Bereitstellen des Always-on-VPN mit dem Remote-Zugriff in Windows 10
DirectAccess wurde in Windows 8.1 und Windows Server 2012 als eine Funktion eingeführt, mit der Windows-Benutzer eine Remoteverbindung herstellen können. Nach dem Start von Windows 10, Der Einsatz dieser Infrastruktur hat zu einem Rückgang geführt. Microsoft hat Organisationen, die eine DirectAccess-Lösung in Betracht ziehen, aktiv ermutigt, stattdessen Client-basiertes VPN mit Windows 10 zu implementieren Immer auf VPN Die Verbindung bietet ein DirectAccess-ähnliches Erlebnis unter Verwendung herkömmlicher RAS-VPN-Protokolle wie IKEv2, SSTP und L2TP / IPsec. Außerdem bietet es einige zusätzliche Vorteile.
Die neue Funktion wurde im Windows 10 Anniversary Update eingeführt, damit IT-Administratoren automatische VPN-Verbindungsprofile konfigurieren können. Wie bereits erwähnt, hat Always On VPN einige wichtige Vorteile gegenüber DirectAccess. Always On VPN kann beispielsweise sowohl IPv4 als auch IPv6 verwenden. Wenn Sie also Bedenken hinsichtlich der Zukunftsfähigkeit von DirectAccess haben und alle zu unterstützenden Anforderungen erfüllen Immer auf VPN Bei Windows 10 ist der Umstieg auf letzteres vielleicht die richtige Wahl.
Always On VPN für Windows 10-Clientcomputer
In diesem Lernprogramm werden Sie durch die Schritte zum Bereitstellen von Remote-Zugriff-Always-On-VPN-Verbindungen für Remote-Clientcomputer geführt, auf denen Windows 10 ausgeführt wird.
Bevor Sie fortfahren, stellen Sie sicher, dass Folgendes vorhanden ist:
- Eine Active Directory-Domäneninfrastruktur, einschließlich eines oder mehrerer DNS-Server (Domain Name System).
- Infrastruktur öffentlicher Schlüssel (PKI) und Active Directory-Zertifikatdienste (AD CS).
Beginnen Remotezugriff immer bei der VPN-Bereitstellung, Installieren Sie einen neuen RAS-Server, auf dem Windows Server 2016 ausgeführt wird.
Führen Sie anschließend die folgenden Aktionen mit dem VPN-Server aus:
- Installieren Sie zwei Ethernet-Netzwerkadapter auf dem physischen Server. Wenn Sie den VPN-Server auf einer VM installieren, müssen Sie zwei externe virtuelle Switches erstellen, einen für jeden physischen Netzwerkadapter. Erstellen Sie anschließend zwei virtuelle Netzwerkadapter für die VM, wobei jeder Netzwerkadapter mit einem virtuellen Switch verbunden ist.
- Installieren Sie den Server in Ihrem Umkreisnetzwerk zwischen Ihren Edge- und internen Firewalls, wobei ein Netzwerkadapter an das externe Umkreisnetzwerk und ein Netzwerkadapter an das interne Umkreisnetzwerk angeschlossen sind.
Nachdem Sie das oben beschriebene Verfahren ausgeführt haben, installieren und konfigurieren Sie RAS als Einzelmandanten-VPN-RAS-Gateway für Point-to-Site-VPN-Verbindungen von Remotecomputern. Konfigurieren Sie den Remotezugriff als RADIUS-Client so, dass er Verbindungsanforderungen zur Verarbeitung an den NPS-Server der Organisation senden kann.
Registrieren und Validieren des VPN-Serverzertifikats von Ihrer Zertifizierungsstelle (CA).NPS-Server
Wenn Sie dies nicht wissen, ist der Server in Ihrem Unternehmens- / Unternehmensnetzwerk installiert. Dieser Server muss als RADIUS-Server konfiguriert werden, damit er Verbindungsanfragen vom VPN-Server empfangen kann. Sobald der NPS-Server mit dem Empfang von Anforderungen beginnt, verarbeitet er die Verbindungsanforderungen und führt Autorisierungs- und Authentifizierungsschritte aus, bevor er eine Access-Accept- oder Access-Reject-Nachricht an den VPN-Server sendet.
AD DS-Server
Der Server ist eine lokale Active Directory-Domäne, in der lokale Benutzerkonten gehostet werden. Sie müssen die folgenden Elemente auf dem Domänencontroller einrichten.
- Aktivieren Sie die automatische Registrierung von Zertifikaten in Gruppenrichtlinien für Computer und Benutzer
- Erstellen Sie die VPN-Benutzergruppe
- Erstellen Sie die VPN-Server-Gruppe
- Erstellen Sie die NPS-Server-Gruppe
- CA Server
Der Zertifizierungsstellen-Server (CA) ist eine Zertifizierungsstelle, auf der Active Directory-Zertifikatdienste ausgeführt werden. Die Zertifizierungsstelle registriert Zertifikate, die für die PEAP-Client-Server-Authentifizierung verwendet werden, und erstellt Zertifikate auf der Grundlage von Zertifikatvorlagen. Zunächst müssen Sie Zertifikatvorlagen in der Zertifizierungsstelle erstellen. Die Remotebenutzer, die eine Verbindung zu Ihrem Unternehmensnetzwerk herstellen dürfen, müssen über ein Benutzerkonto in AD DS verfügen.
Stellen Sie außerdem sicher, dass Ihre Firewalls den Verkehr zulassen, der für die VPN- und RADIUS-Kommunikation erforderlich ist.
Stellen Sie neben diesen Serverkomponenten sicher, dass auf den Clientcomputern, die Sie für die Verwendung von VPN konfigurieren, Windows 10 1607 oder höher ausgeführt wird. Der Windows 10 VPN-Client ist hochgradig konfigurierbar und bietet viele Optionen.
Dieses Handbuch wurde für die Bereitstellung von Always On VPN mit der RAS-Serverrolle in einem lokalen Organisationsnetzwerk entwickelt. Versuchen Sie nicht, Remote Access auf einer virtuellen Maschine (VM) in Microsoft Azure bereitzustellen.
Vollständige Informationen und Konfigurationsschritte finden Sie in diesem Microsoft-Dokument.
Lesen Sie auch: Einrichten und Verwenden von AutoVPN in Windows 10 für die Remote-Verbindung.