Konfigurieren von VPN-Geräte Tunneln in Windows 10Configure VPN device tunnels in Windows 10

Gilt für: Windows 10, Version 1709Applies to: Windows 10 version 1709

Always on-VPN bietet Ihnen die Möglichkeit, ein dediziertes VPN-Profil für das Gerät oder den Computer zu erstellen.Always On VPN gives you the ability to create a dedicated VPN profile for device or machine. Always On-VPN-Verbindungen umfassen zwei Typen von Tunneln:Always On VPN connections include two types of tunnels:

  • Der Geräte Tunnel stellt eine Verbindung mit angegebenen VPN-Servern her, bevor sich Benutzer am Gerät anmelden.Device tunnel connects to specified VPN servers before users log on to the device. Ein Gerätetunnel wird für Verbindungsszenarios vor der Anmeldung und zur Geräteverwaltung verwendet.Pre-login connectivity scenarios and device management purposes use device tunnel.

  • Der Benutzer Tunnel stellt nur dann eine Verbindung her, nachdem sich ein Benutzer am Gerät angemeldet hat.User tunnel connects only after a user logs on to the device. Mit dem Benutzertunnel können Benutzer über VPN-Server auf Organisationsressourcen zugreifen.User tunnel allows users to access organization resources through VPN servers.

Anders als bei einem Benutzer Tunnel, der nur eine Verbindung herstellt, nachdem sich ein Benutzer am Gerät oder Computer anmeldet, ermöglicht der Geräte Tunnel dem VPN das Herstellen von Verbindungen, bevor sich der Benutzer anmeldet.Unlike user tunnel, which only connects after a user logs on to the device or machine, device tunnel allows the VPN to establish connectivity before the user logs on. Sowohl Geräte Tunnel als auch Benutzer Tunnel arbeiten unabhängig von Ihren VPN-Profilen, können gleichzeitig verbunden werden und können gegebenenfalls verschiedene Authentifizierungsmethoden und andere VPN-Konfigurationseinstellungen verwenden.Both device tunnel and user tunnel operate independently with their VPN profiles, can be connected at the same time, and can use different authentication methods and other VPN configuration settings as appropriate. Der Benutzer Tunnel unterstützt SSTP und IKEv2, und der Geräte Tunnel unterstützt IKEv2 nur ohne Unterstützung für das SSTP-Fallback.User tunnel supports SSTP and IKEv2, and device tunnel supports IKEv2 only with no support for SSTP fallback.

Der Benutzer Tunnel wird auf in die Domäne eingebundenen, nicht in die Domäne eingebundenen (Arbeitsgruppen) oder Azure AD Geräte unterstützt, die für Unternehmens-und BYOD-Szenarien geeignet sind.User tunnel is supported on domain-joined, nondomain-joined (workgroup), or Azure AD–joined devices to allow for both enterprise and BYOD scenarios. Es ist in allen Windows-Editionen verfügbar, und die Plattformfunktionen stehen Drittanbietern mithilfe von UWP-VPN-Plug-in-Unterstützung zur Verfügung.It is available in all Windows editions, and the platform features are available to third parties by way of UWP VPN plug-in support.

Der Geräte Tunnel kann nur auf in die Domäne eingebundenen Geräten konfiguriert werden, auf denen Windows 10 Enterprise oder Education Version 1709 oder höher ausgeführt wird.Device tunnel can only be configured on domain-joined devices running Windows 10 Enterprise or Education version 1709 or later. Die Kontrolle des Geräte Tunnels durch Drittanbieter wird nicht unterstützt.There is no support for third-party control of the device tunnel. Der Geräte Tunnel bietet keine Unterstützung für die Verwendung der Richtlinien Tabelle für die Namensauflösung.Device tunnel does not support using the Name Resolution Policy table (NRPT). Der Geräte Tunnel unterstützt keine Tunnel Erzwingungen.Device tunnel does not support Force tunnel. Sie müssen ihn als Split Tunnel konfigurieren.You must configure it as Split tunnel.

Anforderungen und Features für den Geräte TunnelDevice Tunnel Requirements and Features

Sie müssen die Computer Zertifikat Authentifizierung für VPN-Verbindungen aktivieren und eine Stamm Zertifizierungsstelle für die Authentifizierung eingehender VPN-Verbindungen definieren.You must enable machine certificate authentication for VPN connections and define a root certification authority for authenticating incoming VPN connections.

$VPNRootCertAuthority = "Common Name of trusted root certification authority"
$RootCACert = (Get-ChildItem -Path cert:LocalMachine\root | Where-Object {$_.Subject -Like "*$VPNRootCertAuthority*" })
Set-VpnAuthProtocol -UserAuthProtocolAccepted Certificate, EAP -RootCertificateNameToAccept $RootCACert -PassThru

Geräte Tunnel Features und-Anforderungen

Konfiguration des VPN-Geräte TunnelsVPN Device Tunnel Configuration

Die Beispiel-XML-Datei unten bietet eine gute Anleitung für Szenarien, in denen nur vom Client initiierte Pull-Vorgänge über den Geräte Tunnel erforderlich sind.The sample profile XML below provides good guidance for scenarios where only client initiated pulls are required over the device tunnel. Datenverkehrs Filter werden genutzt, um den Geräte Tunnel nur auf den Verwaltungs Datenverkehr zu beschränken.Traffic filters are leveraged to restrict the device tunnel to management traffic only. Diese Konfiguration eignet sich gut für Windows Update, typische Gruppenrichtlinie (GP) und Microsoft Endpoint Configuration Manager Update Szenarios sowie VPN-Konnektivität für die erste Anmeldung ohne zwischengespeicherte Anmelde Informationen oder Szenarios zur Kenn Wort Zurücksetzung.This configuration works well for Windows Update, typical Group Policy (GP) and Microsoft Endpoint Configuration Manager update scenarios, as well as VPN connectivity for first logon without cached credentials, or password reset scenarios.

Für Server initiierte pushfälle, wie Windows-Remoteverwaltung (WinRM), Remote-gpupdate und Remote Configuration Manager Update Szenarios – Sie müssen eingehenden Datenverkehr für den Geräte Tunnel zulassen, sodass keine Datenverkehrs Filter verwendet werden können.For server-initiated push cases, like Windows Remote Management (WinRM), Remote GPUpdate, and remote Configuration Manager update scenarios – you must allow inbound traffic on the device tunnel, so traffic filters cannot be used. Wenn Sie im Geräte Tunnel Profildaten Verkehrs Filter aktivieren, wird der eingehende Datenverkehr vom Geräte Tunnel verweigert.If in the device tunnel profile you turn on traffic filters, then the Device Tunnel denies inbound traffic. Diese Einschränkung wird in zukünftigen Versionen entfernt.This limitation is going to be removed in future releases.

Beispiel-VPN-profileXMLSample VPN profileXML

Im folgenden finden Sie ein Beispiel für die VPN-Profilerstellung.Following is the sample VPN profileXML.

<VPNProfile>
  <NativeProfile>
<Servers>vpn.contoso.com</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
  <MachineMethod>Certificate</MachineMethod>
</Authentication>
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>
  </NativeProfile>
  <!-- use host routes(/32) to prevent routing conflicts -->
  <Route>
<Address>10.10.0.2</Address>
<PrefixSize>32</PrefixSize>
  </Route>
  <Route>
<Address>10.10.0.3</Address>
<PrefixSize>32</PrefixSize>
  </Route>
<!-- traffic filters for the routes specified above so that only this traffic can go over the device tunnel -->
  <TrafficFilter>
<RemoteAddressRanges>10.10.0.2, 10.10.0.3</RemoteAddressRanges>
  </TrafficFilter>
<!-- need to specify always on = true -->
  <AlwaysOn>true</AlwaysOn>
<!-- new node to specify that this is a device tunnel -->
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

Abhängig von den Anforderungen der einzelnen Bereitstellungs Szenarios ist ein weiteres VPN-Feature, das mit dem Geräte Tunnel konfiguriert werden kann, die Erkennung vertrauenswürdiger Netzwerke.Depending on the needs of each particular deployment scenario, another VPN feature that can be configured with the device tunnel is Trusted Network Detection.

 <!-- inside/outside detection -->
  <TrustedNetworkDetection>corp.contoso.com</TrustedNetworkDetection>

Bereitstellung und TestenDeployment and Testing

Sie können Geräte Tunnel mithilfe eines Windows PowerShell-Skripts und mithilfe der Windows-Verwaltungsinstrumentation (WMI)-Bridge konfigurieren.You can configure device tunnels by using a Windows PowerShell script and using the Windows Management Instrumentation (WMI) bridge. Der Always on VPN-Geräte Tunnel muss im Kontext des lokalen System Kontos konfiguriert werden.The Always On VPN device tunnel must be configured in the context of the LOCAL SYSTEM account. Um dies zu erreichen, muss PsExecverwendet werden, eines der in der Sysinternals -Dienstprogramme enthaltenen phocker .To accomplish this, it will be necessary to use PsExec, one of the PsTools included in the Sysinternals suite of utilities.

Richtlinien für die Bereitstellung eines pro-Gerät-oder (.\Device) pro-Benutzer (.\User) Profils finden Sie unter Verwenden von PowerShell-Skripts mit dem WMI-Bridge Anbieter.For guidelines on how to deploy a per device (.\Device) vs. a per user (.\User) profile, see Using PowerShell scripting with the WMI Bridge Provider.

Führen Sie den folgenden Windows PowerShell-Befehl aus, um zu überprüfen, ob ein Geräte Profil erfolgreich bereitgestellt wurde:Run the following Windows PowerShell command to verify that you have successfully deployed a device profile:

Get-VpnConnection -AllUserConnection

In der Ausgabe wird eine Liste der Geräte - weiten VPN-Profile angezeigt, die auf dem Gerät bereitgestellt werden.The output displays a list of the device-wide VPN profiles that are deployed on the device.

Windows PowerShell-BeispielskriptExample Windows PowerShell Script

Sie können das folgende Windows PowerShell-Skript verwenden, um ein eigenes Skript für die Profilerstellung zu erstellen.You can use the following Windows PowerShell script to assist in creating your own script for profile creation.

Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

Weitere RessourcenAdditional Resources

Im folgenden finden Sie weitere Ressourcen zur Unterstützung Ihrer VPN-Bereitstellung.The following are additional resources to assist with your VPN deployment.

VPN-Client Konfigurations RessourcenVPN client configuration resources

Im folgenden finden Sie VPN-Client Konfigurations Ressourcen.The following are VPN client configuration resources.

Remote Zugriffs-Server Gateway-RessourcenRemote Access Server Gateway resources

Im folgenden finden Sie RAS-gatewayressourcen (Remote Access Server).The following are Remote Access Server (RAS) Gateway resources.

Wichtig

Wenn Sie den Geräte Tunnel mit einem Microsoft RAS-Gateway verwenden, müssen Sie den RRAS-Server für die Unterstützung der IKEv2-Computer Zertifikat Authentifizierung konfigurieren, indem Sie die Authentifizierungsmethode " Computer Zertifikat Authentifizierung für IKEv2 zulassen " aktivieren, wie hierbeschrieben.When using Device Tunnel with a Microsoft RAS gateway, you will need to configure the RRAS server to support IKEv2 machine certificate authentication by enabling the Allow machine certificate authentication for IKEv2 authentication method as described here. Wenn diese Einstellung aktiviert ist, wird dringend empfohlen, dass das PowerShell-Cmdlet Set-vpnauthprotocol zusammen mit dem optionalen Parameter rootcertifikatenametoaccept verwendet wird, um sicherzustellen, dass RRAS-IKEv2-Verbindungen nur für VPN-Client Zertifikate zulässig sind, die mit einer explizit definierten internen/privaten Stamm Zertifizierungsstelle verkettet sind.Once this setting is enabled, it is strongly recommended that the Set-VpnAuthProtocol PowerShell cmdlet, along with the RootCertificateNameToAccept optional parameter, is used to ensure that RRAS IKEv2 connections are only permitted for VPN client certificates that chain to an explicitly defined internal/private Root Certification Authority. Alternativ dazu sollte der Speicher für Vertrauenswürdige Stamm Zertifizierungs stellen auf dem RRAS-Server geändert werden, um sicherzustellen, dass er keine öffentlichen Zertifizierungsstellen enthält, wie hiererläutert.Alternatively, the Trusted Root Certification Authorities store on the RRAS server should be amended to ensure that it does not contain public certification authorities as discussed here. Ähnliche Methoden müssen möglicherweise auch für andere VPN-Gateways in Erwägung gezogen werden.Similar methods may also need to be considered for other VPN gateways.