(0) exportieren Drucken
Alle erweitern

DirectAccess-Verbindungsprozess

Letzte Aktualisierung: September 2010

Betrifft: Windows Server 2008 R2

Auf DirectAccess-Clients wird der folgende Prozess verwendet, um Verbindungen mit Intranetressourcen herzustellen:

  1. Der DirectAccess-Clientcomputer unter Windows 7 Enterprise oder Windows 7 Ultimate erkennt, dass er mit einem Netzwerk verbunden ist.

  2. Der DirectAccess-Clientcomputer bestimmt, ob er mit dem Intranet verbunden ist. Wenn dies der Fall ist, wird DirectAccess nicht verwendet. Wenn dies nicht der Fall ist, wird DirectAccess verwendet.

  3. Der DirectAccess-Clientcomputer stellt über IPv6 und IPsec eine Verbindung mit dem DirectAccess-Server her. Wenn kein systemeigenes IPv6-Netzwerk verfügbar ist (und vermutlich auch, wenn der Computer mit dem Internet verbunden ist, nicht verfügbar sein wird), verwendet der Client IP6-zu-IP4 oder Teredo, um IPv4-gekapselten IPv6-Datenverkehr zu senden.

  4. Wenn der Clientcomputer, der IP6-zu-IP4 oder Teredo verwendet, den DirectAccess-Server aufgrund einer Firewall oder eines Proxyservers nicht erreichen kann, versucht er automatisch, mit dem IP-HTTPS-Protokoll (Internet Protocol over Secure Hypertext Transfer Protocol) eine Verbindung herzustellen. IP-HTTPS verwendet eine SSL-Verbindung (Secure Sockets Layer), um IPv6-Datenverkehr zu kapseln.

  5. Beim Herstellen der IPsec-Sitzung für den Tunnel für den Zugriff auf den Intranet-DNS-Server und Domänencontroller authentifizieren sich DirectAccess-Client und -Server gegenseitig mithilfe von Computerzertifikaten für die Authentifizierung.

  6. Wenn der Netzwerkzugriffsschutz (Network Access Protection, NAP) aktiviert und für die Überprüfung der Integrität konfiguriert ist, bezieht der DirectAccess-Client vor dem Herstellen der Verbindung mit dem DirectAccess-Server ein Integritätszertifikat von einer Integritätsregistrierungsstelle (Health Registration Authority, HRA) im Internet. Die HRA leitet die Informationen zum Integritätsstatus des DirectAccess-Clients an einen NAP-Integritätsrichtlinienserver weiter. Auf dem NAP-Integritätsrichtlinienserver werden die auf dem Netzwerkrichtlinienserver (Network Policy Server, NPS) definierten Richtlinien verarbeitet und ermittelt, ob der Client den Systemintegritätsanforderungen entspricht. Wenn dies der Fall ist, bezieht die HRA ein Integritätszertifikat für den DirectAccess-Client. Wenn der DirectAccess-Client eine Verbindung mit dem DirectAccess-Server herstellt, wird das Integritätszertifikat zur Authentifizierung übermittelt.

    Weitere Informationen finden Sie weiter unten in diesem Dokument unter DirectAccess und Netzwerkzugriffsschutz.

  7. Wenn sich der Benutzer anmeldet, richtet der DirectAccess-Client den zweiten IPsec-Tunnel ein, um auf die Ressourcen im Intranet zuzugreifen. Der DirectAccess-Client und -Server authentifizieren sich gegenseitig mit einer Kombination von Computer- und Benutzeranmeldeinformationen.

  8. Der DirectAccess-Server leitet Datenverkehr zwischen dem DirectAccess-Client und den Intranetressourcen weiter, auf die dem Benutzer Zugriff gewährt wurde.

Der DirectAccess-Verbindungsprozess wird automatisch ausgeführt und erfordert keinen Eingriff des Benutzers.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft