Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen

  • Artikel

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Dieses Thema bietet eine Einführung in das DirectAccess-Szenario mit einzelnem DirectAccess-Server und ermöglicht Ihnen die Bereitstellung von DirectAccess mit erweiterten Einstellungen.

Sie können zudem eine einfache DirectAccess-Umgebung sowie eine DirectAccess-Umgebung für Unternehmen bereitstellen. Informationen zu alternativen Bereitstellungspfaden finden Sie unter DirectAccess-Bereitstellungspfade in WindowsServer.

  • Wenn Sie nur eine grundlegende Bereitstellung mit einfachen Standardeinstellungen konfigurieren möchten, finden Sie unter Bereitstellen eines DirectAccess-Servers mit dem Assistenten für erste Schritte weitere Informationen. In dem einfachen Szenario wird DirectAccess über einen Assistenten mit Standardeinstellungen eingerichtet, ohne dass die Notwendigkeit zur Konfiguration von Infrastruktureinstellungen wie einer Zertifizierungsstelle oder Active Directory-Sicherheitsgruppen besteht.

  • Wenn Sie DirectAccess mit Unternehmensnetzwerkfeatures wie einem Cluster mit Lastenausgleich, der Bereitstellung für mehrere Standorte oder zweistufiger Clientauthentifizierung konfigurieren möchten, schließen Sie das in diesem Thema beschriebene Szenario zum Konfigurieren eines einzelnen Servers ab, und implementieren Sie dann das in Bereitstellen des Remotezugriffs in einem Unternehmen beschriebene Unternehmensszenario.

Wichtig

Um DirectAccess mithilfe dieser Anleitung zu verwenden, müssen Sie einen DirectAccess-Server verwenden, auf dem Windows Server® 2012 R2 oder Windows Server® 2012 ausgeführt wird.

Inhalt dieses Szenarios

Um einen einzelnen DirectAccess-Server mit erweiterten Einstellungen einzurichten, müssen Sie einige Planungs- und Bereitstellungsschritte durchführen.

Voraussetzungen

Vor dem Beginn können Sie folgende Anforderungen überprüfen:

  • Windows-Firewall muss in allen Profilen aktiviert sein.

  • Der DirectAccess-Server ist der Netzwerkadressenserver.

  • Sie möchten, dass alle Drahtloscomputer in der Domäne, in der der DirectAccess-Server installiert wird, DirectAccess-fähig sind. Wenn Sie DirectAccess bereitstellen, ist es automatisch auf allen mobilen Computern in der aktuellen Domäne aktiviert.

Wichtig

Einige Technologien und Konfigurationen werden bei der Bereitstellung von DirectAccess nicht unterstützt.

  • ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) wird im Unternehmensnetzwerk nicht unterstützt. Wenn Sie ISATAP verwenden, müssen Sie es entfernen und das systemeigene IPv6 verwenden.

Planungsschritte

Die Planung besteht aus zwei Phasen:

  1. Planen der DirectAccess-Infrastruktur. Diese Phase beschreibt die erforderlichen Planungsschritte zum Einrichten der Netzwerkinfrastruktur vor der DirectAccess-Bereitstellung. Sie umfasst das Planen der Netzwerk- und Servertopologie, der Zertifikate, des Domain Name System (DNS), der Active Directory-Konfiguration, der Konfiguration der Gruppenrichtlinienobjekte und des DirectAccess-Netzwerkadressenservers.

  2. Planen der DirectAccess-Bereitstellung. Diese Phase beschreibt die erforderlichen Planungsschritte zur Vorbereitung der DirectAccess-Bereitstellung. Dazu gehört die Planung für DirectAccess-Clientcomputer, Server- und Clientauthentifizierungsanforderungen, VPN-Einstellungen, Infrastrukturserver sowie Verwaltungs- und Anwendungsserver.

Informationen zu den Planungsschritten finden Sie unter Planen einer erweiterten DirectAccess-Bereitstellung.

Bereitstellungsschritte

Die Bereitstellung besteht aus drei Phasen:

  1. Konfigurieren der DirectAccess-Infrastruktur. Diese Phase beinhaltet das Konfigurieren von Netzwerk und Routing, das Konfigurieren der Firewalleinstellungen (falls erforderlich), das Konfigurieren von Zertifikaten, DNS-Servern, Active Directory- und Gruppenrichtlinienobjekt-Einstellungen und DirectAccess-Netzwerkadressenserver.

  2. Konfigurieren der DirectAccess-Servereinstellungen. Die Phase beinhaltet Schritte zum Konfigurieren von DirectAccess-Clientcomputern, DirectAccess-Server, Infrastrukturservern sowie Verwaltungs- und Anwendungsservern.

  3. Überprüfen der Bereitstellung. Diese Phase beinhaltet Schritte zur Überprüfung der DirectAccess-Bereitstellung.

Informationen zu den Bereitstellungsschritten finden Sie unter Installieren und Konfigurieren des erweiterten DirectAccess.

Praktische Anwendung

Die Bereitstellung eines einzelnen DirectAccess-Servers bietet Folgendes:

  • Erleichterte Bedienung. Verwaltete Clientcomputer, auf denen Windows® 8.1, Windows® 8 und Windows® 7 ausgeführt werden, können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können immer, wenn sie im Internet sind, über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung einzuloggen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung zum internen Netzwerk herstellen.

  • Erleichterte Verwaltung. Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von RAS-Administratoren über DirectAccess möglich, selbst wenn die Clientcomputer sich nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Verwaltungsserver gewartet werden. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwaltet. Außerdem können einer oder mehrere DirectAccess-Server über eine einzelne Remotezugriffs-Verwaltungskonsole verwaltet werden.

Für dieses Szenario erforderliche Rollen und Features

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess sowie die Routing- und RAS-Dienste. Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und RRAS VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  2. RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die RAS-Serverrolle ist von den folgenden Serverrollen/-features abhängig:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem DirectAccess-Server und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem DirectAccess-Server verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem DirectAccess-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole und Windows PowerShell-Cmdlets.

  • Es kann optional auf einem Server installiert werden, der die DirectAccess-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Grafische RAS-Benutzeroberfläche

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Serveranforderungen:

    • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

    • Auf dem Server muss mindestens ein Netzwerkadapter installiert, aktiviert und mit dem internen Netzwerk verbunden sein. Werden zwei Adapter verwendet, sollte ein Adapter mit dem internen Unternehmensnetzwerk und der andere mit dem externen Netzwerk (Internet oder privates Netzwerk) verbunden sein.

    • Falls Teredo als IPv4- bis IPv6-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Wenn nur eine IP-Adresse verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.

    • Mindestens ein Domänencontroller. DirectAccess-Server und DirectAccess-Clients müssen Domänenmitglieder sein.

    • Eine Zertifizierungsstelle ist erforderlich, wenn Sie keine selbstsignierten Zertifikate für IP-HTTPS oder den Netzwerkadressenserver verwenden möchten, oder wenn Sie Clientzertifikate zur Client-IPsec-Authentifizierung verwenden möchten. Alternativ können Sie die Zertifikate von einer öffentlichen Zertifizierungsstelle anfordern.

    • Befindet sich der Netzwerkadressenserver nicht auf dem DirectAccess-Server, ist ein separater Webserver für die Ausführung erforderlich.

  • Clientanforderungen:

    • Auf einem Clientcomputer muss Windows 8 oder Windows 7 ausgeführt werden.

      Hinweis

      Es können nur die folgenden Betriebssysteme als DirectAccess-Clients verwendet werden: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise und Windows 7 Ultimate.

  • Anforderungen an Infrastruktur und Verwaltungsserver:

    • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS- und HRS-Server bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls ein VPN aktiviert ist, ist ein DHCP-Server erforderlich, um die IP-Adressen automatisch den VPN-Clients zuzuweisen, sofern kein statischen IP-Adresspool genutzt wird.

Softwareanforderungen

Für dieses Szenario gelten eine Reihe von Anforderungen:

  • Serveranforderungen:

    • Der DirectAccess-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

    • Wird der DirectAccess-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den DirectAccess-Server zugelassen wird.

    • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.

  • RAS-Client-Anforderungen:

    • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients beinhalten, können zur selben Gesamtstruktur gehören wie der DirectAccess-Server, oder sie können eine bidirektionale Vertrauensstellung mit der DirectAccess-Serverstruktur oder der Domäne innehaben.

    • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Wird beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe angegeben, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer in der Sicherheitsgruppe "Domänencomputer" angewendet. Es können nur die folgenden Betriebssysteme als DirectAccess-Clients verwendet werden: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise und Windows 7 Ultimate.

      Hinweis

      Es wird empfohlen, dass Sie eine Sicherheitsgruppe für jede Domäne erstellen, die DirectAccess-Clientcomputer enthält.

      Wichtig

      Falls Sie Teredo in der DirectAccess-Bereitstellung aktiviert haben und Zugriff auf Windows 7-Clients bieten möchten, müssen Sie sicherstellen, dass die Clients mit SP1 auf Windows 7 aktualisiert werden. Clients mit Windows 7 RTM können keine Verbindung über Teredo herstellen. Diese Clients können jedoch weiterhin eine Verbindung zum Unternehmensnetzwerk über IP-HTTPS herstellen.

Siehe auch

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

Inhaltstyp

Verweise

RAS auf TechNet

RAS im TechCenter

Produktbewertung

Testumgebungsanleitung: Vorführung von DirectAccess in einem Cluster mit Windows-Netzwerklastausgleich

Testumgebungsanleitung: Führen Sie vor einer DirectAccess-Bereitstellung mit mehreren Standorten

Testumgebungsanleitung: Vorführen von DirectAccess mit OTP-Authentifizierung und RSA SecurID

Bereitstellung

DirectAccess-Bereitstellungspfade in WindowsServer

Bereitstellen eines DirectAccess-Servers mit dem Assistenten für erste Schritte

Bereitstellen des Remotezugriffs in einem Unternehmen

Tools und Einstellungen

PowerShell-Cmdlets für den Remotezugriff 

Communityressourcen

Orientierungshandbuch für DirectAccess

DirectAccess Wiki-Einträge

Verwandte Technologien

Funktionsweise von IPv6