Video-Tipp: Microsoft Always On VPN Microsoft Always On VPN – der DirectAccess-Nachfolger
Autor / Redakteur: Thomas Joos / Peter Schmitz
Wer Windows-10-Rechner per VPN im Netzwerk einbinden will, kann auf Always On VPN, den Nachfolger von DirectAccess setzen. Wir zeigen in diesem Video-Tipp wie Microsoft Always On VPN funktioniert, was die Vorteile von Always On VPN im Vergleich zu DirectAccess sind und wie man Always On VPN und die nötige Zertifikat-Infrastruktur konfiguriert.
Anbieter zum Thema
Nicht erst seit der Corona-Krise und dem Boom bei Homeoffice-Arbeitsplätzen ist VPN ein immer gefragterer Dienst bei Unternehmen. Ein extrem leicht umzusetzender Dienst war dabei lange Microsoft DiectAccess. DirectAccess hat den Vorteil, dass Anwender keinerlei Benutzeraktionen durchführen müssen, um mit dem Unternehmensnetzwerk verbunden zu werden. Die Computer müssen dazu Mitglied einer Active Directory-Domäne sein. Microsoft entwickelt DirectAccess als VPN-Methode allerdings nicht mehr weiter und empfiehlt Unternehmen den Umstieg auf Always On VPN. Die Einrichtung von Always On VPN ist aber nicht ganz unkompliziert. Wir zeigen in diesem Beitrag die Möglichkeiten und die generelle Einrichtung. Die vollständige Dokumentation von Microsoft findet sich auf der Seite „Remote Access Always On VPN“.
Wie Microsoft Always On VPN funktioniert, welche Vorteile es gegenüber DirectAccess hat und wie man die nötige Zertifikat-Infrastruktur konfiguriert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Bildergalerie
Vorteile von Always On VPN im Vergleich zu DirectAccess
Wie beim Einsatz von DirectAccess kann Always On VPN nicht nur einfache und schnelle Verbindungen für mobile Windows 10-Computer zur Verfügung stellen, sondern ermöglicht auch das Umsetzen von Richtlinien auf den Remote-Rechnern. Im Gegensatz zu DirectAccess ist Always On VPN für alle Editionen von Windows 10 nutzbar. Always On VPN wurde von Anfang an für den Einsatz mit Windows 10 optimiert. Wie bei DirectAccess unterstützt auch Always On die Möglichkeit Unternehmensrechner an Active Directory über VPN anzubinden und auch Gruppenrichtlinien einzusetzen. Für dein Einsatz von Always On VPN müssen im lokalen Netzwerk für den effektiven Betrieb ein Active Directory zur Verfügung stehen, ein VPN-Endpunkt und ein RADIUS-Server. Generell sollte auch eine Zertifizierungsstelle vorhanden sein.
Gruppenrichtlinien vor dem Einsatz konfigurieren
Generell kann es sinnvoll sein, dass über Gruppenrichtlinien die automatische Registrierung von Zertifikaten für Benutzer und Computer konfiguriert wird. Die Einstellungen dazu sind bei „Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel“. Hier kann „Zertifikatsdienstclient\Automatische Registrierung“ aktiviert werden, indem die Option „Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen“ aktiviert wird und „Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren“.
Generell ist es sinnvoll beim Einsatz von Always On VPN mit Gruppen in Active Directory zu arbeiten. Dazu sollte für die VPN-Benutzer eine eigene Gruppe erstellt werden, zum Beispiel „VPN-Benutzer“. Für die effektivere Zuweisung von Richtlinien an die beteiligten Server ist es auch sinnvoll eine Gruppe „VPN-Server“ und eine Gruppe „NPS-Server“ zu erstellen.
Zertifikatvorlagen vorbereiten
Für die Authentifizierung zum VPN wird ein Zertifikat benötigt. Idealerweise sollte hier eine Vorlage erstellt werden. Diese Aufgabe wird auf dem Server vorgenommen, auf dem die Zertifizierungsdienste installiert sind. Über die Konsole „certsrv.msc“ steht hier der Bereich „Zertifikatvorlagen“ zur Verfügung. Durch einen Rechtsklick auf „Zertifikatvorlagen“ wird „Verwalten“ aufgerufen. Die Verwaltung der Zertifikatvorlagen kann auch direkt mit „certtmpl.msc“ aufgerufen werden.
Um eine neue Vorlage zu erstellen, wird die Vorlage „Benutzer“ mit der rechten Maustaste angeklickt und „Vorlage duplizieren“ gewählt. Als Name kann hier auf der Registerkarte „Allgemein“ bei „Vorlagenanzeigename“ der Name „VPN-Benutzer-Authentifizierung“ eingegeben werden. Die Option „Zertifikat in Active Directory veröffentlichen“ sollte deaktiviert werden. Bei Sicherheit wird jetzt die erstellte AD-Gruppe „VPN-Benutzer“ hinzugefügt und anschließend die Rechte „Registrieren“ und „Automatisch registrieren“ erteilt. Zusätzlich sollte bei „Kompatibilität“ noch bei „Zertifizierungsstelle“ noch möglichst „Windows Server 2016“ und bei „Zertifikatsempfänger „Windows 10 / Windows Server 2016“ ausgewählt werden.
Eine weitere Vorlage wird auf Basis der Vorlage „RAS- und IAS-Server“ erstellt. Der Name der Vorlage kann zum Beispiel „VPN-Server-Authentifizierung“ genannt werden. Bei „Erweiterungen“ sollte „Anwendungsrichtlinien“ bearbeitet und „IP-Sicherheits-IKE“ hinzugefügt werden. Bei „Anforderungsverarbeitung“ sollte die die Option „Exportieren von privatem Schlüssel zulassen“ deaktiviert werden. Bei „Kryptografie“ wird „Microsoft Enhanced Cryptographic Provider 1.0“ hinzugefügt. Hier sollte bei „Sicherheit“ die Gruppe für die VPN-Server aufgenommen werden.
Für NPS-Server wird ebenfalls eine Vorlage mit den gleichen Daten erstellt. Hier müssen natürlich die NPS-Server Zugriff erhalten. Auch das wird auf der Registerkarte „Sicherheit“ gesteuert.
Wie Microsoft Always On VPN funktioniert, welche Vorteile es gegenüber DirectAccess hat und wie man die nötige Zertifikat-Infrastruktur konfiguriert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Bildergalerie
Always On VPN installieren
Die Einrichtung von Always On VPN erfordert zunächst die Installation der notwendigen Serverrollen. Das geht am schnellsten über die PowerShell mit:
Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
Natürlich kann das Feature auch über den Server-Manager oder das Windows Admin Center installiert werden. Verteilt werden die Konfigurationen über XML-Profile, die sich zum Beispiel über SCCM oder Microsoft Intune verteilen lassen. Die Konfiguration dafür ist etwas komplex.
Die Einrichtung beschreibt Microsoft aber recht gut auf der Seite „Always On VPN deployment for Windows Server and Windows 10“. Auf der Seite „Deploy Always On VPN“ beschreibt Microsoft die schrittweise Einrichtung.
(ID:46764938)