Remote-Verwaltung von DirectAccess-Clients

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Hinweis: Durch Windows Server 2013 werden DirectAccess und RRAS (Routing and Remote Access Service, Routing- und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst.

Dieses Thema bietet eine Einführung in das erweiterte Szenario zum Einrichten eines einzelnen Remotezugriffsservers für die Remoteverwaltung von DirectAccess-Clients.

Beschreibung des Szenarios

In diesem Szenario dient ein einzelner Computer mit Windows Server 2012, der als Remotezugriffsserver konfiguriert ist, nur dem Zweck, die DirectAccess-Clients zu verwalten. Mit diesem Szenario können die Clients Remote verwaltet werden, andere Komponenten, die bei der Auswahl einer vollständigen DirectAccess-Bereitstellung verwendet werden können, sind jedoch deaktiviert. Dazu gehört der Clientzugriff auf interne Netzwerke, das Erzwingen von Tunneln, die sichere Authentifizierung und die NAP-Kompatibilität.

Hinweis

Wenn Sie nur eine grundlegende Bereitstellung mit einfachen Standardeinstellungen konfigurieren möchten, finden Sie unter Bereitstellen eines DirectAccess-Servers mit dem Assistenten für erste Schritte weitere Informationen. In dem einfachen Szenario können Sie den Remotezugriff mithilfe eines Assistenten mit den Standardeinstellungen einrichten. Sie konfigurieren keine Infrastruktureinstellungen wie eine Zertifizierungsstelle oder Active Directory-Sicherheitsgruppen.

Inhalt dieses Szenarios

Zum Einrichten eines einzelnen Remotezugriffsservers zum Verwalten von Clients sind mehrere Planungs- und Bereitstellungsschritte erforderlich.

Planungsschritte

Die Planung dieses Szenarios besteht aus zwei Phasen:

  1. Planen der Remotezugriffinfrastruktur: In dieser Phase planen Sie die Netzwerkinfrastruktur, bevor Sie mit der Bereitstellung des Remotezugriffs beginnen. Sie umfasst das Planen der Netzwerk- und Servertopologie, Zertifikate, des Domain Name System (DNS), der Active Directory, der Gruppenrichtlinienobjekte und des DirectAccess-Netzwerkadressenservers.

  2. Planen der Bereitstellung des Remotezugriffs: In dieser Phase bereiten Sie die Bereitstellung des Remotezugriffs vor. Dazu gehört die Planung der Clientcomputer für den Remotezugriff, Server- und Clientauthentifizierungsanforderungen, VPN-Einstellungen, Infrastruktur- sowie Verwaltungsserver.

Informationen zu den Planungsschritten finden Sie unter Planen der Bereitstellung für die Remoteverwaltung von DirectAccess-Clients.

Voraussetzungen

Bevor Sie mit diesem Szenario beginnen, sollten Sie die Liste der wichtigen Anforderungen lesen:

  • Windows-Firewall muss in allen Profilen aktiviert sein.
  • DirectAccess unterstützt nur Clients mit Windows 8.1, Windows 8 und Windows 7.
  • Das Ändern von Richtlinien außerhalb der DirectAccess-Verwaltungskonsole oder mit Windows PowerShell-Cmdlets wird nicht unterstützt.

Bereitstellungsschritte

Die Bereitstellung für dieses Szenario besteht aus drei Phasen:

  1. Konfigurieren der Remotezugriffinfrastruktur: In dieser Phase konfigurieren Sie das Netzwerk und Routing, die Firewalleinstellungen (falls erforderlich), die Zertifikate, DNS-Server, Active Directory- und Gruppenrichtlinienobjekt-Einstellungen und den DirectAccess-Netzwerkadressenserver.

  2. Konfigurieren der Einstellungen des Remotezugriffsservers: In dieser Phase konfigurieren Sie die Remotezugriffclientcomputer, den Remotezugriffsserver, die Infrastrukturserver sowie die Verwaltungs- und Anwendungsserver.

  3. Überprüfen der Bereitstellung: In dieser Phase überprüfen Sie die Bereitstellung auf die ordnungsgemäße Bereitstellung.

Informationen zu den Bereitstellungsschritten finden Sie unter Installieren Sie und konfigurieren Sie der Bereitstellung für die Remoteverwaltung von DirectAccess-Clients.

Praktische Anwendung

Die Bereitstellung eines einzelnen Remotezugriffsservers für die Verwaltung von DirectAccess-Clients bietet Folgendes:

  • Erleichterte Bedienung: Verwaltete Clientcomputer mit Windows 8.1, Windows 8 oder Windows 7 können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können bei aktiver Verbindung mit dem Internet über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung anmelden zu müssen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung zum internen Netzwerk herstellen. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwaltet.

  • Erleichterte Verwaltung: Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von Remotezugriff-Administratoren über DirectAccess möglich, selbst wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Managementserver gewartet werden.

In diesem Szenario enthaltene Rollen und Features

In der folgenden Tabelle werden die zum Planen und Bereitstellen dieses Szenarios erforderlichen Rollen und Features aufgeführt.

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  2. RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die RAS-Serverrolle ist von den folgenden Serverrollen/-features abhängig:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem RAS-Server und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole und Windows PowerShell-Cmdlets.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Remotezugriffs-GUI

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Serveranforderungen:

    • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

    • Auf dem Server muss mindestens ein Netzwerkadapter installiert und aktiviert sein. Werden zwei Adapter verwendet, sollte ein Adapter mit dem internen Unternehmensnetzwerk und der andere mit dem externen Netzwerk (Internet) verbunden sein.

    • Falls Teredo als IPv4- bis IPv6-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Wenn nur eine IP-Adresse verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.

    • Mindestens ein Domänencontroller. RAS-Server und DirectAccess-Clients müssen Domänenmitglieder sein.

    • Ein Zertifizierungsstellenserver ist erforderlich, wenn Sie keine selbstsignierten Zertifikate für IP-HTTPS oder den Netzwerkadressenserver verwenden möchten, oder wenn Sie Clientzertifikate zur Client-IPsec-Authentifizierung verwenden möchten. Alternativ können Sie die Zertifikate von einer öffentlichen Zertifizierungsstelle anfordern.

    • Befindet sich der Netzwerkadressenserver nicht auf dem RAS-Server, ist ein separater Webserver für die Ausführung erforderlich.

  • Clientanforderungen:

    • Auf einem Clientcomputer muss Windows 8 oder Windows 7 ausgeführt werden.

      Hinweis

      Es können nur die folgenden Betriebssysteme als DirectAccess-Clients verwendet werden: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise und Windows 7 Ultimate.

  • Anforderungen an Infrastruktur und Verwaltungsserver:

    • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern und System Center-Konfigurationsservern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS- und HRS-Server bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls ein VPN aktiviert ist, ist ein DHCP-Server erforderlich, um die IP-Adressen automatisch den VPN-Clients zuzuweisen, sofern kein statischen IP-Adresspool genutzt wird.

    • Ein DNS-Server, auf dem Windows Server 2008 SP2; Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, ist erforderlich.

Softwareanforderungen

Für dieses Szenario gelten eine Reihe von Anforderungen:

  • Serveranforderungen:

    • Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

    • Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.

    • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.

  • Remotezugriffs-Client-Anforderungen:

    • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients enthalten, können zur selben Gesamtstruktur gehören wie der Remotezugriffsserver oder eine bidirektionale Vertrauensstellung mit der Remotezugriffsserver-Gesamtstruktur oder -Domäne innehaben.

    • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Wird beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe angegeben, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer in der Sicherheitsgruppe "Domänencomputer" angewendet. Hinweis:

      Es wird empfohlen, für jede Domäne eine Sicherheitsgruppe mit Computern zu erstellen, die als DirectAccess-Clients konfiguriert werden.

Siehe auch

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

Inhaltstyp

Verweise

RAS auf TechNet

RAS im TechCenter

Produktbewertung

Testumgebungsanleitung: Vorführung von DirectAccess in einem Cluster mit Windows-Netzwerklastausgleich

Testumgebungsanleitung: Führen Sie vor einer DirectAccess-Bereitstellung mit mehreren Standorten

Testumgebungsanleitung: Vorführen von DirectAccess mit OTP-Authentifizierung und RSA SecurID

Problembehandlung

Dokumentation zur Problembehandlung für den Remotezugriff, wenn verfügbar.

Tools und Einstellungen

PowerShell-Cmdlets für den Remotezugriff 

Communityressourcen

RRAS Product Team Blog | Remote Access TechNet Forum

DirectAccess Wiki-Einträge

Verwandte Technologien

Funktionsweise von IPv6