(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Konfigurieren von DirectAccess-Verbindungssicherheitsregeln für NAP

Veröffentlicht: Oktober 2009

Letzte Aktualisierung: Mai 2010

Betrifft: Windows Server 2008 R2

ImportantWichtig
In diesem Thema wird die Bereitstellung von DirectAccess in Windows Server 2008 R2 beschrieben. Informationen zur Bereitstellung von DirectAccess in Microsoft Forefront Unified Access Gateway (UAG) finden Sie im Bereitstellungshandbuch für Forefront UAG DirectAccess (http://go.microsoft.com/fwlink/?LinkID=179989).

Die Konfiguration von DirectAccess mit Netzwerkzugriffsschutz (Network Access Protection, NAP) setzt sich aus folgenden Schritten zusammen:

  • Hinzufügen der Integritätsregistrierungsstellen (Health Registration Authorities, HRAs) und Wartungsserver im Intranet zur Liste der Verwaltungsserver

  • Wenn Sie die vollständige NAP-Erzwingung verwenden: Konfigurieren von Verbindungssicherheitsregeln für den Intranettunnel auf dem DirectAccess-Server, sodass Integritätszertifikate zur Authentifizierung erforderlich sind.

Um diese Verfahren abzuschließen, müssen Sie Mitglied der Gruppe Domänenadministratoren sein oder anderweitig über die Berechtigungen verfügen, Gruppenrichtlinieneinstellungen zu ändern. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

Im folgenden Verfahren wird der DirectAccess-Setup-Assistent verwendet, um die Integritätsregistrierungsstellen und Wartungsserver zur Liste der Verwaltungsserver hinzuzufügen.

So fügen Sie Integritätsregistrierungsstellen und Wartungsserver mit dem DirectAccess-Setup-Assistenten als Verwaltungsserver hinzu

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie damgmt.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie in der Konsolenstruktur auf Setup.

  3. Klicken Sie im Detailbereich auf Konfigurieren für Schritt 3.

  4. Klicken Sie auf der Seite Speicherort auf Weiter.

  5. Klicken Sie auf der Seite DNS-Server und Domänencontroller auf Weiter.

  6. Klicken Sie auf der Seite Verwaltung mit der rechten Maustaste auf die leere Zeile, und klicken Sie dann auf Neu.

  7. Geben Sie im Dialogfeld IPv4-Adresse entweder den Hostnamen oder die IPv4-Adresse (Internetprotokoll, Version 4) der Integritätsregistrierungsstelle oder des Wartungsservers an, und klicken Sie dann auf OK. Geben Sie im Dialogfeld IPv6-Adresse/Präfix entweder den Hostnamen, die IPv6-Adresse (Internetprotokoll, Version 6) oder das Präfix der Integritätsregistrierungsstelle oder des Wartungsservers an, und klicken Sie dann auf OK.

  8. Wiederholen Sie die Schritte 6 und 7 für zusätzliche Server.

  9. Klicken Sie auf Fertig stellen.

  10. Klicken Sie auf Speichern und dann auf Fertig stellen.

  11. Klicken Sie im Dialogfeld DirectAccess-Überprüfung auf Übernehmen. Klicken Sie im Meldungsfeld DirectAccess-Richtlinienkonfiguration auf OK.

Im folgenden Verfahren werden mit Netsh.exe-Befehlen die Verbindungssicherheitsregeln für den Verwaltungstunnel geändert, um DirectAccess-Clients den Zugriff auf die Integritätsregistrierungsstellen und Wartungsserver im Intranet zu gestatten.

noteHinweis
Vor dem Ausführen dieses Verfahrens müssen Sie die Liste der IPv6-Adressen für die Integritätsregistrierungsstellen und Wartungsserver im Intranet bestimmen.

So fügen Sie Integritätsregistrierungsstellen und Wartungsserver mit dem Netsh.exe-Tool als Verwaltungsserver hinzu

  1. Starten Sie eine Eingabeaufforderung als Administrator auf einem Domänencontroller.

  2. Führen Sie im Eingabeaufforderungsfenster den Befehl netsh –c advfirewall aus.

  3. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl set store gpo="Domänenname\DirectAccess Policy-{3491980e-ef3c-4ed3-b176-a4420a810f12}" aus.

    Dies ist das Gruppenrichtlinienobjekt für DirectAccess-Clients.

  4. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl consec show rule name="DirectAccess Policy-ClientToMgmt" aus.

  5. Notieren Sie die IPv6-Adressen für Endpoint2 aus der Anzeige des Befehls consec show rule.

  6. Führen Sie in der Aufforderung netsh advfirewall den Befehl consec set rule "DirectAccess Policy-ClientToMgmt" new endpoint2=VorhandeneIPv6-Adressen,ListeZusätzlicherServer-IPv6-Adressen aus, wobei VorhandeneIPv6-Adressen für eine durch Komma getrennte Liste von IPv6-Adressen aus Schritt 5 steht und ListeZusätzlicherServer-IPv6-Adressen für eine durch Komma getrennte Liste von IPv6-Adressen für die Integritätsregistrierungsstellen und Wartungsserver im Intranet.

  7. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl set store gpo=”Domänenname\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}" aus.

    Dies ist das Gruppenrichtlinienobjekt für den DirectAccess-Server.

  8. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl consec set rule “DirectAccess Policy-DaServerToMgmt” new endpoint1=VorhandeneIPv6-Adressen,ListeZusätzlicherServer-IPv6-Adressen aus.

Im folgenden Verfahren wird die Verbindungssicherheitsregel für den Intranettunnel auf dem DirectAccess-Server geändert, um die Verwendung von Integritätszertifikaten durch DirectAccess-Clients zu erzwingen. Führen Sie dieses Verfahren nur aus, wenn Sie die vollständige NAP-Erzwingung für DirectAccess-Verbindungen verwenden.

So ändern Sie die Verbindungssicherheitsregel für den Intranettunnel

  1. Starten Sie eine Eingabeaufforderung als Administrator auf einem Domänencontroller.

  2. Führen Sie im Eingabeaufforderungsfenster den Befehl netsh –c advfirewall aus.

  3. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl set store gpo}”Domänenname\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}" aus.

    Dies ist das Gruppenrichtlinienobjekt für den DirectAccess-Server.

  4. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl consec show rule name=“DirectAccess Policy-DaServerToCorp" aus.

  5. Notieren Sie die Namenszeichenfolge der Zertifizierungsstelle für Auth1CAName aus der Anzeige des Befehls consec show rule.

  6. Führen Sie in der netsh advfirewall-Eingabeaufforderung den Befehl consec set rule “DirectAccess Policy-DaServerToCorp” new auth1=computercert auth1ca=ZSNamenszeichenfolge auth1healthcert=yes applyauthz=yes aus.

ImportantWichtig
Wenn Sie Netsh.exe zum Anpassen der Verbindungssicherheitsregeln für DirectAccess verwenden, werden diese Änderungen beim nächsten Anwenden der Einstellungen des DirectAccess-Setup-Assistenten überschrieben. Um sicherzustellen, dass die benutzerdefinierten Einstellungen beibehalten werden, sollten Sie den DirectAccess-Setup-Assistenten nicht mehr für Konfigurationsänderungen verwenden oder eine Liste benutzerdefinierter Änderungen in einem Skript kompilieren und das Skript bei jedem Anwenden von Einstellungen des DirectAccess-Setup-Assistenten ausführen.

Wenn Sie diese Seite über einen Link in einer Prüfliste aufgerufen haben, können Sie mit der Schaltfläche Zurück des Browsers zur Prüfliste zurückkehren.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft