Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird die Konfiguration der Infrastruktur beschrieben, die für eine grundlegende DirectAccess-Bereitstellung mit einem einzelnen DirectAccess-Server in einer gemischten IPv4- und IPv6-Umgebung erforderlich ist. Stellen Sie vor Beginn der Bereitstellungsschritte sicher, dass Sie die unter Planen einer einfachen DirectAccess-Bereitstellung beschriebenen Planungsschritte abgeschlossen haben.
| Task | Description |
|---|---|
| Konfigurieren von Servernetzwerkeinstellungen | Konfigurieren Sie die Servernetzwerkeinstellungen auf dem DirectAccess-Server. |
| Konfigurieren des Routings im Unternehmensnetzwerk | Konfigurieren Sie das Routing im Unternehmensnetzwerk, damit der Datenverkehr ordnungsgemäß weitergeleitet wird. |
| Konfigurieren von Firewalls | Konfigurieren Sie bei Bedarf zusätzliche Firewalls. |
| Konfigurieren des DNS-Servers | Konfigurieren Sie die DNS-Einstellungen für den DirectAccess-Server. |
| Konfigurieren von Active Directory | Fügen Sie der Active Directory-Domäne Clientcomputer und DirectAcess-Server hinzu. |
| Konfigurieren von GPOs | Konfigurieren Sie bei Bedarf Gruppenrichtlinienobjekte für die Bereitstellung. |
| Sicherheitsgruppen konfigurieren | Konfigurieren Sie Sicherheitsgruppen, die DirectAccess-Clientcomputer und weitere Sicherheitsgruppen enthalten, die für die Bereitstellung erforderlich sind. |
Note
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
Konfigurieren von Servernetzwerkeinstellungen
Für eine einzelne Serverbereitstellung in einer Umgebung mit IPv4 und IPv6 sind folgende Netzwerkschnittstelleneinstellungen erforderlich. Sämtliche IP-Adressen können im Netzwerk- und Freigabecenter von Windows mit der Option Adaptereinstellungen ändern konfiguriert werden.
Edgetopologie
Eine öffentliche statische IPv4- oder IPv6-Adresse mit Internetzugriff.
Note
Zwei aufeinander folgende öffentliche IPv4-Adressen sind für Teredo erforderlich. Falls Sie Teredo nicht verwenden, können Sie eine einzelne, öffentliche, statische IPv4-Adresse konfigurieren.
Eine einzelne, interne, statische IPv4- oder IPv6-Adresse
Hinter einem NAT-Gerät (mit zwei Netzwerkadaptern)
Eine einzelne, interne, statische IPv4- oder IPv6-Adresse mit Netzwerkzugriff
Eine einzelne statische IPv4- oder IPv6-Adresse mit Umkreisnetzwerkzugriff.
Hinter einem NAT-Gerät (mit einem Netzwerkadapter)
- Eine einzelne, statische IPv4- oder IPv6-Adresse.
Note
Für den Fall, dass der DirectAccess-Server zwei oder mehr Netzwerkadapter besitzt (einer, der in dem Domänenprofil klassifiziert ist, und der andere in einem öffentlichen/privaten Profil), jedoch nur eine einzelne NIC-Topologie verwendet wird, wird Folgendes empfohlen:
Vergewissern Sie sich, dass der zweite Netzwerkadapter und zusätzliche Netzwerkadapter im Domänenprofil klassifiziert sind.
Wenn die zweite NIC aus einem bestimmten Grund nicht für das Domänenprofil konfiguriert werden kann, muss der Bereich für die DirectAccess IPsec-Richtlinie manuell mithilfe der folgenden Windows PowerShell-Befehle festgelegt werden:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionDie Namen der IPsec-Richtlinien lauten „DirectAccess-DaServerToInfra“ und „DirectAccess-DaServerToCorp“.
Konfigurieren des Routings im Unternehmensnetzwerk
Konfigurieren Sie das Routing im Unternehmensnetzwerk wie folgt:
Wenn in der Organisation eine systemeigene IPv6-Adresse bereitgestellt wird, fügen Sie ihr eine Route hinzu, damit die Router im internen Netzwerk den IPv6-Datenverkehr zurück über den Remotezugriffsserver leiten.
Konfigurieren Sie die IPv4- und IPv6-Routen der Organisation manuell auf den Remotezugriffsservern. Fügen Sie eine öffentliche Route hinzu, sodass der gesamte Datenverkehr mit Organisations-IPv6-Präfix (/48) an das interne Netzwerk weitergeleitet wird. Fügen Sie außerdem für IPv4-Datenverkehr explizite Routen hinzu, damit IPv4-Datenverkehr an das interne Netzwerk weitergeleitet wird.
Konfigurieren von Firewalls
Wenden Sie bei zusätzlichen Firewalls in der Bereitstellung die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv4-Internet befindet:
IP6-zu-IP4-Datenverkehr – IP-Protokoll 41 ein- und ausgehend.
IP-HTTPS – TCP-Zielport 443 (Transmission Control Protocol) eingehend und TCP-Quellport 443 ausgehend. Hat der RAS-Server nur einen Netzwerkadapter und der Netzwerkadressenserver ist auf dem RAS-Server, wird auch TCP-Port 62000 benötigt.
Note
Diese Ausnahme muss auf dem RAS-Server konfiguriert werden. Alle anderen Ausnahmen müssen in der Edgefirewall konfiguriert werden.
Note
Bei Teredo- und IP6-zu-IP4-Datenverkehr sollten diese Ausnahmen für beide aufeinander folgenden öffentlichen IPv4-Adressen mit Internetzugriff auf dem RAS-Server angewendet werden. Bei IP-HTTPS müssen die Ausnahmen nur auf die Adresse angewendet werden, die zur Auflösung des externen Namens des Servers dient.
Wenden Sie bei zusätzlichen Firewalls die folgenden Firewallausnahmen mit Internetzugriff für RAS-Datenverkehr an, wenn der RAS-Server sich im IPv6-Internet befindet:
IP-Protokoll 50
UDP-Zielport 500 eingehend und UDP-Quellport 500 ausgehend.
Wenden Sie bei zusätzlichen Firewalls die folgenden internen Netzwerkfirewallausnahmen für RAS-Datenverkehr an:
ISATAP – Protokoll 41 ein- und ausgehend
TCP/UDP für den gesamten IPv4/IPv6-Datenverkehr
Konfigurieren des DNS-Servers
Sie müssen einen DNS-Eintrag für die Netzwerkadressenserver-Website für das interne Netzwerk in Ihrer Bereitstellung manuell konfigurieren.
So erstellen Sie den Netzwerkadressenserver und DNS-Einträge für den NCSI-Test
Führen Sie auf dem internen Netzwerk-DNS-Server dnsmgmt.msc aus, und drücken Sie dann die EINGABETASTE.
Erweitern Sie im linken Bereich der DNS-Manager-Konsole die Forward-Lookupzone für Ihre Domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und anschließend auf Neuer Host (A oder AAAA).
Geben Sie im Dialogfeld "Neuer Host " im Feld "Name" (übergeordneter Domänenname ist leer) den DNS-Namen für die Website des Netzwerkspeicherortservers ein (dies ist der Name, den die DirectAccess-Clients zum Herstellen einer Verbindung mit dem Netzwerkstandortserver verwenden). Geben Sie im Feld "IP-Adresse " die IPv4-Adresse des Netzwerkspeicherortservers ein, und klicken Sie dann auf "Host hinzufügen". Klicken Sie im Dialogfeld "DNS " auf "OK".
Geben Sie im Dialogfeld "Neuer Host " im Feld "Name" (übergeordneter Domänenname ist leer) den DNS-Namen für die Websonde ein (der Name für den Standardwebtest lautet "directaccess-webprobehost"). Geben Sie im Feld "IP-Adresse " die IPv4-Adresse des Web-Prüfpunkts ein, und klicken Sie dann auf "Host hinzufügen". Wiederholen Sie diesen Vorgang für directaccess-corpconnectivityhost und manuell erstellte Verbindungsprüfer. Klicken Sie im Dialogfeld "DNS " auf "OK".
Klicken Sie auf "Fertig".
PowerShell–äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Außerdem müssen Sie die DNS-Einträge für folgende Elemente konfigurieren:
Der IP-HTTPS-Server – DirectAccess-Clients müssen in der Lage sein, den DNS-Namen des Remote-Zugriffsservers aus dem Internet aufzulösen.
CRL-Sperrüberprüfung: DirectAccess verwendet Zertifikatssperrüberprüfungen für die IP-HTTPS-Verbindung zwischen den DirectAccess-Clients und dem Remote-Zugriffsserver und für die HTTPS-basierte Verbindung zwischen dem DirectAccess-Client und dem Netzwerkadressenserver. In beiden Fällen müssen DirectAccess-Clients in der Lage sein, auf den Zertifikatsperrlisten-Verteilungspunkt zuzugreifen und ihn aufzulösen.
Konfigurieren von Active Directory
Der Remotezugriffsserver und alle DirectAccess-Clientcomputer müssen zu einer Active Directory-Domäne zusammengeführt werden. DirectAccess-Clientcomputer müssen Mitglied folgender Domänentypen sein:
Domänen, die zur gleichen Gesamtstruktur wie der Remotezugriffsserver gehören.
Domänen, die zu Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zur Remotezugriffsserver-Gesamtstruktur gehören.
Domänen mit bidirektionaler Vertrauensstellung zur Remotezugriffsserverdomäne.
So fügen Sie den RAS-Server einer Domäne hinzu
Klicken Sie im Server-Manager auf "Lokaler Server". Klicken Sie im Detailbereich auf den Link neben dem Computernamen.
Klicken Sie im Dialogfeld "Systemeigenschaften " auf die Registerkarte " Computername ". Klicken Sie auf der Registerkarte "Computername " auf "Ändern".
Geben Sie unter Computername den Namen des Computers ein, wenn Sie auch den Computernamen ändern, wenn Sie den Server mit der Domäne verbinden. Klicken Sie unter "Mitglied von" auf "Domäne", und geben Sie dann den Namen der Domäne ein, der Sie dem Server beitreten möchten. beispielsweise corp.contoso.com, und klicken Sie dann auf "OK".
Wenn Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen für den Beitritt zu Computern zur Domäne ein, und klicken Sie dann auf "OK".
Wenn ein Dialogfeld angezeigt wird, das Sie in der Domäne willkommen heißt, klicken Sie auf "OK".
Wenn Sie aufgefordert werden, den Computer neu zu starten, klicken Sie auf "OK".
Klicken Sie im Dialogfeld "Systemeigenschaften " auf "Schließen".
Wenn Sie aufgefordert werden, den Computer neu zu starten, klicken Sie auf "Jetzt neu starten".
So fügen Sie Clientcomputer zur Domäne hinzu
Führen Sie explorer.exeaus.
Klicken Sie mit der rechten Maustaste auf das Computersymbol, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf der Seite "System " auf "Erweiterte Systemeinstellungen".
Klicken Sie im Dialogfeld "Systemeigenschaften " auf der Registerkarte " Computername " auf "Ändern".
Geben Sie im Computernamen den Namen des Computers ein, wenn Sie auch den Computernamen ändern, wenn Sie den Server mit der Domäne verbinden. Klicken Sie unter "Mitglied von" auf "Domäne", und geben Sie dann den Namen der Domäne ein, der Sie dem Server beitreten möchten. beispielsweise corp.contoso.com, und klicken Sie dann auf "OK".
Wenn Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, geben Sie den Benutzernamen und das Kennwort eines Benutzers mit Berechtigungen für den Beitritt zu Computern zur Domäne ein, und klicken Sie dann auf "OK".
Wenn ein Dialogfeld angezeigt wird, das Sie in der Domäne willkommen heißt, klicken Sie auf "OK".
Wenn Sie aufgefordert werden, den Computer neu zu starten, klicken Sie auf "OK".
Klicken Sie im Dialogfeld "Systemeigenschaften " auf "Schließen". Klicken Sie auf "Jetzt neu starten ", wenn Sie dazu aufgefordert werden.
PowerShell–äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
Beachten Sie, dass Sie die Domänenanmeldeinformationen nach der Eingabe des nachfolgenden Befehls %%amp;quot;Add-Computer%%amp;quot; bereitstellen müssen.
Add-Computer -DomainName <domain_name>
Restart-Computer
Konfigurieren von GPOs
Für die Bereitstellung von Remote-Zugriff benötigen Sie mindestens zwei Gruppenrichtlinienobjekte: ein Gruppenrichtlinienobjekt enthält Einstellungen für den Remote-Zugriffsserver und eines für DirectAccess-Client-Computer. Wenn Sie den Remote-Zugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen Gruppenrichtlinienobjekte. Wenn Ihre Organisation jedoch eine Benennungskonvention erzwingt oder Sie nicht über die erforderlichen Berechtigungen zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügen, müssen sie erstellt werden, bevor der Remote-Zugriff konfiguriert wird.
Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinienobjekts.
Important
Der Administrator kann die DirectAccess-Gruppenrichtlinienobjekte anhand von folgenden Schritten manuell mit einer Organisationseinheit verknüpfen:
- Verknüpfen Sie die erstellten Gruppenrichtlinienobjekte mit den entsprechenden Organisationseinheiten, bevor Sie DirectAccess konfigurieren.
- Wenn Sie DirectAccess konfigurieren, sollten Sie eine Sicherheitsgruppe für die Clientcomputer angeben.
- Der Remotezugriffsadministrator verfügt möglicherweise über Berechtigungen zum Vernüpfen der Gruppenrichtlinienobjekte mit der Domäne, oder das ist nicht der Fall. In beiden Fällen werden die Gruppenrichtlinienobjekte automatisch konfiguriert. Wenn die Gruppenrichtlinienobjekte bereits mit einer Organisationseinheit verknüpft sind, werden die Verknüpfungen nicht entfernt. Die Gruppenrichtlinienobjekte werden auch nicht mit der Domäne verknüpft. Für ein Server-Gruppenrichtlinienobjekt muss die Organisationseinheit das Servercomputerobjekt enthalten, andernfalls wird das Gruppenrichtlinienobjekt mit dem Domänenstamm verknüpft.
- Wenn Sie vor dem Ausführen des DirectAccess-Assistenten keine Verknüpfung zur Organisationseinheit hinzugefügt haben, kann der Administrator die DirectAccess-Gruppenrichtlinienobjekte nach Abschluss der Konfiguration mit den erforderlichen Organisationseinheiten verknüpfen. Die Verknüpfung zur Domäne kann entfernt werden. Schritte zum Verknüpfen eines Gruppenrichtlinienobjekts mit einer Organisationseinheit finden Sie hier.
Note
Wenn ein Gruppenrichtlinienobjekt manuell erstellt wurde, kann es während der DirectAccess-Konfiguration vorkommen, dass das Gruppenrichtlinienobjekt nicht verfügbar ist. Das Gruppenrichtlinienobjekt wurde möglicherweise nicht mit dem Domänencontroller repliziert, der dem Verwaltungscomputer am nächsten liegt. In diesem Fall kann der Administrator warten, bis die Replikation abgeschlossen ist oder er kann die Replikation erzwingen.
Warning
Die Konfiguration von DirectAccess mit anderen Mitteln als dem DirectAccess Setup-Assistenten, z. B. die direkte Änderung von DirectAccess-Gruppenrichtlinienobjekten oder die manuelle Änderung der Standardrichtlinieneinstellungen auf dem Server oder Client, wird nicht unterstützt.
Sicherheitsgruppen konfigurieren
Die DirectAccess-Einstellungen, die sich im Gruppenrichtlinienobjekt des Clientcomputers befinden, werden nur bei Computern angewendet, die Mitglieder der Sicherheitsgruppe sind, die Sie beim Konfigurieren des Remote-Zugriffs angeben.
So erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients
Führen Sie dsa.msc aus. Erweitern Sie in der Konsole Active Directory-Benutzer und -Computers im linken Bereich die Domäne, die die Sicherheitsgruppe enthält, klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu und klicken Sie dann auf Gruppe.
Geben Sie im Dialogfeld Neues Objekt - Gruppe unter Gruppenname den Namen für die Sicherheitsgruppe ein.
Klicken Sie unter "Gruppenbereich" unter "Gruppentyp" auf "Sicherheit", und klicken Sie dann auf "OK".
Doppelklicken Sie auf die Sicherheitsgruppe "DirectAccess-Clientcomputer", und klicken Sie im Dialogfeld "Eigenschaften" auf die Registerkarte " Mitglieder ".
Klicken Sie auf der Registerkarte " Mitglieder " auf "Hinzufügen".
Wählen Sie im Dialogfeld zum Auswählen von Benutzern, Kontakten Computern oder Dienstkonten die Clientcomputer aus, für die DirectAccess aktiviert werden soll, und klicken Sie anschließend auf OK.
PowerShell–äquivalente Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>