Schritt 2: Planen der Bereitstellung für den Remotezugriff

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Nachdem Sie die Infrastruktur geplant haben, mit der Sie Ihren RAS-Einzelserver für die Remoteverwaltung von DirectAccess-Clients einrichten möchten, können Sie die Einstellungen planen, die der Assistent zum Einrichten des Remotezugriffs verwenden wird.

Hinweis

Bevor Sie mit diesen Aufgaben fortfahren, sollten Sie Schritt 1: Planen der Infrastruktur für den Remotezugriff lesen.

Aufgabe BESCHREIBUNG
Planen einer Clientbereitstellungsstrategie Legen Sie fest, welche verwalteten Computer als DirectAccess-Clients konfiguriert werden sollen.
Planen einer Strategie für die RAS-Serverbereitstellung Planen Sie die Bereitstellung des Remotezugriffsservers.
Planen der Konfiguration Infrastrukturservern Planen Sie die Infrastrukturserver in Ihrer Bereitstellung für den Remotezugriff, einschließlich der DirectAccess-Netzwerkadressenserver, DNS-Server und DirectAccess-Verwaltungsserver.

Planen einer Clientbereitstellungsstrategie

Bei der Planung Ihrer Clientbereitstellung müssen drei Entscheidungen getroffen werden:

  1. Ist DirectAccess nur für mobile Computer oder für jeden Computer in einer bestimmten Sicherheitsgruppe verfügbar?

    Bei der Konfiguration der DirectAccess-Clients im Assistenten zum Einrichten des DirectAccess-Clients können Sie auswählen, dass nur mobile Computer in den angegebenen Sicherheitsgruppen über DirectAccess eine Verbindung mit dem Server herstellen können. Wenn Sie nur den Zugriff für mobile Computer zulassen, konfiguriert der Remotezugriff automatisch einen WMI-Filter, um sicherzustellen, dass das Gruppenrichtlinienobjekt des DirectAccess-Clients nur auf mobile Computer in den angegebenen Sicherheitsgruppen angewendet wird. Der Remotezugriffsadministrator benötigt Berechtigungen zum Erstellen oder Bearbeiten der WMI-Filter für die Gruppenrichtlinie, um diese Einstellung zu aktivieren.

  2. In welchen Sicherheitsgruppen sollen die DirectAccess-Clientcomputer enthalten sein?

    Die DirectAccess-Einstellungen befinden sich im Gruppenrichtlinienobjekt (GPO) des DirectAccess-Clients. Das Gruppenrichtlinienobjekt wird auf Computer angewendet, die in den Sicherheitsgruppen enthalten sind, die Sie in dem DirectAccess-Client-Setup-Assistenten angegeben haben. Sie können Sicherheitsgruppen angeben, die in einer beliebigen unterstützten Domäne enthalten sind.

    Bevor Sie den Remotezugriff konfigurieren, müssen Sie die Sicherheitsgruppen erstellen. Sie können der Sicherheitsgruppe Computer hinzufügen, nachdem Sie die Bereitstellung für den Remotezugriff abgeschlossen haben. Wenn Sie jedoch Clientcomputer hinzufügen, die sich in einer anderen Domäne als die Sicherheitsgruppe befinden, wird das Client-GPO nicht auf diese Clients angewendet. Wenn Sie beispielsweise SG1 in Domäne A für DirectAccess-Clients erstellen und dieser Gruppe später Clients aus Domäne B hinzufügen, wird das Client-GPO nicht auf Clients in Domäne B angewendet.

    Sie können dieses Problem vermeiden, indem Sie für jede Domäne, die Clientcomputer enthält, eine neue Client-Sicherheitsgruppe erstellen. Alternativ dazu können Sie auch das Windows PowerShell-Cmdlet Add-DAClient mit dem Namen des neuen GPOs für die neue Domäne ausführen, wenn Sie keine neue Sicherheitsgruppe erstellen möchten.

  3. Welche Einstellungen müssen für den DirectAccess-Netzwerkkonnektivitäts-Assistenten konfiguriert werden?

    Der DirectAccess-Netzwerkkonnektivitäts-Assistent wird auf Clientcomputern ausgeführt und stellt zusätzliche Informationen zur DirectAccess-Verbindung mit Endbenutzern bereit. Im DirectAccess-Client-Setup-Assistenten können Sie Folgendes konfigurieren:

    • Verbindungsprüfer

      Ein Standardwebtest wird erstellt, den Clients verwenden, um die Verbindung zum internen Netzwerk zu prüfen. Der Standardname ist https://directaccess-WebProbeHost.<domain_name>. Der Name sollte manuell im DNS registriert werden. Sie können weitere Verbindungsüberprüfer erstellen, die andere Webadressen über HTTP oder PING verwenden. Für jeden Verbindungsprüfer muss ein DNS-Eintrag vorhanden sein.

    • Helpdesk-E-Mail-Adresse

      Wenn Endbenutzer Probleme mit DirectAccess-Verbindungen haben, können Sie eine E-Mail mit Diagnoseinformationen an den Remotezugriffsadministrator senden, der das Problem beheben kann.

    • DirectAccess-Verbindungsname

      Sie können einen DirectAccess-Verbindungsnamen angeben, damit Endbenutzer die DirectAccess-Verbindung auf ihren Computern leichter identifizieren können.

    • Erlauben Sie DirectAccess-Clients, die lokale Namensauflösung zu verwenden

      Clients benötigen eine Möglichkeit, Namen lokal aufzulösen. Wenn Sie zulassen, dass DirectAccess-Clients die lokale Namensauflösung verwenden, können Endbenutzer zum Auflösen von Namen lokale DNS-Server verwenden. Wenn sich Endbenutzer entscheiden, lokale DNS-Server für die Namensauflösung zu verwenden, sendet DirectAccess keine Auflösungsanforderungen für einzelne Bezeichnungsnamen an den internen DNS-Unternehmensserver. Stattdessen verwendet er die lokale Namensauflösung, indem er die Multicastnamensauflösung für lokale Verbindungen (Link-Local Multicast Name Resolution, LLMNR) und NetBios über TCP/IP-Protokolle verwendet.

Planen einer Strategie für die RAS-Serverbereitstellung

Zu den Entscheidungen, die Sie treffen müssen, wenn Sie die Bereitstellung Ihres RAS-Servers planen, gehören:

  • Netzwerktopologie

    Beim Bereitstellen eines RAS-Servers sind zwei Topologien verfügbar:

    • Zwei Adapter: Mit zwei Netzwerkadaptern kann der Remotezugriff so konfiguriert werden, dass ein Netzwerkadapter direkt mit dem Internet und der andere mit dem internen Netzwerk verbunden ist. Alternativ kann der Server hinter einem Edgegerät installiert werden, z. B. einer Firewall oder einem Router. In dieser Konfiguration ist ein Netzwerkadapter direkt mit dem Umkreisnetzwerk und der andere mit dem internen Netzwerk verbunden.

    • Einzelner Netzwerkadapter: In dieser Konfiguration ist der RAS-Server hinter einem Edgegerät z. B. einer Firewall oder einem Router installiert. Der Netzwerkadapter ist mit dem internen Netzwerk verbunden.

  • Leistungsverlauf für Netzwerkadapter

    Der Setup-Assistent für den RAS-Server erkennt automatisch die Netzwerkadapter, die auf dem RAS-Server konfiguriert sind. Vergewissern Sie sich, dass die richtigen Adapter ausgewählt sind.

  • IP-HTTPS-Zertifikat

    Der Setup-Assistent für den Remotezugriffsserver erkennt automatisch ein Zertifikat, das für die IP-HTTPS-Verbindung geeignet ist. Der Antragstellername von Ihnen gewählten Zertifikats muss mit der ConnectTo-Adresse übereinstimmen. Wenn Sie selbstsignierte Zertifikate verwenden, können Sie sich für die Verwendung eines Zertifikats entscheiden, das automatisch vom RAS-Server erstellt wird.

  • IPv6-Präfixe

    Wenn der Setup-Assistent für den Remotezugriffsserver erkennt, dass IPv6 auf den Netzwerkadaptern bereitgestellt wurde, füllt er automatisch IPv6-Präfixe für das interne Netzwerk auf. Ein IPv6-Präfix zum Zuweisen für die DirectAccess-Clientcomputer und ein IPv6-Präfix zum Zuweisen für die VPN-Clientcomputer. Wenn die automatisch generierten Präfixe nicht mit Ihrer systemeigenen IPv6- oder ISATAP-Infrastruktur übereinstimmen, müssen Sie sie manuell ändern.

  • Authentifizierung

    Sie können eine der folgenden Methoden für die Authentifizierung von DirectAccess-Clients beim RAS-Server auswählen:

    • Benutzerauthentifizierung: Sie können Benutzern die Authentifizierung mit Active Directory-Anmeldeinformationen oder die Zwei-Faktor-Authentifizierung ermöglichen.

    • Computerauthentifizierung: Sie können die Computerauthentifizierung für die Verwendung von Zertifikaten konfigurieren. Alternativ kann der RAS-Server als Proxy für die Kerberos-Authentifizierung fungieren, sodass keine Zertifikate erforderlich sind.

    • Windows 7-Clients: Clientcomputer, auf denen Windows 7 ausgeführt wird, können standardmäßig keine Verbindung mit einer Bereitstellung für den Remotezugriff herstellen, die unter Windows Server 2012 ausgeführt wird. Wenn in Ihrem Unternehmen Clients unter Windows 7 ausgeführt werden, die den Remotezugriff auf interne Ressourcen benötigen, können Sie ihnen das Herstellen einer Verbindung erlauben. Clientcomputer, die auf interne Ressourcen zugreifen sollen, müssen Mitglied einer Sicherheitsgruppe sein, die Sie im DirectAccess-Client-Setup-Assistenten angeben.

      Hinweis

      Wenn Sie es Clients unter Windows 7 ermöglichen, Verbindungen über DirectAccess herzustellen, müssen Sie die Authentifizierung per Computerzertifikat nutzen.

  • VPN-Konfiguration

    Bevor Sie den Remotezugriff konfigurieren, sollten Sie entscheiden, ob Sie Remoteclients VPN-Zugriff gewähren. Sie sollten VPN-Zugriff bereitstellen, wenn Sie in Ihrem Unternehmen über Clientcomputer verfügen, die keine DirectAccess-Verbindungen unterstützen (beispielsweise, weil sie nicht verwaltet werden oder ein Betriebssystem nutzen, für das kein DirectAccess unterstützt wird). Mit dem Setup-Assistenten für den RAS-Server können Sie konfigurieren, wie IP-Adressen zugewiesen werden (über DHCP oder einen Pool statischer Adressen) und wie VPN-Clients authentifiziert werden (mit Active Directory oder einem RADIUS-Server).

Planen der Konfiguration von Infrastrukturservern

Der Remotezugriff erfordert drei Typen von Infrastrukturservern:

  • Netzwerkadressenserver

  • DNS-Server

  • Verwaltungsserver

Zusätzliche Referenzen