Was ist Microsoft Always On VPN – vembu

Remote Access ist eine der Schlüsselkomponenten für die Produktivität mobiler Mitarbeiter, die sich nicht am zentralen Produktionsstandort und Netzwerk befinden. Im Laufe der Jahre hat sich das virtuelle private Netzwerk oder die VPN-Verbindung zu einer festen Größe für mobile Mitarbeiter mit Fernzugriff entwickelt, die eine Verbindung zu Unternehmensnetzwerken über einen verschlüsselten und sicheren privaten Tunnel über das Internet ermöglicht. VPN-Bereitstellungen können jedoch schwierig zu implementieren und zu warten sein.

Vor einigen Jahren führte Microsoft DirectAccess ein, das als Lösung für die Herausforderungen des Fernzugriffs angepriesen wurde. Es erwies sich als schwierig, korrekt zu implementieren und hatte Einschränkungen, die seine Akzeptanz beeinträchtigten. Mit Windows Server 2016 und höher sowie mit Windows 10 hat Microsoft eine neue Fernzugriffstechnologie namens Always On VPN eingeführt.

In diesem Beitrag werfen wir einen Blick auf Folgendes:

  • Was ist Microsoft Always On VPN?
  • Was sind die Vorteile und Anforderungen?
  • Typen von Einsatzszenarien

Was ist Microsoft Always On VPN?

Microsoft’s Always On VPN ist die Überarbeitung der DirectAccess-Remote-Access-Technologie, die darauf abzielt, die Einschränkungen von DirectAccess zu überwinden und eine viel breitere Akzeptanz zu erreichen. Mit der neuen Always On VPN-Technologie will Microsoft eine einzige Lösung für den Fernzugriff schaffen, die eine Vielzahl von Clients unterstützt. Wie DirectAccess ist auch die VPN-Verbindung „Always On“, d. h. es sind keine Benutzereingaben erforderlich, es sei denn, die Multi-Faktor-Authentifizierung ist aktiviert. Sobald ein Client mit dem Internet verbunden ist, wird die VPN-Verbindung aufgebaut. Die Palette der unterstützten Clients umfasst im Gegensatz zu DirectAccess mehr als nur domänenverbundene Clients:

  • Domänenverbundene
  • Nicht domänenverbundene
  • Azure AD-verbundene Geräte
  • BYOD

Ein zusätzlicher Hemmschuh für DirectAccess war, dass es aus Client-Sicht eine Enterprise-Edition benötigte. Mit AOVPN ermöglicht Microsoft jedoch, dass Clients mit Windows 10 Pro und höher von der Technologie profitieren können. Die Verbindungen unterstützen sowohl benutzer- als auch gerätebezogene Verbindungen, können aber auch beides kombinieren. Dies ermöglicht die Verwaltung eines Geräts mit dem Gerätemanagement sowie die Benutzerauthentifizierung für die Konnektivität zu unternehmensinternen Websites und Diensten.

VPN1

Ein umfassender Überblick über die Always On VPN-Technologie Infrastrukturanforderungen

Der Verbindungsprozess für eine Verbindung mit der Always On VPN-Technologie umfasst die folgenden Schritte:

  • Die DNS-Auflösung wird vom entfernten Windows 10-Client verwendet, um die IP-Adresse des VPN-Gateways aufzulösen
  • Wenn die Namensauflösung die öffentliche IP-Adresse des VPN-Gateways auflöst, sendet der Client eine Verbindungsanforderung an das Always On VPN-Gateway
  • Das VPN-Gateway fungiert als RADIUS-Client, der die Verbindungsanforderung an den NPS-Server des Unternehmens weiterleitet, um die Authentifizierungsanforderung zu verarbeiten
  • Der Network Policy Server führt die erforderliche Autorisierung durch, Der Network Policy Server führt die notwendige Autorisierung und Authentifizierung durch und erlaubt oder verweigert schließlich die Anfrage
  • Die Verbindung wird dann auf der Grundlage der Antwort des NPS-Servers hergestellt oder getrennt

Microsoft Always On VPN Anforderungen

Es gibt verschiedene bewegliche Teile und Komponenten der Microsoft Always On VPN Lösung. Viele der Anforderungen sind bereits in den meisten Unternehmensumgebungen zu finden. Dazu gehören jedoch:

  • Domain Controller
  • DNS Server
  • Network Policy Server (NPS)
  • Certificate Authority Server (CA)
  • Routing und Remote Access Server

Um etwas tiefer in die Anforderungen/Voraussetzungen für die Einrichtung des Microsoft Always On VPN einzutauchen, Es gibt viele Komponenten der Active Directory-Umgebung, einschließlich DNS- und Zertifizierungsstellenserver, die erforderlich sind.

  • Unternehmen müssen sowohl eine externe als auch eine interne DNS-Struktur mit Zonen für beide konfigurieren. Zumindest in der Microsoft-Dokumentation wird von einer übergeordneten und einer untergeordneten Domäne ausgegangen, z. B. contoso.com und corp.contoso.com
  • Unternehmen müssen eine Infrastruktur für öffentliche Schlüssel mit Active Directory Certificate Services (AD CS) konfigurieren. Wie bei DirectAccess werden auch bei der Always On VPN-Technologie Zertifikate verwendet, um die Technologie nahtlos zu gestalten.
  • Ein bestehender oder neuer Netzwerkrichtlinienserver wird benötigt. Vorhandene Server können mit der zusätzlichen Konfiguration für das AOVPN verwendet werden
  • Remote Access as RAS Gateway VPN – Funktionen zur Unterstützung von IKEv2 VPN-Verbindungen und LAN-Routing
  • Zwei Firewall-Konfigurationen – Eine Firewall ist die Edge-Firewall und die andere ist die interne Firewall. Die öffentliche Schnittstelle des Fernzugriffsservers wird mit der Edge-Firewall verbunden und die interne Schnittstelle wird vor der internen Firewall platziert
  • Der Fernzugriffsserver kann eine VM oder ein physischer Server sein, der als RAS-Host mit den entsprechenden Netzwerkverbindungen „
  • Administratorberechtigungen für die Bereitstellung der AOVPN-Technologien

Arten von Bereitstellungsszenarien für Microsoft Always On VPN

Es gibt eigentlich zwei Bereitstellungsszenarien für die Microsoft Always On VPN-Technologie. Dazu gehören:

  • Nur Always On VPN
  • Always On VPN mit VPN-Konnektivität unter Verwendung von bedingtem Azure Active Directory-Zugriff

Was ist der bedingte Azure Active Directory-Zugriff?

Der bedingte Azure-Active-Directory-Zugriff bezieht die Art des Zugriffs auf eine Ressource in eine Entscheidung zur Zugriffskontrolle ein. Diese automatisierten Zugriffskontrollentscheidungen helfen dabei, den Zugriff zu sichern. Der bedingte Zugriff berücksichtigt Faktoren wie die Risikostufe der Anmeldung, den Ort der Anfrage, die Client-Anwendung usw.

Dies hilft dabei, das erforderliche Gleichgewicht zwischen dem Schutz von Ressourcen und der Produktivität der Endbenutzer zu finden und den Fortschritt nicht unnötig zu behindern.

VPN2

Azure Active Directory Zugangskontrolldesigns/center>

Ein paar Beispiele für die Faktoren, die für die Gewährung oder Verweigerung des Zugangs berücksichtigt werden, sind die folgenden:

  • Anmeldungsrisiko – Mithilfe von maschinellem Lernen erkennt Azure Anmeldungsrisiken auf der Grundlage des Verhaltens der Anmeldeanforderung und kann einen Benutzer möglicherweise sogar sperren, wenn dies gerechtfertigt ist
  • Netzwerkstandort – Basierend auf einem Netzwerkstandort ist möglicherweise ein weiterer Identitätsnachweis erforderlich, um zu beweisen, dass Sie derjenige sind, der Sie vorgeben zu sein. Dies kann bei der Zugriffskontrolle mit Azure AD berücksichtigt werden
  • Geräteverwaltung – Vielleicht möchten Sie den Zugriff nur auf unternehmenseigene und verwaltete Geräte beschränken, oder Sie möchten den Gerätetyp einschränken, dem Sie den Zugriff auf Unternehmensressourcen gestatten
  • Client-Anwendung – Steuern Sie die Arten von Anwendungen, die auf Unternehmensumgebungen zugreifen dürfen, oder legen Sie fest, welche Anwendungen vom Unternehmen verwaltet werden müssen

Microsoft Always On VPN Erweiterte Funktionen

Es gibt viele erweiterte Funktionen, die in der AOVPN-Technologie von Microsoft zu finden sind, darunter:

  • Hochverfügbarkeit
  • Erweiterte Authentifizierung
  • Erweiterte Verkehrsfunktionen
  • Zusätzlicher Sicherheitsschutz

Hochverfügbarkeit

Um eine hohe Verfügbarkeit mit AOVPN zu gewährleisten, können Sie den Verkehr zwischen mehreren Netzwerkrichtlinienservern (NPS) ausgleichen und auch die Clustering-Technologie mit Remote Access verwenden. Um geografische Standortausfallsicherheit zu gewährleisten, können Sie den Global Traffic Manager mit DNS in Windows Server 2016 verwenden.

Erweiterte Authentifizierung

Das AOVPN unterstützt Windows Hello for Business, das Passwörter durch eine starke Zwei-Faktor-Authentifizierung einschließlich biometrischer oder PIN ersetzt. Darüber hinaus können Sie Azure Multi-Faktor-Authentifizierung verwenden, die in Windows VPN integriert werden kann.

Erweiterte Verkehrsfunktionen

Erweiterte Funktionen wie Verkehrsfilterung, App-ausgelöstes VPN und VPN bedingter Zugriff können alle mit dem Microsoft AOVPN verwendet werden, um den Verkehr weiter zu filtern und zu sichern.

Zusätzlicher Sicherheitsschutz

Microsoft’s AOVPN ist kompatibel mit Trusted Platform Module (TPM) Key Attestation, um eine höhere Sicherheit für den Zugang zu gewährleisten.

Abschließende Überlegungen

Microsoft ist bestrebt, das VPN-Erlebnis so nahtlos wie möglich zu gestalten. Da sich DirectAccess nicht so durchgesetzt hat, wie Microsoft gehofft hatte, soll die neue Always On VPN-Technologie in Windows Server 2016 und höher das ändern. Mit der Unterstützung für Clients ohne Unternehmenslizenz sowie für Clients, die nicht mit einer Domäne verbunden sind, ist AOVPN heute sicherlich in einer viel besseren Position, um von Unternehmen angenommen zu werden. AOVPN ist auch stark mit Azure verbunden, und zwar mit der Technologie des bedingten Zugriffs“, die es ermöglicht, intelligentere Entscheidungen darüber zu treffen, wer Zugriff auf Ressourcen erhält. Im Allgemeinen ist die Bereitstellung von AOVPN mit einer gewissen Komplexität verbunden, da es viele schwieriger zu implementierende Technologien wie PKS und NPS erfordert. Die AOVPN-Lösung bietet jedoch große Vorteile für diejenigen, die ihre mobilen Mitarbeiter mit der neuesten Sicherheit und nahtlosen Benutzererfahrung ausstatten möchten.

Folgen Sie unseren Twitter- und Facebook-Feeds für neue Versionen, Updates, aufschlussreiche Beiträge und mehr.

Gefällt Ihnen, was Sie lesen? Bewerten Sie uns
0.0
00