(0) exportieren Drucken
Alle erweitern

Verwalten des Remotezugriffs

Veröffentlicht: August 2012

Letzte Aktualisierung: August 2012

Betrifft: Windows Server 2012, Windows Server 2012 R2



Das Thema liefert eine Übersicht über das Szenario zur Bereitstellung von DirectAccess für die Remoteverwaltung von Clients, um DirectAccess für die Wartung von Clients über das Internet verwenden zu können. Das Thema bietet außerdem eine Beschreibung der Bereitstellungsphasen und der eingeschlossenen Rollen und Features sowie Links zu weiteren Ressourcen.

Da DirectAccess-Clientcomputer unabhängig von einer Anmeldung des Benutzers am Computer immer dann mit dem Intranet verbunden sind, wenn der DirectAccess-Client mit dem Internet verbunden ist, können sie einfacher als Intranetressourcen verwaltet werden. Dies gilt auch für ihre Aktualisierung anhand von Gruppenrichtlinienänderungen sowie Betriebssystem- und Antischadsoftware-Updates und weiteren Änderungen.

In einigen Fällen müssen Intranetserver oder -computer Verbindungen mit DirectAccess-Clients initiieren. So können beispielsweise die Computer der Helpdeskabteilung über den Remotedesktop eine Verbindung mit DirectAccess-Remoteclients herstellen und Probleme beheben. Bei diesem Szenario wird die bestehende Remotezugriffslösung zwecks Benutzerkonnektivität beibehalten, während DirectAccess ausschließlich für die Remoteverwaltung verwendet wird.

Windows Server 2012 DirectAccess bietet Unterstützung für eine Konfiguration mit ausschließlicher Remoteverwaltung (manage-out). Dies erfolgt mithilfe eines Bereitstellungs-Assistenten, der die Erstellung von Richtlinien auf solche Richtlinien beschränkt, die für die Remoteverwaltung von Clientcomputer benötigt werden. In dieser Bereitstellung sind Konfigurationsoptionen auf Benutzerebene, beispielsweise Tunnelerzwingung, NAP-Integration und zweistufige Authentifizierung, nicht verfügbar.

Das Szenario der DirectAccess-Bereitstellung für die Remoteverwaltung von Clients umfasst die folgenden Schritte:

  • Planen der Bereitstellung – Für die Planung dieses Szenarios müssen nur wenige Anforderungen erfüllt werden:

    • Netzwerk- und Servertopologie – Mit DirectAccess können Sie den Remotezugriffsserver am Intranetedge oder hinter einem NAT-Gerät (Network Address Translation, Netzwerkadressenübersetzung) oder einer Firewall platzieren.

    • DirectAccess-Netzwerkadressenserver – der Netzwerkadressenserver wird von DirectAccess-Clients verwendet, um festzustellen, ob sie sich im internen Netzwerk befinden. Der Netzwerkadressenserver kann auf dem DirectAccess-Server oder auf einem anderen Server installiert werden.

    • DirectAccess-Clients – Legen Sie fest, welche verwalteten Computer als DirectAccess-Clients konfiguriert werden.

  • Konfigurieren der Bereitstellung – dies umfasst eine Reihe von Konfigurationsschritten:

    1. Konfigurieren der Infrastruktur – Konfigurieren Sie DNS-Einstellungen, fügen Sie den Server und die Clientcomputer falls erforderlich zu einer Domäne hinzu, und konfigurieren Sie Active Directory-Sicherheitsgruppen. In diesem Bereitstellungsszenario werden GPOs automatisch durch den Remotezugriff erstellt. Informationen zu erweiterten GPO-Zertifikatoptionen finden Sie unter dem Thema zum Bereitstellen erweiterten Fernzugriffs.

    2. Konfigurieren des Remotezugriffsservers und von Netzwerkeinstellungen – Konfigurieren Sie Netzwerkadapter, IP-Adressen und das Routing.

    3. Konfigurieren von Zertifikateinstellungen – in diesem Bereitstellungsszenario erstellt der Assistent für erste Schritte selbstsignierte Zertifikate, damit die bei der Bereitstellen erweiterten Fernzugriffs verwendete erweiterte Zertifikatsinfrastruktur nicht konfiguriert werden muss.

    4. Konfigurieren des Netzwerkadressenservers – in diesem Szenario wird der Netzwerkadressenserver auf dem RAS-Server installiert.

    5. DirectAccess-Verwaltungsserver – Administratoren können DirectAccess-Clientcomputer, die sich außerhalb des Firmennetzwerks im Internet befinden, remote verwalten. Berücksichtigen Sie bei der Planung Verwaltungsserver (beispielsweise Updateserver), die für die Verwaltung von Remoteclients verwendet werden.

    6. Konfigurieren des Remotezugriffsservers – Installieren Sie die Remotezugriffs-Rolle, und führen Sie den DirectAccess-Assistenten für erste Schritte aus, um DirectAccess zu konfigurieren.

    7. Überprüfen der Bereitstellung – Testen Sie einen DirectAccess-Client, um sicherzustellen, dass er mithilfe von DirectAccess eine Verbindung mit dem internen Netzwerk und dem Internet herstellen kann.

Die Bereitstellung eines einzelnen Remotezugriffsservers für die Verwaltung von DirectAccess-Clients bietet Folgendes:

  • Erleichterte Bedienung – verwaltete Clientcomputer, auf denen die Windows® 8 und Windows 7 ausgeführt werden, können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können immer, wenn sie im Internet sind, über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung einzuloggen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung zum internen Netzwerk herstellen. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwendet.

  • Erleichterte Verwaltung: Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von RAS-Administratoren über DirectAccess möglich, selbst wenn die Clientcomputer sich nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Managementserver gewartet werden. Einer oder mehrere RAS-Server können über eine einzelne Remotezugriff-Verwaltungskonsole verwaltet werden.

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

 

Rolle/Feature Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  2. RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die Remotezugriffs-Serverrolle ist von den folgenden Serverfeatures abhängig:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Benutzeroberfläche für RAS und Befehlszeilentools

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Serveranforderungen:

    • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

    • Auf dem Server muss mindestens ein Netzwerkadapter installiert und aktiviert sein. Es sollte nur ein Adapter an das interne Unternehmensnetzwerk und einer an das externe Netzwerk (Internet) angeschlossen sein.

    • Falls Teredo als IPv6- bis IPv4-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Wenn nur eine Netzwerkkarte verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.

    • Mindestens ein Domänencontroller. Sowohl die RAS-Server als auch die DirectAccess-Clients müssen Domänenmitglieder sein.

    • Ein Zertifizierungsstellenserver ist erforderlich, wenn Sie keine selbstsignierten Zertifikate für IP-HTTPS oder den Netzwerkadressenserver verwenden möchten, oder wenn Sie Clientzertifikate zur Client-IPsec-Authentifizierung verwenden möchten.

  • Clientanforderungen:

    • Auf einem Clientcomputer muss die Windows® 8 oder Windows 7 ausgeführt werden.

  • Anforderungen an Infrastruktur und Verwaltungsserver:

    • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Ein DNS-Server, auf dem Windows Server 2008 SP2; Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, ist erforderlich.

Für dieses Szenario gelten eine Reihe von Anforderungen:

  • Serveranforderungen:

    • Der Remotezugriffsserver muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

    • Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.

    • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung, WMI-Filter zu erstellen (Domänenadministratoren) für den Domänencontroller erforderlich.

    • Befindet sich der Netzwerkadressenserver nicht auf dem RAS-Server, ist ein separater Server für die Ausführung erforderlich.

  • Remotezugriffs-Client-Anforderungen:

    • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients enthalten, können zur selben Gesamtstruktur gehören wie der Remotezugriffsserver oder eine bidirektionale Vertrauensstellung mit der Remotezugriffsserver-Gesamtstruktur oder -Domäne innehaben.

    • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Beachten Sie, dass Computer immer nur einer Sicherheitsgruppe zugeordnet werden dürfen, die DirectAccess-Clients beinhaltet. Wenn Clients mehreren Gruppen zugeordnet werden, wird die Namensauflösung für Clientanfragen nicht wie erwartet funktionieren.

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

 

Art der Inhalte Referenzen

Remotezugriff auf TechNet

RAS im TechCenter

Produktbewertung

Testumgebungsanleitung: Vorführung von DirectAccess in einem Cluster mit Windows-Netzwerklastausgleich

Test Lab Guide: Demonstrate a DirectAccess Multisite Deployment

Test Lab Guide: Demonstrate DirectAccess with OTP Authentication and RSA SecurID

Bereitstellung

Remotezugriff (DirectAccess, Routing und Remotezugriff): Übersicht

Problembehandlung

Dokumentation zur Problembehandlung für den Remotezugriff, wenn verfügbar.

Tools und Einstellungen

Windows PowerShell-Cmdlets für den Remotezugriff

Community-Ressourcen

RRAS: Blog des Produktteams | TechNet-Forum zum Remotezugriff

DirectAccess Wiki-Einträge

Verwandte Technologien

Funktionsweise von IPv6

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft