Bereitstellen von Always On VPN

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11

In diesem Tutorial erfahren Sie, wie Sie Always On VPN-Verbindungen für Windows-Clientcomputer mit Remotedomänen bereitstellen.

Wenn Sie den bedingten Zugriff konfigurieren möchten, um zu optimieren, wie VPN-Benutzer auf Ihre Ressourcen zugreifen, lesen Sie Bedingter Zugriff für VPN-Konnektivität mit Azure AD. Weitere Informationen zum bedingten Zugriff für VPN-Konnektivität mithilfe von Azure AD finden Sie unter Bedingter Zugriff in Azure Active Directory.

Das folgende Diagramm veranschaulicht den Workflowprozess für die verschiedenen Szenarien bei der Bereitstellung Always On VPN:

Ablaufdiagramm des Always On VPN-Bereitstellungsworkflows

Voraussetzungen

Sie haben höchstwahrscheinlich die Technologien bereitgestellt, die Sie zum Bereitstellen Always On VPN verwenden können. Abgesehen von Ihren DC/DNS-Servern erfordert die Always On VPN-Bereitstellung einen NPS-Server (RADIUS), einen Zertifizierungsstelle-Server (Ca) und einen RAS-Server (Routing/VPN). Sobald die Infrastruktur eingerichtet ist, müssen Sie Clients registrieren und die Clients dann über mehrere Netzwerkänderungen sicher mit Ihrem lokalen Netzwerk verbinden.

  • Active Directory-Domäneninfrastruktur, einschließlich mindestens einem DNS-Server (Domain Name System). Es sind sowohl interne als auch externe DNS-Zonen (Domain Name System) erforderlich, was davon ausgeht, dass die interne Zone eine delegierte Unterdomäne der externen Zone ist (z. B. corp.contoso.com und contoso.com).
  • Active Directory-basierte Public Key-Infrastruktur (PKI) und Active Directory Certificate Services (AD CS).
  • Server, entweder virtueller oder physischer, vorhandener oder neuer Server, um den Netzwerkrichtlinienserver (Network Policy Server, NPS) zu installieren. Wenn Sie bereits über NPS-Server in Ihrem Netzwerk verfügen, können Sie eine vorhandene NPS-Serverkonfiguration ändern, anstatt einen neuen Server hinzuzufügen.
  • Remotezugriff als RAS-Gateway-VPN-Server mit einer kleinen Teilmenge von Features, die IKEv2-VPN-Verbindungen und LAN-Routing unterstützen.
  • Umkreisnetzwerk, das zwei Firewalls enthält. Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der für die VPN- und RADIUS-Kommunikation erforderlich ist, ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter übersicht über Always On VPN-Technologie.
  • Physischer Server oder virtueller Computer (VM) in Ihrem Umkreisnetzwerk mit zwei physischen Ethernet-Netzwerkadaptern zum Installieren des Remotezugriffs als RAS Gateway-VPN-Server. VMs erfordern virtuelles LAN (VLAN) für den Host.
  • Die Mitgliedschaft bei Administratoren oder einer gleichwertigen Instanz ist mindestens erforderlich.
  • Lesen Sie den Abschnitt Planung dieses Leitfadens, um sicherzustellen, dass Sie auf diese Bereitstellung vorbereitet sind, bevor Sie die Bereitstellung ausführen.
  • Lesen Sie die Entwurfs- und Bereitstellungsleitfäden für die einzelnen verwendeten Technologien. Mit diesen Leitfäden können Sie ermitteln, ob die Bereitstellungsszenarien die Dienste und Konfiguration bereitstellen, die Sie für das Netzwerk Ihrer Organisation benötigen. Weitere Informationen finden Sie unter übersicht über Always On VPN-Technologie.
  • Verwaltungsplattform Ihrer Wahl für die Bereitstellung der Always On VPN-Konfiguration, da der CSP nicht herstellerspezifisch ist.

Wichtig

Für diese Bereitstellung können Sie alle Versionen von Windows Server für die Infrastrukturserver und für den Server verwenden, auf dem Remotezugriff ausgeführt wird.

Versuchen Sie nicht, den Remotezugriff auf einem virtuellen Computer (VM) in Microsoft Azure bereitzustellen. Die Verwendung des Remotezugriffs in Microsoft Azure wird nicht unterstützt, einschließlich Remotezugriffs-VPN und DirectAccess. Weitere Informationen finden Sie unter Microsoft Server-Softwareunterstützung für virtuelle Microsoft Azure-Computer.

Informationen zu dieser Bereitstellung

Die bereitgestellten Anweisungen führen Sie durch die Bereitstellung des Remotezugriffs als VPN-RAS-Gateway mit einem einzelnen Mandanten für Point-to-Site-VPN-Verbindungen unter Verwendung eines der unten aufgeführten Szenarien für Remoteclientcomputer, auf denen Windows ausgeführt wird. Sie finden auch Anweisungen zum Ändern einiger Ihrer vorhandenen Infrastruktur für die Bereitstellung. Außerdem finden Sie in dieser Bereitstellung Links, mit denen Sie mehr über den VPN-Verbindungsprozess, die zu konfigurierenden Server, den ProfileXML VPNv2-CSP-Knoten und andere Technologien zum Bereitstellen Always On VPN erfahren können.

Always On VPN-Bereitstellungsszenarien:

  • Stellen Sie nur Always On VPN bereit.
  • Stellen Sie Always On VPN mit bedingtem Zugriff für die VPN-Konnektivität mithilfe von Azure AD bereit.

Was in dieser Bereitstellung nicht bereitgestellt wird

Diese Bereitstellung enthält keine Anweisungen für Folgendes:

  • Active Directory Domain Services (AD DS)
  • Active Directory Certificate Services (AD CS) und eine Public Key Infrastructure (PKI)
  • Dynamic Host Configuration-Protokoll (DHCP)
  • Netzwerkhardware, z. B. Ethernet-Verkabelung, Firewalls, Switches und Hubs.
  • Zusätzliche Netzwerkressourcen, z. B. Anwendungs- und Dateiserver, auf die Remotebenutzer über eine Always On VPN-Verbindung zugreifen können.
  • Internetkonnektivität oder bedingter Zugriff für Die Internetverbindung mithilfe von Azure AD. Ausführliche Informationen finden Sie unter Bedingter Zugriff in Azure Active Directory.

Schritt 1: Planen der Always On VPN-Bereitstellung

In diesem Schritt planen und bereiten Sie Ihre Always On VPN-Bereitstellung vor. Bevor Sie beginnen, müssen Sie die Remotezugriffsserverrolle auf dem Computer installieren, den Sie als VPN-Server verwenden möchten. Nach der richtigen Planung können Sie Always On VPN bereitstellen und optional den bedingten Zugriff für die VPN-Konnektivität mithilfe von Azure AD konfigurieren.

Schritt 2: Konfigurieren der Always On VPN-Serverinfrastruktur

In diesem Schritt installieren und konfigurieren Sie die serverseitigen Komponenten, die für die Unterstützung des VPN erforderlich sind. Zu den serverseitigen Komponenten gehört die Konfiguration der PKI für die Verteilung der von Benutzern verwendeten Zertifikate, des VPN-Servers und des NPS-Servers. Außerdem konfigurieren Sie RRAS so, dass IKEv2-Verbindungen und der NPS-Server für die Autorisierung der VPN-Verbindungen unterstützt wird.

Zum Konfigurieren der Serverinfrastruktur müssen Sie die folgenden Aufgaben ausführen:

  • Erstellen Sie auf einem Server, der mit Active Directory Domain Services konfiguriert ist: Aktivieren Sie die automatische Zertifikatregistrierung in Gruppenrichtlinie sowohl für Computer als auch für Benutzer, erstellen Sie die VPN-Benutzergruppe, die VPN-Servergruppe und die NPS-Servergruppe, und fügen Sie jeder Gruppe Mitglieder hinzu.
  • Auf einer Active Directory-Zertifikatserver-Zertifizierungsstelle: Erstellen Sie die Zertifikatvorlagen Benutzerauthentifizierung, VPN-Serverauthentifizierung und NPS-Serverauthentifizierung.
  • Auf in die Domäne eingebundenen Windows-Clients: Registrieren und Überprüfen von Benutzerzertifikaten.

Schritt 3: Konfigurieren des RAS-Servers für Always On VPN

In diesem Schritt konfigurieren Sie remote Access VPN, um IKEv2-VPN-Verbindungen zuzulassen, Verbindungen aus anderen VPN-Protokollen zu verweigern und einen statischen IP-Adresspool für die Ausstellung von IP-Adressen zuzuweisen, um autorisierte VPN-Clients zu verbinden.

Zum Konfigurieren von RAS müssen Sie die folgenden Aufgaben ausführen:

  • Registrieren und Überprüfen des VPN-Serverzertifikats
  • Installieren und Konfigurieren des Remotezugriffs-VPN

Schritt 4. Installieren und Konfigurieren des NPS-Servers

In diesem Schritt installieren Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS), indem Sie entweder Windows PowerShell oder den Assistenten zum Hinzufügen von Rollen und Features Server-Manager verwenden. Außerdem konfigurieren Sie NPS so, dass alle Authentifizierungs-, Autorisierungs- und Buchhaltungspflichten für die Verbindungsanforderung verarbeitet werden, die vom VPN-Server empfangen werden.

Zum Konfigurieren von NPS müssen Sie die folgenden Aufgaben ausführen:

  • Registrieren des NPS-Servers in Active Directory
  • Konfigurieren der RADIUS-Abrechnung für Ihren NPS-Server
  • Hinzufügen des VPN-Servers als RADIUS-Client in NPS
  • Konfigurieren der Netzwerkrichtlinie in NPS
  • Automatische Registrierung des NPS-Serverzertifikats

Schritt 5: Konfigurieren von DNS- und Firewalleinstellungen für Always On VPN

In diesem Schritt konfigurieren Sie DNS- und Firewalleinstellungen. Wenn Remote-VPN-Clients eine Verbindung herstellen, verwenden sie dieselben DNS-Server, die Ihre internen Clients verwenden, sodass sie Namen auf die gleiche Weise auflösen können wie die übrigen internen Arbeitsstationen.

Schritt 6: Konfigurieren von Windows Client Always On VPN-Verbindungen

In diesem Schritt konfigurieren Sie die Windows-Clientcomputer für die Kommunikation mit dieser Infrastruktur über eine VPN-Verbindung. Sie können verschiedene Technologien zum Konfigurieren von Windows-VPN-Clients verwenden, einschließlich Windows PowerShell, Microsoft Endpoint Configuration Manager und Intune. Alle drei erfordern ein XML-VPN-Profil, um die entsprechenden VPN-Einstellungen zu konfigurieren.

Schritt 7. (Optional) Konfigurieren des bedingten Zugriffs für die VPN-Konnektivität

In diesem optionalen Schritt können Sie optimieren, wie autorisierte VPN-Benutzer auf Ihre Ressourcen zugreifen. Mit dem bedingten Azure AD-Zugriff für DIE VPN-Konnektivität können Sie die VPN-Verbindungen schützen. Bedingter Zugriff ist eine richtlinienbasierte Auswertungs-Engine, mit der Sie Zugriffsregeln für jede mit Azure AD verbundene Anwendung erstellen können. Weitere Informationen finden Sie unter Bedingter Azure Active Directory-Zugriff (Azure AD).

Nächster Schritt

Planen der Always On VPN-Bereitstellung: In diesem Abschnitt erfahren Sie mehr über die nächsten Schritte zur Vorbereitung Ihres RAS-Servers.