Tutorial: Bereitstellen von Always On VPN: Einrichten der Infrastruktur für Always On VPN
In diesem Tutorial erfahren Sie, wie Sie Always On VPN-Verbindungen für in die Domäne remote eingebundene Windows 10-Clientcomputer bereitstellen. Sie erstellen eine Beispielinfrastruktur, die zeigt, wie Sie einen Always On VPN-Verbindungsprozess implementieren. Dieser Vorgang umfasst die folgenden Schritte:
Der Windows VPN-Client verwendet einen öffentlichen DNS-Server, um eine Namensauflösungsabfrage für die IP-Adresse des VPN-Gateways auszuführen.
Der VPN-Client verwendet die von DNS zurückgegebene IP-Adresse, um eine Verbindungsanforderung an das VPN-Gateway zu senden.
Der VPN-Server ist auch als RADIUS-Client (Remote Authentication Dial-In User Service) konfiguriert. Der VPN RADIUS-Client sendet die Verbindungsanforderung zur Verarbeitung an den NPS-Server.
Der NPS-Server verarbeitet die Verbindungsanforderung, einschließlich der Durchführung von Autorisierung und Authentifizierung, und bestimmt, ob die Verbindungsanforderung zugelassen oder abgelehnt werden soll.
Der NPS-Server leitet eine Access-Accept- oder Access-Deny-Antwort an den VPN-Server weiter.
Die Verbindung wird basierend auf der Antwort hergestellt oder beendet, die der VPN-Server vom NPS-Server empfangen hat.
Voraussetzungen
So führen Sie die Schritte in diesem Tutorial aus:
Sie benötigen Zugriff auf vier physische Computer oder virtuelle Computer (VMs).
Stellen Sie sicher, dass Ihr Benutzerkonto auf allen Computern Mitglied der Gruppe Administratoren oder gleichwertig ist.
Wichtig
Die Verwendung des Remotezugriffs einschließlich Remote Access VPN und DirectAccess in Microsoft Azure wird nicht unterstützt. Weitere Informationen finden Sie unter Microsoft-Serversoftwareunterstützung für virtuelle Microsoft Azure-Computer.
Erstellen des Domänencontrollers
Installieren Sie Windows Server auf dem Computer, auf dem der Domänencontroller ausgeführt wird.
Installieren Sie Active Directory Domain Services (AD DS). Ausführliche Informationen zum Installieren von AD DS finden Sie unter Installieren von Active Directory Domain Services.
Stufen Sie den Windows Server auf den Domänencontroller hoch. In diesem Tutorial erstellen Sie eine neue Gesamtstruktur und die Domäne für diese neue Gesamtstruktur. Ausführliche Informationen zum Installieren des Domänencontrollers finden Sie unter AD DS-Installation.
Installieren und konfigurieren Sie die Zertifizierungsstelle (CA) auf dem Domänencontroller. Ausführliche Informationen zum Installieren der Zertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.
Erstellen einer Active Directory-Gruppenrichtlinie
In diesem Abschnitt erfahren Sie, wie Sie eine Gruppenrichtlinie auf dem Domänencontroller erstellen, damit Domänenmitglieder automatisch Benutzer- und Computerzertifikate anfordern. Mit dieser Konfiguration können VPN-Benutzer Benutzerzertifikate anfordern und abrufen, die automatisch VPN-Verbindungen authentifizieren. Diese Richtlinie ermöglicht es dem NPS-Server zudem, automatisch Serverauthentifizierungszertifikate anzufordern.
Öffnen Sie auf dem Domänencontroller die Gruppenrichtlinienverwaltung.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihre Domäne (z. B. corp.contoso.com). Wählen Sie Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
Geben Sie im Dialogfeld „Neues Gruppenrichtlinienobjekt“ unter Name die Zeichenfolge Richtlinie für die automatische Registrierung ein. Klicken Sie auf OK.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Richtlinie für die automatische Registrierung. Wählen Sie Bearbeiten aus, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.
Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Computerzertifikaten zu konfigurieren:
Wechseln Sie im linken Bereich zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien öffentlicher Schlüssel.
Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung. Wählen Sie Eigenschaften aus.
Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.
Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.
Wählen Sie OK aus.
Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Benutzerzertifikaten zu konfigurieren:
Wechseln Sie im linken Bereich zu Benutzerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien öffentlicher Schlüssel.
Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung, und wählen Sie Eigenschaften aus.
Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.
Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.
Wählen Sie OK aus.
Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.
Schließen Sie die Gruppenrichtlinienverwaltung.
Erstellen des NPS-Servers
Installieren Sie Windows Server auf dem Computer, auf dem der Domänencontroller ausgeführt wird.
Installieren Sie auf dem NPS-Server die Rolle Netzwerkrichtlinien- und Zugriffsdienste (NETWORK Policy and Access Services, NPS). Ausführliche Informationen zum Installieren von NPS finden Sie unter Installieren des Netzwerkrichtlinienservers.
Registrieren Sie den NPS-Server in Active Directory. Informationen zum Registrieren des NPS-Servers in Active Directory finden Sie unter Registrieren eines NPS in einem Active Directory-Domäne.
Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der für die VPN- und RADIUS-Kommunikation erforderlich ist, damit sie ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.
Erstellen Sie die NPS-Servergruppe:
Öffnen Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".
Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer. Wählen Sie Neu und dann Gruppe aus.
Geben Sie unter Gruppenname die NPS-Server ein, und wählen Sie dann OK aus.
Klicken Sie mit der rechten Maustaste auf NPS-Server, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den NPS-Servereigenschaften die Option Hinzufügen aus.
Wählen Sie Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie dann auf OK.
Geben Sie unter Geben Sie die auszuwählenden Objektnamen ein den Computernamen des NPS-Servers ein. Klicken Sie auf OK.
Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.
Erstellen des VPN-Servers
Installieren Sie Windows Server auf dem Computer, auf dem der VPN-Server ausgeführt wird. Stellen Sie sicher, dass auf dem Computer zwei physische Netzwerkadapter installiert sind: einer zum Herstellen einer Verbindung mit dem Internet und einer zum Herstellen einer Verbindung mit dem Netzwerk, in dem sich der Domänencontroller befindet.
Ermitteln Sie, welcher Netzwerkadapter eine Verbindung mit dem Internet herstellt, und welcher Netzwerkadapter eine Verbindung zur Domäne herstellt. Konfigurieren Sie den Netzwerkadapter für das Internet mit einer öffentlichen IP-Adresse, während der Adapter für das Intranet eine IP-Adresse aus dem lokalen Netzwerk verwenden kann.
Legen Sie für den Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die bevorzugte DNS-IP-Adresse auf die IP-Adresse des Domänencontrollers fest.
Fügen Sie den Server zur Domäne hinzu. Informationen zum Hinzufügen eines Servers zu einer Domäne finden Sie unter So fügen Sie einen Server zu einer Domäne hinzu.
Öffnen Sie Ihre Firewallregeln, um die eingehenden UDP-Ports 500 und 4500 für die externe IP-Adresse zuzulassen, die der öffentlichen Schnittstelle des VPN-Servers zugeordnet ist.
Aktivieren Sie auf dem Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die folgenden Ports: UDP1812, UDP1813, UDP1645 und UDP1646.
Erstellen Sie die VPN-Servergruppe:
Öffnen Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".
Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Computer. Wählen Sie Neu und dann Gruppe aus.
Geben Sie unter Gruppenname die NPS-Server ein, und wählen Sie dann OK aus.
Klicken Sie mit der rechten Maustaste auf NPS-Server, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den VPN-Servereigenschaften die Option Hinzufügen aus.
Wählen Sie Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie dann auf OK.
Geben Sie unter Geben Sie die auszuwählenden Objektnamen ein den Computernamen des VPN-Servers ein. Klicken Sie auf OK.
Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.
Führen Sie die Schritte unter Installieren des Remotezugriffs als VPN-Server aus, um den VPN-Server zu installieren.
Öffnen Sie das Routing- und RAS-Tool vom Server-Manager aus.
Klicken Sie mit der rechten Maustaste auf den VPN-Server, und wählen Sie Eigenschaften aus.
Wählen Sie unter „Eigenschaften“ die Registerkarte Sicherheit aus, und gehen Sie so vor:
Wählen Sie Authentifizierungsanbieter und RADIUS-Authentifizierung aus.
Wählen Sie Konfigurieren aus, um das Dialogfeld „RADIUS-Authentifizierung“ zu öffnen.
Wählen Sie Hinzufügen aus, um das Dialogfeld „RADIUS-Server hinzufügen“ zu öffnen.
Geben Sie unter Servername den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des NPS-Servers ein. In diesem Tutorial ist der NPS-Server der Domänencontrollerserver. Wenn der NetBIOS-Name Ihres NPS-Servers und Domänencontrollerservers beispielsweise dc1 ist und Ihr Domänenname corp.contoso.com lautet, geben Sie dc1.corp.contoso.com ein.
Wählen Sie unter Gemeinsamer geheimer Schlüssel die Option Ändern aus, um das Dialogfeld „Geheimnis ändern“ zu öffnen.
Geben Sie unter Neues Geheimnis eine Textzeichenfolge ein.
Geben Sie unter Neues Geheimnis bestätigen die gleiche Textzeichenfolge ein, und wählen Sie dann OK aus.
Speichern Sie diesen geheimen Schlüssel. Sie benötigen ihn, wenn Sie diesen VPN-Server später in diesem Tutorial als RADIUS-Client hinzufügen.
Wählen Sie OK aus, um das Dialogfeld „RADIUS-Server hinzufügen“ zu schließen.
Wählen Sie OK aus, um das Dialogfeld „RADIUS-Authentifizierung“ zu schließen.
Wählen Sie im Dialogfeld „Eigenschaften des VPN-Servers“ die Option Authentifizierungsmethoden... aus.
Wählen Sie Computerzertifikatauthentifizierung für IKEv2 zulassen aus.
Klicken Sie auf OK.
Wählen Sie für Kontoführungsanbieter die Option Windows-Kontoführung aus.
Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.
In einem Dialogfeld werden Sie aufgefordert, den Server neu zu starten. Wählen Sie Ja aus.
Erstellen des VPN-Windows-Clients
Installieren Sie Windows 10 oder höher auf dem Computer, der Ihr VPN-Client sein wird.
Fügen Sie den VPN-Client ihrer Domäne hinzu. Informationen zum Hinzufügen eines Computers zu einer Domäne finden Sie unter So fügen Sie einen Computer zu einer Domäne hinzu.
Erstellen eines VPN-Benutzers und einer VPN-Gruppe
Erstellen Sie einen VPN-Benutzer, indem Sie die folgenden Schritte ausführen:
Öffnen Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".
Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Benutzer. Wählen Sie Neuaus. Geben Sie unter Benutzeranmeldename einen beliebigen Anmeldenamen ein. Klicken Sie auf Weiter.
Wählen Sie ein Kennwort für den Benutzer aus.
Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wählen Sie Kennwort läuft nie ab aus.
Wählen Sie Fertig stellen aus. Halten Sie Active Directory-Benutzer und -Computer geöffnet.
Erstellen Sie eine VPN-Benutzergruppe, indem Sie die folgenden Schritte ausführen:
Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf Benutzer. Wählen Sie Neu und dann Gruppe aus.
Geben Sie unter Gruppenname die NPS-Benutzer ein, und wählen Sie dann OK aus.
Klicken Sie mit der rechten Maustaste auf VPN-Server, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Mitglieder des Dialogfelds mit den VPN-Benutzereigenschaften die Option Hinzufügen aus.
Fügen Sie im Dialogfeld „Benutzer auswählen“ den von Ihnen erstellten VPN-Benutzer hinzu, und wählen Sie OK aus.
Konfigurieren des VPN-Servers als RADIUS-Client
Öffnen Sie auf dem NPS-Server Ihre Firewallregeln, um eingehende UDP-Ports 1812, 1813, 1645 und 1646 zuzulassen.
Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server.
Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und wählen Sie Neu aus, um das Dialogfeld „Neuer RADIUS-Client“ zu öffnen.
Vergewissern Sie sich, dass das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.
Geben Sie unter Anzeigename einen Anzeigenamen für den VPN-Server ein.
Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den FQDN des VPN-Servers ein.
Wenn Sie den FQDN eingeben, wählen Sie Überprüfen, um zu überprüfen, ob der Name stimmt und einer gültigen IP-Adresse zugeordnet ist.
Unter Gemeinsamer geheimer Schlüssel:
Stellen Sie sicher, dass Manuell ausgewählt ist.
Geben Sie das Geheimnis ein, das Sie im Abschnitt Erstellen des VPN-Servers erstellt haben.
Geben Sie für Gemeinsamen geheimen Schlüssel bestätigen den gemeinsamen geheimen Schlüssel erneut ein.
Klicken Sie auf OK. Der VPN-Server sollte in der Liste der RADIUS-Clients angezeigt werden, die auf dem NPS-Server konfiguriert sind.
Konfigurieren des NPS-Servers als RADIUS-Server
Hinweis
In diesem Tutorial wird der NPS-Server auf dem Domänencontroller mit der Zertifizierungsstellenrolle installiert. Wir müssen kein separates NPS-Serverzertifikat registrieren. In einer Umgebung, in der der NPS-Server auf einem separaten Server installiert ist, muss jedoch ein NPS-Serverzertifikat registriert werden, bevor Sie diese Schritte ausführen können.
Wählen Sie in der NPS-Konsole NPS(Lokal) aus.
Stellen Sie in der Standardkonfiguration sicher, dass RADIUS-Server für DFÜ- oder VPN-Verbindungen ausgewählt ist.
Wählen Sie VPN oder DFÜ konfigurieren aus, um den Assistenten zur VPN- oder DFÜ-Konfigurierung zu öffnen.
Wählen Sie VPN-Verbindungen (Virtual Private Network) und dann Weiter aus.
Wählen Sie unter „DFÜ- oder VPN-Server angeben“ in RADIUS-Clients den Namen des VPN-Servers aus.
Wählen Sie Weiter aus.
Führen Sie unter „Authentifizierungsmethoden konfigurieren“ die folgenden Schritte aus:
Deaktivieren Sie Microsoft Encrypted Authentication, Version 2 (MS-CHAPv2).
Wählen Sie Extensible Authentication Protocol.
Wählen Sie unter Typ die Option Microsoft: Geschütztes EAP (PEAP) aus. Wählen Sie dann Konfigurieren aus, um das Dialogfeld zum Bearbeiten der Eigenschaften für geschütztes EAP zu öffnen.
Wählen Sie Entfernen aus, um den EAP-Typ „Sicheres Kennwort (EAP-MSCHAP v2)“ zu entfernen.
Wählen Sie Hinzufügen. Das Dialogfeld „EAP hinzufügen“ wird geöffnet.
Wählen Sie Smartcard oder anderes Zertifikat und dann OK aus.
Wählen Sie OK aus, um das Dialogfeld zum Bearbeiten der Eigenschaften für geschütztes EAP zu schließen.
Wählen Sie Weiter aus.
Führen Sie unter „Benutzergruppen angeben“ die folgenden Schritte aus:
Wählen Sie Hinzufügen. Das Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen wird geöffnet.
Geben Sie VPN-Benutzer ein, und wählen Sie dann OK aus.
Wählen Sie Weiter aus.
Wählen Sie unter IP-Filter angeben die Option Weiter aus.
Wählen Sie unter Verschlüsselungseinstellungen angeben die Option Weiter aus. Nehmen Sie keine Änderungen vor.
Wählen Sie unter Bereichsname angeben die Option Weiter aus.
Wählen Sie Fertig stellen aus, um den Assistenten zu schließen.
Nächste Schritte
Nachdem Sie nun Ihre Beispielinfrastruktur erstellt haben, können Sie mit der Konfiguration Ihrer Zertifizierungsstelle beginnen.