(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Bereitstellen erweiterten Fernzugriffs

Veröffentlicht: Februar 2012

Letzte Aktualisierung: August 2012

Betrifft: Windows Server 2012

Windows Server® 2012 fasst DirectAccess und RRAS-VPN (Routing und RAS-Dienst) in einer einzigen Remotezugriffs-Rolle zusammen. Diese Übersicht gibt eine Einführung in das erweiterte Windows Server® 2012-Remotezugriffsszenario, bei dem der Remotezugriff mit vollständigem Umfang von grundlegenden und erweiterten Funktionen bereitgestellt wird.

In diesem Szenario wird ein einzelner Computer mit Windows Server 2012 als Remotezugriffsserver konfiguriert. Wenn Sie eine einfache Bereitstellung mit simplen Standardeinstellungen konfigurieren möchten, erhalten Sie in Bereitstellen eines RAS-Servers mit dem Assistenten für erste Schritte weitere Informationen.

Beim erweiterten Bereitstellungsszenario ist eine Anzahl an Schritten zur Bereitstellung erforderlich:

  • Planen einer erweiterten Bereitstellung – Schritte:

    • Netzwerk- und Servertopologie – Entscheiden Sie über den Standort des Remotezugriffsservers (Edge oder hinter einem NAT-Gerät oder einer Firewall), und planen Sie IP-Adressenvergabe und Routing.

    • DNS – Planen Sie DNS-Einstellungen für die Remotezugriffsserver, die Infrastrukturserver, die Optionen für die lokale Namensauflösung und die Clientkonnektivität.

    • Active Directory – Planen Sie die Domäneneinstellungen, die DirectAccess-Clienteinstellungen und die Gruppenrichtlinienobjekt (Group Policy Object, GPO)-Anforderungen.

    • DirectAccess-Clientauthentifizierung – Planen Sie die Authentifizierung von DirectAccess-Clients per IPsec mit Clientzertifikaten, indem Sie den Remotezugriffsserver als Kerberos-Proxy verwenden.

    • DirectAccess-Netzwerkadressenserver – Der Netzwerkadressenserver wird von DirectAccess-Clients verwendet, um festzustellen, ob sie sich im internen Netzwerk befinden. Planen Sie den Standort des Netzwerkadressenservers, und entscheiden Sie, ob die Serverauthentifizierung über ein von einer CA ausgestelltes Zertifikat erfolgen oder ein vom Remotezugriffsserver automatisch ausgestelltes selbstsigniertes Zertifikat verwendet werden soll.

    • DirectAccess-IP-HTTPS – IP-HTTPS ist ein Übergangsprotokoll, das von DirectAccess-Clients zum Tunneln von IPv6-Datenverkehr über IPv4-Netzwerke verwendet wird. Entscheiden Sie, ob die IP-HTTPS-Authentifizierung über ein von einer CA ausgestelltes Zertifikat erfolgen oder ein vom Remotezugriffsserver automatisch ausgestelltes selbstsigniertes Zertifikat verwendet werden soll.

    • DirectAccess-Clients – Entscheiden Sie, welche verwalteten Computer als DirectAccess-Clients konfiguriert werden, und planen Sie die Bereitstellung von NCA (Network Connectivity Assistant) oder DCA (DirectAccess Connectivity Assistant) auf den Clientcomputern.

    • DirectAccess-Anwendungsserver – Planen Sie die IPv4- und IPv6-Anwendungsserver, und ziehen Sie die optionale Möglichkeit in Betracht, eine obligatorische End-to-End-Authentifizierung zwischen DirectAccess-Clientcomputern und internen Anwendungsservern einzurichten.

    • DirectAccess-Verwaltungsserver – Administratoren können DirectAccess-Clientcomputer, die sich außerhalb des Firmennetzwerks im Internet befinden, remote verwalten. Berücksichtigen Sie bei der Planung Verwaltungsserver (beispielsweise Updateserver), die für die Verwaltung von Remoteclients verwendet werden.

    • VPN – Bei der Bereitstellung von VPN sind einige Schritte nötig:

      • Entscheiden Sie, wie den Clients IP-Adressen zugeordnet werden, die eine Verbindung über VPN herstellen. Sie können entweder einen DHCP-Server oder einen Pool mit statischen IP-Adressen bereitstellen.

      • Geben Sie die Authentifizierungsmethode an, die für VPN-Clients zum Einsatz kommen soll. Zur Verfügung steht die Windows- und die RADIUS-Authentifizierung. Für die Windows-Authentifizierung ist eine Active Directory-Infrastruktur erforderlich. Für die RADIUS-Authentifizierung muss ein RADIUS-Server bereitstehen.

  • Konfigurieren einer erweiterten Bereitstellung – Schritte:

    • Konfigurieren von Server- und Netzwerkeinstellungen – Konfigurieren Sie Netzwerkadapter, IP-Adressen und Routing.

    • Konfigurieren von Zertifikateinstellungen – Stellen Sie bei Bedarf eine interne CA bereit, konfigurieren Sie Zertifikate für IP-HTTPS und den Netzwerkadressenserver, sofern selbstsignierte Zertifikate nicht zum Einsatz kommen, und konfigurieren Sie die automatische Registrierung für Clientcomputerzertifikate, wenn kein Kerberos-Proxy zur Client-IPsec-Authentifizierung verwendet wird.

    • Konfigurieren der Infrastruktur – Konfigurieren sie die DNS-Einstellungen, melden Sie den Server und die Clientcomputer bei Bedarf an einer Domäne an, konfigurieren Sie GPOs, sofern diese nicht automatisch per Remotezugriff konfiguriert werden, und konfigurieren Sie die Active Directory-Sicherheitsgruppen.

    • Konfigurieren des Netzwerkadressenservers – Entscheiden sie, ob der Netzwerkadressenserver auf einem Remotecomputer oder dem Remotezugriffsserver laufen soll, konfigurieren Sie nach Bedarf ein Zertifikat, und konfigurieren Sie Sitebindungen für einen Remoteserverstandort.

    • Konfigurieren des Remotezugriffsservers – Führen Sie zur Konfiguration von DirectAccess den vollständigen Remotezugriffs-Setup-Assistenten aus. Der Assistent umfasst vier Teile:

      1. Führen Sie den DirectAccess-Clientassistenten aus, und geben Sie an, ob DirectAccess für den Clientzugriff auf das interne Netzwerk, für die Remoteverwaltung von DirectAccess-Clients oder nur zur Remoteclientverwaltung bereitgestellt werden soll. Geben Sie an, welche verwalteten Computer als DirectAccess-Clients konfiguriert werden sollen, und konfigurieren Sie die NCA-Einstellungen. Geben Sie außerdem an, ob die DirectAccess-Clients direkten Zugriff auf das Internet haben werden oder nur über den Remotezugriffsserver.

      2. Führen Sie den Remotezugriffsserver-Setup-Assistenten aus, um eine Netzwerktopologie, die Server- und IP-Adresseinstellungen, die IP-HTTPS-Zertifikateinstellungen, die Authentifizierungsanforderungen und den Support für Windows 7-Clientcomputer zu konfigurieren. Konfigurieren Sie außerdem die VPN-Einstellungen, einschließlich der Clientadressenzuweisung und der VPN-Clientauthentifizierung.

      3. Führen Sie den Infrastrukturserver-Setup-Assistenten aus, um die Infrastrukturservereinstellungen, einschließlich des Netzwerkadressenservers, der DNS-Einstellungen und des Verwaltungsservers zur Remoteclientverwaltung, zu konfigurieren.

      4. Führen Sie den Anwendungsserver-Setup-Assistenten aus, um optional die End-to-End-Authentifizierung von DirectAccess-Clientcomputern bei bestimmten internen Anwendungsservern einzurichten.

Die Bereitstellung eines einzelnen Remotezugriffsservers stellt folgendes zur Verfügung:

  • Erleichterte Bedienung: Verwaltete Clientcomputer, auf denen Windows® 8 und Windows 7 ausgeführt werden, können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können immer, wenn sie im Internet sind, über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung einzuloggen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung zum internen Netzwerk herstellen. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwendet.

  • Erleichterte Verwaltung: Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von RAS-Administratoren über DirectAccess möglich, selbst wenn die Clientcomputer sich nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Managementserver gewartet werden. Einer oder mehrere RAS-Server können über eine einzelne Remotezugriff-Verwaltungskonsole verwaltet werden.

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

 

Rolle/Feature Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die RAS-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der RAS-Verwaltungskonsole verwaltet.

  2. RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die Remotezugriffs-Rolle ist von den folgenden Serverfeatures abhängig:

  • Internetinformationsdienste (Internet Information Services, IIS) für Webserver – Dieses Feature ist erforderlich, um den Netzwerkadressenserver und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem RAS-Server verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Benutzeroberfläche für RAS und Befehlszeilentools

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows Powershell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Serveranforderungen:

    • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

    • Für den Server muss mindestens ein Netzwerkadapter installiert und aktiviert sein. Es sollte nur ein Adapter an das interne Unternehmensnetzwerk und einer an das externe Netzwerk (Internet) angeschlossen sein.

    • Falls Teredo als IPv6- bis IPv4-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Wenn nur eine Netzwerkkarte verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.

    • Mindestens ein Domänencontroller. Sowohl die RAS-Server als auch die DirectAccess-Clients müssen Domänenmitglieder sein.

    • Ein Zertifizierungsstellenserver ist erforderlich, wenn Sie keine selbstsignierten Zertifikate für IP-HTTPS oder den Netzwerkadressenserver verwenden möchten, oder wenn Sie Clientzertifikate zur Client-IPsec-Authentifizierung verwenden möchten.

  • Clientanforderungen:

    • Clientcomputer müssen mit Windows® 8 oder Windows 7 ausgeführt werden.

  • Anforderungen an Infrastruktur und Verwaltungsserver:

    • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS- und HRS-Server bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls ein VPN aktiviert ist, ist ein DHCP-Server erforderlich, um die IP-Adressen automatisch den VPN-Clients zuzuweisen, sofern kein statischen IP-Adresspool genutzt wird.

    • Ein DNS-Server, auf dem Windows Server 2008 SP2, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, ist erforderlich.

Für dieses Szenario gelten eine Reihe an Anforderungen:

  • Serveranforderungen:

    • Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

    • Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.

    • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung, WMI-Filter zu erstellen (Domänenadministratoren) für den Domänencontroller erforderlich.

    • Befindet sich der Netzwerkadressenserver nicht auf dem RAS-Server, ist ein separater Server für die Ausführung erforderlich.

  • Remotezugriffs-Client-Anforderungen:

    • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients beinhalten, können zur selben Gesamtstruktur gehören wie der RAS-Server, oder sie können eine bidirektionale Vertrauensstellung mit dem RAS-Server und der Domäne innehaben.

    • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Beachten Sie, dass Computer immer nur einer Sicherheitsgruppe zugeordnet werden dürfen, die DirectAccess-Clients beinhaltet. Wenn Clients mehreren Gruppen zugeordnet werden, wird die Namensauflösung für Clientanfragen nicht wie erwartet funktionieren.

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

 

Inhaltstyp Verweise

RAS auf TechNet

RAS im TechCenter

Produktbewertung

Links zu den Auswertungsunterlagen und den Testumgebungsanleitungen, wenn veröffentlicht

Planen

Links zu den anderen RAS-Bereitstellungsszenarien, wenn diese veröffentlicht werden.

Bereitstellung

Links zu den RAS-Bereitstellungsszenarien, wenn diese veröffentlicht werden.

Problembehandlung

Fehlerbehebungsmöglichkeiten zu RAS, sobald diese veröffentlicht werden.

Tools und Einstellungen

Links zu PowerShell-Cmdlets und anderen Tools, sobald diese verfügbar sind.

Community-Ressourcen

RRAS Product Team Blog | Remote Access TechNet Forum

DirectAccess Wiki-Einträge

Verwandte Technologien

IPv6

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.