Always On VPN – Serverzertifikate installieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. In diesem Teil werde ich das Zertifikat für NPS Serverauthentifizierung und das IKEv2-Zertifikat am VPN Server installieren. Außerdem werde ich eine Zertifikatsanforderung für ein SSL-Zertifikat für SSTP erstellen.

Das Zertifikat für die NPS Serverauthentifizierung installieren

  1. Als Administrator an NPS01 anmelden
  2. Suche: MMC > Run as administrator
  3. Certificates-Snap-In für den lokalen Computer importieren
  4. Certificate (Local Computer) erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy: Active Directory Enrollment Policy > Next
    3. Request Certificates: NPS Serverauthentifizierung > aktivieren > Enroll
    4. Certificate Installation Results > Finish
  7. Personal\Certificates erweitern
  8. Fenster schließen
  9. Von NPS01 vorerst abmelden

Weiterlesen

Always On VPN – Verwaltung der Zertifikate

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. In diesem Teil werde ich die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfigurieren, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellen.

Computer- und Benutzerzertifikate mittels GPOs automatisch ausrollen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management starten
  3. Group Policy Management\Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
  5. New GPO
    1. Name: Autoregistrierung Computerzertifikat > OK
  6. Autoregistrierung Computerzertifikat rechts anklicken > Edit…
  7. Group Policy Management Editor
    1. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
      4. Fenster schließen
  8. Die OU Einfaches-Netzwerk\Arbeitsstationen rechts anklicken > Link an Existing GPO…
  9. Select GPO
    1. Autoregistrierung Computerzertifikat auswählen > OK
  10. Autoregistrierung Computerzertifikat markieren
  11. Im Detailbereich auf den Reiter Details wechseln
  12. GPO Status: User configuration settings disabled
  13. Group Policy Objects rechts anklicken > New
  14. New GPO
    1. Name: Autoregistrierung VPN Benutzerzertifikat > OK
  15. Autoregistrierung VPN Benutzerzertifikat rechts anklicken > Edit…
  16. Group Policy Management Editor
    1. User Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
  17. Fenster schließen
  18. Dieses Gruppenrichtlinienobjekt mit der OU Benutzer verknüpfen
  19. GPO Status: Computer configuration settings disabled
  20. Group Policy Management schließen

Weiterlesen

AlwaysOn VPN – Überblick

AlwaysOn VPN

Microsoft hat die Entwicklung von DirectAccess eingestellt und bevorzug die Verwendung von Windows 10 AlwaysOn VPN für Zugriffe auf das Firmennetzwerk von Unterwegs. Eine Empfehlung zum Wechsel zu AlwaysOn VPN gibt es hier: DirectAccess network performance in Windows. AlwaysOn VPN hat DirectAccess gegenüber ettliche Vorteile und meiner Meinung nach nur einen Nachteil, der eigentlich keiner mehr ist: Es funktioniert nur mit Windows 10. Spätestens Anfang 2020 sollte das aber kein Thema mehr sein. Siehe hier:

Infrastruktur

Weiterlesen