Schritt 1 Planen der Infrastruktur für den Remote ZugriffStep 1 Plan the Remote Access Infrastructure

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Hinweis

Windows Server 2016 kombiniert DirectAccess und den Routing-und RAS-Dienst (RRAS) zu einer einzigen Remote Zugriffs Rolle.Windows Server 2016 combines DirectAccess and Routing and Remote Access Service (RRAS) into a single Remote Access role.

In diesem Thema werden die Schritte zum Planen einer-Infrastruktur beschrieben, die Sie zum Einrichten eines einzelnen Remote Zugriffs Servers für die Remote Verwaltung von DirectAccess-Clients verwenden können.This topic describes the steps for planning an infrastructure that you can use to set up a single Remote Access server for remote management of DirectAccess clients. In der folgenden Tabelle sind die Schritte aufgeführt. diese Planungsaufgaben müssen jedoch nicht in einer bestimmten Reihenfolge ausgeführt werden.The following table lists the steps, but these planning tasks do not need to be done in a specific order.

AufgabeTask BeschreibungDescription
Planen der Netzwerktopologie und der ServereinstellungenPlan network topology and server settings Entscheiden Sie, wo der RAS-Server (Edge oder hinter einem NAT-Gerät oder einer Firewall) platziert werden soll, und planen Sie IP-Adressierung und Routing.Decide where to place the Remote Access server (at the edge or behind a Network Address Translation (NAT) device or firewall), and plan IP addressing and routing.
Planen der FirewallanforderungenPlan firewall requirements Planen Sie, den Remotezugriff über Edge-Firewalls zuzulassen.Plan for allowing Remote Access through edge firewalls.
Planen der ZertifikatanforderungenPlan certificate requirements Entscheiden Sie, ob Sie das Kerberos-Protokoll oder Zertifikate für die Client Authentifizierung verwenden möchten, und planen Sie Ihre Website Zertifikate.Decide if you will use Kerberos protocol or certificates for client authentication, and plan your website certificates.

IP-HTTPS ist ein Übergangsprotokoll, das von DirectAccess-Clients zum Tunneln von IPv6-Datenverkehr über IPv4-Netzwerke verwendet wird.IP-HTTPS is a transition protocol that is used by DirectAccess clients to tunnel IPv6 traffic over IPv4 networks. Entscheiden Sie sich für die Authentifizierung von IP-HTTPS für den Server, indem Sie ein Zertifikat verwenden, das von einer Zertifizierungsstelle (Certification Authority, ca) ausgestellt wurde, oder ein selbst signiertes Zertifikat, das automatisch vom Remote Zugriffs Server ausgestellt wird.Decide whether to authenticate IP-HTTPS for the server by using a certificate that is issued by a certification authority (CA), or by using a self-signed certificate that is issued automatically by the Remote Access server.
Planen der DNS-AnforderungenPlan DNS requirements Planen Sie die Domain Name System (DNS)-Einstellungen für den Remote Zugriffs Server, die Infrastruktur Server, die Optionen für die lokale Namensauflösung und die Client Konnektivität.Plan the Domain Name System (DNS) settings for the Remote Access server, infrastructure servers, local name resolution options, and client connectivity.
Planen der Netzwerkadressen Server-KonfigurationPlan the network location server configuration Entscheiden Sie, wo die Netzwerkadressen Server-Website in Ihrer Organisation platziert werden soll (auf dem Remote Zugriffs Server oder einem alternativen Server), und planen Sie die Zertifikat Anforderungen, wenn sich der Netzwerkadressen Server auf dem RAS-Server befindet.Decide where to place the network location server website in your organization (on the Remote Access server or an alternative server), and plan the certificate requirements if the network location server will be located on the Remote Access server. Hinweis: Der Netzwerkadressen Server wird von DirectAccess-Clients verwendet, um zu bestimmen, ob Sie sich im internen Netzwerk befinden.Note: The network location server is used by DirectAccess clients to determine whether they are located on the internal network.
Planen der Konfigurationen von Verwaltungs ServernPlan management servers' configurations Berücksichtigen Sie bei der Planung Verwaltungsserver (beispielsweise Updateserver), die für die Verwaltung von Remoteclients verwendet werden.Plan for management servers (such as update servers) that are used during remote client management. Hinweis: Administratoren können DirectAccess-Client Computer, die sich außerhalb des Unternehmensnetzwerks befinden, Remote über das Internet verwalten.Note: Administrators can remotely manage DirectAccess client computers that are located outside the corporate network by using the Internet.
Planen von Active Directory AnforderungenPlan Active Directory requirements Planen Sie Ihre Domänen Controller, Ihre Active Directory Anforderungen, Client Authentifizierung und mehrere Domänen Strukturen.Plan your domain controllers, your Active Directory requirements, client authentication, and multiple domain structure.
Planen Gruppenrichtlinie Objekt ErstellungPlan Group Policy Object creation Entscheiden Sie, welche Gruppenrichtlinien Objekte in Ihrer Organisation erforderlich sind und wie die GPOs erstellt und bearbeitet werden.Decide what GPOs are required in your organization and how to create and edit the GPOs.

Planen der Netzwerktopologie und -einstellungenPlan network topology and settings

Wenn Sie Ihr Netzwerk planen, müssen Sie die Netzwerkadapter Topologie, die Einstellungen für die IP-Adressierung und die Anforderungen für ISATAP berücksichtigen.When you plan your network, you need to consider the network adapter topology, settings for IP addressing, and requirements for ISATAP.

Planen von Netzwerkadaptern und IP-AdressierungPlan network adapters and IP addressing

  1. Identifizieren Sie die Netzwerkadapter Topologie, die Sie verwenden möchten.Identify the network adapter topology that you want to use. Der Remote Zugriff kann mit einer der folgenden Topologien eingerichtet werden:Remote Access can be set up with any of the following topologies:

    • Mit zwei Netzwerkadaptern: der Remote Zugriffs Server wird am Rand installiert, wobei ein Netzwerkadapter mit dem Internet und der andere mit dem internen Netzwerk verbunden ist.With two network adapters: The Remote Access server is installed at the edge with one network adapter connected to the Internet and the other to the internal network.

    • Mit zwei Netzwerkadaptern: der Remote Zugriffs Server wird hinter einem NAT-Gerät, einer Firewall oder einem Router installiert, wobei ein Netzwerkadapter mit einem Umkreis Netzwerk und der andere mit dem internen Netzwerk verbunden ist.With two network adapters: The Remote Access server is installed behind a NAT device, firewall, or router, with one network adapter connected to a perimeter network and the other to the internal network.

    • Mit einem Netzwerkadapter: der RAS-Server wird hinter einem NAT-Gerät installiert, und der einzige Netzwerkadapter wird mit dem internen Netzwerk verbunden.With one network adapter: The Remote Access server is installed behind a NAT device, and the single network adapter is connected to the internal network.

  2. Identifizieren Sie Ihre IP-Adressierungsanforderungen:Identify your IP addressing requirements:

    DirectAccess verwendet IPv6 mit IPsec, um eine sichere Verbindung zwischen DirectAcces-Clientcomputern und dem internen Unternehmensnetzwerk herzustellen.DirectAccess uses IPv6 with IPsec to create a secure connection between DirectAccess client computers and the internal corporate network. Jedoch erfordert DirectAccess nicht unbedingt Konnektivität mit dem IPv6-Internet oder nativen IPv6-Support auf internen Netzwerken.However, DirectAccess does not necessarily require connectivity to the IPv6 Internet or native IPv6 support on internal networks. Stattdessen konfiguriert und verwendet es automatisch IPv6-Übergangs Technologien, um IPv6-Datenverkehr über das IPv4-Internet (IPv6-zu-IPv4, Teredo oder IP-HTTPS) und über Ihr ausschließlich-IPv4-Intranet (NAT64 oder ISATAP) zu Tunneln.Instead, it automatically configures and uses IPv6 transition technologies to tunnel IPv6 traffic across the IPv4 Internet (6to4, Teredo, or IP-HTTPS) and across your IPv4-only intranet (NAT64 or ISATAP). Eine Übersicht über diese Übergangstechnologien finden Sie in folgenden Ressourcen:For an overview of these transition technologies, see the following resources:

  3. Konfigurieren Sie erforderliche Adapter und Adressen entsprechend folgender Tabelle.Configure required adapters and addressing according to the following table. Konfigurieren Sie bei bereit Stellungen, die sich hinter einem NAT-Gerät mit einem einzelnen Netzwerkadapter befinden, Ihre IP-Adressen, indem Sie nur die Spalte interner Netzwerkadapter verwenden.For deployments that are behind a NAT device using a single network adapter, configure your IP addresses by using only the Internal network adapter column.

    BeschreibungDescription Externer NetzwerkadapterExternal network adapter Interner Netzwerkadapter1, oberhalbInternal network adapter1, above RoutinganforderungenRouting requirements
    IPv4-Internet und IPv4-IntranetIPv4 Internet and IPv4 intranet Konfigurieren Sie Folgendes:Configure the following:

    : Zwei statische aufeinander folgende öffentliche IPv4-Adressen mit den entsprechenden Subnetzmasken (nur für Teredo erforderlich).- Two static consecutive public IPv4 addresses with the appropriate subnet masks (required for Teredo only).
    -Eine Standard Gateway-IPv4-Adresse für Ihre Internet Firewall oder den ISP-Router (lokaler Internetdienstanbieter).- A default gateway IPv4 address for your Internet firewall or local Internet service provider (ISP) router. Hinweis: Der RAS-Server benötigt zwei aufeinander folgende öffentliche IPv4-Adressen, damit er als Teredo-Server fungieren kann und Windows-basierte Teredo-Clients den Remote Zugriffs Server verwenden können, um den Typ des NAT-Geräts zu erkennen.Note: The Remote Access server requires two consecutive public IPv4 addresses so that it can act as a Teredo server and Windows-based Teredo clients can use the Remote Access server to detect the type of NAT device.
    Konfigurieren Sie Folgendes:Configure the following:

    : Eine IPv4-Intranetadresse mit der entsprechenden Subnetzmaske.- An IPv4 intranet address with the appropriate subnet mask.
    : Ein Verbindungs spezifisches DNS-Suffix für den Intranetnamespace.- A connection-specific DNS suffix for your intranet namespace. Zudem sollte ein DNS-Server auf der internen Schnittstelle konfiguriert werden.A DNS server should also be configured on the internal interface. Vorsicht: Konfigurieren Sie kein Standard Gateway auf Intranetschnittstellen.Caution: Do not configure a default gateway on any intranet interfaces.
    Gehen Sie folgendermaßen vor, um den Remote Zugriffs Server so zu konfigurieren, dass er alle Subnetze im internen IPv4-Netzwerk erreicht:To configure the Remote Access server to reach all subnets on the internal IPv4 network, do the following:

    -Listen Sie die IPv4-Adressräume für alle Speicherorte im Intranet auf.- List the IPv4 address spaces for all the locations on your intranet.
    -Verwenden Sie den- route add -p Befehl oder den- netsh interface ipv4 add route Befehl, um die IPv4-Adressbereiche als statische Routen in der IPv4-Routing Tabelle des RAS-Servers hinzuzufügen.- Use the route add -p or netsh interface ipv4 add route commands to add the IPv4 address spaces as static routes in the IPv4 routing table of the Remote Access server.
    IPv6-Internet und IPv6-IntranetIPv6 Internet and IPv6 intranet Konfigurieren Sie Folgendes:Configure the following:

    -Verwenden Sie die automatisch konfigurierte Adress Konfiguration, die von Ihrem ISP bereitgestellt wird.- Use the autoconfigured address configuration provided by your ISP.
    -Verwenden route print Sie den Befehl, um sicherzustellen, dass eine IPv6-Standardroute, die auf den ISP-Router zeigt, in der IPv6-Routing Tabelle vorhanden ist- Use the route print command to ensure that a default IPv6 route that points to the ISP router exists in the IPv6 routing table.
    : Ermitteln Sie, ob der ISP-und der Intranetrouter standardmäßige Routereinstellungen verwenden, wie in RFC 4191 beschrieben, und wenn Sie eine höhere Standardeinstellung als ihre lokalen Intranetrouter verwenden.- Determine if the ISP and intranet routers are using default router preferences as described in RFC 4191, and if they are use a higher default preference than your local intranet routers. Wenn beide Fälle zutreffen, ist keine weitere Konfiguration für die Standardroute erforderlich.If both of these are true, no other configuration for the default route is required. Die höhere Präferenz für den ISP-Router stellt sicher, dass die aktive IPv6-Standardroute des Remotezugriffsservers auf das IPv6-Internet zeigt.The higher preference for the ISP router ensures that the active default IPv6 route of the Remote Access server points to the IPv6 Internet.

    Wenn Sie über eine systemeigene IPv6-Infrastruktur verfügen, kann die Internetschnittstelle außerdem auch die Domänencontroller im Intranet erreichen, da der DirectAccess-Server ein IPv6-Router ist.Because the Remote Access server is an IPv6 router, if you have a native IPv6 infrastructure, the Internet interface can also reach the domain controllers on the intranet. Fügen Sie in diesem Fall Paketfilter zum Domänen Controller im Umkreis Netzwerk hinzu, die Verbindungen mit der IPv6-Adresse der Internet Schnittstelle des Remote Zugriffs Servers verhindern.In this case, add packet filters to the domain controller in the perimeter network that prevent connectivity to the IPv6 address of the Internet interface of the Remote Access server.
    Konfigurieren Sie Folgendes:Configure the following:

    Wenn Sie keine Standard Einstellungsebenen verwenden, konfigurieren Sie die Intranetschnittstellen mit dem netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled Befehl.If you are not using default preference levels, configure your intranet interfaces by using the netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled command. Dieser Befehl stellt sicher, dass der IPv6-Routingtabelle keine weiteren Standardrouten hinzugefügt werden, die auf Intranetrouter zeigen.This command ensures that additional default routes that point to intranet routers will not be added to the IPv6 routing table. Sie können den interfacetten Index ihrer Intranetschnittstellen von der Anzeige des Befehls abrufen netsh interface show interface .You can obtain the InterfaceIndex of your intranet interfaces from the display of the netsh interface show interface command.
    Wenn Sie ein IPv6-Intranet haben, führen Sie folgende Schritte aus, um den Remotezugriffsserver so zu konfigurieren, dass er alle IPv6-Speicherorte erreicht:If you have an IPv6 intranet, to configure the Remote Access server to reach all of the IPv6 locations, do the following:

    -Auflisten der IPv6-Adressräume für alle Speicherorte im Intranet.- List the IPv6 address spaces for all the locations on your intranet.
    -Verwenden Sie den- netsh interface ipv6 add route Befehl, um die IPv6-Adressbereiche als statische Routen in der IPv6-Routing Tabelle des Remote Zugriffs Servers hinzuzufügen.- Use the netsh interface ipv6 add route command to add the IPv6 address spaces as static routes in the IPv6 routing table of the Remote Access server.
    IPv4-Internet und IPv6-IntranetIPv4 Internet and IPv6 intranet Der RAS-Server leitet den IPv6-Standardrouten Datenverkehr mithilfe der Microsoft IPv6-zu-IPv4-Adapter Schnittstelle an ein IPv6-zu-IPv4-Relay im IPv4-Internet weiter.The Remote Access server forwards default IPv6 route traffic by using the Microsoft 6to4 adapter interface to a 6to4 relay on the IPv4 Internet. Wenn System eigenes IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird, können Sie den folgenden Befehl verwenden, um einen RAS-Server für die IPv4-Adresse des Microsoft IPv6-zu-IPv4-Relay im IPv4-Internet zu konfigurieren: netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled .When native IPv6 is not deployed in the corporate network, you can use the following command to configure a Remote Access server for the IPv4 address of the Microsoft 6to4 relay on the IPv4 Internet: netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled.

    Hinweis

    • Wenn dem DirectAccess-Client eine öffentliche IPv4-Adresse zugewiesen wurde, wird die IPv6-zu-IPv4-relaytechnologie verwendet, um eine Verbindung mit dem Intranet herzustellen.If the DirectAccess client has been assigned a public IPv4 address, it will use the 6to4 relay technology to connect to the intranet. Wenn dem Client eine private IPv4-Adresse zugewiesen ist, wird Teredo verwendet.If the client is assigned a private IPv4 address, it will use Teredo. Wenn der DirectAccess-Client weder mit IP6-zu-IP4 noch mit Teredo eine Verbindung mit dem DirectAccess-Server herstellen kann, wird IP-HTTPS verwendet.If the DirectAccess client cannot connect to the DirectAccess server with 6to4 or Teredo, it will use IP-HTTPS.
    • Um Teredo zu verwenden, müssen Sie zwei aufeinander folgende IP-Adressen auf dem nach außen verfügbaren Netzwerkadapter konfigurieren.To use Teredo, you must configure two consecutive IP addresses on the external facing network adapter.
    • Sie können Teredo nicht verwenden, wenn der Remote Zugriffs Server nur über einen Netzwerkadapter verfügt.You cannot use Teredo if the Remote Access server has only one network adapter.
    • Systemeigene IPv6-Clientcomputer können über eine systemeigene IPv6 eine Verbindung zum Remotezugriffsserver herstellen, und es ist keine Übergangstechnologie erforderlich.Native IPv6 client computers can connect to the Remote Access server over native IPv6, and no transition technology is required.

Planen von ISATAP-AnforderungenPlan ISATAP requirements

ISATAP ist für die Remote Verwaltung von directaccessclients erforderlich, damit DirectAccess-Verwaltungs Server eine Verbindung mit DirectAccess-Clients im Internet herstellen können.ISATAP is required for remote management of DirectAccessclients, so that DirectAccess management servers can connect to DirectAccess clients located on the Internet. ISATAP ist nicht erforderlich, um Verbindungen zu unterstützen, die von DirectAccess-Client Computern zu IPv4-Ressourcen im Unternehmensnetzwerk initiiert werden.ISATAP is not required to support connections that are initiated by DirectAccess client computers to IPv4 resources on the corporate network. Für diese Zwecke wird NAT64/DNS64 verwendet.NAT64/DNS64 is used for this purpose. Wenn Ihre Bereitstellung ISATAP erfordert, verwenden Sie die folgende Tabelle, um Ihre Anforderungen zu ermitteln.If your deployment requires ISATAP, use the following table to identify your requirements.

ISATAP-Bereitstellungs SzenarioISATAP deployment scenario Requirements (Anforderungen)Requirements
Vorhandenes natives IPv6-Intranet (keine ISATAP erforderlich)Existing native IPv6 intranet (no ISATAP is required) Bei einer vorhandenen nativen IPv6-Infrastruktur geben Sie das Präfix der Organisation während der Remote Zugriffs Bereitstellung an, und der RAS-Server konfiguriert sich nicht selbst als ISATAP-Router.With an existing native IPv6 infrastructure, you specify the prefix of the organization during Remote Access deployment, and the Remote Access server does not configure itself as an ISATAP router. Gehen Sie folgendermaßen vor:Do the following:

1. um sicherzustellen, dass DirectAccess-Clients über das Intranet erreichbar sind, müssen Sie das IPv6-Routing so ändern, dass der Standardrouten Datenverkehr an den Remote Zugriffs Server weitergeleitet wird.1. To ensure that DirectAccess clients are reachable from the intranet, you must modify your IPv6 routing so that default route traffic is forwarded to the Remote Access server. Wenn Ihr Intranet-IPv6-Adressraum eine andere Adresse als ein einzelnes IPv6-Adress Präfix mit 48 Bit verwendet, müssen Sie während der Bereitstellung das relevante IPv6-Präfix für die Organisation angeben.If your intranet IPv6 address space uses an address other than a single 48-bit IPv6 address prefix, you must specify the relevant organization IPv6 prefix during deployment.
2. Wenn Sie zurzeit mit dem IPv6-Internet verbunden sind, müssen Sie den Standardrouten Datenverkehr so konfigurieren, dass er an den RAS-Server weitergeleitet wird, und dann die entsprechenden Verbindungen und Routen auf dem RAS-Server konfigurieren, sodass der Standardrouten-Datenverkehr an das Gerät weitergeleitet wird, das mit dem IPv6-Internet verbunden ist.2. If you are currently connected to the IPv6 Internet, you must configure your default route traffic so that it is forwarded to the Remote Access server, and then configure the appropriate connections and routes on the Remote Access server, so that the default route traffic is forwarded to the device that is connected to the IPv6 Internet.
Vorhandene ISATAP-BereitstellungExisting ISATAP deployment Wenn Sie über eine vorhandene ISATAP-Infrastruktur verfügen, werden Sie während der Bereitstellung aufgefordert, das 48-Bit-Präfix der Organisation zu erhalten, und der RAS-Server konfiguriert sich nicht selbst als ISATAP-Router.If you have an existing ISATAP infrastructure, during deployment you are prompted for the 48-bit prefix of the organization, and the Remote Access server does not configure itself as an ISATAP router. Um sicherzustellen, dass DirectAccess-Clients über das Intranet erreichbar sind, müssen Sie die IPv6-Routing Infrastruktur so ändern, dass der Standardrouten Datenverkehr an den Remote Zugriffs Server weitergeleitet wird.To ensure that DirectAccess clients are reachable from the intranet, you must modify your IPv6 routing infrastructure so that default route traffic is forwarded to the Remote Access server. Diese Änderung muss auf dem vorhandenen ISATAP-Router erfolgen, auf dem die Intranetclients bereits den Standard Datenverkehr weiterleiten müssen.This change needs to be done on the existing ISATAP router to which the intranet clients must already be forwarding the default traffic.
Keine vorhandene IPv6-KonnektivitätNo existing IPv6 connectivity Wenn der Remote Zugriffs-Setup-Assistent erkennt, dass der Server über keine native oder ISATAP-basierte IPv6-Konnektivität verfügt, wird automatisch ein IPv6-zu-IPv4-basiertes 48-Bit-Präfix für das Intranet abgeleitet und der RAS-Server als ISATAP-Router konfiguriert, um IPv6-Konnektivität mit ISATAP-Hosts im Intranet bereitzustellen.When the Remote Access setup wizard detects that the server has no native or ISATAP-based IPv6 connectivity, it automatically derives a 6to4-based 48-bit prefix for the intranet, and configures the Remote Access server as an ISATAP router to provide IPv6 connectivity to ISATAP hosts across your intranet. (Ein IPv6-zu-IPv4-basiertes Präfix wird nur verwendet, wenn der Server öffentliche Adressen hat; andernfalls wird das Präfix automatisch aus einem eindeutigen lokalen Adressbereich generiert.)(A 6to4-based prefix is used only if the server has public addresses, otherwise the prefix is automatically generated from a unique local address range.)

Gehen Sie folgendermaßen vor, um ISATAP zu verwenden:To use ISATAP do the following:

1. registrieren Sie den ISATAP-Namen auf einem DNS-Server für jede Domäne, auf der Sie ISATAP-basierte Konnektivität aktivieren möchten, damit der ISATAP-Name vom internen DNS-Server zur internen IPv4-Adresse des Remote Zugriffs Servers aufgelöst werden kann.1. Register the ISATAP name on a DNS server for each domain on which you want to enable ISATAP-based connectivity, so that the ISATAP name is resolvable by the internal DNS server to the internal IPv4 address of the Remote Access server.
2. standardmäßig blockieren DNS-Server unter Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 die Auflösung des ISATAP-Namens mithilfe der globalen Abfrage Sperr Liste.2. By default, DNS servers running Windows Server 2012 , Windows Server 2008 R2 , Windows Server 2008 , or Windows Server 2003 block resolution of the ISATAP name by using the global query block list. Um ISATAP zu aktivieren, müssen Sie den ISATAP-Namen aus der Sperr Liste entfernen.To enable ISATAP, you must remove the ISATAP name from the block list. Weitere Informationen finden Sie unter Entfernen von ISATAP aus der globalen DNS-Abfragesperrliste.For more information, see Remove ISATAP from the DNS Global Query Block List.

Windows-basierte ISATAP-Hosts, die den ISATAP-Namen auflösen können, konfigurieren automatisch eine Adresse mit dem Remote Zugriffs Server wie folgt:Windows-based ISATAP hosts that can resolve the ISATAP name automatically configure an address with the Remote Access server as following:

1. eine ISATAP-basierte IPv6-Adresse auf einer ISATAP-Tunnelingschnittstelle1. An ISATAP-based IPv6 address on an ISATAP tunneling interface
2. eine 64-Bit-Route, die Konnektivität mit den anderen ISATAP-Hosts im Intranet bereitstellt.2. A 64-bit route that provides connectivity to the other ISATAP hosts on the intranet
3. eine IPv6-Standardroute, die auf den Remote Zugriffs Server zeigt.3. A default IPv6 route that points to the Remote Access server. Die Standardroute stellt sicher, dass Intranet-ISATAP-Hosts DirectAccess-Clients erreichen können.The default route ensures that intranet ISATAP hosts can reach DirectAccess clients

Wenn Ihre Windows-basierten ISATAP-Hosts eine ISATAP-basierte IPv6-Adresse erhalten, beginnen Sie mit der Verwendung von ISATAP-gekapselten Datenverkehr, um zu kommunizieren, ob das Ziel auch ein ISATAP-Host ist.When your Windows-based ISATAP hosts obtain an ISATAP-based IPv6 address, they begin to use ISATAP-encapsulated traffic to communicate if the destination is also an ISATAP host. Da ISATAP für das gesamte Intranet ein einzelnes 64-Bit-Subnetz verwendet, erfolgt die Kommunikation von einem segmentierten IPv4-Kommunikationsmodell mit einem einzigen subnetzkommunikationsmodell mit IPv6.Because ISATAP uses a single 64-bit subnet for the entire intranet, your communication goes from a segmented IPv4 model of communication, to a single subnet communication model with IPv6. Dies kann sich auf das Verhalten einiger Active Directory Domain Services (AD DS) und der Anwendungen auswirken, die auf die Konfiguration der Active Directory Sites und Dienste zurückgreifen.This can affect the behavior of some Active Directory Domain Services (AD DS) and applications that rely on your Active Directory Sites and Services configuration. Wenn Sie z. b. das Snap-in "Active Directory Sites und Dienste" verwendet haben, um Standorte, IPv4-basierte Subnetze und standortübergreifende Transporte zum Weiterleiten von Anforderungen an Server innerhalb von Standorten zu konfigurieren, wird diese Konfiguration von ISATAP-Hosts nicht verwendet.For example, if you used the Active Directory Sites and Services snap-in to configure sites, IPv4-based subnets, and intersite transports for forwarding requests to servers within sites, this configuration is not used by ISATAP hosts.

  1. Wenn Sie Active Directory Standorte und Dienste für die Weiterleitung an Standorten für ISATAP-Hosts konfigurieren möchten, müssen Sie für jedes IPv4-Subnetzobjekt ein entsprechendes IPv6-Subnetzobjekt konfigurieren, in dem das IPv6-Adress Präfix für das Subnetz denselben Bereich von ISATAP-Host Adressen wie das IPv4-Subnetz ausdrückt.To configure Active Directory Sites and Services for forwarding within sites for ISATAP hosts, for each IPv4 subnet object, you must configure an equivalent IPv6 subnet object, in which the IPv6 address prefix for the subnet expresses the same range of ISATAP host addresses as the IPv4 subnet. Beispiel: für das IPv4-Subnetz 192.168.99.0/24 und das 64-Bit-ISATAP-Adress Präfix 2002:836b: 1:8000::/64 ist das entsprechende IPv6-Adress Präfix für das IPv6-Subnetzobjekt 2002:836b: 1:8000:0: 5EFE: 192.168.99.0/120.For example, for the IPv4 subnet 192.168.99.0/24 and the 64-bit ISATAP address prefix 2002:836b:1:8000::/64, the equivalent IPv6 address prefix for the IPv6 subnet object is 2002:836b:1:8000:0:5efe:192.168.99.0/120. Für eine beliebige IPv4-Präfix Länge (im Beispiel auf 24 festgelegt) können Sie die entsprechende IPv6-Präfix Länge aus der Formel 96 + IPv4PrefixLength bestimmen.For an arbitrary IPv4 prefix length (set to 24 in the example), you can determine the corresponding IPv6 prefix length from the formula 96 + IPv4PrefixLength.
  2. Fügen Sie für die IPv6-Adressen von DirectAccess-Clients Folgendes hinzu:For the IPv6 addresses of DirectAccess clients, add the following:

    • Bei Teredo-basierten DirectAccess-Clients: ein IPv6-Subnetz für den Bereich 2001:0: WWXX: YYZZ::/64, bei dem WWXX: YYZZ die Doppelpunkt-hexadezimale Version der ersten IPv4-Adresse des Remote Zugriffs Servers mit Internet Zugriff ist.For Teredo-based DirectAccess clients: An IPv6 subnet for the range 2001:0:WWXX:YYZZ::/64, in which WWXX:YYZZ is the colon-hexadecimal version of the first Internet-facing IPv4 address of the Remote Access server. ..
    • Für IP-HTTPS-basierte DirectAccess-Clients: ein IPv6-Subnetz für den Bereich 2002: WWXX: YYZZ: 8100::/56, bei dem WWXX: YYZZ die Doppelpunkt-hexadezimal Version der ersten IPv4-Adresse (w. x. y. z) des Remote Zugriffs Servers ist.For IP-HTTPS-based DirectAccess clients: An IPv6 subnet for the range 2002:WWXX:YYZZ:8100::/56, in which WWXX:YYZZ is the colon-hexadecimal version of the first Internet-facing IPv4 address (w.x.y.z) of the Remote Access server. ..
    • Für IPv6-zu-IPv4-basierte DirectAccess-Clients: eine Reihe von IPv6-zu-IPv4-basierten IPv6-Präfixen, die mit 2002 beginnen: und stellen die regionalen, öffentlichen IPv4-Adress Präfixe dar, die von Internet Assigned Numbers Authority (IANA) und regionalen Registrierungen verwaltet werden.For 6to4-based DirectAccess clients: A series of 6to4-based IPv6 prefixes that begin with 2002: and represent the regional, public IPv4 address prefixes that are administered by Internet Assigned Numbers Authority (IANA) and regional registries. Das IP6-zu-IP4-basierte Präfix für das öffentliche IPv4-Adresspräfix w.x.y.z/n ist 2002:WWXX:YYZZ::/[16 +n], wobei WWXX:YYZZ die Hexadezimalnotation mit Doppelpunkt von w.x.y.z ist.The 6to4-based prefix for a public IPv4 address prefix w.x.y.z/n is 2002:WWXX:YYZZ::/[16+n], in which WWXX:YYZZ is the colon-hexadecimal version of w.x.y.z.

      Der Bereich 7.0.0.0/8 wird z. B. von der ARIN (American Registry for Internet Numbers) für Nordamerika verwaltet.For example, the 7.0.0.0/8 range is administered by American Registry for Internet Numbers (ARIN) for North America. Das entsprechende IPv6-zu-IPv4-basierte Präfix für diesen öffentlichen IPv6-Adressbereich ist 2002:700::/24.The corresponding 6to4-based prefix for this public IPv6 address range is 2002:700::/24. Weitere Informationen zum öffentlichen IPv4-Adressraum finden Sie unter IANA-IPv4-Adressraum Registrierung.For information about the IPv4 public address space, see IANA IPv4 Address Space Registry. ..

Wichtig

Stellen Sie sicher, dass Sie nicht über öffentliche IP-Adressen auf der internen Schnittstelle des DirectAccess-Servers verfügen.Ensure that you do not have public IP addresses on the internal interface of the DirectAccess server. Wenn Sie über eine öffentliche IP-Adresse auf der internen Schnittstelle verfügen, kann die Konnektivität über ISATAP fehlschlagen.If you have public IP address on the internal interface, connectivity through ISATAP may fail.

Planen der FirewallanforderungenPlan firewall requirements

Wenn sich der Remotezugriffsserver hinter einer Edge-Firewall befindet, sind folgende Ausnahmen für Remotezugriff-Datenverkehr erforderlich, wenn sich der Remotezugriffsserver auf dem IPv4-Internet befindet:If the Remote Access server is behind an edge firewall, the following exceptions will be required for Remote Access traffic when the Remote Access server is on the IPv4 Internet:

  • Für IP-HTTPS: TCP (Transmission Control Protocol)-Zielport 443 und TCP-Quellport 443 ausgehend.For IP-HTTPS: Transmission Control Protocol (TCP) destination port 443, and TCP source port 443 outbound.

  • Für Teredo-Datenverkehr: der UDP-Zielport 3544 (User Datagram Protocol), eingehend und UDP-Quellport 3544 ausgehend.For Teredo traffic: User Datagram Protocol (UDP) destination port 3544 inbound, and UDP source port 3544 outbound.

  • Für IPv6-zu-IPv4-Datenverkehr: eingehende und ausgehende IP-Adresse 41.For 6to4 traffic: IP Protocol 41 inbound and outbound.

    Hinweis

    Bei Teredo- und IP6-zu-IP4-Datenverkehr sollten diese Ausnahmen für beide aufeinander folgenden öffentlichen IPv4-Adressen mit Internetzugriff auf dem RAS-Server angewendet werden.For Teredo and 6to4 traffic, these exceptions should be applied for both of the Internet-facing consecutive public IPv4 addresses on the Remote Access server.

    Bei IP-HTTPS müssen die Ausnahmen auf die Adresse angewendet werden, die auf dem öffentlichen DNS-Server registriert ist.For IP-HTTPS the exceptions need to be applied on the address that is registered on the public DNS server.

  • Wenn Sie den Remote Zugriff mit einem einzigen Netzwerkadapter bereitstellen und den Netzwerkadressen Server auf dem Remote Zugriffs Server installieren, TCP-Port 62000.If you are deploying Remote Access with a single network adapter and installing the network location server on the Remote Access server, TCP port 62000.

    Hinweis

    Diese Ausnahme wird auf dem RAS-Server verwendet, und die vorherigen Ausnahmen befinden sich auf der Edge-Firewall.This exemption is on the Remote Access server, and the previous exemptions are on the edge firewall.

Die folgenden Ausnahmen sind für RAS-Datenverkehr erforderlich, wenn sich der RAS-Server im IPv6-Internet befindet:The following exceptions are required for Remote Access traffic when the Remote Access server is on the IPv6 Internet:

  • IP-Protokoll 50IP Protocol 50

  • UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.UDP destination port 500 inbound, and UDP source port 500 outbound.

  • ICMPv6 eingehender und ausgehender Datenverkehr (nur bei Verwendung von Teredo).ICMPv6 traffic inbound and outbound (only when using Teredo).

Wenn Sie zusätzliche Firewalls verwenden, wenden Sie die folgenden internen netzwerkfirewallausnahmen für RAS-Datenverkehr an:When you are using additional firewalls, apply the following internal network firewall exceptions for Remote Access traffic:

  • Für ISATAP: das eingehende und ausgehende Protokoll 41For ISATAP: Protocol 41 inbound and outbound

  • Für den gesamten IPv4/IPv6-Datenverkehr: TCP/UDFor all IPv4/IPv6 traffic: TCP/UD

  • Für Teredo: ICMP für den gesamten IPv4/IPv6-DatenverkehrFor Teredo: ICMP for all IPv4/IPv6 traffic

Planen der ZertifikatanforderungenPlan certificate requirements

Es gibt drei Szenarien, die Zertifikate erfordern, wenn Sie einen einzelnen Remote Zugriffs Server bereitstellen.There are three scenarios that require certificates when you deploy a single Remote Access server.

  • IPSec-Authentifizierung: die Zertifikat Anforderungen für IPSec beinhalten ein Computer Zertifikat, das von DirectAccess-Client Computern verwendet wird, wenn Sie die IPSec-Verbindung mit dem RAS-Server herstellen, und ein Computer Zertifikat, das von RAS-Servern zum Einrichten von IPSec-Verbindungen mit DirectAccess-Clients verwendet wird.IPsec authentication: Certificate requirements for IPsec include a computer certificate that is used by DirectAccess client computers when they establish the IPsec connection with the Remote Access server, and a computer certificate that is used by Remote Access servers to establish IPsec connections with DirectAccess clients.

    Für DirectAccess in Windows Server 2012 ist die Verwendung dieser IPSec-Zertifikate nicht obligatorisch.For DirectAccess in Windows Server 2012 , the use of these IPsec certificates is not mandatory. Als Alternative kann der RAS-Server als Proxy für die Kerberos-Authentifizierung fungieren, ohne dass Zertifikate erforderlich sind.As an alternative, the Remote Access server can act as a proxy for Kerberos authentication without requiring certificates. Wenn die Kerberos-Authentifizierung verwendet wird, funktioniert Sie über SSL, und das Kerberos-Protokoll verwendet das Zertifikat, das für IP-HTTPS konfiguriert wurde.If Kerberos authentication is used, it works over SSL, and the Kerberos protocol uses the certificate that was configured for IP-HTTPS. Für einige Unternehmens Szenarien (einschließlich Bereitstellung für mehrere Standorte und einmalige Kenn Wort Authentifizierung) ist die Verwendung der Zertifikat Authentifizierung und nicht die Kerberos-Authentifizierung erforderlich.Some enterprise scenarios (including multisite deployment and one-time password client authentication) require the use of certificate authentication, and not Kerberos authentication.

  • IP-HTTPS-Server: Wenn Sie den Remote Zugriff konfigurieren, wird der Remote Zugriffs Server automatisch als IP-HTTPS-Weblistener konfiguriert.IP-HTTPS server: When you configure Remote Access, the Remote Access server is automatically configured to act as the IP-HTTPS web listener. Die IP-HTTPS-Website erfordert ein Websitezertifikat, und Clientcomputer müssen in der Lage sein, die CRL-Website (Certificate Revocation List, Zertifikatsperrlisten) für das Zertifikat zu kontaktieren.The IP-HTTPS site requires a website certificate, and client computers must be able to contact the certificate revocation list (CRL) site for the certificate.

  • Netzwerkadressen Server: der Netzwerkadressen Server ist eine Website, mit der erkannt wird, ob sich Client Computer im Unternehmensnetzwerk befinden.Network location server: The network location server is a website that is used to detect whether client computers are located in the corporate network. Der Netzwerkadressenserver erfordert ein Websitezertifikat.The network location server requires a website certificate. DirectAccess-Clients müssen die CRL-Website für das Zertifikat kontaktieren können.DirectAccess clients must be able to contact the CRL site for the certificate.

Die Zertifizierungsstellen Anforderungen für die einzelnen Szenarien sind in der folgenden Tabelle zusammengefasst.The certification authority (CA) requirements for each of these scenarios is summarized in the following table.

IPsec-AuthentifizierungIPsec authentication IP-HTTPS-ServerIP-HTTPS server NetzwerkadressenserverNetwork location server
Eine interne Zertifizierungsstelle ist erforderlich, um Computer Zertifikate für den RAS-Server und Clients für die IPSec-Authentifizierung auszugeben, wenn Sie das Kerberos-Protokoll nicht für die Authentifizierung verwenden.An internal CA is required to issue computer certificates to the Remote Access server and clients for IPsec authentication when you don't use the Kerberos protocol for authentication. Interne Zertifizierungsstelle: Sie können eine interne Zertifizierungsstelle zum Ausstellen des IP-HTTPS-Zertifikats verwenden. Sie müssen jedoch sicherstellen, dass der CRL-Verteilungs Punkt extern verfügbar ist.Internal CA: You can use an internal CA to issue the IP-HTTPS certificate; however, you must make sure that the CRL distribution point is available externally. Interne Zertifizierungsstelle: Sie können eine interne Zertifizierungsstelle verwenden, um das Netzwerkadressen Server-Website Zertifikat auszustellen.Internal CA: You can use an internal CA to issue the network location server website certificate. Stellen Sie sicher, dass der Sperrlisten-Verteilungspunkt eine hohe Verfügbarkeit vom internen Netzwerk aus hat.Make sure that the CRL distribution point is highly available from the internal network.
Selbst signiertes Zertifikat: Sie können ein selbst signiertes Zertifikat für den IP-HTTPS-Server verwenden.Self-signed certificate: You can use a self-signed certificate for the IP-HTTPS server. Ein selbstsigniertes Zertifikat kann nicht in Bereitstellungen für mehrere Standorte verwendet werden.A self-signed certificate cannot be used in a multisite deployment. Selbst signiertes Zertifikat: Sie können ein selbst signiertes Zertifikat für die Netzwerkadressen Server-Website verwenden. in bereit Stellungen mit mehreren Standorten können Sie jedoch kein selbst signiertes Zertifikat verwenden.Self-signed certificate: You can use a self-signed certificate for the network location server website; however, you cannot use a self-signed certificate in multisite deployments.
Öffentliche Zertifizierungsstelle: Es wird empfohlen, eine öffentliche Zertifizierungsstelle zum Ausstellen des IP-HTTPS-Zertifikats zu verwenden. Dadurch wird sichergestellt, dass der CRL-Verteilungs Punkt extern verfügbar ist.Public CA: We recommend that you use a public CA to issue the IP-HTTPS certificate, this ensures that the CRL distribution point is available externally.

Planen von Computerzertifikaten für IPsec-AuthentifizierungPlan computer certificates for IPsec authentication

Wenn Sie die Zertifikat basierte IPSec-Authentifizierung verwenden, müssen der RAS-Server und die Clients ein Computer Zertifikat abrufen.If you are using certificate-based IPsec authentication, the Remote Access server and clients are required to obtain a computer certificate. Die einfachste Möglichkeit zum Installieren der Zertifikate ist die Verwendung Gruppenrichtlinie zum Konfigurieren der automatischen Registrierung von Computer Zertifikaten.The simplest way to install the certificates is to use Group Policy to configure automatic enrollment for computer certificates. Dadurch wird sichergestellt, dass alle Domänenmitglieder ein Zertifikat von einer Unternehmenszertifizierungsstelle erhalten.This ensures that all domain members obtain a certificate from an enterprise CA. Wenn Sie keine Unternehmenszertifizierungsstelle in Ihrer Organisation eingerichtet haben, finden Sie unterActive Directory Certificate Services.If you do not have an enterprise CA set up in your organization, see Active Directory Certificate Services.

Für dieses Zertifikat gelten die folgenden Anforderungen:This certificate has the following requirements:

  • Das Zertifikat muss über die Client Authentifizierung erweiterte Schlüssel Verwendung (Extended Key Usage, EKU) verfügen.The certificate should have client authentication extended key usage (EKU).

  • Die Client-und Server Zertifikate müssen sich auf das gleiche Stamm Zertifikat beziehen.The client and the server certificates should relate to the same root certificate. Das Stammzertifikat muss in den DirectAccess-Konfigurationseinstellungen ausgewählt sein.This root certificate must be selected in the DirectAccess configuration settings.

Planen von Zertifikaten für IP-HTTPSPlan certificates for IP-HTTPS

Der Remotezugriffsserver fungiert als IP-HTTPS-Listener, und Sie müssen manuell ein HTTPS-Websitezertifikat auf dem Server installieren.The Remote Access server acts as an IP-HTTPS listener, and you must manually install an HTTPS website certificate on the server. Beachten Sie Folgendes bei der Planung:Consider the following when you are planning:

  • Die Verwendung einer öffentlichen Zertifizierungsstelle wird empfohlen, damit Zertifikatsperrlisten schneller verfügbar sind.Using a public CA is recommended, so that CRLs are readily available.

  • Geben Sie im Feld Betreff die IPv4-Adresse des Internet Adapters des Remote Zugriffs Servers oder den voll qualifizierten Namen der IP-HTTPS-URL an (die ConnectTo-Adresse).In the subject field, specify the IPv4 address of the Internet adapter of Remote Access server or the FQDN of the IP-HTTPS URL (the ConnectTo address). Falls sich der Remotezugriffsserver hinter einem NAT-Gerät befindet, sollte der öffentliche Name oder die Adresse des NAT-Geräts angegeben werden.If the Remote Access server is located behind a NAT device, the public name or address of the NAT device should be specified.

  • Der allgemeine Name des Zertifikats sollte dem Namen der IP-HTTPS-Website entsprechen.The common name of the certificate should match the name of the IP-HTTPS site.

  • Verwenden Sie für das Feld Erweiterte Schlüssel Verwendung die Serverauthentifizierungs-Objekt Kennung (OID).For the Enhanced Key Usage field, use the Server Authentication object identifier (OID).

  • Geben Sie im Feld Sperrlisten-Verteilungspunkte einen Zertifikatsperrlisten-Verteilungspunkt an, auf den mit dem Internet verbundene DirectAccess-Clients zugreifen können.For the CRL Distribution Points field, specify a CRL distribution point that is accessible by DirectAccess clients that are connected to the Internet.

    Hinweis

    Dies ist nur für Clients erforderlich, auf denen Windows 7 ausgeführt wird.This is only required for clients running Windows 7.

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.The IP-HTTPS certificate must have a private key.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher importiert werden.The IP-HTTPS certificate must be imported directly into the personal store.

  • Die Namen von IP-HTTPS-Zertifikaten können Platzhalter enthalten.IP-HTTPS certificates can have wildcard characters in the name.

Planen von Websitezertifikaten für den NetzwerkadressenserverPlan website certificates for the network location server

Beachten Sie bei der Planung der Netzwerkadressen Server-Website Folgendes:Consider the following when you are planning the network location server website:

  • Im Feld Antragsteller muss eine IP-Adresse der Intranetschnittstelle des Netzwerkadressenservers oder der FQDN der Netzwerkadressen-URL angegeben sein.In the Subject field, specify an IP address of the intranet interface of the network location server or the FQDN of the network location URL.

  • Verwenden Sie für das Feld Erweiterte Schlüssel Verwendung die Serverauthentifizierungs-OID.For the Enhanced Key Usage field, use the Server Authentication OID.

  • Verwenden Sie für das Feld CRL-Verteilungs Punkte einen Zertifikat Sperr Listen-Verteilungs Punkt, auf den DirectAccess-Clients, die mit dem Intranet verbunden sind, zugreifen können.For the CRL Distribution Points field, use a CRL distribution point that is accessible by DirectAccess clients that are connected to the intranet. Der Zertifikatsperrlisten-Verteilungspunkt sollte nicht von außerhalb des internen Netzwerks zugänglich sein.This CRL distribution point should not be accessible from outside the internal network.

Hinweis

Stellen Sie sicher, dass die Zertifikate für IP-HTTPS und den Netzwerkadressen Server einen Antragsteller Namen aufweisen.Ensure that the certificates for IP-HTTPS and network location server have a subject name. Wenn das Zertifikat einen alternativen Namen verwendet, wird es nicht vom RAS-Assistenten akzeptiert.If the certificate uses an alternative name, it will not be accepted by the Remote Access Wizard.

Planen der DNS-AnforderungenPlan DNS requirements

In diesem Abschnitt werden die DNS-Anforderungen für Clients und Server in einer Remote Zugriffs Bereitstellung erläutert.This section explains the DNS requirements for clients and servers in a Remote Access deployment.

DirectAccess-ClientanfragenDirectAccess client requests

DNS wird verwendet, um Anforderungen von DirectAccess-Clientcomputern aufzulösen, die sich nicht im internen Netzwerk befinden.DNS is used to resolve requests from DirectAccess client computers that are not located on the internal network. DirectAccess-Clients versuchen, eine Verbindung mit dem DirectAccess-Netzwerkadressen Server herzustellen, um zu bestimmen, ob Sie sich im Internet oder im Unternehmensnetzwerk befinden.DirectAccess clients attempt to connect to the DirectAccess network location server to determine whether they are located on the Internet or on the corporate network.

  • Wenn die Verbindung erfolgreich hergestellt wurde, werden die Clients im Intranet festgelegt, DirectAccess wird nicht verwendet, und Client Anforderungen werden mithilfe des DNS-Servers aufgelöst, der auf dem Netzwerkadapter des Client Computers konfiguriert ist.If the connection is successful, clients are determined to be on the intranet, DirectAccess is not used, and client requests are resolved by using the DNS server that is configured on the network adapter of the client computer.

  • Wenn keine Verbindung hergestellt werden kann, wird davon ausgegangen, dass sich die Clients im Internet befinden.If the connection does not succeed, clients are assumed to be on the Internet. DirectAccess-Clients verwenden die Richtlinientabelle für die Namensauflösung, um zu ermitteln, welcher DNS-Server beim Auflösen von Namensanforderungen verwendet werden soll.DirectAccess clients will use the name resolution policy table (NRPT) to determine which DNS server to use when resolving name requests. Sie können angeben, dass Clients DirectAccess-DNS64 oder einen anderen internen DNS-Server für die Auflösung von Namen verwenden.You can specify that clients should use DirectAccess DNS64 to resolve names, or an alternative internal DNS server.

Wenn Sie eine Namensauflösung durchführen, wird die NRPT von DirectAccess-Clients verwendet, um festzulegen, wie eine Anfrage behandelt werden soll.When performing name resolution, the NRPT is used by DirectAccess clients to identify how to handle a request. Clients fordern einen voll qualifizierten Namen oder einen Namen mit einer einzelnen Bezeichnung an, z https://internal . b..Clients request an FQDN or single-label name such as https://internal. Wenn ein Name mit einer einzelnen Bezeichnung gefordert ist, wird ein DNS-Suffix angehängt, um einen FQDN zu bilden.If a single-label name is requested, a DNS suffix is appended to make an FQDN. Wenn die DNS-Abfrage mit einem Eintrag in der NRPT und DNS4 übereinstimmt oder ein Intranet-DNS-Server für den Eintrag angegeben wurde, wird die Abfrage für die Namensauflösung mithilfe des angegebenen Servers gesendet.If the DNS query matches an entry in the NRPT and DNS4 or an intranet DNS server is specified for the entry, the query is sent for name resolution by using the specified server. Wenn eine Übereinstimmung vorhanden ist, aber kein DNS-Server angegeben ist, wird eine Ausnahme Regel und eine normale Namensauflösung angewendet.If a match exists but no DNS server is specified, an exemption rule and normal name resolution is applied.

Wenn ein neues Suffix zur NRPT in der Remote Zugriffs-Verwaltungskonsole hinzugefügt wird, können die Standard-DNS-Server für das Suffix automatisch erkannt werden, indem Sie auf die Schaltfläche " erkennen " klicken.When a new suffix is added to the NRPT in the Remote Access Management console, the default DNS servers for the suffix can be automatically discovered by clicking the Detect button. Die automatische Erkennung funktioniert wie folgt:Automatic detection works as follows:

  • Wenn das Unternehmensnetzwerk IPv4-basiert ist oder IPv4 und IPv6 verwendet, ist die Standardadresse die DNS64-Adresse des internen Adapters auf dem Remote Zugriffs Server.If the corporate network is IPv4-based, or it uses IPv4 and IPv6, the default address is the DNS64 address of the internal adapter on the Remote Access server.

  • Wenn das Unternehmensnetzwerk IPv6-basiert ist, ist die Standardadresse die IPv6-Adresse der DNS-Server auf dem Unternehmensnetzwerk.If the corporate network is IPv6-based, the default address is the IPv6 address of DNS servers in the corporate network.

InfrastrukturserverInfrastructure servers
  • NetzwerkadressenserverNetwork location server

    DirectAccess-Clients versuchen, den Netzwerkadressenserver zu erreichen, um zu bestimmen, ob sie sich auf dem internen Netzwerk befinden.DirectAccess clients attempt to reach the network location server to determine if they are on the internal network. Clients im internen Netzwerk müssen in der Lage sein, den Namen des Netzwerkadressen Servers aufzulösen, und Sie müssen daran gehindert werden, den Namen zu beheben, wenn Sie sich im Internet befinden.Clients on the internal network must be able to resolve the name of the network location server, and they must be prevented from resolving the name when they are located on the Internet. Um dies zu gewährleisten, wird der FQDN des Netzwerkadressenservers standardmäßig als Ausnahmeregel zum NRPT hinzugefügt.To ensure that this occurs, by default, the FQDN of the network location server is added as an exemption rule to the NRPT. Außerdem werden bei der Konfiguration von RAS folgende Regeln automatisch erstellt:In addition, when you configure Remote Access, the following rules are created automatically:

    • Eine DNS-Suffixregel für die Stamm Domäne oder den Domänen Namen des Remote Zugriffs Servers und die IPv6-Adressen, die den Intranet-DNS-Servern entsprechen, die auf dem RAS-Server konfiguriert sind.A DNS suffix rule for root domain or the domain name of the Remote Access server, and the IPv6 addresses that correspond to the intranet DNS servers that are configured on the Remote Access server. Wenn der Remotezugriffsserver z. B. Mitglied der Domäne corp.contoso.com ist, wird für das DNS-Suffix .corp.contoso.com eine Regel erstellt.For example, if the Remote Access server is a member of the corp.contoso.com domain, a rule is created for the corp.contoso.com DNS suffix.

    • Eine Ausnahmeregel für den FQDN des Netzwerkadressenservers.An exemption rule for the FQDN of the network location server. Wenn die Netzwerkadressen Server-URL z. b https://nls.corp.contoso.com . lautet, wird eine Ausnahme Regel für den voll qualifizierten Namen nls.Corp.contoso.com erstellt.For example, if the network location server URL is https://nls.corp.contoso.com, an exemption rule is created for the FQDN nls.corp.contoso.com.

  • IP-HTTPS-ServerIP-HTTPS server

    Der RAS-Server fungiert als IP-HTTPS-Listener und verwendet das Serverzertifikat zur Authentifizierung bei IP-HTTPS-Clients.The Remote Access server acts as an IP-HTTPS listener and uses its server certificate to authenticate to IP-HTTPS clients. Der IP-HTTPS-Name muss von DirectAccess-Clients aufgelöst werden können, die öffentliche DNS-Server verwenden.The IP-HTTPS name must be resolvable by DirectAccess clients that use public DNS servers.

VerbindungsprüferConnectivity verifiers

RAS erstellt einen Standard-Webtest, der von DirectAccess-Clientcomputern dazu verwendet wird, die Konnektivität zum internen Netzwerk zu prüfen.Remote Access creates a default web probe that is used by DirectAccess client computers to verify connectivity to the internal network. Damit der Test wie erwartet funktioniert, müssen folgende Namen manuell in dem DNS registriert werden:To ensure that the probe works as expected, the following names must be registered manually in DNS:

  • DirectAccess-WebProbe Host sollte in die interne IPv4-Adresse des RAS-Servers oder die IPv6-Adresse in einer reinen IPv6-Umgebung aufgelöst werden.directaccess-webprobehost should resolve to the internal IPv4 address of the Remote Access server, or to the IPv6 address in an IPv6-only environment.

  • DirectAccess-corpconnectivityhost sollte in die lokale Host Adresse (Loopback) aufgelöst werden.directaccess-corpconnectivityhost should resolve to the local host (loopback) address. Sie sollten A-und AAAA-Einträge erstellen.You should create A and AAAA records. Der Wert des A-Datensatzes ist 127.0.0.1, und der Wert des AAAA-Datensatzes wird aus dem NAT64-Präfix mit den letzten 32 Bits als 127.0.0.1 erstellt.The value of the A record is 127.0.0.1, and the value of the AAAA record is constructed from the NAT64 prefix with the last 32 bits as 127.0.0.1. Das NAT64-Präfix kann durch Ausführen des Windows PowerShell-Cmdlets Get-netnattransitionconfiguration abgerufen werden.The NAT64 prefix can be retrieved by running the Get-netnatTransitionConfiguration Windows PowerShell cmdlet.

    Hinweis

    Dies gilt nur in reinen IPv4-Umgebungen.This is valid only in IPv4-only environments. Erstellen Sie in einer Umgebung mit IPv4 Plus IPv6 oder einer reinen IPv6-Umgebung nur einen AAAA-Datensatz mit der Loopback-IP-Adresse:: 1.In an IPv4 plus IPv6 or an IPv6-only environment, create only a AAAA record with the loopback IP address ::1.

Mithilfe anderer Webadressen über HTTP oder Ping können Sie zusätzliche Verbindungs Prüfer erstellen.You can create additional connectivity verifiers by using other web addresses over HTTP or PING. Für jeden Verbindungsprüfer muss ein DNS-Eintrag vorhanden sein.For each connectivity verifier, a DNS entry must exist.

DNS-ServeranforderungenDNS server requirements
  • Für DirectAccess-Clients müssen Sie einen DNS-Server verwenden, auf dem Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 oder ein beliebiger DNS-Server ausgeführt wird, der IPv6 unterstützt.For DirectAccess clients, you must use a DNS server running Windows Server 2012 , Windows Server 2008 R2 , Windows Server 2008 , Windows Server 2003, or any DNS server that supports IPv6.

  • Sie sollten einen DNS-Server verwenden, der dynamische Updates unterstützt.You should use a DNS server that supports dynamic updates. Sie können DNS-Server verwenden, die keine dynamischen Updates unterstützen, aber die Einträge müssen manuell aktualisiert werden.You can use DNS servers that do not support dynamic updates, but then entries must be manually updated.

  • Der voll qualifizierte Verwaltungspunkt für die CRL-Verteilungs Punkte muss mithilfe von Internet-DNS-Servern aufgelöst werden können.The FQDN for your CRL distribution points must be resolvable by using Internet DNS servers. Wenn sich beispielsweise die URL https://crl.contoso.com/crld/corp-DC1-CA.crl im Feld CRL-Verteilungs Punkte des IP-HTTPS-Zertifikats des RAS-Servers befindet, müssen Sie sicherstellen, dass der voll qualifizierte Computer crld.contoso.com mithilfe von Internet-DNS-Servern aufgelöst werden kann.For example, if URL https://crl.contoso.com/crld/corp-DC1-CA.crl is in the CRL Distribution Points field of the IP-HTTPS certificate of the Remote Access server, you must ensure that the FQDN crld.contoso.com is resolvable by using Internet DNS servers.

Planen der lokalen NamensauflösungPlan for local name resolution

Beachten Sie Folgendes, wenn Sie eine lokale Namensauflösung planen:Consider the following when you are planning for local name resolution:

NRPTNRPT

In den folgenden Situationen müssen Sie möglicherweise zusätzliche Regeln der Richtlinien Tabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) erstellen:You may need to create additional name resolution policy table (NRPT) rules in the following situations:

  • Sie müssen weitere DNS-Suffixe für den Intranetnamespace hinzufügen.You need to add more DNS suffixes for your intranet namespace.

  • Wenn die voll qualifizierten Domänen Namen der CRL-Verteilungs Punkte auf dem Intranetnamespace basieren, müssen Sie Ausnahmeregeln für die voll qualifizierten Domänen Namen der CRL-Verteilungs Punkte hinzufügen.If the FQDNs of your CRL distribution points are based on your intranet namespace, you must add exemption rules for the FQDNs of the CRL distribution points.

  • Wenn Sie über eine Split-Brain-DNS-Umgebung verfügen, müssen Sie Ausnahmeregeln für die Namen von Ressourcen hinzufügen, für die DirectAccess-Clients im Internet auf die Internetversion anstatt auf die Intranetversion zugreifen sollen.If you have a split-brain DNS environment, you must add exemption rules for the names of resources for which you want DirectAccess clients that are located on the Internet to access the Internet version, rather than the intranet version.

  • Wenn Sie Datenverkehr über Ihre Intranet-Webproxyserver an eine externe Website weiterleiten, ist die externe Website nur über das Intranet verfügbar.If you are redirecting traffic to an external website through your intranet web proxy servers, the external website is available only from the intranet. Er verwendet die Adressen der Webproxyserver, um eingehende Anforderungen zuzulassen.It uses the addresses of your web proxy servers to permit the inbound requests. Fügen Sie in diesem Fall eine Ausnahme Regel für den voll qualifizierten Domänen Namen der externen Website hinzu, und geben Sie an, dass die Regel den Intranet-Webproxyserver anstelle der IPv6-Adressen der Intranet-DNS-Server verwendet.In this situation, add an exemption rule for the FQDN of the external website, and specify that the rule uses your intranet web proxy server rather than the IPv6 addresses of intranet DNS servers.

    Nehmen wir beispielsweise an, Sie testen eine externe Website mit dem Namen Test.contoso.com.For example, let's say that you are testing an external website named test.contoso.com. Dieser Name kann nicht über Internet-DNS-Server aufgelöst werden, aber der Webproxyserver von Configuration Manager weiß, wie der Name aufgelöst werden kann und wie Anforderungen für die Website an den externen Webserver umgeleitet werden.This name is not resolvable through Internet DNS servers, but the Contoso web proxy server knows how to resolve the name and how to direct requests for the website to the external web server. Um den Sitezugriff durch Benutzer zu verhindern, die sich nicht im Contoso-Intranet befinden, lässt die externe Website nur Anforderungen von der IPv4-Internetadresse des Contoso-Webproxys zu.To prevent users who are not on the Contoso intranet from accessing the site, the external website allows requests only from the IPv4 Internet address of the Contoso web proxy. Daher können Intranetbenutzer auf die Website zugreifen, weil Sie den Webproxy von "Web" verwenden, DirectAccess-Benutzer jedoch nicht, weil Sie den Webproxy von "Web" nicht verwenden.Thus, intranet users can access the website because they are using the Contoso web proxy, but DirectAccess users cannot because they are not using the Contoso web proxy. Wenn eine NRPT-Ausnahmeregel für test.contoso.com konfiguriert wird, die den Contoso-Webproxy verwendet, werden Webseitenanforderungen für test.contoso.com über das IPv4-Internet zum Intranet-Webproxyserver weitergeleitet.By configuring an NRPT exemption rule for test.contoso.com that uses the Contoso web proxy, webpage requests for test.contoso.com are routed to the intranet web proxy server over the IPv4 Internet.

Einteilige NamenSingle label names

Einzelne Bezeichnungs Namen, wie z https://paycheck . b., werden manchmal für Intranetserver verwendet.Single label names, such as https://paycheck, are sometimes used for intranet servers. Wenn ein einzelner Bezeichnungs Name angefordert und eine DNS-Suffixsuchliste konfiguriert wird, werden die DNS-Suffixe in der Liste an den Namen der einzigen Bezeichnung angehängt.If a single label name is requested and a DNS suffix search list is configured, the DNS suffixes in the list will be appended to the single label name. Wenn z. b. ein Benutzer auf einem Computer, der Mitglied der Corp.contoso.com-Domänen Typen https://paycheck im Webbrowser ist, der als Name erstellte FQDN Paycheck.Corp.contoso.com lautet.For example, when a user on a computer that is a member of the corp.contoso.com domain types https://paycheck in the web browser, the FQDN that is constructed as the name is paycheck.corp.contoso.com. Standardmäßig basiert das angefügte Suffix auf dem primären DNS-Suffix des Client Computers.By default, the appended suffix is based on the primary DNS suffix of the client computer.

Hinweis

In einem separaten Namespace Szenario (in dem ein oder mehrere Domänen Computer ein DNS-Suffix haben, das nicht der Active Directory Domäne entspricht, der die Computer angehören), sollten Sie sicherstellen, dass die Suchliste so angepasst ist, dass Sie alle erforderlichen Suffixe enthält.In a disjointed name space scenario (where one or more domain computers has a DNS suffix that does not match the Active Directory domain to which the computers are members), you should ensure that the search list is customized to include all the required suffixes. Standardmäßig konfiguriert der Remote Zugriffs-Assistent den Active Directory DNS-Namen als primäres DNS-Suffix auf dem Client.By default, the Remote Access Wizard, configures the Active Directory DNS name as the primary DNS suffix on the client. Stellen Sie sicher, dass Sie das DNS-Suffix hinzufügen, das von den Clients für die Namensauflösung verwendet wird.Make sure to add the DNS suffix that is used by clients for name resolution.

Wenn in Ihrer Organisation mehrere Domänen und Windows Internet Name Service (WINS) bereitgestellt werden und Sie eine Remote Verbindung herstellen, können Einzel Namen wie folgt aufgelöst werden:If multiple domains and Windows Internet Name Service (WINS) are deployed in your organization, and you are connecting remotely, single-names can be resolved as follows:

  • Durch Bereitstellen einer WINS-Forward-Lookupzone im DNS.By deploying a WINS forward lookup zone in the DNS. Wenn Sie versuchen, Computername.DNS.zone1.Corp.contoso.com aufzulösen, wird die Anforderung an den WINS-Server weitergeleitet, der nur den Computernamen verwendet.When trying to resolve computername.dns.zone1.corp.contoso.com, the request is directed to the WINS server that is only using the computer name. Der Client geht davon aus, dass er eine reguläre DNS a Records-Anforderung ausgibt, es handelt sich jedoch tatsächlich um eine NetBIOS-Anforderung.The client thinks it is issuing a regular DNS A records request, but it is actually a NetBIOS request.

    Weitere Informationen finden Sie unter Verwalten einer Forward-Lookupzone.For more information, see Managing a Forward Lookup Zone.

  • Durch Hinzufügen eines DNS-Suffixes (z. b. DNS.zone1.Corp.contoso.com) zum Standard Domänen-Gruppenrichtlinien Objekt.By adding a DNS suffix (for example, dns.zone1.corp.contoso.com) to the default domain GPO.

Split-Brain-DNSSplit-brain DNS

Split-Brain-DNS bezieht sich auf die Verwendung derselben DNS-Domäne für die Internet-und Intranetnamensauflösung.Split-brain DNS refers to the use of the same DNS domain for Internet and intranet name resolution.

Bei Split-Brain-DNS-bereit Stellungen müssen Sie die vollständig im Internet und im Intranet duplizierten voll qualifizierten Domänen Namen auflisten und entscheiden, welche Ressourcen der DirectAccess-Client erreichen soll: die Intranet-oder die Internet Version.For split-brain DNS deployments, you must list the FQDNs that are duplicated on the Internet and intranet, and decide which resources the DirectAccess client should reach-the intranet or the Internet version. Wenn DirectAccess-Clients die Internet Version erreichen möchten, müssen Sie der NRPT für jede Ressource den entsprechenden FQDN als Ausnahme Regel hinzufügen.When you want DirectAccess clients to reach the Internet version, you must add the corresponding FQDN as an exemption rule to the NRPT for each resource.

Wenn Sie in einer Split-Brain-DNS-Umgebung beide Versionen der Ressource verfügbar sein sollen, konfigurieren Sie Ihre Intranetressourcen mit Namen, die nicht die im Internet verwendeten Namen duplizieren.In a split-brain DNS environment, if you want both versions of the resource to be available, configure your intranet resources with names that do not duplicate the names that are used on the Internet. Weisen Sie Ihre Benutzer dann an, den alternativen Namen zu verwenden, wenn Sie auf die Ressource im Intranet zugreifen.Then instruct your users to use the alternate name when they access the resource on the intranet. Konfigurieren Sie z. b . . www Internal.contoso.com als internen Namen von www . contoso.com.For example, configure www.internal.contoso.com for the internal name of www.contoso.com.

In einer Umgebung ohne Split-Brain-DNS unterscheidet sich der Internetnamespace vom Intranetnamespace.In a non-split-brain DNS environment, the Internet namespace is different from the intranet namespace. Die Contoso Corporation verwendet z. B. im Internet contoso.com und im Intranet corp.contoso.com.For example, the Contoso Corporation uses contoso.com on the Internet and corp.contoso.com on the intranet. Da alle Intranetressourcen das DNS-Suffix corp.contoso.com verwenden, leitet die NRPT-Regel für corp.contoso.com alle DNS-Namensabfragen für Intranetressourcen an Intranet-DNS-Server weiter.Because all intranet resources use the corp.contoso.com DNS suffix, the NRPT rule for corp.contoso.com routes all DNS name queries for intranet resources to intranet DNS servers. DNS-Abfragen für Namen mit dem Suffix "contoso.com" stimmen nicht mit der Corp.contoso.com-Intranetnamespace-Regel in der NRPT und werden an Internet-DNS-Server gesendet.DNS queries for names with the contoso.com suffix do not match the corp.contoso.com intranet namespace rule in the NRPT, and they are sent to Internet DNS servers. Bei einer Bereitstellung ohne Split-Brain-DNS ist für die NRPT keine zusätzliche Konfiguration erforderlich, da keine Doppelung der FQDNs für Intranet- und Internetressourcen auftritt.With a non-split-brain DNS deployment, because there is no duplication of FQDNs for intranet and Internet resources, there is no additional configuration needed for the NRPT. DirectAccess-Clients können auf Internet-und Intranetressourcen für Ihre Organisation zugreifen.DirectAccess clients can access both Internet and intranet resources for their organization.

Planen des Namens der lokalen Namensauflösung für DirectAccess-ClientsPlan local name resolution behavior for DirectAccess clients

Wenn ein Name nicht mit DNS aufgelöst werden kann, kann der DNS-Client Dienst in Windows Server 2012, Windows 8, Windows Server 2008 R2 und Windows 7 die lokale Namensauflösung verwenden, mit der Link-Local-Multicast-Namensauflösung (LLMNR) und NetBIOS über TCP/IP-Protokollen, um den Namen im lokalen Subnetz aufzulösen.If a name cannot be resolved with DNS, the DNS Client service in Windows Server 2012 , Windows 8, Windows Server 2008 R2 , and Windows 7 can use local name resolution, with the Link-Local Multicast Name Resolution (LLMNR) and NetBIOS over TCP/IP protocols, to resolve the name on the local subnet. Die lokale Namensauflösung ist in der Regel für Peer-zu-Peer-Verbindungen erforderlich, wenn sich der Computer in privaten Netzwerken befindet, z. B. in einem Heimnetzwerk mit einem einzelnen Subnetz.Local name resolution is typically needed for peer-to-peer connectivity when the computer is located on private networks, such as single subnet home networks.

Wenn der DNS-Client Dienst eine lokale Namensauflösung für intranetservernamen ausführt und der Computer mit einem freigegebenen Subnetz im Internet verbunden ist, können böswillige Benutzer LLMNR und NetBIOS über TCP/IP-Nachrichten erfassen, um intranetservernamen zu ermitteln.When the DNS Client service performs local name resolution for intranet server names, and the computer is connected to a shared subnet on the Internet, malicious users can capture LLMNR and NetBIOS over TCP/IP messages to determine intranet server names. Auf der Seite DNS des Setup-Assistenten für Infrastruktur Server können Sie das lokale namens Auflösungsverhalten anhand der von den Intranet-DNS-Servern empfangenen Antworttypen konfigurieren.On the DNS page of the Infrastructure Server Setup Wizard, you can configure the local name resolution behavior based on the types of responses received from intranet DNS servers. Die folgenden Optionen sind verfügbar:The following options are available:

  • Lokale Namensauflösung verwenden, wenn der Name nicht im DNS vorhanden ist: diese Option ist die sicherste, da der DirectAccess-Client die lokale Namensauflösung nur für Servernamen durchführt, die nicht durch Intranet-DNS-Server aufgelöst werden können.Use local name resolution if the name does not exist in DNS: This option is the most secure because the DirectAccess client performs local name resolution only for server names that cannot be resolved by intranet DNS servers. Wenn die Intranet-DNS-Server erreicht werden können, werden die Namen der Intranetserver aufgelöst.If the intranet DNS servers can be reached, the names of intranet servers are resolved. Wenn die Intranet-DNS-Server nicht erreicht werden können, oder wenn andere DNS-Fehler auftreten, werden die Intranetservernamen nicht über die lokale Namensauflösung ins Subnetz durchgelassen.If the intranet DNS servers cannot be reached, or if there are other types of DNS errors, the intranet server names are not leaked to the subnet through local name resolution.

  • Verwenden Sie die lokale Namensauflösung, wenn der Name nicht im DNS vorhanden ist oder DNS-Server nicht erreichbar sind, wenn sich der Client Computer in einem privaten Netzwerk befindet (empfohlen): diese Option wird empfohlen, da Sie die lokale Namensauflösung in einem privaten Netzwerk nur dann zulässt, wenn die Intranet-DNS-Server nicht erreichbar sind.Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended): This option is recommended because it allows the use of local name resolution on a private network only when the intranet DNS servers are unreachable.

  • Verwenden Sie die lokale Namensauflösung für alle Arten von DNS-Auflösungs Fehlern (am wenigsten sicher): Dies ist die am wenigsten sichere Option, da die Namen von Intranet-Netzwerkservern über die lokale Namensauflösung in das lokale Subnetz gelangt sind.Use local name resolution for any kind of DNS resolution error (least secure): This is the least secure option because the names of intranet network servers can be leaked to the local subnet through local name resolution.

Planen der Netzwerkadressen Server-KonfigurationPlan the network location server configuration

Der Netzwerkadressenserver ist eine Website, die erkennt, ob sich DirectAccess-Clients im Unternehmensnetzwerk befinden.The network location server is a website that is used to detect whether DirectAccess clients are located in the corporate network. Clients im Unternehmensnetzwerk verwenden DirectAccess nicht zum erreichen interner Ressourcen. Stattdessen stellen Sie direkt eine Verbindung her.Clients in the corporate network do not use DirectAccess to reach internal resources; but instead, they connect directly.

Die Netzwerkadressen Server-Website kann auf dem Remote Zugriffs Server oder einem anderen Server in Ihrer Organisation gehostet werden.The network location server website can be hosted on the Remote Access server or on another server in your organization. Wenn Sie den Netzwerkadressen Server auf dem Remote Zugriffs Server hosten, wird die Website automatisch erstellt, wenn Sie den Remote Zugriff bereitstellen.If you host the network location server on the Remote Access server, the website is created automatically when you deploy Remote Access. Wenn Sie den Netzwerkadressen Server auf einem anderen Server hosten, auf dem ein Windows-Betriebssystem ausgeführt wird, müssen Sie sicherstellen, dass Internetinformationsdienste (IIS) auf diesem Server installiert ist und dass die Website erstellt wird.If you host the network location server on another server running a Windows operating system, you must make sure that Internet Information Services (IIS) is installed on that server, and that the website is created. Der Remote Zugriff konfiguriert keine Einstellungen auf dem Netzwerkadressen Server.Remote Access does not configure settings on the network location server.

Stellen Sie sicher, dass die Netzwerkadressen Server-Website die folgenden Anforderungen erfüllt:Make sure that the network location server website meets the following requirements:

  • Verfügt über ein HTTPS-Serverzertifikat.Has an HTTPS server certificate.

  • Bietet hohe Verfügbarkeit für Computer im internen Netzwerk.Has high availability to computers on the internal network.

  • Ist für DirectAccess-Client Computer im Internet nicht zugänglich.Is not accessible to DirectAccess client computers on the Internet.

Beachten Sie außerdem die folgenden Anforderungen für-Clients, wenn Sie die Netzwerkadressen Server-Website einrichten:In addition, consider the following requirements for clients when you are setting up your network location server website:

  • DirectAccess-Clientcomputer müssen der Zertifizierungsstelle vertrauen, die das Serverzertifikat zur Netzwerkadressenserver-Website ausgegeben hat.DirectAccess client computers must trust the CA that issued the server certificate to the network location server website.

  • DirectAccess-Clientcomputer auf dem internen Netzwerk müssen in der Lage sein, den Namen der Netzwerkadressenserver-Website aufzulösen.DirectAccess client computers on the internal network must be able to resolve the name of the network location server site.

Planen von Zertifikaten für den Netzwerkadressen ServerPlan certificates for the network location server

Beachten Sie Folgendes, wenn Sie das für den Netzwerkadressen Server zu verwendende Website Zertifikat abrufen:When you obtain the website certificate to use for the network location server, consider the following:

  • Im Feld Antragsteller muss die IP-Adresse der Intranetschnittstelle des Netzwerkadressenservers oder der FQDN der Netzwerkadressen-URL angegeben sein.In the Subject field, specify the IP address of the intranet interface of the network location server or the FQDN of the network location URL.

  • Verwenden Sie für das Feld Erweiterte Schlüssel Verwendung die Serverauthentifizierungs-OID.For the Enhanced Key Usage field, use the Server Authentication OID.

  • Das Netzwerkadressen Server-Zertifikat muss anhand einer Zertifikat Sperr Liste (CRL) überprüft werden.The network location server certificate must be checked against a certificate revocation list (CRL). Verwenden Sie für das Feld CRL-Verteilungs Punkte einen Zertifikat Sperr Listen-Verteilungs Punkt, auf den DirectAccess-Clients, die mit dem Intranet verbunden sind, zugreifen können.For the CRL Distribution Points field, use a CRL distribution point that is accessible by DirectAccess clients that are connected to the intranet. Der Zertifikatsperrlisten-Verteilungspunkt sollte nicht von außerhalb des internen Netzwerks zugänglich sein.This CRL distribution point should not be accessible from outside the internal network.

Planen von DNS für den Netzwerkadressen ServerPlan DNS for the network location server

DirectAccess-Clients versuchen, den Netzwerkadressenserver zu erreichen, um zu bestimmen, ob sie sich auf dem internen Netzwerk befinden.DirectAccess clients attempt to reach the network location server to determine if they are on the internal network. Clients im internen Netzwerk müssen in der Lage sein, den Namen des Netzwerkadressenservers aufzulösen, befinden sie sich jedoch im Internet, dürfen sie den Namen nicht auflösen.Clients on the internal network must be able to resolve the name of the network location server, but must be prevented from resolving the name when they are located on the Internet. Um dies zu gewährleisten, wird der FQDN des Netzwerkadressenservers standardmäßig als Ausnahmeregel zum NRPT hinzugefügt.To ensure this occurs, by default, the FQDN of the network location server is added as an exemption rule to the NRPT.

Konfiguration der Plan Verwaltungs ServerPlan management servers' configuration

DirectAccess-Clients initiieren die Kommunikation mit Verwaltungs Servern, die Dienste wie Windows Update und Antivirus-Updates bereitstellen.DirectAccess clients initiate communication with management servers that provide services such as Windows Update and antivirus updates. DirectAccess-Clients verwenden auch das Kerberos-Protokoll, um sich gegenüber Domänen Controllern zu authentifizieren, bevor Sie auf das interne Netzwerk zugreifen.DirectAccess clients also use the Kerberos protocol to authenticate to domain controllers before they access the internal network. Während der Remoteverwaltung von DirectAccess-Clients kommunizieren Verwaltungsserver mit Clientcomputern, um Verwaltungsfunktionen wie zum Beispiel Software- oder Hardware-Bestandsbewertungen durchzuführen.During remote management of DirectAccess clients, management servers communicate with client computers to perform management functions such as software or hardware inventory assessments. Der Remotezugriff kann automatisch bestimmte Verwaltungsserver erkennen, zum Beispiel:Remote Access can automatically discover some management servers, including:

  • Domänen Controller: die automatische Ermittlung von Domänen Controllern wird für die Domänen mit Client Computern und für alle Domänen in derselben Gesamtstruktur wie der Remote Zugriffs Server ausgeführt.Domain controllers: Automatic discovery of domain controllers is performed for the domains that contain client computers and for all domains in the same forest as the Remote Access server.

  • Microsoft Endpoint Configuration Manager-ServerMicrosoft Endpoint Configuration Manager servers

Domänen Controller und Configuration Manager Server werden automatisch erkannt, wenn DirectAccess erstmalig konfiguriert wird.Domain controllers and Configuration Manager servers are automatically detected the first time DirectAccess is configured. Die erkannten Domänen Controller werden nicht in der-Konsole angezeigt, aber die Einstellungen können mithilfe von Windows PowerShell-Cmdlets abgerufen werden.The detected domain controllers are not displayed in the console, but settings can be retrieved using Windows PowerShell cmdlets. Wenn Domänen Controller oder Configuration Manager Server geändert werden, wird durch Klicken auf Updateverwaltung Server in der-Konsole die Management Server Liste aktualisiert.If domain controller or Configuration Manager servers are modified, clicking Update Management Servers in the console refreshes the management server list.

VerwaltungsserveranforderungenManagement server requirements

  • Verwaltungs Server müssen über den Infrastruktur Tunnel erreichbar sein.Management servers must be accessible over the infrastructure tunnel. Wenn Sie Remotezugriff konfigurieren, werden diese beim Hinzufügen von Servern zur Verwaltungsserverliste automatisch über diesen Tunnel erreichbar gemacht.When you configure Remote Access, adding servers to the management servers list automatically makes them accessible over this tunnel.

  • Verwaltungs Server, die Verbindungen zu DirectAccess-Clients initiieren, müssen IPv6 vollständig unterstützen, durch eine systemeigene IPv6-Adresse oder durch Verwendung einer von ISATAP zugewiesenen Adresse.Management servers that initiate connections to DirectAccess clients must fully support IPv6, by means of a native IPv6 address or by using an address that is assigned by ISATAP.

Planen von Active Directory AnforderungenPlan Active Directory requirements

Der Remote Zugriff verwendet Active Directory wie folgt:Remote Access uses Active Directory as follows:

  • Authentifizierung: der Infrastruktur Tunnel verwendet die NTLMv2-Authentifizierung für das Computer Konto, das eine Verbindung mit dem RAS-Server herstellt, und das Konto muss sich in einer Active Directory Domäne befinden.Authentication: The infrastructure tunnel uses NTLMv2 authentication for the computer account that is connecting to the Remote Access server, and the account must be in an Active Directory domain. Der intranettunnel verwendet die Kerberos-Authentifizierung für den Benutzer zum Erstellen des intranettunnelsThe intranet tunnel uses Kerberos authentication for the user to create the intranet tunnel.

  • Gruppenrichtlinie Objekte: der Remote Zugriff sammelt Konfigurationseinstellungen in Gruppenrichtlinie Objekte (GPOs), die auf RAS-Server, Clients und interne Anwendungsserver angewendet werden.Group Policy Objects: Remote Access gathers configuration settings into Group Policy Objects (GPOs), which are applied to Remote Access servers, clients, and internal application servers.

  • Sicherheitsgruppen: der Remote Zugriff verwendet Sicherheitsgruppen, um DirectAccess-Client Computer zu erfassen und zu identifizieren.Security groups: Remote Access uses security groups to gather and identify DirectAccess client computers. GPOs werden auf die erforderlichen Sicherheitsgruppen angewendet.GPOs are applied to the required security groups.

Wenn Sie eine Active Directory Umgebung für eine Remote Zugriffs Bereitstellung planen, berücksichtigen Sie die folgenden Anforderungen:When you plan an Active Directory environment for a Remote Access deployment, consider the following requirements:

  • Mindestens ein Domänen Controller ist auf dem Betriebssystem Windows Server 2012, Windows Server 2008 R2 Windows Server 2008 oder Windows Server 2003 installiert.At least one domain controller is installed on the Windows Server 2012 , Windows Server 2008 R2 Windows Server 2008 , or Windows Server 2003 operating system.

    Wenn sich der Domänen Controller in einem Umkreis Netzwerk befindet (und daher über den Netzwerkadapter mit Internet Zugriff des Remote Zugriffs Servers erreichbar ist), verhindern Sie, dass der RAS-Server den Remote Zugriffs Server erreicht.If the domain controller is on a perimeter network (and therefore reachable from the Internet-facing network adapter of Remote Access server), prevent the Remote Access server from reaching it. Sie müssen auf dem Domänen Controller Paketfilter hinzufügen, um die Konnektivität mit der IP-Adresse des Internet Adapters zu verhindern.You need to add packet filters on the domain controller to prevent connectivity to the IP address of the Internet adapter.

  • Der RAS-Server muss Domänenmitglied sein.The Remote Access server must be a domain member.

  • DirectAccess-Clients müssen Domänenmitglieder sein.DirectAccess clients must be domain members. Clients können folgenden Domänen angehören:Clients can belong to:

    • Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.Any domain in the same forest as the Remote Access server.

    • Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.Any domain that has a two-way trust with the Remote Access server domain.

    • Eine beliebige Domäne in einer Gesamtstruktur, die über eine bidirektionale Vertrauensstellung mit der Gesamtstruktur der RAS-Server Domäne verfügt.Any domain in a forest that has a two-way trust with the forest of the Remote Access server domain.

Hinweis

  • Der Remotezugriffsserver kann nicht als Domänencontroller verwendet werden.The Remote Access server cannot be a domain controller.
  • Der Active Directory Domänen Controller, der für den Remote Zugriff verwendet wird, darf nicht vom externen Internet Adapter des Remote Zugriffs Servers aus erreichbar sein (der Adapter darf sich nicht im Domänen Profil der Windows-Firewall befinden).The Active Directory domain controller that is used for Remote Access must not be reachable from the external Internet adapter of the Remote Access server (the adapter must not be in the domain profile of Windows Firewall).

Planen der ClientauthentifizierungPlan client authentication

Beim Remote Zugriff unter Windows Server 2012 können Sie zwischen der integrierten Kerberos-Authentifizierung wählen, bei der Benutzernamen und Kenn Wörter verwendet werden, oder der Verwendung von Zertifikaten für die IPSec-Computer Authentifizierung.In Remote Access in Windows Server 2012 , you can choose between using built-in Kerberos authentication, which uses user names and passwords, or using certificates for IPsec computer authentication.

Kerberos-Authentifizierung: Wenn Sie sich für die Verwendung Active Directory Anmelde Informationen für die Authentifizierung entscheiden, verwendet DirectAccess zuerst die Kerberos-Authentifizierung für den Computer und dann die Kerberos-Authentifizierung für den Benutzer.Kerberos authentication: When you choose to use Active Directory credentials for authentication, DirectAccess first uses Kerberos authentication for the computer, and then it uses Kerberos authentication for the user. Wenn Sie diesen Authentifizierungsmodus verwenden, verwendet DirectAccess einen einzigen Sicherheitstunnel, der Zugriff auf den DNS-Server, den Domänen Controller und einen anderen Server im internen Netzwerk bietet.When using this mode of authentication, DirectAccess uses a single security tunnel that provides access to the DNS server, the domain controller, and any other server on the internal network

IPSec-Authentifizierung: Wenn Sie die zweistufige Authentifizierung oder den Netzwerk Zugriffsschutz verwenden, verwendet DirectAccess zwei Sicherheitstunnel.IPsec authentication: When you choose to use two-factor authentication or Network Access Protection, DirectAccess uses two security tunnels. Der Remote Zugriffs-Setup-Assistent konfiguriert die Verbindungs Sicherheitsregeln in der Windows-Firewall mit erweiterter Sicherheit.The Remote Access Setup Wizard configures connection security rules in Windows Firewall with Advanced Security. Diese Regeln geben beim Aushandeln der IPSec-Sicherheit für den RAS-Server die folgenden Anmelde Informationen an:These rules specify the following credentials when negotiating IPsec security to the Remote Access server:

  • Der Infrastruktur Tunnel verwendet die Anmelde Informationen des Computer Zertifikats für die erste Authentifizierung und Benutzer Anmelde Informationen (NTLMv2) für die zweite Authentifizierung.The infrastructure tunnel uses computer certificate credentials for the first authentication and user (NTLMv2) credentials for the second authentication. Benutzer Anmelde Informationen erzwingen die Verwendung von authentifiziertes Internetprotokoll (AuthIP) und ermöglichen den Zugriff auf einen DNS-Server und einen Domänen Controller, bevor der DirectAccess-Client die Kerberos-Anmelde Informationen für den intranettunnel verwenden kann.User credentials force the use of Authenticated Internet Protocol (AuthIP), and they provide access to a DNS server and domain controller before the DirectAccess client can use Kerberos credentials for the intranet tunnel.

  • Der intranettunnel verwendet die Anmelde Informationen des Computer Zertifikats für die erste Authentifizierung und die Anmelde Informationen des Benutzers (Kerberos V5) für die zweite Authentifizierung.The intranet tunnel uses computer certificate credentials for the first authentication and user (Kerberos V5) credentials for the second authentication.

Planen mehrerer DomänenPlan multiple domains

Die Liste der Verwaltungsserver sollte die Domänencontroller von allen Domänen umfassen, welche Sicherheitsgruppen enthalten, die DirectAccess-Clientcomputer beinhalten.The management servers list should include domain controllers from all domains that contain security groups that include DirectAccess client computers. Es sollten alle Domänen enthalten sein, die Benutzerkonten enthalten, die möglicherweise als DirectAccess-Clients konfigurierte Computer verwenden.It should contain all domains that contain user accounts that might use computers configured as DirectAccess clients. Dadurch wird sichergestellt, dass Benutzer, die sich nicht in derselben Domäne wie der von ihnen genutzte Clientcomputer befinden, mit einem Domänencontroller in der Benutzerdomäne authentifiziert werden.This ensures that users who are not located in the same domain as the client computer they are using are authenticated with a domain controller in the user domain.

Diese Authentifizierung erfolgt automatisch, wenn sich die Domänen in derselben Gesamtstruktur befinden.This authentication is automatic if the domains are in the same forest. Wenn eine Sicherheitsgruppe mit Client Computern oder Anwendungsservern in verschiedenen Gesamtstrukturen vorhanden ist, werden die Domänen Controller dieser Gesamtstrukturen nicht automatisch erkannt.If there is a security group with client computers or application servers that are in different forests, the domain controllers of those forests are not detected automatically. Gesamtstrukturen werden ebenfalls nicht automatisch erkannt.Forests are also not detected automatically. Sie können den Task Updateverwaltung Server in der Remote Zugriffs Verwaltung ausführen, um diese Domänen Controller zu erkennen.You can run the task Update Management Servers in the Remote Access Management to detect these domain controllers.

Wenn möglich, sollten allgemeine Domänen Namen Suffixe während der Remote Zugriffs Bereitstellung zur NRPT hinzugefügt werden.Where possible, common domain name suffixes should be added to the NRPT during Remote Access deployment. Wenn es zum Beispiel zwei Domänen gibt, domain1.corp.contoso.com und domain2.corp.contoso.com, können Sie, anstatt zwei Einträge zur NRPT hinzuzufügen, auch einen allgemeinen DNS-Suffix-Eintrag hinzufügen, bei dem das Domänennamensuffix corp.contoso.com ist.For example, if you have two domains, domain1.corp.contoso.com and domain2.corp.contoso.com, instead of adding two entries into the NRPT, you can add a common DNS suffix entry, where the domain name suffix is corp.contoso.com. Dies geschieht automatisch für Domänen im selben Stammverzeichnis.This happens automatically for domains in the same root. Domänen, die sich nicht im selben Stamm befinden, müssen manuell hinzugefügt werden.Domains that are not in the same root must be added manually.

Planen Gruppenrichtlinie Objekt ErstellungPlan Group Policy Object creation

Wenn Sie den Remote Zugriff konfigurieren, werden DirectAccess-Einstellungen in Gruppenrichtlinie Objekte (GPOs) gesammelt.When you configure Remote Access, DirectAccess settings are collected into Group Policy Objects (GPOs). Zwei Gruppenrichtlinien Objekte werden mit DirectAccess-Einstellungen aufgefüllt und wie folgt verteilt:Two GPOs are populated with DirectAccess settings, and they are distributed as follows:

  • DirectAccess-Client-GPO: dieses Gruppenrichtlinien Objekt enthält Client Einstellungen, einschließlich der IPv6-Übergangstechnologie Einstellungen, NRPT-Einträge und Verbindungs Sicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.DirectAccess client GPO: This GPO contains client settings, including IPv6 transition technology settings, NRPT entries, and connection security rules for Windows Firewall with Advanced Security. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.The GPO is applied to the security groups that are specified for the client computers.

  • DirectAccess-Server-Gruppenrichtlinien Objekt: dieses Gruppenrichtlinien Objekt enthält die DirectAccess-Konfigurationseinstellungen, die auf alle Server angewendet werden, die Sie als RAS-Server in der Bereitstellung konfiguriert haben.DirectAccess server GPO: This GPO contains the DirectAccess configuration settings that are applied to any server that you configured as a Remote Access server in your deployment. Sie enthält auch Verbindungs Sicherheitsregeln für die Windows-Firewall mit erweiterter Sicherheit.It also contains connection security rules for Windows Firewall with Advanced Security.

Hinweis

Die Konfiguration von Anwendungsservern wird bei der Remote Verwaltung von DirectAccess-Clients nicht unterstützt, da Clients nicht auf das interne Netzwerk des DirectAccess-Servers, auf dem sich die Anwendungsserver befinden, zugreifen können.Configuration of application servers is not supported in remote management of DirectAccess clients because clients cannot access the internal network of the DirectAccess server where the application servers reside. Schritt 4 im Konfigurationsbildschirm des RAS-Setups steht für diese Art von Konfiguration nicht zur Verfügung.Step 4 in the Remote Access Setup configuration screen is unavailable for this type of configuration.

Sie können GPOs automatisch oder manuell konfigurieren.You can configure GPOs automatically or manually.

Automatisch: Wenn Sie angeben, dass GPOs automatisch erstellt werden, wird für jedes Gruppenrichtlinien Objekt ein Standardname angegeben.Automatically: When you specify that GPOs are created automatically, a default name is specified for each GPO.

Manuell: Sie können GPOs verwenden, die vom Active Directory-Administrator vordefiniert wurden.Manually: You can use GPOs that have been predefined by the Active Directory administrator.

Beachten Sie beim Konfigurieren der Gruppenrichtlinien Objekte die folgenden Warnungen:When you configure your GPOs, consider the following warnings:

  • Es können keine anderen Gruppenrichtlinienobjekte mehr konfiguriert werden, nachdem DirectAccess auf die Verwendung bestimmter Gruppenrichtlinienobjekte konfiguriert wurde.After DirectAccess is configured to use specific GPOs, it cannot be configured to use different GPOs.

  • Verwenden Sie das folgende Verfahren, um alle Remote Zugriffs-Gruppenrichtlinie Objekte zu sichern, bevor Sie DirectAccess-Cmdlets ausführen:Use the following procedure to back up all Remote Access Group Policy Objects before you run DirectAccess cmdlets:

    Sichern und Wiederherstellen der Remotezugriffkonfiguration.Back up and Restore Remote Access Configuration.

  • Unabhängig davon, ob Sie automatisch oder manuell konfigurierte Gruppenrichtlinien Objekte verwenden, müssen Sie eine Richtlinie für die Erkennung langsamer Verbindungen hinzufügen, wenn die Clients 3G verwenden werden.Whether you are using automatically or manually configured GPOs, you need to add a policy for slow link detection if your clients will use 3G. Der Pfad für Richtlinie: Konfigurieren der Erkennung von Gruppenrichtlinie langsamen Verbindungen :The path for Policy: Configure Group Policy slow link detection is:

    Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Gruppenrichtlinie.Computer configuration/Polices/Administrative Templates/System/Group Policy.

  • Wenn die korrekten Berechtigungen zum Verknüpfen der Gruppenrichtlinien Objekte nicht vorhanden sind, wird eine Warnung ausgegeben.If the correct permissions for linking GPOs do not exist, a warning is issued. Der Remote Zugriffs Vorgang wird fortgesetzt, es findet jedoch keine Verknüpfung statt.The Remote Access operation will continue, but linking will not occur. Wenn diese Warnung ausgegeben wird, werden Verknüpfungen nicht automatisch erstellt, selbst wenn die Berechtigungen zu einem späteren Zeitpunkt hinzugefügt werden.If this warning is issued, links will not be created automatically, even if the permissions are added later. Stattdessen muss der Administrator die Links manuell erstellen.Instead the administrator needs to create the links manually.

Automatisch erstellte Gruppenrichtlinien ObjekteAutomatically created GPOs

Beachten Sie beim verwenden automatisch erstellter Gruppenrichtlinien Objekte Folgendes:Consider the following when using automatically created GPOs:

Automatisch erstellte Gruppenrichtlinien Objekte werden gemäß dem Speicherort und Verknüpfungs Ziel wie folgt angewendet:Automatically created GPOS are applied according to the location and link target, as follows:

  • Für das Gruppenrichtlinien Objekt DirectAccess-Server wird der Speicherort und der Verknüpfungs Zielpunkt mit der Domäne mit dem RAS-Server angezeigt.For the DirectAccess server GPO, the location and link target point to the domain that contains the Remote Access server.

  • Wenn die Gruppenrichtlinien Objekte für Client und Anwendungsserver erstellt werden, wird der Speicherort auf eine einzelne Domäne festgelegt.When client and application server GPOs are created, the location is set to a single domain. Der GPO-Name wird in jeder Domäne gesucht, und die Domäne wird mit DirectAccess-Einstellungen aufgefüllt, falls vorhanden.The GPO name is looked up in each domain, and the domain is filled with DirectAccess settings if it exists.

  • Das Verknüpfungsziel wird auf den Stamm der Domäne festgelegt, in der das Gruppenrichtlinienobjekt erstellt wurde.The link target is set to the root of the domain in which the GPO was created. Für jede Domäne, die Clientcomputer oder Anwendungsserver enthält, wird ein Gruppenrichtlinienobjekt erstellt, und das Gruppenrichtlinienobjekt wird mit dem Stamm der entsprechenden Domäne verknüpft.A GPO is created for each domain that contains client computers or application servers, and the GPO is linked to the root of its respective domain.

Beim verwenden automatisch erstellter Gruppenrichtlinien Objekte zum Anwenden von DirectAccess-Einstellungen benötigt der RAS-Server Administrator die folgenden Berechtigungen:When using automatically created GPOs to apply DirectAccess settings, the Remote Access server administrator requires the following permissions:

  • Berechtigungen zum Erstellen von Gruppenrichtlinien Objekten für jede Domäne.Permissions to create GPOs for each domain.

  • Berechtigungen zum Verknüpfen mit allen ausgewählten Client Domänen Stamm.Permissions to link to all the selected client domain roots.

  • Berechtigungen zum Verknüpfen mit den Server-GPO-Domänen Stämmen.Permissions to link to the server GPO domain roots.

  • Sicherheits Berechtigungen zum Erstellen, bearbeiten, löschen und Ändern der Gruppenrichtlinien Objekte.Security permissions to create, edit, delete, and modify the GPOs.

  • GPO-Leseberechtigungen für jede erforderliche Domäne.GPO read permissions for each required domain. Diese Berechtigung ist nicht erforderlich, wird jedoch empfohlen, da Sie den Remote Zugriff ermöglicht, um sicherzustellen, dass GPOs mit doppelten Namen nicht vorhanden sind, wenn GPOs erstellt werden.This permission is not required, but it is recommended because it enables Remote Access to verify that GPOs with duplicate names do not exist when GPOs are being created.

Manuell erstellte Gruppenrichtlinien ObjekteManually created GPOs

Beachten Sie beim Verwenden manuell erstellter Gruppenrichtlinienobjekte Folgendes:Consider the following when using manually created GPOs:

  • Die Gruppenrichtlinienobjekte sollten vorhanden sein, bevor Sie den Remotezugriffs-Setup-Assistenten ausführen.The GPOs should exist before running the Remote Access Setup Wizard.

  • Zum Anwenden von DirectAccess-Einstellungen benötigt der RAS-Server Administrator vollständige Sicherheits Berechtigungen zum Erstellen, bearbeiten, löschen und Ändern der manuell erstellten Gruppenrichtlinien Objekte.To apply DirectAccess settings, the Remote Access server administrator requires full security permissions to create, edit, delete, and modify the manually created GPOs.

  • Es wird eine Suche nach einem Link zum GPO in der gesamten Domäne durchgeführt.A search is made for a link to the GPO in the entire domain. Wenn das Gruppenrichtlinienobjekt in der Domäne nicht verknüpft ist, wird im Domänenstamm automatisch eine Verknüpfung erstellt.If the GPO is not linked in the domain, a link is automatically created in the domain root. Wenn die zum Erstellen der Verknüpfung erforderlichen Berechtigungen nicht verfügbar sind, wird eine Warnung ausgegeben.If the required permissions to create the link are not available, a warning is issued.

Wiederherstellen eines gelöschten GruppenrichtlinienobjektsRecovering from a deleted GPO

Wenn ein Gruppenrichtlinien Objekt auf einem RAS-Server, Client oder Anwendungsserver versehentlich gelöscht wurde, wird die folgende Fehlermeldung angezeigt: Gruppenrichtlinien Objekt (GPO-Name) wurde nicht gefunden.If a GPO on a Remote Access server, client, or application server has been deleted by accident, the following error message will appear: GPO (GPO name) cannot be found.

Wenn eine Sicherung verfügbar ist, können Sie das Gruppenrichtlinienobjekt aus der Sicherung wiederherstellen.If a backup is available, you can restore the GPO from the backup. Wenn keine Sicherung verfügbar ist, müssen Sie die Konfigurationseinstellungen entfernen und Sie neu konfigurieren.If there is no backup available, you must remove the configuration settings and configure them again.

So entfernen Sie KonfigurationseinstellungenTo remove configuration settings
  1. Führen Sie das Windows PowerShell-Cmdlet Uninstall-remoteaccess aus.Run the Windows PowerShell cmdlet Uninstall-RemoteAccess.

  2. Öffnen Sie die Remote Zugriffs Verwaltung.Open Remote Access Management.

  3. In der angezeigten Fehlermeldung werden Sie darauf hingewiesen, dass das Gruppenrichtlinienobjekt nicht gefunden werden konnte.You will see an error message that the GPO is not found. Klicken Sie auf Konfigurationseinstellungen entfernen.Click Remove configuration settings. Nach Abschluss des Abschlusses wird der Server in einen nicht konfigurierten Zustand wieder hergestellt, und Sie können die Einstellungen neu konfigurieren.After completion, the server will be restored to an unconfigured state, and you can reconfigure the settings.