Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird die Konfiguration der Client- und Servereinstellungen erläutert, die für eine erweiterte Remotezugriffsbereitstellung erforderlich sind, die einen einzelnen Remotezugriffsserver in einer gemischten IPv4- und IPv6-Umgebung verwendet. Bevor Sie mit den Bereitstellungsschritten beginnen, stellen Sie sicher, dass alle Planungsschritte in Planen einer erweiterten DirectAccess-Bereitstellung ausgeführt wurden.
| Task | Description |
|---|---|
| 2.1. Installieren der Remotezugriffsrolle | Installieren Sie die Remotezugriffsrolle. |
| 2.2. Konfigurieren des Bereitstellungstypen | Konfigurieren Sie den Bereitstellungstypen als DirectAccess und VPN, nur DirectAccess, oder nur VPN |
| Planen einer erweiterten DirectAccess-Bereitstellung | Konfigurieren Sie den Remotezugriffsserver mit den Sicherheitsgruppen, die die DirectAccess-Clients enthalten. |
| 2.4. Konfigurieren des RAS-Servers | Konfigurieren Sie die Einstellungen des RAS-Servers. |
| 2.5. Konfigurieren des Infrastrukturservers | Konfigurieren Sie die Infrastrukturserver, die in der Organisation eingesetzt werden. |
| 2.6. Konfigurieren von Anwendungsservern | Konfigurieren Sie die Anwendungsserver so, dass für die Anmeldung eine Authentifizierung und Verschlüsselung vorausgesetzt wird. |
| 2.7. Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte | Zeigen Sie die Zusammenfassung der Remotezugriffskonfiguration an und ändern Sie bei Bedarf die Gruppenrichtlinienobjekte. |
| 2.8. Konfiguration des Remotezugriffsservers mithilfe von Windows PowerShell | Konfigurieren Sie den Remotezugriff mithilfe von Windows PowerShell. |
Note
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
2.1. Installieren der Remotezugriffsrolle
Um den Remotezugriff bereitzustellen, müssen Sie die Remotezugriffsrolle auf einem Server in Ihrer Organisation installieren, der als RAS-Server fungiert.
So installieren Sie die Remotezugriffsrolle
Klicken Sie auf dem Remotezugriffsserver in der Server-Manager-Konsole im Dashboard auf "Rollen und Features hinzufügen".
Klicken Sie dreimal auf "Weiter ", um zum Bildschirm " Serverrollen auswählen " zu gelangen.
Wählen Sie im Dialogfeld Serverrollen auswählen die Rolle Remotezugriff aus, klicken Sie bei Aufforderung auf Features hinzufügen, und klicken Sie dann auf Weiter.
Klicken Sie auf "Weiter " fünf Mal.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
Überprüfen Sie auf der Seite " Installationsstatus ", ob die Installation erfolgreich war, und klicken Sie dann auf "Schließen".
Windows PowerShell equivalent commands
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Konfigurieren des Bereitstellungstypen
Der Remotezugriff kann mithilfe der Remotezugriffs-Verwaltungskonsole auf drei verschiedene Arten bereitgestellt werden:
DirectAccess und VPN
Nur DirectAccess
Nur VPN
In dieser Anleitung wird in den Beispielverfahren eine Nur-DirectAccess-Bereitstellung verwendet.
So konfigurieren Sie den Bereitstellungstypen
Öffnen Sie auf dem Remotezugriffsserver die Remotezugriffsverwaltungskonsole: Geben Sie auf dem StartbildschirmRAMgmtUI.exeein, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.
Klicken Sie in der Remotezugriffs-Verwaltungskonsole im mittleren Bereich auf Remotezugriffs-Setup-Assistenten ausführen.
Klicken Sie im Dialogfeld Remotezugriff konfigurieren die entsprechende Bereitstellungsoption an (DirectAccess und VPN, nur DirectAccess oder nur VPN.
2.3. Konfigurieren von DirectAccess-Clients
Damit ein Clientcomputer zur Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nachdem DirectAccess konfiguriert wurde, werden Clientcomputer in der Sicherheitsgruppe bereitgestellt, damit sie das DirectAccess-Gruppenrichtlinienobjekt empfangen. Sie können auch das Bereitstellungsszenario konfigurieren, darüber können Sie DirectAccess für den Clientzugriff und die Remoteverwaltung oder nur für die Remoteverwaltung konfigurieren.
So konfigurieren Sie DirectAccess-Clients
Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 1 Remoteclients auf Konfigurieren.
Klicken Sie im DirectAccess-Clientsetup-Assistenten auf der Seite " Bereitstellungsszenario " auf das Bereitstellungsszenario, das Sie in Ihrer Organisation verwenden möchten (nur vollständige DirectAccess - oder Remoteverwaltung), und klicken Sie dann auf "Weiter".
Klicken Sie auf der Seite "Gruppen auswählen " auf "Hinzufügen".
Wählen Sie im Dialogfeld "Gruppen auswählen" die Sicherheitsgruppen aus, die Ihre DirectAccess-Clientcomputer enthalten.
Note
Wenn sich die Sicherheitsgruppe in einer anderen Gesamtstruktur als der RAS-Server befindet, klicken Sie im Bereich Aufgaben auf Verwaltungsserver aktualisieren, nachdem Sie den Assistenten zum Einrichten des Remotezugriffs beendet haben, um die Domänencontroller und Configuration Manager-Server n der neuen Gesamtstruktur zu ermitteln.
Aktivieren Sie das Kontrollkästchen DirectAccess ausschließlich für mobile Computer aktivieren, damit bei Bedarf nur mobile Computer auf das interne Netzwerk zugreifen.
Aktivieren Sie das Kontrollkästchen Tunnelerzwingung verwenden, um den gesamten Client-Datenverkehr (an das interne Netzwerk und das Internet) bei Bedarf über den Remotezugriffsserver zu leiten.
Klicke auf Weiter.
Vorgehensweise auf der Seite Netzwerkkonnektivitäts-Assistent:
Fügen Sie in der Tabelle Ressourcen hinzu, die zum Ermitteln der Konnektivität zum internen Netzwerk verwendet wird. Wenn keine weiteren Ressourcen konfiguriert werden, wird automatisch ein Standardwebtest erstellt.
Caution
Wenn Sie die Webtestspeicherorte zum Ermitteln der Konnektivität zum Unternehmensnetzwerk konfigurieren, müssen Sie sich vergewissern, dass mindestens ein HTTP-basierter Test konfiguriert ist. Das Konfigurieren einer Pingsonde reicht nicht aus, und dies kann zu einer ungenauen Ermittlung des Verbindungsstatus führen. Dies liegt daran, dass Ping von IPsec ausgenommen ist und daher nicht sichergestellt ist, dass die IPsec-Tunnel ordnungsgemäß eingerichtet sind.
Fügen Sie eine Helpdesk-E-Mail-Adresse hinzu, damit Benutzer Informationen absenden können, wenn bei ihnen Verbindungsprobleme auftreten.
Geben Sie einen Anzeigenamen für die DirectAccess-Verbindung ein. Dieser Name wird in der Netzwerkliste angezeigt, wenn der Benutzer auf das Netzwerksymbol im Infobereich klickt.
Aktivieren Sie bei Bedarf das Kontrollkästchen DirectAccess-Clients ermöglichen, die lokale Namensauflösung zu verwenden.
Note
Wenn die lokale Namensauflösung aktiviert ist, können Benutzer, bei denen den Netzwerkkonnektivitäts-Assistent ausgeführt wird, auswählen, Namen mithilfe von DNS-Servern aufzulösen, die auf dem DirectAccess-Clientcomputer konfiguriert sind.
Klicken Sie auf Fertig stellen.
2.4. Konfigurieren des RAS-Servers
Um den Remotezugriff bereitzustellen, müssen Sie den Remotezugriffsserver mit korrekten Netzwerkadaptern, einer öffentlichen URL für den Remotezugriffsserver, zu dem Clientcomputer eine Verbindung aufbauen können (die ConnectTo-Adresse), einem IP-HTTPS-Zertifikat mit einem Antragsteller, der mit der ConnectTo-Adresse übereinstimmt, IPv6-Einstellungen und Clientcomputer-Authentifizierung konfigurieren.
So konfigurieren Sie den RAS-Server
Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 2 RAS-Server auf Konfigurieren.
Klicken Sie im Remotezugriffsserver-Setup-Assistenten auf der Seite "Netzwerktopologie " auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet wird. Geben Sie unter Geben Sie den öffentlichen Namen oder die öffentliche IPv4-Adresse an den öffentlichen Namen für die Bereitstellung ein (dieser Name stimmt mit dem Antragstellernamen des IP-HTTPS-Zertifikats überein, z. B. edge1.contoso.com), und klicken Sie dann auf Weiter.
Auf der Seite "Netzwerkadapter" erkennt der Assistent automatisch die Netzwerkadapter für die Netzwerke in Ihrer Bereitstellung. Falls der Assistent nicht die korrekten Netzwerkadapter erkennt, wählen Sie die korrekten Adapter manuell aus. Der Assistent erkennt außerdem automatisch das IP-HTTPS-Zertifikat, das auf dem öffentlichen Namen für die Bereitstellung basiert und im vorherigen Schritt des Assistenten festgelegt wurde. Wenn der Assistent das richtige IP-HTTPS Zertifikats nicht erkennt, klicken Sie auf "Durchsuchen ", um das richtige Zertifikat manuell auszuwählen, und klicken Sie dann auf "Weiter".
Auf der Seite "Präfixkonfiguration " (dies wird nur angezeigt, wenn IPv6 im internen Netzwerk bereitgestellt wird), erkennt der Assistent automatisch die IPv6-Einstellungen, die im internen Netzwerk verwendet werden. Wenn für Ihre Bereitstellung zusätzliche Präfixe erforderlich sind, konfigurieren Sie die IPv6-Präfixe für das interne Netzwerk, ein IPv6-Präfix zum Zuweisen für DirectAccess-Clientcomputer und ein IPv6-Präfix zum Zuweisen für VPN-Clientcomputer.
Note
Sie können mehrere interne IPv6-Präfixe angeben, indem Sie eine durch Semikolon getrennte Liste verwenden, z. B. 2001:db8:1::/48;2001:db8:2::/48.
Auf der Seite "Authentifizierung ":
Klicken Sie in der Benutzerauthentifizierung auf Active Directory-Anmeldeinformationen. Um eine Bereitstellung mithilfe der zweistufigen Authentifizierung zu konfigurieren, klicken Sie auf zweistufige Authentifizierung. Weitere Informationen finden Sie unter Bereitstellen des Remotezugriffs mit OTP-Authentifizierung.
In Bereitstellungen für mehrere Standorte oder die zweistufige Authentifizierung müssen Sie die Computerzertifikatauthentifizierung verwenden. Aktivieren Sie das Kontrollkästchen Computerzertifikate verwenden, um die Computerzertifikatauthentifizierung zu verwenden und das IPsec-Stammzertifikat auszuwählen.
Damit Windows 7-Clientcomputer über DirectAccess Verbindungen herstellen können, müssen Sie das Kontrollkästchen Für Windows 7-Clientcomputer Verbindungen über DirectAccess zulassen aktivieren.
Note
Für diesen Bereitstellungstypen müssen Sie ebenfalls die Computerzertifikatauthentifizierung verwenden.
Klicken Sie auf Fertig stellen.
2.5. Konfigurieren des Infrastrukturservers
Um die Infrastrukturserver in einer Remotezugriffsbereitstellung zu konfigurieren, müssen Sie den Netzwerkadressenserver, die DNS-Einstellungen (einschließlich DNS-Suffixsuchliste) und die Verwaltungsserver konfigurieren, die nicht automatisch vom Remotezugriff erkannt werden.
So konfigurieren Sie die Infrastrukturserver
Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 3 Infrastrukturserver auf Konfigurieren.
Klicken Sie im Assistenten zum Einrichten des Infrastrukturservers auf der Seite Netzwerkadressenserver auf die Option, die dem Speicherort des Netzwerkadressenservers in Ihrer Bereitstellung entspricht. Wenn sich der Netzwerkspeicherortserver auf einem Remotewebserver befindet, geben Sie die URL ein, und klicken Sie auf "Überprüfen ", bevor Sie fortfahren. Wenn sich der Netzwerkstandortserver auf dem Remotezugriffsserver befindet, klicken Sie auf "Durchsuchen ", um das entsprechende Zertifikat zu suchen, und klicken Sie dann auf "Weiter".
Geben Sie auf der DNS-Seite in der Tabelle alle zusätzlichen Namenssuffixe ein, die als Ausnahmen für die Namensauflösungsrichtlinie (Name Resolution Policy Table, NRPT) angewendet werden. Wählen Sie eine Option für lokale Namensauflösung aus, und klicken Sie dann auf "Weiter".
Auf der Seite DNS-Suffixsuchliste erkennt der Remotezugriffsserver die Domänensuffixe in der Bereitstellung automatisch. Verwenden Sie die Schaltflächen "Hinzufügen " und "Entfernen ", um Domänensuffixe aus der Liste der zu verwendenden Domänensuffixe hinzuzufügen und zu entfernen. Wenn Sie ein neues Domänensuffix hinzufügen möchten, geben Sie in "Neues Suffix" das Suffix ein, und klicken Sie dann auf "Hinzufügen". Klicke auf Weiter.
Fügen Sie auf der Verwaltungsseite alle Verwaltungsserver hinzu, die nicht automatisch erkannt werden, und klicken Sie dann auf "Weiter". RAS fügt Domänencontroller und Konfigurations-Manager-Server automatisch hinzu.
Note
Die Server werden automatisch hinzugefügt, jedoch nicht in der Liste angezeigt. Nachdem Sie die Konfiguration erstmalig anwenden, werden die Configuration Manager-Server in der Liste angezeigt.
Klicken Sie auf Fertig stellen.
2.6. Konfigurieren von Anwendungsservern
Bei einer Remotezugriffsbereitstellung ist das Konfigurieren von Anwendungsservern eine optionale Aufgabe. Mit dem Remotezugriff können Sie für ausgewählte Anwendungsserver eine Authentifizierung voraussetzen, die durch die Aufnahme in eine Sicherheitsgruppe der Anwendungsserver bestimmt wird. Standardmäßig wird der Datenverkehr an die Anwendungsserver, die eine Authentifizierung voraussetzen, ebenfalls verschlüsselt; sie können jedoch auswählen, den Datenverkehr an Anwendungsserver nicht zu verschlüsseln und nur die Authentifizierung verwenden.
Note
Die Authentifizierung ohne Verschlüsselung wird nur auf Anwendungsservern unterstützt, auf denen Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2 ausgeführt wird.
So konfigurieren Sie die Anwendungsserver
Klicken Sie im mittleren Bereich der Remotezugriffs-Verwaltungskonsole unter Schritt 4 Anwendungsserver auf Konfigurieren.
Klicken Sie im DirectAccess-Anwendungsserver-Setup-Assistent auf Authentifizierung auf ausgewählte Anwendungsserver erweitern, um die Authentifizierung von ausgewählten Anwendungsservern vorauszusetzen. Klicken Sie auf "Hinzufügen" , um die Sicherheitsgruppe des Anwendungsservers auszuwählen.
Um den Zugriff nur auf Server in der Sicherheitsgruppe des Anwendungsservers zu beschränken, müssen Sie das Kontrollkästchen Zugriff nur für Server in den Sicherheitsgruppen zulassen aktivieren.
Um Die Authentifizierung ohne Verschlüsselung zu verwenden, müssen Sie das Kontrollkästchen Datenverkehr nicht verschlüsseln und nur Authentifizierung verwenden aktivieren.
Klicken Sie auf Fertig stellen.
2.7. Zusammenfassung der Konfiguration und alternative Gruppenrichtlinienobjekte
Wenn die Konfiguration des Remotezugriffs abgeschlossen ist, wird das Dialogfeld Überprüfung des Remotezugriffs angezeigt. Sie können alle zuvor ausgewählten Einstellungen überprüfen, dazu gehören:
GPO-Einstellungen: Der Name des DirectAccess-Server-Gruppenrichtlinienobjekts und der Client-GPO-Name werden aufgelistet. Darüber hinaus können Sie auf den Link " Ändern" neben der Überschrift " GPO-Einstellungen " klicken, um die GPO-Einstellungen zu ändern.
Remoteclients: Die DirectAccess-Clientkonfiguration wird angezeigt, einschließlich der Sicherheitsgruppe, erzwingen des Tunnelstatus, der Verbindungsprüfer und des DirectAccess-Verbindungsnamens.
RAS-Server: Hier wird die DirectAccess-Konfiguration angezeigt, einschließlich des öffentlichen Namens/Adresse, der Netzwerkadapterkonfiguration, der Zertifikatinformationen und der OTP-Informationen, falls konfiguriert.
Infrastrukturserver: Diese Liste enthält die URL des Netzwerkspeicherortservers, DNS-Suffixe, die von DirectAccess-Clients verwendet werden, und Verwaltungsserverinformationen.
Anwendungsserver: Der DirectAccess-Remoteverwaltungsstatus wird zusätzlich zum Status der End-to-End-Authentifizierung für bestimmte Anwendungsserver angezeigt.
2.8. Konfiguration des Remotezugriffsservers mithilfe von Windows PowerShell
PowerShell–äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
So führen Sie eine vollständige Installation in einer Edgetopologie des Remotezugriffs für DirectAccess nur in einer Domäne mit dem Stamm-corp.contoso.com aus und verwenden die folgenden Parameter: Server-GPO: DirectAccess-Servereinstellungen, Client-GPO: DirectAccess-Clienteinstellungen, interner Netzwerkadapter: Corpnet, externer Netzwerkadapter: Internet, ConnectTto-Adresse: edge1.contoso.com und Netzwerkstandortserver: nls.corp.contoso.com:
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
So konfigurieren Sie den Remotezugriffsserver so, dass er die Computerzertifikatauthentifizierung verwendet, mit einem IPsec-Stammzertifikat, das von der Zertifizierungsstelle mit der Bezeichnung CORP-APP1-CA ausgestellt wird:
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
So fügen Sie die Sicherheitsgruppe hinzu, die DirectAccess-Clients mit dem Namen "DirectAccessClients" enthält, und um die Sicherheitsgruppe "Domänencomputer" zu entfernen:
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
So aktivieren Sie den Remotezugriff für alle Computer (nicht nur für Notebooks und Laptops) sowie für Windows 7-Clients:
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
So konfigurieren Sie die DirectAccess-Clienterfahrung, einschließlich des Anzeigenamens der Verbindung und der Webtest-URL:
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')