Schritt 1: Planen der Always On VPN-Bereitstellung

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

In diesem Schritt beginnen Sie mit der Planung und Vorbereitung Ihrer Always On VPN-Bereitstellung. Bevor Sie die Ras-Serverrolle auf dem Computer installieren, den Sie als VPN-Server verwenden möchten, führen Sie die folgenden Aufgaben aus. Nach der richtigen Planung können Sie Always On VPN bereitstellen und optional den bedingten Zugriff für VPN-Konnektivität mithilfe Azure AD.

Überlegungen zur Standardkonfiguration

Always On VPN verfügt über viele Konfigurationsoptionen. Sie wählen jedoch Ihre VPN-Konfiguration aus, enthalten jedoch die folgenden Informationen:

  • Verbindungstyp. Die Auswahl des Verbindungsprotokolls ist wichtig und geht letztendlich hand in Hand mit der Art der Authentifizierung, die Sie verwenden werden. Weitere Informationen zu den verfügbaren Tunnelprotokollen finden Sie unter VPN-Verbindungstypen.

  • Routing. In diesem Kontext bestimmen Routingregeln, ob Benutzer andere Netzwerkrouten verwenden können, während sie mit dem VPN verbunden sind.

    • Split Tunneling ermöglicht den gleichzeitigen Zugriff auf andere Netzwerke, z. B. das Internet.

    • Das Erzwingen von Tunneln erfordert, dass der ganze Datenverkehr ausschließlich über das VPN erfolgt und keinen gleichzeitigen Zugriff auf andere Netzwerke zu lässt.

  • Auslösen. Das Auslösen bestimmt, wie und wann eine VPN-Verbindung initiiert wird (z. B. wenn eine App geöffnet wird, wenn das Gerät eingeschaltet wird, manuell vom Benutzer). Triggeroptionen finden Sie unter Den automatisch ausgelösten VPN-Profiloptionen.

  • Geräte- oder Benutzerauthentifizierung. Always On VPN verwendet Gerätezertifikate und eine vom Gerät initiierte Verbindung über ein Feature namens Device Tunnel. Diese Verbindung kann automatisch initiiert werden und ist persistent und gleicht einer DirectAccess-Infrastrukturtunnelverbindung.

Tipp

Wenn Sie von DirectAccess zu Always On VPN migrieren, sollten Sie mit Konfigurationsoptionen beginnen, die mit ihren Möglichkeiten vergleichbar sind, und dann von dort aus erweitern.

Durch die Verwendung von Benutzerzertifikaten stellt der Always On-VPN-Client automatisch eine Verbindung auf Benutzerebene (nach benutzerseitiger Anmeldung) statt auf Geräteebene (vor der Benutzer-Anmeldung) sicher. Die Benutzererfahrung ist weiterhin nahtlos, unterstützt jedoch erweiterte Authentifizierungsmechanismen wie Windows Hello Business.

Vorbereiten des RAS-Servers

Führen Sie die folgenden Schritte auf dem Computer aus, der als VPN-Server verwendet wird:

  • Stellen Sie sicher, dass die Software- und Hardwarekonfiguration des VPN-Servers richtig ist. Installieren Windows Server 2016 auf dem Computer, den Sie als RAS-VPN-Server verwenden möchten. Auf diesem Server müssen zwei physische Netzwerkadapter installiert sein: einer für die Verbindung mit dem externen Umkreisnetzwerk und einer für die Verbindung mit dem internen Umkreisnetzwerk.

  • Ermitteln Sie, welcher Netzwerkadapter eine Verbindung mit dem Internet herstellt und welcher Netzwerkadapter eine Verbindung mit Ihrem privaten Netzwerk herstellt. Konfigurieren Sie den Netzwerkadapter mit Internetverbindung mit einer öffentlichen IP-Adresse, während der Adapter mit Intranetansprache eine IP-Adresse aus dem lokalen Netzwerk verwenden kann.

    Tipp

    Wenn Sie keine öffentliche IP-Adresse in Ihrem Umkreisnetzwerk verwenden möchten, können Sie die Edgefirewall mit einer öffentlichen IP-Adresse konfigurieren und dann die Firewall so konfigurieren, dass VPN-Verbindungsanforderungen an den VPN-Server weitergeleitet werden.

  • Verbinden sie den VPN-Server mit dem Netzwerk an. Installieren Sie den VPN-Server in einem Umkreisnetzwerk zwischen der Edgefirewall und der Umkreisfirewall.

Planen von Authentifizierungsmethoden

IKEv2 ist ein VPN-Tunnelingprotokoll, das in Internet Engineering Task Force Request for Comments 7296 beschrieben wird. Der Hauptvorteil von IKEv2 ist, dass Unterbrechungen der zugrunde liegenden Netzwerkverbindung toleriert werden. Wenn z. B. ein vorübergehender Verbindungsverlust oder ein Benutzer einen Clientcomputer aus einem Netzwerk in ein anderes verschiebt, stellt IKEv2 bei der Wiederherstellung der Netzwerkverbindung die VPN-Verbindung automatisch wieder auf – ohne Benutzereingriff.

Tipp

Sie können den RAS-VPN-Server für die Unterstützung von IKEv2-Verbindungen konfigurieren und gleichzeitig nicht verwendete Protokolle deaktivieren, wodurch der Sicherheitsbedarf des Servers reduziert wird.

Planen von IP-Adressen für Remoteclients

Sie können den VPN-Server konfigurieren, um VPN-Clients Adressen aus einem statischen Adresspool, den Sie konfigurieren, oder IP-Adressen von einem DHCP-Server zu zuweisen.

Vorbereiten der Umgebung

  • Stellen Sie sicher, dass Sie über Berechtigungen zum Konfigurieren Ihrer externen Firewall verfügen und über eine gültige öffentliche IP-Adresse verfügen. Öffnen Sie Ports in der Firewall, um IKEv2-VPN-Verbindungen zu unterstützen. Sie benötigen auch eine öffentliche IP-Adresse, um Verbindungen von externen Clients zu akzeptieren.

  • Wählen Sie einen Bereich statischer IP-Adressen für VPN-Clients aus. Bestimmen Sie die maximale Anzahl gleichzeitiger VPN-Clients, die Sie unterstützen möchten. Planen Sie außerdem einen Bereich von statischen IP-Adressen im internen Umkreisnetzwerk, um diese Anforderung zu erfüllen, nämlich den statischen Adresspool. Wenn Sie DHCP zur Bereitstellung von IP-Adressen in der internen DMZ verwenden, müssen Sie möglicherweise auch einen Ausschluss für diese statischen IP-Adressen in DHCP erstellen.

  • Stellen Sie sicher, dass Sie Ihre öffentliche DNS-Zone bearbeiten können. Fügen Sie Ihrer öffentlichen DNS-Domäne DNS-Einträge hinzu, um die VPN-Infrastruktur zu unterstützen.

  • Stellen Sie sicher, dass alle VPN-Benutzer über Benutzerkonten in Active Directory-Benutzer (AD DS) verfügen. Bevor Benutzer über VPN-Verbindungen eine Verbindung mit dem Netzwerk herstellen können, müssen sie über Benutzerkonten in AD DS.

Vorbereiten von Routing und Firewall

Installieren Sie den VPN-Server innerhalb des Umkreisnetzwerks, das das Umkreisnetzwerk in interne und externe Umkreisnetzwerke partitioniert. Abhängig von Ihrer Netzwerkumgebung müssen Sie möglicherweise mehrere Routingänderungen nehmen.

  • (Optional) Konfigurieren Sie die Portweiterleitung. Ihre Edgefirewall muss die Ports und Protokoll-IDs öffnen, die einem IKEv2-VPN zugeordnet sind, und sie an den VPN-Server weiter senden. In den meisten Umgebungen müssen Sie dazu die Portweiterleitung konfigurieren. Leiten Sie die UDP-Ports 500 und 4500 an den VPN-Server um.

  • Konfigurieren Sie das Routing so, dass die DNS-Server und VPN-Server das Internet erreichen können. Bei dieser Bereitstellung werden IKEv2 und Network Address Translation (NAT) verwendet. Stellen Sie sicher, dass der VPN-Server alle erforderlichen internen Netzwerke und Netzwerkressourcen erreichen kann. Alle Vom VPN-Server nicht erreichbaren Netzwerke oder Ressourcen sind auch nicht über VPN-Verbindungen von Remotestandorten aus erreichbar.

Passen Sie in den meisten Umgebungen statische Routen für die Edgefirewall und den VPN-Server an, um das neue interne Umkreisnetzwerk zu erreichen. In komplexeren Umgebungen müssen Sie jedoch möglicherweise statische Routen zu internen Routern hinzufügen oder interne Firewallregeln für den VPN-Server und den Block von IP-Adressen anpassen, die VPN-Clients zugeordnet sind.

Nächste Schritte

Schritt 2: Konfigurieren der Serverinfrastruktur:In diesem Schritt installieren und konfigurieren Sie die serverseitigen Komponenten, die zur Unterstützung des VPN erforderlich sind. Zu den serverseitigen Komponenten gehört das Konfigurieren der PKI zum Verteilen der von Benutzern verwendeten Zertifikate, des VPN-Servers und des NPS-Servers.