Windows 10 Always On VPN ist der Ersatz für die remote Zugangsoption von Microsoft’s DirectAccess. Always On VPN funktioniert auf einer ähnlichen Art und Weise wie DirectAccess, und bietet somit einen nahtlosen, transparenten und stets aktiven Fernzugriff. Es verwendet traditionelle clientbasierte VPN-Protokolle wie Internet Key Exchange Version 2 (IKEv2) und Secure Sockets Tunneling Protocol (SSTP).
Leitfaden zur Installation von Always On VPN
Die Beseitigung von einzelnen Fehlerpunkten (Single Points of Failure) in der Always On VPN-Architektur ist entscheidend, um die größtmögliche Verfügbarkeit der Fernzugriffslösung des VPN-Servers sicherzustellen. Aus diesem Grund ist ein Load Balancer erforderlich. VPN-Server können mit dem Kemp LoadMaster Load Balancer hochverfügbar gestaltet werden. Der LoadMaster kann so konfiguriert werden, dass er eingehende VPN-Verbindungen annimmt und sie intelligent auf alle konfigurierten echten Server verteilt. Die Verteilung des Datenverkehrs kann im Round-Robin-Verfahren oder alternativ basierend auf der Verbindungsanzahl oder nach einem vom Administrator festgelegten Prozentsatz erfolgen.
Always On VPN verwendet Nutzerzertifikate zur Authentifizierung. Das Authentifizierungsprotokoll unserer Wahl ist das Protected Extensible Authentication Protocol (Protected EAP oder PEAP), das manchmal auch als EAP-TLS bezeichnet wird. Um EAP zu nutzen, werden Client-Verbindungsanfragen mit einem RADIUS-Server authentifiziert; in der Regel der Windows Server Network Policy Server (NPS). Um Redundanz für die Authentifizierungsinfrastruktur zu schaffen, können mehrere RADIUS/NPS-Server eingesetzt und die Anfragen durch den Kemp LoadMaster verteilt werden, um hohe Erreichbarkeit und flexible Skalierbarkeit zu ermöglichen.
Im Gegensatz zu DirectAccess bietet Always On VPN keine integrierte Unterstützung bei Redundanz oder Failover. Um diesem Problem entgegenzuwirken, kann der Kemp LoadMaster GEO so konfiguriert werden, dass die Verfügbarkeit von VPN-Servern, die sich in verschiedenen Rechenzentren befinden, verbessert wird. Der Administrator kann GEO so konfigurieren, dass alle VPN-Verbindungsanfragen an das primäre Rechenzentrum geleitet werden. Dementsprechend werden Anfragen an das sekundäre Rechenzentrum gesendet werden, falls das primäre Rechenzentrum nicht verfügbar ist.
Der Kemp LoadMaster GEO kann auch zum geografischen Load Balancing für Always On VPN eingesetzt werden. GEO kann so konfiguriert werden, dass es mit Hilfe von orts- und standortbezogener Steuerung VPN-Verbindungsanfragen intelligent an den nächstgelegenen VPN-Server weiterleitet, basierend auf dem aktuellen Standort des Clients. Dadurch wird sichergestellt, dass die Clients mit dem optimalsten verfügbaren VPN-Server verbunden werden.