Delen via

Zelfstudie: AlwaysOn VPN-infrastructuur implementeren

AlwaysOn VPN is een externe toegangsoplossing in Windows Server die naadloze en veilige connectiviteit biedt voor externe gebruikers met bedrijfsnetwerken. Het biedt ondersteuning voor geavanceerde verificatiemethoden en integreert met bestaande infrastructuur en biedt een modern alternatief voor traditionele VPN-oplossingen. Deze zelfstudie begint met de reeks voor het implementeren van AlwaysOn VPN in een voorbeeldomgeving.

In deze zelfstudie leert u hoe u een voorbeeldinfrastructuur implementeert voor AlwaysOn VPN-verbindingen voor windows-clientcomputers die lid zijn van een extern domein. Als u een voorbeeldinfrastructuur wilt maken, gaat u als volgende te werk:

  • Maak een Active Directory-domeincontroller.
  • Groepsbeleid configureren voor automatische inschrijving van certificaten.
  • Maak een NPS-server (Network Policy Server).
  • Maak een VPN-server.
  • Maak een VPN-gebruiker en -groep.
  • Configureer de VPN-server als een RADIUS-client.
  • Configureer de NPS-server als een RADIUS-server.

Zie Het Overzicht van AlwaysOn VPN voor meer informatie over AlwaysOn VPN, waaronder ondersteunde integraties, beveiligings- en connectiviteitsfuncties.

Prerequisites

Als u de stappen in deze zelfstudie wilt voltooien, moet u voldoen aan de volgende vereisten:

  • Drie servers (fysiek of virtueel) met een ondersteunde versie van Windows Server. Deze servers zijn de domeincontroller, NPS-server en VPN-server.

  • De server die u voor de NPS-server gebruikt, moet twee fysieke netwerkadapters zijn geïnstalleerd: één om verbinding te maken met internet en één om verbinding te maken met het netwerk waar de domeincontroller zich bevindt.

  • Een gebruikersaccount op alle computers die lid zijn van de lokale beveiligingsgroep Administrators , of gelijkwaardig.

Important

Het gebruik van externe toegang in Microsoft Azure wordt niet ondersteund. Zie Microsoft Server-softwareondersteuning voor virtuele Microsoft Azure-machines voor meer informatie.

De domeincontroller maken

  1. Installeer Active Directory Domain Services (AD DS) op de server die u wilt gebruiken als de domeincontroller. Zie Active Directory Domain Services installeren voor gedetailleerde informatie over het installeren van AD DS.

  2. De Windows Server promoveren naar een domeincontroller. Voor deze zelfstudie maakt u een nieuw forest en het domein binnen dat nieuwe forest. Zie AD DS-installatie voor gedetailleerde informatie over het installeren van de domeincontroller.

  3. Installeer en configureer de certificeringsinstantie (CA) op de domeincontroller. Zie De certificeringsinstantie installeren voor gedetailleerde informatie over het installeren van de CA.

Groepsbeleid configureren voor automatisch inschrijven van certificaten

In deze sectie maakt u een groepsbeleid op de domeincontroller, zodat domeinleden automatisch gebruikers- en computercertificaten aanvragen. Met deze configuratie kunnen VPN-gebruikers gebruikerscertificaten aanvragen en ophalen waarmee VPN-verbindingen automatisch worden geauthentiseerd. Met dit beleid kan de NPS-server ook automatisch serververificatiecertificaten aanvragen.

  1. Open op de domeincontroller de console Groepsbeleidsbeheer.

  2. Klik in het linkerdeelvenster met de rechtermuisknop op uw domein (bijvoorbeeld corp.contoso.com). Selecteer Een GPO maken in dit domein, en koppel het hier.

  3. Voer in het dialoogvenster Nieuw groepsbeleidsobject voor Naamhet beleid voor automatische inschrijving in. Kies OK.

  4. Klik in het linkerdeelvenster met de rechtermuisknop op Beleid voor automatisch inschrijven. Selecteer Bewerken om de editor groepsbeleidsbeheer te openen.

  5. Voer in groepsbeleidsbeheer-editor de volgende stappen uit om automatische inschrijving van het computercertificaat te configureren:

    1. Navigeer naar Beleid voor computerconfiguratie>>windows-instellingen>voor beveiligingsinstellingen>openbare sleutelbeleid.

    2. Klik in het detailvenster met de rechtermuisknop op Certificate Services-client: automatische inschrijving. Selecteer Eigenschappen.

    3. Selecteer Ingeschakeld in het dialoogvenster Eigenschappen voor automatische inschrijving van de Certificate Services-client voor configuratiemodel.

    4. Selecteer Verlopen certificaten vernieuwen, in behandeling zijnde certificaten bijwerken en ingetrokken certificaten verwijderen en certificaten bijwerken die gebruikmaken van certificaatsjablonen.

    5. Kies OK.

  6. Voer in de editor voor groepsbeleidsbeheer de volgende stappen uit om automatische inschrijving van gebruikerscertificaten te configureren:

    1. Navigeer naar Beleid voor gebruikersconfiguratie>>windows-instellingen>voor beveiligingsinstellingen>openbare-sleutelbeleid.

    2. Klik in het detailvenster met de rechtermuisknop op Certificate Services-client: automatische inschrijving en selecteer Eigenschappen.

    3. Selecteer Ingeschakeld in het dialoogvenster Eigenschappen voor automatische inschrijving in het configuratiemodel in de Certificate Services-client.

    4. Selecteer Verlopen certificaten vernieuwen, in behandeling zijnde certificaten bijwerken en ingetrokken certificaten verwijderen en certificaten bijwerken die gebruikmaken van certificaatsjablonen.

    5. Kies OK.

    6. Sluit de editor voor groepsbeleidsbeheer.

  7. Pas het groepsbeleid toe op gebruikers en computers in het domein.

  8. Sluit de console Groepsbeleidsbeheer.

De NPS-server maken

  1. Installeer op de server waarop u de NPS-server wilt zijn de functie Network Policy and Access Services (NPS). Zie Network Policy Server installeren voor gedetailleerde informatie over het installeren van NPS.

  2. Registreer de NPS-server in Active Directory. Zie Een NPS registreren in een Active Directory-domein voor meer informatie over het registreren van NPS-server in Active Directory.

  3. Zorg ervoor dat uw firewalls het verkeer toestaan dat nodig is voor de VPN- en RADIUS-communicatie om correct te functioneren. Zie Firewalls configureren voor RADIUS-verkeer voor meer informatie.

  4. Maak de groep NPS-servers:

    1. Op de domeincontroller, open Active Directory Gebruikers en Computers.

    2. Klik onder uw domein met de rechtermuisknop op Computers. Selecteer Nieuw en selecteer Vervolgens Groep.

    3. Voer in groepsnaamNPS-servers in en selecteer VERVOLGENS OK.

    4. Klik met de rechtermuisknop op NPS-servers en selecteer Eigenschappen.

    5. Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van NPS-servers.

    6. Selecteer Objecttypen, schakel het selectievakje Computers in en selecteer VERVOLGENS OK.

    7. Voer in Enter de objectnamen in die u wilt selecteren, de hostnaam van de NPS-server. Kies OK.

    8. Sluit Active Directory-gebruikers en -computers.

De VPN-server maken

  1. Voor de server waarop de VPN-server wordt uitgevoerd, moet u ervoor zorgen dat op de computer twee fysieke netwerkadapters zijn geïnstalleerd: één om verbinding te maken met internet en één om verbinding te maken met het netwerk waar de domeincontroller zich bevindt.

  2. Bepaal welke netwerkadapter verbinding maakt met internet en welke netwerkadapter verbinding maakt met het domein. Configureer de netwerkadapter die gericht is op internet met een openbaar IP-adres, terwijl de adapter naar het intranet gericht is, een IP-adres van het lokale netwerk kan gebruiken.

  3. Stel voor de netwerkadapter die verbinding maakt met het domein het IP-adres van de DNS-voorkeur in op het IP-adres van de domeincontroller.

  4. Voeg de VPN-server toe aan het domein. Zie Een server toevoegen aan een domein voor informatie over het toevoegen van een server aan een domein.

  5. Stel uw firewallregels in om UDP-poorten 500 en 4500 inkomend verkeer toe te staan naar het externe IP-adres op de publieke interface op de VPN-server. Sta voor de netwerkadapter die verbinding maakt met het domein de volgende UDP-poorten toe: 1812, 1813, 1645 en 1646.

  6. Maak de groep VPN-servers:

    1. Open Active Directory Users and Computers op de domeincontroller.

    2. Klik onder uw domein met de rechtermuisknop op Computers. Selecteer Nieuw en selecteer Vervolgens Groep.

    3. Voer IN GroepsnaamVPN-servers in en selecteer VERVOLGENS OK.

    4. Klik met de rechtermuisknop op VPN-servers en selecteer Eigenschappen.

    5. Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van VPN-servers.

    6. Selecteer Objecttypen, schakel het selectievakje Computers in en selecteer VERVOLGENS OK.

    7. Voer in Enter de objectnamen in die u wilt selecteren, de hostnaam van de VPN-server. Kies OK.

    8. Sluit Active Directory-gebruikers en -computers.

  7. Volg de stappen in Externe toegang installeren als een VPN-server om de VPN-server te installeren.

  8. Open Routering en externe toegang vanuit Serverbeheer.

  9. Klik met de rechtermuisknop op de naam van de VPN-server en selecteer Vervolgens Eigenschappen.

  10. Selecteer in Eigenschappen het tabblad Beveiliging en vervolgens:

    1. Selecteer Verificatieprovider en selecteer RADIUS-verificatie.

    2. Selecteer Configureren om het dialoogvenster RADIUS-verificatie te openen.

    3. Selecteer Toevoegen om het dialoogvenster RADIUS-server toevoegen te openen.

      1. Voer in servernaam de FQDN (Fully Qualified Domain Name) van de NPS-server in, die ook een RADIUS-server is. Als de NetBIOS-naam van uw NPS- en domeincontrollerserver bijvoorbeeld is nps1 en uw domeinnaam is corp.contoso.com, voert u in nps1.corp.contoso.com.

      2. In Gedeeld geheim selecteert u Wijzigen om het dialoogvenster Geheim wijzigen te openen.

      3. Voer in Nieuw geheim een tekenreeks in.

      4. Voer in Nieuw geheim bevestigen dezelfde tekenreeks in en selecteer VERVOLGENS OK.

      5. Sla dit geheim op. nl-NL: U hebt deze nodig wanneer u deze VPN-server later in deze zelfstudie als een RADIUS-client toevoegt.

    4. Selecteer OK om het dialoogvenster RADIUS-server toevoegen te sluiten.

    5. Selecteer OK om het dialoogvenster RADIUS-verificatie te sluiten.

  11. Selecteer in het dialoogvenster Eigenschappen van DE VPN-server verificatiemethoden....

  12. Selecteer Verificatie van computercertificaten voor IKEv2 toestaan.

  13. Kies OK.

  14. Selecteer Windows Accounting voor accountingprovider.

  15. Selecteer OK om het dialoogvenster Eigenschappen te sluiten.

  16. In een dialoogvenster wordt u gevraagd de server opnieuw op te starten. Selecteer Ja.

VPN-gebruiker en -groep maken

  1. Maak een VPN-gebruiker door de volgende stappen uit te voeren:

    1. Open de console Active Directory-gebruikers en -computers op de domeincontroller.
    2. Klik onder uw domein met de rechtermuisknop op Gebruikers. Selecteer Nieuw. Voer een willekeurige naam in voor de aanmeldingsnaam van de gebruiker. Kies Volgende.
    3. Kies een wachtwoord voor de gebruiker.
    4. Deselecteer Gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. Selecteer Wachtwoord verloopt nooit.
    5. Klik op Voltooien. Active Directory-gebruikers en -computers geopend houden.

  2. Maak een VPN-gebruikersgroep door de volgende stappen uit te voeren:

    1. Klik onder uw domein met de rechtermuisknop op Gebruikers. Selecteer Nieuw en selecteer Vervolgens Groep.
    2. Voer IN GroepsnaamVPN-gebruikers in en selecteer VERVOLGENS OK.
    3. Klik met de rechtermuisknop op VPN-gebruikers en selecteer Eigenschappen.
    4. Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van VPN-gebruikers.
    5. Voeg in het dialoogvenster Gebruikers selecteren de VPN-gebruiker toe die u hebt gemaakt en selecteer OK.

VPN-server configureren als een RADIUS-client

  1. Open op de NPS-server uw firewallregels, inclusief die van de Windows Firewall, om inkomend verkeer via UDP-poorten 1812, 1813, 1645 en 1646 toe te staan.

  2. Open de Network Policy Server-console.

  3. Dubbelklik in de NPS-console op RADIUS Clients en Servers.

  4. Klik met de rechtermuisknop op RADIUS-clients en selecteer Nieuw om het dialoogvenster Nieuwe RADIUS-client te openen.

  5. Controleer of het selectievakje Deze RADIUS-client inschakelen is ingeschakeld.

  6. Voer in beschrijvende naam een weergavenaam in voor de VPN-server.

  7. Voer in adres (IP of DNS) het IP-adres of de FQDN van de VPN-server in.

    Als u de FQDN invoert, selecteert u Controleren of u wilt controleren of de naam juist is en wordt toegewezen aan een geldig IP-adres.

  8. In gedeeld geheim:

    1. Zorg ervoor dat Handmatig is geselecteerd.
    2. Voer het geheim in dat u hebt gemaakt in de sectie De VPN-server maken.
    3. Als u het gedeelde geheim wilt bevestigen, voert u het gedeelde geheim opnieuw in.

  9. Kies OK. De VPN-server moet worden weergegeven in de lijst met RADIUS-clients die zijn geconfigureerd op de NPS-server.

NPS-server configureren als een RADIUS-server

  1. Registreer een servercertificaat voor de NPS-server met een certificaat dat voldoet aan de vereisten in Certificaatsjablonen configureren voor PEAP- en EAP-vereisten. Als u wilt controleren of uw NPS-servers (Network Policy Server) zijn ingeschreven met een servercertificaat van de certificeringsinstantie (CA), zie Serverinschrijving van een servercertificaat controleren.

  2. Selecteer NPS (Lokaal) in de NPS-console.

  3. Zorg ervoor dat radius-server voor inbelverbinding of VPN-verbindingen is geselecteerd in de standaardconfiguratie.

  4. Selecteer VPN of Inbelverbinding configureren om de wizard VPN of Inbelverbinding configureren te openen.

  5. Selecteer Virtual Private Network (VPN)-verbindingen en selecteer vervolgens Volgende.

  6. In Opgeven voor inbelverbinding of VPN-server, selecteer in RADIUS-clients de naam van de VPN-server.

  7. Kies Volgende.

  8. Voer in Verificatiemethoden configureren de volgende stappen uit:

    1. Verwijder Microsoft Encrypted Authentication versie 2 (MS-CHAPv2).

    2. Selecteer Extensible Authentication Protocol.

    3. Voor Type selecteert u Microsoft: Beveiligde EAP (PEAP). Selecteer Vervolgens Configureren om het dialoogvenster Beveiligde EAP-eigenschappen bewerken te openen.

    4. Selecteer Verwijderen om het EAP-type Beveiligd wachtwoord (EAP-MSCHAP v2) te verwijderen.

    5. Selecteer Toevoegen. Het dialoogvenster EAP toevoegen wordt geopend.

    6. Selecteer Smart Card of ander certificaat en selecteer vervolgens OK.

    7. Selecteer OK om Beveiligde EAP-eigenschappen bewerken te sluiten.

  9. Kies Volgende.

  10. Voer in Gebruikersgroepen opgeven de volgende stappen uit:

    1. Selecteer Toevoegen. Het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren wordt geopend.

    2. Voer VPN-gebruikers in en selecteer VERVOLGENS OK.

    3. Kies Volgende.

  11. Selecteer Volgende bij IP-filters opgeven.

  12. Selecteer Volgende bij Instellingen voor versleuteling opgeven. Breng geen wijzigingen aan.

  13. Bij Geef een realmnaam op, selecteert u Volgende.

  14. Selecteer Voltooien om de wizard te sluiten.

Volgende stap

Nu u de voorbeeldinfrastructuur hebt gemaakt, kunt u beginnen met het configureren van uw certificeringsinstantie.

Zelfstudie: Certificeringsinstantiesjablonen configureren voor AlwaysOn VPN

  • Last updated on