Bereitstellen von Always On VPN

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

In diesem Abschnitt erfahren Sie mehr über den Workflow für die Bereitstellung Always On VPN-Verbindungen für Windows 10 Clientcomputern mit Remotedomäne. Wenn Sie bedingten Zugriff konfigurieren möchten, um zu optimieren, wie VPN-Benutzer auf Ihre Ressourcen zugreifen, lesen Sie den bedingten Zugriff auf VPN-Konnektivität mithilfe von Azure AD. Weitere Informationen zum bedingten Zugriff für vpn-Konnektivität mithilfe von Azure AD finden Sie unter "Bedingter Zugriff" in Azure Active Directory.

Das folgende Diagramm veranschaulicht den Workflowprozess für die verschiedenen Szenarien beim Bereitstellen Always On VPN:

Flussdiagramm des Always On VPN-Bereitstellungsworkflows

Wichtig

Für diese Bereitstellung ist es nicht erforderlich, dass Ihre Infrastrukturserver, z. B. Computer, auf denen Active Directory Domain Services, Active Directory-Zertifikatdienste und Netzwerkrichtlinienserver ausgeführt werden, Windows Server 2016 ausgeführt werden. Sie können frühere Versionen von Windows Server verwenden, z. B. Windows Server 2012 R2, für die Infrastrukturserver und für den Server, auf dem Remotezugriff ausgeführt wird.

Schritt 1: Planen der Always On VPN-Bereitstellung

In diesem Schritt planen und vorbereiten Sie Ihre Always On VPN-Bereitstellung. Bevor Sie beginnen, müssen Sie die Remotezugriffsserverrolle auf dem Computer installieren, den Sie als VPN-Server verwenden möchten. Nach der ordnungsgemäßen Planung können Sie Always On VPN bereitstellen und optional bedingten Zugriff für vpn-Konnektivität mithilfe von Azure AD konfigurieren.

Schritt 2: Konfigurieren der Always On VPN-Serverinfrastruktur

In diesem Schritt installieren und konfigurieren Sie die serverseitigen Komponenten, die zur Unterstützung des VPN erforderlich sind. Die serverseitigen Komponenten umfassen das Konfigurieren von PKI zum Verteilen der von Benutzern, dem VPN-Server und dem NPS-Server verwendeten Zertifikate. Sie konfigurieren auch RRAS, um IKEv2-Verbindungen und den NPS-Server zu unterstützen, um die Autorisierung für die VPN-Verbindungen auszuführen.

Um die Serverinfrastruktur zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  • Auf einem Server, der mit Active Directory Domain Services konfiguriert ist: Aktivieren Sie die automatische Registrierung von Zertifikaten in Gruppenrichtlinie für Computer und Benutzer, erstellen Sie die VPN-Benutzergruppe, die VPN-Servergruppe und die NPS-Servergruppe, und fügen Sie jeder Gruppe Mitglieder hinzu.
  • Auf einer Active Directory-Zertifikatserver-Zertifizierungsstelle: Erstellen Sie die Vorlagen "Benutzerauthentifizierung", "VPN-Serverauthentifizierung" und "NPS-Serverauthentifizierungszertifikate".
  • Registrieren und überprüfen Sie benutzerzertifikate auf domäneninternen Windows 10 Clients.

Schritt 3: Konfigurieren des RAS-Servers für Always On VPN

In diesem Schritt konfigurieren Sie Remotezugriffs-VPN so, dass IKEv2 VPN-Verbindungen zugelassen werden, Verbindungen von anderen VPN-Protokollen verweigern und einen statischen IP-Adresspool für die Ausstellung von IP-Adressen zum Herstellen autorisierter VPN-Clients zuweisen.

Zum Konfigurieren von RAS müssen Sie die folgenden Aufgaben ausführen:

  • Registrieren und Überprüfen des VPN-Serverzertifikats
  • Installieren und Konfigurieren von Remotezugriffs-VPN

Schritt 4. Installieren und Konfigurieren des NPS-Servers

In diesem Schritt installieren Sie Netzwerkrichtlinienserver (NPS), indem Sie entweder Windows PowerShell oder den Assistenten zum Hinzufügen von Rollen und Features Server-Manager verwenden. Sie konfigurieren NPS auch so, dass alle Authentifizierungs-, Autorisierungs- und Buchhaltungsaufgaben für Verbindungsanforderung verarbeitet werden, die sie vom VPN-Server empfängt.

Um NPS zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  • Registrieren des NPS-Servers in Active Directory
  • Konfigurieren der RADIUS-Buchhaltung für Ihren NPS-Server
  • Hinzufügen des VPN-Servers als RADIUS-Client in NPS
  • Konfigurieren der Netzwerkrichtlinie in NPS
  • Automatische Registrierung des NPS-Serverzertifikats

Schritt 5: Konfigurieren von DNS- und Firewalleinstellungen für Always On VPN

In diesem Schritt konfigurieren Sie DNS- und Firewalleinstellungen. Wenn Remote-VPN-Clients eine Verbindung herstellen, verwenden sie dieselben DNS-Server, die Ihre internen Clients verwenden, mit denen sie Namen auf dieselbe Weise auflösen können wie die restlichen internen Arbeitsstationen.

Schritt 6: Konfigurieren von Always On VPN-Verbindungen für den Windows 10-Client

In diesem Schritt konfigurieren Sie die Windows 10 Clientcomputer so, dass sie mit dieser Infrastruktur mit einer VPN-Verbindung kommunizieren. Sie können mehrere Technologien verwenden, um Windows 10 VPN-Clients zu konfigurieren, einschließlich Windows PowerShell, Microsoft Endpoint Configuration Manager und Intune. Alle drei erfordern ein XML-VPN-Profil, um die entsprechenden VPN-Einstellungen zu konfigurieren.

Schritt 7. (Optional) Konfigurieren des bedingten Zugriffs für die VPN-Konnektivität

In diesem optionalen Schritt können Sie optimieren, wie autorisierte VPN-Benutzer auf Ihre Ressourcen zugreifen. Mit azure AD-bedingtem Zugriff für vpn-Konnektivität können Sie die VPN-Verbindungen schützen. Bedingter Zugriff ist ein richtlinienbasiertes Auswertungsmodul, mit dem Sie Zugriffsregeln für jede verbundene Azure AD-Anwendung erstellen können. Weitere Informationen finden Sie unter bedingten Zugriff auf Azure Active Directory (Azure AD).

Nächster Schritt

Planen Sie die Always On VPN-Bereitstellung: Dieser Abschnitt führt Sie zu den nächsten Schritten zum Vorbereiten Ihres Remotezugriffsservers.