Freigeben über

Installieren des Remotezugriffs als VPN-Server

Dieses Handbuch enthält Anweisungen zum Einrichten und Konfigurieren von Ras (Remote Access) als VPN-Server (Virtual Private Network) unter Windows Server. Dieser Vorgang umfasst die Installation der erforderlichen Rollen und Features, das Konfigurieren von VPN-Protokollen und das Einrichten von IP-Adresspools für Clientverbindungen.

Voraussetzungen

Die Mitgliedschaft in Administratoren oder gleichwertig ist die Mindestanforderung, um diese Verfahren auszuführen. Wenn der RAS-Server jedoch einer Domäne beigetreten ist, müssen die Verfahren von einem Domänenadministrator ausgeführt werden.

Installieren der Remotezugriffsrolle

So installieren Sie die Remotezugriffsrolle mithilfe von Windows PowerShell:

  1. Öffnen Sie Windows PowerShell als Administrator.

  2. Geben Sie das folgende Cmdlet ein, und führen Sie es aus:

    Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

    Nach Abschluss der Installation wird die folgende Meldung in Windows PowerShell angezeigt:

    | Success | Restart Needed | Exit Code |               Feature Result               |
|---------|----------------|-----------|--------------------------------------------|
|  True   |       No       |  Success  | RAS Connection Manager Administration Kit |

Konfigurieren des Remotezugriffs als VPN-Server

In diesem Abschnitt konfigurieren wir den Remotezugriff, um IKEv2-VPN-Verbindungen zuzulassen und Verbindungen von anderen VPN-Protokollen zu verweigern. Außerdem weisen wir einen statischen IP-Adresspool für das Ausstellen von IP-Adressen zu, um autorisierte VPN-Clients zu verbinden.

Routing and Remote Access Services (RRAS) unterstützt Remote-Benutzer oder Site-to-Site-Verbindungen über ein virtuelles privates Netzwerk (VPN) oder Einwahlverbindungen. Er akzeptiert VPN-Verbindungen, die auf Protokollen wie PPTP, L2TP, SSTP und IKEv2 basieren. Diese Protokolle sind alle standardmäßig aktiviert, wenn die RRAS-Rolle installiert und mit der Standardkonfiguration eingerichtet wird. Standardmäßig kann ein autorisierter Client eine VPN-Verbindung über eines der aktivierten Protokolle herstellen. Ab Windows Server 2025 akzeptieren neue RRAS-Konfigurationen keine VPN-Verbindungen mehr, die auf den Protokollen PPTP und L2TP basieren. Sie können diese Protokolle weiterhin aktivieren, wenn notwendig. SSTP- und IKEv2-basierte VPN-Verbindungen werden weiterhin ohne Änderung akzeptiert.

Bestehende Konfigurationen und Windows Server-Versionen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren, werden beim Aktualisieren auf Windows Server 2025 über ein In-Place-Update weiterhin auf L2TP und PPTP basierende Verbindungen akzeptiert. Diese Änderung wirkt sich nicht auf die Betriebssysteme für Windows-Clients aus.

Hinweis

Anstelle von IKEv2 können Sie auch SSTP verwenden. Es wird nicht empfohlen, PPTP zu verwenden, da es an Sicherheitsfeatures mangelt.

  1. Stellen Sie sicher, dass Ihre Firewallregeln die eingehenden UDP-Ports 500 und 4500 für die externe IP-Adresse zulassen, die der öffentlichen Schnittstelle des VPN-Servers zugeordnet ist.

  2. Wählen Sie auf dem VPN-Server in „Server-Manager“ das Flag Benachrichtigungen aus. Möglicherweise müssen Sie eine oder zwei Minuten warten, bis die Benachrichtigungsflagge erscheint.

  3. Wählen Sie im Menü "Aufgaben " die Option "Assistent für erste Schritte öffnen " aus, um den Assistenten zum Konfigurieren des Remotezugriffs zu öffnen.

    Hinweis

    Der Assistent zum Konfigurieren des Remotezugriffs wird möglicherweise hinter Server-Manager geöffnet. Wenn Sie den Eindruck haben, dass das Öffnen des Assistenten zu lange dauert, verschieben oder minimieren Sie Server-Manager, um herauszufinden, ob der Assistent sich dahinter verbirgt. Falls nicht, warten Sie die Initialisierung des Assistenten ab.

  4. Wählen Sie "VPN bereitstellen" aus , um die Microsoft Management Console ( Routing and Remote Access Microsoft Management Console, MMC) zu öffnen.

  5. Klicken Sie mit der rechten Maustaste auf den VPN-Server, und wählen Sie dann "Routing und Remotezugriff aktivieren " aus, um den Setup-Assistenten für Routing- und Remotezugriffsserver zu öffnen, und wählen Sie dann "Weiter" aus.

  6. Wählen Sie in "Konfiguration" die Option "Benutzerdefinierte Konfiguration" und dann "Weiter" aus.

  7. Wählen Sie in der benutzerdefinierten KonfigurationDEN VPN-Zugriff und dann "Weiter" aus, um den Setup-Assistenten für Routing- und Remotezugriffsserver zu öffnen.

  8. Wählen Sie "Fertig stellen " aus, um den Assistenten zu schließen, und wählen Sie dann "OK " aus, um das Dialogfeld "Routing" und "Remotezugriff" zu schließen.

  9. Sobald der VPN-Server ausgeführt wird, klicken Sie mit der rechten Maustaste auf den VPN-Server, und wählen Sie "Eigenschaften" aus.

  10. Wählen Sie die Registerkarte "IPv4 " aus, und führen Sie die folgenden Schritte aus:

    1. Wählen Sie den statischen Adresspool aus.

    2. Wählen Sie "Hinzufügen" aus, um einen IP-Adresspool zu konfigurieren.

    3. Geben Sie in der Start-IP-Adresse die Start-IP-Adresse in den Bereich ein, den Sie VPN-Clients zuweisen möchten.

    4. Geben Sie in der End-IP-Adresse die endende IP-Adresse in den Bereich ein, den Sie VPN-Clients zuweisen möchten, oder geben Sie in "Anzahl der Adressen" die Nummer der Adresse ein, die Sie zur Verfügung stellen möchten.

  11. Wählen Sie 'OK' aus, um das Dialogfeld "Eigenschaften" zu schließen.

  12. Klicken Sie im MMC für Routing und Remotezugriff mit der rechten Maustaste auf "Ports", und wählen Sie dann "Eigenschaften " aus, um das Dialogfeld "Ports-Eigenschaften " zu öffnen.

  13. Wählen Sie WAN Miniport (SSTP) aus, und wählen Sie "Konfigurieren" aus, um das Dialogfeld " Gerät konfigurieren – WAN Miniport (SSTP)" zu öffnen.

    1. Löschen Sie sowohl Remotezugriffsverbindungen (nur eingehend) als auch Anrufeinwahl-Routingverbindungen (eingehend und ausgehend).

    2. Wählen Sie "OK" aus.

  14. Wählen Sie WAN Miniport (IKEv2) aus, und wählen Sie "Konfigurieren" aus, um das Dialogfeld " Gerät konfigurieren – WAN Miniport (IKEv2) " zu öffnen.

    1. Stellen Sie sicher, dass die Optionen RAS-Verbindungen (nur eingehend) und Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend) ausgewählt sind.

    2. Geben Sie in "Maximale Ports" die Anzahl der Ports ein, die der maximalen Anzahl gleichzeitiger VPN-Verbindungen entsprechen sollen, die Sie unterstützen möchten.

    3. Wählen Sie "OK" aus.

  15. Wählen Sie WAN Miniport (L2TP) aus, und wählen Sie "Konfigurieren" aus, um das Dialogfeld " Gerät konfigurieren – WAN Miniport (L2TP) " zu öffnen.

    1. Löschen Sie sowohl Remotezugriffsverbindungen (nur eingehend) als auch Anrufeinwahl-Routingverbindungen (eingehend und ausgehend).

    2. Wählen Sie "OK" aus.

  16. Wählen Sie WAN Miniport (PPTP) aus, und wählen Sie "Konfigurieren" aus, um das Dialogfeld " Gerät konfigurieren – WAN Miniport (PPTP)" zu öffnen.

    1. Löschen Sie sowohl Remotezugriffsverbindungen (nur eingehend) als auch Anrufeinwahl-Routingverbindungen (eingehend und ausgehend).

    2. Wählen Sie "OK" aus.

Nächste Schritte

  • Last updated on