Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bei IKEv2-VPN-Verbindungen lautet die Standardeinstellung für IKEv2-Kryptografieeinstellungen:
- Verschlüsselungsalgorithmus: DES3
- Integrität, Hashalgorithmus: SHA1
- Diffie Hellman Group (Schlüsselgröße): DH2
Diese Einstellungen sind für IKE-Austauschvorgänge nicht sicher.
Um die Verbindungen zu sichern, aktualisieren Sie die Konfiguration des VPN-Servers und des Clients durch das Ausführen von VPN-Cmdlets.
VPN-Server
Für VPN-Server, auf denen Windows Server 2012 R2 oder höher ausgeführt wird, müssen Sie Set-VpnServerConfiguration ausführen, um den Tunneltyp zu konfigurieren. Diese Einstellungen gelten für alle IKEv2-VPN-Verbindungen.
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy
Führen Sie in einer früheren Version von Windows Server Set-VpnServerIPsecConfiguration aus. Da Set-VpnServerIPsecConfiguration nicht -TunnelTypeüber verfügt, gilt die Konfiguration für alle Tunneltypen auf dem Server.
Set-VpnServerIPsecConfiguration -CustomPolicy
VPN-Client
Bei VPN-Clients müssen Sie jede VPN-Verbindung konfigurieren. Führen Sie z. B. Set-VpnConnectionIPsecConfiguration (Version 4.0) aus und geben Sie den Namen der Verbindung an:
Set-VpnConnectionIPsecConfiguration -ConnectionName <String>
Beispiel für IKEv2-Kryptografieeinstellungen
Die folgenden Befehle konfigurieren die IKEv2-Kryptografieeinstellungen für:
- Verschlüsselungsalgorithmus: AES128
- Integrität, Hashalgorithmus: SHA256
- Diffie Hellman Group (Key Size): DH14
IKEv2-VPN-Server
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru
Wenn Sie zurück zu den IKEv2-Standardeinstellungen wechseln müssen, verwenden Sie diesen Befehl:
Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru
IKEv2-VPN-Client
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force
Wenn Sie zurück zu den IKEv2-Standardeinstellungen wechseln müssen, verwenden Sie diesen Befehl:
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force
Tipp
Wenn Sie eine All-User-VPN-Verbindung oder einen Gerätetunnel konfigurieren, müssen Sie den -AllUserConnection Parameter im Set-VpnConnectionIPsecConfiguration Befehl verwenden.