Schritt 3: Planen der Bereitstellung für mehrere Standorte

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Planen Sie nach der Planung der Infrastruktur für mehrere Standorte alle zusätzlichen Zertifikatanforderungen, die Art und Weise, wie Clientcomputer Einstiegspunkte auswählen, und IPv6-Adressen, die in Ihrer Bereitstellung zugewiesen sind.

Die folgenden Abschnitte enthalten ausführliche Planungsinformationen.

3.1 Planen von IP-HTTPS-Zertifikaten

Wenn Sie die Einstiegspunkte konfigurieren, konfigurieren Sie jeden Einstiegspunkt mit einer bestimmten ConnectTo-Adresse. Das IP-HTTPS-Zertifikat für jeden Einstiegspunkt muss mit der ConnectTo-Adresse übereinstimmen. Beachten Sie beim Abrufen des Zertifikats Folgendes:

  • Sie können keine selbstsignierten Zertifikate in einer Bereitstellung für mehrere Standorte verwenden.

  • Die Verwendung einer öffentlichen Zertifizierungsstelle wird empfohlen, damit Zertifikatsperrlisten schneller verfügbar sind.

  • Geben Sie im Feld Betreff entweder die IPv4-Adresse des externen Adapters des RAS-Servers an (wenn die ConnectTo-Adresse als IP-Adresse und nicht als DNS-Name angegeben wurde) oder den FQDN der IP-HTTPS-URL.

  • Der allgemeine Name des Zertifikats sollte mit dem Namen der IP-HTTPS-Website übereinstimmen. Die Verwendung einer Platzhalter-URL, die dem ConnectTo-DNS-Namen entspricht, wird ebenfalls unterstützt.

  • IP-HTTPS-Zertifikate können Platzhalter im Antragstellernamen verwenden. Das gleiche Platzhalterzertifikat kann für alle Einstiegspunkte verwendet werden.

  • Geben Sie im Feld %%amp;quot;Erweiterte Schlüsselverwendung%%amp;quot; die Serverauthentifizierungs-Objektkennung (OID) an.

  • Wenn Sie Clientcomputer unterstützen, auf denen Windows 7 in der Bereitstellung für mehrere Standorte ausgeführt wird, geben Sie im Feld CRL-Verteilungspunkte einen CRL-Verteilungspunkt an, auf den DirectAccess-Clients zugreifen können, die mit dem Internet verbunden sind. Dies ist für Clients, auf denen Windows 8 ausgeführt wird, nicht erforderlich (standardmäßig ist die Sperrprüfung der Zertifikatsperrliste für IP-HTTPS auf diesen Clients deaktiviert).

  • Das IP-HTTPS-Zertifikat muss einen privaten Schlüssel enthalten.

  • Das IP-HTTPS-Zertifikat muss direkt in den persönlichen Speicher des Computers importiert werden, nicht in den des Benutzers.

3.2 Planen des Netzwerkspeicherortservers

Die Website des Netzwerkspeicherortservers kann auf dem RAS-Server oder auf einem anderen Server in Ihrer Organisation gehostet werden. Wenn Sie den Netzwerkspeicherortserver auf dem Rasserver hosten, wird die Website automatisch erstellt, wenn Sie den Remotezugriff bereitstellen. Wenn Sie den Netzwerkadressenserver auf einem anderen Server hosten, auf dem ein Windows Betriebssystem in Ihrer Organisation ausgeführt wird, müssen Sie sicherstellen, dass Internetinformationsdienste (IIS) installiert ist, um die Website zu erstellen.

3.2.1 Zertifikatanforderungen für den Netzwerkspeicherortserver

Stellen Sie sicher, dass die Website des Netzwerkspeicherortservers die folgenden Anforderungen für die Zertifikatbereitstellung erfüllt:

  • Hierfür ist ein HTTPS-Serverzertifikat erforderlich.

  • Wenn sich der Netzwerkspeicherortserver auf dem Rasserver befindet und Sie bei der Bereitstellung des einzelnen RAS-Servers ein selbstsigniertes Zertifikat verwendet haben, müssen Sie die Bereitstellung des einzelnen Servers so neu konfigurieren, dass ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat verwendet wird.

  • DirectAccess-Clientcomputer müssen der Zertifizierungsstelle vertrauen, die das Serverzertifikat zur Netzwerkadressenserver-Website ausgegeben hat.

  • DirectAccess-Clientcomputer im internen Netzwerk müssen in der Lage sein, den Namen der Website des Netzwerkspeicherortservers aufzulösen.

  • Die Website des Netzwerkspeicherortservers muss für Computer im internen Netzwerk hoch verfügbar sein.

  • Der Netzwerkadressenserver darf nicht für DirectAccess-Clientcomputer auf dem internen Netzwerk erreichbar sein.

  • Das Serverzertifikat muss anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) überprüft werden.

  • Platzhalterzertifikate werden nicht unterstützt, wenn der Netzwerkspeicherortserver auf dem RAS-Server gehostet wird.

Beachten Sie Beim Abrufen des Websitezertifikats, das für den Netzwerkspeicherortserver verwendet werden soll, Folgendes:

  1. Im Feld Antragsteller muss eine IP-Adresse der Intranetschnittstelle des Netzwerkadressenservers oder der FQDN der Netzwerkadressen-URL angegeben sein. Beachten Sie, dass Sie keine IP-Adresse angeben sollten, wenn der Netzwerkadressenserver auf dem RAS-Server gehostet wird. Dies liegt daran, dass der Netzwerkadressenserver für alle Einstiegspunkte den gleichen Antragstellernamen verwenden muss und nicht alle Einstiegspunkte die gleiche IP-Adresse haben.

  2. Im Feld Erweiterte Schlüsselverwendung muss die Serverauthentifizierungs-OID angegeben sein.

  3. Verwenden Sie für das Feld Sperrlistenverteilungspunkte einen CRL-Verteilungspunkt, auf den DirectAccess-Clients zugreifen können, die mit dem Intranet verbunden sind.

3.2.2DNS für den Netzwerkspeicherortserver

Wenn Sie den Netzwerkspeicherortserver auf dem RAS-Server hosten, müssen Sie für jeden Einstiegspunkt in Ihrer Bereitstellung einen DNS-Eintrag für die Website des Netzwerkspeicherortservers hinzufügen. Beachten Sie Folgendes:

  • Der Antragstellername des ersten Netzwerkadressenserverzertifikats in der Bereitstellung mit mehreren Standorten wird als Netzwerkadressenserver-URL für alle Einstiegspunkte verwendet. Daher dürfen der Antragstellername und die Server-URL des Netzwerkadressenservers nicht mit dem Computernamen des ersten RAS-Servers in der Bereitstellung übereinstimmen. Es muss ein FQDN sein, der für den Netzwerkspeicherortserver dediziert ist.

  • Der vom Netzwerkadressenserver-Datenverkehr bereitgestellte Dienst wird mithilfe von DNS über Einstiegspunkte verteilt. Daher sollte für jeden Einstiegspunkt ein DNS-Eintrag mit der gleichen URL vorhanden sein, der mit der internen IP-Adresse des Einstiegspunkts konfiguriert ist.

  • Alle Einstiegspunkte müssen mit einem Netzwerkadressenserverzertifikat mit dem gleichen Antragstellernamen konfiguriert werden (das der Url des Netzwerkadressenservers entspricht).

  • Die Netzwerkadressenserverinfrastruktur (DNS- und Zertifikateinstellungen) für einen Einstiegspunkt muss vor dem Hinzufügen des Einstiegspunkts erstellt werden.

3.3 Planen des IPsec-Stammzertifikats für alle RAS-Server

Beachten Sie Bei der Planung der IPsec-Clientauthentifizierung in einer Bereitstellung mit mehreren Websites Folgendes:

  1. Wenn Sie sich beim Einrichten des einzelnen RAS-Servers für die Verwendung des integrierten Kerberos-Proxys für die Computerauthentifizierung entschieden haben, müssen Sie die Einstellung so ändern, dass von einer internen Zertifizierungsstelle ausgestellte Computerzertifikate verwendet werden, da der Kerberos-Proxy für eine Bereitstellung mit mehreren Websites nicht unterstützt wird.

  2. Wenn Sie ein selbstsigniertes Zertifikat verwendet haben, müssen Sie die Bereitstellung auf einem einzelnen Server so neu konfigurieren, dass ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat verwendet wird.

  3. Damit die IPsec-Authentifizierung während der Clientauthentifizierung erfolgreich ist, müssen alle Rasserver über ein Zertifikat verfügen, das von der IPsec-Stamm- oder Zwischenzertifizierungsstelle und mit der Clientauthentifizierungs-OID für die erweiterte Schlüsselverwendung ausgestellt wurde.

  4. Das gleiche IPsec-Stamm- oder Zwischenzertifikat muss auf allen Remotezugriffsservern in der Bereitstellung für mehrere Standorte installiert sein.

3.4 Planen des globalen Serverlastenausgleichs

In einer Bereitstellung für mehrere Standorte können Sie zusätzlich einen globalen Serverlastenausgleich konfigurieren. Ein globaler Serverlastenausgleich kann für Ihre Organisation nützlich sein, wenn Ihre Bereitstellung eine große geografische Verteilung abdeckt, da die Datenverkehrslast zwischen den Einstiegspunkten verteilt werden kann. Der globale Serverlastenausgleich kann so konfiguriert werden, dass DirectAccess-Clients die Einstiegspunktinformationen des nächstgelegenen Einstiegspunkts bereitstellen. Der Prozess funktioniert wie folgt:

  1. Clientcomputer, auf denen Windows 10 oder Windows 8 ausgeführt werden, verfügen über eine Liste der IP-Adressen des globalen Serverlastenausgleichs, die jeweils einem Einstiegspunkt zugeordnet sind.

  2. Der clientcomputer Windows 10 oder Windows 8 versucht, den FQDN des globalen Serverlastenausgleichs im öffentlichen DNS in eine IP-Adresse aufzulösen. Wenn die aufgelöste IP-Adresse als IP-Adresse des globalen Serverlastenausgleichs eines Einstiegspunkts aufgeführt ist, wählt der Clientcomputer diesen Einstiegspunkt automatisch aus und stellt eine Verbindung mit seiner IP-HTTPS-URL (ConnectTo-Adresse) oder der IP-Adresse des Teredo-Servers her. Beachten Sie, dass die IP-Adresse des globalen Serverlastenausgleichs nicht mit der ConnectTo-Adresse oder der Teredo-Serveradresse des Einstiegspunkts identisch sein muss, da die Clientcomputer nie versuchen, eine Verbindung mit der IP-Adresse des globalen Serverlastenausgleichs herzustellen.

  3. Wenn sich der Clientcomputer hinter einem Webproxy befindet (und keine DNS-Auflösung verwenden kann), oder wenn der FQDN des globalen Serverlastenausgleichs nicht in eine konfigurierte IP-Adresse des globalen Serverlastenausgleichs aufgelöst wird, wird automatisch ein Einstiegspunkt mit einem HTTPS-Test für die IP-HTTPS-URLs aller Einstiegspunkte ausgewählt. Der Client stellt eine Verbindung mit dem Server her, der zuerst antwortet.

Eine Liste der globalen Serverlastenausgleichsgeräte, die den Remotezugriff unterstützen, finden Sie auf der Seite Partner suchen unter Microsoft Server and Cloud Platform.

3.5 Planen der Auswahl des DirectAccess-Clienteinstiegspunkts

Wenn Sie eine Bereitstellung für mehrere Standorte konfigurieren, werden Windows 10 und Windows 8 Clientcomputer standardmäßig mit den Informationen konfiguriert, die zum Herstellen einer Verbindung mit allen Einstiegspunkten in der Bereitstellung und zum automatischen Herstellen einer Verbindung mit einem einzelnen Einstiegspunkt basierend auf einem Auswahlalgorithmus erforderlich sind. Sie können Ihre Bereitstellung auch so konfigurieren, dass Windows 10 und Windows 8 Clientcomputer den Einstiegspunkt manuell auswählen können, mit dem sie eine Verbindung herstellen. Wenn ein Windows 10- oder Windows 8 Clientcomputer derzeit mit dem USA Einstiegspunkt verbunden ist und die automatische Einstiegspunktauswahl aktiviert ist und der USA Einstiegspunkt nicht erreichbar ist, versucht der Clientcomputer nach einigen Minuten, eine Verbindung über den Einstiegspunkt Europa herzustellen. Die Verwendung der automatischen Einstiegspunktauswahl wird empfohlen. Durch die auswahl manueller Einstiegspunkte können Endbenutzer jedoch basierend auf den aktuellen Netzwerkbedingungen eine Verbindung mit einem anderen Einstiegspunkt herstellen. Wenn beispielsweise ein Computer mit dem USA Einstiegspunkt verbunden ist und die Verbindung mit dem internen Netzwerk wesentlich langsamer als erwartet wird. In diesem Fall kann der Endbenutzer manuell auswählen, ob eine Verbindung mit dem Einstiegspunkt "Europa" hergestellt werden soll, um die Verbindung mit dem internen Netzwerk zu verbessern.

Hinweis

Nachdem ein Endbenutzer manuell einen Einstiegspunkt ausgewählt hat, wird der Clientcomputer nicht zur automatischen Einstiegspunktauswahl zurückgesetzt. Das heißt, wenn der manuell ausgewählte Einstiegspunkt nicht mehr erreichbar ist, muss der Endbenutzer entweder zur automatischen Einstiegspunktauswahl kehren oder manuell einen anderen Einstiegspunkt auswählen.

Windows 7 Clientcomputer werden mit den Informationen konfiguriert, die zum Herstellen einer Verbindung mit einem einzelnen Einstiegspunkt in der Bereitstellung für mehrere Standorte erforderlich sind. Sie können die Informationen für mehrere Einstiegspunkte nicht gleichzeitig speichern. Beispielsweise kann ein Windows 7-Clientcomputer so konfiguriert werden, dass eine Verbindung mit dem USA Einstiegspunkt hergestellt wird, jedoch nicht mit dem Einstiegspunkt Europa. Wenn der USA Einstiegspunkt nicht erreichbar ist, verliert der Windows 7-Clientcomputer die Verbindung mit dem internen Netzwerk, bis der Einstiegspunkt erreichbar ist. Der Endbenutzer kann keine Änderungen vornehmen, um zu versuchen, eine Verbindung mit dem Einstiegspunkt Europa herzustellen.

3.6 Planen von Präfixen und Routing

Internes IPv6-Präfix

Während der Bereitstellung des einzelnen Remotezugriffsservers haben Sie die IPv6-Präfixe für das interne Netzwerk geplant. Beachten Sie Folgendes in einer Bereitstellung mit mehreren Websites:

  1. Wenn Sie bei der Konfiguration der Remotezugriffsbereitstellung für einen einzelnen Server alle Active Directory-Standorte eingeschlossen haben, werden die IPv6-Präfixe des internen Netzwerks bereits in der Remotezugriffs-Verwaltungskonsole definiert.

  2. Wenn Sie zusätzliche Active Directory-Standorte für die Bereitstellung mit mehreren Standorten erstellen, müssen Sie neue IPv6-Präfixe für die zusätzlichen Standorte planen und in Remotezugriff definieren. Beachten Sie, dass IPv6-Präfixe nur mithilfe der Remotezugriffs-Verwaltungskonsole oder powerShell-Cmdlets konfiguriert werden können, wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird.

IPv6-Präfix für DirectAccess-Clientcomputer (IP-HTTPS-Präfix)

  1. Wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird, müssen Sie ein IPv6-Präfix planen, das DirectAccess-Clientcomputern in allen zusätzlichen Einstiegspunkten in Ihrer Bereitstellung zugewiesen werden soll.

  2. Stellen Sie sicher, dass die IPv6-Präfixe, die DirectAccess-Clientcomputern an jedem Einstiegspunkt zugewiesen werden sollen, unterschiedlich sind und dass sich die IPv6-Präfixe nicht überschneiden.

  3. Wenn IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird, wird beim Hinzufügen des Einstiegspunkts automatisch ein IP-HTTPS-Präfix für jeden Einstiegspunkt ausgewählt.

IPv6-Präfix für VPN-Clients

Wenn Sie VPN auf dem einzelnen RAS-Server bereitgestellt haben, beachten Sie Folgendes:

  1. Das Hinzufügen eines IPv6-VPN-Präfixes zu einem Einstiegspunkt ist nur erforderlich, wenn Sie VPN-Client-IPv6-Konnektivität mit dem Unternehmensnetzwerk zulassen möchten.

  2. Das VPN-Präfix kann nur auf einem Einstiegspunkt mithilfe der Remotezugriffs-Verwaltungskonsole oder des PowerShell-Cmdlets konfiguriert werden, wenn IPv6 im internen Unternehmensnetzwerk bereitgestellt wird und vpn auf dem Einstiegspunkt aktiviert ist.

  3. Das VPN-Präfix sollte in jedem Einstiegspunkt eindeutig sein und darf sich nicht mit anderen VPN- oder IP-HTTPS-Präfixen überschneiden.

  4. Wenn IPv6 nicht im Unternehmensnetzwerk bereitgestellt wird, wird VPN-Clients, die eine Verbindung mit dem Einstiegspunkt herstellen, keine IPv6-Adresse zugewiesen.

Routing

In einer Bereitstellung mit mehreren Websites wird symmetrisches Routing mitHilfe von Teredo und IP-HTTPS erzwungen. Beachten Sie Folgendes, wenn IPv6 im Unternehmensnetzwerk bereitgestellt wird:

  1. Die Präfixe Teredo und IP-HTTPS jedes Einstiegspunkts müssen über das Unternehmensnetzwerk an den zugeordneten RAS-Server geroutiert werden können.

  2. Die Routen müssen in der Routinginfrastruktur des Unternehmensnetzwerks konfiguriert werden.

  3. Für jeden Einstiegspunkt sollte es eine bis drei Routen im internen Netzwerk gibt:

    1. IP-HTTPS-Präfix: Dieses Präfix wird vom Administrator im Assistenten zum Hinzufügen eines Einstiegspunkts ausgewählt.

    2. VPN-IPv6-Präfix (optional). Dieses Präfix kann nach dem Aktivieren des VPN für einen Einstiegspunkt ausgewählt werden.

    3. Teredo-Präfix (optional). Dieses Präfix ist nur relevant, wenn der RAS-Server mit zwei aufeinander folgenden öffentlichen IPv4-Adressen auf dem externen Adapter konfiguriert ist. Das Präfix basiert auf der ersten öffentlichen IPv4-Adresse des Adresspaars. Dies ist beispielsweise der Folgende, wenn die externen Adressen wie die folgenden sind:

      1. www . xxx.yyy.zzz

      2. www . xxx.yyy.zzz+1

      Das zu konfigurierende Teredo-Präfix lautet 2001:0:WWXX:YYZZ::/64, wobei WWXX:YYZZ die hexadezimale Darstellung der IPv4-Adresse www . xxx.yyy.zzz ist.

      Beachten Sie, dass Sie das folgende Skript verwenden können, um das Teredo-Präfix zu berechnen:

      $TeredoIPv4 = (Get-NetTeredoConfiguration).ServerName # Use for a Remote Access server that is already configured
      $TeredoIPv4 = "20.0.0.1" # Use for an IPv4 address
      
          [Byte[]] $TeredoServerAddressBytes = `
          [System.Net.IPAddress]::Parse("2001::").GetAddressBytes()[0..3] + `
          [System.Net.IPAddress]::Parse($TeredoIPv4).GetAddressBytes() + `
          [System.Net.IPAddress]::Parse("::").GetAddressBytes()[0..7]
      
      Write-Host "The server's Teredo prefix is $([System.Net.IPAddress]$TeredoServerAddressBytes)/64"
      
    4. Alle oben genannten Routen müssen an die IPv6-Adresse auf dem internen Adapter des RAS-Servers (oder an die interne virtuelle IP-Adresse (VIP) für einen Einstiegspunkt mit Lastenausgleich) geroutet werden.

Hinweis

Wenn IPv6 im Unternehmensnetzwerk bereitgestellt wird und die Remotezugriffsserververwaltung remote über DirectAccess erfolgt, müssen Routen für die Teredo- und IP-HTTPS-Präfixe aller anderen Einstiegspunkte jedem RAS-Server hinzugefügt werden, damit der Datenverkehr an das interne Netzwerk weitergeleitet wird.

Standortspezifische IPv6-Präfixe in Active Directory

Wenn ein Clientcomputer, auf dem Windows 10 oder Windows 8 ausgeführt wird, mit einem Einstiegspunkt verbunden ist, wird der Clientcomputer sofort dem Active Directory-Standort des Einstiegspunkts zugeordnet und mit IPv6-Präfixen konfiguriert, die dem Einstiegspunkt zugeordnet sind. Clientcomputer sollten mithilfe dieser IPv6-Präfixe bevorzugt eine Verbindung mit Ressourcen herstellen, da sie dynamisch in der IPv6-Präfixrichtlinientabelle mit höherer Rangfolge konfiguriert werden, wenn eine Verbindung mit einem Einstiegspunkt hergestellt wird.

Wenn Ihre Organisation eine Active Directory-Topologie mit standortspezifischen IPv6-Präfixen verwendet (z. B. wird ein interner Ressourcen-FQDN app.corp.com sowohl in Nordamerika als auch in Europa mit einer standortspezifischen IP-Adresse an jedem Standort gehostet), wird dies nicht standardmäßig über die Remotezugriffskonsole konfiguriert, und standortspezifische IPv6-Präfixe werden nicht für jeden Einstiegspunkt konfiguriert. Wenn Sie dieses optionale Szenario aktivieren möchten, müssen Sie jeden Einstiegspunkt mit den spezifischen IPv6-Präfixen konfigurieren, die von Clientcomputern bevorzugt werden sollten, die eine Verbindung mit einem bestimmten Einstiegspunkt herstellen. Gehen Sie hierzu wie folgt vor:

  1. Führen Sie für jedes Gruppenrichtlinienobjekt, das für Windows 10- Windows 8-Clientcomputer verwendet wird, das powerShell-Cmdlet Set-DAEntryPointTableItem aus.

  2. Legen Sie den EntryPointRange-Parameter für das Cmdlet mit den standortspezifischen IPv6-Präfixen fest. Um beispielsweise die standortspezifischen Präfixe 2001:db8:1:1::/64 und 2001:db:1:2::/64 einem Einstiegspunkt namens Europa hinzuzufügen, führen Sie Folgendes aus:

    $entryPointName = "Europe"
    $prefixesToAdd = @("2001:db8:1:1::/64", "2001:db8:1:2::/64")
    $clientGpos = (Get-DAClient).GpoName
    $clientGpos | % { Get-DAEntryPointTableItem -EntryPointName $entryPointName -PolicyStore $_ | %{ Set-DAEntryPointTableItem -PolicyStore $_.PolicyStore -EntryPointName $_.EntryPointName -EntryPointRange ($_.EntryPointRange) + $prefixesToAdd}}
    
  3. Stellen Sie beim Ändern des EntryPointRange-Parameters sicher, dass Sie die vorhandenen 128-Bit-Präfixe, die zu den IPsec-Tunnelendpunkten und der DNS64-Adresse gehören, nicht entfernen.

3.7 Planen des Übergangs zu IPv6 bei Bereitstellung des Remotezugriffs für mehrere Standorte

Viele Organisationen verwenden das IPv4-Protokoll im Unternehmensnetzwerk. Da die verfügbaren IPv4-Präfixe erschöpft sind, machen viele Organisationen den Übergang von nur IPv4-Netzwerken zu ausschließlich IPv6-Netzwerken.

Dieser Übergang wird höchstwahrscheinlich in zwei Phasen stattfinden:

  1. Von einem nur IPv4 zu einem IPv6+IPv4-Unternehmensnetzwerk.

  2. Von einem IPv6+IPv4-Netzwerk zu einem nur IPv6-Unternehmensnetzwerk.

In jedem Teil kann der Übergang in Phasen ausgeführt werden. In jeder Phase kann nur ein Subnetz des Netzwerks in die neue Netzwerkkonfiguration geändert werden. Daher ist eine DirectAccess-Bereitstellung für mehrere Standorte erforderlich, um eine Hybridbereitstellung zu unterstützen, bei der beispielsweise einige Einstiegspunkte zu einem nur IPv4-Subnetz und andere zu einem IPv6+IPv4-Subnetz gehören. Darüber hinaus dürfen Konfigurationsänderungen während des Übergangsprozesses die Clientkonnektivität über DirectAccess nicht unterbricht.

Übergang von einem nur IPv4-System zu einem IPv6+IPv4-Unternehmensnetzwerk

Wenn Sie einem nur IPv4-Unternehmensnetzwerk IPv6-Adressen hinzufügen, sollten Sie einem bereits bereitgestellten DirectAccess-Server eine IPv6-Adresse hinzufügen. Darüber hinaus können Sie der DirectAccess-Bereitstellung einen Einstiegspunkt oder knoten zu einem Cluster mit Lastenausgleich mit IPv4- und IPv6-Adressen hinzufügen.

Mit dem Remotezugriff können Sie Server mit IPv4- und IPv6-Adressen zu einer Bereitstellung hinzufügen, die ursprünglich nur mit IPv4-Adressen konfiguriert wurde. Diese Server werden als nur IPv4-Server hinzugefügt, und ihre IPv6-Adressen werden von DirectAccess ignoriert. Daher kann Ihre Organisation die Vorteile der nativen IPv6-Konnektivität auf diesen neuen Servern nicht nutzen.

Um die Bereitstellung in eine IPv6+IPv4-Bereitstellung zu transformieren und die nativen IPv6-Funktionen zu nutzen, müssen Sie DirectAccess neu installieren. Informationen zur Aufrechterhaltung der Clientkonnektivität während der gesamten Neuinstallation finden Sie unter Übergang von einer nur IPv4-Bereitstellung zu einer ausschließlichen IPv6-Bereitstellung mit dualen DirectAccess-Bereitstellungen.

Hinweis

Wie bei einem Nur-IPv4-Netzwerk muss in einem gemischten IPv4+IPv6-Netzwerk die Adresse des DNS-Servers, der zum Auflösen von Client-DNS-Anforderungen verwendet wird, mit dem DNS64 konfiguriert werden, das auf Remotezugriffsservern selbst bereitgestellt wird, und nicht mit einem Unternehmens-DNS.

Übergang von einem IPv6-+IPv4-Netzwerk zu einem nur IPv6-Unternehmensnetzwerk

Mit DirectAccess können Sie nur IPv6-Einstiegspunkte hinzufügen, wenn der erste Rassserver in der Bereitstellung ursprünglich entweder IPv4- und IPv6-Adressen oder nur eine IPv6-Adresse hatte. Das heißt, Sie können nicht in einem einzigen Schritt von einem nur IPv4-Netzwerk zu einem nur IPv6-Netzwerk überwechseln, ohne DirectAccess neu zu installieren. Informationen zum direkten Übergang von einem Nur-IPv4-Netzwerk zu einem nur IPv6-Netzwerk finden Sie unter Übergang von einer IPv4-bereitstellung zu einer ausschließlichen IPv6-Bereitstellung mit dualen DirectAccess-Bereitstellungen.

Nachdem Sie den Übergang von einer ausschließlichen IPv4-Bereitstellung zu einer IPv6- und IPv4-Bereitstellung abgeschlossen haben, können Sie zu einem ausschließlich IPv6-Netzwerk überwechseln. Beachten Sie während und nach dem Übergang Folgendes:

  • Wenn nur IPv4-Back-End-Server im Unternehmensnetzwerk verbleiben, sind sie nicht für Clients erreichbar, die eine Verbindung über nur IPv6-Einstiegspunkte herstellen.

  • Wenn Sie einer IPv4+IPv6-Bereitstellung nur IPv6-Einstiegspunkte hinzufügen, werden DNS64 und NAT64 auf den neuen Servern nicht aktiviert. Clients, die eine Verbindung mit diesen Einstiegspunkten herstellen, werden automatisch für die Verwendung der DNS-Server des Unternehmens konfiguriert.

  • Wenn Sie IPv4-Adressen von einem bereitgestellten Server löschen müssen, müssen Sie den Server aus der DirectAccess-Bereitstellung entfernen, dessen IPv4-Unternehmensnetzwerkadresse entfernen und der Bereitstellung erneut hinzufügen.

Zur Unterstützung der Clientkonnektivität mit dem Unternehmensnetzwerk müssen Sie sicherstellen, dass der Netzwerkadressenserver vom Unternehmens-DNS in seine IPv6-Adresse aufgelöst werden kann. Eine zusätzliche IPv4-Adresse kann auch festgelegt werden, ist jedoch nicht erforderlich.

Übergang von einer nur IPv4-Bereitstellung zu einer ausschließlich IPv6-Bereitstellung mit dualen DirectAccess-Bereitstellungen

Der Übergang von einem nur IPv4-System zu einem IPv6-basierten Unternehmensnetzwerk kann nicht ohne Neuinstallation der DirectAccess-Bereitstellung erfolgen. Um die Clientkonnektivität während des Übergangs zu gewährleisten, können Sie eine andere DirectAccess-Bereitstellung verwenden. Eine duale Bereitstellung ist erforderlich, wenn die erste Übergangsphase abgeschlossen ist (nur ein IPv4-Netzwerk, das auf IPv4+IPv6 aktualisiert wurde), und Sie beabsichtigen, sich auf einen zukünftigen Übergang zu einem IPv6-unternehmenseigenen Netzwerk vorzubereiten oder von den nativen IPv6-Konnektivitätsvorteilen zu profitieren. Die duale Bereitstellung wird in den folgenden allgemeinen Schritten beschrieben:

  1. Installieren Sie eine zweite DirectAccess-Bereitstellung. Sie können DirectAccess auf neuen Servern installieren oder Server aus der ersten Bereitstellung entfernen und für die zweite Bereitstellung verwenden.

    Hinweis

    Stellen Sie bei der Installation einer zusätzlichen DirectAccess-Bereitstellung zusammen mit einer aktuellen Bereitstellung sicher, dass sich keine zwei Einstiegspunkte das gleiche Clientpräfix teilen.

    Wenn Sie DirectAccess mithilfe des Erste Schritte-Assistenten oder mit dem Cmdlet installieren, legt der Remotezugriff automatisch das Clientpräfix des ersten Einstiegspunkts in der Bereitstellung auf den Standardwert <IPv6-Subnetzpräfix Install-RemoteAccess _>:1000::/64 fest. Bei Bedarf müssen Sie das Präfix ändern.

  2. Entfernen Sie die ausgewählten Clientsicherheitsgruppen aus der ersten Bereitstellung.

  3. Fügen Sie die Clientsicherheitsgruppen der zweiten Bereitstellung hinzu.

    Wichtig

    Um die Clientkonnektivität während des gesamten Prozesses zu gewährleisten, müssen Sie die Sicherheitsgruppen sofort nach dem Entfernen aus der ersten Bereitstellung der zweiten Bereitstellung hinzufügen. Dadurch wird sichergestellt, dass Clients nicht mit zwei oder null DirectAccess-Gruppenrichtlinienobjekten aktualisiert werden. Clients verwenden die zweite Bereitstellung, sobald sie ihr Client-Gruppenrichtlinienobjekt abrufen und aktualisieren.

  4. Optional: Entfernen Sie die DirectAccess-Einstiegspunkte aus der ersten Bereitstellung, und fügen Sie diese Server als neue Einstiegspunkte in der zweiten hinzu.

Wenn Sie den Übergang abgeschlossen haben, können Sie die erste DirectAccess-Bereitstellung deinstallieren. Bei der Deinstallation können die folgenden Probleme auftreten:

  • Wenn die Bereitstellung so konfiguriert wurde, dass nur Clients auf mobilen Computern unterstützt werden, wird der WMI-Filter gelöscht. Wenn die Clientsicherheitsgruppen der zweiten Bereitstellung Desktopcomputer enthalten, filtert das DirectAccess-Client-Gruppenrichtlinienobjekt keine Desktopcomputer und kann probleme verursachen. Wenn ein Filter für mobile Computer erforderlich ist, erstellen Sie ihn neu, indem Sie die Anweisungen unter Erstellen von WMI-Filtern für das Gruppenrichtlinienobjekt befolgen.

  • Wenn beide Bereitstellungen ursprünglich in derselben Active Directory-Domäne erstellt wurden, wird der DNS-Testeintrag, der auf localhost verweist, gelöscht und kann Probleme mit der Clientkonnektivität verursachen. Beispielsweise können Clients eine Verbindung über IP-HTTPS anstelle von Teredo herstellen oder zwischen DirectAccess-Einstiegspunkten für mehrere Standorte wechseln. In diesem Fall müssen Sie dem Unternehmens-DNS den folgenden DNS-Eintrag hinzufügen:

    • Zone: Domänenname

    • Name: directaccess-corpConnectivityHost

    • IP-Adresse: ::1

    • Typ: AAAA