Hinzufügen von DirectAccess zu einer vorhandenen Remotezugriffsbereitstellung (VPN)

  • Artikel

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Hinweis: Durch Windows Server 2013 werden DirectAccess und RRAS (Routing and Remote Access Service, Routing- und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst. 

Dieses Thema bietet eine Einführung in den Assistenten zum Aktivieren von DirectAccess, der zum Einrichten eines einzelnen Remotezugriffsservers mit den empfohlenen Einstellungen verwendet wird, nachdem Sie bereits ein virtuelles privates Netzwerk (VPN) eingerichtet haben.

Die Dokumentation zur Bereitstellung des Remotezugriffs für Windows Server 2012 (DirectAccess)

Im Folgenden finden Sie eine Liste der Themen, die Sie zum Bereitstellen des Remotezugriffs über drei Hauptpfade verwenden können:

  • Einfach

  • Erweitert

  • Enterprise

Themen hinsichtlich für diese Version verfügbaren Verwaltung und Migration des Remotezugriffs sind ebenfalls aufgeführt.

Bevor Sie mit Ihrer Bereitstellung beginnen, sollten Sie sich die folgende Liste von nicht unterstützten Konfigurationen, bekannten Problemen und Voraussetzungen ansehen:

Einfache Remotezugriffbereitstellung

Erweiterte Remotezugriffbereitstellung

Remotezugriffbereitstellung in einem Unternehmen

Verwalten des Remotezugriffs

Migrieren des Remotezugriffs

Beschreibung des Szenarios

In diesem Szenario dient ein einzelner Computer mit Windows Server 2012, der als Remotezugriffsserver mit den empfohlenen Einstellungen konfiguriert ist, nachdem Sie das VPN bereits installiert und konfiguriert haben. Wenn Sie den Remotezugriff mit Unternehmensfeatures wie einem Cluster mit Lastenausgleich, der Bereitstellung für mehrere Standorte oder zweistufiger Clientauthentifizierung konfigurieren möchten, schließen Sie das in diesem Thema beschriebene Szenario zum Einrichten eines Servers ab, und richten Sie dann das erforderliche Unternehmensszenario wie unter Bereitstellen des Remotezugriffs in einem Unternehmen beschrieben ein.

Inhalt dieses Szenarios

Zum Einrichten eines einzelnen Remotezugriffsservers sind mehrere Planungs- und Bereitstellungsschritte erforderlich.

Planungsschritte

Die Planung besteht aus zwei Phasen:

  1. Planen der Remotezugriffinfrastruktur

    In dieser Phase beschreiben Sie die erforderliche Planung zum Einrichten der Netzwerkinfrastruktur, bevor Sie mit der Remotezugriffbereitstellung beginnen. Sie umfasst das Planen der Netzwerk- und Servertopologie, Zertifikate, des Domain Name System (DNS), der Active Directory, die Konfiguration der Gruppenrichtlinienobjekte und des DirectAccess-Netzwerkadressenservers.

  2. Planen der Bereitstellung des Remotezugriffs

    In dieser Phase beschreiben Sie die erforderlichen Planungsschritte zur Vorbereitung der Remotezugriffbereitstellung. Dazu gehört die Planung der Clientcomputer für den Remotezugriff, Server- und Clientauthentifizierungsanforderungen und Infrastrukturserver.

Bereitstellungsschritte

Die Bereitstellung besteht aus drei Phasen:

  1. Konfigurieren der Remotezugriffinfrastruktur

    In dieser Phase konfigurieren Sie das Netzwerk und Routing, die Firewalleinstellungen (falls erforderlich), die Zertifikate, DNS-Server, Active Directory- und Gruppenrichtlinienobjekt-Einstellungen und den DirectAccess-Netzwerkadressenserver.

  2. Konfigurieren der Einstellungen des Remotezugriffsservers

    In dieser Phase konfigurieren Sie die Remotezugriffsclientcomputer, den Remotezugriffsserver und die Infrastrukturserver.

  3. Überprüfen der Bereitstellung

    In dieser Phase überprüfen Sie die Bereitstellung auf die ordnungsgemäße Bereitstellung.

Praktische Anwendung

Die Bereitstellung eines einzelnen Remotezugriffsservers bietet Folgendes:

  • Erleichterte Bedienung

    Verwaltete Clientcomputer, auf denen Windows 8 und Windows 7 ausgeführt werden, können als DirectAccess-Clientcomputer konfiguriert werden. Diese Clients können, wenn sie sich im Internet befinden, über DirectAccess auf interne Netzwerkressourcen zugreifen, ohne sich über eine VPN-Verbindung anmelden zu müssen. Clientcomputer, die keines dieser Betriebssysteme verwenden, können per VPN eine Verbindung zum internen Netzwerk herstellen. Sowohl DirectAccess als auch VPN werden über dieselbe Konsole und mit denselben Assistenten verwaltet.

  • Erleichterte Verwaltung

    Die Remoteverwaltung von DirectAccess-Clientcomputern im Internet ist mithilfe von Remotezugriff-Administratoren über DirectAccess möglich, selbst wenn sich die Clientcomputer nicht im internen Unternehmensnetzwerk befinden. Clientcomputer, die nicht den Unternehmensanforderungen entsprechen, können automatisch über Verwaltungsserver gewartet werden.

Für dieses Szenario erforderliche Rollen und Features

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Die Rolle wird über die Server-Manager-Konsole oder Windows PowerShell installiert bzw. deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und Routing- und RAS-Dienste (RRAS) für VPN: Verwaltet in der Remotezugriffs-Verwaltungskonsole.

  2. RRAS-Routing: Verwaltet in der Routing- und RAS-Konsole.

Die Remotezugriffs-Serverrolle ist von den folgenden Serverfeatures abhängig:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem RAS-Server und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank: Wird zur lokalen Ressourcenerfassung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig auf einem Remotezugriffsserver, wenn die Remotezugriffs-Rolle installiert ist. Unterstützt die Benutzeroberfläche der Remote-Verwaltungskonsole und die Windows PowerShell-Cmdlets.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Remotezugriffs-GUI

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

Serveranforderungen 

  • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

  • Auf dem Server muss mindestens ein Netzwerkadapter installiert, aktiviert und mit dem internen Netzwerk verbunden sein. Werden zwei Adapter verwendet, sollte ein Adapter mit dem internen Unternehmensnetzwerk und der andere mit dem externen Netzwerk (Internet) verbunden sein.

  • Falls Teredo als IPv4- bis IPv6-Übergangsprotokoll benötigt wird, benötigt der externe Adapter des Servers zwei aufeinanderfolgenden öffentliche IPv4-Adressen. Der Assistent zum Aktivieren von DirectAccess aktiviert nicht Teredo, selbst wenn zwei aufeinanderfolgende IP-Adressen vorhanden sind. Weitere Informationen zum Aktivieren von Teredo finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen. Wenn nur eine IP-Adresse verfügbar ist, kann nur IP-HTTPS als Übergangsprotokoll verwendet werden.

  • Mindestens ein Domänencontroller. RAS-Server und DirectAccess-Clients müssen Domänenmitglieder sein.

  • Der Assistent zum Aktivieren von DirectAccess benötigt Zertifikate für IP-HTTPS und den Netzwerkadressenserver. Wenn das SSTP-VPN bereits ein Zertifikat verwendet, wird es für IP-HTTPS erneut verwendet. Wenn das SSTP-VPN nicht konfiguriert ist, können Sie ein Zertifikat für IP-HTTPS konfigurieren oder ein automatisch erstelltes selbstsigniertes Zertifikat verwenden. Für den Netzwerkadressenserver können Sie ein Zertifikat konfigurieren oder ein automatisch erstelltes selbstsigniertes Zertifikat verwenden.

Clientanforderungen

  • Auf einem Clientcomputer muss die Windows 8 oder Windows 7 ausgeführt werden.

    Hinweis

    Es können nur die folgenden Betriebssysteme als DirectAccess-Clients verwendet werden: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise und Windows 7 Ultimate.

Anforderungen an Infrastruktur und Verwaltungsserver

  • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

  • Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS-Server und der HRA bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

  • Ein DNS-Server, auf dem Windows Server 2012, Windows Server 2008 SP2 oder Windows Server 2008 mit SP2 ausgeführt wird, ist erforderlich.

Softwareanforderungen

Für dieses Szenario müssen die folgenden Softwareanforderungen erfüllt werden:

Serveranforderungen

  • Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

  • Wird der RAS-Server durch eine Edgefirewall oder ein NAT-Gerät geschützt, muss das Gerät so konfiguriert sein, dass ein- und ausgehender Datenverkehr für den RAS-Server zugelassen wird.

  • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und Benutzerberechtigungen für die Domäne besitzen. Zusätzlich benötigt der Administrator Berechtigungen für die Gruppenrichtlinien, die bei der DirectAccess-Bereitstellung verwendet werden. Um die Features nutzen zu können, die die DirectAccess-Bereitstellung auf mobile Computer beschränken, ist die Berechtigung zum Erstellen von WMI-Filtern für den Domänencontroller erforderlich.

Remotezugriffs-Client-Anforderungen

  • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients beinhalten, können zur selben Gesamtstruktur gehören wie der RAS-Server, oder sie können eine bidirektionale Vertrauensstellung mit dem RAS-Server und der Domäne innehaben.

  • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden. Wird beim Konfigurieren der DirectAccess-Clienteinstellungen keine Sicherheitsgruppe angegeben, wird das Client-Gruppenrichtlinienobjekt standardmäßig auf alle Laptopcomputer (die DirectAccess-fähig sind) in der Sicherheitsgruppe "Domänencomputer" angewendet. Es können nur die folgenden Betriebssysteme als DirectAccess-Clients verwendet werden: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise und Windows 7 Ultimate.

    Hinweis

    Es wird empfohlen, für jede Domäne eine Sicherheitsgruppe zu erstellen, die Computer enthält, die als DirectAccess-Clients konfiguriert werden.

Siehe auch

Die folgende Tabelle enthält Links zu zusätzlichen Ressourcen.

Inhaltstyp

Verweise

RAS auf TechNet

RAS im TechCenter

Produktbewertung

Veranschaulichen von DirectAccess in einem Cluster mit Netzwerklastenausgleich

Veranschaulichen einer DirectAccess-Bereitstellung für mehrere Standorte

Veranschaulichen einer DirectAccess-Bereitstellung für mehrere Standorte

Bereitstellung

Remotezugriff

Tools und Einstellungen

PowerShell-Cmdlets für den Remotezugriff 

Communityressourcen

Verwandte Technologien

Funktionsweise von IPv6