Bereitstellen des Always On VPN-Profils für Windows 10+ Clients mit Microsoft Configuration Manager

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

In diesem Anleitungsartikel zeigen wir Ihnen, wie Sie mit Configuration Manager mithilfe eines PowerShell-Skripts für die ProfileXML-PowerShell-Konfiguration Always On VPN-Profile bereitstellen.

Voraussetzungen

• Sie sollten Configuration Manager installiert und konfiguriert haben. Informationen zum Installieren von Configuration Manager finden Sie unter Einrichten eines Configuration Manager-Labs.

• Sie sollten bereits ein ProfileXML-PowerShell-Konfigurationsskript erstellt haben. Wenn Sie nicht wissen, wie Sie ein ProfileXML-Konfigurationsskript erstellen, informieren Sie sich darüber im Tutorial: Bereitstellen von Always On VPN – Konfigurieren von Always On VPN-Verbindungen für den Client.

Erstellen einer Benutzersammlung

Um mit dem Configuration Manager ein Always On VPN-Profil auf Windows 10 oder neueren Clientcomputern bereitzustellen, müssen Sie eine Gruppe von Computern oder Benutzern erstellen, für die Sie das Profil bereitstellen möchten.

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.

2. Wählen Sie im Menüband Startseite in der Gruppe Erstellen die Option Benutzersammlung erstellen.

3. Führen Sie auf der Seite „Allgemein“ die folgenden Schritte aus:

   1. Geben Sie unter Name die Zeichenfolge VPN Users (VPN-Benutzer) ein.

   2. Wählen Sie Durchsuchen, Alle Benutzer und OK aus.

   3. Wählen Sie Weiter aus.

4. Führen Sie auf der Seite „Mitgliedschaftsregeln“ die folgenden Schritte aus:

   1. Wählen Sie in Mitgliedschaftsregeln die Option Regel hinzufügen, und klicken Sie dann auf Direkte Regel.

   2. Wählen Sie auf der Seite Willkommen die Option Weiter aus.

   3. Geben Sie auf der Seite „Nach Ressourcen suchen“ unter Wert den Namen des Benutzers ein, den Sie hinzufügen möchten, oder verwenden Sie eine Abfrageregel, wenn Sie dieser Sammlung dynamisch Benutzer für eine umfangreichere Bereitstellung hinzufügen. Der Ressourcenname enthält die Domäne des Benutzers. Um Ergebnisse basierend auf einer teilweisen Übereinstimmung zu berücksichtigen, fügen Sie das Zeichen % an beiden Enden des Suchkriteriums ein. Um beispielsweise alle Benutzer zu finden, die die Zeichenfolge „lori“ enthalten, geben Sie %lori% ein. Wählen Sie Weiter aus.

   4. Wählen Sie auf der Seite „Ressourcen auswählen“ die Benutzer aus, die Sie der Gruppe hinzufügen möchten, und wählen Sie Weiter.

   5. Klicken Sie auf der Seite „Zusammenfassung“ auf Weiter.

   6. Wählen Sie auf der Seite „Abschluss“ des Vorgangs auf Schließen.

5. Wählen Sie im Assistenten zum Erstellen von Benutzersammlungen auf der Seite „Mitgliedschaftsregeln“ Weiter.

6. Klicken Sie auf der Seite „Zusammenfassung“ auf Weiter.

7. Wählen Sie auf der Seite „Abschluss“ des Vorgangs auf Schließen.

Nachdem Sie die Benutzergruppe zum Empfangen des VPN-Profils erstellt haben, können Sie ein Paket und ein Programm zum Bereitstellen Ihres Windows PowerShell-ProfileXML-Konfigurationsskripts erstellen.

Erstellen eines Pakets mit einem ProfileXML-Konfigurationsskript

1. Hosten Sie das ProfileXML-Konfigurationsskript auf einer Netzwerkfreigabe, auf die das Konto des Standortservercomputers zugreifen kann.

2. Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Softwarebibliothek, erweitern Sie Anwendungsverwaltung, und wählen Sie den Knoten Pakete aus.

3. Wählen Sie auf der Registerkarte Startseite des Menübands in der Gruppe Erstellen die Option Paket erstellen aus.

4. Führen Sie auf der Seite „Paket“ die folgenden Schritte aus:

   1. Geben Sie unter Name einen Namen ein, z. B. Windows-Client Always On VPN-Profil.

   2. Markieren Sie das Kontrollkästchen Dieses Paket enthält Quelldateien, und wählen Sie Durchsuchen.

   3. Wählen Sie im Dialogfeld „Quellordner festlegen“ die Option Durchsuchen aus, wählen Sie die Dateifreigabe aus, die das ProfileXML-Skript enthält, und wählen Sie OK. Stellen Sie sicher, dass Sie einen Netzwerkpfad und keinen lokalen Pfad auswählen. Anders ausgedrückt: Der Pfad sollte in etwa \fileserver\vpnscript und nicht c:\vpnscript lauten.

5. Klicken Sie auf Weiter.

6. Wählen Sie auf der Seite „Programmtyp“ Weiter.

7. Führen Sie auf der Seite „Standardprogramm“ die folgenden Schritte aus:

   1. Geben Sie unter Name die Zeichenfolge VPN Profile Script ein.

   2. Geben Sie auf der BefehlszeilePowerShell.exe -ExecutionPolicy Bypass -File "{your-script-name.ps1}".

   3. Wählen Sie im Ausführungsmodus die Option Mit Administratorrechten ausführen aus.

   4. Klicken Sie auf Weiter.

8. Führen Sie auf der Seite „Anforderungen“ die folgenden Schritte aus:

   1. Wählen Sie Dieses Programm kann nur auf bestimmten Plattformen ausgeführt werden aus.

   2. Markieren Sie die Kontrollkästchen Alle Windows 10 (32 Bit) und Alle Windows 10 (64 Bit).

   3. Geben Sie unter Geschätzter Speicherplatz den Wert 1 ein.

   4. Geben Sie unter Maximal zulässige Laufzeit (Minuten) den Wert 15 ein.

   5. Klicken Sie auf Weiter.

9. Klicken Sie auf der Seite „Zusammenfassung“ auf Weiter.

10. Wählen Sie auf der Seite „Abschluss“ des Vorgangs auf Schließen.

Nachdem das Paket und das Programm erstellt wurden, können Sie es nun in der Gruppe VPN-Benutzer bereitstellen.

Bereitstellen des ProfileXML-Konfigurationspakets

1. Öffnen Sie in der Configuration Manager-Konsole Softwarebibliothek\Anwendungsverwaltung\Pakete.

2. Wählen Sie unter Pakete die Option Windows-Client Always On VPN-Profil aus.

3. Wählen Sie auf der Registerkarte Programme unten im Detailbereich mit der rechten Maustaste VPN-Profilskript aus, wählen Sie Eigenschaften, und führen Sie die folgenden Schritte aus:

   a. Wählen Sie auf der Registerkarte Erweitert unter Wenn dieses Programm einem Computer zugewiesen ist die Option Einmal für jeden Benutzer, der sich anmeldet.

   b. Klicken Sie auf OK.

4. Klicken Sie mit der rechten Maustaste auf VPN-Profilskript, und wählen Sie Bereitstellen, um den Assistenten zum Bereitstellen von Software zu starten.

5. Führen Sie auf der Seite „Allgemein“ die folgenden Schritte aus:

   a. Wählen Sie neben Sammlung die Option Durchsuchen aus.

   b. Wählen Sie in der Liste Sammlungstypen (oben links) die Option Benutzersammlungen.

   c. Wählen Sie VPN-Benutzer und dann OK aus.

   d. Wählen Sie Weiter aus.

6. Führen Sie auf der Seite „Inhalte“ die folgenden Schritte aus:

   a. Wählen Sie Hinzufügen und dann Verteilungspunkt aus.

   b. Wählen Sie unter Verfügbare Verteilungspunkte die Verteilungspunkte aus, an die Sie das ProfileXML-Konfigurationsskript verteilen möchten, und wählen Sie dann OK.

   c. Klicken Sie auf Weiter.

7. Wählen Sie auf der Seite „Bereitstellungseinstellungen“ die OptionWeiter.

8. Führen Sie auf der Seite „Zeitplanung“ die folgenden Schritte aus:

   a. Wählen Sie Neu, um das Dialogfeld „Zuweisungszeitplan“ zu öffnen.

   b. Wählen Sie Direkt nach diesem Ereignis zuweisen, und klicken Sie dann auf OK.

   c. Klicken Sie auf Weiter.

9. Führen Sie auf der Seite „Benutzerfreundlichkeit“ die folgenden Schritte aus:

   1. Wählen Sie das Kontrollkästchen Softwareinstallation aus.

   2. Wählen Sie Zusammenfassung aus.

10. Klicken Sie auf der Seite „Zusammenfassung“ auf Weiter.

11. Wählen Sie auf der Seite „Abschluss“ des Vorgangs auf Schließen.

Wenn das ProfileXML-Konfigurationsskript bereitgestellt ist, melden sie sich bei einem Windows-Clientcomputer mit dem Benutzerkonto an, das Sie beim Erstellen der Benutzersammlung ausgewählt haben. Überprüfen Sie die VPN-Client-Konfiguration.

Überprüfen der VPN-Client-Konfiguration

1. Klicken Sie in der Systemsteuerung unter System > Sicherheit auf Configuration Manager.

2. Führen Sie im Dialogfeld „Eigenschaften von Configuration Manager“ auf der Registerkarte Aktionen die folgenden Schritte aus:

   a. Wählen Sie Computerrichtlinienabruf & Auswertungszyklus, wählen Sie Jetzt ausführen und dann OK.

   b. Wählen Sie Computerrichtlinienabruf & Auswertungszyklus, wählen Sie Jetzt ausführen und dann OK.

   c. Klicken Sie auf OK.

3. Schließen Sie die Systemsteuerung.

Das neue VPN-Profil sollte in Kürze angezeigt werden.

Nächste Schritte

• Ein ausführliches Tutorial zum Einrichten von Always On VPN finden Sie unter Tutorial: Einrichten der Infrastruktur für Always On VPN.

• Informationen zum Konfigurieren von Always On VPN-Profilen mit Microsoft Intune finden Sie unter Bereitstellen des Always On VPN-Profils für Windows 10-Clients oder neuere Clients mit Microsoft Intune.

• Ausführlichere Informationen zu Always On-VPN-Konfigurationsoptionen für den Konfigurationsdienstanbieter (Configuration Service Provider, CSP) finden Sie unter VPNv2-Konfigurationsdienstanbieter.