Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nach der Planung der DirectAccess-Infrastruktur besteht der nächste Schritt der Bereitstellung von DirectAccess auf einem Einzelserver mit allgemeinen Einstellungen darin, die Einstellungen für den Assistenten für erste Schritte zu planen.
| Task | Description |
|---|---|
| Planen für die Clientbereitstellung | Standardmäßig stellt der Assistent für erste Schritte DirectAccess für alle Laptop- und Notebookcomputer in der Domäne bereit, indem er einen WMI-Filter auf das Clienteinstellungs-GPO anwendet. |
| Planen der DirectAccess-Serverbereitstellung | Planen Sie die Bereitstellung des DirectAccess-Servers. |
Planen für die Clientbereitstellung
Bei der Planung Ihrer Clientbereitstellung müssen zwei Entscheidungen getroffen werden:
Soll DirectAcess für alle oder nur für mobile Computer verfügbar sein?
Bei der Konfiguration der DirectAccess-Clients im Assistenten für erste Schritte können Sie auswählen, dass nur mobile Computer in den angegebenen Sicherheitsgruppen eine Verbindung über DirectAccess herstellen können. Wenn Sie nur den Zugriff für mobile Computer zulassen, konfiguriert DirectAccess automatisch einen WMI-Filter, um sicherzustellen, dass das DirectAccess-Client-GPO nur auf mobile Computer in den angegebenen Sicherheitsgruppen angewendet wird. Der DirectAccess-Administrator benötigt Berechtigungen zum Erstellen oder Bearbeiten der WMI-Filter für die Gruppenrichtlinie, um diese Einstellung zu aktivieren.
In welchen Sicherheitsgruppen sollen die DirectAccess-Clientcomputer enthalten sein?
Die DirectAccess-Einstellungen befinden sich in dem Gruppenrichtlinienobjekt des DirectAccess-Clients. Das GPO wird auf Computer angewendet, die in den Sicherheitsgruppen enthalten sind, die Sie im Assistenten für erste Schritte angegeben haben. Sie können angeben, dass Sicherheitsgruppen in einer beliebigen unterstützten Domäne enthalten sein sollen. Bevor Sie DirectAccess konfigurieren, sollten die Sicherheitsgruppen erstellt werden. Nach Abschluss der DirectAccess-Bereitstellung können Sie Computer zur Sicherheitsgruppe hinzufügen. Wenn Sie jedoch Clientcomputer hinzufügen, die sich in einer anderen Domäne als die Sicherheitsgruppe befinden, wird das Client-GPO nicht auf diese Clients angewendet. Wenn Sie beispielsweise SG1 in Domäne A für DirectAccess-Clients erstellen und später Clients aus Domäne B zu dieser Gruppe hinzufügen, wird das Client-GPO nicht auf Clients aus Domäne B angewendet. Sie können dieses Problem vermeiden, indem Sie eine neue Clientsicherheitsgruppe für jede Domäne erstellen, die Clientcomputer enthält. Alternativ dazu können Sie auch das Add-DAClient-Cmdlet mit dem Namen des neuen Gruppenrichtlinienobjekts für die neue Domäne ausführen, wenn Sie keine neue Sicherheitsgruppe erstellen möchten.
Planen der DirectAccess-Serverbereitstellung
Beim Planen der Bereitstellung Ihres DirectAccess-Servers müssen Sie verschiedene Entscheidungen treffen:
Netzwerktopologie -There sind zwei Topologien, die bei der Bereitstellung eines DirectAccess-Servers verfügbar sind:
Zwei Adapter -With zwei Netzwerkadaptern, DirectAccess kann mit einem Netzwerkadapter konfiguriert werden, der direkt mit dem Internet verbunden ist und das andere mit dem internen Netzwerk verbunden ist. Alternativ kann der Server hinter einem Edgegerät installiert werden, wie z. B. einer Firewall oder einem Router. In dieser Konfiguration ist ein Netzwerkadapter mit dem Umkreisnetzwerk und der andere mit dem internen Netzwerk verbunden.
Einzelner Netzwerkadapter: In dieser Konfiguration ist der DirectAccess-Server hinter einem Edgegerät z. B. einer Firewall oder einem Router installiert. Der Netzwerkadapter ist mit dem internen Netzwerk verbunden.
Netzwerkadapter -The DirectAccess-Assistent erkennt automatisch die auf dem DirectAccess-Server konfigurierten Netzwerkadapter. Sie können sicherstellen, dass die richtigen Adapter auf der Seite " Überprüfen" ausgewählt sind.
IP-HTTPS Zertifikat -Since in dieser Bereitstellung keine PKI erforderlich ist, stellt der Assistent automatisch selbstsignierte Zertifikate für IP-HTTPS und den Netzwerkspeicherortserver (wenn keine Zertifikate vorhanden sind) und aktiviert automatisch den Kerberos-Proxy. Außerdem aktiviert der Assistent NAT64 und DNS64 für die Protokollübersetzung in der reinen IPv4-Umgebung. Nachdem der Assistent die Anwendung der Konfiguration erfolgreich abgeschlossen hat, klicken Sie auf "Schließen".
Windows 7-Clients: Sie können die Unterstützung für Windows 7-Clients nicht im Assistenten für erste Schritte aktivieren. Diese kann über den Assistenten für erweitertes Setup aktiviert werden. Ausführliche Informationen finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.
VPN-Konfiguration -Before Sie DirectAccess konfigurieren, entscheiden Sie, ob Sie VPN-Zugriff auf Remoteclients bereitstellen möchten. Sie sollten VPN-Zugriff bereitstellen, wenn Sie in Ihrem Unternehmen über Clientcomputer verfügen, die keine DirectAccess-Verbindungen unterstützen (da sie entweder nicht verwaltet werden oder ein Betriebssystem einsetzen, bei dem DirectAccess nicht unterstützt wird). Der Assistent für erste Schritte konfiguriert die VPN-IP-Adresszuweisung mithilfe von DHCP und konfiguriert VPN-Clients für die Authentifizierung mit Active Directory.
Erzwingen sie, -If Sie die Verwendung von "Tunneln erzwingen" oder es in Zukunft hinzufügen möchten, sollten Sie einen einzelnen DirectAccess-Server mit erweiterten Einstellungen bereitstellen, um eine konfiguration mit zwei Tunneln bereitzustellen. Aufgrund von Sicherheitsüberlegungen wird die Tunnelerzwingung in einer Ein-Tunnel-Konfiguration nicht unterstützt.