In diesem Thema erhalten Sie Informationen zu den Komponenten einer DirectAccess-Bereitstellung, zu DirectAccess-Clientkonnektivitätsmethoden, zur Firewallkonfiguration für den DirectAccess-Datenverkehr und zur Interaktion mit Smartcards.

DirectAccess-Komponenten

Eine DirectAccess-Bereitstellung umfasst die folgenden Komponenten:

  • DirectAccess-Clients

  • Mindestens ein DirectAccess-Server

  • Eine Active Directory®-Domänendienste-Domäne (AD DS)

  • Eine Public Key-Infrastruktur (Public Key Infrastructure, PKI)

  • Netzwerkadressenserver

  • Ein IPv6-fähiges (Internet Protocol, Version 6) internes Netzwerk und IPv6-fähige Anwendungen oder NAT-PT-Geräte (Network Address Translation-Port Translation)

DirectAccess-Clients

Bei einem DirectAccess-Client handelt es sich um einen Computer unter Windows 7 oder Windows Server 2008 R2, der einer AD DS-Domäne hinzugefügt wurde und von dem IPv6 und Internetprotokollsicherheit (Internet Protocol Security, IPsec) verwendet werden, um die Remotekonnektivität mit einem internen Netzwerk über das Internet automatisch zu initiieren und beizubehalten.

Von Computern, die keiner AD DS-Domäne hinzugefügt wurden oder auf denen Windows Vista oder frühere Versionen von Windows ausgeführt werden, wird DirectAccess nicht unterstützt.

Mindestens ein DirectAccess-Server

Bei einem DirectAccess-Server handelt es sich um einen Computer unter Windows Server 2008 R2, der einer AD DS-Domäne hinzugefügt wurde und von dem IPv6 und IPsec verwendet werden, um DirectAccess-Clients im Internet zu antworten und transparente Verbindungen zwischen ihnen und einem internen Netzwerk herzustellen.

Von Computern, die keiner Active Directory-Domäne hinzugefügt wurden oder auf denen Windows Server 2008 oder frühere Versionen von Windows Server ausgeführt werden, wird die DirectAccess-Serverfunktionalität nicht unterstützt.

Informationen zum Installieren von DirectAccess finden Sie unter Installieren von DirectAccess.

Hosten Sie keine anderen primären Funktionen auf DirectAccess-Servern. DirectAccess-Server sollten nur für DirectAccess verwendet werden. Je nach Ihren Bereitstellungs- und Skalierbarkeitsanforderungen benötigen Sie möglicherweise mehrere DirectAccess-Server oder müssen die manuelle Konfiguration verwenden, um unterschiedliche DirectAccess-Funktionen auf mehrere Server aufzuteilen. Weitere Informationen (möglicherweise in englischer Sprache) zu Bereitstellungen mit mehreren Servern finden Sie auf der DirectAccess-Startseite in Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598).

Weitere Informationen zu den Anforderungen des DirectAccess-Servers finden Sie unter Prüfliste: Vor dem Konfigurieren von DirectAccess.

Eine AD DS-Domäne

AD DS wird von DirectAccess für Authentifizierungsanmeldeinformationen, für die automatische Registrierung von Computerzertifikaten und für die zentralisierte gruppenrichtlinienbasierte Konfiguration von IPsec, IPv6 und anderen Einstellungen verwendet. DirectAccess-Clients und -Server müssen Mitglieder einer AD DS-Domäne sein.

PKI

Von DirectAccess werden Computerzertifikate verwendet, die von einer AD CS-Zertifizierungsstelle (Active Directory Certificate Services) für die Authentifizierung von IPsec-Sitzungen und IP-HTTPS-basierte Verbindungen ausgestellt werden.

Netzwerkadressenserver

Bei einem Netzwerkadressenserver handelt es sich um einen internen Netzwerkserver, auf dem eine HTTPS-basierte URL (Uniform Resource Locator) gehostet wird. DirectAccess-Clients greifen auf die URL zu, um zu bestimmen, ob sie sich im internen Netzwerk befinden. Der DirectAccess-Server kann ein Netzwerkadressenserver sein. Es wird jedoch ein Webserver mit hoher Verfügbarkeit empfohlen. Der Webserver muss nicht als Netzwerkadressenserver dediziert sein.

IPv6-fähiges internes Netzwerk und IPv6-fähige Anwendungen oder ein NAT-PT-Gerät

DirectAccess-Clients verwenden ausschließlich IPv6, um auf interne Netzwerkressourcen zuzugreifen. Daher können DirectAccess-Clients nur mit internen Netzwerkservern und -ressourcen kommunizieren, die mit IPv6 erreichbar sind. Es gibt drei Möglichkeiten zum Erzielen der IPv6-Konnektivität mit einem internen Netzwerk:

  • Konfigurieren Sie die interne Netzwerkroutingstruktur so, dass das systemeigene IPv6 unterstützt wird. Interne Netzwerkserver und Anwendungen, von denen IPv6 unterstützt wird, sind dann erreichbar. Computer unter Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 sind standardmäßig für die Verwendung von IPv6 konfiguriert.

  • Stellen Sie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) im internen Netzwerk bereit. Mithilfe von ISATAP kann der IPv6-Datenverkehr von IPv6-fähigen internen Netzwerkservern und Anwendungen über das interne reine IPv4-Netzwerk getunnelt werden. Computer unter Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 unterstützen die ISATAP-Hostfunktionalität. ISATAP ermöglicht diesen Computern die Verwendung von IPv6, ohne dass ein systemeigenes IPv6-Routing erforderlich ist. Der DirectAccess-Server konfiguriert sich automatisch selbst als ISATAP-Router, wenn im internen Netzwerk keine IPv6-Konnektivität verfügbar ist.

  • Verwenden Sie ein NAT-PT-Gerät (Network Address Translation-Protocol Translation), um Datenverkehr zwischen den DirectAccess-Clients mit IPv6 und den Servern und Anwendungen zu übertragen, von denen nur IPv4 verwendet werden kann. Mit Windows Server 2008 R2 wird keine NAT-PT-Funktionalität bereitgestellt. NAT-PT-Geräte sind in der Regel bei Schicht 2- und Schicht 3-Switch- und -Routerhändlern erhältlich. Informationen zur NAT-PT-Fähigkeit und -Konfiguration finden Sie in Ihrer Switch- und Routerdokumentation.

DirectAccess-Clientkonnektivitätsmethoden

In der folgenden Tabelle sind mögliche DirectAccess-Clientkonfigurationen und ihre entsprechenden Methoden zum Senden von IPv6-Datenverkehr an den DirectAccess-Server aufgeführt.

ClientkonfigurationBevorzugte Konnektivitätsmethode

Es wurde eine globale IPv6-Adresse zugewiesen.

Globale IPv6-Adresse

Es wurde eine öffentliche IPv4-Adresse zugewiesen (Adressen, die sich nicht in den Bereichen 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 befinden).

IPv6-zu-IPv4: Eine IPv6-Übergangstechnologie, die über das IPv4-Internet IPv6-Konnektivität für Hosts und Websites mit öffentlichen IPv4-Adressen bereitstellt.

Es wurde eine private IPv4-Adresse zugewiesen (Adressen, die sich in den Bereichen 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 befinden).

Teredo: Eine IPv6-Übergangstechnologie, die über das IPv4-Internet IPv6-Konnektivität für Hosts und Websites bereitstellt, denen eine private IPv4-Adresse zugewiesen ist und die sich hinter einem IPv4-NAT-Gerät (Network Address Translation, Netzwerkadressenübersetzung) befinden, von dem die IPv6-zu-IPv4-Routerfunktionalität nicht unterstützt wird.

Der Client kann keine Verbindung mithilfe von IPv6-zu-IPv4 oder Teredo herstellen.

IP-HTTPS: Ein neues Protokoll für Windows 7 und Windows Server 2008 R2, mit dem Hosts hinter einem Webproxyserver oder hinter einer Firewall durch Tunneln von IPv6-Paketen in einer sicheren IPv4-basierten HTTPS-Sitzung (Hypertext Transfer Protocol) Konnektivität herstellen können. IP-HTTPS wird in der Regel nur verwendet, wenn der Client mithilfe der anderen IPv6-Konnektivitätsmethoden keine Verbindung mit dem DirectAccess-Server herstellen kann.

Firewallkonfiguration für DirectAccess-Datenverkehr

Externe Firewalls zwischen dem Internet und dem Umkreisnetzwerk müssen die folgenden Arten von Datenverkehr zum und vom DirectAccess-Server übergeben können:

  • Bei systemeigenem IPv6-Datenverkehr muss ICMPv6-Datenverkehr (Internet Control Message Protocol for IPv6) und ESP-Datenverkehr (IPsec Encapsulating Security Payload) übergeben werden können (IPv6-Protokoll 50).

  • Bei IPv6-zu-IPv4-Datenverkehr muss IPv4-Datenverkehr übergeben werden können, der IPv6-Datenverkehr kapselt (IPv4-Protokoll 41).

  • Bei Teredo-Datenverkehr muss IPv4-Datenverkehr mit dem UDP-Port 3544 (User Datagram-Protokoll) übergeben werden können.

  • Bei IP-HTTPS-Datenverkehr muss IPv4-Datenverkehr mit dem TCP-Port 443 (Transmission Control-Protokoll) übergeben werden können.

Die Ausnahmen für die Internetschnittstelle der externen Firewall weisen beispielsweise folgendes Format auf:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Interne Firewalls zwischen dem Umkreisnetzwerk und dem internen Netzwerk müssen die folgenden Arten von Datenverkehr zum und vom DirectAccess-Server übergeben können:

  • Bei systemeigenem IPv6-Datenverkehr müssen alle Arten von IPv6-Datenverkehr übergeben werden können.

  • Bei ISATAP-Datenverkehr muss IPv4-Datenverkehr übergeben werden können, der IPv6-Datenverkehr kapselt (IPv4-Protokoll 41).

  • Bei IPv4- und NAT-PT-Datenverkehr muss der gesamte TCP-, UDP- und UDP 500 IKE/AuthIP-Datenverkehr (Internet Key Exchange) übergeben werden können.

Wenn Sie die Teredo-basierte Konnektivität zulassen möchten, müssen Sie die folgenden zusätzlichen Regeln der Windows-Firewall mit erweiterter Sicherheit für alle Domänenmitgliedscomputer in der Organisation konfigurieren und bereitstellen:

  • Eingehende ICMPv6-Echoanforderungsmeldungen (erforderlich)

  • Ausgehende ICMPv6-Echoanforderungsmeldungen (empfohlen)

Verwenden Sie hierfür nicht die vordefinierte eingehende Regel Datei- und Druckerfreigabe (Echoanforderung - ICMPv6 eingehend) oder die vordefinierte ausgehende Regel Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 ausgehend). Wenn Sie diese vordefinierten Regeln verwenden, können diese durch Deaktivieren der Datei- und Druckerfreigabe in einer Organisation deaktiviert werden, was zu mangelnder Teredo-basierter Konnektivität führt.

Die einfachste Möglichkeit zum Bereitstellen dieser Windows-Firewalleinstellungen für alle Mitgliedscomputer in der Organisation besteht in der Verwendung eines Standarddomänen-Gruppenrichtlinienobjekts. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Prüfliste: Implementieren eines Basisfirewall-Richtlinienentwurfs (https://go.microsoft.com/fwlink/?LinkId=147688).

Regel 1: Eingehende ICMPv6-Echoanforderungsmeldungen

Erstellen und Aktivieren Sie eine benutzerdefinierte eingehende Regel mit den folgenden Einstellungen:

  • Alle Programme

  • ICMPv6-Protokolltyp mit Echoanforderungsmeldung

  • Beliebige lokale und Remote-IP-Adressen

  • Zulassungsaktion

  • Alle Profile (Domäne, Arbeitsplatz, öffentlich)

Diese Regel ist erforderlich.

Regel 2: Ausgehende ICMPv6-Echoanforderungsmeldungen

Erstellen und Aktivieren Sie eine benutzerdefinierte ausgehende Regel mit den folgenden Einstellungen:

  • Alle Programme

  • ICMPv6-Protokolltyp mit Echoanforderungsmeldung

  • Beliebige lokale und Remote-IP-Adressen

  • Zulassungsaktion

  • Alle Profile (Domäne, Arbeitsplatz, öffentlich)

Diese Regel wird als bewährte Methode empfohlen, wenn Sie die Windows-Firewall nicht zum Blockieren des ausgehenden Datenverkehrs verwenden. In diesem Fall wäre die Regel erforderlich.

Integration mit Smartcards

Sie können festlegen, dass Smartcards verwendet werden sollen, wenn DirectAccess-Clients eine Verbindung mit dem DirectAccess-Server herstellen möchten. Benutzer können sich an ihren Computern anmelden und ohne Smartcard auf das Internet zugreifen. Für den Zugriff auf interne Netzwerkressourcen wird jedoch eine Smartcardauthentifizierung vorgenommen.

Weitere Ressourcen

Informationen (möglicherweise in englischer Sprache) zur DirectAccess-Integration mit Server- und Domänenisolation und Netzwerkzugriffsschutz finden Sie auf der DirectAccess-Startseite in Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598).