Lernprogramm: Bereitstellen der Always On VPN-Infrastruktur

Always On VPN ist eine Remotezugriffslösung in Windows Server, die nahtlose und sichere Konnektivität für Remotebenutzer mit Unternehmensnetzwerken bietet. Es unterstützt erweiterte Authentifizierungsmethoden und integriert in vorhandene Infrastruktur und bietet eine moderne Alternative zu herkömmlichen VPN-Lösungen. In diesem Lernprogramm wird die Reihe zum Bereitstellen von Always On VPN in einer Beispielumgebung gestartet.

In diesem Lernprogramm erfahren Sie, wie Sie eine Beispielinfrastruktur für Always On VPN-Verbindungen für In die Remotedomäne eingebundene Windows-Clientcomputer bereitstellen. Um eine Beispielinfrastruktur zu erstellen, führen Sie folgende Aktionen aus:

• Erstellen Sie einen Active Directory-Domänencontroller.
• Konfigurieren der Gruppenrichtlinie für die automatische Registrierung von Zertifikaten.
• Erstellen Sie einen NpS-Server (Network Policy Server).
• Erstellen Sie einen VPN-Server.
• Erstellen Sie einen VPN-Benutzer und eine Gruppe.
• Konfigurieren Sie den VPN-Server als RADIUS-Client.
• Konfigurieren Sie den NPS-Server als RADIUS-Server.

Weitere Informationen zu Always On VPN, einschließlich unterstützter Integrationen, Sicherheits- und Konnektivitätsfunktionen, finden Sie unter Always On VPN Overview.

Voraussetzungen

Um die Schritte in diesem Lernprogramm auszuführen, müssen Sie die folgenden Voraussetzungen erfüllen:

• Drei Server (physisch oder virtuell) mit einer unterstützten Version von Windows Server. Diese Server sind der Domänencontroller, der NPS-Server und der VPN-Server.

• Der Server, den Sie für den NPS-Server verwenden, benötigt zwei physische Netzwerkadapter installiert: einen zum Herstellen einer Verbindung mit dem Internet und einen zum Herstellen einer Verbindung mit dem Netzwerk, in dem sich der Domänencontroller befindet.

• Ein Benutzerkonto auf allen Computern, die Mitglied der lokalen Sicherheitsgruppe "Administratoren " oder gleichwertig sind.

Wichtig

Die Verwendung des Remotezugriffs in Microsoft Azure wird nicht unterstützt. Weitere Informationen finden Sie unter Microsoft-Serversoftwareunterstützung für virtuelle Microsoft Azure-Computer.

Erstellen des Domänencontrollers

1. Installieren Sie auf dem Server, den Sie als Domänencontroller verwenden möchten, Active Directory Domain Services (AD DS). Ausführliche Informationen zum Installieren von AD DS finden Sie unter Installieren von Active Directory Domain Services.

2. Stufen Sie den Windows Server auf den Domänencontroller hoch. In diesem Tutorial erstellen Sie eine neue Gesamtstruktur und die Domäne für diese neue Gesamtstruktur. Ausführliche Informationen zum Installieren des Domänencontrollers finden Sie unter AD DS-Installation.

3. Installieren und konfigurieren Sie die Zertifizierungsstelle (CA) auf dem Domänencontroller. Ausführliche Informationen zum Installieren der Zertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.

Konfigurieren von Gruppenrichtlinien für die automatische Registrierung von Zertifikaten

In diesem Abschnitt erstellen Sie eine Gruppenrichtlinie auf dem Domänencontroller, sodass Domänenmitglieder automatisch Benutzer- und Computerzertifikate anfordern. Diese Konfiguration ermöglicht VPN-Benutzern das Anfordern und Abrufen von Benutzerzertifikaten, die VPN-Verbindungen automatisch authentifizieren. Diese Richtlinie ermöglicht es dem NPS-Server zudem, automatisch Serverauthentifizierungszertifikate anzufordern.

1. Öffnen Sie auf dem Domänencontroller die Gruppenrichtlinien-Verwaltungskonsole.

2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihre Domäne (z. B corp.contoso.com. ). Wählen Sie Gruppenrichtlinienobjekt hier erstellen und verknüpfen.

3. Geben Sie im Dialogfeld Neues GPO, für Name, Autoenrollment-Richtlinie ein. Klicken Sie auf OK.

4. Klicken Sie im linken Bereich mit der rechten Maustaste auf Richtlinie für die automatische Registrierung. Wählen Sie Bearbeiten aus, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.

5. Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Computerzertifikaten zu konfigurieren:

   1. Navigieren Sie zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für öffentliche Schlüssel.

   2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung. Wählen Sie Eigenschaften aus.

   3. Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

   4. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.

   5. Klicken Sie auf OK.

6. Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Benutzerzertifikaten zu konfigurieren:

   1. Navigieren Sie zu Benutzerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für öffentliche Schlüssel.

   2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung, und wählen Sie Eigenschaften aus.

   3. Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

   4. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.

   5. Klicken Sie auf OK.

   6. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

7. Wenden Sie die Gruppenrichtlinie auf Benutzer und Computer in der Domäne an.

8. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Erstellen des NPS-Servers

1. Installieren Sie auf dem Server, auf dem Sie der NPS-Server sein möchten, die Rolle "Netzwerkrichtlinie und Access Services (NPS)". Ausführliche Informationen zum Installieren von NPS finden Sie unter Installieren des Netzwerkrichtlinienservers.

2. Registrieren Sie den NPS-Server in Active Directory. Informationen zum Registrieren des NPS-Servers in Active Directory finden Sie unter Registrieren eines NPS in einem Active Directory-Domäne.

3. Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der für die VPN- und RADIUS-Kommunikation erforderlich ist, damit sie ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.

4. Erstellen Sie die NPS-Servergruppe:

   1. Öffnen Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".

   2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer. Wählen Sie Neu und dann Gruppe aus.

   3. Geben Sie unter Gruppenname die NPS-Server ein, und wählen Sie dann OK aus.

   4. Klicken Sie mit der rechten Maustaste auf NPS-Server, und wählen Sie Eigenschaften aus.

   5. Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den NPS-Servereigenschaften die Option Hinzufügen aus.

   6. Wählen Sie "Objekttypen" aus, aktivieren Sie das Kontrollkästchen "Computer ", und wählen Sie dann "OK" aus.

   7. Geben Sie in die auszuwählenden Objektnamen den Hostnamen des NPS-Servers ein. Klicken Sie auf OK.

   8. Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.

Erstellen des VPN-Servers

1. Stellen Sie für den Server, auf dem der VPN-Server ausgeführt wird, sicher, dass auf dem Computer zwei physische Netzwerkadapter installiert sind: eine zum Herstellen einer Internetverbindung und eine zum Herstellen einer Verbindung mit dem Netzwerk, in dem sich der Domänencontroller befindet.

2. Ermitteln Sie, welcher Netzwerkadapter eine Verbindung mit dem Internet herstellt, und welcher Netzwerkadapter eine Verbindung zur Domäne herstellt. Konfigurieren Sie den Netzwerkadapter für das Internet mit einer öffentlichen IP-Adresse, während der Adapter für das Intranet eine IP-Adresse aus dem lokalen Netzwerk verwenden kann.

3. Legen Sie für den Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die bevorzugte DNS-IP-Adresse auf die IP-Adresse des Domänencontrollers fest.

4. Fügen Sie den Server zur Domäne hinzu. Informationen zum Hinzufügen eines Servers zu einer Domäne finden Sie unter So fügen Sie einen Server zu einer Domäne hinzu.

5. Öffnen Sie Ihre Firewallregeln, um die eingehenden UDP-Ports 500 und 4500 für die externe IP-Adresse zuzulassen, die der öffentlichen Schnittstelle des VPN-Servers zugeordnet ist. Lassen Sie für den Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die folgenden UDP-Ports zu: 1812, 1813, 1645 und 1646.

6. Erstellen Sie die VPN-Servergruppe:

   1. Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer.

   2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer. Wählen Sie Neu und dann Gruppe aus.

   3. Geben Sie unter Gruppenname die NPS-Server ein, und wählen Sie dann OK aus.

   4. Klicken Sie mit der rechten Maustaste auf NPS-Server, und wählen Sie Eigenschaften aus.

   5. Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den VPN-Servereigenschaften die Option Hinzufügen aus.

   6. Wählen Sie "Objekttypen" aus, aktivieren Sie das Kontrollkästchen "Computer ", und wählen Sie dann "OK" aus.

   7. Geben Sie in die auszuwählenden Objektnamen den Hostnamen des VPN-Servers ein. Klicken Sie auf OK.

   8. Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.

7. Führen Sie die Schritte unter Installieren des Remotezugriffs als VPN-Server aus, um den VPN-Server zu installieren.

8. Öffnen Sie Routing und Remotezugriff vom Server-Manager.

9. Klicken Sie mit der rechten Maustaste auf den Namen des VPN-Servers, und wählen Sie dann "Eigenschaften" aus.

10. Wählen Sie in "Eigenschaften" die Registerkarte "Sicherheit " und dann Folgendes aus:

    1. Wählen Sie Authentifizierungsanbieter und RADIUS-Authentifizierung aus.

    2. Wählen Sie Konfigurieren aus, um das Dialogfeld „RADIUS-Authentifizierung“ zu öffnen.

    3. Wählen Sie Hinzufügen aus, um das Dialogfeld „RADIUS-Server hinzufügen“ zu öffnen.

       1. Geben Sie im Servernamen den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des NPS-Servers ein, der auch ein RADIUS-Server ist. Wenn z. B. der NetBIOS-Name Ihres NPS- und Domänencontrollerservers lautet nps1 und Ihr Domänenname lautet corp.contoso.com, geben Sie folgendes ein nps1.corp.contoso.com.

       2. Wählen Sie unter Gemeinsamer geheimer Schlüssel die Option Ändern aus, um das Dialogfeld „Geheimnis ändern“ zu öffnen.

       3. Geben Sie unter Neues Geheimnis eine Textzeichenfolge ein.

       4. Geben Sie unter Neues Geheimnis bestätigen die gleiche Textzeichenfolge ein, und wählen Sie dann OK aus.

       5. Speichern Sie diesen geheimen Schlüssel. Sie benötigen ihn, wenn Sie diesen VPN-Server später in diesem Lernprogramm als RADIUS-Client hinzufügen.

    4. Wählen Sie "OK " aus, um das Dialogfeld "RADIUS-Server hinzufügen " zu schließen.

    5. Wählen Sie "OK " aus, um das Dialogfeld "RADIUS-Authentifizierung " zu schließen.

11. Wählen Sie im Dialogfeld „Eigenschaften des VPN-Servers“ die Option Authentifizierungsmethoden... aus.

12. Wählen Sie Computerzertifikatauthentifizierung für IKEv2 zulassen aus.

13. Klicken Sie auf OK.

14. Wählen Sie für Kontoführungsanbieter die Option Windows-Kontoführung aus.

15. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

16. Ein Dialogfeld fordert Sie auf, den Server neu zu starten. Wählen Sie Ja aus.

Erstellen von VPN-Benutzern und -Gruppen

1. Erstellen Sie einen VPN-Benutzer, indem Sie die folgenden Schritte ausführen:

   1. Öffnen Sie auf dem Domänencontroller die Active Directory-Konsole "Benutzer und Computer ".
   2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Benutzer. Wählen Sie Neuaus. Geben Sie für den Benutzeranmeldungsnamen einen beliebigen Namen ein. Klicken Sie auf Weiter.
   3. Wählen Sie ein Kennwort für den Benutzer aus.
   4. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wählen Sie Kennwort läuft nie ab aus.
   5. Wählen Sie Fertig stellen aus. Halten Sie Active Directory-Benutzer und -Computer geöffnet.

2. Erstellen Sie eine VPN-Benutzergruppe, indem Sie die folgenden Schritte ausführen:

   1. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Benutzer. Wählen Sie Neu und dann Gruppe aus.
   2. Geben Sie unter Gruppenname die NPS-Benutzer ein, und wählen Sie dann OK aus.
   3. Klicken Sie mit der rechten Maustaste auf VPN-Server, und wählen Sie Eigenschaften aus.
   4. Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den VPN-Benutzereigenschaften die Option Hinzufügen aus.
   5. Fügen Sie im Dialogfeld „Benutzer auswählen“ den von Ihnen erstellten VPN-Benutzer hinzu, und wählen Sie OK aus.

Konfigurieren des VPN-Servers als RADIUS-Client

1. Öffnen Sie auf dem NPS-Server Ihre Firewallregeln, um UDP-Ports 1812, 1813, 1645 und 1646 eingehend zuzulassen, einschließlich der Windows-Firewall.

2. Öffnen Sie die Netzwerkrichtlinienserver-Konsole .

3. Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server.

4. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients , und wählen Sie " Neu " aus, um das Dialogfeld "Neuer RADIUS-Client " zu öffnen.

5. Vergewissern Sie sich, dass das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.

6. Geben Sie unter Anzeigename einen Anzeigenamen für den VPN-Server ein.

7. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den FQDN des VPN-Servers ein.

   Wenn Sie den FQDN eingeben, wählen Sie Überprüfen, um zu überprüfen, ob der Name stimmt und einer gültigen IP-Adresse zugeordnet ist.

8. Unter Gemeinsamer geheimer Schlüssel:

   1. Stellen Sie sicher, dass Manuell ausgewählt ist.
   2. Geben Sie das Geheimnis ein, das Sie im Abschnitt Erstellen des VPN-Servers erstellt haben.
   3. Um den freigegebenen geheimen Schlüssel zu bestätigen, geben Sie den freigegebenen Geheimschlüssel erneut ein.

9. Klicken Sie auf OK. Der VPN-Server sollte in der Liste der RADIUS-Clients angezeigt werden, die auf dem NPS-Server konfiguriert sind.

Konfigurieren des NPS-Servers als RADIUS-Server

1. Registrieren Sie ein Serverzertifikat für den NPS-Server mit einem Zertifikat, das die Anforderungen unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen erfüllt. Informationen zum Verifizieren der Serverregistrierung für Netzwerkrichtlinienserver (Network Policy Server, NPS) mit einem Serverzertifikat von der Zertifizierungsstelle finden Sie unter Verifizieren der Serverregistrierung eines Serverzertifikats.

2. Wählen Sie in der NPS-Konsole NPS (Lokal) aus.

3. Stellen Sie in der Standardkonfiguration sicher, dass RADIUS-Server für DFÜ- oder VPN-Verbindungen ausgewählt ist.

4. Wählen Sie "VPN oder DFÜ konfigurieren", um den Assistenten zum Konfigurieren von VPN oder DFÜ zu öffnen.

5. Wählen Sie VPN-Verbindungen (Virtual Private Network) und dann "Weiter" aus.

6. Wählen Sie unter DFÜ- oder VPN-Server angeben in RADIUS-Clients den Namen des VPN-Servers aus.

7. Klicken Sie auf Weiter.

8. Führen Sie unter "Authentifizierungsmethoden konfigurieren" die folgenden Schritte aus:

   1. Löschen Sie die verschlüsselte Microsoft-Authentifizierung, Version 2 (MS-CHAPv2).<

   2. Wählen Sie Extensible Authentication Protocol.

   3. Wählen Sie unter Typ die Option Microsoft: Geschütztes EAP (PEAP) aus. Wählen Sie dann "Konfigurieren" aus, um das Dialogfeld "Geschützte EAP-Eigenschaften bearbeiten " zu öffnen.

   4. Wählen Sie Entfernen aus, um den EAP-Typ „Sicheres Kennwort (EAP-MSCHAP v2)“ zu entfernen.

   5. Wählen Sie Hinzufügen. Das Dialogfeld „EAP hinzufügen“ wird geöffnet.

   6. Wählen Sie Smartcard oder anderes Zertifikat und dann OK aus.

   7. Wählen Sie OK aus, um das Dialogfeld zum Bearbeiten der Eigenschaften für geschütztes EAP zu schließen.

9. Klicken Sie auf Weiter.

10. In Benutzergruppen festlegen führen Sie die folgenden Schritte aus:

    1. Wählen Sie Hinzufügen. Das Dialogfeld "Benutzer auswählen", "Computer", "Dienstkonten" oder "Gruppen " wird geöffnet.

    2. Geben Sie VPN-Benutzer ein, und wählen Sie dann OK aus.

    3. Klicken Sie auf Weiter.

11. Wählen Sie unter IP-Filter angeben die Option Weiter aus.

12. Wählen Sie unter Verschlüsselungseinstellungen angeben die Option Weiter aus. Nehmen Sie keine Änderungen vor.

13. Wählen Sie unter Bereichsname angeben die Option Weiter aus.

14. Wählen Sie Fertig stellen aus, um den Assistenten zu schließen.

Nächster Schritt

Nachdem Sie ihre Beispielinfrastruktur erstellt haben, können Sie mit der Konfiguration Ihrer Zertifizierungsstelle beginnen.

Tutorial: Konfigurieren von Zertifizierungsstellenvorlagen für Always-On-VPN