Schritt 3: Konfigurieren der Bereitstellung für mehrere Standorte

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Nachdem Sie die Infrastruktur für mehrere Standorte konfiguriert haben, führen Sie die folgenden Schritte aus, um die Remotezugriffsbereitstellung für mehrere Standorte einzurichten.

Aufgabe BESCHREIBUNG
3.1. Konfigurieren von RAS-Servern Konfigurieren Sie zusätzliche RAS-Server, indem Sie IP-Adressen einrichten, der Domäne hinzufügen und die Remotezugriffsrolle installieren.
3.2. Gewähren des Administratorzugriffs Gewähren Sie dem DirectAccess-Administrator auf den zusätzlichen RAS-Servern Berechtigungen.
3.3. Konfigurieren von IP-HTTPS für eine Bereitstellung für mehrere Standorte Konfigurieren Sie das IP-HTTPS-Zertifikat, das in einer Bereitstellung für mehrere Standorte verwendet wird.
3.4. Konfigurieren des Netzwerkadressenservers für eine Bereitstellung für mehrere Standorte Konfigurieren Sie das Zertifikat des Netzwerkadressenservers, das in einer Bereitstellung für mehrere Standorte verwendet wird.
3.5. Konfigurieren von DirectAccess-Clients für eine Bereitstellung für mehrere Standorte Entfernen Sie Windows 7-Clientcomputer aus Windows 8-Sicherheitsgruppen.
3.6. Aktivieren der Bereitstellung für mehrere Standorte Aktivieren Sie die Bereitstellung für mehrere Standorte auf dem ersten RAS-Server.
3.7. Hinzufügen von Einstiegspunkten zur Bereitstellung für mehrere Standorte Fügen Sie der Bereitstellung für mehrere Standorte zusätzliche Einstiegspunkte hinzu.

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

3.1. Konfigurieren von RAS-Servern

So installieren Sie die Remotezugriffsrolle

  1. Stellen Sie sicher, dass jeder RAS-Server mit der richtigen Bereitstellungstopologie (Edge, hinter NAT, einzelne Netzwerkschnittstelle) und entsprechenden Routen konfiguriert ist.

  2. Konfigurieren Sie die IP-Adressen auf jedem RAS-Server gemäß der Standorttopologie und dem IP-Adressschema Ihres Unternehmens.

  3. Binden Sie jeden RAS-Server in eine Active Directory-Domäne ein.

  4. Klicken Sie auf dem Dashboard der Server-Manager-Konsole auf Rollen und Features hinzufügen.

  5. Klicken Sie dreimal auf Weiter, um zur Anzeige für die Serverrollenauswahl zu gelangen.

  6. Wählen Sie im Dialogfeld Serverrollen auswählen die Option Remotezugriff aus, und klicken Sie dann auf Weiter.

  7. Klicken Sie dreimal auf Weiter.

  8. Wählen Sie im Dialogfeld Rollendienste auswählen die Option DirectAccess und VPN (RAS) aus, und klicken Sie dann auf Features hinzufügen.

  9. Wählen Sie Routing und Webanwendungsproxy aus, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf Weiter und dann auf Installieren.

  11. Überprüfen Sie im Dialogfeld Installationsstatus, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die Schritte 1 bis 3 müssen manuell ausgeführt werden und werden nicht von diesem Windows PowerShell-Cmdlet erledigt.

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Install-WindowsFeature RemoteAccess -IncludeManagementTools

3.2. Gewähren des Administratorzugriffs

So gewähren Sie Administratorberechtigungen

  1. Auf dem RAS-Server im zusätzlichen Einstiegspunkt: Geben Sie im Bildschirm Start die Zeichenfolge Computerverwaltung ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie im linken Bereich auf Lokale Benutzer und Gruppen.

  3. Doppelklicken Sie auf Gruppen, und doppelklicken Sie dann auf Administratoren.

  4. Klicken Sie im Dialogfeld Eigenschaften von Administratoren auf Hinzufügen, und klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf Pfade.

  5. Klicken Sie im Dialogfeld Standorte in der Struktur Standort auf den Standort, an dem sich das Benutzerkonto des DirectAccess-Administrators befindet, und klicken Sie dann auf OK.

  6. Geben Sie unter Geben Sie die Namen der auszuwählenden Objekte ein den Benutzernamen des DirectAccess-Administrators ein, und klicken Sie dann zweimal auf OK.

  7. Klicken Sie im Dialogfeld Eigenschaften von Administratoren auf OK.

  8. Schließen Sie das Fenster Computerverwaltung.

  9. Wiederholen Sie diesen Vorgang auf allen RAS-Servern, die Teil der Bereitstellung für mehrere Standorte sind.

3.3. Konfigurieren von IP-HTTPS für eine Bereitstellung für mehrere Standorte

Auf jedem RAS-Server, der der Bereitstellung für mehrere Standorte hinzugefügt wird, ist ein SSL-Zertifikat erforderlich, um die HTTPS-Verbindung mit dem IP-HTTPS-Webserver zu überprüfen. Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.

So fordern Sie ein IP-HTTPS-Zertifikat an

  1. Auf jedem RAS-Server: Geben Sie im Bildschirm Start die Zeichenfolge mmc ein, und drücken Sie anschließend die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie im Menü Datei auf Snap-Ins hinzufügen bzw. entfernen.

  3. Klicken Sie auf Zertifikate, Hinzufügen, Computerkonto und Weiter. Wählen Sie Lokaler Computer aus, klicken Sie auf Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

  6. Klicken Sie zweimal auf Weiter.

  7. Klicken Sie auf der Seite Zertifikate anfordern auf die Webserver-Zertifikatvorlage und dann auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

    Wenn die Webserver-Zertifikatvorlage nicht angezeigt wird, stellen Sie sicher, dass das Computerkonto des RAS-Servers berechtigt ist, sich für die Webserver-Zertifikatvorlage zu registrieren. Weitere Informationen finden Sie unter Konfigurieren von Berechtigungen für die Webserver-Zertifikatvorlage.

  8. Wählen Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller unter Antragstellername für Typ die Option Allgemeiner Name aus.

  9. Geben Sie unter Wert den FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname) des Internetnamens des RAS-Servers ein (z. B. Europe.contoso.com), und klicken Sie dann auf Hinzufügen.

  10. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  11. Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, dass ein neues Zertifikat mit dem vollqualifizierten Domänennamen unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.

  12. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und klicken Sie anschließend auf Eigenschaften.

  13. Geben Sie unter Anzeigename die Zeichenfolge IP-HTTPS-Zertifikat ein, und klicken Sie dann auf OK.

    Tipp

    Die Schritte 12 und 13 sind optional, erleichtern ihnen jedoch die Auswahl des Zertifikats für IP-HTTPS beim Konfigurieren des Remotezugriffs.

  14. Wiederholen Sie diesen Vorgang auf allen RAS-Servern in Ihrer Bereitstellung.

3.4. Konfigurieren des Netzwerkadressenservers für eine Bereitstellung für mehrere Standorte

Wenn Sie beim Einrichten des ersten Servers die Website des Netzwerkadressenservers auf dem RAS-Server eingerichtet haben, muss jeder von Ihnen neu hinzugefügte RAS-Server mit einem Webserverzertifikat konfiguriert werden, das denselben Antragstellernamen aufweist, der für den Netzwerkadressenserver für den ersten Server ausgewählt wurde. Jeder Server benötigt ein Zertifikat, um die Verbindung mit dem Netzwerkadressenserver zu authentifizieren, und Clientcomputer, die sich im internen Netzwerk befinden, müssen in der Lage sein, den Namen der Website in DNS aufzulösen.

So installieren Sie ein Zertifikat für die Netzwerkadresse

  1. Auf dem RAS-Server: Geben Sie im Bildschirm Start die Zeichenfolge mmc ein, und drücken Sie anschließend die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie im Menü Datei auf Snap-Ins hinzufügen bzw. entfernen.

  3. Klicken Sie auf Zertifikate, Hinzufügen, Computerkonto und Weiter. Wählen Sie Lokaler Computer aus, klicken Sie auf Fertig stellen und anschließend auf OK.

  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-Ins den Eintrag Zertifikate (Lokaler Computer)\Persönlich\Zertifikate.

  5. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern.

    Hinweis

    Sie können auch dasselbe Zertifikat importieren, das für den Netzwerkadressenserver für den ersten RAS-Server verwendet wurde.

  6. Klicken Sie zweimal auf Weiter.

  7. Klicken Sie auf der Seite Zertifikate anfordern auf die Webserver-Zertifikatvorlage und dann auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

    Wenn die Webserver-Zertifikatvorlage nicht angezeigt wird, stellen Sie sicher, dass das Computerkonto des RAS-Servers berechtigt ist, sich für die Webserver-Zertifikatvorlage zu registrieren. Weitere Informationen finden Sie unter Konfigurieren von Berechtigungen für die Webserver-Zertifikatvorlage.

  8. Wählen Sie im Dialogfeld Zertifikateigenschaften auf der Registerkarte Antragsteller unter Antragstellername für Typ die Option Allgemeiner Name aus.

  9. Geben Sie unter Wert den FQDN (Fully Qualified Domain Name, vollqualifizierter Domänenname) ein, der für das Zertifikat des Netzwerkadressenservers des ersten RAS-Servers konfiguriert wurde (z. B. nls.corp.contoso.com), und klicken Sie dann auf Hinzufügen.

  10. Klicken Sie auf OK, Registrieren und dann auf Fertig stellen.

  11. Überprüfen Sie im Detailbereich des Zertifikat-Snap-Ins, dass ein neues Zertifikat mit dem vollqualifizierten Domänennamen unter Serverauthentifizierung mit der Option Beabsichtigte Zwecke registriert wurde.

  12. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und klicken Sie anschließend auf Eigenschaften.

  13. Geben Sie unter Anzeigenamen den Namen Netzwerkadressenzertifikat ein, und klicken Sie dann auf OK.

    Tipp

    Die Schritte 12 und 13 sind optional, erleichtern ihnen jedoch die Auswahl des Zertifikats für die Netzwerkadresse beim Konfigurieren des Remotezugriffs.

  14. Wiederholen Sie diesen Vorgang auf allen RAS-Servern in Ihrer Bereitstellung.

So erstellen Sie die DNS-Einträge für den Netzwerkadressenserver

  1. Auf dem DNS-Server: Geben Sie im Bildschirm Start die Zeichenfolge dnsmgmt.msc ein, und drücken Sie anschließend die EINGABETASTE.

  2. Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für das interne Netzwerk. Klicken Sie mit der rechten Maustaste auf die relevante Zone, und klicken Sie auf Neuer Host (A oder AAAA).

  3. Geben Sie im Dialogfeld Neuer Host im Feld Name (falls leer, wird der Name der übergeordneten Domäne verwendet) den Namen ein, der für den Netzwerkadressenserver für den ersten RAS-Server verwendet wurde. Geben Sie im Feld IP-Adresse die RAS-Server-IPv4-Adresse mit Intranetzugriff ein, und klicken Sie dann auf Host hinzufügen. Klicken Sie im Dialogfeld DNS auf OK.

  4. Geben Sie im Dialogfeld Neuer Host im Feld Name (falls leer, wird der Name der übergeordneten Domäne verwendet) den Namen ein, der für den Netzwerkadressenserver für den ersten RAS-Server verwendet wurde. Geben Sie im Feld IP-Adresse die RAS-Server-IPv6-Adresse mit Intranetzugriff ein, und klicken Sie dann auf Host hinzufügen. Klicken Sie im Dialogfeld DNS auf OK.

  5. Wiederholen Sie die Schritte 3 und 4 für jeden RAS-Server in Ihrer Bereitstellung.

  6. Klicke auf Fertig.

  7. Wiederholen Sie dieses Verfahren, bevor Sie Server als zusätzliche Einstiegspunkte in der Bereitstellung hinzufügen.

3.5. Konfigurieren von DirectAccess-Clients für eine Bereitstellung für mehrere Standorte

DirectAccess-Windows-Clientcomputer müssen Mitglied der Sicherheitsgruppe(n) sein, die ihre DirectAccess-Zuordnung definieren. Bevor mehrere Standorte aktiviert werden, können diese Sicherheitsgruppen sowohl Windows 8-Clients als auch Windows 7-Clients enthalten (sofern der entsprechende Vorgängermodus ausgewählt wurde). Sobald mehrere Standorte aktiviert wurden, werden vorhandene Clientsicherheitsgruppen im Einzelservermodus nur für Windows 8 in Sicherheitsgruppen konvertiert. Nachdem mehrere Standorte aktiviert wurden, müssen DirectAccess-Windows 7-Clientcomputer in die entsprechenden dedizierten Windows 7-Clientsicherheitsgruppen verschoben werden (die bestimmten Einstiegspunkten zugeordnet sind). Andernfalls können sie keine Verbindung über DirectAccess herstellen. Die Windows 7-Clients müssen zunächst aus den vorhandenen Sicherheitsgruppen entfernt werden, die jetzt Windows 8-Sicherheitsgruppen sind. Achtung: Windows 7-Clientcomputer, die sowohl Mitglieder von Windows 7- als auch von Windows 8-Clientsicherheitsgruppen sind, können keine Remoteverbindungen mehr herstellen. Windows 7-Clients ohne installiertes SP1 können auch keine Verbindungen mit dem Unternehmensnetzwerk herstellen. Daher müssen alle Windows 7-Clientcomputer aus Windows 8-Sicherheitsgruppen entfernt werden.

Entfernen von Windows 7-Clients aus Windows 8-Sicherheitsgruppen

  1. Klicken Sie im primären Domänencontroller auf Start und dann auf Active Directory-Benutzer und -Computer.

  2. Doppelklicken Sie zum Entfernen von Computern aus der Sicherheitsgruppe auf die Sicherheitsgruppe, und klicken Sie im Dialogfeld Eigenschaften von <Gruppenname> auf die Registerkarte Mitglieder.

  3. Wählen Sie den Windows 7-Clientcomputer aus, und klicken Sie auf Entfernen.

  4. Wiederholen Sie dieses Verfahren, um die Windows 7-Clientcomputer aus den Windows 8-Sicherheitsgruppen zu entfernen.

Wichtig

Wenn eine Remotezugriffskonfiguration für mehrere Standorte aktiviert wird, können die Clientcomputer (mit Windows 7 und Windows 8) nur Remoteverbindungen herstellen, wenn sie direkt oder per VPN eine Verbindung mit dem Unternehmensnetzwerk herstellen können, um ihre Gruppenrichtlinien zu aktualisieren. Dies gilt beim erstmaligen Aktivieren als auch beim Deaktivieren der Funktionalität für mehrere Standorte.

3.6. Aktivieren der Bereitstellung für mehrere Standorte

Um eine Bereitstellung für mehrere Standorte zu konfigurieren, aktivieren Sie die Funktion für mehrere Standorte auf Ihrem vorhandenen RAS-Server. Stellen Sie vor dem Aktivieren mehrerer Standorte in Ihrer Bereitstellung sicher, dass Sie über die folgenden Informationen verfügen:

  1. Globale Lastenausgleichseinstellungen und IP-Adressen, wenn Sie für DirectAccess-Clientverbindungen über alle Einstiegspunkte in Ihrer Bereitstellung hinweg einen Lastenausgleich durchführen möchten

  2. Die Sicherheitsgruppen, die Windows 7-Clientcomputer enthalten, für den ersten Einstiegspunkt in Ihrer Bereitstellung, wenn Sie den Remotezugriff für Windows 7-Clientcomputer aktivieren möchten

  3. Namen von Gruppenrichtlinienobjekten, wenn Sie nicht standardmäßige Gruppenrichtlinienobjekte verwenden müssen, die auf Windows 7-Clientcomputer für den ersten Einstiegspunkt in Ihrer Bereitstellung angewendet werden, wenn Sie Unterstützung für Windows 7-Clientcomputer benötigen

So aktivieren Sie eine Konfiguration für mehrere Standorte

  1. Auf ihrem vorhandenen RAS-Server: Geben Sie im Bildschirm Start die Zeichenfolge RAMgmtUI.exe ein, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Konfiguration und dann im Bereich Aufgaben auf Mehrere Standorte aktivieren.

  3. Klicken Sie im Assistenten zum Aktivieren der Bereitstellung für mehrere Standorte auf der Seite Vorbereitung auf Weiter.

  4. Geben Sie auf der Seite Bereitstellungsname unter Name der Bereitstellung für mehrere Standorte einen Namen für Ihre Bereitstellung ein. Geben Sie unter Name des ersten Einstiegspunkts einen Namen ein, um den ersten Einstiegspunkt zu identifizieren, bei dem es sich um den aktuellen RAS-Server handelt, und klicken Sie dann auf Weiter.

  5. Führen Sie auf der Seite Auswahl des Einstiegspunkts einen der folgenden Schritte aus:

    • Klicken Sie auf Einstiegspunkte automatisch zuweisen und manuelle Auswahl an den Clients zulassen, um Clientcomputer automatisch an den bestgeeigneten Einstiegspunkt weiterzuleiten, während Clientcomputer einen Einstiegspunkt auch manuell auswählen können. Die manuelle Einstiegspunktauswahl ist nur für Windows 8-Computer verfügbar. Klicke auf Weiter.

    • Klicken Sie auf Einstiegspunkte automatisch zuweisen, um Clientcomputer automatisch an den bestgeeigneten Einstiegspunkt weiterzuleiten, und klicken Sie dann auf Weiter.

  6. Führen Sie auf der Seite Globaler Lastenausgleich einen der folgenden Schritte aus:

    • Klicken Sie auf Nein, globalen Lastenausgleich nicht verwenden, wenn Sie keinen globalen Lastenausgleich verwenden möchten, und klicken Sie dann auf Weiter.

      Hinweis

      Wenn Sie diese Option auswählen, stellen Clientcomputer automatisch eine Verbindung mit dem nächstgelegenen Einstiegspunkt her.

    • Klicken Sie auf Ja, globalen Lastenausgleich verwenden, wenn Sie einen globalen Lastenausgleich für den Datenverkehr zwischen allen Einstiegspunkten durchführen möchten. Geben Sie unter Geben Sie den für alle Einstiegspunkte zu verwendenden globalen Lastenausgleichs-FQDN ein den globalen Lastenausgleichs-FQDN ein, und geben Sie unter der Option Geben Sie die IP-Adresse für den globalen Lastenausgleich für diesen Einstiegspunkt an, die sich auf den ersten RAS-Server bezieht, die IP-Adresse für den globalen Lastenausgleich für diesen Einstiegspunkt ein, und klicken Sie dann auf Weiter.

  7. Führen Sie auf der Seite Clientunterstützung einen der folgenden Schritte aus:

    • Um den Zugriff auf Clientcomputer mit Windows 8 oder neueren Betriebssystemen zu beschränken, klicken Sie auf Beschränken Sie den Zugriff auf Clientcomputer, die Windows 8 oder ein neueres Betriebssystem ausführen, und klicken Sie dann auf Weiter.

    • Um Clientcomputern unter Windows 7 den Zugriff auf diesen Einstiegspunkt zu ermöglichen, klicken Sie auf Windows 7-Clientcomputern den Zugriff auf diesen Einstiegspunkt erlauben, und klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, in denen die Windows 7-Clientcomputer enthalten sind, und klicken Sie auf OK und dann auf Weiter.

  8. Übernehmen Sie auf der Seite Client-GPO-Einstellungen das Standard-GPO für Windows 7-Clientcomputer für diesen Einstiegspunkt, geben Sie den Namen des GPOs ein, das von der Remotezugriffsfunktion automatisch erstellt werden soll, oder klicken Sie auf Durchsuchen, um das GPO für Windows 7-Clientcomputer zu suchen, und klicken Sie dann auf Weiter.

    Hinweis

    • Die Seite Client-GPO-Einstellungen wird nur angezeigt, wenn Sie den Einstiegspunkt so konfigurieren, dass Windows 7-Clientcomputer darauf zugreifen dürfen.
    • Optional können Sie auf GPOs überprüfen klicken, um sicherzustellen, dass Sie über die richtigen Berechtigungen für das oder die ausgewählten GPOs für diesen Einstiegspunkt verfügen. Wenn das GPO nicht vorhanden ist und automatisch erstellt wird, sind Berechtigungen zum Erstellen und Verknüpfen erforderlich. Wenn die GPOs manuell erstellt wurden, sind Berechtigungen zum Bearbeiten, Ändern der Sicherheitseinstellungen und Löschen erforderlich.

  9. Klicken Sie auf der Seite Zusammenfassung auf Übernehmen.

  10. Klicken Sie im Dialogfeld Die Bereitstellung für mehrere Standorte wird aktiviert auf Schließen und dann im Assistenten zum Aktivieren der Bereitstellung für mehrere Standorte auf Schließen.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

So aktivieren Sie eine Bereitstellung für mehrere Standorte mit dem Namen „Contoso“ auf dem ersten Einstiegspunkt namens „Edge1-US“. Die Bereitstellung ermöglicht Clients die manuelle Auswahl des Einstiegspunkts und verwendet keinen globalen Lastenausgleich.

Enable-DAMultiSite -Name 'Contoso' -EntryPointName 'Edge1-US' -ManualEntryPointSelectionAllowed 'Enabled'

So ermöglichen Sie Windows 7-Clientcomputern über den ersten Einstiegspunkt und die Sicherheitsgruppe DA_Clients_US unter Verwendung des GPOs DA_W7_Clients_GPO_US den Zugriff:

Add-DAClient -EntrypointName 'Edge1-US' -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_US') -DownlevelGpoName @('corp.contoso.com\DA_W7_Clients_GPO_US)

3.7. Hinzufügen von Einstiegspunkten zur Bereitstellung für mehrere Standorte

Nachdem Sie die Bereitstellung für mehrere Standorte aktiviert haben, können Sie mithilfe des Assistenten zum Hinzufügen von Einstiegspunkten zusätzliche Einstiegspunkte hinzufügen. Stellen Sie vor dem Hinzufügen von Einstiegspunkten sicher, dass Sie über die folgenden Informationen verfügen:

  • IP-Adressen für den globalen Lastenausgleich für jeden neuen Einstiegspunkt, wenn Sie den globalen Lastenausgleich verwenden

  • Die Sicherheitsgruppen, die Windows 7-Clientcomputer enthalten, für jeden Einstiegspunkt der hinzugefügt werden soll, wenn Sie den Remotezugriff für Windows 7-Clientcomputer aktivieren möchten

  • Namen von Gruppenrichtlinienobjekten, wenn Sie nicht standardmäßige Gruppenrichtlinienobjekte verwenden müssen, die auf Windows 7-Clientcomputer für jeden hinzugefügten Einstiegspunkt angewendet werden, wenn Sie Unterstützung für Windows 7-Clientcomputer benötigen

  • Wenn IPv6 im Unternehmensnetzwerk bereitgestellt wird, müssen Sie das IP-HTTPS-Präfix für den neuen Einstiegspunkt vorbereiten.

So fügen Sie einer Bereitstellung für mehrere Standorte Einstiegspunkte hinzu

  1. Auf ihrem vorhandenen RAS-Server: Geben Sie im Bildschirm Start die Zeichenfolge RAMgmtUI.exe ein, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Konfiguration und dann im Bereich Aufgaben auf Einstiegspunkt hinzufügen.

  3. Geben Sie im Assistenten zum Hinzufügen von Einstiegspunkten auf der Seite Details zum Einstiegspunkt unter RAS-Server den vollqualifizierten Domänennamen (FQDN) des hinzuzufügenden Servers ein. Geben Sie unter Einstiegspunktname den Namen des Einstiegspunkts ein, und klicken Sie dann auf Weiter.

  4. Geben Sie auf der Seite Einstellungen für den globalen Lastenausgleich die IP-Adresse des globalen Lastenausgleichs dieses Einstiegspunkts ein, und klicken Sie dann auf Weiter.

    Hinweis

    Die Seite Einstellungen für den globalen Lastenausgleich wird nur angezeigt, wenn die Konfiguration für mehrere Standorte einen globalen Lastenausgleich verwendet.

  5. Klicken Sie auf der Seite Netzwerktopologie auf die Topologie, die der Netzwerktopologie des hinzuzufügenden RAS-Servers entspricht, und klicken Sie dann auf Weiter.

  6. Geben Sie auf der Seite Netzwerkname oder IP-Adresse unter Geben Sie den öffentlichen Namen oder die IP-Adresse ein, mit denen Clients Verbindungen mit dem RAS-Server herstellen den öffentlichen Namen oder die IP-Adresse ein, der bzw. die von Clients zum Herstellen einer Verbindung mit dem RAS-Server verwendet wird. Der öffentliche Name entspricht dem Antragstellernamen des IP-HTTPS-Zertifikats. Wenn die Edge-Netzwerktopologie implementiert wurde, entspricht die IP-Adresse der Adresse des externen Adapters des RAS-Servers. Klicke auf Weiter.

  7. Führen Sie auf der Seite Netzwerkadapter einen der folgenden Schritte aus:

    • Wenn Sie eine Topologie mit zwei Netzwerkadaptern bereitstellen, wählen Sie unter Externer Adapter den Adapter aus, der mit dem externen Netzwerk verbunden ist. Wählen Sie unter Interner Adapter den Adapter aus, der mit dem internen Netzwerk verbunden ist.

    • Wenn Sie eine Topologie mit einem Netzwerkadapter bereitstellen, wählen Sie unter Netzwerkadapter den Adapter aus, der mit dem internen Netzwerk verbunden ist.

  8. Klicken Sie auf der Seite Netzwerkadapter unter Wählen Sie das Zertifikat aus, mit dem IP-HTTPS-Verbindungen authentifiziert werden sollen auf Durchsuchen, um das IP-HTTPS-Zertifikat zu suchen und auszuwählen. Klicke auf Weiter.

  9. Wenn IPv6 im Unternehmensnetzwerk konfiguriert ist, geben Sie auf der Seite Präfixkonfiguration unter IPv6-Präfix für VPN-Clientcomputer ein IP-HTTPS-Präfix ein, um DirectAccess-Clientcomputern IPv6-Adressen zuzuweisen, und klicken Sie auf Weiter.

  10. Führen Sie auf der Seite Clientunterstützung einen der folgenden Schritte aus:

    • Um den Zugriff auf Clientcomputer mit Windows 8 oder neueren Betriebssystemen zu beschränken, klicken Sie auf Beschränken Sie den Zugriff auf Clientcomputer, die Windows 8 oder ein neueres Betriebssystem ausführen, und klicken Sie dann auf Weiter.

    • Um Clientcomputern unter Windows 7 den Zugriff auf diesen Einstiegspunkt zu ermöglichen, klicken Sie auf Windows 7-Clientcomputern den Zugriff auf diesen Einstiegspunkt erlauben, und klicken Sie auf Hinzufügen. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die die Windows 7-Clientcomputer enthalten, die eine Verbindung mit diesem Einstiegspunkt herstellen, und klicken Sie auf OK und auf Weiter.

  11. Übernehmen Sie auf der Seite Client-GPO-Einstellungen das Standard-GPO für Windows 7-Clientcomputer für diesen Einstiegspunkt, geben Sie den Namen des GPOs ein, das von der Remotezugriffsfunktion automatisch erstellt werden soll, oder klicken Sie auf Durchsuchen, um das GPO für Windows 7-Clientcomputer zu suchen, und klicken Sie auf Weiter.

    Hinweis

    • Die Seite Client-GPO-Einstellungen wird nur angezeigt, wenn Sie den Einstiegspunkt so konfigurieren, dass Windows 7-Clientcomputer darauf zugreifen dürfen.
    • Optional können Sie auf GPOs überprüfen klicken, um sicherzustellen, dass Sie über die richtigen Berechtigungen für das oder die ausgewählten GPOs für diesen Einstiegspunkt verfügen. Wenn das GPO nicht vorhanden ist und automatisch erstellt wird, sind Berechtigungen zum Erstellen und Verknüpfen erforderlich. Wenn die GPOs manuell erstellt wurden, sind Berechtigungen zum Bearbeiten, Ändern der Sicherheitseinstellungen und Löschen erforderlich.

  12. Übernehmen Sie auf der Seite Server-GPO-Einstellungen das Standard-GPO für diesen RAS-Server, geben Sie den Namen des GPOs ein, das von der Remotezugriffsfunktion automatisch erstellt werden soll, oder klicken Sie auf Durchsuchen, um das GPO für diesen Server zu suchen, und klicken Sie dann auf Weiter.

  13. Klicken Sie auf der Seite Netzwerkadressenserver auf Durchsuchen, um das Zertifikat für die Website des Netzwerkadressenservers auszuwählen, die auf dem RAS-Server ausgeführt wird, und klicken Sie dann auf Weiter.

    Hinweis

    Die Seite Netzwerkadressenserver wird nur angezeigt, wenn die Website des Netzwerkadressenservers auf dem RAS-Server ausgeführt wird.

  14. Bestätigen Sie auf der Seite Zusammenfassung die Einstellungen des Einstiegspunkts, und klicken Sie dann auf Committen.

  15. Klicken Sie im Dialogfeld Einstiegspunkt hinzufügen auf Schließen, und klicken Sie dann im Assistenten zum Hinzufügen von Einstiegspunkten auf Schließen.

    Hinweis

    Wenn sich der hinzugefügte Einstiegspunkt in einer anderen Gesamtstruktur als die vorhandenen Einstiegspunkte oder Clientcomputer befindet, müssen Sie im Bereich Aufgaben auf Verwaltungsserver aktualisieren klicken, um die Domänencontroller und den Konfigurations-Manager in der neuen Gesamtstruktur zu ermitteln.

  16. Wiederholen Sie diesen Vorgang aus Schritt 2 für jeden Einstiegspunkt, den Sie Ihrer Bereitstellung für mehrere Standorte hinzufügen möchten.

Windows PowerShellÄquivalente Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

So fügen Sie den Computer „edge2“ aus der Domäne „corp2“ als zweiten Einstiegspunkt mit dem Namen „Edge2-Europe“ hinzu: Die Einstiegspunktkonfiguration lautet: IPv6-Clientpräfix „2001:db8:2:2000::/64“, Verbindungsadresse (IP-HTTPS-Zertifikat auf dem Computer „edge2“) „edge2.contoso.com“, Server-GPO namens „DirectAccess Server Settings - Edge2-Europe“ sowie die interne und externe Schnittstelle mit dem Namen „Internet“ bzw. „Corpnet2“:

Add-DAEntryPoint -RemoteAccessServer 'edge2.corp2.corp.contoso.com' -Name 'Edge2-Europe' -ClientIPv6Prefix '2001:db8:2:2000::/64' -ConnectToAddress 'Europe.contoso.com' -ServerGpoName 'corp2.corp.contoso.com\DirectAccess Server Settings - Edge2-Europe' -InternetInterface 'Internet' -InternalInterface 'Corpnet2'

So ermöglichen Sie Windows 7-Clientcomputern über den zweiten Einstiegspunkt und die Sicherheitsgruppe DA_Clients_Europe unter Verwendung des GPOs DA_W7_Clients_GPO_Europe den Zugriff:

Add-DAClient -EntrypointName 'Edge2-Europe' -DownlevelGpoName @('corp.contoso.com\ DA_W7_Clients_GPO_Europe') -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_Europe')