Microsoft Always On VPN – der DirectAccess-Nachfolger (2024)

Table of Contents
Video-Tipp: Microsoft Always On VPN Microsoft Always On VPN – der DirectAccess-Nachfolger Vorteile von Always On VPN im Vergleich zu DirectAccess Gruppenrichtlinien vor dem Einsatz konfigurieren Zertifikatvorlagen vorbereiten Always On VPN installieren FAQs

Video-Tipp: Microsoft Always On VPN Microsoft Always On VPN – der DirectAccess-Nachfolger

Autor / Redakteur: Thomas Joos / Peter Schmitz

Wer Windows-10-Rechner per VPN im Netzwerk einbinden will, kann auf Always On VPN, den Nachfolger von DirectAccess setzen. Wir zeigen in diesem Video-Tipp wie Microsoft Always On VPN funktioniert, was die Vorteile von Always On VPN im Vergleich zu DirectAccess sind und wie man Always On VPN und die nötige Zertifikat-Infrastruktur konfiguriert.

Anbieter zum Thema

Fujitsu Technology Solutions GmbH
Specops Software GmbH

Nicht erst seit der Corona-Krise und dem Boom bei Homeoffice-Arbeitsplätzen ist VPN ein immer gefragterer Dienst bei Unternehmen. Ein extrem leicht umzusetzender Dienst war dabei lange Microsoft DiectAccess. DirectAccess hat den Vorteil, dass Anwender keinerlei Benutzeraktionen durchführen müssen, um mit dem Unternehmensnetzwerk verbunden zu werden. Die Computer müssen dazu Mitglied einer Active Directory-Domäne sein. Microsoft entwickelt DirectAccess als VPN-Methode allerdings nicht mehr weiter und empfiehlt Unternehmen den Umstieg auf Always On VPN. Die Einrichtung von Always On VPN ist aber nicht ganz unkompliziert. Wir zeigen in diesem Beitrag die Möglichkeiten und die generelle Einrichtung. Die vollständige Dokumentation von Microsoft findet sich auf der Seite „Remote Access Always On VPN“.

See Also
Tutorial - Set up infrastructure for Always On VPNAlways On VPN and Zero Trust Network Access (ZTNA)Informationen zu Always On VPN für den Windows Server-RemotezugriffDer DirectAccess Nachfolger: Always-On VPN | SmartIT Bern

Wie Microsoft Always On VPN funktioniert, welche Vorteile es gegenüber DirectAccess hat und wie man die nötige Zertifikat-Infrastruktur konfiguriert, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie

Bildergalerie mit 8 Bildern

Vorteile von Always On VPN im Vergleich zu DirectAccess

Wie beim Einsatz von DirectAccess kann Always On VPN nicht nur einfache und schnelle Verbindungen für mobile Windows 10-Computer zur Verfügung stellen, sondern ermöglicht auch das Umsetzen von Richtlinien auf den Remote-Rechnern. Im Gegensatz zu DirectAccess ist Always On VPN für alle Editionen von Windows 10 nutzbar. Always On VPN wurde von Anfang an für den Einsatz mit Windows 10 optimiert. Wie bei DirectAccess unterstützt auch Always On die Möglichkeit Unternehmensrechner an Active Directory über VPN anzubinden und auch Gruppenrichtlinien einzusetzen. Für dein Einsatz von Always On VPN müssen im lokalen Netzwerk für den effektiven Betrieb ein Active Directory zur Verfügung stehen, ein VPN-Endpunkt und ein RADIUS-Server. Generell sollte auch eine Zertifizierungsstelle vorhanden sein.

Gruppenrichtlinien vor dem Einsatz konfigurieren

Generell kann es sinnvoll sein, dass über Gruppenrichtlinien die automatische Registrierung von Zertifikaten für Benutzer und Computer konfiguriert wird. Die Einstellungen dazu sind bei „Richtlinien\Windows-Einstellungen\Sicherheits­einstellungen\Richtlinien für öffentliche Schlüssel“. Hier kann „Zertifikats­dienst­client\Automatische Registrierung“ aktiviert werden, indem die Option „Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen“ aktiviert wird und „Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren“.

See Also
Why you can benefit from using Always On VPN | TechTarget

Generell ist es sinnvoll beim Einsatz von Always On VPN mit Gruppen in Active Directory zu arbeiten. Dazu sollte für die VPN-Benutzer eine eigene Gruppe erstellt werden, zum Beispiel „VPN-Benutzer“. Für die effektivere Zuweisung von Richtlinien an die beteiligten Server ist es auch sinnvoll eine Gruppe „VPN-Server“ und eine Gruppe „NPS-Server“ zu erstellen.

Zertifikatvorlagen vorbereiten

Für die Authentifizierung zum VPN wird ein Zertifikat benötigt. Idealerweise sollte hier eine Vorlage erstellt werden. Diese Aufgabe wird auf dem Server vorgenommen, auf dem die Zertifizierungsdienste installiert sind. Über die Konsole „certsrv.msc“ steht hier der Bereich „Zertifikatvorlagen“ zur Verfügung. Durch einen Rechtsklick auf „Zertifikatvorlagen“ wird „Verwalten“ aufgerufen. Die Verwaltung der Zertifikatvorlagen kann auch direkt mit „certtmpl.msc“ aufgerufen werden.

Um eine neue Vorlage zu erstellen, wird die Vorlage „Benutzer“ mit der rechten Maustaste angeklickt und „Vorlage duplizieren“ gewählt. Als Name kann hier auf der Registerkarte „Allgemein“ bei „Vorlagenanzeigename“ der Name „VPN-Benutzer-Authentifizierung“ eingegeben werden. Die Option „Zertifikat in Active Directory veröffentlichen“ sollte deaktiviert werden. Bei Sicherheit wird jetzt die erstellte AD-Gruppe „VPN-Benutzer“ hinzugefügt und anschließend die Rechte „Registrieren“ und „Automatisch registrieren“ erteilt. Zusätzlich sollte bei „Kompatibilität“ noch bei „Zertifizierungsstelle“ noch möglichst „Windows Server 2016“ und bei „Zertifikatsempfänger „Windows 10 / Windows Server 2016“ ausgewählt werden.

Eine weitere Vorlage wird auf Basis der Vorlage „RAS- und IAS-Server“ erstellt. Der Name der Vorlage kann zum Beispiel „VPN-Server-Authentifizierung“ genannt werden. Bei „Erweiterungen“ sollte „Anwendungsrichtlinien“ bearbeitet und „IP-Sicherheits-IKE“ hinzugefügt werden. Bei „Anforderungsverarbeitung“ sollte die die Option „Exportieren von privatem Schlüssel zulassen“ deaktiviert werden. Bei „Kryptografie“ wird „Microsoft Enhanced Cryptographic Provider 1.0“ hinzugefügt. Hier sollte bei „Sicherheit“ die Gruppe für die VPN-Server aufgenommen werden.

Für NPS-Server wird ebenfalls eine Vorlage mit den gleichen Daten erstellt. Hier müssen natürlich die NPS-Server Zugriff erhalten. Auch das wird auf der Registerkarte „Sicherheit“ gesteuert.

Wie Microsoft Always On VPN funktioniert, welche Vorteile es gegenüber DirectAccess hat und wie man die nötige Zertifikat-Infrastruktur konfiguriert, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie

Bildergalerie mit 8 Bildern

Always On VPN installieren

Die Einrichtung von Always On VPN erfordert zunächst die Installation der notwendigen Serverrollen. Das geht am schnellsten über die PowerShell mit:

Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

Natürlich kann das Feature auch über den Server-Manager oder das Windows Admin Center installiert werden. Verteilt werden die Konfigurationen über XML-Profile, die sich zum Beispiel über SCCM oder Microsoft Intune verteilen lassen. Die Konfiguration dafür ist etwas komplex.

Die Einrichtung beschreibt Microsoft aber recht gut auf der Seite „Always On VPN deployment for Windows Server and Windows 10“. Auf der Seite „Deploy Always On VPN“ beschreibt Microsoft die schrittweise Einrichtung.

(ID:46764938)

Microsoft Always On VPN – der DirectAccess-Nachfolger (2024)

FAQs

What is the difference between DirectAccess and always on VPN? ›

A benefit of DirectAccess is it enables you to manage clients as though they are local to the network. Always On VPN has a similar feature but with a few improvements to ease device administration. One problem with remote client management is the inability to administer a device if it's not connected to the network.

Tell Me More
What is Microsoft always on VPN? ›

With Always On, the active VPN profile can connect automatically and remain connected based on triggers, such as user sign-in, network state change, or device screen active. You can use gateways with Always On to establish persistent user tunnels and device tunnels to Azure.

Learn More Now
Is Microsoft DirectAccess a VPN? ›

DirectAccess, also known as Unified Remote Access, is a VPN technology that provides intranet connectivity to client computers when they are connected to the Internet.

Discover More
What is the Microsoft replacement for DirectAccess? ›

Always ON VPN is offered by Microsoft as successor to DirectAccess. It is not a single feature or product, but a collection of different options that can be used in combination or separately. In principle, Always On VPN is a client-side configuration that allows an automated connection setup similar to DirectAccess.

Know More
Is always on VPN a good idea? ›

VPNs offer the best online security, so keeping it on will protect you against data leaks and cyberattacks, especially while you're using public Wi-Fi. It can also safeguard against intrusive snoopers such as ISPs or advertisers. Always use a VPN when you go online.

Keep Reading
Is DirectAccess better than VPN? ›

Microsoft Direct Access provides a secure connection without the need for a VPN. Direct Access has better scalability than VPNs. Direct Access requires less user configuration than VPNs.

See Details
What is the purpose of DirectAccess? ›

“DirectAccess provides users transparent access to internal network resources whenever they are connected to the Internet.”

View Details
Does Microsoft have a built in VPN? ›

Edge Secure Network uses VPN technology to stop third parties and bad actors from accessing your sensitive information, so you can make purchases online, fill out forms, and keep your browsing activity away from prying eyes. And best of all, it's built in and free in Microsoft Edge.

Discover More
Can Microsoft detect VPN? ›

If you are referring to using a VPN to bypass geo-restrictions to earn more Microsoft Rewards, it's not recommended. Using a VPN for Microsoft Reward violates Microsoft Rewards' terms of service. And if you get detected using a VPN while completing Microsoft Reward activities, then you will get banned.

Read On
Is DirectAccess no longer supported? ›

As we know, Microsoft is no longer actively developing Direct Access, it remains a supported solution in the latest version of Windows Server. This means that you can still rely on Direct Access for your remote access needs, but it's essential to recognize that Microsoft's focus is shifting towards Always On VPN.

Get More Info

Is Microsoft going to discontinue access? ›

Microsoft doesn't have any plans to replace Microsoft Access while also planning to remove the application from Office 365. Therefore, Access users will need to look at alternative systems to run their desktop databases, such as LibreOffice Base, Zoho Creator, or Bubble.

View Details
Is DirectAccess safe? ›

DirectAccess connections are inherently more secure than VPN. Unlike VPN, DirectAccess clients must be joined to the domain and, in most configurations, they must also have a certificate issued by the organization's private, internal Public Key Infrastructure (PKI).

See Details
Which VPN connection mode is best? ›

WireGuard and IKEv2/IPSec lead the way as the two best VPN protocols in the industry today. OpenVPN is a close third as it delivers similar results but is more difficult to work with. However, many routers are OpenVPN-compatible, so it's handy if you want to set up a VPN on your home network.

Continue Reading
What does VPN always on mean? ›

Always On VPN provides connectivity to corporate resources by using tunnel policies that require authentication and encryption until they reach the VPN gateway. By default, the tunnel sessions terminate at the VPN gateway, which also functions as the IKEv2 gateway, providing end-to-edge security.

Continue Reading
What is the difference between VPN and direct connect? ›

Keep in mind, however, that VPN connectivity utilizes the public Internet, which can have unpredictable performance and despite being encrypted, can present security concerns. AWS Direct Connect bypasses the public Internet and establishes a secure, dedicated connection from your infrastructure into AWS.

Explore More
Top Articles
40 Hearty Vegetarian Dinner Recipes To Make This Fall
Our Classic Eggplant Parmesan Recipe Is A (Worthwhile!) Labor Of love
Skip The Games And Dive Into Local Charm
Kevin Costner sticks to subject as Gayle King questions 'Yellowstone' exit: 'This isn't therapy'
Belmont at Aqueduct Entries & Results for Saturday, 6-22-2024
Belmont at Aqueduct Entries & Results for Saturday, 6-29-2024
China Rose Plant Care: Water, Light, Nutrients | Greg App 🌱
China Rose: How To Grow And Care For Rosa Chinensis - Plantora
Korean Skincare: Dein K-Beauty Guide : Beautylove Blog
K Beauty World : Beste koreanische Hautpflege & Kosmetik
The Day He Opened His Eyes - The Tale of Mythia
When His Eyes Opened: Delving into the Rich Narrative of a Captivating Novel
Latest Posts
The Best Recipes Made By Grandmas From Every State
Tonkatsu Sauce Recipe
Article information

Author: Gregorio Kreiger

Last Updated:

Views: 5588

Rating: 4.7 / 5 (77 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Gregorio Kreiger

Birthday: 1994-12-18

Address: 89212 Tracey Ramp, Sunside, MT 08453-0951

Phone: +9014805370218

Job: Customer Designer

Hobby: Mountain biking, Orienteering, Hiking, Sewing, Backpacking, Mushroom hunting, Backpacking

Introduction: My name is Gregorio Kreiger, I am a tender, brainy, enthusiastic, combative, agreeable, gentle, gentle person who loves writing and wants to share my knowledge and understanding with you.