Anschließend erstellen Sie auf Basis der Vorlage für RAS- und IAS-Server eine neue für den VPN-Server. Vergeben Sie einen sinnvollen Namen wie "VPN Server Authentifikation" und konfigurieren Sie unter "Erweiterungen" die Anwendungsrichtlinie auf "IP-Sicherheits-IKE", entfernen unter "Anforderungsverarbeitung" den Haken bei "Exportieren von privatem Schlüssel zulassen" und fügen unter "Kryptografie" den "Microsoft Platform Crypto Provider" hinzu. Abschließend erlauben Sie unter "Sicherheit" den Zugriff auf das Template für die Gruppe "VPN Server" und vergeben zusätzlich die Rechte für "Registrieren" und "Automatisch Registrieren". Abschließend erstellen Sie noch eine Vorlage für den NPS-Server, ebenfalls auch Basis der RAS- und IAS-Server-Vorlage. Vergeben Sie als Namen "NPS Server Authentifikation" und fügen Sie wie bei den beiden oberen Vorlagen unter "Sicherheit" die Rechte für die von Ihnen erstellte Gruppe "NPS-Server" hinzu.

Installation und Konfiguration

Die Installation von Always On VPN gestaltet sich im Grunde genauso wie die von Direct Access. Sie installieren in ihrem Windows Server 2016 das Windows Feature "Direct-Access-VPN", entweder über den Server Manager (wie in Bild 3 dargestellt) oder über die PowerShell mit dem Befehl

> Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

Im Anschluss an die Installation starten Sie die Konfiguration, indem Sie über den Server Manager auf die Benachrichtigungen klicken und dort im "Aufgaben"-Menü den Schnellstart-Assistenten starten. Wählen Sie dort die untere Option, um nur das VPN bereitzustellen. Es öffnet sich die Routing- und Remote-Access-MMC. Dort klicken Sie mit rechts auf Ihren Server und wählen den ersten Menüeintrag zum Konfigurieren und Aktivieren von Routing und RAS. Wählen Sie im zweiten Schritt des Assistenten die "Benutzerdefinierte Konfiguration" aus und klicken auf "Weiter". Selektieren Sie im folgenden Dialog die erste Option "VPN-Zugriff" und schließen Sie den Vorgang ab. Sie erhalten nun den Hinweis, dass eine Richtlinie für den NPS erstellt wurde, die Sie möglichst überprüfen sollen. Sie bestätigen diesen Hinweis und starten anschließend den Dienst für Routing und Remote Access.

Konfigurieren Sie nun Ihren NPS-Server. Wählen Sie dazu mit der rechten Maustaste Ihren VPN-Server aus und klicken Sie auf "Eigenschaften". Gehen Sie in den Punkt "Sicherheit / Authentifizierungsanbieter und RADIUS-Authentifizierung". Folgen Sie den Schritten, um den RADIUS-Server hinzuzufügen. Wenn dieser Server auf derselben Maschine läuft wie Ihr VPN-Server, müssen Sie hier keine weitere Konfiguration vornehmen. Der Assistent erkennt dies und bindet den NPS-Server direkt mit ein.

Always On VPN in XML-Profile integrieren

Always On VPN lässt sich direkt in die XML-Profile für Clients integrieren. Diese Profile werden normalerweise über Ihr Mobile Device Management (MDM) oder per Microsoft Intune an die Clients weitergegeben. Sie können die Profile auch ohne Manager über die PowerShell ausrollen. Neben den grundlegenden Einstellungen lassen sich das zu nutzende Protokoll ebenso wie Split Tunneling oder Trusted Network Detection konfigurieren. Die XML-Datei folgt dabei dem entsprechenden VPN-Profil-Schema von Microsoft [1]. Um das XML-Profil für "Always On" zu aktivieren, setzen Sie die folgenden Tags:

<AlwaysOn>true</AlwaysOn>

<RememberCredentials>true</RememberCredentials>

Konfigurieren Sie IKEv2 als natives Protokoll mit der folgenden Einstellung:

<NativeProtocolType>IKEv2</NativeProtocolType>

Für das Routing über den VPN-Kanal können Sie zwei Modi auswählen, Force Tunneling oder Split Tunneling. Wenn Sie Force Tunneling wählen, dann wird der gesamte Netzverkehr des Clients über das VPN-Gateway geleitet. Das bedeutet auch, dass auch normale Verbindungen in das Internet darüber laufen, also nicht nur solche in das Unternehmensnetzwerk. Je nach Anzahl der Nutzer und möglichen Kosten für Datenübertragungen möchten IT-Verantwortliche solchen Verkehr nicht über das Unternehmensnetz umleiten.

Um nur bestimmte Routen über den VPN-Tunnel zu nutzen, konfigurieren Sie das sogenannte Split Tunneling. In der Routing-Tabelle des Clients werden dann die IP-Adress-Prefixe über das VPN-Gateway geleitet, die Sie explizit deklarieren. Es ist also auch möglich, Teile des Unternehmensnetzwerks nicht für VPN-Verbindungen verfügbar zu machen, wenngleich Sie dafür natürlich zusätzlich eine Firewall zwischen VPN-Gateway und diesem Bereich betreiben sollten. Split Tunneling aktivieren Sie mit folgendem Tag:

<RoutingPolicyType>SplitTunnel</RoutingPolicyType>

Möchten Sie dem Client zusätzlich noch Informationen zu Nameservern und zu Domain-Namen mitgeben, können Sie dies in der XML-Datei wie in folgendem Beispiel konfigurieren:

<DomainNameInformation>

<DomainName>.it-administrator.local</DomainName>

<DnsServer>10.1.2.4,10.1.2.5</DnsServer>

</DomainNameInformation>

Unnötige Verbindungen vermeiden

Um sicherzustellen, dass ein mobiles Gerät, das sich bereits innerhalb des Unternehmensnetzwerks befindet, keine unnötige Verbindung über VPN aufbaut, sollten Sie über die Trusted Network Connection den DNS-Suffix der Netzwerkverbindung verwenden. Diese Einstellung von Always On VPN ist deutlich komfortabler als der Betrieb eines Network Locator Services. Konfigurieren Sie dieses Feature über den folgenden Tag, wird das vertrauenswürdige Netzwerk entsprechend erkannt und keine VPN-Verbindung aufgebaut:

<TrustedNetworkDetection>it-admi­nistrator.local</TrustedNetwork­Detection>

Um die EAP-Einstellungen in das Profil zu übernehmen, empfiehlt Microsoft das Anlegen eines VPNs auf einem Beispielrechner und den anschließenden Export der Einstellung in das XML-Dokument hinein [2]. Natürlich können Sie auch die dort angegebenen Schritte manuell durchführen. Anschließend können Sie über Ihr MDM das Profil an die betroffenen Rechner übermitteln.

Fazit

Always On VPN erlaubt vor allem eine neue Unabhängigkeit von der eingesetzten Infrastruktur wie dem verwendeten VPN-Produkt oder RADIUS-Servern. Weitere sinnvolle Funktionen bieten Conditional Access über Azure Active Directory sowie Traffic-Filter, die als zusätzliche Schutzmechanismen zur Absicherung des Zugangs zum Unternehmensnetzwerk dienen. Der Device-Tunnel ermöglicht die Verbindung eines mobilen Geräts schon vor der Anmeldung des Benutzers, allerdings müssen dabei NAT und Firewall entsprechend mitspielen.

Einziger Wermutstropfen ist die Tatsache, dass Always On VPN nur für Windows-10-Clients zur Verfügung steht. Serverseitig können aber auch Windows-7-Clients bedient werden, dann aber nur mit Direct-Access-Funktionalität als Fallback. Doch angesichts des auslaufenden Supports seitens Microsoft für Windows 7 sollte dieses Betriebssystem in Unternehmen ohnehin keine große Rolle mehr spielen.

<< Vorherige Seite

Seite 2 von 2

dr/Matthias Wübbeling

[1] VPN-Profil-Schema von Microsoft: https://docs.microsoft.com/en-us/windows/client-management/mdm/vpnv2-profile-xsd/
[2] EAP-Einstellungen: https://docs.microsoft.com/en-us/windows/client-management/mdm/eap-configuration/