(0) exportieren Drucken
Alle erweitern
1 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Konfigurieren von DirectAccess in Windows Server 2012 Essentials

Veröffentlicht: Juli 2012

Letzte Aktualisierung: Oktober 2012

Betrifft: Windows Server 2012 Essentials

DirectAccess ist eine Funktion in Windows Server 2012 Essentials, die das nahtlose Herstellen einer Verbindung zum Unternehmensnetzwerk von einem beliebigen Remotestandort mit Internetanschluss aus, ohne dass dazu eine VPN (Virtual Private Network)-Verbindung hergestellt werden muss. DirectAccess steigert die Produktivität der mobilen Mitarbeiter des Unternehmens, indem es außerhalb des Büros die gleiche Netzwerkanbindung wie innerhalb des Büros ermöglicht. Dieses Thema enthält schrittweise Anweisungen zum Konfigurieren von DirectAccess in Windows Server 2012 Essentials.

noteHinweis
Dieses Dokument gilt nur für die Konfiguration von DirectAccess in Windows Server 2012 Essentials für Windows 8-Clientcomputer. Schrittweise Anweisungen zum Konfigurieren von DirectAccess in Windows Server 2012 Essentials für Windows 7-Clientcomputer werden diesem Dokument später hinzugefügt.

Zum Konfigurieren von DirectAccess in Windows Server 2012 Essentials müssen Sie nach dem Aktivieren des virtuellen privaten Netzwerks (VPN) folgende Schritte ausführen, indem Sie den Assistenten zum Einrichten von "Zugriff überall" ausführen.

  1. Klicken Sie auf dem Server unten rechts auf dem Bildschirm auf das Server-Manager-Symbol.

  2. Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.

  3. Klicken Sie im Server-Manager-Dashboard auf Verwalten und dann auf Rollen und Features hinzufügen.

  4. Führen Sie im Assistenten zum Hinzufügen von Rollen und Features folgende Schritte aus:

    1. Klicken Sie auf der Seite Installationstyp auf Rollenbasierte oder featurebasierte Installation.

    2. Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen.

    3. Erweitern Sie auf der Seite Features zunächst Remoteserver-Verwaltungstools (installiert), dann Tools für die Remotezugriffsverwaltung (installiert), und wählen Sie dann die Option Remotezugriffs-GUI und Befehlszeilentools.

    4. Folgen Sie den Anweisungen, um den Assistenten fertigzustellen.

noteHinweis
Wenn Sie kein virtuelles privates Netzwerk mithilfe des Assistenten zum Einrichten von "Zugriff überall" aktiviert haben, müssen Sie die Option Remotezugriff aktivieren, um die Rolle im Assistenten zum Hinzufügen von Rollen und Features hinzuzufügen.

DirectAccess erfordert einen Adapter mit einer statischen IP-Adresse. Sie müssen die IP-Adresse für den lokalen Netzwerkadapter auf Ihrem Server ändern.

  1. Klicken Sie auf dem Server auf Start, und klicken Sie im Startfenster auf Systemsteuerung.

  2. Klicken Sie auf Netzwerk und Internet und dann auf Netzwerkstatus und -aufgaben anzeigen.

  3. Klicken Sie im Aufgabenbereich des Netzwerk- und Freigabecenters auf Adaptereinstellungen ändern.

  4. Klicken Sie mit der rechten Maustaste auf den lokalen Netzwerkadapter, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf der Registerkarte Netzwerk auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  6. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden, und geben Sie dann die zu verwendende IP-Adresse ein.

    Im Feld Subnetzmaske wird automatisch ein Standardwert für die Subnetzmaske angezeigt. Übernehmen Sie entweder den Standardwert, oder geben Sie den gewünschten Subnetzmaskenwert ein.

  7. Geben Sie im Feld Standardgateway die IP-Adresse des Standardgateways ein.

  8. Geben Sie im Feld Bevorzugter DNS-Server die IP-Adresse des DNS-Servers ein.

    noteHinweis
    Verwenden Sie die IP-Adresse, die dem Adapter über DHCP zugewiesen wurde (z. B. 192.168.X.X), anstatt durch ein Loopback-Netzwerk (z. B. 127.0.0.1).

  9. Geben Sie gegebenenfalls im Feld Alternativer DNS-Server die IP-Adresse des alternativen DNS-Servers ein.

  10. Klicken Sie auf OK und dann auf Schließen.

ImportantWichtig
Konfigurieren Sie unbedingt den Router für die Weiterleitung der Ports 80 und 443 an die neue statische IP-Adresse des Servers.

Dieser Abschnitt enthält schrittweise Anweisungen für die folgenden Aufgaben:

  • Gewähren von uneingeschränkten Berechtigungen an authentifizierte Benutzer für die Zertifikatsvorlage des Webservers in der Zertifizierungsstelle

  • Registrieren eines Zertifikats für den Netzwerkadressenserver mit einem allgemeinen Namen, der im externen Netzwerk nicht aufgelöst werden kann

  • Hinzufügen eines neuen Hosts auf dem DNS-Server und Zuordnen dieses Hosts an die Windows Server 2012 Essentials-Serveradresse

  1. Klicken Sie auf dem Server auf Suche. Geben Sie im Feld SuchenCertification Authority ein, und klicken Sie im Ergebnisbereich auf Zertifizierungsstelle.

  2. Erweitern Sie in der Konsole Zertifizierungsstelle (lokal)die Zertifizierungsstelle des Servers, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

  3. Klicken Sie in der Konsole Zertifizierungsstelle (lokal) mit der rechten Maustaste auf Webserver, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie im Feld mit den Eigenschaften der Zertifizierungsstelle des Servers auf die Registerkarte Sicherheit klicken Sie auf Authentifizierte Benutzer, wählen Sie die Option Vollzugriff, und klicken Sie dann auf OK.

  1. Klicken Sie auf dem Server auf Suche, und geben Sie im Feld Suchenmmc ein.

  2. Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.

  3. Die Microsoft Management Console (MMC) wird angezeigt.

  4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, dann auf Zertifikate und schließlich auf Hinzufügen.

  5. Klicken Sie auf der Seite Zertifikat-Snap-In auf Computerkonto, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Computer auswählen auf Lokaler Computer, auf Fertig stellen und dann auf OK.

  7. Klicken Sie in der Konsole Zertifikate im Detailbereich auf Eigene Zertifikate, klicken Sie mit der rechten Maustaste auf Zertifikate, und klicken Sie dann in Alle Aufgaben auf Neues Zertifikat anfordern. Der Zertifikatregistrierungs-Assistent wird angezeigt. Klicken Sie auf Weiter.

  8. Klicken Sie auf der Seite zur Auswahl der Registrierungsrichtlinie auf Weiter.

  9. Klicken Sie auf der Seite Zertifikat anfordern auf Webserver und dann auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

  10. Wählen Sie im Feld Zertifikateigenschaften für Antragstellername: im Dropdownmenü die Option Allgemeiner Name. Geben Sie als Wert den Namen Netzwerkadressenservers ein (z. B. "DirectAccess-NLS.contoso.local"), und klicken Sie dann auf Hinzufügen.

  11. Klicken Sie auf Weiter und dann auf Fertig stellen.

  1. Öffnen Sie den DNS-Manager, klicken Sie mit der rechten Maustaste auf Forward-Lookupzonen mit Domänen-Suffix, und klicken Sie dann auf Neuer Host (A oder AAAA)...

  2. Geben Sie den Namen und die IP-Adresse des Servers (z. B. "DirectAccess-NLS.contoso.local") und die entsprechende Serveradresse ein (z. B. 192.168.x.x).

  3. Klicken Sie auf Host hinzufügen und dann auf Fertig.

Zum Aktivieren und Konfigurieren von DirectAccess in Windows Server 2012 Essentials müssen Sie folgende Schritte ausführen:

Dieser Abschnitt enthält schrittweise Anweisungen zum Aktivieren von DirectAccess in Windows Server 2012 Essentials.

  1. Klicken Sie auf dem Server auf Suche. Geben Sie im Feld SuchenRemote Access Management ein, und klicken Sie im Abschnitt Ergebnisse auf Remotezugriffsverwaltung.

  2. Klicken Sie in der Konsole Remotezugriffsverwaltung auf Konfiguration, und dann im Bereich Remotezugriff einrichten auf DirectAccess aktivieren. Der Assistent zum Aktivieren von DirectAccess wird angezeigt.

    noteHinweis
    Wenn Sie das VPN nicht über das Serverdashboard aktiviert haben, klicken Sie zum Aktivieren von DirectAccess in der Konsole Remotezugriffsverwaltung auf Konfiguration, und klicken Sie dann im mittleren Bereich Remotezugriff einrichten in Schritt 1 auf Bearbeiten

  3. Führen Sie im Assistenten zum Aktivieren von DirectAccess folgende Schritte aus:

    1. Klicken Sie in Voraussetzungen für DirectAccess auf Weiter.

    2. Fügen Sie auf der Registerkarte Gruppen auswählen eine Sicherheitsgruppe für DirectAccess-Clients hinzu.

      noteHinweis
      Sie können der Sicherheitsgruppe alle Domänencomputer hinzufügen, indem Sie Domänencomputer wählen, oder Sie können eine Sicherheitsgruppe verwenden, die Sie für Remotecomputer in Ihrem Unternehmen erstellt haben.

    3. Wenn Sie den Remotezugriff auf den Server für mobile Computer über DirectAccess zulassen möchten, klicken Sie auf der Registerkarte Gruppen auswählen auf DirectAccess ausschließlich für mobile Computer aktivieren und anschließend auf Weiter.

    4. Wählen Sie in Netzwerktopologie die Topologie des Servers aus, und klicken Sie dann auf Weiter.

    5. Fügen Sie in Suchliste für DNS-Suffix ggf. das zusätzliche DNS-Suffix für die Clientcomputer hinzu, und klicken Sie dann auf Weiter.

      noteHinweis
      Das DNS-Suffix für die aktuelle Domäne wird vom DirectAccess-Assistenten bereits automatisch hinzugefügt. Sie können bei Bedarf jedoch weitere Domänen hinzufügen.

    6. Überprüfen Sie die anzuwendenden Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), und ändern Sie sie ggf.

    7. Klicken Sie auf Weiter und dann auf Fertig stellen.

Öffnen Sie Windows PowerShell als Administrator, und führen Sie die folgenden Befehle aus:

Restart-Service RaMgmtSvc
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name “DirectAccess Server Settings” -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der Einstellungen des Netzwerkadressenservers.

noteHinweis
Kopieren Sie alle Inhalte aus dem Ordner "$env:SystemDrive\inetpub\wwwroot" in den Ordner "$env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside", bevor Sie beginnen. Kopieren Sie auch den Inhalt aus dem Ordner "$env:SystemDrive\Program Files\Windows Server\Bin\WebApps\Site\default.aspx" in den Ordner "$env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside".

  1. Klicken Sie in der Konsole Remotezugriffsverwaltung auf Konfiguration, und dann im Detailbereich Remotezugriff einrichten in Schritt 3 auf Bearbeiten.

  2. Wählen Sie im Setup-Assistenten für den RAS-Server auf der Registerkarte Netzwerkadressenserver, wählen Sie die Option Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt, und wählen Sie dann das Zertifikat, das im vorhergehenden Schritt Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver ausgegeben wurde.

  3. Folgen Sie den Anweisungen, um den Assistenten fertigzustellen, und klicken Sie dann auf Fertig stellen.

  1. Klicken Sie auf dem Server auf Suche. Geben Sie im Feld Suchenregedit ein, und klicken Sie im Abschnitt Ergebnisse auf regedit.

  2. Erweitern Sie HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters. Erweitern Sie im Navigationsbereich Computer, HKEY_LOCAL_MACHINE, System, CurrentControlSet, Services, IKEEXT und schließlich auf Parameters. Klicken Sie mit der rechten Maustaste auf Parameters, klicken Sie auf Neu, und wählen Sie dann DWORD-Wert (32-Bit).

  3. Benennen Sie den neu hinzugefügten Wert in ikeflags um. Doppelklicken Sie auf ikeflags, um die Wertdaten auf 8000 festzulegen, geben Sie als TypHexadezimal an, und klicken Sie dann auf OK.

Dieser Abschnitt enthält Anweisungen zum Bearbeiten der Einträge in der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NPRT) für interne Adressen (z. B. Adressen mit dem Suffix "sbs.local") für DirectAccess-Client-Gruppenrichtlinienobjekte und das anschließende Festlegen der IPHTTPS-Schnittstellenadresse.

  1. Klicken Sie auf dem Server auf Suche. Geben Sie im Feld SuchenGroup Policy Managementein, und klicken Sie dann im Abschnitt Ergebnisse auf Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Konsole Gruppenrichtlinienverwaltung auf die standardmäßige Gesamtstruktur und -domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Clienteinstellungen, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie auf Computerkonfigurationen, auf Richtlinien, auf Windows-Einstellungen und dann auf Namensauflösungsrichtlinie. Wählen Sie den Eintrag, bei dem der Namespace mit Ihrem DNS-Suffix übereinstimmt, und klicken Sie dann auf Regel bearbeiten.

  4. Klicken Sie auf die Registerkarte DNS-Einstellungen für DirectAccess, und wählen Sie dann DNS-Einstellungen für DirectAccess in dieser Regel aktivieren. Fügen Sie der DNS-Serverliste die IPv6-Adresse für die IP-HTTPS-Schnittstelle hinzu.

    noteHinweis
    Mit folgendem Windows PowerShell-Befehl können Sie die IPv6-Adresse abrufen: Get-NetIPAddress -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der TCP- und UDP-Firewallregeln für die Gruppenrichtlinienobjekte des DirectAccess-Servers.

  1. Klicken Sie auf dem Server auf Suche. Geben Sie im Feld SuchenGroup Policy Managementein, und klicken Sie im Abschnitt Ergebnisse auf Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Konsole Gruppenrichtlinienverwaltung auf die standardmäßige Gesamtstruktur und -domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Servereinstellungen, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie auf Computerkonfigurationen, auf Richtlinien, auf Windows-Einstellungen, auf Sicherheitseinstellungen, auf Windows-Firewall mit erweiterter Sicherheit und schließlich auf Eingehende Regeln. Klicken Sie mit der rechten Maustaste auf Domänennamenserver (TCP eingehend), und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Bereich, und fügen Sie in der Liste Lokale IP-Adresse die IPv6-Adresse der IP-HTTPS-Schnittstelle hinzu.

  5. Wiederholen Sie dieses Verfahren für Domänennamenserver (UDP eingehend).

Sie müssen die DNS64-Konfiguration mithilfe des folgenden Windows PowerShell so ändern, dass die IP-HTTPS-Schnittstelle abgehört wird:

Set-NetDnsTransitionConfiguration –AcceptInterface IPHTTPSInterface

Verwenden Sie den folgenden PowerShell-Befehl, und ersetzen Sie "192.168.1.100" mit der tatsächlichen IPv4-Adresse Ihres Windows Server 2012 Essentials-Servers.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-47000")

Sollte im Portbereich ein Konflikt mit einer anderen Anwendung auftreten, können Sie Ausnahmen für zusätzliche Ports erstellen. Beispielsweise wird dem folgenden Befehl der Port 46500 aus dem reservierten Portbereich ausgenommen:

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-46499","192.168.1.100, 46499-47000" )

Starten Sie den Windows-NAT-Treiberdienst (winnat) mithilfe des folgenden Windows PowerShell-Befehls.

Restart-Service winnat

In diesem Abschnitt wird das Einrichten und Konfigurieren von DirectAccess mithilfe von Windows PowerShell beschrieben.

Bevor Sie mit der Konfiguration des Servers für DirectAccess beginnen, müssen Sie folgende Schritte ausführen:

  1. Führen Sie das Verfahren in Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver, um ein Zertifikat mit dem Namen DirectAccess-NLS.contoso.com zu registrieren (dabei wird contoso.com durch den tatsächlichen internen Domänennamen ersetzt), und um einen DNS-Eintrag für den Netzwerkadressenserver hinzuzufügen.

  2. Fügen Sie in Active Directory eine Sicherheitsgruppe mit dem Namen DirectAccessClients hinzu, und fügen Sie dann Clientcomputer hinzu, auf denen Sie die DirectAccess-Funktionen bereitstellen möchten.

#Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }

#Server may need to restart if you installed RemoteAccess role in the above step



#Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name

#Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)

#Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}

#Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

#Install DirectAccess. 
Install-RemoteAccess -NoPrerequisite  -DAInstallType FullInstall  -InternetInterface $Adapter  -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force

#Restart Remote Access Management service
Restart-Service RaMgmtSvc

#Remove the unnecessary IPv6 prefix GPO
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup 
Remove-DAClient -SecurityGroupNameList "Domain Computers"
Set-DAClient -OnlyRemoteComputers Disabled

#Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration

# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP

# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface

# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside'

# Reserve port for NAT64

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("$CurrentIP, 10000-47000")

Restart-Service winnat

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.