Freigeben über

Lernprogramm: Bereitstellen der Always On VPN-Infrastruktur

Always On VPN ist eine Remotezugriffslösung in Windows Server, die nahtlose und sichere Konnektivität für Remotebenutzer mit Unternehmensnetzwerken bietet. Es unterstützt erweiterte Authentifizierungsmethoden und integriert in vorhandene Infrastruktur und bietet eine moderne Alternative zu herkömmlichen VPN-Lösungen. In diesem Lernprogramm wird die Reihe zum Bereitstellen von Always On VPN in einer Beispielumgebung gestartet.

In diesem Lernprogramm erfahren Sie, wie Sie eine Beispielinfrastruktur für Always On VPN-Verbindungen für In die Remotedomäne eingebundene Windows-Clientcomputer bereitstellen. Um eine Beispielinfrastruktur zu erstellen, führen Sie folgende Aktionen aus:

  • Erstellen Sie einen Active Directory-Domänencontroller.
  • Konfigurieren der Gruppenrichtlinie für die automatische Registrierung von Zertifikaten.
  • Erstellen Sie einen NpS-Server (Network Policy Server).
  • Erstellen Sie einen VPN-Server.
  • Erstellen Sie einen VPN-Benutzer und eine Gruppe.
  • Konfigurieren Sie den VPN-Server als RADIUS-Client.
  • Konfigurieren Sie den NPS-Server als RADIUS-Server.

Weitere Informationen zu Always On VPN, einschließlich unterstützter Integrationen, Sicherheits- und Konnektivitätsfunktionen, finden Sie unter Always On VPN Overview.

Prerequisites

Um die Schritte in diesem Lernprogramm auszuführen, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Drei Server (physisch oder virtuell) mit einer unterstützten Version von Windows Server. Diese Server sind der Domänencontroller, der NPS-Server und der VPN-Server.

  • Der Server, den Sie für den NPS-Server verwenden, benötigt zwei physische Netzwerkadapter installiert: einen zum Herstellen einer Verbindung mit dem Internet und einen zum Herstellen einer Verbindung mit dem Netzwerk, in dem sich der Domänencontroller befindet.

  • Ein Benutzerkonto auf allen Computern, die Mitglied der lokalen Sicherheitsgruppe "Administratoren " oder gleichwertig sind.

Important

Die Verwendung des Remotezugriffs in Microsoft Azure wird nicht unterstützt. Weitere Informationen finden Sie unter Microsoft-Serversoftwareunterstützung für virtuelle Microsoft Azure-Computer.

Erstellen des Domänencontrollers

  1. Installieren Sie auf dem Server, den Sie als Domänencontroller verwenden möchten, Active Directory Domain Services (AD DS). Ausführliche Informationen zum Installieren von AD DS finden Sie unter Installieren von Active Directory Domain Services.

  2. Stufen Sie den Windows Server auf den Domänencontroller hoch. In diesem Tutorial erstellen Sie eine neue Gesamtstruktur und die zu dieser neuen Gesamtstruktur gehörende Domäne. Ausführliche Informationen zum Installieren des Domänencontrollers finden Sie unter AD DS-Installation.

  3. Installieren und konfigurieren Sie die Zertifizierungsstelle (CA) auf dem Domänencontroller. Ausführliche Informationen zum Installieren der Zertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.

Konfigurieren von Gruppenrichtlinien für die automatische Registrierung von Zertifikaten

In diesem Abschnitt erstellen Sie eine Gruppenrichtlinie auf dem Domänencontroller, sodass Domänenmitglieder automatisch Benutzer- und Computerzertifikate anfordern. Diese Konfiguration ermöglicht VPN-Benutzern das Anfordern und Abrufen von Benutzerzertifikaten, die VPN-Verbindungen automatisch authentifizieren. Diese Richtlinie ermöglicht es dem NPS-Server zudem, automatisch Serverauthentifizierungszertifikate anzufordern.

  1. Öffnen Sie auf dem Domänencontroller die Gruppenrichtlinien-Verwaltungskonsole.

  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihre Domäne (z. B corp.contoso.com. ). Wählen Sie Gruppenrichtlinienobjekt hier erstellen und verknüpfen.

  3. Geben Sie im Dialogfeld "Neues Gruppenrichtlinienobjekt " für "Name" die Richtlinie für die automatische Registrierung ein. Wählen Sie OK aus.

  4. Klicken Sie im linken Bereich mit der rechten Maustaste auf die Richtlinie für die automatische Registrierung. Wählen Sie "Bearbeiten" aus, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.

  5. Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Computerzertifikaten zu konfigurieren:

    1. Navigieren Sie zu Computerkonfigurationsrichtlinien>>für Windows-Einstellungssicherheitseinstellungen>>für öffentliche Schlüssel.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung. Wählen Sie Eigenschaften aus.

    3. Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

    4. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.

    5. Wählen Sie OK aus.

  6. Führen Sie im Gruppenrichtlinienverwaltungs-Editor die folgenden Schritte aus, um die automatische Registrierung von Benutzerzertifikaten zu konfigurieren:

    1. Navigieren Sie zu den Sicherheitseinstellungen für Windows-Einstellungen> für Benutzerkonfigurationsrichtlinien>>> füröffentliche Schlüssel.

    2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienstclient – Automatische Registrierung, und wählen Sie Eigenschaften aus.

    3. Wählen Sie im Dialogfeld Zertifikatdienstclient – Eigenschaften der automatischen Registrierung unter Konfigurationsmodell die Option Aktiviert aus.

    4. Wählen Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren aus.

    5. Wählen Sie OK aus.

    6. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

  7. Wenden Sie die Gruppenrichtlinie auf Benutzer und Computer in der Domäne an.

  8. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Erstellen des NPS-Servers

  1. Installieren Sie auf dem Server, auf dem Sie der NPS-Server sein möchten, die Rolle "Netzwerkrichtlinie und Access Services (NPS)". Ausführliche Informationen zum Installieren von NPS finden Sie unter Installieren des Netzwerkrichtlinienservers.

  2. Registrieren Sie den NPS-Server in Active Directory. Informationen zum Registrieren des NPS-Servers in Active Directory finden Sie unter Registrieren eines NPS in einem Active Directory-Domäne.

  3. Stellen Sie sicher, dass Ihre Firewalls den Datenverkehr zulassen, der für die VPN- und RADIUS-Kommunikation erforderlich ist, damit sie ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.

  4. Erstellen Sie die NPS-Servergruppe:

    1. Öffnen Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".

    2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf "Computer". Wählen Sie "Neu" und dann " Gruppieren" aus.

    3. Geben Sie unter "Gruppenname" NPS-Server ein, und wählen Sie dann "OK" aus.

    4. Klicken Sie mit der rechten Maustaste auf NPS-Server , und wählen Sie "Eigenschaften" aus.

    5. Wählen Sie auf der Registerkarte " Mitglieder " des Dialogfelds "NPS-Servereigenschaften" die Option "Hinzufügen" aus.

    6. Wählen Sie "Objekttypen" aus, aktivieren Sie das Kontrollkästchen "Computer ", und wählen Sie dann "OK" aus.

    7. Geben Sie in die auszuwählenden Objektnamen den Hostnamen des NPS-Servers ein. Wählen Sie OK aus.

    8. Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.

Erstellen des VPN-Servers

  1. Stellen Sie für den Server, auf dem der VPN-Server ausgeführt wird, sicher, dass auf dem Computer zwei physische Netzwerkadapter installiert sind: eine zum Herstellen einer Internetverbindung und eine zum Herstellen einer Verbindung mit dem Netzwerk, in dem sich der Domänencontroller befindet.

  2. Ermitteln Sie, welcher Netzwerkadapter eine Verbindung mit dem Internet herstellt, und welcher Netzwerkadapter eine Verbindung zur Domäne herstellt. Konfigurieren Sie den Netzwerkadapter für das Internet mit einer öffentlichen IP-Adresse, während der Adapter für das Intranet eine IP-Adresse aus dem lokalen Netzwerk verwenden kann.

  3. Legen Sie für den Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die bevorzugte DNS-IP-Adresse auf die IP-Adresse des Domänencontrollers fest.

  4. Fügen Sie den Server zur Domäne hinzu. Informationen zum Hinzufügen eines Servers zu einer Domäne finden Sie unter So fügen Sie einen Server zu einer Domäne hinzu.

  5. Öffnen Sie Ihre Firewallregeln, um die eingehenden UDP-Ports 500 und 4500 für die externe IP-Adresse zuzulassen, die der öffentlichen Schnittstelle des VPN-Servers zugeordnet ist. Lassen Sie für den Netzwerkadapter, der eine Verbindung mit der Domäne herstellt, die folgenden UDP-Ports zu: 1812, 1813, 1645 und 1646.

  6. Erstellen Sie die VPN-Servergruppe:

    1. Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer.

    2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf "Computer". Wählen Sie "Neu" und dann " Gruppieren" aus.

    3. Geben Sie unter "Gruppenname" VPN-Server ein, und wählen Sie dann "OK" aus.

    4. Klicken Sie mit der rechten Maustaste auf VPN-Server , und wählen Sie "Eigenschaften" aus.

    5. Wählen Sie auf der Registerkarte " Mitglieder " des Dialogfelds "VPN-Servereigenschaften" die Option "Hinzufügen" aus.

    6. Wählen Sie "Objekttypen" aus, aktivieren Sie das Kontrollkästchen "Computer ", und wählen Sie dann "OK" aus.

    7. Geben Sie in die auszuwählenden Objektnamen den Hostnamen des VPN-Servers ein. Wählen Sie OK aus.

    8. Schließen Sie %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.

  7. Führen Sie die Schritte unter Installieren des Remotezugriffs als VPN-Server aus, um den VPN-Server zu installieren.

  8. Öffnen Sie Routing und Remotezugriff vom Server-Manager.

  9. Klicken Sie mit der rechten Maustaste auf den Namen des VPN-Servers, und wählen Sie dann "Eigenschaften" aus.

  10. Wählen Sie in "Eigenschaften" die Registerkarte "Sicherheit " und dann Folgendes aus:

    1. Wählen Sie "Authentifizierungsanbieter " und dann "RADIUS-Authentifizierung" aus.

    2. Wählen Sie "Konfigurieren" aus, um das Dialogfeld "RADIUS-Authentifizierung" zu öffnen.

    3. Wählen Sie "Hinzufügen" aus, um das Dialogfeld "RADIUS-Server hinzufügen" zu öffnen.

      1. Geben Sie im Servernamen den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des NPS-Servers ein, der auch ein RADIUS-Server ist. Wenn z. B. der NetBIOS-Name Ihres NPS- und Domänencontrollerservers lautet nps1 und Ihr Domänenname lautet corp.contoso.com, geben Sie folgendes ein nps1.corp.contoso.com.

      2. Wählen Sie in "Freigegebener geheimer Schlüssel" die Option "Ändern " aus, um das Dialogfeld "Geheimer Schlüssel ändern" zu öffnen.

      3. Geben Sie in "Neuer Geheimer Schlüssel" eine Textzeichenfolge ein.

      4. Geben Sie unter Neues Geheimnis bestätigen die gleiche Textzeichenfolge ein, und wählen Sie dann OK aus.

      5. Speichern Sie diesen geheimen Schlüssel. Sie benötigen ihn, wenn Sie diesen VPN-Server später in diesem Lernprogramm als RADIUS-Client hinzufügen.

    4. Wählen Sie "OK " aus, um das Dialogfeld "RADIUS-Server hinzufügen " zu schließen.

    5. Wählen Sie "OK " aus, um das Dialogfeld "RADIUS-Authentifizierung " zu schließen.

  11. Wählen Sie im Dialogfeld "VPN-Servereigenschaften" die Option "Authentifizierungsmethoden..." aus.

  12. Wählen Sie Computerzertifikatauthentifizierung für IKEv2 zulassen aus.

  13. Wählen Sie OK aus.

  14. Wählen Sie für buchhaltungsanbieterwindows Accounting aus.

  15. Wählen Sie 'OK' aus, um das Dialogfeld "Eigenschaften" zu schließen.

  16. Ein Dialogfeld fordert Sie auf, den Server neu zu starten. Wählen Sie Ja aus.

Erstellen von VPN-Benutzern und -Gruppen

  1. Erstellen Sie einen VPN-Benutzer, indem Sie die folgenden Schritte ausführen:

    1. Öffnen Sie auf dem Domänencontroller die Active Directory-Konsole "Benutzer und Computer ".
    2. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf "Benutzer". Wählen Sie "Neu" aus. Geben Sie für den Benutzeranmeldungsnamen einen beliebigen Namen ein. Wählen Sie Weiteraus.
    3. Wählen Sie ein Kennwort für den Benutzer aus.
    4. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wählen Sie Kennwort läuft nie ab aus.
    5. Wählen Sie "Fertig stellen" aus. Halten Sie Active Directory-Benutzer und -Computer geöffnet.

  2. Erstellen Sie eine VPN-Benutzergruppe, indem Sie die folgenden Schritte ausführen:

    1. Klicken Sie unter Ihrer Domäne mit der rechten Maustaste auf "Benutzer". Wählen Sie "Neu" und dann " Gruppieren" aus.
    2. Geben Sie unter "Gruppenname" VPN-Benutzer ein, und wählen Sie dann "OK" aus.
    3. Klicken Sie mit der rechten Maustaste auf VPN-Benutzer , und wählen Sie "Eigenschaften" aus.
    4. Wählen Sie auf der Registerkarte " Mitglieder " des Dialogfelds "VPN-Benutzereigenschaften" die Option "Hinzufügen" aus.
    5. Fügen Sie im Dialogfeld "Benutzer auswählen" den von Ihnen erstellten VPN-Benutzer hinzu, und wählen Sie "OK" aus.

Konfigurieren des VPN-Servers als RADIUS-Client

  1. Öffnen Sie auf dem NPS-Server Ihre Firewallregeln, um UDP-Ports 1812, 1813, 1645 und 1646 eingehend zuzulassen, einschließlich der Windows-Firewall.

  2. Öffnen Sie die Netzwerkrichtlinienserver-Konsole .

  3. Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server.

  4. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients , und wählen Sie " Neu " aus, um das Dialogfeld "Neuer RADIUS-Client " zu öffnen.

  5. Vergewissern Sie sich, dass das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.

  6. Geben Sie im Anzeigenamen einen Anzeigenamen für den VPN-Server ein.

  7. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den FQDN des VPN-Servers ein.

    Wenn Sie den FQDN eingeben, wählen Sie "Überprüfen " aus, ob der Name korrekt ist und einer gültigen IP-Adresse zugeordnet ist.

  8. Im freigegebenen geheimen Schlüssel:

    1. Stellen Sie sicher, dass "Manuell" ausgewählt ist.
    2. Geben Sie das Geheimnis ein, das Sie im Abschnitt Erstellen des VPN-Servers erstellt haben.
    3. Um den freigegebenen geheimen Schlüssel zu bestätigen, geben Sie den freigegebenen Geheimschlüssel erneut ein.

  9. Wählen Sie OK aus. Der VPN-Server sollte in der Liste der RADIUS-Clients angezeigt werden, die auf dem NPS-Server konfiguriert sind.

Konfigurieren des NPS-Servers als RADIUS-Server

  1. Registrieren Sie ein Serverzertifikat für den NPS-Server mit einem Zertifikat, das die Anforderungen unter Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen erfüllt. Informationen zum Überprüfen der Serverregistrierung für Netzwerkrichtlinienserver (Network Policy Server, NPS) mit einem Serverzertifikat von der Zertifizierungsstelle finden Sie unter Überprüfen der Serverregistrierung eines Serverzertifikats.

  2. Wählen Sie in der NPS-Konsole NPS (Lokal) aus.

  3. Stellen Sie in der Standardkonfiguration sicher, dass DER RADIUS-Server für DFÜ- oder VPN-Verbindungen ausgewählt ist.

  4. Wählen Sie "VPN oder DFÜ konfigurieren", um den Assistenten zum Konfigurieren von VPN oder DFÜ zu öffnen.

  5. Wählen Sie VPN-Verbindungen (Virtual Private Network) und dann "Weiter" aus.

  6. Wählen Sie unter "DFÜ- oder VPN-Server angeben" in RADIUS-Clients den Namen des VPN-Servers aus.

  7. Wählen Sie Weiteraus.

  8. Führen Sie unter "Authentifizierungsmethoden konfigurieren" die folgenden Schritte aus:

    1. Löschen Sie die verschlüsselte Microsoft-Authentifizierung, Version 2 (MS-CHAPv2).<

    2. Wählen Sie Extensible Authentication Protocol.

    3. Wählen Sie für "Typ" "Microsoft: Protected EAP (PEAP)" aus. Wählen Sie dann "Konfigurieren" aus, um das Dialogfeld "Geschützte EAP-Eigenschaften bearbeiten " zu öffnen.

    4. Wählen Sie "Entfernen" aus, um den EAP-Typ (EAP-MSCHAP v2) zu entfernen.

    5. Wählen Sie Hinzufügen aus. Das Dialogfeld „EAP hinzufügen“ wird geöffnet.

    6. Wählen Sie Smartcard oder anderes Zertifikat und dann OK aus.

    7. Wählen Sie "OK" aus, um "Geschützte EAP-Eigenschaften bearbeiten" zu schließen.

  9. Wählen Sie Weiteraus.

  10. In Benutzergruppen festlegen führen Sie die folgenden Schritte aus:

    1. Wählen Sie Hinzufügen aus. Das Dialogfeld "Benutzer auswählen", "Computer", "Dienstkonten" oder "Gruppen " wird geöffnet.

    2. Geben Sie VPN-Benutzer ein, und wählen Sie dann "OK" aus.

    3. Wählen Sie Weiteraus.

  11. Wählen Sie unter IP-Filter angeben die Option Weiter aus.

  12. Wählen Sie unter Verschlüsselungseinstellungen angeben die Option Weiter aus. Nehmen Sie keine Änderungen vor.

  13. Wählen Sie unter Bereichsname angeben die Option Weiter aus.

  14. Wählen Sie "Fertig stellen " aus, um den Assistenten zu schließen.

Nächster Schritt

Nachdem Sie ihre Beispielinfrastruktur erstellt haben, können Sie mit der Konfiguration Ihrer Zertifizierungsstelle beginnen.

Tutorial: Konfigurieren von Zertifizierungsstellenvorlagen für Always On VPN

  • Last updated on