Installieren des Remotezugriffs als VPN-Server
In diesem Leitfaden für die ersten Schritte erfahren Sie, wie Sie RAS als VPN-Server installieren und konfigurieren.
Voraussetzungen
Sie müssen mindestens Mitglied der Gruppe "Administratoren" oder einer entsprechenden Gruppe sein, um diese Verfahren ausführen zu können. Wenn der RAS-Server jedoch in die Domäne eingebunden ist, müssen die Prozeduren von Domänenadministrator*innen ausgeführt werden.
Installieren der Remotezugriffsrolle
Installieren der Rolle „Remote Access“ (Remotezugriff) mithilfe von Windows PowerShell:
Öffnen Sie Windows PowerShell als Administrator.
Geben Sie das folgende Cmdlet ein, und führen Sie es aus:
Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
Nach Abschluss der Installation wird in Windows PowerShell die folgende Meldung gezeigt.
| Success | Restart Needed | Exit Code | Feature Result | |---------|----------------|-----------|--------------------------------------------| | True | No | Success | RAS Connection Manager Administration Kit |
Konfigurieren des Remotezugriffs als VPN-Server
In diesem Abschnitt konfigurieren wir den Remotezugriff, um IKEv2-VPN-Verbindungen zuzulassen und Verbindungen von anderen VPN-Protokollen zu verweigern. Außerdem weisen wir einen statischen IP-Adresspool für das Ausstellen von IP-Adressen zu, um autorisierte VPN-Clients zu verbinden.
Routing- und Remotezugriffsdienste (RRAS) unterstützen Remotebenutzer- oder Standort-zu-Standort-Konnektivität mithilfe von VPN (Virtual Private Network) oder DFÜ-Verbindungen. Sie akzeptiert VPN-Verbindungen basierend auf Protokollen wie PPTP, L2TP, SSTP und IKEv2. Diese Protokolle sind alle standardmäßig aktiviert, wenn die RRAS-Rolle installiert und mit der Standardkonfiguration eingerichtet wird. Standardmäßig kann ein autorisierter Client mithilfe eines der aktivierten Protokolle eine VPN-Verbindung herstellen. Ab Windows Server 2025 akzeptieren neue RRAS-Setups keine VPN-Verbindungen basierend auf PPTP- und L2TP-Protokollen. Sie können diese Protokolle bei Bedarf weiterhin aktivieren. SSTP- und IKEv2-basierte VPN-Verbindungen werden weiterhin ohne Änderung akzeptiert.
Vorhandene Konfigurationen und Windows Server-Versionen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren, werden beim Aktualisieren auf Windows Server 2025 mithilfe eines direkten Updates weiterhin L2TP- und PPTP-basierte Verbindungen akzeptiert. Diese Änderung wirkt sich nicht auf Windows-Clients-Betriebssysteme aus.
Hinweis
Anstelle von IKEv2 können Sie auch SSTP verwenden. Es wird nicht empfohlen, PPTP zu verwenden, da es an Sicherheitsfeatures mangelt.
Stellen Sie sicher, dass Ihre Firewallregeln die eingehenden UDP-Ports 500 und 4500 für die externe IP-Adresse zulassen, die der öffentlichen Schnittstelle des VPN-Servers zugeordnet ist.
Wählen Sie auf dem VPN-Server in „Server-Manager“ das Flag Benachrichtigungen aus. Möglicherweise müssen Sie ein oder zwei Minuten warten, bis das Flag „Benachrichtigungen“ angezeigt wird.
Wählen Sie im Menü Aufgabendie Option Assistent für erste Schritte öffnen aus, um den Assistenten zum Konfigurieren des Remotezugriffs zu öffnen.
Hinweis
Der Assistent zum Konfigurieren des Remotezugriffs wird möglicherweise hinter Server-Manager geöffnet. Wenn Sie den Eindruck haben, dass das Öffnen des Assistenten zu lange dauert, verschieben oder minimieren Sie Server-Manager, um herauszufinden, ob der Assistent sich dahinter verbirgt. Falls nicht, warten Sie die Initialisierung des Assistenten ab.
Wählen Sie Nur VPN bereitstellen aus, um die Microsoft Management Console (MMC) für Routing und Remotezugriff zu öffnen.
Klicken Sie mit der rechten Maustaste auf den VPN-Server, und wählen Sie dann Routing und RAS konfigurieren und aktivieren aus, um den RRAS-Setup-Assistenten zu öffnen.
Wählen Sie auf der Seite „Willkommen“ des Setup-Assistenten für den Routing- und RAS-Server Weiter aus.
Wählen Sie unter Konfiguration die Option Benutzerdefinierte Konfiguration und dann Weiter aus.
Wählen Sie unter Benutzerdefinierte Konfigurationdie Option VPN-Zugriff und dann Weiter aus, um den RRAS-Setup-Assistenten abzuschließen.
Wählen Sie Fertig stellen aus, um den Assistenten zu schließen. Klicken Sie dann auf OK, um das Dialogfeld „Routing und RAS“ zu schließen.
Sobald der VPN-Server ausgeführt wird, klicken Sie mit der rechten Maustaste auf den VPN-Server, und wählen Sie Eigenschaften aus.
Wählen Sie die Registerkarte IPv4 aus, und führen Sie die folgenden Schritte aus:
Wählen Sie Statischer Adresspool aus.
Wählen Sie Hinzufügen aus, um einen IP-Adresspool zu konfigurieren.
Geben Sie unter Start-IP-Adresse die Start-IP-Adresse im Bereich ein, den Sie VPN-Clients zuweisen möchten.
Geben Sie unter End-IP-Adresse die End-IP-Adresse im Bereich ein, den Sie VPN-Clients zuweisen möchten. Oder geben Sie unter Anzahl der Adressen die Anzahl der Adressen ein, die Sie verfügbar machen möchten.
Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.
Klicken Sie unter „Routing und RAS“ im MMC mit der rechten Maustaste auf Ports, und wählen Sie dann Eigenschaften aus, um das Dialogfeld „Porteigenschaften“ zu öffnen.
Wählen Sie WAN-Miniport (SSTP) und Konfigurieren aus, um das Dialogfeld „Gerät konfigurieren - WAN-Miniport (SSTP)“ zu öffnen.
Deaktivieren Sie sowohl RAS-Verbindungen (nur eingehend) als auch Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend).
Klicken Sie auf OK.
Wählen Sie WAN-Miniport (IKEv2) und Konfigurieren aus, um das Dialogfeld „Gerät konfigurieren – WAN-Miniport (IKEv2)“ zu öffnen.
Stellen Sie sicher, dass die Optionen RAS-Verbindungen (nur eingehend) und Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend) ausgewählt sind.
Geben Sie unter Maximale Portanzahl die Anzahl der Ports ein, die der maximalen Anzahl gleichzeitiger VPN-Verbindungen entspricht, die Sie unterstützen möchten.
Klicken Sie auf OK.
Wählen Sie WAN-Miniport (L2TP) und dann Konfigurieren aus, um das Dialogfeld „Gerät konfigurieren - WAN-Miniport (L2TP)“ zu öffnen.
Deaktivieren Sie sowohl RAS-Verbindungen (nur eingehend) als auch Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend).
Klicken Sie auf OK.
Wählen Sie WAN-Miniport (PPTP) und Konfigurieren aus, um das Dialogfeld „Gerät konfigurieren - WAN-Miniport (PPTP)“ zu öffnen.
Deaktivieren Sie sowohl RAS-Verbindungen (nur eingehend) als auch Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend).
Klicken Sie auf OK.