Übersicht über Always On VPN-Technologie

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Für diese Bereitstellung müssen Sie einen neuen Remotezugriffsserver installieren, der Windows Server 2016 ausführt, sowie einige Ihrer vorhandenen Infrastruktur für die Bereitstellung ändern.

Die folgende Abbildung zeigt die Infrastruktur, die zum Bereitstellen Always On VPN erforderlich ist.

Always On VPN Infrastructure

Der in dieser Abbildung dargestellte Verbindungsvorgang besteht aus den folgenden Schritten:

  1. Mit öffentlichen DNS-Servern führt der Windows 10 VPN-Client eine Namensauflösungsabfrage für die IP-Adresse des VPN-Gateways aus.

  2. Mit der von DNS zurückgegebenen IP-Adresse sendet der VPN-Client eine Verbindungsanforderung an das VPN-Gateway.

  3. Das VPN-Gateway ist auch als Remoteauthentifizierungsbenutzerdienst (RADIUS)-Client konfiguriert; der VPN RADIUS-Client sendet die Verbindungsanforderung an den Organisations-/Unternehmens-NPS-Server für die Verbindungsanforderungsverarbeitung.

  4. Der NPS-Server verarbeitet die Verbindungsanforderung, einschließlich der Durchführung von Autorisierung und Authentifizierung, und bestimmt, ob die Verbindungsanforderung zugelassen oder verweigert werden soll.

  5. Der NPS-Server leitet eine Access-Accept oder Access-Deny Antwort an das VPN-Gateway weiter.

  6. Die Verbindung wird initiiert oder beendet, basierend auf der Antwort, die der VPN-Server vom NPS-Server empfangen hat.

Weitere Informationen zu jeder in der Abbildung oben dargestellten Infrastrukturkomponente finden Sie in den folgenden Abschnitten.

Hinweis

Wenn Sie bereits einige dieser Technologien in Ihrem Netzwerk bereitgestellt haben, können Sie die Anweisungen in dieser Bereitstellungsanleitung verwenden, um zusätzliche Konfigurationen der Technologien für diesen Bereitstellungszweck auszuführen.

Domänennamenserver (DNS)

Sowohl interne als auch externe Dns-Zonen (Domain Name System) sind erforderlich, was davon ausgeht, dass die interne Zone eine delegierte Unterdomäne der externen Zone ist (z. B. corp.contoso.com und contoso.com).

Weitere Informationen zum Domänennamensystem (DNS) oder dem Core Network Guide.

Hinweis

Andere DNS-Designs, z. B. Split-Brain-DNS (intern und extern in separaten DNS-Zonen) oder nicht verwandte interne und externe Domänen (z. B. contoso.local und contoso.com) sind ebenfalls möglich. Weitere Informationen zum Bereitstellen von Split-Brain-DNS finden Sie unter Verwenden der DNS-Richtlinie für Split-Brain DNS-Bereitstellung.

Firewalls

Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der sowohl für VPN- als auch RADIUS-Kommunikation erforderlich ist, ordnungsgemäß funktioniert.

Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.

Remotezugriff als RAS-Gateway-VPN-Server

In Windows Server 2016 ist die Serverrolle für den Remotezugriff so konzipiert, dass sowohl ein Router als auch ein Remotezugriffsserver ausgeführt werden. Daher unterstützt sie eine vielzahl von Features. Für diese Bereitstellungsanleitung benötigen Sie nur eine kleine Teilmenge dieser Features: Unterstützung für IKEv2 VPN-Verbindungen und LAN-Routing.

IKEv2 ist ein VPN-Tunnelingprotokoll, das in internet Engineering Task Force Request for Comments 7296 beschrieben wird. Der hauptvorteil von IKEv2 ist, dass es Unterbrechungen in der zugrunde liegenden Netzwerkverbindung toleriert. Wenn die Verbindung beispielsweise vorübergehend verloren geht oder ein Benutzer einen Clientcomputer von einem Netzwerk in ein anderes verschiebt, stellt IKEv2 automatisch die VPN-Verbindung wieder her, wenn die Netzwerkverbindung neu eingerichtet wird – alles ohne Benutzereingriff.

Mithilfe des RAS-Gateways können Sie VPN-Verbindungen bereitstellen, um Endbenutzern Remotezugriff auf das Netzwerk und die Ressourcen Ihrer Organisation bereitzustellen. Die Bereitstellung Always On VPN verwaltet eine dauerhafte Verbindung zwischen Clients und Ihrem Organisationsnetzwerk, wenn Remotecomputer mit dem Internet verbunden sind. Mit RAS-Gateway können Sie auch eine STANDORT-zu-Standort-VPN-Verbindung zwischen zwei Servern an verschiedenen Standorten erstellen, z. B. zwischen Ihrem primären Büro und einem Zweigstellenbüro, und die Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) verwenden, damit Benutzer innerhalb des Netzwerks auf externe Ressourcen zugreifen können, z. B. das Internet. Darüber hinaus unterstützt RAS-Gateway das Border Gateway Protocol (BGP), das dynamische Routingdienste bereitstellt, wenn Ihre Remotestandorte auch Edgegateways haben, die BGP unterstützen.

Sie können Remotezugriffsdienst-Gateways (RAS) mithilfe von Windows PowerShell Befehlen und der Microsoft Management Console (REMOTE Access Microsoft Management Console, MMC) verwalten.

Netzwerkrichtlinienserver (NPS)

NPS ermöglicht es Ihnen, organisationsweite Netzwerkzugriffsrichtlinien für die Verbindungsanforderungsauthentifizierung und Autorisierung zu erstellen und zu erzwingen. Wenn Sie NPS als Remoteauthentifizierungsbenutzerdienst (RADIUS)-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. VPN-Server, wie RADIUS-Clients in NPS.

Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert.

Weitere Informationen finden Sie unter Network Policy Server (NPS) (Netzwerkrichtlinienserver).

Active Directory-Zertifikatdienste

Der Zertifizierungsstellenserver (Zertifizierungsstelle) ist eine Zertifizierungsstelle, die Active Directory-Zertifikatdienste ausführt. Die VPN-Konfiguration erfordert eine Active Directory-basierte Public Key-Infrastruktur (PKI).

Organisationen können AD CS verwenden, um die Sicherheit zu verbessern, indem sie die Identität einer Person, eines Geräts oder eines Diensts an einen entsprechenden öffentlichen Schlüssel binden. AD CS enthält auch Features, mit denen Sie die Zertifikatregistrierung und -sperrung in einer Vielzahl von skalierbaren Umgebungen verwalten können. Weitere Informationen finden Sie unter Active Directory Certificate Services Overview and Public Key Infrastructure Design Guidance.

Während des Abschlusses der Bereitstellung konfigurieren Sie die folgenden Zertifikatvorlagen in der Zertifizierungsstelle.

  • Die Zertifikatvorlage "Benutzerauthentifizierung"

  • Die Zertifikatvorlage für die VPN-Serverauthentifizierung

  • Die NPS-Serverauthentifizierungszertifikatvorlage

Zertifikatvorlagen

Zertifikatvorlagen können die Aufgabe der Verwaltung einer Zertifizierungsstelle (Zertifizierungsstelle) erheblich vereinfachen, indem Sie Zertifikate ausstellen können, die für ausgewählte Aufgaben vorkonfiguriert sind. Mit dem MMC-Snap-In für Zertifikatvorlagen können Sie die folgenden Aufgaben ausführen.

  • Eigenschaften für jede Zertifikatvorlage anzeigen.

  • Kopieren und Ändern von Zertifikatvorlagen

  • Steuern Sie, welche Benutzer und Computer Vorlagen lesen und sich für Zertifikate registrieren können.

  • Führen Sie andere administrative Aufgaben im Zusammenhang mit Zertifikatvorlagen aus.

Zertifikatvorlagen sind ein integraler Bestandteil einer Unternehmenszertifizierungsstelle (Zertifizierungsstelle). Sie sind ein wichtiges Element der Zertifikatrichtlinie für eine Umgebung, die die Reihe von Regeln und Formaten für die Zertifikatregistrierung, Verwendung und Verwaltung darstellt.

Weitere Informationen finden Sie unter Zertifikatvorlagen.

Digitale Serverzertifikate

Diese Bereitstellungsanleitung enthält Anweisungen zur Verwendung von Active Directory-Zertifikatdiensten (AD CS), um Zertifikate sowohl bei Remotezugriffs- als auch NPS-Infrastrukturservern zu registrieren und automatisch zu registrieren. MIT AD CS können Sie eine Public Key-Infrastruktur (PKI) erstellen und öffentliche Schlüssel kryptografie, digitale Zertifikate und digitale Signaturfunktionen für Ihre Organisation bereitstellen.

Wenn Sie digitale Serverzertifikate für die Authentifizierung zwischen Computern in Ihrem Netzwerk verwenden, stellen die Zertifikate Folgendes bereit:

  1. Vertraulichkeit durch Verschlüsselung.

  2. Integrität durch digitale Signaturen.

  3. Authentifizierung durch Zuordnen von Zertifikatschlüsseln zu einem Computer, Benutzer oder Gerätekonto in einem Computernetzwerk.

Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste (Übersicht).

Active Directory Domain Services (AD DS)

Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-fähigen Anwendungen gespeichert und verwaltet werden. Administratoren können AD DS verwenden, um die Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Struktur aus Einschlussbeziehungen zu organisieren. Diese hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten in den einzelnen Domänen. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.

AD DS enthält die Benutzerkonten, Computerkonten und Kontoeigenschaften, die von Protected Extensible Authentication Protocol (PEAP) zum Authentifizieren von Benutzeranmeldeinformationen erforderlich sind und die Autorisierung für VPN-Verbindungsanforderungen auswerten. Informationen zum Bereitstellen von AD DS finden Sie im Windows Server 2016 Core Network Guide.

Während der Fertigstellung der Schritte in dieser Bereitstellung konfigurieren Sie die folgenden Elemente auf dem Domänencontroller.

  • Aktivieren der automatischen Registrierung von Zertifikaten in Gruppenrichtlinie für Computer und Benutzer

  • Erstellen der VPN-Benutzergruppe

  • Erstellen der VPN-Servergruppe

  • Erstellen der NPS-Servergruppe

Active Directory-Benutzer und -Computer

Active Directory-Benutzer und -Computer ist eine Komponente von AD DS, die Konten enthält, die physische Entitäten darstellen, z. B. einen Computer, eine Person oder eine Sicherheitsgruppe. Eine Sicherheitsgruppe ist eine Sammlung von Benutzer- oder Computerkonten, die Administratoren als einzelne Einheit verwalten können. Benutzer- und Computerkonten, die zu einer bestimmten Gruppe gehören, werden als Gruppenmitglieder bezeichnet.

Benutzerkonten in Active Directory-Benutzer und -Computer über Einwahleigenschaften verfügen, die NPS während des Autorisierungsprozesses auswertet – es sei denn, die Eigenschaft "Netzwerkzugriffsberechtigung" des Benutzerkontos ist auf die Steuerung des Zugriffs über NPS-Netzwerkrichtlinie festgelegt. Dies ist die Standardeinstellung für alle Benutzerkonten. In einigen Fällen kann diese Einstellung jedoch eine andere Konfiguration haben, die den Benutzer daran hindert, eine Verbindung mit VPN herzustellen. Um diese Möglichkeit zu schützen, können Sie den NPS-Server so konfigurieren, dass die Einwahleigenschaften des Benutzerkontos ignoriert werden.

Weitere Informationen finden Sie unter Configure NPS to Ignore User Account Dial-in Properties.

Gruppenrichtlinienverwaltung

Gruppenrichtlinie Verwaltung ermöglicht die verzeichnisbasierte Änderungs- und Konfigurationsverwaltung von Benutzer- und Computereinstellungen, einschließlich Sicherheit und Benutzerinformationen. Sie verwenden Gruppenrichtlinie, um Konfigurationen für Gruppen von Benutzern und Computern zu definieren.

Mit Gruppenrichtlinie können Sie Einstellungen für Registrierungseinträge, Sicherheit, Softwareinstallation, Skripts, Ordnerumleitung, Remoteinstallationsdienste und Internet Explorer-Wartung angeben. Die Gruppenrichtlinie Einstellungen, die Sie erstellen, sind in einem Gruppenrichtlinie-Objekt (GPO) enthalten. Durch Zuordnen eines Gruppenrichtlinienobjekts zu ausgewählten Active Directory-Systemcontainern – Websites, Domänen und OUs – können Sie die Einstellungen des Gruppenrichtlinienobjekts auf die Benutzer und Computer in diesen Active Directory-Containern anwenden. Um Gruppenrichtlinie Objekte in einem Unternehmen zu verwalten, können Sie den Gruppenrichtlinie Verwaltungs-Editor Microsoft Management Console (MMC) verwenden.

Windows 10 VPN-Clients

Stellen Sie zusätzlich zu den Serverkomponenten sicher, dass die Clientcomputer, die Sie für die Verwendung von VPN konfigurieren, Windows 10 Anniversary Update (Version 1607) ausgeführt werden. Die Windows 10 VPN-Clients müssen mit Ihrer Active Directory-Domäne verbunden sein.

Der Windows 10 VPN-Client ist stark konfigurierbar und bietet viele Optionen. Um die spezifischen Features dieses Szenarios besser zu veranschaulichen, identifiziert Tabelle 1 die VPN-Featurekategorien und bestimmte Konfigurationen, auf die diese Bereitstellung verweist. Sie konfigurieren die einzelnen Einstellungen für diese Features mithilfe des vpNv2-Konfigurationsdienstanbieters (CSP), der weiter unten in dieser Bereitstellung erläutert wird.

Tabelle 1. IN dieser Bereitstellung erläuterte VPN-Features und Konfigurationen

VPN-Feature Bereitstellungsszenariokonfiguration
Verbindungstyp Native IKEv2
Routing Geteiltes Tunneling
Namensauflösung Domänennameninformationsliste und DNS-Suffix
Auslösen Always On und Vertrauenswürdige Netzwerkerkennung
Authentifizierung PEAP-TLS mit TPM-geschützten Benutzerzertifikaten

Hinweis

PEAP-TLS und TPM sind "Protected Extensible Authentication Protocol with Transport Layer Security" und "Trusted Platform Module".

VPNv2-CSP-Knoten

In dieser Bereitstellung verwenden Sie den ProfileXML VPNv2-CSP-Knoten, um das VPN-Profil zu erstellen, das an Windows 10 Clientcomputer übermittelt wird. Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) sind Schnittstellen, die verschiedene Verwaltungsfunktionen innerhalb des Windows Clients verfügbar machen. Konzeptual funktionieren CSPs ähnlich wie Gruppenrichtlinie. Jeder CSP verfügt über Konfigurationsknoten, die einzelne Einstellungen darstellen. Ebenso wie Gruppenrichtlinie Einstellungen können Sie CSP-Einstellungen mit Registrierungsschlüsseln, Dateien, Berechtigungen usw. verknüpfen. Ähnlich wie die Verwendung des Gruppenrichtlinie-Verwaltungs-Editors zum Konfigurieren von Gruppenrichtlinie Objekten (GPOs), konfigurieren Sie CSP-Knoten mithilfe einer MDM-Lösung (Mobile Device Management) wie Microsoft Intune. MDM-Produkte wie Intune bieten eine benutzerfreundliche Konfigurationsoption, die den CSP im Betriebssystem konfiguriert.

Mobile Device Management to CSP configuration

Sie können jedoch einige CSP-Knoten nicht direkt über eine Benutzeroberfläche (UI) wie die Intune Admin Console konfigurieren. In diesen Fällen müssen Sie die Einstellungen für open Mobile Alliance Uniform Resource Identifier (OMA-URI) manuell konfigurieren. Sie konfigurieren OMA-URIs mithilfe des OMA-Geräteverwaltung-Protokolls (OMA-DM), einer universellen Geräteverwaltungsspezifikation, die die meisten modernen Apple, Android und Windows Geräte unterstützt. Solange sie die OMA-DM-Spezifikation einhalten, sollten alle MDM-Produkte auf die gleiche Weise mit diesen Betriebssystemen interagieren.

Windows 10 bietet viele CSPs, diese Bereitstellung konzentriert sich jedoch auf die Verwendung des VPNv2-CSP zum Konfigurieren des VPN-Clients. Der VPNv2-CSP ermöglicht die Konfiguration jeder VPN-Profileinstellung in Windows 10 über einen eindeutigen CSP-Knoten. Auch im VPNv2-CSP enthalten ist ein Knoten namens "ProfileXML", mit dem Sie alle Einstellungen in einem Knoten und nicht einzeln konfigurieren können. Weitere Informationen zu ProfileXML finden Sie weiter unten in dieser Bereitstellung im Abschnitt "ProfileXML-Übersicht". Ausführliche Informationen zu jedem VPNv2-CSP-Knoten finden Sie im VPNv2-CSP.

Nächste Schritte

  • Microsoft Server-Softwareunterstützung für Microsoft Azure virtuellen Computer: In diesem Artikel wird die Supportrichtlinie für die Ausführung von Microsoft-Serversoftware in der Microsoft Azure virtuellen Computerumgebung (Infrastruktur-as-a-Service) erläutert.

  • Remotezugriff: In diesem Thema finden Sie eine Übersicht über die Remotezugriffsserverrolle in Windows Server 2016.

  • Windows 10 technische Anleitung für VPN: Dieser Leitfaden führt Sie durch die Entscheidungen, die Sie für Windows 10 Clients in Ihrer Unternehmens-VPN-Lösung treffen und wie Sie Ihre Bereitstellung konfigurieren. Dieses Handbuch verweist auf den VPNv2-Konfigurationsdienstanbieter (CSP) und enthält Konfigurationsanweisungen für die Verwaltung mobiler Geräte (MDM) unter Verwendung von Microsoft Intune und der VPN-Profilvorlage für Windows 10.

  • Kernnetzwerkhandbuch: Dieser Leitfaden enthält Anweisungen zum Planen und Bereitstellen der Kernkomponenten, die für ein voll funktionsfähiges Netzwerk und eine neue Active Directory-Domäne in einer neuen Gesamtstruktur erforderlich sind.

  • Domain Name System (DNS): In diesem Thema finden Sie eine Übersicht über Domain Name Systems (DNS). In Windows Server 2016 ist DNS eine Serverrolle, die Sie mithilfe von Server-Manager oder Windows PowerShell Befehlen installieren können. Wenn Sie eine neue Active Directory-Gesamtstruktur und -Domäne installieren, wird DNS automatisch mit Active Directory als globaler Katalogserver für die Gesamtstruktur und Domäne installiert.

  • Übersicht über Active Directory-Zertifikatdienste: Dieses Dokument enthält eine Übersicht über Active Directory-Zertifikatdienste (AD CS) in Windows Server® 2012. AD CS ist die Serverrolle, die es Ihnen ermöglicht, eine Public Key Infrastructure (PKI) zu erstellen und Verschlüsselung für öffentliche Schlüssel, digitale Zertifikate und Funktionen für digitale Signaturen in Ihrer Organisation bereitzustellen.

  • Leitfaden für die Entwicklung öffentlicher Schlüsselinfrastruktur: Dieses Forum enthält Anleitungen zum Entwerfen öffentlicher Schlüsselinfrastrukturen (PUBLIC Key Infrastructure, PKIs). Bevor Sie eine PKI- und Zertifizierungsstellenhierarchie (Zertifizierungsstelle) konfigurieren, sollten Sie sich der Sicherheitsrichtlinie und zertifikatsübliche Anweisung (CPS) Ihrer Organisation bewusst sein.

  • Übersicht über Active Directory-Zertifikatdienste: In dieser schrittweisen Anleitung werden die erforderlichen Schritte zum Einrichten einer grundlegenden Konfiguration der Active Directory-Zertifikatdienste® (AD CS) in einer Laborumgebung beschrieben. AD CS in Windows Server® 2008 R2 bietet anpassbare Dienste zum Erstellen und Verwalten öffentlicher Schlüsselzertifikate, die in Softwaresicherheitssystemen mit öffentlichen Schlüsseltechnologien verwendet werden.

  • Netzwerkrichtlinienserver (NPS): In diesem Thema finden Sie eine Übersicht über den Netzwerkrichtlinienserver in Windows Server 2016. Mit Netzwerkrichtlinienserver (NPS) können Sie organisationsweite Netzwerkzugriffsrichtlinien für die Verbindungsanforderungsauthentifizierung und -autorisierung erstellen und erzwingen.