In diesem Schritt des DirectAccess-Setup-Assistenten (Schritt 3) konfigurieren Sie die Einstellungen für Infrastrukturserver. Erweitern Sie für die Erstkonfiguration der DirectAccess-Servereinstellungen im DirectAccess-Snap-In den Knoten DirectAccess, klicken Sie auf den Knoten Setup, und klicken Sie dann für Schritt 3 auf Konfigurieren. Sie können in Schritt 3 erst auf Konfigurieren klicken, wenn Sie die Konfiguration für Schritt 2 abgeschlossen haben. Wenn Sie die Infrastrukturservereinstellungen ändern möchten, klicken Sie in Schritt 3 auf Bearbeiten.

Bestimmen Sie vor dem Ausführen von Schritt 3 Folgendes:

  • Bestimmen Sie, ob ein Webserver mit hoher Verfügbarkeit als DirectAccess-Netzwerkadressenserver fungieren kann und ob eine HTTPS-basierte URL (Uniform Resource Locator) auf diesem Server vorhanden ist. Dieser Schritt ist optional, wird jedoch dringend empfohlen.

  • Bestimmen Sie die DNS-Namespaces (Domain Name System), die internen Netzwerkressourcen (z. B. contoso.com) entsprechen.

  • Bestimmen Sie die IPv4- und IPv6-Adressen der internen DNS-Netzwerkserver, die auf Namensabfragen für DirectAccess-Clients antworten sollen.

  • Bestimmen Sie die Hostnamen, IPv4-Adressen oder IPv6-Adressen der Verwaltungsserver des internen Netzwerks, von denen die Kommunikation mit DirectAccess-Clients initiiert wird. Verwaltungsserver können Server umfassen, die Updates verteilen oder Software- oder Hardwareinventuren ausführen.

Wenn Sie in Schritt 3 auf Konfigurieren oder Bearbeiten klicken, werden im Assistenten Seiten angezeigt, auf denen Sie die Netzwerkadressenserver, DNS-Server und Domänencontroller sowie die Verwaltungsserver konfigurieren können.

Standort

Auf der Seite Standort geben Sie den Netzwerkadressenserver an, bei dem es sich um einen Server handelt, der von einem DirectAccess-Client verwendet wird, um zu bestimmen, ob er sich im internen Netzwerk oder im Internet befindet. Wenn der DirectAccess-Client den Netzwerkadressenserver erreichen und auf eine angegebene Webseite zugreifen kann, ermittelt der DirectAccess-Client, dass er sich im internen Netzwerk befindet und die DirectAccess-Funktionalität nicht verwendet wird.

Sie können angeben, ob der DirectAccess-Server oder ein anderer Server im internen Netzwerk als Netzwerkadressenserver fungieren soll.

  • Wenn der DirectAccess-Server nicht als Netzwerkadressenserver fungiert (empfohlen), müssen Sie eine HTTPS-basierte URL einer Webseite auf diesem Server eingeben.

  • Wenn der DirectAccess-Server als Netzwerkadressenserver fungiert, müssen Sie das Zertifikat angeben, das zum Authentifizieren von HTTPS-basierten Verbindungen zwischen DirectAccess-Clients und dem DirectAccess-Server verwendet wird.

In beiden Fällen muss der Netzwerkadressenserver eine hohe Verfügbarkeit aufweisen, und er stellt ein wichtiges Element der DirectAccess-Infrastruktur dar. Wenn der Netzwerkadressenserver nicht im internen Netzwerk erreicht werden kann, wird von DirectAccess-Clients die DirectAccess-Funktionalität aktiviert, während sie sich im internen Netzwerk befinden. Dadurch kann ihre Fähigkeit zum Erreichen interner Netzwerkressourcen beeinträchtigt werden.

DNS-Server und Domänencontroller

Auf der Seite DNS-Server und Domänencontroller konfigurieren Sie die Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) und das Verhalten für die DirectAccess-Namensauflösung.

Richtlinientabelle für die Namensauflösung

Bei der Richtlinientabelle für die Namensauflösung handelt es sich um eine Tabelle, mit der DirectAccess-Clients bestimmen, wohin ihre DNS-Namensanforderungen gesendet werden sollen. Die Einträge bestehen aus einem DNS-Domänennamen, der den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines Computers (z. B. emailsrv21.europe.contoso.com) oder einen Teil des DNS-Namespaces (z. B. contoso.com) darstellen kann, und einer Gruppe von Adressen für DNS-Server, die den FQDN oder Namespace bereitstellen. Wenn keine DNS-Serveradressen angegeben wurden, handelt es sich bei dem Eintrag um einen Ausnahmeeintrag. Wenn ein DNS-Name mit einem Eintrag in der Richtlinientabelle für die Namensauflösung übereinstimmt, die die Adressen von DNS-Servern enthält, sendet der DirectAccess-Client die Namensabfrage an die angegebenen internen DNS-Netzwerkserver. Wenn ein DNS-Name mit einem Eintrag in der Richtlinientabelle für die Namensauflösung übereinstimmt, die keine Adressen von DNS-Servern enthält, oder mit keinem Eintrag in der Richtlinientabelle für die Namensauflösung übereinstimmt, sendet der DirectAccess-Client die Namensabfrage an einen mit dem Internet verbundenen DNS-Server.

Die Richtlinientabelle für die Namensauflösung enthält möglicherweise Einträge, die auf dem DNS-Suffix und der DNS-Serverkonfiguration des DirectAccess-Servers basieren. Die Richtlinientabelle für die Namensauflösung kann auch Ausnahmeeinträge enthalten, die dem Netzwerkadressenserver entsprechen. Dieser Eintrag wird hinzugefügt, damit DirectAccess-Clients, die sich im Internet befinden, nie den Namen des Netzwerkadressenservers mithilfe eines internen DNS-Netzwerkservers auflösen.

Wenn Sie weitere Einträge hinzufügen möchten, klicken Sie mit der rechten Maustaste auf eine leere Zeile, und klicken Sie dann auf Neu. Sie können auch auf eine leere Zeile doppelklicken. Geben Sie im Dialogfeld Informationen zum Namespacezugriff das DNS-Suffix ein, und geben Sie die Gruppe von IPv4- oder IPv6-Adressen für die internen DNS-Netzwerkserver ein, von denen die mit dem DNS-Suffix endenden Namen aufgelöst werden. Nachdem Sie die IPv4- oder IPv6-Adressen angegeben haben, klicken Sie auf Überprüfen, um zu testen, ob die DNS-Server ausgeführt werden und über den DirectAccess-Server erreichbar sind.

Wenn Sie einen Eintrag in der Richtlinientabelle für die Namensauflösung bearbeiten möchten, klicken Sie mit der rechten Maustaste auf den Eintrag, und klicken Sie dann auf Bearbeiten. Sie können auch auf den vorhandenen Eintrag doppelklicken. Wenn Sie einen Eintrag aus der Richtlinientabelle für die Namensauflösung löschen möchten, klicken Sie mit der rechten Maustaste auf den Eintrag, und klicken Sie dann auf Löschen.

Namensauflösungsverhalten

Auf der Seite DNS-Server und Domänencontroller können Sie auch das Verhalten für die lokale Namensauflösung von DirectAccess-Clients angeben. Bei der lokalen Namensauflösung werden Namensauflösungstechniken verwendet, die das Überprüfen von Einträgen im DNS-Auflösungscache und das Abfragen von internen DNS-Netzwerkservern nicht einschließen. Diese Techniken umfassen die Verwendung mit dem Internet verbundener DNS-Server und das Abfragen des lokalen Subnetzes.

Sie haben drei Möglichkeiten:

  • Lokale Namensauflösung nur verwenden, wenn von den internen DNS-Servern bestimmt wurde, dass der Name nicht vorhanden ist

    Dies ist die sicherste Option, da der DirectAccess-Client nur für Namen, die nicht aufgelöst werden können, DNS-Abfragen an mit dem Internet verbundene Server sendet.

  • Lokale Namensauflösung verwenden, wenn von den internen DNS-Servern bestimmt wurde, dass der Name nicht vorhanden ist, oder wenn die internen DNS-Netzwerkserver nicht erreichbar sind und sich der DirectAccess-Clientcomputer in einem privaten Netzwerk befindet.

    Diese Option wird empfohlen, da mit ihr die Auflösung von Namen in einem separaten internen Netzwerk ermöglicht wird.

  • Lokale Namensauflösung verwenden, wenn beim Auflösen des Namens mithilfe interner DNS-Netzwerkserver ein Fehler auftritt

    Dies ist die am wenigsten sichere Option, da die Namen interner Netzwerkserver, die vom DirectAccess-Client aufgelöst werden sollen, an mit dem Internet verbundene DNS-Server gesendet werden können. Dadurch können Lauscher zwischen dem DirectAccess-Client und dem mit dem Internet verbundenen DNS-Server die Namen von internen Netzwerkservern bestimmen.

Verwaltung

Auf der Seite Verwaltung konfigurieren Sie die Liste der IPv4- oder IPv6-Adressen von internen Netzwerkservern, von denen die Kommunikation mit DirectAccess-Clients initiiert wird. Bei diesen Servern handelt es sich in der Regel um Verwaltungsserver, die DirectAccess-Clientcomputer kontaktieren, um Verwaltungsfunktionen wie Software- oder Hardwareinventurbewertungen oder das Installieren von Updates auszuführen. Es können von den auf der Seite Verwaltung angegebenen Verwaltungsservern nur die DirectAccess-Clients kontaktiert werden, die Mitglieder der in Schritt 1 des DirectAccess-Setup-Assistenten angegebenen Sicherheitsgruppen sind.

Wenn Sie einen Verwaltungsserver hinzufügen möchten, klicken Sie mit der rechten Maustaste auf eine leere Zeile, und klicken Sie dann auf Neu. Sie können auch auf eine leere Zeile doppelklicken. Im Dialogfeld IPv4-Adresse oder IPv6-Adresse/Präfix können Sie eine IPv4- oder IPv6-Adresse aus dem Hostnamen des Servers abrufen oder diese manuell eingeben:

  • Wenn Sie eine IPv4- oder IPv6-Adresse aus dem Hostnamen abrufen möchten, wählen Sie Hostname des speziellen Computers aus, und geben Sie den Namen des Servers ein. Klicken Sie auf Namen überprüfen, um den Namen in seine registrierten Adressen aufzulösen. Klicken Sie auf eine der Adressen, und klicken Sie dann auf OK.

  • Wenn Sie eine IPv4-Adresse manuell angeben möchten, wählen Sie im Dialogfeld IPv4-Adresse die Option IPv4-Adresse aus, und geben Sie die Adresse ein. Klicken Sie anschließend auf OK.

  • Wenn Sie eine IPv6-Adresse oder ein Präfix manuell angeben möchten, wählen Sie im Dialogfeld IPv6-Adresse/Präfix die Option IPv6-Adresse oder IPv6-Präfix aus, und geben Sie die Adresse oder das Präfix ein. Klicken Sie anschließend auf OK.

Wenn Sie eine IPv4- oder IPv6-Adresse oder ein Präfix in der Liste bearbeiten möchten, klicken Sie mit der rechten Maustaste auf den Eintrag, und klicken Sie dann auf Bearbeiten. Wenn Sie einen Eintrag löschen möchten, klicken Sie mit der rechten Maustaste auf den Eintrag, und klicken Sie dann auf Löschen.

Weitere Verweise