AufgabeVerweis

Informieren Sie sich über die Grundbegriffe.

Virtuelles privates Netzwerk

Tragen Sie die erforderlichen Informationen zusammen.

Anforderungen für das Installieren von RRAS als VPN-Server

Konfigurieren Sie TCP/IP für die Netzwerkadapter des RRAS-Servers.

Konfigurieren von TCP/IP auf dem RRAS-Server

Installieren Sie RRAS.

Installieren von RRAS

Aktivieren Sie RRAS, und konfigurieren Sie RRAS als VPN-Server.

Aktivieren von RRAS als VPN-Server

Wenn sich der RRAS-Server hinter einer Umkreisfirewall befindet oder wenn auf dem RRAS-Server eine hostbasierte Firewall wie Windows-Firewall mit erweiterten Sicherheitseinstellungen ausgeführt wird, konfigurieren Sie die erforderlichen Firewallregeln so, dass VPN-Netzwerkdatenverkehr (virtuelles privates Netzwerk) über die Firewall auf dem RRAS-Server zugelassen wird.

Konfigurieren einer Firewall für den VPN-Datenverkehr (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=140709)

Wenn sich der RRAS-Server nicht hinter einer Umkreisfirewall befindet und wenn auf dem RRAS-Server keine hostbasierte Firewall wie Windows-Firewall mit erweiterten Sicherheitseinstellungen ausgeführt wird, konfigurieren Sie die statischen Paketfilter so, dass nur der erforderliche VPN-Netzwerkdatenverkehr auf dem RRAS-Server zugelassen wird.

Konfigurieren von statischen Filtern für den VPN-Datenverkehr (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=140713)

Konfigurieren Sie die Typen von VPN-Verbindungen und die Anzahl an Verbindungen der einzelnen Typen, die vom VPN-Server unterstützt werden.

Standardmäßig werden von RRAS in dieser Version von Windows jeweils 128 Verbindungen über Version 2 des Internetschlüsselaustauschs (Internet Key Exchange Version 2, IKEv2), Layer Two Tunneling-Protokoll (L2TP), Point-to-Point-Tunneling-Protokoll (PPTP) und Secure Socket Tunneling-Protokoll (SSTP) unterstützt. Wenn Sie VPN aktivieren, nachdem Sie RRAS installiert haben, werden die VPN-Ports deaktiviert, und die einzelnen Verbindungstypen werden jeweils nur fünfmal erstellt. Aktivieren Sie die Ports, und konfigurieren Sie die erforderliche Anzahl, indem Sie dieses Verfahren ausführen.

Konfigurieren von Ports für RAS

Geben Sie DHCP an, oder konfigurieren Sie einen statischen IP-Adresspool für VPN-Clients.

Konfigurieren der Art und Weise der Zuweisung von IP-Adressen zu VPN-Clients durch RRAS

Wenn Sie DHCP verwenden, um IP-Adressen für Remoteclients bereitzustellen, und wenn sich der DHCP-Server nicht im selben IP-Subnetz wie der RRAS-Server befindet, konfigurieren Sie einen DHCP-Relay-Agent, mit dem DHCP-Broadcastanforderungen und -antworten über Router an den DHCP-Server weitergeleitet werden.

Konfigurieren des IPv4-DHCP-Relay-Agents

Konfigurieren des IPv6-DHCP-Relay-Agents

Wenn Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) verwenden, um Richtlinien für Ihre RRAS-Server zentral zu verwalten, konfigurieren Sie Einwähleigenschaften und Netzwerkrichtlinien für Einwählberechtigungen, Authentifizierung und Verschlüsselungseinstellungen.

Siehe "Prüfliste: Konfigurieren von NPS für Einwahl und VPN" in der Hilfe zum Netzwerkrichtlinienserver.

Passen Sie die Protokollierungsebenen für RRAS und für die einzelnen Routingprotokolle an.

Konfigurieren von Protokollierungsebenen für RRAS

(Optional) Erstellen Sie ein Verbindungs-Manager-Profil, um die Clientverbindungsmöglichkeiten für Benutzer zu verwalten und die Problembehandlung bei Clientverbindungen zu vereinfachen.

Verbindungs-Manager-Verwaltungskit (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=136440)

Wenn für Ihre RRAS-Konfiguration Zertifikate für die Authentifizierung erforderlich sind (beispielsweise wenn Sie IKEv2 oder SSTP-basierte VPN-Verbindungen verwenden), müssen Sie über eine Quelle für die Zertifikate verfügen. Installieren Sie Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) auf einem Server im Netzwerk als Alternative zum Kauf von Zertifikaten von Stammzertifizierungsstellen von Drittanbietern.

Active Directory-Zertifikatdienste (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=136444)

Für die Unterstützung von VPN-Verbindungen mit SSTP- oder IKEv2-Zertifikatauthentifizierung müssen Sie ein Computerzertifikat installieren, wobei die Serverauthentifizierung oder die universale EKU-Eigenschaft (Enhanced Key Usage, erweiterte Schlüsselverwendung) auf Ihrem RRAS-Server installiert sein muss.

Konfigurieren von RRAS mit einem Computerauthentifizierungszertifikat

Wenn Sie den RRAS-Server zunächst nur für die Unterstützung von IPv4 (Internetprotokoll, Version 4) konfiguriert hatten, können Sie eine Unterstützung des IPv6-Remotezugriffs (Internetprotokoll, Version 6) zusätzlich aufnehmen.

Aktivieren des IPv6-Remotezugriffs

(Optional) Konfigurieren Sie Ihren VPN-Server so, dass der Netzwerkzugriffsschutz (Network Access Protection, NAP) zum Erzwingen von Integritätsanforderungsrichtlinien verwendet wird.

Konfigurieren des Erzwingens des Netzwerkzugriffsschutzes für VPN

Weitere Verweise


Inhaltsverzeichnis