Always On VPN – Device Tunnel konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In Teil 6 habe ich auf CLIENT01 eine VPN-Verbindung mit dem Namen Template erstellt. Augrund dieser Vorlage habe ich in Teil 7 das Always On VPN – VPN-Profil erstellt. Zum Abschluss werde ich noch den Always On VPN – Device Tunnel konfigurieren.

Mit Windows 10 1709 hat Microsoft den Device Tunnel für Always On VPN eingeführt. Damit bietet diese Lösung die gleichen Features wie DirectAccess. Der Geräte- oder Device Tunnel stellt eine Verbindung zur Domäne her, bevor sich ein Benutzer anmeldet. Das hat den Vorteil, dass keine gespeicherten Anmeldeinformationen vorhanden sein müssen. Mehr Infos zum Device Tunnel gibt es bei hier.

Voraussetzung für den Gerätetunnel ist ein Computerzertifikat mit der erweiterten Schlüsselverwendung Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

Die passende Zertifikatsvorlage und die automatische Verteilung der Zertifikate habe ich in Teil 2 beschrieben. Weiterlesen

Always On VPN – VPN-Profil erstellen

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In Teil 6 habe ich auf CLIENT01 eine VPN-Verbindung mit dem Namen Template erstellt. Aufgrund dieser Vorlage werde ich jetzt das Always On VPN – VPN-Profil erstellen.

VPN_Profile.xml  und VPN_Profile.ps1 erstellen

Hinweis: Wie in der Microsoft Dokumentation geschrieben steht, muss die Verbindung mindestens einmal hergestellt worden sein, damit alle Werte verfügbar sind. Weiterlesen

Always On VPN – Windows 10 Client konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In diesem Teil möchte ich den Always On VPN – Windows 10 Client konfigurieren.

Die NPS Server-Zertifikatseinstellungen notieren

  1. Als Administrator an NPS01 anmelden
  2. Server Manager > Tools > Network Policy Server starten
  3. NPS (Local)\Policies\Network Policies anklicken
  4. Virtual Private Network (VPN) Connections rechts anklicken > Properties
  5. Virtual Private Network (VPN) Connections Properties
    1. Auf den Reiter Constraints wechseln
    2. Auf der linken Seite Authentication Methods markieren
    3. Im Bereich EAP Types Microsoft: Protected EAP (PEAP) markieren > Edit…
    4. Folgende Daten notieren:
      1. Certificate issued to: NPS01.intern.einfaches-netzwerk.at
      2. Issuer: Einfaches-Netzwerk-SUBCA01
      3. Alle Fenster mit Cancel schließen
  6. Von NPS01 abmelden

Weiterlesen