Exportieren (0) Drucken
Alle erweitern
Dieser Artikel wurde manuell übersetzt. Bewegen Sie den Mauszeiger über die Sätze im Artikel, um den Originaltext anzuzeigen.
Übersetzung
Original

Konfigurieren von DirectAccess in Windows Server Essentials

 

Betrifft: Windows Server 2012 Essentials, Windows Server 2012 R2 Essentials

Dieses Thema enthält schrittweise Anweisungen für die Konfiguration von DirectAccess in Windows Server Essentials, um mobilen Mitarbeiter zu ermöglichen, nahtlos mit dem Unternehmensnetzwerk von einem beliebigen Remotestandort mit Internetanschluss ohne VPN-Verbindung zu verbinden.DirectAccess bietet mobilen Benutzern über Windows 8.1, Windows 8- und Windows 7-Computern eine sowohl innerhalb als außerhalb des Büros gleichbleibende Konnektivität.

Dieses Thema gilt für einen Server mit Windows Server 2012 Essentials oder Windows Server 2012 R2 Essentials bzw. für einen Server mit Windows Server 2012 R2 Standard oder Windows Server 2012 R2 Datacenter mit installierter Windows Server Essentials Experience-Rolle. In Windows Server 2012 R2 Essentials muss DirectAccess auf dem Domänencontroller konfiguriert werden, wenn eine Domäne mehr als einen Windows Server Essentials-Server enthält.

System_CAPS_noteHinweis

Dieses Thema enthält Anweisungen zum Konfigurieren von DirectAccess, wenn der Windows Server Essentials-Server der Domänencontroller ist.Wenn der Windows Server Essentials-Server Mitglied einer Domäne ist, folgen Sie stattdessen den Anweisungen zum Konfigurieren von DirectAccess auf einem Domänenmitglied in Hinzufügen von DirectAccess zu einer vorhandenen Remotezugriffsbereitstellung (VPN).

Zum Konfigurieren von DirectAccess in Windows Server Essentials führen Sie die folgenden Schritte aus.

System_CAPS_importantWichtig

Bevor Sie die Verfahren in diesem Handbuch zum Konfigurieren von DirectAccess in Windows Server Essentials einsetzen, müssen Sie VPN auf dem Server aktivieren.Anweisungen finden Sie unter Verwalten des VPN in Windows Server Essentials.

System_CAPS_noteHinweis

Anhang: Einrichten von DirectAccess mithilfe von Windows PowerShell bietet ein Windows PowerShell-Skript, mit dem Sie das DirectAccess-Setup ausführen.

So fügen Sie "Tools für die Remotezugriffsverwaltung" hinzu

  1. Klicken Sie auf dem Server in der unteren linken Ecke der Startseite auf das Symbol Server-Manager.

    In Windows Server 2012 R2 Essentials müssen Sie den Server-Manager suchen, um ihn zu öffnen.Geben Sie auf der Startseite Server Manager ein, und klicken Sie dann auf Server-Manager in den Suchergebnissen.Um den Server-Manager an die Startseite anzuheften, klicken Sie mit der rechten Maustaste auf den Server-Manager in den Suchergebnissen, und klicken Sie dann auf An Startmenü anheften.

  2. Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.

  3. Klicken Sie auf dem Server-Manager-Dashboard auf Verwalten, und klicken Sie dann auf Rollen und Features hinzufügen.

  4. Im Assistenten zum Hinzufügen von Rollen und Features gehen folgendermaßen Sie vor:

    1. Klicken Sie auf der Seite Installationstyp auf Rollenbasierte oder featurebasierte Installation.

    2. Auf der Seite Serverauswahl (oder auf der Seite Zielserver auswählen in Windows Server 2012 Essentials) klicken Sie auf Einen Server aus dem Serverpool auswählen.

    3. Auf der Seite Features erweitern Sie Remoteserver-Verwaltungstools (installiert), erweitern Sie Tools für die Remotezugriffsverwaltung (installiert), erweitern Sie Rollenverwaltungstools (installiert), erweitern Sie Tools für die Remotezugriffsverwaltung, und wählen Sie dann Remotezugriffs-GUI und Befehlszeilentools.

    4. Folgen Sie den Anweisungen, um den Assistenten fertigzustellen.

DirectAccess erfordert einen Adapter mit einer statischen IP-Adresse.Sie müssen die IP-Adresse für den lokalen Netzwerkadapter auf Ihrem Server ändern.

So fügen Sie eine statische IP-Adresse hinzu

  1. Öffnen Sie auf der Startseite Systemsteuerung.

  2. Click

  3. Klicken Sie im Aufgabenbereich des Netzwerk- und Freigabecenters auf Adaptereinstellungen ändern.

  4. Klicken Sie mit der rechten Maustaste auf den lokalen Netzwerkadapter, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf der Registerkarte Netzwerk auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  6. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden, und geben Sie dann die zu verwendende IP-Adresse ein.

    Im Feld Subnetzmaske wird automatisch ein Standardwert für die Subnetzmaske angezeigt.Übernehmen Sie entweder den Standardwert, oder geben Sie den gewünschten Subnetzmaskenwert ein.

  7. Geben Sie im Feld Standardgateway die IP-Adresse des Standardgateways ein.

  8. Geben Sie im Feld Bevorzugter DNS-Server die IP-Adresse des DNS-Servers ein.

    System_CAPS_noteHinweis

    Verwenden Sie die IP-Adresse, die dem Netzwerkadapter von DHCP (z. B. 192.168.X.X) zugewiesen ist, anstatt eines Loopback-Netzwerks (z. B. 127.0.0.1).Um die zugewiesene IP-Adresse herauszufinden, führen Sie ipconfig an einer Eingabeaufforderung aus.

  9. Geben Sie gegebenenfalls im Feld Alternativer DNS-Server die IP-Adresse des alternativen DNS-Servers ein.

  10. Click

System_CAPS_importantWichtig

Konfigurieren Sie unbedingt den Router für die Weiterleitung der Ports 80 und 443 an die neue statische IP-Adresse des Servers.

Die erste Aufgabe besteht darin, Benutzern uneingeschränkte Berechtigungen für die Webserver-Zertifikatvorlage in der Zertifizierungsstelle zu gewähren.

So gewähren Sie authentifizierten Benutzern uneingeschränkte Berechtigungen für die Webserver-Zertifikatvorlage

  1. Auf der Seite Start öffnen Sie Zertifizierungsstelle.

  2. In der Konsolenstruktur erweitern Sie unter Zertifizierungsstelle (lokal) das Element <Servername>-Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

  3. In Zertifizierungsstelle (lokal) klicken Sie mit der rechten Maustaste auf Webserver, und klicken Sie dann auf Eigenschaften.

  4. In den Webservereigenschaften klicken Sie auf der Registerkarte Sicherheit auf Authentifizierte Benutzer, wählen Sie Vollzugriff, und klicken Sie dann auf OK.

  5. Starten Sie Active Directory-Zertifikatdienste neu.Öffnen Sie in der Systemsteuerung Lokale Dienste anzeigen.Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf Active Directory-Zertifikatdienste, und klicken Sie dann auf Neustarten.

Anschließend registrieren Sie ein Zertifikat für den Netzwerkadressenserver mit einem allgemeinen Namen, der aus dem externen Netzwerk nicht aufgelöst werden kann.

So registrieren Sie ein Zertifikat für den Netzwerkadressenserver

  1. Auf der Seite Start öffnen Sie MMC (Microsoft Management Console).

  2. Wenn eine Warnmeldung zur Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja.

    Die Microsoft Management Console (MMC) wird geöffnet.

  3. Im Menü Datei klicken Sie auf Snap-Ins hinzufügen bzw. entfernen.

  4. Im Feld Snap-Ins hinzufügen bzw. entfernen klicken Sie auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  5. Klicken Sie auf der Seite Zertifikat-Snap-In auf Computerkonto, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Computer auswählen auf Lokaler Computer, auf Fertig stellen und dann auf OK.

  7. Erweitern Sie in der Konsolenstruktur Zertifikate (Lokaler Computer), erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, und klicken Sie dann in Alle Aufgaben auf Neues Zertifikat anfordern.

  8. Wenn der Zertifikatregistrierungs-Assistent angezeigt wird, klicken Sie auf Weiter.

  9. Auf der Seite Zertifikatregistrierungsrichtlinie auswählen klicken Sie auf Weiter.

  10. Auf der Seite Zertifikate anfordern wählen Sie Webserver, und klicken Sie dann auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt.

  11. Im Feld Zertifikateigenschaften geben Sie die folgenden Einstellungen für Antragstellername ein:

    1. Für Typ wählen Sie Allgemeiner Name.

    2. Für Wert geben Sie den Namen des Netzwerkadressenservers (z. B. DirectAccess-NLS.contoso.local) ein, und klicken Sie dann auf Hinzufügen.

    3. Click

  12. Klicken Sie nach Abschluss der Zertifikatregistrierung auf Fertig stellen.

Zum Abschließen der DNS-Konfiguration fügen Sie einen neuen Host auf dem DNS-Server hinzu und ordnen ihn der Windows Server Essentials-Adresse des Servers zu.

So ordnen Sie einen neuen Host zur Windows Server Essentials-Serveradresse zu

  1. Öffnen Sie auf der Startseite den DNS-Manager.Suchen Sie zum Öffnen des DNS-Managers nach dnsmgmt.msc, und klicken Sie dann auf dnsmgmt.msc in den Ergebnissen.

  2. In der Konsolenstruktur des DNS-Managers erweitern Sie den lokalen Server, erweitern Sie Forward-Lookupzonen, klicken Sie mit der rechten Maustaste auf die Zone mit dem Domänensuffix des Servers, und klicken Sie dann auf Neuer Host (A oder AAAA).

  3. Geben Sie den Namen und die IP-Adresse des Servers (z. B. "DirectAccess-NLS.contoso.local") und die entsprechende Serveradresse ein (z. B. 192.168.x.x).

  4. Click

Anschließend erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clientcomputer, und fügen Sie dann die Computerkonten der Gruppe hinzu.

So fügen Sie eine Sicherheitsgruppe für Clientcomputer hinzu, die DirectAccess verwenden

  1. Klicken Sie auf dem Server-Manager-Dashboard auf Tools, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

    System_CAPS_noteHinweis

    Wenn Active Directory-Benutzer und -Computer nicht im Menü Tools angezeigt wird, müssen Sie das Feature installieren.Um Active Directory-Benutzer und -Gruppen zu installieren, führen Sie das folgende Windows PowerShell-Cmdlet als Administrator aus: Install-WindowsFeature RSAT-ADDS-Tools.Weitere Informationen finden Sie unter Installieren oder Entfernen der Remoteserver-Verwaltungstools.

  2. Erweitern Sie in der Konsolenstruktur den Server, klicken Sie mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu, und klicken Sie dann auf Gruppe.

  3. Geben Sie einen Gruppennamen, den Gruppenbereich und den Gruppentyp (Erstellen einer Sicherheitsgruppe) ein, und klicken Sie dann auf OK.

Die neue Sicherheitsgruppe wird dem Ordner Benutzer hinzugefügt.

So fügen Sie Computerkonten zur Sicherheitsgruppe hinzu

  1. Klicken Sie auf dem Server-Manager-Dashboard auf Tools, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. In der Konsolenstruktur, erweitern Sie den Server, und klicken Sie dann auf Benutzer.

  3. Klicken Sie in der Liste von Benutzerkonten und Sicherheitsgruppen auf dem Server mit der rechten Maustaste auf die Sicherheitsgruppe, die Sie für DirectAccess erstellt haben, und klicken Sie dann auf Eigenschaften.

  4. Auf der Registerkarte Mitglieder klicken Sie auf Hinzufügen.

  5. Geben Sie im Dialogfeld die Namen der Computerkonten, die Sie der Gruppe hinzufügen möchten, durch ein Semikolon (;) getrennt ein.Klicken Sie dann auf Namen überprüfen.

  6. Nachdem die Computerkonten überprüft wurden, klicken Sie auf OK.Klicken Sie dann erneut auf OK.

System_CAPS_noteHinweis

Sie können auch die Registerkarte Mitglied von in den Eigenschaften des Computerkontos verwenden, um das Konto der Sicherheitsgruppe hinzuzufügen.

Dieser Abschnitt enthält schrittweise Anweisungen zum Aktivieren von DirectAccess in Windows Server Essentials.Wenn Sie auf dem Server noch kein VPN konfiguriert haben, sollten Sie dies tun, bevor Sie mit diesem Vorgang beginnen.Anweisungen finden Sie unter Verwalten des VPN in Windows Server Essentials.

So aktivieren Sie DirectAccess mithilfe der Remotezugriffs-Verwaltungskonsole

  1. Öffnen Sie auf der Startseite Remotezugriffsverwaltung.

  2. Führen Sie im Assistenten zum Aktivieren von DirectAccess folgende Schritte aus:

    1. Überprüfen Sie Voraussetzungen für DirectAccess, und klicken Sie auf Weiter.

    2. Auf der Registerkarte Gruppen auswählen fügen Sie die zuvor für DirectAccess-Clients erstellte Sicherheitsgruppe hinzu.(Wenn Sie die Sicherheitsgruppe nicht erstellt haben, finden Sie entsprechende Anweisungen in Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer.)

    3. Wenn Sie den Remotezugriff auf den Server für mobile Computer über DirectAccess zulassen möchten, klicken Sie auf der Registerkarte Gruppen auswählen auf DirectAccess ausschließlich für mobile Computer aktivieren und anschließend auf Weiter.

    4. Wählen Sie in Netzwerktopologie die Topologie des Servers aus, und klicken Sie dann auf Weiter.

    5. Fügen Sie in Suchliste für DNS-Suffix ggf. das zusätzliche DNS-Suffix für die Clientcomputer hinzu, und klicken Sie dann auf Weiter.

      System_CAPS_noteHinweis

      Standardmäßig fügt der Assistent zum Aktivieren von DirectAccess bereits das DNS-Suffix für die aktuelle Domäne hinzu.Sie können bei Bedarf jedoch weitere Domänen hinzufügen.

    6. Überprüfen Sie die anzuwendenden Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), und ändern Sie sie ggf.

    7. Click

    8. Führen Sie den folgenden Windows PowerShell-Befehl im Modus mit erhöhten Rechten aus, um den Remotezugriffsverwaltungs-Dienst neu zu starten:

      Restart-Service RaMgmtSvc 
      

Dieser Abschnitt gilt für einen Server mit Windows Server 2012 Essentials.

Öffnen Sie Windows PowerShell als Administrator, und führen Sie die folgenden Befehle aus:

gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

Wenn Sie über Clientcomputer verfügen, auf denen Windows 7 Enterprise ausgeführt wird, führen Sie das folgende Verfahren zum Aktivieren von DirectAccess auf diesen Computern aus.

So aktivieren Sie Windows 7 Enterprise-Computer für DirectAccess

  1. Öffnen Sie auf der Server-Startseite Remotezugriffsverwaltung.

  2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Konfiguration.Klicken Sie dann im Bereich Einstellungsdetails unter Schritt 2 auf Bearbeiten.

    Der Setup-Assistent für Remotezugriffsserver wird geöffnet.

  3. Auf der Registerkarte Authentifizierung wählen Sie das Zertifizierungsstellenzertifikat (CA) aus, das das vertrauenswürdige Stammzertifikat werden soll (Sie können das Zertifizierungsstellenzertifikat des Windows Server Essentials-Servers auswählen). Click

  4. Folgen Sie den Anweisungen, um den Assistenten fertigzustellen.

System_CAPS_importantWichtig

Es gibt ein bekanntes Problem für Windows 7 Enterprise-Computer, die eine Verbindung über DirectAccess herstellen, wenn UR1 auf dem Windows Server 2012 Essentials-Server nicht vorinstalliert ist.Um DirectAccess-Verbindungen in dieser Umgebung zu ermöglichen, müssen Sie die folgenden zusätzlichen Schritte ausführen:

  1. Installieren Sie den im Microsoft Knowledge Base-Artikel 2796394 beschriebenen Hotfix auf dem Windows Server 2012 Essentials-Server.Starten Sie dann den Server neu.

  2. Installieren Sie dann den im Microsoft Knowledge Base-Artikel 2615847beschriebenen Hotfix auf allen Windows 7-Computern.

    Dieses Problem wurde in Windows Server 2012 R2 Essentials gelöst.

Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der Einstellungen des Netzwerkadressenservers.

System_CAPS_noteHinweis

Bevor Sie beginnen, kopieren Sie den Inhalt des Ordners "<SystemDrive>\inetpub\wwwroot" in den Ordner "<SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside".Kopieren Sie außerdem die Datei "default.aspx" aus dem Ordner "\<SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site" in den Ordner "<SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside".

So konfigurieren Sie den Netzwerkadressenserver

  1. Öffnen Sie auf der Startseite Remotezugriffsverwaltung.

  2. In der Remotezugriffs-Verwaltungskonsole klicken Sie auf Konfiguration, und klicken Sie im Detailbereich Remotezugriff einrichten im Schritt 3 auf Bearbeiten.

  3. Im Setup-Assistenten für den Remotezugriffsserver auf der Registerkarte Netzwerkadressenserver wählen Sie Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt, und wählen Sie dann das Zertifikat, das zuvor ausgegeben wurde (in „Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver).

  4. Folgen Sie den Anweisungen, um den Assistenten fertigzustellen, und klicken Sie dann auf Fertig stellen.

Im nächsten Schritt konfigurieren Sie den Server, um die CA-Zertifizierung zu umgehen, wenn ein IPsec-Kanal eingerichtet wird.

So fügen Sie einen Registrierungsschlüssel zum Umgehen der CA-Zertifizierung hinzu

  1. Öffnen Sie auf der Startseite Regedit (den Registrierungs-Editor).

  2. Erweitern Sie im Registrierungs-Editor HKEY_LOCAL_MACHINE, erweitern Sie System, erweitern Sie CurrentControlSet, erweitern Sie Services, und erweitern Sie IKEEXT.

  3. Klicken Sie unter IKEEXT mit der rechten Maustaste auf Parameter, klicken Sie auf Neu, und klicken Sie dann auf DWORD-Wert (32 Bit).

  4. Geben Sie dem neu hinzugefügten Wert den Namen ikeflags.

  5. Doppelklicken Sie auf Ikeflags, geben Sie als Typ die Option Hexadezimal an, legen Sie als Wert 8000 fest, und klicken Sie dann auf OK.

System_CAPS_noteHinweis

Den folgenden Windows PowerShell-Befehl können Sie im erweiterten Modus verwenden, um diesen Registrierungsschlüssel hinzuzufügen:

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

Dieser Abschnitt enthält Anweisungen zum Bearbeiten der Namensauflösungseinträge in der Richtlinientabelle für interne Adressen (z. B. Einträge mit dem Suffix "contoso.local") für DirectAccess-Client-Gruppenrichtlinienobjekte und zum Einrichten der IPHTTPS-Schnittstellenadresse.

So konfigurieren Sie Richtlinientabelleneinträge für die Namensauflösung

  1. Öffnen Sie auf der Startseite Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die standardmäßige Gesamtstruktur und Domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Clienteinstellungen, und klicken Sie dann auf Bearbeiten.

  3. Click Wählen Sie den Eintrag, bei dem der Namespace mit Ihrem DNS-Suffix übereinstimmt, und klicken Sie dann auf Regel bearbeiten.

  4. Klicken Sie auf die Registerkarte DNS-Einstellungen für DirectAccess, und wählen Sie dann DNS-Einstellungen für DirectAccess in dieser Regel aktivieren.Fügen Sie der DNS-Serverliste die IPv6-Adresse für die IP-HTTPS-Schnittstelle hinzu.

    System_CAPS_noteHinweis

    Mit dem folgenden Windows PowerShell-Befehl können Sie die IPv6-Adresse abrufen:

    (Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

Dieser Abschnitt enthält schrittweise Anweisungen zum Konfigurieren der TCP- und UDP-Firewallregeln für die Gruppenrichtlinienobjekte des DirectAccess-Servers.

So konfigurieren Sie Firewallregeln

  1. Öffnen Sie auf der Startseite Gruppenrichtlinienverwaltung.

  2. Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die standardmäßige Gesamtstruktur und Domäne, klicken Sie mit der rechten Maustaste auf DirectAccess-Servereinstellungen, und klicken Sie dann auf Bearbeiten.

  3. Click Klicken Sie mit der rechten Maustaste auf Domänennamenserver (TCP eingehend), und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Bereich, und fügen Sie in der Liste Lokale IP-Adresse die IPv6-Adresse der IP-HTTPS-Schnittstelle hinzu.

  5. Wiederholen Sie dieses Verfahren für Domänennamenserver (UDP eingehend).

Sie müssen die DNS64-Konfiguration mithilfe des folgenden Windows PowerShell so ändern, dass die IP-HTTPS-Schnittstelle abgehört wird:

Set-NetDnsTransitionConfiguration –AcceptInterface IPHTTPSInterface

Verwenden Sie den folgenden Windows PowerShell-Befehl, um Ports für des WinNat-Diensts zu reservieren.Ersetzen Sie "192.168.1.100" durch die tatsächliche IPv4-Adresse des Windows Server 2012 Essentials-Servers.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-47000")
System_CAPS_importantWichtig

Um Portkonflikte mit Anwendungen zu vermeiden, stellen sicher, dass der für den WinNat-Dienst reservierte Portbereich nicht Port 6602 enthält.

Mit dem folgenden Windows PowerShell-Befehl starten Sie den Windows-NAT-Treiberdienst (WinNat)-Dienst neu.

Restart-Service winnat

In diesem Abschnitt wird das Einrichten und Konfigurieren von DirectAccess mithilfe von Windows PowerShell beschrieben.

Bevor Sie mit der Konfiguration des Servers für DirectAccess beginnen, müssen Sie folgende Schritte ausführen:

  1. Führen Sie das Verfahren in „Schritt 3: Vorbereiten eines Zertifikats und eines DNS-Eintrags für den Netzwerkadressenserver aus, um ein Zertifikat mit dem Namen DirectAccess-NLS.contoso.com zu registrieren (wobei contoso.com durch den tatsächlichen internen Domänennamen ersetzt wird) und einen DNS-Eintrag für den Netzwerkadressenserver (NLS) hinzuzufügen.

  2. Fügen Sie in Active Directory eine Sicherheitsgruppe mit dem Namen DirectAccessClients hinzu, und fügen Sie dann Clientcomputer hinzu, auf denen Sie die DirectAccess-Funktionen bereitstellen möchten.Weitere Informationen finden Sie unter Schritt 4: Erstellen einer Sicherheitsgruppe für DirectAccess-Clientcomputer.

System_CAPS_importantWichtig

In Windows Server 2012 R2 Essentials muss das unnötige IPv6-Präfix-Gruppenrichtlinienobjekt nicht entfernt werden.Löschen Sie den Codeabschnitt mit der folgenden Beschriftung: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.

# Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }

# Server may need to restart if you installed RemoteAccess role in the above step

# Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name

# Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)

# Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}

# Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

# Install DirectAccess. 
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force

#Restart Remote Access Management service
Restart-Service RaMgmtSvc

# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO 

gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

# Enable client computers running Windows 7 to use DirectAccess
$allcertsinroot = dir cert:\LocalMachine\root
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}
Set-DAServer –IPSecRootCertificate $rootcert[0]
Set –DAClient –OnlyRemoteComputers Disabled -Downlevel Enabled

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup 
Remove-DAClient -SecurityGroupNameList "Domain Computers"

# Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration

# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP

# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface

# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y

# Reserve ports for the WinNat service
Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-47000")

# Restart the WinNat service
Restart-Service winnat
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft