Bereitstellen von Always On VPNDeploy Always On VPN

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016, Windows Server 2012 R2, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

In diesem Abschnitt erfahren Sie mehr über den Workflow für die Bereitstellung von Always on-VPN-Verbindungen für in die Domäne eingebundenen Windows 10-Client Computern.In this section, you learn about the workflow for deploying Always On VPN connections for remote domain-joined Windows 10 client computers. Wenn Sie den bedingten Zugriff konfigurieren möchten, um zu optimieren, wie VPN-Benutzer auf Ihre Ressourcen zugreifen, finden Sie unter bedingter Zugriff für VPN-Konnektivität mithilfe von Azure ADWeitere Informationen.If you want to configure conditional access to fine-tune how VPN users access your resources, see Conditional access for VPN connectivity using Azure AD. Weitere Informationen zum bedingten Zugriff für VPN-Konnektivität mithilfe von Azure AD finden Sie unter bedingter Zugriff in Azure Active Directory.To learn more about conditional access for VPN connectivity using Azure AD, see Conditional access in Azure Active Directory.

Das folgende Diagramm veranschaulicht den Workflow Prozess für die verschiedenen Szenarien beim Bereitstellen Always on VPN:The following diagram illustrates the workflow process for the different scenarios when deploying Always On VPN:

Flussdiagramm des Workflows für die Always on-VPN-BereitstellungFlow chart of the Always On VPN deployment workflow

Wichtig

Für diese Bereitstellung ist es nicht erforderlich, dass auf Ihren Infrastruktur Servern, z. b. Computern, auf denen Active Directory Domain Services, Active Directory Zertifikat Dienste und Netzwerk Richtlinien Server ausgeführt wird, Windows Server 2016 ausgeführt wird.For this deployment, it is not a requirement that your infrastructure servers, such as computers running Active Directory Domain Services, Active Directory Certificate Services, and Network Policy Server, are running Windows Server 2016. Sie können frühere Versionen von Windows Server, wie z. b. Windows Server 2012 R2, für die Infrastruktur Server und für den Server verwenden, auf dem Remote Zugriff ausgeführt wird.You can use earlier versions of Windows Server, such as Windows Server 2012 R2, for the infrastructure servers and for the server that is running Remote Access.

Schritt 1: Planen der Always On VPN-BereitstellungStep 1. Plan the Always On VPN Deployment

In diesem Schritt beginnen Sie mit der Planung und Vorbereitung ihrer Always on-VPN-Bereitstellung.In this step, you start to plan and prepare your Always On VPN deployment. Vor der Installation der Remote Zugriffs-Server Rolle auf dem Computer, den Sie als VPN-Server verwenden möchten.Before you install the Remote Access server role on the computer you're planning on using as a VPN server. Nach der ordnungsgemäßen Planung können Sie Always on VPN bereitstellen und optional den bedingten Zugriff für VPN-Konnektivität mithilfe Azure AD konfigurieren.After proper planning, you can deploy Always On VPN, and optionally configure conditional access for VPN connectivity using Azure AD.

Schritt 2: Konfigurieren der Always On VPN-ServerinfrastrukturStep 2. Configure the Always On VPN Server Infrastructure

In diesem Schritt installieren und konfigurieren Sie die serverseitigen Komponenten, die zur Unterstützung des VPN erforderlich sind.In this step, you install and configure the server-side components necessary to support the VPN. Zu den serverseitigen Komponenten gehört das Konfigurieren der PKI für die Verteilung der Zertifikate, die von Benutzern, dem VPN-Server und dem NPS-Server verwendet werden.The server-side components include configuring PKI to distribute the certificates used by users, the VPN server, and the NPS server. Außerdem konfigurieren Sie RRAS für die Unterstützung von IKEv2-Verbindungen und den NPS-Server zum Ausführen der Autorisierung für die VPN-Verbindungen.You also configure RRAS to support IKEv2 connections and the NPS server to perform authorization for the VPN connections.

Zum Konfigurieren der Serverinfrastruktur müssen Sie die folgenden Aufgaben ausführen:To configure the server infrastructure, you must perform the following tasks:

  • Auf einem mit Active Directory Domain Services konfigurierten Server: Aktivieren Sie die automatische Zertifikat Registrierung in Gruppenrichtlinie für Computer und Benutzer, erstellen Sie die Gruppe "VPN-Benutzer", die Gruppe "VPN-Server" und die Gruppe "NPS-Server", und fügen Sie jeder Gruppe Mitglieder hinzu.On a server configured with Active Directory Domain Services: Enable certificate autoenrollment in Group Policy for both computers and users, create the VPN Users Group, the VPN Servers Group, and the NPS Servers Group, and add members to each group.
  • Auf einer Active Directory Zertifikat Server-Zertifizierungsstelle: Erstellen Sie die Zertifikat Vorlagen Benutzerauthentifizierung, VPN-Server Authentifizierung und NPS-Server Authentifizierung.On an Active Directory Certificate Server CA: Create the User Authentication, VPN Server Authentication, and NPS Server Authentication certificate templates.
  • Auf in die Domäne eingebundenen Windows 10-Clients: Registrieren und Validieren von Benutzer ZertifikatenOn domain-joined Windows 10 clients: Enroll and validate user certificates.

Schritt 3: Konfigurieren des RAS-Servers für Always On VPNStep 3. Configure the Remote Access Server for Always On VPN

In diesem Schritt konfigurieren Sie das RAS-VPN, um IKEv2-VPN-Verbindungen zuzulassen, Verbindungen von anderen VPN-Protokollen zu verweigern und einen statischen IP-Adresspool für die Ausstellung von IP-Adressen für die Verbindung mit autorisierten VPN-Clients zuzuweisen.In this step, you configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for the issuance of IP addresses to connecting authorized VPN clients.

Zum Konfigurieren von RAS müssen Sie die folgenden Aufgaben ausführen:To configure RAS, you must perform the following tasks:

  • Registrieren und Validieren des VPN-ServerzertifikatsEnroll and validate the VPN server certificate
  • Installieren und Konfigurieren des RAS-VPNInstall and configure Remote Access VPN

Schritt 4: Installieren und Konfigurieren des NPS-ServersStep 4. Install and Configure the NPS Server

In diesem Schritt installieren Sie den Netzwerk Richtlinien Server (Network Policy Server, NPS) mithilfe von Windows PowerShell oder dem Server-Manager Assistenten zum Hinzufügen von Rollen und Features.In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. Außerdem können Sie NPS so konfigurieren, dass alle Authentifizierungs-, Autorisierungs-und Buchhaltungsaufgaben für Verbindungsanforderungen verarbeitet werden, die vom VPN-Server empfangen werden.You also configure NPS to handle all authentication, authorization, and accounting duties for connection request that it receives from the VPN server.

Zum Konfigurieren von NPS müssen Sie die folgenden Aufgaben ausführen:To configure NPS, you must perform the following tasks:

  • Registrieren des NPS-Servers in Active DirectoryRegister the NPS Server in Active Directory
  • Konfigurieren der RADIUS-Kontoführung für Ihren NPS-ServerConfigure RADIUS Accounting for your NPS Server
  • Hinzufügen des VPN-Servers als RADIUS-Client in NPSAdd the VPN Server as a RADIUS Client in NPS
  • Konfigurieren der Netzwerk Richtlinie in NPSConfigure Network Policy in NPS
  • Automatische Registrierung des NPS-Server ZertifikatsAutoenroll the NPS Server certificate

Schritt 5: Konfigurieren von DNS-und Firewalleinstellungen für Always on-VPNStep 5. Configure DNS and Firewall Settings for Always On VPN

In diesem Schritt konfigurieren Sie DNS-und Firewalleinstellungen.In this step, you configure DNS and Firewall settings. Wenn Remote-VPN-Clients eine Verbindung herstellen, verwenden Sie die gleichen DNS-Server, die von den internen Clients verwendet werden. auf diese Weise können Namen auf die gleiche Weise wie die übrigen internen Arbeitsstationen aufgelöst werden.When remote VPN clients connect, they use the same DNS servers that your internal clients use, which allows them to resolve names in the same manner as the rest of your internal workstations.

Schritt 6: Konfigurieren von Always On VPN-Verbindungen für den Windows 10-ClientStep 6. Configure Windows 10 Client Always On VPN Connections

In diesem Schritt konfigurieren Sie die Windows 10-Client Computer für die Kommunikation mit dieser Infrastruktur über eine VPN-Verbindung.In this step, you configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection. Sie können verschiedene Technologien zum Konfigurieren von Windows 10-VPN-Clients verwenden, einschließlich Windows PowerShell, Microsoft Endpoint Configuration Manager und InTune.You can use several technologies to configure Windows 10 VPN clients, including Windows PowerShell, Microsoft Endpoint Configuration Manager, and Intune. Alle drei erfordern ein XML-VPN-Profil, um die entsprechenden VPN-Einstellungen zu konfigurieren.All three require an XML VPN profile to configure the appropriate VPN settings.

Schritt 7: Optionale Konfigurieren des bedingten Zugriffs für VPN-KonnektivitätStep 7. (Optional) Configure conditional access for VPN connectivity

In diesem optionalen Schritt können Sie optimieren, wie autorisierte VPN-Benutzer auf Ihre Ressourcen zugreifen.In this optional step, you can fine-tune how authorized VPN users access your resources. Mit Azure AD bedingten Zugriff für VPN-Konnektivität können Sie die VPN-Verbindungen schützen.With Azure AD conditional access for VPN connectivity, you can help protect the VPN connections. Der bedingte Zugriff ist eine Richtlinien basierte Evaluierungs-Engine, mit der Sie Zugriffsregeln für alle Azure AD verbundenen Anwendungen erstellen können.Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure AD connected application. Weitere Informationen finden Sie unter Azure Active Directory (Azure AD) bedingtem Zugriff.For more information, see Azure Active Directory (Azure AD) conditional access.

Nächster SchrittNext step

Schritt 1: Planen Sie die Always on-VPN-Bereitstellung: vor der Installation der RAS-Server Rolle auf dem Computer, den Sie als VPN-Server verwenden möchten.Step 1. Plan the Always On VPN deployment: Before you install the Remote Access server role on the computer you're planning on using as a VPN server. Nach der ordnungsgemäßen Planung können Sie Always on VPN bereitstellen und optional den bedingten Zugriff für VPN-Konnektivität mithilfe Azure AD konfigurieren.After proper planning, you can deploy Always On VPN, and optionally configure conditional access for VPN connectivity using Azure AD.