Schritt 2 Konfigurieren des DirectAccess-VPN-Servers

  • 08/07/2020
  • 5 minuten zum Lesen
    • J
    • e
    • j
    • n
    • m
    • +2

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016

In diesem Thema wird beschrieben, wie Sie die für eine grundlegende RAS-Bereitstellung erforderlichen Client- und Servereinstellungen mithilfe des Assistenten zum Aktivieren von DirectAccess konfigurieren.

Die folgende Tabelle enthält eine Übersicht der Schritte, die Sie mithilfe dieses Themas ausführen können.

Aufgabe Beschreibung
Konfigurieren von DirectAccess-Clients Konfigurieren Sie den RAS-Server mit den Sicherheitsgruppen, die DirectAccess-Clients enthalten.
Konfigurieren der Netzwerktopologie Konfigurieren der RAS-Servereinstellungen.
Konfigurieren Sie die DNS-Suffixsuchliste Ändern Sie die Suffixsuchliste, falls gewünscht.
Gruppenrichtlinienobjektkonfiguration Ändern Sie die Gruppenrichtlinienobjekte, falls gewünscht.

So starten Sie den Assistenten zum Aktivieren von DirectAcces

  1. Klicken Sie im Server-Manager auf Extras, und klicken Sie dann auf Remotezugriff.Der Assistent DirectAccess aktivieren wird automatisch gestartet, sofern Sie diesen Bildschirm nicht erneut anzeigen ausgewählt haben.

  2. Wenn der Assistent nicht automatisch gestartet wird, klicken Sie mit der rechten Maustaste auf den Serverknoten in der Routing- und RAS-Struktur, und klicken Sie dann auf DirectAccess aktivieren.

  3. Klicken Sie auf Weiter.

Konfigurieren von DirectAccess-Clients

Damit ein Clientcomputer für die Verwendung von DirectAccess bereitgestellt werden kann, muss er zur ausgewählten Sicherheitsgruppe gehören. Nach der Konfiguration von DirectAccess werden Clientcomputer in der Sicherheitsgruppe für den Empfang der DirectAccess-Gruppenrichtlinie bereitgestellt.

  1. Klicken Sie auf der Seite Gruppen auswählen auf Hinzufügen.

  2. Wählen Sie im Dialogfeld Gruppen auswählen die Sicherheitsgruppen aus, die DirectAccess-Clientcomputer enthalten.

  3. Aktivieren Sie das Kontrollkästchen Nur DirectAccess für mobile Computer aktivieren, damit nur mobile Computer auf das interne Netzwerk zugreifen können.

  4. Aktivieren Sie das Kontrollkästchen Tunneling erzwingen, um den gesamten Clientdatenverkehr (zum internen Netzwerk und zum Internet) über den RAS-Server zu leiten.

  5. Klicken Sie auf Weiter.

Konfigurieren der Netzwerktopologie

Um den Remotezugriff bereitzustellen, müssen Sie den Remotezugriffsserver mit den richtigen Netzwerkadaptern, einer öffentlichen URL für den Remotezugriffsserver, mit dem Clientcomputer eine Verbindung herstellen können (die Verbindung zu-Adresse), und einem IP-HTTPS-Zertifikat konfigurieren, dessen Betreff mit der Verbindung zu-Adresse übereinstimmt.

  1. Klicken Sie auf der Seite Netzwerktopologie auf die Bereitstellungstopologie, die in Ihrer Organisation verwendet werden soll. In Geben Sie den öffentlichen Namen oder die IPv4-Adresse ein, die von Clients zum Herstellen einer Verbindung zum RAS-Server verwendet wird, Geben Sie den öffentlichen Namen für die Bereitstellung ein (Dieser Name entspricht dem Betreff-Namen des IP-HTTPS-Zertifikats, zum Beispiel, edge1.contoso.com ), und klicken Sie dann auf Weiter.

Konfigurieren der DNS-Suffixsuchliste

Für DNS-Clients können Sie eine DNS-Domänensuffixsuchliste konfigurieren, die ihre DNS-Suchfunktionen erweitert oder überarbeitet. Durch Hinzufügen zusätzlicher Suffixe zur Liste können Sie nach kurzen, nicht qualifizierten Computernamen in mehr als einer angegebenen DNS-Domäne suchen. Wenn dann eine DNS-Abfrage fehlschlägt, kann der DNS-Clientdienst diese Liste verwenden, um Ihrem ursprünglichen Namen weitere Namenssuffixendungen hinzuzufügen und DNS-Abfragen an den DNS-Server für diese alternativen FQDNs zu wiederholen.

  1. Wählen Sie Configure DirectAccess Clients with DNS client suffix search list aus, um zusätzliche Suffixe für die Suche nach Clientnamen anzugeben.

  2. Geben Sie einen neuen Suffixnamen in Neues Suffix ein, und klicken Sie dann auf Hinzufügen. Darüber hinaus können Sie die Suchreihenfolge ändern und Suffixe aus den zu verwendenden Domänensuffixen entfernen.

In einem disjunkten Namensraumszenario (in dem ein oder mehrere Domänencomputer ein DNS-Suffix haben, das nicht mit der Active Directory-Domäne übereinstimmt, zu der die Computer gehören) sollten Sie sicherstellen, dass die Suchliste so angepasst wird, dass sie alle erforderlichen Suffixe enthält. Der RAS-Assistent konfiguriert standardmäßig den Active Directory-DNS-Namen als primäres DNS-Suffix auf dem Client. Der Administrator sollte sicherstellen, dass er das DNS-Suffix hinzufügt, das von Clients für die Namensauflösung verwendet wird.

Für Computer und Server ist das folgende Standard-DNS-Suchverhalten vorgegeben und wird beim Ausfüllen und Auflösen kurzer, nicht qualifizierter Namen verwendet.Wenn die Suffixsuchliste leer oder nicht angegeben ist, wird das primäre DNS-Suffix des Computers an kurze unqualifizierte Namen angehängt, und eine DNS-Abfrage wird verwendet, um den resultierenden FQDN aufzulösen.

Wenn diese Abfrage fehlschlägt, kann der Computer zusätzliche Abfragen für alternative FQDNs durchführen, indem er ein verbindungsspezifisches DNS-Suffix anhängt, das für Netzwerkverbindungen konfiguriert ist.Wenn keine verbindungsspezifischen Suffixe konfiguriert sind oder Abfragen für diese resultierenden verbindungsspezifischen FQDNs fehlschlagen, kann der Client dann beginnen, Abfragen basierend auf der systematischen Reduzierung des primären Suffixes (auch als Devolution bezeichnet) zu wiederholen.

Zum Beispiel, wenn das primäre Suffix „example.microsoft.com ,“ der Devolution-Prozess kann Abfragen für den Kurznamen wiederholen, indem er in der „microsoft.com “ und „com“ Domains.

Wenn die Suffixsuchliste nicht leer ist und mindestens ein DNS-Suffix angegeben ist, beschränkt sich der Versuch, kurze DNS-Namen zu qualifizieren und aufzulösen, auf die Suche nach nur den FQDNs, die durch die angegebene Suffixliste ermöglicht werden.

Wenn Abfragen für alle FQDNs, die als Ergebnis des Anhängens und Versuchs jedes Suffixes in der Liste gebildet wurden, nicht aufgelöst werden, schlägt der Abfrageprozess fehl und führt zu einem Ergebnis „Name nicht gefunden“.

Warnung

Wenn die Domänensuffixliste verwendet wird, senden Clients weiterhin zusätzliche alternative Abfragen basierend auf verschiedenen DNS-Domänennamen, wenn eine Abfrage nicht beantwortet oder gelöst wird. Sobald ein Name mit einem Eintrag in der Suffixliste aufgelöst wird, werden nicht verwendete Listeneinträge nicht versucht. Aus diesem Grund ist es am effizientesten, die Liste mit den am häufigsten verwendeten Domänensuffixen zuerst zu ordnen.

Domainnamensuffixsuchen werden nur verwendet, wenn ein DNS-Namenseintrag nicht vollständig qualifiziert ist. Um einen DNS-Namen vollständig zu qualifizieren, ein abschließender Punkt (.) wird am Ende des Namens eingetragen.

Gruppenrichtlinienkonfiguration

Wenn Sie den Remotezugriff konfigurieren, werden DirectAccess-Einstellungen in Gruppenrichtlinienobjekten (Group Policy Objects, GPO) gesammelt.

In den Gruppenrichtliniengruppeneinstellungen werden der DirectAccess-Server-Gruppenrichtliniengruppenname und der Client-Gruppenrichtliniengruppenname aufgelistet. Darüber hinaus können Sie die Einstellungen für die Gruppenrichtliniengruppenauswahl ändern.

Zwei Gruppenrichtlinienobjekte werden automatisch mit DirectAccess-Einstellungen gefüllt und auf diese Weise verteilt:

  1. DirectAccess-Client-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält Clienteinstellungen, einschließlich IPv6-Übergangstechnologieeinstellungen, NRPT-Einträge und Windows-Firewall mit erweiterten Sicherheitsverbindungssicherheitsregeln. Das Gruppenrichtlinienobjekt wird auf die für die Clientcomputer angegebenen Sicherheitsgruppen angewendet.

  2. DirectAccess Server-Gruppenrichtlinienobjekt. Dieses Gruppenrichtlinienobjekt enthält die DirectAccess-Konfigurationseinstellungen, die auf jeden Server angewendet werden, der in Ihrer Bereitstellung als RAS-Server konfiguriert ist. Es enthält auch Windows-Firewall mit erweiterten Sicherheits- und Sicherheitsregeln.

Zusammenfassung

Sobald die RAS-Konfiguration abgeschlossen ist, wird die Zusammenfassung angezeigt. Sie können die konfigurierten Einstellungen ändern oder auf Fertig stellen klicken, um die Konfiguration zu übernehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.