E2E: Direkter Zugriff auf einzelne Serverinstallation mit gemischten IPv4- und IPv6-Umgebung

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3022362
Hinweis
Dieser Artikel ist in einer Reihe von Artikeln zur End-to-End-Konfiguration und Problembehandlung von DirectAccess. Eine vollständige Liste der Reihe finden Sie unter End-to-End-Konfiguration und Fehlerbehebung für DirectAccess.
Zusammenfassung
Dieses Handbuch bietet eine schrittweise Anleitung zum Konfigurieren von DirectAccess in eine Einzelserver-Bereitstellung mit gemischten IPv4 und IPv6 in einem Testlabor aus den Bereitstellungsprozess zu veranschaulichen. Sie richten und DirectAccess basierend auf Windows Server 2012 Base Konfiguration mit fünf Servercomputern und Clientcomputern bereitstellen. Die resultierende Testumgebung simuliert ein Intranet, das Internet sowie ein Heimnetzwerk und veranschaulicht DirectAccess in verschiedenen Internet-Verbindungsszenarien.

Wichtig Die folgenden Schritte sind für das Konfigurieren eines RAS-Testlabors, das die minimale Anzahl von Computern verwendet. Es werden einzelne Computer benötigt, die im Netzwerk bereitgestellten Dienste getrennt und klar die gewünschte Funktionalität. Diese Konfiguration soll weder best Practices entsprechen, noch wird eine gewünschte oder empfohlene Konfiguration für ein Produktionsnetzwerk widerspiegeln. Die Konfiguration, einschließlich IP-Adressen und aller anderen Konfigurationsparameter, soll nur in einem separaten Testlabornetzwerk arbeiten. Versuch, diese RAS Testlaborkonfiguration Pilot- oder Bereitstellung anpassen kann Konfiguration oder Funktionen Probleme führen.
Informationen zur Bereitstellung

Übersicht

In dieser Übungseinheit Test wird RAS mit folgender Topologie bereitgestellt:
  • Ein Computer mit Windows Server 2012 mit der Bezeichnung DC1, der als eine Intranet-Domänencontroller einen Server (DNS = Domain Name System) und Dynamic Host Configuration Protocol (DHCP)-Server konfiguriert ist.
  • Ein Intranet Member Server mit Windows Server 2012 mit dem Namen "edge1" als DirectAccess-Server konfiguriert ist.
  • Ein Intranet Member Server mit Windows Server 2012 namens APP1 als allgemeiner Anwendungsserver und Webserver konfiguriert ist. App1 wird als Stammzertifizierungsstelle (CA) für das Unternehmen und als Network Location Server (NLS) für DirectAccess konfiguriert.
  • Ein Intranet Member Server mit Windows Server 2008 R2 namens APP2 als allgemeiner Anwendungsserver und ein Webserver konfiguriert ist. APP2 ist ein reines IPv4-Intranetressource, mit der Funktionen NAT64 und DNS64 zeigen.
  • Einen eigenständiger Server mit Windows Server 2012 namens INET1 als ein Internet DHCP-Server, DNS-Server und einen Webserver konfiguriert ist.
  • Ein roaming Clientcomputer, auf denen Windows 8 ausgeführt wird mit der Bezeichnung CLIENT1, der als ein DirectAccess-Client konfiguriert ist.
  • Einen eigenständigen Client-Computer mit Windows 8 namens NAT1 als Internet Connection Sharing mit Gerät eine Network Address Translation (NAT) konfiguriert ist.
RAS-Testlabors besteht aus drei Subnetze, die folgenden simulieren:
  • Internet (131.107.0.0/24).
  • Intranet namens Corpnet (10.0.0.0/24) (2001:db8:1:: / 64), "edge1" vom Internet getrennt.
  • Ein Heimnetzwerk mit dem Namen Homenet (192.168.137.0/24), das über ein NAT-Gerät mit dem Internet-Subnetz verbunden wird.
Die Computer in den einzelnen Subnetzen stellen über einen Hub oder Switch Verbindungen zueinander her. Abbildung:
Bereitstellung
Dieses Testlabors veranschaulicht eine Einzelserver DirectAccess-Bereitstellung in der, die Intranet Ressourcen aus IPv4 und IPv6 sind.

Erforderliche Hardware und software

Die folgenden sind erforderlichen Komponenten des Testlabors:
  • Die Produkt-CD oder die Dateien für Windows Server 2012
  • Die Produkt-CD oder die Dateien für Windows 8
  • Die Produkt-CD oder die Dateien für Windows Server 2008 R2
  • Sechs oder virtuelle Computer, die die Mindestanforderungen an die Hardware für Windows Server 2012 erfüllen
  • Ein Computer oder virtuelle Computer, die die Hardware für Windows Server 2008 R2 erfüllt

Bekannte Probleme

Die folgenden sind bekannte Probleme beim Konfigurieren von DirectAccess auf einzelne Server Lab mit Windows Server 2012:
  • Migration der DirectAccess-Konfiguration aus einem Server zu einem anderen Windows Server 2012 wird in dieser Version nicht unterstützt Remote-Management Konsolen reagieren und unerwartet. Um dieses Problem zu umgehen, führen Sie folgende Schritte aus:
    1. Starten Sie den Registry Editor.
    2. Suchen Sie im Registrierungseditor und klicken Sie auf den folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. Löschen Sie den DWORD-Wert DaConfigured .
    4. Von einer Befehlszeile aus führen Sie Gpupdate/force auf dem DirectAccess-Server.
  • Management von einem Computer ohne Domäne über RSAT ist nicht möglich, wenn die nicht-Domäne der Liste der WinRM TrustedHosts Serverkonto hinzugefügt wird.
    • Um die nicht-Domäne der Liste der WinRM TrustedHosts DirectAccess-Zielserver hinzuzufügen, führen Sie den folgenden Befehl ein:
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • In dieser Version wird RAS-Assistenten immer DirectAccess Gruppenrichtlinienobjekte (GPOs) mit den Domänenstamm verknüpfen, selbst wenn die Gruppenrichtlinienobjekte zuvor in einen anderen Container in Active Directory verknüpft wurden. Soll eine Organisationseinheit für die Bereitstellung der Gruppenrichtlinienobjekte entfernen Sie Domäne Stamm Verknüpfung und verknüpfen Sie das Gruppenrichtlinienobjekt mit der gewünschten Organisationseinheit, nachdem der Assistent abgeschlossen ist. Alternativ können Sie vor dem Konfigurieren von DirectAccess verknüpfende Berechtigungen für Domänenstamm DirectAccess-Administrator entfernen.

Schritte zum Konfigurieren von RAS-Testlabor

Es gibt sechs Schritte Testlabor von RAS express Setup basierend auf Windows Server 2012 Base Konfiguration Testlabor einrichten.
  1. Richten Sie das Testlabor Base-Konfiguration:

    Testlabor einzelner DirectAccess-Server erfordert die Handbuch: Windows Server 2012-Basiskonfiguration mit Optionale Mini-Modul: Homenet Subnetz und Optionale Mini-Modul: grundlegende PKI als Ausgangspunkt.
  2. DC1 konfigurieren:

    DC1 ist bereits als Domänencontroller mit Active Directory konfiguriert und der DNS- und DHCP-Server für Intranet-Subnetz. Für die einzelnen Server DirectAccess-Testlabor müssen DC1 konfiguriert werden statische IPv6-Adresse. Eine Sicherheitsgruppe werden Active Directory für DirectAccess-Clientcomputern hinzugefügt.
  3. Konfigurieren Sie APP1:

    App1 ist bereits ein Mitgliedsserver, der mit IIS konfiguriert und fungiert als Dateiserver und Unternehmens-Stammzertifizierungsstelle (CA). Für das Testlabor RAS express-Setup muss APP1 um eine statische IPv6-Adresse konfiguriert werden.
  4. Konfigurieren Sie APP2:

    APP2 ist als Web- und Server veranschaulicht eine reines IPv4-Intranet-Ressource konfiguriert.
  5. "Edge1" konfigurieren:

    "Edge1" ist bereits ein Mitgliedsserver. Einzelserver DirectAccess-Testlabor muss "edge1" als RAS-Server konfiguriert werden, die eine statische IPv6-Adresse hat.
  6. CLIENT1 konfigurieren:

    CLIENT1 ist bereits ein Mitglied-Clientcomputer, auf denen Windows 8 ausgeführt wird. Für RAS express Setup Testlabor wird CLIENT1 zu testen, und zeigen Sie das RAS-Vorgang verwendet werden.
Hinweis Sie müssen als Mitglied der Gruppe Domänen-Admins oder als Mitglied der Gruppe Administratoren auf jedem Computer in diesem Handbuch beschriebenen Aufgaben angemeldet werden. Wenn Sie eine Aufgabe ausführen können, während Sie mit einem Konto angemeldet sind, die Mitglied der Administratorengruppe ist, versuchen Sie ausführen, während Sie mit einem Konto angemeldet sind, die Mitglied der Gruppe Domänen-Admins ist.
Methoden für die Bereitstellung
Diese Anleitung enthält Schritte zum Konfigurieren der Computer der Testumgebung für die Windows Server 2012-Basiskonfiguration, zum Konfigurieren des RAS-Diensts in Windows Server 2012 und zum Veranschaulichen der der Remoteclientverbindungen. Die folgenden Abschnitte enthalten Informationen zum Ausführen dieser Aufgaben.

Schritt 1: Einrichten der Testumgebung für die Basiskonfiguration

Testlabor für das Unternehmensnetzwerk und Internet Subnetze Base-Konfiguration mithilfe der Vorgehensweisen in den Abschnitten "Schritte für die Konfiguration der Corpnet Subnetz" und "Schritte für die Konfiguration der Internet Subnetz" Einrichten der Handbuch: Windows Server 2012-Basiskonfiguration.

Einrichten des Subnetzes Homenet mithilfe der Vorgehensweisen in der Optionale Mini-Modul: Homenet Subnetz.

Bereitstellen einer allgemeinen Infrastruktur mithilfe des Verfahrens in der Optionale Mini-Modul: grundlegende PKI.

Schritt 2: Konfigurieren von DC1

DC1 Konfiguration für DirectAccess Einzelserver-Bereitstellung Testlabor besteht aus den folgenden Verfahren:
  • Konfigurieren Sie eine IPv6-Adresse auf DC1.
  • Erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clientcomputern.
  • Erstellen Sie einen Netzwerk-Server DNS-Datensatz.
  • Erstellen Sie ICMPv4 und ICMPv6 Echoanfrage Firewall-Regeln in der Gruppenrichtlinie der Domäne.
Die folgenden Abschnitte erläutern diese Verfahren im Detail.

Konfigurieren Sie eine IPv6-Adresse auf DC1

Windows Server 2012 Base Konfiguration Testlabor enthält keine IPv6-Adresskonfiguration. Fügen Sie in diesem Schritt IPv6-Adresskonfiguration eine DirectAccess-Bereitstellung unterstützen.
So konfigurieren Sie eine IPv6-Adresse auf DC1
  1. Klicken Sie im Server-Manager in der Konsolenstruktur auf Lokale Server . Bildlauf nach oben im Detailbereich, und klicken Sie dann auf den Link neben Ethernet.
  2. NetzwerkanschlüsseMaustaste auf Ethernetund klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internet Protocol Version 6 (TCP/IPv6), und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf folgende IPv6-Adresse verwenden. IPv6-Adresseeingeben 2001:db8:1::1. Geben Sie im Subnetzpräfixlänge64. Geben Sie in der Standard-gateway2001:db8:1::2. Klicken Sie auf folgenden DNS-Serveradressen verwendenund geben unter Bevorzugter DNS-server2001:db8:1::1, und klicken Sie dann auf OK.
  5. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.
  6. Geben Sie in der Standard-gateway10.0.0.2, und klicken Sie dann auf OK.
  7. Schließen Sie das Dialogfeld Eigenschaften von Ethernet .
  8. Schließen Sie das Fenster Netzwerkanschlüsse .
Demo: Konfigurieren einer IPv6-Adresse auf DC1


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen. Beachten Sie, dass der Schnittstellenname "Ethernet" auf dem Computer unterscheiden. Mit Ipconfig/all zum Auflisten der Schnittstellen.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Schritt 3: Erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clientcomputern

DirectAccess konfiguriert ist, erstellt automatisch Gruppenrichtlinienobjekte, die DirectAccess-Clienteinstellungen enthalten und diese gelten für DirectAccess-Clients und Servern. Standardmäßig wendet den Schnellstart-Assistenten den Client GPO, mobile Computer in der Sicherheitsgruppe "Domänencomputer". Die Verfahren in dieser Übungseinheit die Standardeinstellung nicht verwenden und stattdessen eine andere Sicherheitsgruppe für DirectAccess-Clients erstellen.

Erstellen Sie eine Sicherheitsgruppe für DirectAccess-Clients

  1. Klicken Sie auf DC1 auf der Startseite auf Active Directory-Verwaltungscenter.
  2. In der Konsolenstruktur auf den Pfeil erweitern Sie corp (lokal), und klicken Sie dann auf Benutzer.
  3. Klicken Sie im Bereich Aufgaben auf neuund klicken Sie dann auf Gruppe.
  4. Geben Sie im Dialogfeld Gruppe erstellen DirectAccessClients für den Gruppennamen.
  5. Scrollen Sie nach unten zum Abschnitt " Mitglieder " des Dialogfelds "Gruppe erstellen", und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie auf Objekttypenund wählen Sie Computer aus.
  7. Typ CLIENT1, und klicken Sie dann auf OK.
  8. Klicken Sie auf OK , um das Dialogfeld Gruppe erstellen zu schließen.
  9. Verlassen Sie das Active Directory-Verwaltungscenter.


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen.
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

Schritt 4: Erstellen eines Netzwerk-Server DNS-Datensatzes

Ein DNS-Eintrag muss zum Auflösen des Namens der Netzwerkadressenserver auf APP1-Server gespeichert werden.

Den Netzwerk-Server DNS-Datensatz erstellen

  1. Klicken Sie auf Startund dann auf DNS.
  2. Erweitern Sie Forward-Lookupzonen DC1, und wählen Sie dann "corp.contoso.com".
  3. Maustaste "corp.contoso.com", und klicken Sie dann auf Neuer Host (A oder AAAA).
  4. Geben Sie unter NLS, und geben Sie unter IP-Adresse 10.0.0.3.
  5. Klicken Sie auf Host hinzufügen, klicken Sie auf OK, und klicken Sie auf Fertig.
  6. Schließen Sie die DNS- Verwaltungskonsole.
Demo: Erstellen Sie eine Network Location Server DNS-record.mp4


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen.
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

Schritt 5: Erstellen Sie ICMPv4 und ICMPv6 Echoanfrage Firewall-Regeln in der Gruppenrichtlinie der Domäne

ICMPv4 und ICMPv6-Echoanfragen eingehenden und ausgehenden sind für Teredo-Unterstützung erforderlich. DirectAccess-Clients verwenden Sie Teredo als Technik Übergang IPv6-Verbindung an den DirectAccess-Server über das IPv4-Internet befinden sich hinter einem NAT-Gerät oder eine Firewall, die ausgehende UDP-Port 3544 ermöglicht und eine private (RFC 1918) IP-Adresse zugewiesen. Aktivieren von Ping erleichtert außerdem Verbindungstests zwischen Teilnehmern DirectAccess-Lösung.

ICMPv4 und ICMPv6 Firewallregeln erstellen

  1. Klicken Sie auf Die Gruppenrichtlinien-Verwaltungskonsoleaus dem Startbildschirm.
  2. Erweitern Sie in der Konsolenstruktur Gesamtstruktur: corp.contoso.com\Domains\corp.contoso.com.
  3. Wählen Sie Gruppenrichtlinienobjekte.
  4. Klicken Sie im Detailbereich mit der rechten Maustaste Default Domain Policyund dann auf Bearbeiten.
  5. Erweitern Sie in der Konsolenstruktur der Gruppenrichtlinien-Editor Computerkonfiguration\Richtlinien\Windows Settings\Security Computereinstellungen\Windows Computerfirewall erweiterte Security\Windows-Firewall mit erweiterter Sicherheit-LDAP://CN=...
  6. Wählen Sie in der Konsolenstruktur Eingehende Regelnrechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.
  7. Klicken Sie im neue eingehende Regelassistenten auf der Seite Regel auf Benutzerdefiniert, und klicken Sie auf Weiter.
  8. Klicken Sie auf der Seite Programm auf Weiter.
  9. Auf der Seite Protokolle und Ports in ProtokolltypICMPv4auf und klicken Sie dann auf Anpassen.
  10. Klicken Sie im Dialogfeld ICMP-Einstellungen anpassen auf bestimmte ICMP-TypenEchoanforderungsnachrichtenwählen Sie, klicken Sie auf OK, und klicken Sie auf Weiter.
  11. Klicken Sie dreimal auf Weiter .
  12. Geben Sie auf der Seite Name Name Echoanfragen ICMPv4 eingehend, und klicken Sie dann auf Fertig stellen.
  13. In der Konsolenstruktur mit der rechten Maustaste Eingehende Regelnund dann auf Neue Regel.
  14. Klicken Sie auf der Seite Regel auf Benutzerdefiniert, und klicken Sie auf Weiter.
  15. Klicken Sie auf der Seite Programm auf Weiter.
  16. Auf der Seite Protokolle und Ports in Protokolltyp auf ICMPv6und klicken Sie dann auf Anpassen.
  17. Klicken Sie im Dialogfeld ICMP-Einstellungen anpassen auf bestimmte ICMP-TypenEchoanforderungsnachrichtenwählen Sie, klicken Sie auf OK, und klicken Sie auf Weiter.
  18. Klicken Sie dreimal auf Weiter .
  19. Geben Sie auf der Seite Name Name Eingehende ICMPv6-Echo-Anfragen, und klicken Sie dann auf Fertig stellen.
  20. Bestätigen Sie, dass die erstellten Regeln im Knoten eingehende Regeln angezeigt. Schließen Sie der Gruppenrichtlinienverwaltungs-Editor zu, und schließen Sie Gruppenrichtlinien-Verwaltungskonsole.
Demo:ICMPv4 und ICMPv6 Firewallregeln erstellen


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen. Beachten Sie, dass diese Befehle auf jedem Computer Corpnet müssen und Gruppenrichtlinien nicht konfigurieren:
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

Schritt 6: Konfigurieren von APP1

App1-Konfiguration für DirectAccess Einzelserver-Bereitstellung Testlabor besteht eines der folgenden Verfahren:
  • Konfigurieren Sie eine IPv6-Adresse auf APP1.
  • Konfigurieren von Berechtigungen der Webserver-Zertifikatvorlage.
  • Erhalten Sie ein zusätzliches Zertifikat für APP1.
  • Konfigurieren Sie die HTTPS-Sicherheitsbindung.
Die folgenden Abschnitte erläutern diese Verfahren im Detail.

Konfigurieren Sie eine IPv6-Adresse auf APP1

Windows Server 2012 Base Konfiguration Testlabor enthält keine IPv6-Adresskonfiguration. Fügen Sie in diesem Schritt IPv6-Adresskonfiguration eine DirectAccess-Bereitstellung unterstützen.
So konfigurieren Sie eine IPv6-Adresse auf APP1
  1. Klicken Sie im Server-Manager in der Konsolenstruktur auf Lokale Server . Bildlauf nach oben im Detailbereich, und klicken Sie dann auf den Link neben Ethernet.
  2. NetzwerkanschlüsseMaustaste auf Ethernetund klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internet Protocol Version 6 (TCP/IPv6), und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf folgende IPv6-Adresse verwenden. Geben Sie unter IPv6-Adresse2001:db8:1::3. Geben Sie Subnetzpräfixlänge64. Geben Sie unter Standard-Gateway2001:db8:1::2. Klicken Sie auf folgenden DNS-Serveradressen verwenden, und geben Sie in Bevorzugter DNS-Server2001:db8:1::1. Klicken Sie auf OK.
  5. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.
  6. Geben Sie in der Standard-Gateway10.0.0.2, und klicken Sie dann auf OK.
  7. Schließen Sie das Dialogfeld Eigenschaften von Ethernet .
  8. Schließen Sie das Fenster Netzwerkanschlüsse .
Demo: Konfigurieren einer IPv6-Adresse auf APP1


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen. Beachten Sie, dass der Schnittstellenname "Ethernet" auf dem Computer unterscheiden. Mit Ipconfig/all zum Auflisten der Schnittstellen.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Konfigurieren Sie die Berechtigungen der Webserver-Zertifikatvorlage

Anschließend konfigurieren Sie Berechtigungen auf der Webserver-Zertifikatvorlage so, dass anfordernden Computer Antragstellername eines Zertifikats angeben können.
So konfigurieren Sie Berechtigungen der Webserver-Zertifikatvorlage
  1. Klicken Sie auf APP1 dem Startbildschirm auf Zertifizierungsstelle.
  2. Erweitern Sie im Detailbereich corp-APP1-CA.
  3. Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf verwalten.
  4. In der Konsole Zertifikatvorlagen mit der rechten Maustaste die Webservervorlage und dann auf Eigenschaften.
  5. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Authentifizierte Benutzer.
  6. Berechtigungen für authentifizierte Benutzerauf Enrollzulassen,und klicken Sie dann auf OK.

    Hinweis Die Gruppe Authentifizierte Benutzer ist hier der Einfachheit im Testlabor konfiguriert. Bei einer echten Bereitstellung würde Angabe des Namens einer Sicherheitsgruppe mit den Computerkonten der Computer in Ihrer Organisation, die benutzerdefinierte Zertifikate anfordern können. Dies schließt den DirectAccess-Server und Netzwerkadressenserver.
  7. Schließen Sie die Zertifikatvorlagenkonsole.
Demo: Konfigurieren von Berechtigungen der Webserver-Zertifikatvorlage

Ein zusätzliches Zertifikat auf APP1 erhalten

Ein zusätzliches Zertifikat für APP1 mit angepassten Subject alternative Namen für Netzwerk zu erhalten.
Ein zusätzliches Zertifikat für APP1 abrufen
  1. Geben Sie aus dem Startbildschirm Mmc, und drücken Sie dann die EINGABETASTE.
  2. Klicken Sie auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, wählen Sie Computerkonto, klicken Sie auf Weiter, wählen Sie Lokaler Computer, klicken Sie auf Fertig stellen,und klicken Sie auf OK.
  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-in Zertifikate (lokaler Computer) \Personal\Certificates.
  5. Maustaste auf Zertifikate, zeigen Sie auf Alle Tasksund klicken Sie dann auf Neues Zertifikat anfordern.
  6. Klicken Sie zweimal auf Weiter .
  7. Auf der Seite Zertifikat anfordern auf Webserverund klicken Sie dann auf Weitere Informationen benötigt, um für dieses Zertifikat registrieren.
  8. Wählen Sie auf der Registerkarte Betreff im Dialogfeld ZertifikateigenschaftenAntragstellernamefür TypAllgemeiner Name.
  9. WertGeben Sie nls.corp.contoso.com, und klicken Sie dann auf Hinzufügen.
  10. Klicken Sie auf OK, klicken Sie auf Registrieren, und klicken Sie auf Fertig stellen.
  11. Im Detailbereich des Snap-Ins Zertifikate stellen Sie sicher, dass ein neues Zertifikat mit den nls.corp.contoso.com des Namens mit Beabsichtigter Zweck der Serverauthentifizierungregistriert wurde.
  12. Schließen Sie das Konsolenfenster. Wenn Sie aufgefordert werden zu speichern, klicken Sie auf Nein.
Demo: Erhalten Sie eine zusätzliche Bescheinigung APP1

Konfigurieren Sie die HTTPS-Sicherheitsbindung

Anschließend konfigurieren Sie HTTPS Sicherheit binding, APP1 als Netzwerkadressenserver fungieren kann.
So konfigurieren Sie die HTTPS-Sicherheitsbindung
  1. Klicken Sie auf Internetinformationsdienste (IIS) Manageraus dem Startbildschirm.
  2. Öffnen Sie in der Konsolenstruktur von Internet Information Services (IIS) Manager APP1/Sites, und klicken Sie dann auf Standardwebsite.
  3. Klicken Sie im AktionsbereichBindings.
  4. Klicken Sie im Dialogfeld Site Bindings auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Sitebindung hinzufügen in der Liste Typ auf Https. SSL-Zertifikatklicken Sie auf das Zertifikat mit dem Namen nls.corp.contoso.com. Klicken Sie auf OK, und klicken Sie dann auf Schließen.
  6. Schließen Sie die Konsole Internet Information Services (IIS) Manager.
Demo: Konfigurieren der Bindung auf APP1 HTTPS-Sicherheit

Schritt 7: Installieren und Konfigurieren von APP2

APP2 ist Windows Server 2008 R2 Enterprise Edition fungiert als IPv4-Host-Computer veranschaulichen die DirectAccess-Verbindung IPv4-Ressourcen mit der DNS64 und NAT64. APP2 hostet HTTP und SMB-Ressourcen DirectAccess-Clientcomputer auf die simulierte Internet zugreifen. NAT64-DNS64-Funktion fest ermöglicht Organisationen das DirectAccess bereitstellen, ohne dass diese Ressourcen auch IPv6-fähig und nativen IPv6-Aktualisierung

APP2 Konfiguration für DirectAccess Einzelserver-Testlabors besteht eines der folgenden Verfahren:
  • Erstellen eines freigegebenen Ordners auf APP2.
  • Installieren Sie IIS-Webdienste
Die folgenden Abschnitte erläutern diese Verfahren im Detail.

Erstellen eines freigegebenen Ordners auf APP2

Der erste Schritt ist die Erstellung einen freigegebenen Ordner auf APP2. APP2 verwendet HTTP-Konnektivität über ein IPv4-Host die DirectAccess-Verbindung zeigen.
  1. Öffnen Sie in APP2 Windows Explorer.
  2. Wechseln Sie zu Laufwerk C:.
  3. Klicken Sie mit der rechten Maustaste die leere Fenster, zeigen Sie auf neuund klicken Sie auf Ordner.
  4. Typ Dateien und drücken Sie die EINGABETASTE.
  5. Klicken Sie mit der rechten Maustaste auf Dateien und wählen Sie Eigenschaften.
  6. Klicken Sie im Dialogfeld Eigenschaften auf die Freigabe auf Freigabe.... HinzufügenAlle für Lesen Berechtigung, und klicken Sie dann auf Freigabe.
  7. Klicken Sie doppelt auf die Dateien Ordner.
  8. Klicken Sie mit der rechten Maustaste die leere Fenster, zeigen Sie auf neuund klicken Sie dann auf Textdokument.
  9. Klicken Sie doppelt auf die neue Textdatei.txt Datei.
  10. In der neue Textdatei.txt – Editor Fenster eingebenDies ist ein Textdokument APP2, eine einzige IPv4-server.
  11. Schließen Sie Editor. Klicken Sie im Dialogfeld Editor auf Ja zu speichern.
  12. Schließen Sie Windows_explorer.

IIS-Webdienste auf APP2 installieren

Konfigurieren Sie APP2 als Webserver.
  1. Öffnen Sie in APP2 Server-Manager.
  2. Klicken Sie auf Rollen, und klicken Sie dann auf Rollen hinzufügen.
  3. In Assistenten zum Hinzufügen von Rollen Fenster, klicken Sie auf Weiter.
  4. Wählen Sie Webserver (IIS), und klicken Sie dann auf Weiter.
  5. Klicken Sie auf Weiter zweimal, und klicken Sie dann auf Installieren.
Demo: Installieren und Konfigurieren von APP2

Schritt 8: Konfigurieren von "edge1"

"Edge1" Konfiguration für DirectAccess Einzelserver-Bereitstellung Testlabor besteht aus den folgenden Verfahren:
  • Konfigurieren Sie eine IPv6-Adresse auf "edge1".
  • Bestimmung "edge1" mit einem Zertifikat für IP-HTTPS.
  • Installieren Sie die Serverrolle auf "edge1".
  • Konfigurieren von DirectAccess auf "edge1".
  • Bestätigen Sie die Gruppenrichtlinien.
  • IPv6-Einstellung zu bestätigen.
Die folgenden Abschnitte erläutern diese Verfahren im Detail.

Konfigurieren Sie eine IPv6-Adresse auf "edge1"

Windows Server 2012 Base Konfiguration Testlabor enthält keine IPv6-Adresskonfiguration. Fügen Sie in diesem Schritt IPv6-Adresskonfiguration zu "edge1" eine DirectAccess-Bereitstellung unterstützen.
So konfigurieren Sie eine IPv6-Adresse auf "edge1"
  1. Klicken Sie im Server-Manager in der Konsolenstruktur auf Lokale Server . Bildlauf nach oben im Detailbereich, und klicken Sie dann auf den Link neben Corpnet.
  2. NetzwerkanschlüsseCorpnetMaustaste und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internet Protocol Version 6 (TCP/IPv6), und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf folgende IPv6-Adresse verwenden. IPv6-Adresseeingeben 2001:db8:1::2. Geben Sie im Subnetzpräfixlänge64. Klicken Sie auf folgenden DNS-Serveradressen verwendenund geben unter Bevorzugter DNS-server 2001:db8:1::1. Klicken Sie auf OK.
  5. Schließen Sie das Dialogfeld Corpnet Eigenschaften .
  6. Schließen Sie das Fenster Netzwerkanschlüsse .
Demo:Konfigurieren eine IPv6-Adresse "edge1"


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen. Beachten Sie, dass der Schnittstellenname "Ethernet" auf dem Computer unterscheiden. Mit Ipconfig/all zum Auflisten der Schnittstellen.
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

Bestimmung "edge1" mit einem Zertifikat für IP-HTTPS

IP-HTTPS-Listener zu authentifizieren, wenn Clients über HTTPS verbinden ist ein Zertifikat erforderlich.
Vorbereiten einer Zertifikatvorlage
  1. Geben Sie den Startbildschirm auf App1 MMC, und drücken Sie dann die EINGABETASTE.
  2. Klicken Sie auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikatvorlagenund klicken Sie auf Hinzufügen.
  4. Klicken Sie auf Zertifikatvorlagen im linken Bereich. Klicken Sie im Detailbereich rechts klicken Sie auf die Computer Vorlage und klicken Sie auf Doppelte Vorlage.
  5. Klicken Sie auf die Antragstellernamen Registerkarte und klicken in der Anforderung angeben . Klicken Sie auf OK.
  6. Klicken Sie auf die Allgemeine Registerkarte, und geben SieVorlage für DA Wählen Sie unter Vorlagenanzeigename.
  7. Klicken Sie auf OK.
  8. Klicken Sie im MMC-Fenster auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
  9. Klicken Sie auf Zertifizierungsstelle, klicken Sie auf Hinzufügen, klicken Sie auf Lokaler Computer: (der Computer, auf diese Konsole ausgeführt wird)auf Fertig stellen, und klicken Sie dann auf OK.
  10. Erweitern Sie corp APP1 CARechtsklick Zertifikatvorlage, wählen Sie neu, klicken Sie auf Auszustellende Zertifikatvorlage.
  11. Wählen Sie Vorlage für DA, und klicken Sie auf OK.
Demo: Vorbereiten einer Zertifikatvorlage
Ein IP-HTTPS-Zertifikat für "edge1" installieren
  1. Geben Sie den Startbildschirm auf "edge1" MMC und drücken Sie dann die EINGABETASTE.
  2. Klicken Sie auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, klicken Sie auf Computerkonto, klicken Sie auf Weiter, wählen Sie Lokaler Computer, klicken Sie auf Fertig stellen,und klicken Sie auf OK.
  4. Öffnen Sie in der Konsolenstruktur des Zertifikat-Snap-in Zertifikate (lokaler Computer) \Personal\Certificates.
  5. Maustaste auf Zertifikate, zeigen Sie auf Alle Tasksund klicken Sie dann auf Neues Zertifikat anfordern.
  6. Klicken Sie zweimal auf Weiter .
  7. Auf der Seite Zertifikate anfordern auf Vorlage für DAund klicken Sie dann auf Weitere Informationen benötigt, um für dieses Zertifikat registrieren.
  8. Wählen Sie auf der Registerkarte Betreff im Dialogfeld Zertifikateigenschaften Antragstellernamefür TypAllgemeiner Name.
  9. Werteingeben edge1.contoso.com, und klicken Sie dann auf Hinzufügen.
  10. Wählen Sie im Bereich Alternative Namen unter TypDNS.
  11. Werteingeben edge1.contoso.com, und klicken Sie dann auf Hinzufügen.
  12. Geben Sie auf der Registerkarte Allgemein unter Angezeigter nameIP-HTTPS-Zertifikat.
  13. Klicken Sie auf OK, klicken Sie auf Registrieren, und klicken Sie auf Fertig stellen.
  14. Klicken Sie im Detailbereich des Snap-Ins Zertifikate stellen Sie sicher, dass ein neues Zertifikat mit dem Namen edge1.contoso.com mit Beabsichtigter Zweck der Serverauthentifizierung, die Clientauthentifizierungregistriert wurde.
  15. Schließen Sie das Konsolenfenster. Wenn Sie aufgefordert werden zu speichern, klicken Sie auf Nein.
Hinweis Wenn die Vorlage für DA nicht angezeigt wird, überprüfen Sie Folgendes:
  • Überprüfen Sie, ob das Benutzerkonto berechtigt ist, die Vorlagefür DA registrieren.
  • Überprüfen Sie, ob die Zertifikatvorlage CA erfolgreich hinzugefügt wurde.
Demo: Installieren einer IP-HTTPS-Zertifikat für "edge1"

Installieren Sie die Serverfunktion RAS auf "edge1"

RAS-Serverrolle in Windows Server 2012 kombiniert die DirectAccess-Funktion und der RRAS-Rollendienst in eine einheitliche Serverrolle. Diese neue RAS-Serverrolle ermöglicht zentrale Verwaltung, Konfiguration und Überwachung von DirectAccess und VPN-basierten Remote Zugriff auf Dienste. Gehen Sie den Remote-Zugriff auf "edge1" installiert.
Die Serverfunktion RAS auf "edge1" installieren
  1. Klicken Sie in der Konsole Dashboard des Server-Managers unter diesem lokalen Server konfigurieren auf Rollen und Features hinzufügen.
  2. Klicken Sie dreimal auf Weiter , Server Rolle Auswahlbildschirm erreichen.
  3. Aktivieren Sie im Dialogfeld Serverrollen auswählen die Option RAS, klicken Sie auf Features hinzufügen, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf Weiter.
  4. Klicken Sie auf nächste fünfmal übernehmen Sie die Standardeinstellungen für Features RAS-Rollendienste und Webserver-Rollendienste.
  5. Der Bestätigungsdialog angezeigt klicken Sie auf Installieren.
  6. Featureinstallationen abgeschlossen warten Sie, und klicken Sie dann auf Schließen.
Video


Hinweis Die folgenden Windows PowerShell-Cmdlets oder Cmdlets ausführen die gleiche Funktion wie zuvor. Geben Sie jedes Cmdlet in einer einzelnen Zeile, obwohl sie über mehrere Zeilen umgebrochen erscheint aufgrund Formatierung Einschränkungen.
Install-WindowsFeature RemoteAccess -IncludeManagementTools

Konfigurieren von DirectAccess auf "edge1"

Konfigurieren von DirectAccess in eine Einzelserver-Bereitstellung mithilfe von RAS-Setup-Assistenten.
Zum Konfigurieren von DirectAccess auf "edge1"
  1. Klicken Sie auf dem Startbildschirm auf Remotezugriffsverwaltung.
  2. Remote-Management-Konsole klicken Sie auf RAS-Setupassistenten ausführen.
  3. Klicken Sie im Assistenten zum Konfigurieren des Remotezugriffs auf DirectAccess nur bereitstellen.
  4. Klicken Sie unter "Schritt 1 entfernte Clients" Konfigurieren.
  5. Wählen Sie vollständige DirectAccess für Clientzugriff und Remoteverwaltung bereitstellenund klicken Sie dann auf Weiter.
  6. Klicken Sie auf dem Bildschirm Wählen Sie Gruppen Hinzufügen, Typ DirectAccessClients, klicken Sie auf OK, und klicken Sie dann auf Weiter.
  7. Geben Sie auf dem Bildschirm Network Connectivity Assistant neben DirectAccess VerbindungsnameContoso DirectAccess-Verbindung. Klicken Sie auf Fertig stellen.
  8. Klicken Sie unter "Schritt 2 DirectAccess-Server" auf Konfigurieren.
  9. Überprüfen Sie, ob der Rand als der Netzwerktopologie ausgewählt ist. Typ edge1.contoso.com wie der öffentliche Name, RAS-Clients eine Verbindung herstellen. Klicken Sie auf Weiter.
  10. Warten Sie auf dem Bildschirm Netzwerkadapter Assistenten Internet "und" Corpnet Schnittstellen aufgefüllt. Überprüfen Sie CN=edge1.contoso.com das Zertifikat automatisch ausgewählt, um IP-HTTPS-Verbindung zu authentifizieren. Klicken Sie auf Weiter.
  11. Klicken Sie auf dem Bildschirm Konfiguration Präfix auf Weiter.
  12. Wählen Sie auf dem Bildschirm Authentifizierung Computerzertifikate verwenden ausund dann auf Durchsuchen.
  13. Wählen Sie Corp APP1 Zertifizierungsstelle aus, klicken Sie auf OK, und klicken Sie dann auf Fertig stellen.
  14. Klicken Sie unter "Schritt 3-Infrastrukturserver" Konfigurieren.
  15. Die URL der Netzwerkadressenserver Geben Sie https://nls.corp.contoso.com, und klicken Sie auf Überprüfen.
  16. Nach der Verbindung mit der URL NLS APP1 erfolgreich validiert wurde, klicken Sie auf Weiter.
  17. Klicken Sie zweimal auf Weiter , auf um Standardeinstellungen für DNS und Management zu übernehmen, und klicken Sie auf Fertig stellen.
  18. Klicken Sie am unteren Bildschirmrand RAS-Setup auf Fertig stellen.
  19. Klicken Sie auf Übernehmen, klicken Sie im Dialogfeld Remote Access überprüfen .
  20. Nachdem der RAS-Setup-Assistent abgeschlossen ist, klicken Sie auf Schließen.
  21. Wählen Sie in der Konsolenstruktur der Remote-Management-Konsole Operationen Status. Warten Sie, bis der Status aller Monitore zeigt "Arbeiten". Klicken Sie im Aufgabenbereich unter Überwachung auf Aktualisieren regelmäßig, um die Anzeige zu aktualisieren.
Demo:Direkten Zugriff auf "edge1" Konfigurieren


Hinweis In dieser Version von Windows Server 2012 kann der Netzwerkadapter nicht Grün Gelb sein. Um sicherzustellen, dass der Status der Netzwerkadapter "Bearbeitung" angezeigt wird, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten den folgenden Befehl und drücken:
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

Bestätigen von Gruppenrichtlinien

Der DirectAccess-Assistent konfiguriert Gruppenrichtlinienobjekte und Einstellungen automatisch mithilfe von Active Directory für RAS-Server und die DirectAccess-Clients bereitgestellt werden.

Gruppenrichtlinien, die vom DirectAccess-Assistenten erstellten überprüfen

  1. Klicken Sie auf "edge1" dem Startbildschirm auf Die Gruppenrichtlinien-Verwaltungskonsole.
  2. Erweitern Sie Gesamtstruktur: "corp.contoso.com", erweitern Sie Domänen, erweitern Sie "corp.contoso.com"und anschließend Gruppenrichtlinienobjekte.
  3. RAS-Setup-Assistent erstellt zwei neue GPOs. Mitglieder der Sicherheitsgruppe DirectAccessClients DirectAccess-Clienteinstellungen zugewiesen. "Edge1" DirectAccess-Server Einstellungen der DirectAccess-Server zugewiesen. Bestätigen Sie, dass die richtige Sicherheitsfilter für jedes dieser GPOs ausgeführt wird, indem Sie auf das Gruppenrichtlinienobjekt und dann die Einträge im Abschnitt Sicherheitsfilter auf der Registerkarte Bereich im Detailbereich der Konsole anzeigen.
  4. Geben Sie auf dem Startbildschirm WF.msc, und drücken Sie dann die EINGABETASTE.
  5. Beachten Sie in der Windows-Firewall mit erweiterter Sicherheit -Konsole, die das Domänenprofil ist aktiv und öffentliches Profil ist aktiv. Stellen Sie sicher, dass die Windows-Firewall aktiviert ist und die Domäne und Öffentliche Profile aktiv sind. Wenn die Windows-Firewall deaktiviert ist oder Domäne oder Öffentliche Profile deaktiviert sind, dann funktioniert DirectAccess nicht richtig.
  6. Klicken Sie in der Konsolenstruktur der Windows-Firewall mit erweiterter Sicherheit auf Knoten Verbindungssicherheitsregeln . Im Detailbereich der Konsole zeigt zwei Verbindungssicherheitsregeln: DirectAccess Policy-DaServerToCorpund DirectAccess Policy-DaServerToInfra. Die erste Regel zum Intranet-Tunnel einrichten und mit der zweiten Regel für den Tunnel Infrastruktur ist. Beide Regeln werden mithilfe von Gruppenrichtlinien an "edge1" gesendet.
  7. Schließen Sie die Windows-Firewall mit erweiterter Sicherheit -Konsole.
Demo: Bestätigen Sie Gruppenrichtlinien

IPv6 bestätigen

  1. "Edge1" in der desktop-Taskleiste mit der rechten Maustaste Windows PowerShellund klicken Sie dann auf als Administrator ausführen.
  2. Geben Sie im Fenster Windows PowerShell Get-NetIPAddress und drücken Sie die EINGABETASTE.
  3. Die Ausgabe zeigt Informationen über die Netzwerkkonfiguration "edge1". Es gibt verschiedene Abschnitte von Interesse:
    • Der 6to4-Adapter Abschnitt zeigt Informationen, die die globale IPv6-Adresse enthält, die von "edge1" an der externen Schnittstelle verwendet.
    • Abschnitt IPHTTPSInterface zeigt Informationen über IP-HTTPS-Schnittstelle.
  4. Geben Sie zum Anzeigen von Informationen über die Teredo-Schnittstelle auf "edge1" Netsh-Schnittstelle Teredo-Status anzeigen und drücken Sie die EINGABETASTE. Die Ausgabe sollte einen Eintrag Status: online.
Demo: IPv6 bestätigen

Schritt 9: Verbinden Sie Client1 mit Corpnet Subnetz und Aktualisierung der Gruppenrichtlinie

Um die DirectAccess-Servereinstellungen zu erhalten, muss CLIENT1 die Gruppenrichtlinieneinstellungen aktualisieren, während er mit dem Corpnet-Subnetz verbunden ist.

Aktualisierung der Gruppenrichtlinie auf CLIENT1 und DirectAccess übernehmen

  1. Verbinden Sie CLIENT1 mit dem Corpnet Subnetz.
  2. Neustart des Computers CLIENT1 Aktualisierung der Gruppenrichtlinie und Sicherheitsgruppenmitgliedschaft während dem Corpnet Subnetz verbunden. Melden Sie sich nach dem Neustart als CORP\User1 an.
  3. Geben Sie auf dem Startbildschirm PowerShell, mit der rechten Maustaste Windows PowerShell, und klicken Sie dann auf als Administrator ausführen.
  4. Typ Get-DnsClientNrptPolicy und drücken Sie die EINGABETASTE. Name Resolution Policy-Tabelle (Richtlinientabelle) Einträge für DirectAccess werden angezeigt. Beachten Sie, dass die Freistellung NLS-Server als NLS.corp.contoso.com angezeigt. Dies ist der Alias für den APP1-Server verwendet. Alle anderen Auflösung für "corp.contoso.com" verwendet die interne IPv6-Adresse des Servers "edge1" (2001:db8::1::2) außerhalb des Unternehmensnetzwerks.
  5. Typ Get-NCSIPolicyConfiguration und drücken Sie die EINGABETASTE. Die vom Assistenten bereitgestellten Einstellungen für die Netzwerkverbindungs-Statusanzeige werden angezeigt. Beachten Sie, dass der Wert des DomainLocationDeterminationURL https://NLS.corp.contoso.com. Wenn dieses Netzwerk Speicherort Server URL zugegriffen werden kann, überprüft der Client, dass er innerhalb des Unternehmensnetzwerks und Richtlinientabelle Einstellungen nicht angewendet.
  6. Typ Get-DAConnectionStatus und drücken Sie die EINGABETASTE. Da der Client die Netzwerk-Speicherort-URL zugreifen kann, wird der Status als ConnectedLocallyangezeigt.
Demo: Verbinden Sie Client1 mit Corpnet Subnetz und Aktualisierung der Gruppenrichtlinie

Verbindet den Clientcomputer mit dem Corpnet Subnetz und starten sie das Video folgenden Demo:

Schritt 10: Verbinden Sie CLIENT1 mit dem Internet Subnetz und Testen RAS

Um RAS-Verbindungen aus dem Internet zu testen, verschieben Sie die CLIENT1-Verbindung in das Internet-Subnetz.

Remote-Zugriff aus dem Internet testen

  1. Verbinden Sie CLIENT1 mit dem Internet Subnetz. Nach Abschluss der Ermittlung Netzwerk sollte das Netzwerksymbol Internetzugang angeben.
  2. Geben Sie in das Fenster Get-DAConnectionStatus und drücken Sie die EINGABETASTE. Der Status sollte als ConnectedRemotelyangezeigt.
  3. Klicken Sie auf das Netzwerksymbol im Infobereich System. Beachten Sie, dass Contoso DirectAccess-Verbindungverbundenist. Dies ist der Verbindungsname haben wir im DirectAccess-Assistenten.
  4. Maustaste auf Contoso DirectAccess-Verbindung , und klicken Sie dann auf Eigenschaften. Beachten Sie, dass verbundenangezeigt wird.
  5. Geben Sie die PowerShell prompt Ping inet1.isp.example.com und Auflösung von Internetnamen und Konnektivität zu überprüfen. Sie sollten vier Antworten vom 131.107.0.1 erhalten.
  6. Typ Ping app1.corp.contoso.com und Auflösung Firmenintranet und Konnektivität zu überprüfen. Da APP1 eine Intranetressource IPv6 aktiviert ist, ist ICMP-Antwort von APP1 die IPv6-Adresse (2001:db8:1::3).
  7. Typ Ping app2.corp.contoso.com und Auflösung und Verbindung mit dem Intranet Windows Server 2003-Dateiserver zu überprüfen. Beachten Sie das Format der IPv6-Adresse zurückgegeben. Da APP2 ein reines IPv4-Intranet-Ressource ist, wird die dynamisch erstellte APP2 NAT64 Adresse zurückgegeben. Das dynamisch erstellte Präfix, das von DirectAccess für NAT64 zugewiesen wird, hat das Format fdxx:xxxx:xxxx:7777::/96.
  8. Klicken Sie auf das Symbol Internet Explorer zu starten. Überprüfen Sie die http://inet1.isp.example.com-Website zugreifen können. Diese Site INET1 Internet Server läuft und Internetkonnektivität außerhalb DirectAccess überprüft.
  9. Überprüfen Sie die http://app1.corp.contoso.com-Website zugreifen können. Diese Site auf APP1-Server ausgeführt wird und DirectAccess-Konnektivität mit einem internen Webserver IPv6 überprüft.
  10. Überprüfen Sie die http://app2.corp.contoso.com-Website zugreifen können. Webseite "In Bearbeitung" IIS standardmäßig sollte überprüft DirectAccess-Konnektivität mit einem internen IPv4-Webserver angezeigt werden.
  11. Desktop-Taskleiste klicken Sie auf das Symbol Windows Explorer .
  12. In der Adressleiste \\app1\Files geben und dann die EINGABETASTE.
  13. Einem Ordner-Fenster mit dem Inhalt des freigegebenen Ordners sollte angezeigt werden.
  14. Doppelklicken Sie im Fenster mit dem freigegebenen Ordner Dateien auf die Datei Example.txt. Der Inhalt der Datei Example.txt sehen.
  15. Schließen Sie das Beispiel - Editor -Fenster.
  16. Windows Explorer-Adressleiste Geben Sie \\app2\Files und drücken Sie die EINGABETASTE.
  17. Doppelklicken Sie im Fenster freigegebenen Ordner DateienNeue Textdatei.txt . Sie sehen den Inhalt des Dokuments auf dem IPv4-Server gemeinsam genutzt.
  18. Schließen Sie Neues Textdokument - Editor und Ordnerfenster freigegebene Dateien
  19. Geben Sie in das Fenster Get-NetIPAddress und Drücken der Client IPv6-Konfiguration zu überprüfen.
  20. Typ Get-NetTeredoState und Teredo-Konfiguration zu überprüfen. Beachten Sie, dass die Namen des Teredo-Servers edge1.contoso.com ist, das extern auflösbaren DNS-Namen des Servers "edge1".
  21. Typ Get-NetIPHTTPSConfiguration und drücken Sie die EINGABETASTE. Überprüfen Sie die Einstellungen von Gruppenrichtlinie auf den Client an Https://edge1.contoso.com:443-IPHTTPS.
  22. Typ WF.msc und drücken Sie die EINGABETASTE, um die Windows-Firewall mit erweiterter Sicherheit-Konsole starten. Erweitern Sie Überwachungund Security Associations zum Überprüfen von IPsec-SAs eingerichtet. Beachten Sie, dass die verwendeten Authentifizierungsmethoden Kerberos für Computer und Benutzer Kerberos, auch Computerzertifikat und Benutzer Kerberos.
  23. Wählen Sie in der Konsolenstruktur Verbindungssicherheitsregeln . Überprüfen Sie die Regeln für DirectAccess bietet.
  24. Windows-Firewall mit erweiterter Sicherheit Konsole zu schließen.
Demo: Verbinden Sie CLIENT1 mit dem Internet Subnetz und Testen von RAS

Nach dem Verbinden des Clientcomputer mit dem Internet Subnetz sehen Sie folgende Demovideo:

Schritt 11: Verbinden Sie CLIENT1 mit dem Subnetz Homenet und Testen RAS

Um die Remotezugriff-Konnektivität von einem simulierten Heimnetzwerk hinter NAT zu testen, verschieben Sie die CLIENT1-Verbindung an das Subnetz Homenet.

So testen Sie den Remotezugriff vom Heimnetzwerk

  1. Verbinden Sie CLIENT1 mit dem Subnetz Homenet. Sobald die Netzwerkerkennung abgeschlossen ist, sollte das Netzwerksymbol Internetzugang angeben.
  2. Geben Sie in das Fenster Get-DAConnectionStatus und drücken Sie die EINGABETASTE. Der Status wird als ConnectedRemotelyangezeigt.
  3. Klicken Sie auf das Netzwerksymbol im Infobereich System. Beachten Sie, dass Contoso DirectAccess-Verbindungverbundenist. Maustaste auf Contoso DirectAccess-Verbindung , und klicken Sie dann auf Eigenschaften. Beachten Sie, dass Status verbundenist.
  4. Typ Ping app1.corp.contoso.com und Auflösung Firmenintranet und auf eine interne Ressource IPv6-Konnektivität zu überprüfen.
  5. Typ Ping app2.corp.contoso.com und Auflösung Firmenintranet und auf eine interne Ressource IPv4-Konnektivität zu überprüfen.
  6. Klicken Sie auf das Symbol Internet Explorer, um Internet Explorer zu starten. Stellen Sie sicher, dass Zugriff auf die Websites http://inet1.isp.example.com, http://app1.corp.contoso.com und http://app2.corp.contoso.com.
  7. Desktop-Taskleiste klicken Sie auf das Symbol Windows Explorer .
  8. Stellen Sie sicher, dass der Zugriff auf der freigegebenen Dateien in \\APP1\Files und \\APP2\Files.
  9. Windows Explorer-Fenster zu schließen.
  10. Geben Sie in das Fenster Get-NetIPAddress und Drücken der Client IPv6-Konfiguration zu überprüfen.
  11. Typ Get-NetTeredoState und Teredo-Konfiguration zu überprüfen. Beachten Sie, dass der Teredo-Status qualifiziertist.
  12. Typ ipconfig und drücken Sie die EINGABETASTE. Beachten Sie, dass in dieser Bereitstellung hinter einem NAT der DirectAccess-Client über den Teredo-Tunnel-Adapter verbunden ist.
Demo: Verbinden Sie CLIENT1 mit dem Subnetz Homenet und Testen Sie RAS:

Nach dem Verbinden des Clientcomputer mit dem Subnetz Homenet finden Sie in des folgenden Demo-Videos.

Schritt 12: Überwachen der Clientverbindung "edge1" DirectAccess-Server

Die Remotezugriffs-Verwaltungskonsole in Windows Server 2012 bietet Remoteclient-Statusüberwachungsfunktionen für DirectAccess- und VPN-Verbindungen.

Die Clientverbindung EGDE1 überwachen

  1. Klicken Sie auf dem Startbildschirm auf Remotezugriffsverwaltung.
  2. Wählen Sie in der Remotezugriffs-Verwaltungskonsole die Option Dashboard.
  3. Überprüfen Sie die Daten, die unter Remoteclientstatus gesammelt werden.
  4. Wählen Sie in der Remotezugriffs-Verwaltungskonsole die Option Remoteclientstatus.
  5. Doppelklicken Sie auf CLIENT1-Verbindung, um das Dialogfeld mit detaillierten Remoteclientstatistiken anzuzeigen.
Demo: Überwachen der Clientverbindung zu EGDE1

Optional: Snapshot-Konfiguration

Damit wird die vereinfachte DirectAccess-Bereitstellung in einer reinen IPv4-Testumgebung abgeschlossen. Diese Konfiguration speichern, sodass Sie schnell zu Ihrem RAS zurückkehren Konfiguration aus dem anderen modularen RAS testen können test Lab-Handbücher (TLGs) TLG Extensions oder für eigene Experimente und lernen Folgendes aus:

1. Schließen Sie auf allen physischen Computern oder virtuellen Computern in der Testumgebung alle Fenster, und führen Sie dann ein ordnungsgemäßes Herunterfahren aus.

2. wenn Lab auf virtuellen Maschinen, speichern Sie eine Momentaufnahme der einzelnen virtuellen Computer, und nennen Sie DirectAccess gemischten IPv4- und IPv6-Snapshots. Wenn Lab physische Computern verwendet, erstellen Sie Datenträgerabbilder DirectAccess vereinfachte IPv4-Testlaborkonfiguration speichern.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3022362 – Letzte Überarbeitung: 11/09/2015 09:32:00 – Revision: 4.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtde
Feedback