Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze zelfstudie leert u hoe u AlwaysOn VPN-verbindingen implementeert voor windows-clientcomputers die lid zijn van een extern domein. U maakt een voorbeeldinfrastructuur die laat zien hoe u een AlwaysOn VPN-verbindingsproces implementeert. Het proces bestaat uit de volgende stappen:
De Windows VPN-client maakt gebruik van een openbare DNS-server om een naamomzettingsquery uit te voeren voor het IP-adres van de VPN-gateway.
De VPN-client gebruikt het IP-adres dat door DNS wordt geretourneerd om een verbindingsaanvraag naar de VPN-gateway te verzenden.
De VPN-server is ook geconfigureerd als een RADIUS-client (Remote Authentication Dial-In User Service). de VPN RADIUS-client verzendt de verbindingsaanvraag naar de NPS-server voor verwerking van verbindingsaanvragen.
De NPS-server verwerkt de verbindingsaanvraag, inclusief het uitvoeren van autorisatie en verificatie, en bepaalt of de verbindingsaanvraag moet worden toegestaan of geweigerd.
De NPS-server stuurt een Access-Accept of Access-Deny antwoord door naar de VPN-server.
De verbinding wordt gestart of beëindigd op basis van het antwoord dat de VPN-server van de NPS-server heeft ontvangen.
Vereiste voorwaarden
Om de stappen in deze handleiding te voltooien,
U hebt toegang nodig tot vier fysieke computers of virtuele machines (VM's).
Zorg ervoor dat uw gebruikersaccount op alle computers lid is van beheerders of gelijkwaardig.
Belangrijk
Het gebruik van externe toegang in Microsoft Azure wordt niet ondersteund, waaronder VPN voor externe toegang en DirectAccess. Zie Microsoft-serversoftwareondersteuning voor virtuele Microsoft Azure-machinesvoor meer informatie.
De domeincontroller maken
Installeer Windows Server op de computer waarop de domeincontroller wordt uitgevoerd.
Installeer Active Directory Domain Services (AD DS). Zie Active Directory Domain Services installeren voor gedetailleerde informatie over het installeren van AD DS.
De Windows Server promoveren naar een domeincontroller. Voor deze handleiding maakt u een nieuw forest en een domein binnen dat nieuwe forest. Zie AD DS-installatie voor gedetailleerde informatie over het installeren van de domeincontroller.
Installeer en configureer de certificeringsinstantie (CA) op de domeincontroller. Zie De certificeringsinstantie installeren voor gedetailleerde informatie over het installeren van CA.
Een Active Directory-groepsbeleid maken
In deze sectie maakt u een groepsbeleid op de domeincontroller, zodat domeinleden automatisch gebruikers- en computercertificaten aanvragen. Met deze configuratie kunnen VPN-gebruikers gebruikerscertificaten aanvragen en ophalen waarmee VPN-verbindingen automatisch worden geverifieerd. Met dit beleid kan de NPS-server ook automatisch serververificatiecertificaten aanvragen.
Open Groepsbeleidsbeheer op de domeincontroller.
Klik in het linkerdeelvenster met de rechtermuisknop op uw domein (bijvoorbeeld corp.contoso.com). Selecteer Maak een groepsbeleidsobject in dit domein, en koppel het hier.
Voer in het dialoogvenster Nieuwe GPO voor NaamAuto-enrollmentsbeleid in. Kies OK.
Klik in het linkerdeelvenster met de rechtermuisknop op Beleid voor automatisch inschrijven. Selecteer Bewerken om de editor groepsbeleidsbeheer te openen.
Voer in de editor voor groepsbeleidsbeheer de volgende stappen uit om automatische inschrijving van computercertificaten te configureren:
Ga in het linkerdeelvenster naar Computerconfiguratie>Beleidsregels>Windows-instellingen>Beveiligingsinstellingen>Beleidslijnen voor openbare sleutels.
Klik in het detailvenster met de rechtermuisknop op Certificate Services-client: automatische inschrijving. Selecteer Eigenschappen.
Selecteer Ingeschakeld in het dialoogvenster Eigenschappen voor automatische inschrijving van de Certificate Services-client voor configuratiemodel.
Selecteer Verlopen certificaten vernieuwen, in behandeling zijnde certificaten bijwerken en ingetrokken certificaten verwijderen en certificaten bijwerken die gebruikmaken van certificaatsjablonen.
Kies OK.
Voer in de editor voor groepsbeleidsbeheer de volgende stappen uit om automatische inschrijving van gebruikerscertificaten te configureren:
Ga in het linkerdeelvenster naar Gebruikersconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Beleid voor openbare sleutels.
Klik in het detailvenster met de rechtermuisknop op Certificate Services-client: automatische inschrijving en selecteer Eigenschappen.
Selecteer Ingeschakeld in het dialoogvenster Eigenschappen voor automatische inschrijving in het configuratiemodel in de Certificate Services-client.
Selecteer Verlopen certificaten vernieuwen, in behandeling zijnde certificaten bijwerken en ingetrokken certificaten verwijderen en certificaten bijwerken die gebruikmaken van certificaatsjablonen.
Kies OK.
Sluit de editor voor groepsbeleidsbeheer.
Sluit Groepsbeleidsbeheer.
De NPS-server maken
Installeer Windows Server op de computer waarop de NPS-server wordt uitgevoerd.
Installeer op de NPS-server de functie Network Policy and Access Services (NPS). Zie Network Policy Server installeren voor gedetailleerde informatie over het installeren van NSP.
Registreer de NPS-server in Active Directory. Zie Een NPS registreren in een Active Directory-domein voor meer informatie over het registreren van NPS-server in Active Directory.
Zorg ervoor dat uw firewalls het verkeer toestaan dat nodig is voor de VPN- en RADIUS-communicatie om correct te functioneren. Zie Firewalls configureren voor RADIUS-verkeervoor meer informatie.
Maak de groep NPS-servers:
Op de domeincontroller, open Active Directory Gebruikers en Computers.
Klik onder uw domein met de rechtermuisknop op Computers. Selecteer Nieuw en selecteer Vervolgens Groep.
Voer in groepsnaamNPS-servers in en selecteer VERVOLGENS OK.
Klik met de rechtermuisknop op NPS-servers en selecteer Eigenschappen.
Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van NPS-servers.
selecteer Objecttypen, schakel het selectievakje Computers in en selecteer VERVOLGENS OK.
Voer in Enter de objectnamen in die u wilt selecteren, de computernaam van de NPS-server. Kies OK.
Sluit Active Directory-gebruikers en -computers.
De VPN-server maken
Installeer Windows Server op de computer waarop de VPN-server wordt uitgevoerd. Zorg ervoor dat op de computer twee fysieke netwerkadapters zijn geïnstalleerd: één om verbinding te maken met internet en één om verbinding te maken met het netwerk waar de domeincontroller zich bevindt.
Bepaal welke netwerkadapter verbinding maakt met internet en welke netwerkadapter verbinding maakt met het domein. Configureer de netwerkadapter die gericht is op internet met een openbaar IP-adres, terwijl de adapter naar het intranet gericht is, een IP-adres van het lokale netwerk kan gebruiken.
Stel voor de netwerkadapter die verbinding maakt met het domein het IP-adres van de DNS-voorkeur in op het IP-adres van de domeincontroller.
Voeg de VPN-server toe aan het domein. Zie Een server toevoegen aan een domein voor informatie over het toevoegen van een server aan een domein.
Stel uw firewallregels in om UDP-poorten 500 en 4500 inkomend verkeer toe te staan naar het externe IP-adres op de publieke interface op de VPN-server.
Schakel op de netwerkadapter die verbinding maakt met het domein de volgende poorten in: UDP1812, UDP1813, UDP1645 en UDP1646.
Maak de groep VPN-servers:
Open Active Directory: gebruikers en computers op de domeincontroller.
Klik onder uw domein met de rechtermuisknop op Computers. Selecteer Nieuw en selecteer Vervolgens Groep.
Voer GroepsnaamVPN-servers in en selecteer vervolgens OK.
Klik met de rechtermuisknop op VPN-servers en selecteer Eigenschappen.
Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van VPN-servers.
selecteer Objecttypen, schakel het selectievakje Computers in en selecteer VERVOLGENS OK.
Voer in Enter de objectnamen in die u wilt selecteren, de computernaam van de VPN-server. Kies OK.
Sluit Active Directory-gebruikers en -computers.
Volg de stappen in Externe toegang installeren als een VPN-server om de VPN-server te installeren.
Open het hulpprogramma Routering en externe toegang vanuit Serverbeheer.
Klik met de rechtermuisknop op de VPN-server en selecteer Eigenschappen.
Selecteer in Eigenschappen het tabblad Beveiliging en vervolgens:
Selecteer Verificatieprovider en selecteer RADIUS-verificatie.
Selecteer Configureren om het dialoogvenster RADIUS-verificatie te openen.
Selecteer Toevoegen om het dialoogvenster RADIUS-server toevoegen te openen.
Voer in servernaam de FQDN (Fully Qualified Domain Name) van de NPS-server in. In deze zelfstudie is de NPS-server de domeincontrollerserver. Als de NetBIOS-naam van uw NPS- en domeincontrollerserver bijvoorbeeld dc1 is en uw domeinnaam is corp.contoso.com, voert u dc1.corp.contoso.com in.
In Gedeeld geheim selecteert u Wijzigen om het dialoogvenster Geheim wijzigen te openen.
Voer in Nieuw geheim een tekenreeks in.
Voer in Nieuw geheim bevestigen dezelfde tekenreeks in en selecteer VERVOLGENS OK.
Sla dit geheim op. U hebt deze nodig wanneer u deze VPN-server later in deze zelfstudie als RADIUS-client toevoegt.
Selecteer OK om het dialoogvenster RADIUS-server toevoegen te sluiten.
Selecteer OK om het dialoogvenster Radius-verificatie te sluiten.
Selecteer in het dialoogvenster Eigenschappen van de VPN-server Verificatiemethoden....
Selecteer Verificatie van computercertificaten voor IKEv2 toestaan.
Kies OK.
Voor Accounting provider selecteer Windows Accounting.
Selecteer OK om het dialoogvenster Eigenschappen te sluiten.
In een dialoogvenster wordt u gevraagd de server opnieuw op te starten. Selecteer Ja.
VPN Windows-client maken
Installeer Windows 10 of hoger op de computer die uw VPN-client is.
Voeg de VPN-client toe aan uw domein. Zie Een computer toevoegen aan een domein voor meer informatie over het toevoegen van een computer aan een domein.
VPN-gebruiker en -groep maken
Maak een VPN-gebruiker door de volgende stappen uit te voeren:
Op de domeincontroller, open Active Directory-gebruikers en -computers.
Klik onder uw domein met de rechtermuisknop op Gebruikers. Klik op Nieuw. Voor aanmeldingsnaam van de gebruiker, voer een willekeurige aanmeldingsnaam in. Kies Volgende.
Kies een wachtwoord voor de gebruiker.
Deselecteer Gebruiker moet het wachtwoord wijzigen bij volgende aanmelding. Selecteer Wachtwoord verloopt nooit.
Selecteer en voltooi. Active Directory-gebruikers en -computers geopend houden.
Maak een VPN-gebruikersgroep door de volgende stappen uit te voeren:
Klik onder uw domein met de rechtermuisknop op Gebruikers. Selecteer Nieuw en selecteer Vervolgens Groep.
Voer in GroepsnaamVPN-gebruikers in en selecteer OK.
Klik met de rechtermuisknop op VPN-gebruikers en selecteer Eigenschappen.
Selecteer Toevoegen op het tabblad Leden van het dialoogvenster Eigenschappen van VPN-gebruikers.
Voeg in het dialoogvenster Gebruikers selecteren de VPN-gebruiker toe die u hebt gemaakt en selecteer OK.
VPN-server configureren als een RADIUS-client
Open uw firewallregels op de NPS-server om inkomend verkeer via de UDP-poorten 1812, 1813, 1645 en 1646 toe te staan.
Dubbelklik in de NPS-console op RADIUS-clients en -servers.
Klik met de rechtermuisknop op RADIUS-clients en selecteer Nieuw om het dialoogvenster Nieuwe RADIUS-client te openen.
Controleer of het selectievakje Deze RADIUS-client inschakelen is ingeschakeld.
Voer in vriendelijke naam een weergavenaam in voor de VPN-server.
Voer in het adres (IP of DNS) het IP-adres of de FQDN van de VPN-server in.
Als u de FQDN invoert, selecteert u Controleren of u wilt controleren of de naam juist is en wordt toegewezen aan een geldig IP-adres.
In gedeeld geheim:
Zorg ervoor dat Handmatig is geselecteerd.
Voer het geheim in dat u hebt gemaakt in de sectie De VPN-server maken.
Voer het gedeelde geheim opnieuw in als u het gedeelde geheim wilt bevestigen.
Kies OK. De VPN-server moet worden weergegeven in de lijst met RADIUS-clients die zijn geconfigureerd op de NPS-server.
NPS-server configureren als een RADIUS-server
Opmerking
In deze zelfstudie wordt de NPS-server geïnstalleerd op de domeincontroller met de CA-rol; en we hoeven geen afzonderlijk NPS-servercertificaat te registreren. In een omgeving waarin de NPS-server op een afzonderlijke server is geïnstalleerd, moet een NPS-servercertificaat echter worden ingeschreven voordat u deze stappen kunt uitvoeren.
Selecteer NPS(Lokaal) in de NPS-console.
Zorg ervoor dat radius-server voor inbelverbinding of VPN-verbindingen is geselecteerd in de standaardconfiguratie.
Selecteer VPN of Inbelverbinding configureren om de wizard voor het configureren van VPN of inbellen te openen.
Selecteer VPN-verbindingen (Virtual Private Network) en selecteer Volgende.
In 'Opgeven voor inbelverbinding of VPN-server', selecteer in RADIUS-clients de naam van de VPN-server.
Kies Volgende.
Voer in Verificatiemethoden configureren de volgende stappen uit:
Verwijder Microsoft Encrypted Authentication versie 2 (MS-CHAPv2).
Selecteer Extensible Authentication Protocol.
Voor Type selecteert u Microsoft: Beveiligde EAP (PEAP). Selecteer Vervolgens Configureren om het dialoogvenster Beveiligde EAP-eigenschappen bewerken te openen.
Selecteer Verwijderen om het EAP-type Beveiligd wachtwoord (EAP-MSCHAP v2) te verwijderen.
Selecteer Toevoegen. Het dialoogvenster EAP toevoegen wordt geopend.
Selecteer Smartcard of ander certificaat en klik dan op OK.
Selecteer OK om Beveiligde EAP-eigenschappen bewerken te sluiten.
Kies Volgende.
Voer in het onderdeel Gebruikersgroepen opgeven de volgende stappen uit:
Selecteer Toevoegen. Het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren wordt geopend.
Voer VPN-gebruikers in en selecteer VERVOLGENS OK.
Kies Volgende.
Selecteer Volgende bij IP-filters opgeven.
Selecteer Volgende bij Instellingen voor versleuteling opgeven. Breng geen wijzigingen aan.
Bij Geef een realmnaam op, selecteert u Volgende.
Selecteer Finish om de wizard te sluiten.
Volgende stappen
Nu u de voorbeeldinfrastructuur hebt gemaakt, bent u klaar om uw certificeringsinstantie te configureren.