Always On VPN-Bereitstellung für Windows Server und Windows 10

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Always On VPN bietet eine einzelne, kohäsive Lösung für den Remotezugriff und unterstützt in die Domäne, nicht in eine Domäne (Arbeitsgruppe) oder Azure AD-fähige Geräte, sogar geräteeigene Geräte. Mit Always On-VPN muss der Verbindungstyp nicht ausschließlich Benutzer oder Gerät, sondern kann eine Kombination aus beidem sein. Sie könnten z.B. die Geräteauthentifizierung für die Remotegeräteverwaltung aktivieren und dann die Benutzerauthentifizierung für Konnektivität mit internen Unternehmenssites und -diensten.

Voraussetzungen

Wahrscheinlich haben Sie die Technologien bereitgestellt, die Sie zum Bereitstellen eines VPN Always On können. Ab gegensatz zu Ihren DC/DNS-Servern erfordert die Always On-VPN-Bereitstellung einen NPS-Server (RADIUS), einen Zertifizierungsstellenserver und einen Remotezugriffsserver (Routing/VPN). Nachdem die Infrastruktur eingerichtet wurde, müssen Sie Clients registrieren und die Clients dann über mehrere Netzwerkänderungen sicher mit Ihrer lokalen Umgebung verbinden.

  • Active Directory-Domäneninfrastruktur, einschließlich eines oder Domain Name System (DNS)-Server. Sowohl interne als auch externe DOMAIN NAME SYSTEM-Zonen (DNS) sind erforderlich. Dabei wird davon ausgegangen, dass die interne Zone eine delegierte Unterdomäne der externen Zone ist (z. B. corp.contoso.com contoso.com).
  • Active Directory-basierte Public Key-Infrastruktur (PKI) und Active Directory-Zertifikatdienste (AD CS).
  • Server, entweder virtuell oder physisch, vorhanden oder neu, zum Installieren des Netzwerkrichtlinienservers (NETWORK Policy Server, NPS). Wenn Sie bereits über NPS-Server in Ihrem Netzwerk verfügen, können Sie eine vorhandene NPS-Serverkonfiguration ändern, anstatt einen neuen Server hinzuzufügen.
  • Remotezugriff als RAS-Gateway-VPN-Server mit einer kleinen Teilmenge von Features, die IKEv2-VPN-Verbindungen und LAN-Routing unterstützen.
  • Umkreisnetzwerk, das zwei Firewalls umfasst. Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der für die ordnungsgemäße Funktionsweise der VPN- und RADIUS-Kommunikation erforderlich ist. Weitere Informationen finden Sie unter Always On VPN Technology Overview (Übersicht über die VPN-Technologie).
  • Physischer Server oder virtueller Computer (VM) in Ihrem Umkreisnetzwerk mit zwei physischen Ethernet-Netzwerkadaptern, um den Remotezugriff als RAS-Gateway-VPN-Server zu installieren. Virtuelle Computer erfordern ein virtuelles LAN (VLAN) für den Host.
  • Mindestens erforderlich ist die Mitgliedschaft in Administratoren oder einer entsprechenden Gruppe.
  • Lesen Sie den Planungsabschnitt dieses Handbuchs, um sicherzustellen, dass Sie für diese Bereitstellung vorbereitet sind, bevor Sie die Bereitstellung ausführen.
  • Sehen Sie sich die Entwurfs- und Bereitstellungshandbücher für jede der verwendeten Technologien an. Mithilfe dieser Leitfäden können Sie bestimmen, ob die Bereitstellungsszenarien die Dienste und Konfigurationen bereitstellen, die Sie für das Netzwerk Ihrer Organisation benötigen. Weitere Informationen finden Sie unter Always On VPN Technology Overview (Übersicht über die VPN-Technologie).
  • Verwaltungsplattform Ihrer Wahl für die Bereitstellung der Always On VPN-Konfiguration, da der CSP nicht anbieterspezifisch ist.

Wichtig

Für diese Bereitstellung ist es nicht erforderlich, dass ihre Infrastrukturserver, z. B. Computer mit Active Directory Domain Services, Active Directory-Zertifikatdienste und Netzwerkrichtlinienserver, Windows Server 2016. Sie können frühere Versionen von Windows Server, z. B. Windows Server 2012 R2, für die Infrastrukturserver und für den Server verwenden, auf dem Remotezugriff ausgeführt wird.

Versuchen Sie nicht, den Remotezugriff auf einem virtuellen Computer (VM) in Microsoft Azure. Die Verwendung des Remotezugriffs in Microsoft Azure wird nicht unterstützt, einschließlich Remotezugriffs-VPN und DirectAccess. Weitere Informationen finden Sie unter Microsoft server software support for Microsoft Azure virtual machines.

Informationen zu dieser Bereitstellung

Die bereitgestellten Anweisungen gehen Sie durch die Bereitstellung des Remotezugriffs als VPN RAS-Gateway mit einem einzelnen Mandanten für Point-to-Site-VPN-Verbindungen mithilfe eines der unten genannten Szenarien für Remoteclientcomputer, auf denen Windows 10. Außerdem finden Sie Anweisungen zum Ändern einiger Ihrer vorhandenen Infrastruktur für die Bereitstellung. Außerdem finden Sie in dieser Bereitstellung Links, mit deren Hilfe Sie mehr über den VPN-Verbindungsprozess, die zu konfigurierenden Server, den ProfileXML VPNv2-CSP-Knoten und andere Technologien zum Bereitstellen Always On VPN erfahren können.

Always On VPN-Bereitstellungsszenarien:

  1. Nur Always On VPN bereitstellen.
  2. Bereitstellen Always On VPN mit bedingtem Zugriff für VPN-Konnektivität mit Azure AD.

Weitere Informationen und den Workflow der vorgestellten Szenarien finden Sie unter Bereitstellen Always On VPN.

Was in dieser Bereitstellung nicht bereitgestellt wird

Diese Bereitstellung enthält keine Anweisungen für:

  • Active Directory Domain Services (AD DS)
  • Active Directory-Zertifikatdienste (AD CS) und eine Public Key-Infrastruktur (PKI).
  • Dynamic Host Configuration Protocol (DHCP).
  • Netzwerkhardware, z. B. Ethernet-Verkabelung, Firewalls, Switches und Hubs.
  • Zusätzliche Netzwerkressourcen, z. B. Anwendungs- und Dateiserver, auf die Remotebenutzer über eine Always On VPN-Verbindung zugreifen können.
  • Internetkonnektivität oder bedingter Zugriff für Internetkonnektivität mit Azure AD. Weitere Informationen finden Sie unter Bedingter Zugriff in Azure Active Directory.

Nächste Schritte