In diesem Schritt des DirectAccess-Setup-Assistenten (Schritt 4) konfigurieren Sie Einstellungen für die End-to-End-Authentifizierung und die geschützte Kommunikation mit Anwendungsservern im internen Netzwerk. Erweitern Sie für die Erstkonfiguration der DirectAccess-Anwendungsservereinstellungen über das DirectAccess-Snap-In den Knoten DirectAccess, klicken Sie auf den Knoten Setup, und klicken Sie dann für Schritt 4 auf Konfigurieren. Sie können in Schritt 4 erst auf Konfigurieren klicken, wenn Sie die Konfiguration für Schritt 3 abgeschlossen haben. Wenn Sie die Anwendungsservereinstellungen ändern möchten, klicken Sie in Schritt 4 auf Bearbeiten.
Bestimmen Sie vor dem Ausführen von Schritt 4 Folgendes:
- Möchten Sie, dass von DirectAccess-Clients die End-to-End-Authentifizierung und der Schutz von Daten für bestimmte interne Netzwerkserver ausgeführt wird? Wenn ja, erstellen Sie Sicherheitsgruppen, die die Computerkonten dieser internen Netzwerkserver enthalten.
- Möchten Sie die Kommunikation von DirectAccess-Clients nur auf die Server beschränken, die Mitglieder bestimmter Sicherheitsgruppen sind?
- Verfügen Sie über Netzwerkgeräte, von denen kein IPsec-geschützter Datenverkehr weitergeleitet werden kann?
Wählen Sie auf der Seite Setup des DirectAccess-Anwendungsservers die Option Keine zusätzliche End-to-End-Authentifizierung erforderlich aus, wenn von DirectAccess-Clients keine End-to-End-Authentifizierung mit internen Netzwerkservern ausgeführt werden soll.
Wenn von DirectAccess-Clients eine End-to-End-Authentifizierung für interne Netzwerkserver ausgeführt werden soll, wählen Sie Für ausgewählte Server das Ausführen der End-to-End-Authentifizierung und den Schutz des Datenverkehrs für die angegebenen Server zulassen aus, und klicken Sie dann auf Hinzufügen, um die Sicherheitsgruppen anzugeben, die die internen Netzwerkserver enthalten.
Wenn Sie den Zugriff von DirectAccess-Clients auf die Server beschränken möchten, die Mitglieder der angegebenen Sicherheitsgruppen sind, wählen Sie Zugriff nur für Server in den ausgewählten Sicherheitsgruppen zulassen aus.
Mit dem DirectAccess-Setup-Assistenten kann kein beschränkter Zugriff auf bestimmte Server ohne die End-to-End-Authentifizierung und den optionalen Schutz von Daten konfiguriert werden. Wenn Sie dieses Szenario konfigurieren möchten, müssen Sie die resultierenden Verbindungssicherheitsregeln ändern, die auf die DirectAccess-Clients angewendet werden. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie auf der DirectAccess-Startseite in Microsoft Technet (
Wenn Sie über Netzwerkgeräte verfügen, von denen IPsec-geschützter Datenverkehr verworfen wird oder nicht analysiert werden kann, wählen Sie Sicherheitsregeln für IPsec-Verbindungen auf diesen Servern zum Ausführen der Authentifizierung ohne Schutz des Datenverkehrs konfigurieren aus. Ist diese Einstellung ausgewählt, wird von DirectAccess-Clients und den bestimmten internen Netzwerkservern eine End-to-End-IPsec-Authentifizierung ausgeführt. Es wird aber kein IPsec-Schutz verwendet, um Datenintegrität oder Datenschutz für Pakete bereitzustellen, die zwischen DirectAccess-Clients und den internen Netzwerkservern gesendet werden.