec-Tunnel ordnungsgemäß eingerichtet sind.

    • Fügen Sie eine Helpdesk-E-Mail-Adresse hinzu, damit Benutzer Informationen absenden können, wenn bei ihnen Verbindungsprobleme auftreten.

    • Geben Sie einen Anzeigenamen für die DirectAccess-Verbindung ein.

    • Aktivieren Sie bei Bedarf das Kontrollkästchen DirectAccess-Clients ermöglichen, die lokale Namensauflösung zu verwenden.

      Hinweis

      Wenn die lokale Namensauflösung aktiviert ist, können Benutzer, die die NCA ausführen, Namen mithilfe von DNS-Servern auflösen, die auf dem DirectAccess-Clientcomputer konfiguriert sind.

  6. Klicken Sie auf Fertig stellen.

Konfigurieren des RAS-Servers

Um Remotezugriff bereitzustellen, müssen Sie den Server konfigurieren, der als Remotezugriffsserver mit folgenden Aktionen fungiert:

  1. Richtige Netzwerkadapter

  2. Eine öffentliche URL für den Remotezugriffsserver, mit dem Clientcomputer eine Verbindung herstellen können (die ConnectTo-Adresse)

  3. Ein IP-HTTPS-Zertifikat mit einem Betreff, der der ConnectTo-Adresse entspricht

  4. IPv6-Einstellungen

  5. Clientcomputerauthentifizierung

So konfigurieren Sie den RAS-Server

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 2 RAS-Server auf Konfigurieren.

  2. Klicken Sie im Setup-Assistenten für den RAS-Server auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.

  3. Auf der Seite "Netzwerkadapter" erkennt der Assistent automatisch:

    • Netzwerkadapter für die Netzwerke in Ihrer Bereitstellung. Falls der Assistent nicht die korrekten Netzwerkadapter erkennt, wählen Sie die korrekten Adapter manuell aus.

    • IP-HTTPS-Zertifikat. Dies basiert auf dem öffentlichen Namen für die Bereitstellung, die Sie während des vorherigen Schritts des Assistenten festlegen. Wenn der Assistent das richtige IP-HTTPS-Zertifikat nicht erkennt, klicken Sie auf "Navigieren ", um das richtige Zertifikat manuell auszuwählen.

  4. Klicken Sie auf Weiter.

  5. Auf der Seite "Präfixkonfiguration" (diese Seite ist nur sichtbar, wenn IPv6 im internen Netzwerk erkannt wird), erkennt der Assistent automatisch die IPv6-Einstellungen, die im internen Netzwerk verwendet werden. Wenn für Ihre Bereitstellung zusätzliche Präfixe erforderlich sind, konfigurieren Sie die IPv6-Präfixe für das interne Netzwerk, ein IPv6-Präfix zum Zuweisen für DirectAccess-Clientcomputer und ein IPv6-Präfix zum Zuweisen für VPN-Clientcomputer.

  6. Vorgehensweise auf der Seite Authentifizierung:

    • In Bereitstellungen für mehrere Standorte oder die zweistufige Authentifizierung müssen Sie die Computerzertifikatauthentifizierung verwenden. Aktivieren Sie das Kontrollkästchen " Computerzertifikate verwenden", um die Computerzertifikatauthentifizierung zu verwenden und das IPsec-Stammzertifikat auszuwählen.

    • Aktivieren Sie zum Aktivieren von Clientcomputern, die Windows 7 zum Herstellen einer Verbindung über DirectAccess ausführen, das Kontrollkästchen "Windows 7 Clientcomputer aktivieren", um eine Verbindung über DirectAccess herzustellen. Für diesen Bereitstellungstypen müssen Sie ebenfalls die Computerzertifikatauthentifizierung verwenden.

  7. Klicken Sie auf Fertig stellen.

Konfigurieren des Infrastrukturservers

Um die Infrastrukturserver in einer Remotezugriffsbereitstellung zu konfigurieren, müssen Sie folgendes konfigurieren:

  • Netzwerkadressenserver

  • DNS-Einstellungen, einschließlich der DNS-Suffixsucheliste

  • Alle Verwaltungsserver, die von Remotezugriff nicht automatisch erkannt werden

So konfigurieren Sie die Infrastrukturserver

  1. Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 3 Infrastrukturserver auf Konfigurieren.

  2. Klicken Sie im Assistenten zum Einrichten des Infrastrukturservers auf der Seite Netzwerkadressenserver auf die Option, die dem Speicherort des Netzwerkadressenservers in Ihrer Bereitstellung entspricht.

    • Wenn sich der Netzwerkspeicherortserver auf einem Remotewebserver befindet, geben Sie die URL ein, und klicken Sie dann auf "Überprüfen ", bevor Sie fortfahren.

    • Wenn der Netzwerkadressenserver nicht auf einem Remotewebserver installiert ist, klicken Sie auf Durchsuchen, um das entsprechende Zertifikat zu suchen und klicken Sie dann auf Weiter.

  3. Geben Sie auf der DNS-Seite in der Tabelle zusätzliche Namensuffixe ein, die als Ausnahmen für die Namensauflösungsrichtlinie (NRPT) angewendet werden. Wählen Sie die entsprechende Option für die lokale Namensauflösung, und klicken Sie dann auf Weiter.

  4. Auf der Seite "DNS-Suffixsuchliste" erkennt der Remotezugriffsserver automatisch Domänensuffixe in der Bereitstellung. Verwenden Sie die Schaltflächen "Hinzufügen " und "Entfernen ", um die Liste der Domänensuffixe zu erstellen, die Sie verwenden möchten. Um ein neues Domänensuffix unter Neues Suffix hinzuzufügen, müssen Sie dass Suffix eingeben und anschließend auf Hinzufügen klicken. Klicken Sie auf Weiter.

  5. Fügen Sie auf der Seite "Verwaltung " Verwaltungsserver hinzu, die nicht automatisch erkannt werden, und klicken Sie dann auf "Weiter". Remotezugriff fügt Domänencontroller und Configuration Manager Server automatisch hinzu.

  6. Klicken Sie auf Fertig stellen.

Konfigurieren von Anwendungsservern

In einer vollständigen Remotezugriffsbereitstellung ist das Konfigurieren von Anwendungsservern eine optionale Aufgabe. In diesem Szenario für die Remoteverwaltung von DirectAccess-Clients werden Anwendungsserver nicht verwendet, und dieser Schritt wird abgegraut, um anzugeben, dass es nicht aktiv ist. Klicken Sie auf "Fertig stellen ", um die Konfiguration anzuwenden.

Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte

Wenn die Konfiguration des Remotezugriffs abgeschlossen ist, wird das Dialogfeld Überprüfung des Remotezugriffs angezeigt. Sie können alle zuvor ausgewählten Einstellungen überprüfen, dazu gehören:

  • GPO-Einstellungen

    Der DirectAccess-Server-GPO-Name und der Client-GPO-Name sind aufgeführt. Sie können auf den Link "Ändern" neben der Überschrift "GPO Einstellungen" klicken, um die GPO-Einstellungen zu ändern.

  • Remoteclients

    Die DirectAccess-Clientkonfiguration wird angezeigt, einschließlich der Sicherheitsgruppe, der Konnektivitätsprüfung und des DirectAccess-Verbindungsnamens.

  • Remotezugriffsserver

    Die DirectAccess-Konfiguration wird angezeigt, einschließlich des öffentlichen Namens und der Adresse, der Netzwerkadapterkonfiguration und zertifikatinformationen.

  • Infrastrukturserver

    Diese Liste enthält die Netzwerkadressenserver-URL, DNS-Suffixe, die von DirectAcccess-Clients verwendet werden sowie Verwaltungsserverinformationen.