Voor veel apps en services is een internetverbinding vereist, dus het is belangrijk dat u de beschikbare netwerkconnectiviteitsopties voor Windows Server 2016 begrijpt. Deze opties omvatten Network Address Translation (NAT) en routering.

De meeste organisaties ondersteunen gebruikers die niet op kantoor werken, dus de IT-afdeling is verantwoordelijk voor het faciliteren van externe connectiviteit voor deze gebruikers. Windows Server 2016 ondersteunt een aantal oplossingen voor externe toegang, waaronder Virtual Private Networks (VPN’s) en DirectAccess.

U kunt de rol Network Policy Server (NPS) in Windows Server 2016 gebruiken om de toegang tot uw organisatie van uw externe gebruikers te beheren met behulp van op beleid gebaseerde beveiliging. NPS biedt ook ondersteuning voor het industriestandaard Remote Authentication Dial-In User Service (RADIUS)-protocol.

4.1. Netwerkconnectiviteitsoplossingen implementeren

NAT stelt u in staat om binnen uw organisatie een eigen IPv4-adresschema (Internet Protocol Version 4) te implementeren, terwijl gebruikers, apps en services toch toegang hebben tot internet. NAT is een apparaat, een component in een apparaat of een softwareservice waarmee de computers van uw organisatie toegang krijgen tot internetbronnen door privé-IPv4-adressen in uw intranet te vertalen naar openbare IPv4-adressen op internet, zoals weergegeven in de volgenden afbeelding.

Alle apparaten die verbinding maken met internet hebben een uniek openbaar IPv4-adres nodig. Er zijn echter onvoldoende openbare adressen beschikbaar in de IPv4-adresruimte voor alle apparaten die dit type verbinding nodig hebben. Als gevolg hiervan gebruiken organisaties privé IPv4-adresbereiken voor apparaten binnen hun intranet. Deze adressen zijn aangewezen door de Internet Assigned Numbers Authority (IANA) en staan vermeld in de volgende tabel.

KlasseMaskeringBereik
A10.0.0.0/810.0.0.0-10.255.255.255
B172.16.0.0/12172.16.0.0-172.31.255.255
C192168.0.0/24192.168.0.0-192.168.255.255

Communicatie van aangewezen privé-IPv4-adressen wordt niet naar het openbare internet geleid. Dit is waar NAT handig is. Een NAT-apparaat bewerkt de header van IPv4-verkeer dat afkomstig is van het particuliere netwerk. Het vervangt het bron-IPv4-adres in de header door een van de toegewezen openbare IPv4-adressen en leidt het verkeer vervolgens naar internet.

Wanneer retourverkeer wordt ontvangen op de openbare interface, bewerkt het NAT-apparaat de koptekst. Het vervangt het IPv4-adres van de openbare bestemming door het juiste privé IPv4-adres en leidt het verkeer vervolgens naar het juiste interne apparaat.

Examentip

Een toewijzingstabel wordt bijgehouden door het NAT-apparaat om vast te leggen naar welk intern clientverkeer moet worden gerouteerd.

4.1.1. NAT implementeren

Op een computer met Windows Server 2016 is een NAT-server geïnstalleerd met ten minste twee netwerkadapters. U moet een van deze netwerkadapters configureren met een privé IPv4-adres en deze verbinden met het intranet binnen uw organisatie. U moet de tweede adapter configureren met een openbaar IPv4-adres en deze verbinden met internet, hetzij rechtstreeks, hetzij door routering via uw perimeternetwerk naar internet te configureren.

Om NAT binnen uw organisatie in te schakelen, moet u een NAT-apparaat implementeren en vervolgens clientcomputers configureren om de privé IPv4-interface van het NAT-apparaat te gebruiken als hun geconfigureerde standaardgateway.

Het NAT-apparaat helpt ook om de netwerkapparaten van uw organisatie te beveiligen door de IPv4-adressen van uw computers te verbergen. Wanneer een computer op het intranet de communicatie met een server op internet initieert, is alleen het externe IPv4-adres van het NAT-apparaat zichtbaar voor apparaten op internet.

4.1.1.1. NAT implementeren met Windows Server 2016

Voordat u een computer met Windows Server 2016 als NAT-server kunt configureren, moet u de serverrol Remote Access installeren.

4.1.1.1.1. De RAS-serverrol installeren

Gebruik op Windows Server 2016 de volgende procedure om NAT in te schakelen:

  1. Installeer de Remote Access-serverrol met Server Manager. Wanneer u wordt gevraagd door de wizard Rollen en onderdelen toevoegen, schakelt u op de pagina Rolservices selecteren het selectievakje Routing in.
  2. Volg de instructies in de wizard om de benodigde functies te installeren om de Remote Access-rol te ondersteunen, zoals weergegeven in de volgende afbeelding. Klik op Sluiten wanneer de installatie is voltooid.
4.1.1.1.2. NAT inschakelen in Externe toegang

Nadat u de Routing-rolservice hebt geïnstalleerd, moet u NAT inschakelen in Remote Access. Gebruik de volgende procedure:

  1. Klik in Serverbeheer op Extra en vervolgens op Routering en externe toegang.
  2. Klik in Routering en externe toegang met de rechtermuisknop op uw server en klik vervolgens op Routering en externe toegang configureren en inschakelen.
  3. Kies in de wizard Setup van routerings- en RAS-server de optie Network Address Translation (NAT), zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  4. Selecteer op de pagina NAT-internetverbinding de juiste netwerkinterface en klik vervolgens op Volgende. Deze interface moet kunnen communiceren met internet en moet een openbaar IPv4-adres krijgen, zoals weergegeven in de volgende afbeelding.
  5. Selecteer op de pagina Netwerkselectie de netwerkverbinding die dit apparaat gebruikt om verbinding te maken met het intranet, zoals weergegeven in de volgende afbeelding. Klik volgende.
  6. Voltooi de wizard en klik desgevraagd op Voltooien. De Routing and Remote Access-service wordt automatisch gestart.

Examentip

Het is een goed idee om uw netwerkverbindingen een naam te geven, zodat ze gemakkelijk herkenbaar zijn. Hiertoe klikt u met de rechtermuisknop op Start en vervolgens op Netwerkverbindingen. U kunt dan uw verbindingen hernoemen zodat ze overeenkomen met hun geconfigureerde doeleinden.

4.1.1.1.3. NAT-interfaces configureren

Nadat u NAT hebt ingeschakeld, moet u de configuratie voltooien. Gebruik de volgende procedure in de Routing And Remote Access-console:

  1. Zoek het IPv4-knooppunt in het navigatievenster. Zoek daaronder het NAT-knooppunt, zoals weergegeven in de volgende afbeelding.
  2. Klik met de rechtermuisknop op de interface die u aan internet hebt toegewezen en klik vervolgens op Eigenschappen. Op de NAT-pagina kunt u het type interface wijzigen van openbaar naar privé. U kunt NAT ook in- of uitschakelen door het selectievakje Enable NAT On This Interface (NAT inschakelen op deze interface) te selecteren, zoals weergegeven in Afbeelding 4-7.
  3. Op de pagina Adrespool, weergegeven in Afbeelding 4-8, kunt u indien nodig een reeks openbare IPv4-adressen configureren die uw ISP heeft toegewezen voor uw gebruik. Met de knop Reserveringen kunt u specifieke openbare IPv4-adressen configureren voor gebruik door specifieke privé IPv4-clients.
  4. Op het tabblad Services en poorten, weergegeven in de volgende afbeelding, kunt u definiëren hoe inkomende verzoeken worden afgehandeld. U kunt definiëren welke services u wilt dat de NAT-server op internet publiceert. U kunt bijvoorbeeld een webserver inschakelen door het selectievakje Webserver (HTTP) in te schakelen en vervolgens, zoals weergegeven in de volgende afbeelding, de interne server te definiëren waarop deze webserver wordt gehost.

4.1.1.1.4. Het NAT-knooppunt configureren

U kunt het NAT-knooppunt configureren in de Routing and Remote Access-console. Klik met de rechtermuisknop op NAT in de console en klik vervolgens op Eigenschappen, zoals weergegeven in de volgende afbeelding.

TabBeschrijvingOpties
GeneralU kunt opties voor gebeurtenisregistratie configureren en beheren vanaf het tabblad Algemeen.Log Errors Only
Log Errors And Warnings
Log The Maximum Amount Of Information
Disable Event Logging
TranslationMet vertaling kunt u de time-outs beheren waarna eventuele TCP- of UDP-toewijzingen worden verwijderd. De toewijzingen worden door NAT gebruikt om bij te houden welke interne client met welke externe bron is verbonden.Remove TCP Mapping After (minutes)
Remove UDP Mapping After (minutes)
Address AssignmentU kunt de NAT-service toestaan IPv4-adressen toe te wijzen uit een configureerbare pool. Als u al een DHCP-service (Dynamic Host Configuration Protocol) elders op het particuliere netwerk gebruikt, moet u deze optie niet selecteren.Automatically Assign IP Addresses By Using the DHCP Allocator (If selected, you can then define the IPv4 address pool that the DHCP allocator in NAT should use.)
Name ResolutionU kunt het gedrag van naamomzetting configureren. Clients zijn mogelijk al geconfigureerd om DNS-resolutie (Domain Name System) te gebruiken, dus u hoeft deze optie niet in te schakelen, tenzij u geen DNS op het particuliere netwerk hebt.Resolve IP Addresses for Clients Using Domain Name System (DNS) (If selected, you can then define that the NAT service provides DNS resolution for clients. You can optionally configure a demand dial interface to use for resolution.)
Configureerbare NAT-node opties
4.1.1.1.5. NAT bewaken

Nadat u NAT hebt geïnstalleerd en geconfigureerd en uw NAT-clients hebt ingeschakeld, moet u weten hoe u de NAT-service kunt bewaken. U kunt dit doen in de Routing And Remote Access-console.

Klik met de rechtermuisknop op het NAT-knooppunt en klik vervolgens op een van de volgende opties:

  • Show DHCP Allocator Information – Toont DHCP-gerelateerde informatie. Dit omvat een lijst van de DHCP-berichten, zoals DISCOVER, REQUEST en OFFER.
  • Show DNS Proxy Information – Toont de DNS-gerelateerde informatie, inclusief het aantal ontvangen queries van clients en het aantal verzonden antwoorden.

U kunt ook de live-toewijzingen bekijken die door NAT-clients worden gebruikt. Klik in het NAT-knooppunt in het detailvenster met de rechtermuisknop op de met internet verbonden interface en klik vervolgens op Toewijzingen weergeven. De volgende informatie wordt weergegeven:

  • Protocol
  • Richting
  • Privéadres
  • Privépoort
  • Openbaar adres
  • Extern adres
  • Externe poort

4.1.2. Routering configureren

Routing is het proces van het beheren van de stroom van netwerkverkeer tussen subnetten. U kunt Windows Server 2016 configureren als zowel een IPv4- als een IPv6-router om meerdere IP-subnetten met elkaar te verbinden.

Opmerking

Routing configureren wordt behandeld in ht hoofdstuk “Kern en gedistribueerde netwerkoplossingen implementeren”.

4.2. Implementeer VPN- en DirectAccess-oplossingen

U kunt VPN’s gebruiken om veel van de vereisten voor externe toegang van uw organisatie te ondersteunen, inclusief de mogelijkheid om uw sites te verbinden met behulp van site-to-site (S2S) verbindingen. Windows Server 2016 biedt ook ondersteuning voor DirectAccess, een always-on oplossing voor externe toegang die verbinding op afstand net zo naadloos maakt als lokaal verbinden.

4.2.1. Overzicht van VPN’s

Met Windows Server 2016 kunt u een aantal verschillende scenario’s voor externe toegang implementeren met behulp van VPN’s. Dit zijn:

  • Toegang op afstand – Hiermee kunnen externe gebruikers veilig verbinding maken met hun werkplek. De VPN biedt een point-to-point-verbinding tussen de computer van de externe gebruiker en de server van uw organisatie, zoals weergegeven in de volgende afbeelding. Dat de verbinding tot stand komt via een openbaar netwerk, het internet, is voor de gebruiker transparant.
  • Site-to-site – S2S-verbindingen, ook wel router-naar-router-verbindingen genoemd, stellen u in staat om uw externe sites te verbinden. Net als bij VPN’s voor externe toegang, zijn S2S VPN’s gebouwd op tunnelingprotocollen die internet gebruiken om netwerkpakketten tussen uw sites te routeren, zoals weergegeven in de volgende afbeelding.

Welk type VPN je ook implementeert, ze delen allemaal bepaalde kenmerken. Deze omvatten:

  • Verificatie – Helpt ervoor te zorgen dat zowel de VPN-client als de VPN-server elkaar kunnen identificeren. U kunt kiezen uit een aantal verschillende authenticatiemethoden, afhankelijk van het VPN-protocol dat u selecteert en andere netwerkinfrastructuurfactoren, zoals of uw netwerk een openbare-sleutelinfrastructuur (PKI) biedt die het gebruik van digitale certificaten mogelijk maakt.
  • Versleuteling – Omdat privégegevens via een openbaar netwerk worden gerouteerd, is het belangrijk om stappen te ondernemen om deze gegevens tijdens het transport te beveiligen. Hiervoor wordt gegevensversleuteling gebruikt. Afhankelijk van het gebruikte VPN-protocol en de specifieke configuratie van uw netwerkinfrastructuur kunt u een aantal verschillende coderingsmethoden implementeren.
  • Inkapseling – Een VPN routeert gegevens via een openbaar netwerk met behulp van tunnelingprotocollen. Privégegevens zijn ingekapseld in een structuur, met een openbare kop die de juiste routeringsinformatie bevat, die door een openbaar netwerk kan gaan en op de juiste privébestemming kan aankomen.

4.2.1.1. Configureer verschillende VPN-protocolopties

U kunt de volgende VPN-protocollen gebruiken in Windows Server 2016:

  • Point-to-Point Tunneling Protocol (PPTP) – Met PPTP kunt u zowel toegang op afstand als S2S VPN’s implementeren. PPTP is een algemeen ondersteund protocol, maar wordt als minder veilig beschouwd dan de alternatieven. Verificatie en versleuteling wordt verzorgd door ofwel de Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAPv2) of door de Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) authenticatiemethoden.
  • Layer 2 Tunneling Protocol met Internet Protocol Security (L2TP/IPsec) – L2TP combineert PPTP en Layer 2 Forwarding (L2F), maar in tegenstelling tot PPTP vereist L2TP IPsec in transportmodus om codering te bieden.
  • Secure Socket Tunneling Protocol (SSTP) – Op basis van het HTTPS-protocol vertrouwt SSTP op Transmission Control Protocol (TCP)-poort 443 om netwerkverkeer door te geven. Dit is een aanzienlijk voordeel, aangezien deze poort meestal open staat op firewalls om webserververkeer te vergemakkelijken, terwijl zowel PPTP als L2TP mogelijk een herconfiguratie van de firewall vereisen.
  • Internet Key Exchange Versie 2 (IKEv2) – Gebruikt IPsec in tunnelmodus. Dit protocol is met name handig voor gebruikers die mobiele apparaten gebruiken, zoals telefoons en tablets, wanneer hun links kunnen worden verbroken. De functie VPN opnieuw verbinden is alleen beschikbaar met dit VPN-type. IKEv2 ondersteunt eenvoudige migratie tussen draadloze hotspots en maakt het gebruik van een VPN voor externe toegang veel gemakkelijker voor mobiele gebruikers.

Examentip

PPTP vereist TCP-poort 1723. L2TP gebruikt User Datagram Protocol (UDP)-poort 500, UDP-poort 1701 en UDP-poort 4500. IKEv2 vertrouwt op UDP-poort 500.

4.2.1.2. Verificatie-opties configureren

Authenticatie stelt communicerende partijen in staat elkaar te identificeren en is een essentieel onderdeel van elke infrastructuur voor externe toegang. Windows Server 2016 ondersteunt de volgende VPN-verificatiemethoden, zoals weergegeven in Tabel 4-3.

Authenticatie protocolBeschrijivingOpmerkingen
PAPOp basis van wachtwoorduitwisseling in platte tekst is dit de minst veilige authenticatiemethode. Hoewel het niet wordt aanbevolen in productieomgevingen, kan het nuttig zijn bij het testen van externe toegang.– Dit is de minst veilige authenticatiemethode en het wordt sterk aanbevolen om het gebruik van PAP te blokkeren.
– Biedt geen bescherming tegen cliënt- of serverimitatie.
CHAPCHAP is gebaseerd op uitdaging en reactie met behulp van MD5-hashing om de reactie te coderen. Bij challenge- en response-authenticatie worden geen wachtwoorden uitgewisseld. CHAP heeft echter een zwakte; het vereist dat het wachtwoord van de gebruiker wordt opgeslagen met behulp van omkeerbare codering.– Verbetert ten opzichte van PAP omdat het wachtwoord niet wordt verzonden.
– Vereist een tekstversie van het wachtwoord.
– Biedt geen bescherming tegen serverimitatie.
MS-CHAP-v2Net als CHAP is dit protocol gebaseerd op uitdaging en reactie, maar is het veiliger.– Sterkere beveiliging dan PAP of CHAP en is het minimum dat u moet gebruiken.
– Handig voor klanten die niet voldoen aan de vereisten voor EAP
EAPEAP biedt de veiligste vorm van authenticatie voor VPN’s in Windows Server 2016 en is gebaseerd op een willekeurige authenticatiemethode die is overeengekomen door de RAS-client en RAS-server.– Sterkste beveiliging beschikbaar.
– Flexibiliteit bij het inschakelen van verschillende authenticatiemethoden.
VPN-authenticatie protocollen

4.2.1.3.  Implementeer externe toegang en S2S VPN-oplossingen met behulp van RAS-gateway

Wanneer u in Windows Server 2016 de DirectAccess en VPN (RAS)-functieservice implementeert, die deel uitmaakt van de Remote Access-serverrol, implementeert u de RAS-gateway. RAS Gateway kan worden geïmplementeerd in zowel single-tenant- als multitenant-modi.

Omdat RAS Gateway multitenant-bewust is, kunt u meerdere virtuele netwerken hebben met overlappende adresruimten die zich op dezelfde virtuele infrastructuur bevinden. Dit kan handig zijn als u meerdere locaties of meerdere bedrijfsgroepen heeft die dezelfde adresruimten delen en verkeer naar de virtuele netwerken moeten kunnen routeren.

RAS Gateway ondersteunt de volgende scenario’s:

  • Multitenant-bewuste VPN-gateway – De RAS-gateway is geconfigureerd als een virtuele netwerkbewuste VPN-gateway waarmee u:
    • Maak verbinding met de RAS Gateway met behulp van een S2S VPN vanaf een externe locatie.
    • Configureer individuele gebruikers met VPN-toegang tot de RAS Gateway.
  • Multitenant-bewuste NAT-gateway – De RAS-gateway is geconfigureerd als een NAT-apparaat dat toegang tot internet mogelijk maakt voor virtuele machines op virtuele netwerken.
  • Doorstuurgateway voor interne fysieke netwerktoegang – Maakt toegang tot serverbronnen op fysieke netwerken mogelijk vanuit uw virtuele netwerken.
  • DirectAccess-server – Hiermee kunt u externe gebruikers verbinden met uw netwerkinfrastructuur zonder dat u VPN’s nodig hebt. DirectAccess wordt verderop in dit hoofdstuk besproken.
  • GRE-tunneling – Maakt connectiviteit mogelijk tussen virtuele tenant-netwerken en externe netwerken.
  • Dynamische routering met BGP – Gebruikt in grote netwerksystemen op bedrijfsniveau. BGP wordt vaak geïmplementeerd door cloudserviceproviders (CSP’s) om verbinding te maken met de netwerksites van hun huurders. BGP vermindert de noodzaak om handmatige routes op uw routers te configureren, omdat het een dynamisch routeringsprotocol is. Het kan bijvoorbeeld automatisch routes leren tussen sites die zijn verbonden met S2S VPN’s.

Als u van plan bent RAS Gateway in multitenant-modus te implementeren, moet u RAS Gateway alleen implementeren op virtuele machines met Windows Server 2016. Bijgevolg vereist het implementeren en configureren van RAS Gateway in multitenant-modus geavanceerde kennis van Hyper-V-virtualisatie, Windows PowerShell en vaardigheden met Virtual Machine Manager (VMM).

Hoewel RAS Gateway multitenant-bewust is, kunt u RAS Gateway ook implementeren en configureren in Windows Server 2016 in single-tenant-modus, op een fysieke of virtuele servercomputer. Voor de meeste organisaties is het implementeren van RAS Gateway in single-tenant-modus typisch en stelt u in staat om RAS Gateway te implementeren als:

  • Een edge VPN-server (zowel voor externe toegang als S2S VPN’s)
  • Een edge DirectAccess-server
  • Zowel edge VPN als edge DirectAccess

In Windows Server 2016 kunt u Windows PowerShell-opdrachten gebruiken om de RAS-gateway te implementeren en configureren.

4.2.2. Bepaal wanneer u VPN voor externe toegang en S2S VPN moet gebruiken

De keuze om een VPN voor externe toegang te gebruiken of een S2S VPN te implementeren is eenvoudig. Als u een enkele externe gebruiker moet verbinden met de netwerkinfrastructuur van uw organisatie, implementeert u een VPN voor externe toegang. Als u echter meerdere sites met elkaar moet verbinden, implementeert u S2S VPN’s.

De principes achter deze twee soorten VPN’s zijn in grote lijnen vergelijkbaar, net als de tunneling- en authenticatieprotocollen. De methode die u voor de implementatie gebruikt, varieert echter.

4.2.2.1. Implementeer een VPN voor externe toegang

Voordat u uw VPN-server configureert, moet u het volgende controleren:

  • Netwerkinterfaces – Uw VPN-server heeft minimaal twee netwerkinterfaces nodig. U moet ook bepalen welke interface internetgericht is en welke verbinding maakt met het (de) privénetwerk(en) van de organisatie.
  • IP-configuratie van VPN-client – U moet bepalen hoe VPN-clients een geldige IP-configuratie verkrijgen. U kunt een DHCP-server gebruiken in het privénetwerk van uw organisatie, of u kunt adressen toewijzen uit een reeks adressen die u op de VPN-server definieert.

Examentip

Als u DHCP kiest, vraagt de VPN-server adressenblokken op bij de DHCP-server en wijst VPN-clientadressen van dat blok toe. Als uw DHCP-scope weinig beschikbare adressen heeft, kan een VPN-server mogelijk geen blokkering verkrijgen en kunnen VPN-clients geen verbinding maken.

  • RADIUS-configuratie – Als u authenticatie en/of accounting centraal wilt beheren voor uw VPN-servers met RADIUS, moet u gereed zijn om de VPN-server te configureren als een RADIUS-client. Hiervoor moet u de NPS-rol in uw organisatie configureren. Dit wordt besproken in “4.3: NPS implementeren”.

Nadat u deze keuzes hebt geverifieerd, voert u de volgende procedure uit om een VPN voor externe toegang op Windows Server 2016 te implementeren:

  1. Meld u aan op de server die u als VPN-server wilt gebruiken en open Serverbeheer.
  2. Klik op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
  3. Klik door de wizard Rollen en onderdelen toevoegen en schakel op de pagina Serverrollen het selectievakje Externe toegang in. Klik volgende.
  4. Schakel op de pagina Rolservices selecteren het selectievakje DirectAccess en VPN (RAS) in en klik op Volgende. Klik desgevraagd op Functies toevoegen om de vereiste functies te installeren om de geselecteerde rolservices te ondersteunen.
  5. Klik op Volgende, klik op Installeren en wanneer de installatie van de rol is voltooid, klikt u op Sluiten.

Nadat de rol is geïnstalleerd, in Serverbeheer:

  1. Klik op Meldingen en klik vervolgens op de wizard Aan de slag openen.
  2. Klik in de wizard Aan de slag op de pagina Welkom bij Remote Access op Alleen VPN implementeren, zoals weergegeven in de volgende afbeelding.
  3. De console voor routering en toegang op afstand wordt geopend. Klik met de rechtermuisknop op de lokale server in het navigatievenster en klik vervolgens op Routering en externe toegang configureren en inschakelen.
  4. Klik in de wizard Setup van de routerings- en RAS-server op de configuratiepagina, zoals weergegeven in de volgenden afbeelding, op Externe toegang (inbelverbinding of VPN) en klik vervolgens op Volgende.
  5. Schakel op de pagina Toegang op afstand het selectievakje VPN in en klik op Volgende.
  6. Selecteer op de pagina VPN-verbinding in de lijst Netwerkinterfaces de netwerkadapter die verbinding maakt met internet, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  7. Klik op de pagina IP-adrestoewijzing op Automatisch als u wilt dat een bestaande DHCP-server in het interne netwerk IP-adressen toewijst aan externe clients, of klik op Van een gespecificeerd bereik van adressen als u wilt dat de RAS-server deze adressen toewijst.
  8. Als u ervoor hebt gekozen om adressen uit een gespecificeerd bereik toe te wijzen, geeft u op de pagina IP-adrestoewijzing, zoals weergegeven in de volgende afbeelding, het bereik van adressen op dat u wilt toewijzen. Zorg ervoor dat deze geen adressen overlappen die in gebruik zijn in DHCP of die statisch zijn toegewezen aan netwerkclients. Klik volgende.
  9. 9. Als u NPS hebt geconfigureerd en deze server als RADIUS-client wilt gebruiken, klikt u op de pagina Meerdere RAS-servers beheren op Ja, deze server instellen om met een RADIUS-server te werken. Anders, als deze server authenticatie en autorisatie van externe toegangspogingen lokaal uitvoert, klikt u op Nee, Gebruik routering en externe toegang om verbindingsverzoeken te verifiëren, zoals weergegeven in de volgende afbeelding.
  10. Klik op Voltooien om het proces te voltooien. Routering en toegang op afstand wordt gestart.

Na het voltooien van de wizard, wilt u misschien enkele aspecten van uw VPN-server opnieuw configureren.

Klik vanuit de Routing and Remote Access-console met de rechtermuisknop op uw lokale server en klik vervolgens op Eigenschappen. In het dialoogvenster Servereigenschappen kunt u de volgende eigenschappen configureren:

  • Algemeen – U kunt deze server in- of uitschakelen als IPv4- en IPv6-router. U kunt deze server ook in- of uitschakelen als een IPv4- of IPv6-server voor externe toegang. Standaard is de server geconfigureerd als een LAN en routering via bellen op verzoek, IPv4-router en IPv4-server voor externe toegang.
  • Beveiliging – Op het tabblad Beveiliging, kunt u de authenticatieprovider en accountingprovider specificeren. Windows-verificatie en Windows-accounting zijn standaard geselecteerd, maar u kunt ervoor kiezen om RADIUS te gebruiken.

U kunt ook ondersteunde authenticatiemethoden configureren, zoals weergegeven in de volgende afbeelding. Standaard zijn EAP en MS-CHAP-v2 geselecteerd. Dit zijn de methoden die worden ondersteund door de VPN-server en niet noodzakelijkerwijs die worden ondersteund door netwerkbeleid dat u configureert in NPS. NPS-netwerkbeleid wordt besproken in Hoofdstuk 4: Netwerkconnectiviteit en oplossingen voor externe toegang implementeren, “4.3, NPS implementeren, kopje “NPS-beleid configureren”.

  • IPv4 – Configureer op het tabblad IPv4 de opties voor IPv4-adrestoewijzing, inclusief de statische adrespool.
  • IPv6 – Op dezelfde manier kunt u op het tabblad IPv6 IPv6-instellingen configureren voor Remote Access Client.
  • IKEv2 – Configureer op de IPEv2 de IKEv2-clientinstellingen: time-out bij inactiviteit, netwerkuitvaltijd en instellingen voor beheer van de vervaldatum van de beveiligingskoppeling.
  • PPP – Op het tabblad PPP kunt u de Point-to-Point-instellingen voor uw VPN-server configureren. Deze omvatten het toestaan van multilink-verbindingen en de opties voor bandbreedtebeheer.
  • Logging – Op het tabblad Logging kunt u configureren welk logniveau door de lokale server moet worden vastgelegd. De standaardinstelling is om logfouten en waarschuwingen te gebruiken.

Nadat u de configuratie van uw VPN-server hebt voltooid, moet u vervolgens de NPS-rol installeren en configureren, inclusief het definiëren van uw netwerkbeleid. Dit wordt besproken in “Vaardigheid 4.3: NPS implementeren”.

4.2.2.2. Configureer een cliënt-VPN

Om het proces van het configureren van een VPN te voltooien, moet u de externe client zelf configureren. Als u een VPN wilt maken in Windows 10, klikt u vanuit het Netwerkcentrum onder Uw netwerkinstellingen wijzigen op Een nieuwe verbinding of netwerk instellen en vervolgens op Verbinden met een werkplek.

Geef de volgende informatie op om uw VPN-verbinding te configureren in de wizard Verbinden met een werkplek.

  • Hoe wil je aansluiten? – U kunt verbinding maken via een bestaande internetverbinding of door rechtstreeks op uw werkplek in te bellen.
  • Internetadres – Dit is de naam of het IP-adres van de computer waarmee u verbinding maakt op uw werkplek, zoals weergegeven in de volgende afbeelding. Meestal is dit een FQDN, zoals remote. adatum.com.
  • Bestemmingsnaam – De naam van deze VPN-verbinding.

Nadat u de VPN-verbinding hebt gemaakt, klikt u vanuit het Netwerkcentrum op Adapterinstellingen wijzigen, klikt u met de rechtermuisknop op uw VPN-verbinding en klikt u op Eigenschappen. U vervolgens aanvullende opties configureren zoals vereist door de netwerkinfrastructuur van uw organisatie.

Deze instellingen moeten overeenkomen met de instellingen van de VPN-server en de instellingen die zijn gedefinieerd in het beleid voor verbindingsverzoeken of netwerkbeleid dat is gedefinieerd in uw NPS. NPS wordt besproken in hoofdstuk 4, “Netwerkconnectiviteit en oplossingen voor externe toegang implementeren.” U kunt de volgende opties configureren:

  • Type VPN
    • Point-to-Point Tunneling Protocol (PPTP)
    • Layer Two Tunneling Protocol met IPsec (L2TP/IPsec)
    • Secure Socket Tunneling Protocol (SSTP)
    • Internet Key Exchange versie 2 (IKEv2)
  • Gegevenscodering
    • Geen
    • Optioneel
    • Vereist
    • Maximale sterkte

Onder Verificatie kiest u ofwel Extensible Authentication Protocol (EAP) gebruiken of Deze protocollen toestaan. Als u ervoor kiest om EAP te gebruiken, configureert u een van de volgende opties:

  • Microsoft beveiligd wachtwoord (EAP-MSCHAP v2) (codering ingeschakeld) Microsoft-smartcard of ander certificaat (codering ingeschakeld)
  • Cisco: EAP-FAST (codering ingeschakeld)
  • Cisco: LEAP (codering ingeschakeld)
  • Cisco: PEAP (codering ingeschakeld)

Als u Deze protocollen toestaan kiest, configureert u vervolgens de volgende opties:

  • Unencrypted Password (PAP)
  • Challenge Handshake Authentication Protocol (CHAP)
  • Microsoft CHAP versie 2 (MS-CHAP v2)
    • Automatisch Mijn Windows-aanmeldingsnaam en wachtwoord (en domeinnaam) gebruiken
  • Extensible Authentication Protocol (EAP) gebruiken

4.2.2.3. Configureer VPN Reconnect

Door opnieuw verbinding te maken met VPN kan Windows een verbroken VPN-verbinding herstellen zonder tussenkomst van de gebruiker. Denk bijvoorbeeld aan een gebruiker die met de trein reist. De gebruiker maakt verbinding met de werkplek met behulp van een VPN via een internetverbinding die tot stand is gebracht met behulp van een mobiele breedbandkaart. Wanneer de trein door een tunnel rijdt, valt de breedbandverbinding weg en wordt de VPN verbroken.

Bij eerdere versies van Windows, toen de trein uit de tunnel kwam, hoewel de mobiele breedband opnieuw verbinding maakte, vereiste de VPN handmatige tussenkomst. VPN reconnect herstelt de VPN-verbinding zonder de gebruiker te vragen.

Om VPN-reconnectie te implementeren, moet uw netwerkinfrastructuur aan de volgende vereisten voldoen:

  • Uw VPN-server moet Windows Server 2008 R2 of nieuwer draaien.
  • Op de computer van de gebruiker moet Windows 7 of nieuwer of Windows Server 2008 R2 of nieuwer worden uitgevoerd.
  • Uw organisatie moet een PKI implementeren omdat VPN opnieuw verbinden het gebruik van een computercertificaat vereist.
  • U moet een IKEv2 VPN implementeren.

4.2.2.4. App-getriggerde VPN’s

Windows 10 ondersteunt een nieuwe functie genaamd app-getriggerde VPN’s. Met deze functie kunt u configureren dat een VPN wordt gestart wanneer een bepaalde app of reeks apps wordt gestart.

 Om app-getriggerde VPN’s in te schakelen, moet u eerst de pakketfamilienaam voor de universele app(s) bepalen, of het pad voor eventuele desktop-apps, die de trigger voor de VPN zullen zijn. Hoewel het vrij eenvoudig is om het pad voor een desktop-app te bepalen (over het algemeen worden deze geïnstalleerd in de C-schijf in Program Files), moet u de Windows PowerShell Get-AppxPackage-cmdlet gebruiken om de pakketfamilienaam voor universele apps te vinden.

Om bijvoorbeeld de pakketfamilienaam voor Microsoft OneNote te bepalen, onderzoekt u de uitvoer, zoals weergegeven in de volgende afbeelding en zoekt u de eigenschap PackageFamilyName. U kunt zien dat het is: Microsoft.Office.OneNote_8wekyb3d8bbwe.

Gebruik de Add-VpnConnectionTriggerApplication Windows PowerShell-cmdlet om de app te configureren om een VPN te activeren. Als u bijvoorbeeld de OneNote-app wilt configureren om een VPN met de naam A. Datum HQ te activeren, gebruikt u de volgende opdracht:

Add-VpnConnectionTriggerApplication -ConnectionName "A. Datum HQ" -ApplicationID Microsoft.Office.OneNote_8wekyb3d8bbwe

Als u de desktopversie van OneNote gebruikt, kunt u ook de volgende Windows PowerShell-opdracht gebruiken:

Add-VpnConnectionTriggerApplication -ConnectionName "A. Datum HQ" -ApplicationID "C:\Program Files\Microsoft Office\root\Office16\ONENOTE.EXE"

Examentip

U kunt geen app-getriggerde VPN’s implementeren op computers die lid zijn van een domein.

4.2.2.5. Verbindingsprofielen maken en configureren

Hoewel het handmatig configureren van VPN-verbindingen relatief eenvoudig is, is het voltooien van het proces op veel computers met dezelfde of vergelijkbare instellingen erg tijdrovend. In deze omstandigheden is het logisch om een VPN-profiel te maken en dit profiel vervolgens te distribueren naar de computers van uw gebruikers.

Wanneer u VPN-profielen gebruikt in Windows Server 2016 of Windows 10, kunt u profiteren van een aantal geavanceerde functies. Dit zijn:

  • Always On – U kunt het VPN-profiel zo configureren dat de VPN wordt gestart wanneer de gebruiker zich aanmeldt of wanneer de netwerkstatus is gewijzigd, bijvoorbeeld wanneer er geen verbinding meer is met de zakelijke Wi-Fi.
  • App-Triggered VPN – U kunt het VPN-profiel configureren om te reageren op een specifieke set apps; als een gedefinieerde app wordt geladen, wordt de VPN gestart.
  • Verkeersfilters – Met verkeersfilters kunnen uw VPN-profielen worden geconfigureerd om alleen te worden gestart wanneer aan bepaalde criteria, gedefinieerd in het beleid, wordt voldaan. U kunt bijvoorbeeld op apps gebaseerde regels maken waarin alleen verkeer dat afkomstig is van gedefinieerde apps de VPN kan gebruiken. U kunt ook op verkeer gebaseerde regels maken die filteren op protocol, adres en poort.
  • LockDown – VPN U kunt LockDown configureren om het apparaat van uw gebruiker te beveiligen, zodat alleen de VPN kan worden gebruikt voor netwerkcommunicatie.

Examentip

U kunt meer informatie vinden over VPN-profielopties in Windows 10 op de Microsoft TechNet-website op https://technet.microsoft.com/itpro/windows/keep-secure/vpn-profile-options.

U kunt VPN-profielen maken en distribueren met behulp van de Connection Manager Administration Kit (CMAK), Microsoft Intune of Configuration Manager. Gebruik de volgende procedure om CMAK te gebruiken om het profiel te distribueren:

  1. Klik op uw Windows 10-clientcomputer met de rechtermuisknop op Start en klik vervolgens op Programma’s en onderdelen.
  2. Klik in het dialoogvenster Programma’s en onderdelen op Windows-onderdelen in- of uitschakelen.
  3. Selecteer in het dialoogvenster Windows-functies de RAS Connection Manager Administration Kit (CMAK) en klik vervolgens op OK.
  4. Klik op Sluiten.
  5. Klik met de rechtermuisknop op Start en klik vervolgens op Configuratiescherm.
  6. Klik in het Configuratiescherm op Systeem en beveiliging en klik vervolgens op Systeembeheer.
  7. Dubbelklik op Connection Manager Administration Kit.
  8. Klik op de pagina Welkom bij de wizard Connection Manager Administration Kit op Volgende.
  9. Klik op de pagina Selecteer het doelbesturingssysteem op Windows Vista of hoger en klik vervolgens op Volgende.
  10. Klik op de pagina Een profiel van een verbindingsbeheerder maken of wijzigen op Nieuw profiel en klik vervolgens op Volgende.
  11. Typ op de pagina Specificeer de servicenaam en de bestandsnaam in het vak Servicenaam de naam voor uw VPN-verbinding. Uw gebruikers zullen deze naam zien wanneer ze de VPN-verbinding tot stand gaan brengen. Typ in het vak Bestandsnaam de bestandsnaam die u dit profiel wilt noemen. Deze bestandsnaam wordt gebruikt om het profiel te verspreiden en wordt niet gezien door uw gebruikers. Klik volgende.
  12. Selecteer op de pagina Ondersteuning voor VPN-verbindingen toevoegen de optie Telefoonboek van dit profiel.
  13. Typ in het tekstvak VPN-servernaam of IP-adres het IP-adres of FQDN voor de VPN-server en klik vervolgens op Volgende.
  14. Klik op de pagina Een VPN-vermelding maken of wijzigen op Volgende.
  15. Schakel op de pagina Een aangepast telefoonboek toevoegen het selectievakje Telefoonboekupdates automatisch downloaden uit en klik op Volgende.
  16. Klik door de rest van de wizard. Klik vervolgens op de pagina Bouw het verbindingsbeheerprofiel en het bijbehorende installatieprogramma op Volgende.
  17. Noteer op de pagina Uw Connection Manager-profiel is voltooid en klaar om te distribueren waar het profiel wordt gemaakt en klik vervolgens op Voltooien.

Uw profielen worden standaard opgeslagen op de C-schijf in de map Program Files\CMAK\Profiles\Windows Vista en hoger. Het profiel bestaat uit een uitvoerbaar bestand, waarvan u de naam hebt gedefinieerd in de wizard, en aanvullende bestanden.

4.2.2.6. Verbindingsprofielen implementeren

U kunt VPN-profielen distribueren met behulp van de volgende methoden:

  • Distribueer met scripts – Gebruik een Windows PowerShell of een ander script om het profiel te distribueren naar uw VPN-gebruikers.
  • Distribueren op verwisselbare media – Kopieer het CMAK-profiel naar een USB-geheugenstick zodat gebruikers het kunnen installeren.
  • Bouwen als onderdeel van desktopimage – Voeg het CMAK-profiel toe aan de standaard Windows-desktopimage die u implementeert op nieuwe werkstations.
  • Implementeren met geautomatiseerde softwaredistributie – U kunt de volgende methoden gebruiken om VPN-profielen op Windows-clients te implementeren:
  • Microsoft System Center Configuration Manager – U kunt VPN-profielen implementeren op zowel Windows-clients als Android- en iOS-clients. Om iOS en Android te ondersteunen, moeten de apparaten zijn ingeschreven bij Intune. De volgende profieltypen kunnen worden gedistribueerd: Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP, L2TP, Cisco AnyConnect, Pulse Secure, F5 Edge Client, Dell SonicWALL Mobile Connect en Check Point Mobile VPN.
  • Microsoft Intune – Als uw organisatie Microsoft Intune gebruikt, kunt u VPN-profielen distribueren naar ingeschreven apparaten met de volgende besturingssystemen: Windows, Android en iOS. U kunt dezelfde profieltypen distribueren als voor Configuration Manager.
  • AD DS-groepsbeleid – Als uw organisatie Configuration Manager of Microsoft Intune niet gebruikt, kunt u overwegen GPO’s te gebruiken om uw VPN-profiel te implementeren. U kunt een Windows PowerShell-script gebruiken dat is gestart met een GPO-aanmeldingsscript om de profielen te distribueren. Het script maakt een voorkeur voor Groepsbeleid om het VPN-profiel te implementeren.

4.2.2.7. Implementeer een S2S VPN

U gebruikt een S2S VPN om twee delen van uw organisatie veilig te verbinden via internet. Technisch gezien is er geen verschil tussen een S2S VPN-verbinding en een VPN voor externe toegang.

Wanneer een router op de ene site een VPN-verbinding tot stand brengt met een router op de andere site, wordt de initiërende router beschouwd als een VPN-client, terwijl de reagerende router wordt beschouwd als de VPN-server. U moet een VPN-profiel configureren op de initiërende router, inclusief een VPN-protocol en authenticatietype en -methode. Deze moeten overeenkomen met het ondersteunde VPN-protocol en de authenticatie-opties op de reagerende router.

Netwerkverkeer dat de S2S-verbinding kruist, is niet afkomstig van een van de routers, maar van de client- of servercomputers op elke locatie. U moet daarom een interface voor bellen op verzoek definiëren op de oorspronkelijke router.

Wanneer u een interface voor bellen op verzoek maakt, moet u het volgende definiëren:

  • De naam van de interface voor bellen op verzoek – Naast het definiëren van een identificerende naam, wordt deze naam gebruikt bij authenticatie. Zie “IP-filters voor bellen op verzoek instellen”.
  • Of de verbinding nu eenrichtingsverkeer of tweerichtingsverkeer is – Bij een eenrichtingsverbinding start slechts één router de VPN-verbinding en reageert de andere router altijd. Bij een tweerichtingsverbinding kan elke router de VPN-verbinding initiëren en beide kunnen reageren.
  • De referenties die worden gebruikt om te verifiëren – U moet ervoor zorgen dat de naam van de interface voor bellen op verzoek van de reagerende router overeenkomt met de naam van de gebruikersaccount die de initiërende router gebruikt, zoals weergegeven in de volgende afbeelding. Als u een tweerichtingsverbinding gebruikt, moeten de interfacenamen aan elk uiteinde overeenkomen met de gebruikersaccountnaam van het externe eind.
  • Welk verkeer u via de verbinding toestaat – U kunt interfacefilters voor bellen op verzoek instellen die bepalen welk verkeer een verbinding tot stand kan brengen. U kunt bijvoorbeeld configureren dat alleen beveiligd webverkeer (HTTPS) via de link is toegestaan. U gebruikt de eigenschap Set IP Demand-Dial Filters om dit gedrag te configureren.
  • Op welke tijden van de dag de verbinding is toegestaan – Als u wilt dat een verbinding alleen op bepaalde tijden wordt toegestaan, kunt u de eigenschap Uitbeluren van de interface voor bellen op verzoek configureren.
  • Of de verbinding permanent is – Bellen op verzoek kan als permanent worden gedefinieerd. Dat wil zeggen, als ze eenmaal zijn gestart, blijven ze verbonden totdat u ze handmatig loskoppelt. Als een blijvende interface voor bellen op verzoek de verbinding verliest, wordt de verbinding automatisch hersteld. Als de verbinding niet-persistent is, wordt dit een verbinding op aanvraag genoemd. Bij on-demand bellen op verzoek wordt de verbinding verbroken na een periode van inactiviteit.

4.2.2.8. Een S2S-verbinding maken

Voer de volgende procedure uit om een S2S-verbinding tot stand te brengen met behulp van routering en externe toegang op beide servers die als S2S-routers worden geconfigureerd:

  1. Installeer de functieservice DirectAccess en VPN (RAS). Dit maakt deel uit van de RAS-serverrol. Nadat de rol is geïnstalleerd, voert u in Serverbeheer de wizard Aan de slag uit.
  2. Klik in de wizard Aan de slag op de pagina Welkom bij Remote Access op Alleen VPN implementeren.
  3. De Routing and Remote Access-console wordt geopend. Klik met de rechtermuisknop op de lokale server in het navigatievenster en klik vervolgens op Routering en externe toegang configureren en inschakelen.
  4. Klik in de wizard Setup van de routerings- en RAS-server op de configuratiepagina, zoals weergegeven in de volgende afbeelding, op Beveiligde verbinding tussen twee particuliere netwerken en klik vervolgens op Volgende.
  5. Klik op de pagina Verbindingen voor bellen op verzoek, wanneer u wordt gevraagd of u verbindingen wilt gebruiken voor bellen op verzoek, zoals weergegeven in de volgende afbeelding, op Ja en vervolgens op Volgende.
  6. Klik op de pagina IP-adrestoewijzing op Automatisch als u wilt dat een bestaande DHCP-server in het interne netwerk IP-adressen toewijst aan externe clients, of klik op Van een gespecificeerd bereik van adressen als u wilt dat de RAS-server deze adressen toewijst.
  7. Als u ervoor hebt gekozen om adressen uit een opgegeven bereik toe te wijzen, geeft u op de pagina IP-adrestoewijzing het bereik van adressen op dat u wilt toewijzen. Zorg ervoor dat deze geen adressen overlappen die in gebruik zijn in DHCP, of die statisch zijn toegewezen aan netwerkclients. Klik volgende.
  8. Klik op Voltooien om het proces te voltooien. Routering en toegang op afstand begint.

Nadat u de initiële configuratie hebt voltooid, wordt de wizard Interface voor bellen op verzoek automatisch gestart. Gebruik de volgende procedure om de configuratie te voltooien:

  1. Klik in de wizard Interface voor bellen op verzoek op Volgende.
  2. Typ op de pagina Interfacenaam in het vak Interfacenaam de interfacenaam, zoals weergegeven in de volgende afbeelding. Onthoud dat de interfacenaam moet overeenkomen met de naam van het gebruikersaccount dat wordt gebruikt om de verbinding aan de externe kant te verifiëren, zoals weergegeven in de volgende afbeelding. Klik volgende.
  3. Klik op de pagina Verbindingstype op Verbinden via Virtual Private Network (VPN), zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  4. Selecteer op de pagina VPN-type het VPN-protocol dat u wilt gebruiken, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  5. Typ op de pagina Bestemmingsadres het FQDN- of IP-adres van de externe router en klik op Volgende.
  6. Schakel op de pagina Protocollen en beveiliging, weergegeven in de volgende afbeelding, het selectievakje IP-pakketten op deze interface routeren in. Selecteer optioneel de optie Een gebruikersaccount toevoegen zodat een externe router kan inbellen. Als u deze optie selecteert, wordt dit een tweerichtingsverbinding. Klik volgende.
  7. Configureer op de pagina Statische routes voor externe netwerken eventuele routeringsinformatie die nodig is om verbinding te maken met het externe netwerk en klik op Volgende.
  8. Op de pagina Inbelreferenties, weergegeven in de volgende afbeelding, voert u het wachtwoord voor de gebruikersaccount in en klikt u op Volgende. U kunt de gebruikersnaam niet opgeven omdat de wizard deze definieert zodat deze overeenkomt met de naam van de lokale interface. Dit betekent dat wanneer u het externe uiteinde configureert, het opgegeven gebruikersaccount aan het externe uiteinde overeenkomt met het gebruikersaccount dat op deze pagina is gemaakt en ook met de naam van de lokale interface.
  9. Voer op de pagina Uitbelreferenties, weergegeven in de volgende afbeelding, de gebruikersnaam, de domeinnaam en het wachtwoord in die nodig zijn om verbinding te maken met de externe router. Nogmaals, het opgegeven gebruikersaccount moet overeenkomen met de naam van de externe interface. Klik op Volgende en klik vervolgens op Voltooien.

Nadat u het ene uiteinde van de S2S VPN hebt geconfigureerd, moet u het andere uiteinde configureren. Wanneer dat proces is voltooid, kunt u optioneel de volgende eigenschappen van de verbinding configureren:

Om het VPN-type of de authenticatie-instellingen voor uw interface voor bellen op verzoek te configureren, klikt u met de rechtermuisknop op de interface in het knooppunt Netwerkinterfaces en klikt u vervolgens op Eigenschappen. Klik op het tabblad Beveiliging, zoals weergegeven in Afbeelding 4-37.

U kunt het volgende configureren:

  • IP-filters voor bellen op verzoek instellen – Gebruik deze optie om het type verkeer te definiëren dat de link voor bellen op verzoek kan passeren. Vouw in de Routing and Remote Access-console de lokale server uit, vouw het knooppunt Netwerkinterfaces uit en klik vervolgens in het detailvenster met de rechtermuisknop op de interface voor bellen op verzoek en klik vervolgens op IP-filters voor bellen op verzoek instellen, zoals weergegeven in de volgende afbeelding. Voeg de gewenste filters toe door de netwerkbron, bestemming, protocol en poort te definiëren. Klik OK.
  • Uitbeluren – Als u wilt configureren wanneer de koppeling kan worden gebruikt, klikt u in het knooppunt Netwerkinterfaces met de rechtermuisknop op de interface voor bellen op verzoek die u wilt configureren en klikt u vervolgens op Uitbeluren. Configureer de gewenste beschikbaarheid en klik op OK, zoals weergegeven in de volgende afbeelding.
  • Permanent – Als u een verbinding als permanent wilt configureren, klikt u met de rechtermuisknop op de interface voor bellen op verzoek en klikt u vervolgens op Eigenschappen. Kies op het tabblad Opties, Bellen op verzoek voor niet-permanente verbindingen en configureer vervolgens de inactieve tijd voordat de verbinding wordt verbroken. U kunt ook voor een permanente interface voor bellen op verzoek op Permanente verbinding klikken.

Om het VPN-type of de authenticatie-instellingen voor uw interface voor bellen op verzoek te configureren, klikt u met de rechtermuisknop op de interface in het knooppunt Netwerkinterfaces en klikt u vervolgens op Eigenschappen. Klik op het tabblad Beveiliging.

U kunt het volgende configureren:

  • Type VPN – Kies uit automatisch, PPTP, L2TP en IKEv2.
  • Gegevensversleuteling – Kies uit Geen versleuteling toegestaan, Optionele versleuteling, Versleuteling vereist en Versleuteling met maximale sterkte.
  • Verificatie – Beschikbare verificatiemethoden zijn EAP, PAP, CHAP en MS-CHAP-v2.

4.2.3. DirectAcces implementeren

DirectAccess is een functie van Windows Server 2016 waarmee externe clients verbinding kunnen maken met de netwerkinfrastructuur van uw organisatie zonder een VPN nodig te hebben.

Externe clientcomputers maken naadloos verbinding met interne bronnen, of ze nu lokaal (intern) of op afstand (extern) verbinding maken. Clientcomputers kunnen hun eigen locatie (intern of extern) detecteren en dienovereenkomstig configureren. Dit vereenvoudigt uw infrastructuur voor externe toegang, omdat u RADIUS niet hoeft te implementeren met behulp van NPS.

Om DirectAccess te implementeren, zoals weergegeven in bovenstaande afbeelding, zijn de volgende componenten vereist:

  • DirectAccess Server – Deze Windows Server 2016-server maakt verbinding met zowel het interne netwerk als het internet en is een gateway voor externe clients.
  • DirectAccess-clients – Elke computer die is aangesloten bij een domein en waarop een Enterprise-editie van Windows 7 of nieuwer wordt uitgevoerd. De clients maken verbinding met de DirectAccess-server via IPv6 en IPsec. Als een native IPv6-netwerk niet beschikbaar is, gebruiken de clients een IPv6-overgangstechnologie zoals 6to4 of Teredo.
  • Netwerklocatieserver – DirectAccess-clients gebruiken de netwerklocatieserver om hun locaties te bepalen: intern of extern. Als een clientcomputer via HTTPS verbinding kan maken met de NLS, is dit een interne locatie en zijn DirectAccess-GPO’s niet van toepassing.
  • Interne bronnen – Dit zijn de IPv6-compatibele apps en bronnen die u beschikbaar wilt stellen aan uw DirectAccess-clients.
  • AD DS – Zorgt voor authenticatie en distributie en toepassing van groepsbeleidsobjecten.
  • Groepsbeleid – DirectAccess-client- en serverconfiguratie is gebaseerd op GPO’s.
  • PKI-infrastructuur – Dit is een optioneel onderdeel en wordt niet weergegeven in Afbeelding 4-38. Digitale certificaten kunnen worden gebruikt om de beveiliging te verbeteren, en wanneer u clientcomputers met Windows 7 implementeert, moet een PKI worden gebruikt om de implementatie te voltooien.
  • DNS-server – DNS wordt door clientcomputers gebruikt om interne bronnen te lokaliseren.
  • Tabel naamomzettingsbeleid – De NRPT wordt door clientcomputers gebruikt om te bepalen welke DNS-servers ze moeten gebruiken: interne DNS of externe DNS.

4.2.3.1. DirectAccess-tunneling opties

DirectAccess-gebruiker IPv6 en IPsec om verbindingen met interne bronnen mogelijk te maken. Niet alle organisaties hebben echter IPv6 geïmplementeerd. Dientengevolge gebruikt DirectAccess IPv6-transitietunnelingopties om clients in staat te stellen verbinding te maken met interne bronnen. De tunneling-opties omvatten:

  • ISATAP – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via IPv4-netwerken voor (interne) intranetcommunicatie.
  • 6to4 – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via het IPv4-gebaseerde internet voor externe communicatie.
  • Teredo – Hiermee kunnen DirectAccess-clients verbinding maken met de DirectAccess-server via het IPv4-gebaseerde internet als clients zich achter een NAT-apparaat bevinden.
  • IP-HTTPS – Gebruikt door clients die geen verbinding kunnen maken met de DirectAccess-server met behulp van de voorgaande methoden.

4.2.3.2. Opties voor serverimplementatie

U kunt een DirectAccess-server implementeren op elke Windows Server 2016-servercomputer die lid is van een AD DS-domein met behulp van een van de drie netwerktopologieconfiguraties:

  • Edge – Gebruik deze topologie als u uw firewallsoftware hebt geïmplementeerd op een edge-computer waarop Windows Server 2016 wordt uitgevoerd en waarop twee netwerkadapters zijn geïnstalleerd: de ene maakt verbinding met het intranet en de andere met internet.
  • Achter de firewall met twee netwerkadapters – Gebruik deze als uw DirectAccess-server achter een firewall is geïmplementeerd en twee netwerkadapters heeft: de ene maakt verbinding met het intranet en de andere met het perimeternetwerk.
  • Achter de firewall met één netwerkadapter – Gebruik van uw DirectAccess-server is achter uw firewall en geïnstalleerd met één netwerkadapter, die is aangesloten op het intranet.

Examentip

Hoewel de DirectAccess-server een computer met domeinlid moet zijn, mag het geen domeincontroller zijn.

4.2.3.3. Geavanceerde implementatieopties

DirectAccess ondersteunt een aantal geavanceerde implementatie-opties, waaronder:

  • Meerdere eindpunten – Voor clients met Windows 8 of nieuwer, als u de DirectAccess Server-rol implementeert op meerdere servers op verschillende locaties, selecteren de DirectAccess-clients automatisch het dichtstbijzijnde eindpunt.
  • Meerdere domeinen – Als uw organisatie meerdere domeinnamen heeft, kunnen de DirectAccess-clients verbinding maken met meerdere domeinen.
  • Implementeren achter NAT-apparaat – Indien nodig kunt u een DirectAccess-server achter een NAT-apparaat implementeren.
  • Off-premises inrichten – U kunt het hulpprogramma Djoin.exe gebruiken om een niet-domeinclientcomputer in te richten met een AD DS Binary Large Object (BLOB). Hierdoor kan de computer lid worden van uw domein zonder eerst verbonden te zijn met het interne netwerk.

Examentip

U moet het eindpunt handmatig opgeven voor DirectAccess-clients met Windows 7.

4.2.3.4. Implementeer DirectAccess-serververeisten

Voordat u DirectAccess kunt implementeren, moet u ervoor zorgen dat uw DirectAccess-server(s) aan de volgende vereisten voldoen. De DirectAccess-server moet:

  • Wees een domeinlid maar geen domeincontroller.
  • Zorg dat er ten minste één netwerkadapter is aangesloten op het interne netwerk.
  • Zorg voor een openbaar IPv4-adres voor elke adapter met internetverbinding, als u hebt gekozen voor de Edge-topologieconfiguratie.
  • Zorg dat de Windows Firewall op alle profielen is ingeschakeld.
  • Worden geïnstalleerd met de DirectAccess en VPN (RAS)-rolservice, onderdeel van de Remote Access-serverrol.

4.2.3.5. Installeer en configureer DirectAccess

Als u een DirectAccess-server wilt implementeren, moet u eerst de functieservice DirectAccess en VPN (RAS) implementeren met behulp van Windows PowerShell of Server Manager. Voer vervolgens de volgende procedure uit:

  1. Klik in Serverbeheer op Extra en vervolgens op Beheer op afstand.
  2. Klik in de Remote Access Management-console onder het configuratieknooppunt op DirectAccess en VPN. Klik in het detailvenster, zoals weergegeven in volgende afbeelding, op De wizard Aan de slag uitvoeren.
  3. Klik op de pagina Externe toegang configureren op Alleen DirectAccess implementeren. Vereisten zijn geverifieerd.
  4. Klik op de pagina Remote Access Server Setup, weergegeven in de volgende afbeelding, op de juiste topologie en typ vervolgens het FQDN- of openbare IPv4-adres dat door clients wordt gebruikt om verbinding te maken met de DirectAccess-server. Klik volgende.
  5. Klik op de pagina Instellingen voor externe toegang worden toegepast op de koppeling Hier om GPO-instellingen, instellingen voor DirectAccess-clientbeveiligingsgroepen, serveradapterinstellingen en DNS-eigenschappen te configureren.
  6. Klik op de pagina De configuratie-instellingen bekijken, weergegeven in de volgende afbeelding, naast Externe clients op Wijzigen.
  7. Definieer in het dialoogvenster DirectAccess-clientinstellingen op het tabblad Groepen selecteren, weergegeven in de volgende afbeelding, de AD DS-objecten waarop de DirectAccess-client-GPO’s van toepassing zijn. Het groepsbeleidsobject wordt standaard toegepast op de beveiligingsgroep Domeincomputers, maar de optie DirectAccess alleen voor mobiele computers inschakelen is geselecteerd. Als u het DirectAccess-client-GPO alleen wilt toepassen op computers die tot een specifieke groep behoren, bijvoorbeeld “DirectAccess Computers”, maakt u die groep in AD DS. Wijs vervolgens de gewenste computers aan die groep toe als leden en verwijder vervolgens in het dialoogvenster DirectAccess Client Setup Domeincomputers en voeg de groep toe die u hebt gemaakt. Schakel het selectievakje DirectAccess alleen voor mobiele computers inschakelen uit en klik op Volgende.
  8. Definieer op de pagina Network Connectivity Assistant een DirectAccess-verbindingsnaam en klik vervolgens op Voltooien. Dit moet een naam zijn die belangrijk is voor uw gebruikers en netwerkbeheerders.
  9. Klik op de pagina Controleer de configuratie-instellingen, weergegeven in de volgende afbeelding, optioneel naast GPO-instellingen op Wijzigen. Het dialoogvenster GPO-namen verschijnt, zodat u de namen kunt wijzigen van de GPO’s die van toepassing zijn op DirectAccess-servers en -clients. Er is geen technische reden waarom u dit moet doen, maar u kunt ervoor kiezen om andere namen te kiezen. De standaardinstellingen zijn: DirectAccess Client Settings en DirectAccess Server Settings. Als u deze wijzigt, klikt u op OK.
  10. Klik op de pagina Controleer de configuratie-instellingen op OK.
  11. Klik op de pagina Instellingen voor externe toegang worden toegepast op Voltooien. De DirectAccess-configuratie wordt toegepast. Klik op Sluiten wanneer daarom wordt gevraagd.

Nadat u de wizard hebt voltooid, kunt u de Remote Access Management Console gebruiken om de configuratie te verifiëren, zoals weergegeven in de volgende afbeelding.

Examentip

Het gebruik van de wizard Aan de slag maakt het implementeren van DirectAccess eenvoudig. Het wordt echter niet aanbevolen voor implementaties die een van de geavanceerde implementatie-opties vereisen die eerder in deze sectie zijn genoemd. Het is ook niet geschikt voor implementaties die Windows 7-clients ondersteunen.

U kunt het tabblad Dashboard gebruiken voor een overzicht van alle beschikbare informatie over uw DirectAccess-configuratie. Het tabblad Status van externe client is handig voor het oplossen van problemen met connectiviteit. Dit wordt besproken in de volgende sectie.

4.2.3.6. Wijzigingen aangebracht door de wizard Aan de slag

Als u de wizard Aan de slag gebruikt om DirectAccess te configureren en in te schakelen, worden de volgende wijzigingen aangebracht in uw netwerkinfrastructuur:

  • De volgende DNS-hostrecords worden aangemaakt in uw DNS-zone:
    • directaccess-corpConnectivityHost
    • DirectAccess-NLS
    • directaccess-WebProbeHost
  • Er worden twee GPO’s gemaakt (DirectAccess Client Settings en DirectAccess Server Settings) en toegepast op uw domein. Dit zijn:
    • DirectAccess-clientinstellingen. Instellingen in dit groepsbeleidsobject:
      • Configureer DirectAccess-clients om de zelfondertekende certificaten te vertrouwen die zijn uitgegeven door de DirectAccess-server.
      • Schakel het IPsec ICMP-protocol in op de lokale firewall op de DirectAccess-clients. Schakel uitgaand IP-HTTPS-verkeer in op de lokale firewall.
      • Definieer de IPv6-adresvoorvoegsels
      • Definieer Kerberos-verificatie-instellingen.
    • DirectAccess-serverinstellingen. Instellingen in dit groepsbeleidsobject:
      • Schakel het IPsec ICMP-protocol in op de lokale firewall op de DirectAccess-server.
      • Schakel binnenkomend IP-HTTPS-verkeer in op de lokale firewall.
      • Definieer de IPv6-adresvoorvoegsels.
      • Definieer Kerberos-verificatie-instellingen.

4.2.3.7. Wanneer moet u de wizard Aan de slag niet gebruiken?

Het gebruik van de wizard Aan de slag is de eenvoudigste manier om DirectAccess te configureren en in te schakelen, maar het is niet geschikt voor alle situaties. Als u meerdere locaties wilt ondersteunen, failoverconfiguraties wilt implementeren of gewoon Windows 7-clientcomputers wilt integreren in uw DirectAccess-oplossing, moet u een geavanceerde DirectAccess-configuratie implementeren.

4.2.3.8. Clientconfiguratie implementeren

Het implementeren van DirectAccess-clients is eenvoudig omdat dit wordt gedaan door de groepsbeleidsobjecten die zijn gemaakt wanneer u de wizard Aan de slag uitvoert. U kunt controleren of de instellingen correct zijn toegepast met behulp van GPO-monitoring en technieken voor probleemoplossing.

Om te bepalen of de DirectAccess-clientinstellingen van toepassing zijn, start u een clientcomputer op die een DirectAccess-client moet zijn zoals gedefinieerd door uw instellingen, en meldt u zich aan. Voer vanaf een verhoogde opdrachtprompt de opdracht gpresult /r uit. In het gedeelte Computerinstellingen retourneert deze opdracht informatie over de groepsbeleidsobjecten die wel of niet van toepassing zijn op de clientcomputer. Als de computer correct is geconfigureerd voor DirectAccess, zou de DirectAccess Client Settings GPO moeten verschijnen, zoals weergegeven in de volgende afbeelding.

Om DirectAccess te testen, moet u de computer naar een extern netwerk verplaatsen. U kunt vervolgens de Remote Access Management-console gebruiken om de resulterende DirectAccess-verbinding te bekijken, zoals weergegeven in de volgende afbeelding.

4.2.4. Problemen met DirectAcces oplossen

Als uw DirectAccess-clients geen verbinding kunnen maken met interne bronnen zoals verwacht, moet u een aantal dingen controleren. Onthoud dat, omdat DirectAccess is gebaseerd op de juiste toepassing van GPO’s, het belangrijk is dat u uw GPO-instellingen verifieert voordat u begint met het oplossen van problemen met DirectAccess zelf.

Begin met het verifiëren van het volgende. Op de DirectAccess-client:

  1. Controleer of de DirectAccess Client Settings GPO is toegepast. U kunt gpresult /r gebruiken om dit te controleren. Als het groepsbeleidsobject niet van toepassing is, moet u ervoor zorgen dat de computer lid is van een groep die u hebt opgegeven in de wizard Aan de slag toen u DirectAccess configureerde. Gebruik standaard GPO-probleemoplossingstechnieken om de juiste toepassing van de benodigde client-GPO’s te verifiëren.
  2. Controleer de verbinding met de DirectAccess-server
    • Controleer of de client een IPv6-adres heeft dat begint met 2002. Gebruik het opdrachtregelprogramma IPconfig.exe om te verifiëren. Dit adres wordt gebruikt om te communiceren met de DirectAccess-server.
    • Open de app Instellingen en klik in Netwerk en internet op het tabblad DirectAccess. Zoals weergegeven in de volgende afbeelding, zou het moeten laten zien dat de DirectAccess-verbinding actief is (de weergegeven naam is de naam die u definieert in de wizard Aan de slag) en dat de locatie correct is ingesteld voor DirectAccess.
    • Gebruik de opdracht netsh name show effectivepolicy bij een opdrachtprompt met verhoogde bevoegdheid. Dit zou een lijst met beleidsregels moeten retourneren wanneer correct verbonden met de DirectAccess-server.

Als deze tests de oorzaak van het probleem niet identificeren, gebruik dan de basishulpprogramma’s voor netwerkprobleemoplossing om de configuratie van de clientcomputer te controleren.

4.3. NPS implementeren

Het is essentieel dat u NPS, het bijbehorende beleid begrijpt en weet hoe u dit kunt afdwingen, en hoe u RADIUS implementeert. Dit zijn belangrijke vaardigheden voor elke IT-professional die verantwoordelijk is voor het bieden van veilige externe toegang tot de netwerkbronnen van zijn organisatie.

4.3.1. Configureer RADIUS

RADIUS is een algemeen geaccepteerd authenticatieprotocol dat door veel verschillende leveranciers wordt gebruikt. RADIUS wordt gebruikt om oplossingen voor externe toegang te beveiligen door authenticatie te bieden. U kunt de Windows Server 2016 NPS-rol configureren als RADIUS-server of RADIUS-proxy.

4.3.1.1. De NPS-rol

In eerdere versies van het Windows Server-platform beheerden IT-beheerders de RAS-verbindingen van hun gebruikers via een RAS-server, waarbij de inbelrechten per server werden geconfigureerd. Dit was prima zolang de beheerder niet te veel externe clients en meer dan een paar externe toegangsservers hoefde te beheren.

Omdat toegang op afstand vaker voorkomt, is het noodzakelijk geworden om de configuratie en het beheer van de servers voor toegang op afstand en de clients die ze ondersteunen, te centraliseren. Met de NPS-rol kunt u dit doen door op beleid gebaseerd beheer van externe toegang te bieden, zoals weergegeven in de volgende afbeelding.

De NPS-rol biedt authenticatie, autorisatie en accounting via een centraal punt voor de volgende situaties:

  • Externe toegang via inbelverbinding
  • Externe toegang via VPN
  • Draadloze toegang
  • 802.1X-toegang Internettoegang
  • Extranettoegang van partnerorganisaties

Voer de volgende taken uit om de NPS-rol te implementeren:

  1. Klik in Serverbeheer op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
  2. Selecteer in de wizard Rollen en onderdelen toevoegen op de pagina Serverrollen de rol Netwerkbeleid en toegangsservices en voeg desgevraagd de vereiste functies toe die nodig zijn om de rol te ondersteunen.
  3. Voltooi de wizard om de rol te installeren en klik vervolgens, wanneer daarom wordt gevraagd, op Voltooien. U kunt nu de Network Policy Server-console gebruiken om de rol te configureren en te beheren.

Examentip

U kunt de rol ook implementeren met behulp van de Windows PowerShell-opdracht Install-WindowsFeature -Name npas -IncludeManagementTools.

4.3.1.2. Een RADIUS-server configureren

NPS is de implementatie van een RADIUS-server door Microsoft. Wanneer u NPS configureert als een RADIUS-server, kunt u RADIUS-clients toevoegen, zoals draadloze toegangspunten, netwerktoegangsservers en VPN-servers, die allemaal de NPS-rol kunnen gebruiken als hun geconfigureerde RADIUS-server. Nadat u de RADIUS-clients hebt geconfigureerd, moet u NPS-beleidsregels maken en configureren die worden gebruikt om verbindingspogingen te verifiëren en te autoriseren.

Als u de NPS-rol installeert op een computer die lid is van een Active Directory Domain Services (AD DS)-domein, kunt u de AD DS-gebruikers- en groepsaccounts gebruiken voor verificatie. Hierdoor kunnen uw gebruikers zich op afstand aanmelden bij uw netwerkbronnen met hetzelfde gebruikersaccount waarmee ze zich aanmelden wanneer ze lokaal zijn verbonden met die bronnen.

De NPS-rol verzamelt statistieken met betrekking tot authenticatie, autorisatie en andere gegevens voor toegang op afstand, en kan deze gelogde gegevens lokaal of op een centrale locatie op een accountingserver opslaan, afhankelijk van de configuratie. Een typisch RADIUS-serverscenario wordt getoond in de volgende afbeelding.

Nadat u de NPS-rol hebt geïmplementeerd, moet u deze configureren als RADIUS-server of RADIUS-proxy. Dit zijn geen specifiek selecteerbare rollen. Ze zijn eerder geïmpliceerd in de manier waarop u de relatie tussen de verschillende NPS-rolcomputers in uw organisatie configureert.

Om de NPS-rol als RADIUS-server te implementeren, moet u de vereiste RADIUS-clients definiëren en het benodigde netwerkbeleid configureren. Voer hiervoor de volgende taken op hoog niveau uit:

  1. Installeer de NPS-rol, zoals beschreven in de vorige sectie.
  2. Open de Network Policy Server-console.
  3. In de Network Policy Server-console, weergegeven in de volgende afbeelding, maakt en configureert u het vereiste netwerkbeleid.
  4. Selecteer het RADIUS Clients and Servers-knooppunt en klik met de rechtermuisknop op het RADIUS Clients-knooppunt.
  5. Klik op Nieuw en voeg vervolgens de vereiste RADIUS-clients toe. Dit proces wordt in een volgende paragraaf besproken.

U kunt ook de Windows PowerShell New-NpsRadiusClient-cmdlet gebruiken om RADIUS-clients of RADIUS-proxy’s toe te voegen.

4.3.1.3. Een RADIUS-proxy configureren

U kunt NPS implementeren als een RADIUS-proxy. In deze configuratie stuurt de NPS-rol verbindingsverzoekpogingen van RAS-clients door naar de geconfigureerde RADIUS-server voor verificatie en autorisatie. U kunt beleid voor verbindingsverzoeken gebruiken om te bepalen welke verbindingsverzoeken zijn lokaal afgehandeld en die worden doorgestuurd naar een RADIUS-server.

Een typische RADIUS-proxyconfiguratie op basis van de Windows Server NPS-rol wordt weergegeven in de volgende afbeelding.

Als u de NPS-rol wilt implementeren als RADIUS-proxy, moet u de relatie van de lokale NPS-rol met de RADIUS-servers in uw organisatie definiëren. Gebruik hiervoor de volgende procedure:

  1. Installeer de NPS-rol, zoals eerder beschreven.
  2. Open de Network Policy Server-console.
  3. Selecteer het knooppunt RADIUS Clients and Servers en klik met de rechtermuisknop op het knooppunt Remote RADIUS Server Groups.
  4. Klik op Nieuw en typ in het dialoogvenster Nieuwe externe RADIUS-servergroep de naam voor de groep RADIUS-servers. Zelfs als u maar één RADIUS-server heeft, moet deze zich in een groep bevinden.
  5. Klik op Toevoegen en typ in het dialoogvenster RADIUS-server toevoegen de naam of het IP-adres (Internet Protocol) van de RADIUS-server.
  6. Op het tabblad Verificatie/Accounting, weergegeven in de volgende afbeelding, kunt u de instellingen configureren die nodig zijn om de RADIUS-proxy te koppelen aan de RADIUS-server voor verificatie. Dit omvat het definiëren van een gedeeld geheim (een wachtwoord) en een authenticatiepoort (de standaard is 1812). U kunt ook de accountingpoort definiëren (de standaard is 1813) en het gedeelde geheim waarmee deze RADIUS-proxy zichzelf zal authenticeren bij de RADIUS-accountingserver.
  7. Op het tabblad Taakverdeling, weergegeven in de volgende afbeelding, kunt u weeg- en prioriteitswaarden configureren voor deze server in de groep. Een prioriteitswaarde van 1 is de hoogste. De waarde Gewicht wordt gebruikt als de prioriteiten gelijk zijn. Gebruik deze opties om te bepalen welke server in een groep RADIUS-servers de voorkeur heeft boven andere in dezelfde groep.
  8. Herhaal het proces om extra servers aan deze groep toe te voegen.
  9. Nadat u de benodigde servergroepen hebt toegevoegd, moet u de RADIUS-clients definiëren die deze RADIUS-proxy ondersteunt. Voer hiervoor de volgende stappen uit:
    • Selecteer in de Network Policy Server-console het knooppunt RADIUS Clients and Servers en klik met de rechtermuisknop op het knooppunt RADIUS Clients.
    • Klik op Nieuw en voeg vervolgens de vereiste RADIUS-clients toe. Dit proces wordt in een volgende paragraaf besproken.

Examentip

U kunt NPS-sjablonen gebruiken om RADIUS-servers te definiëren. U kunt die servers vervolgens selecteren met behulp van de optie Selecteer een bestaande externe RADIUS-servers-sjabloon.

Examentip

U kunt NPS-sjablonen gebruiken om gedeelde RADIUS-geheimen te definiëren. U kunt die gedeelde geheimen vervolgens selecteren met behulp van de optie Selecteer een bestaande sjabloon voor gedeelde geheimen.

4.3.1.4. Configureer RADIUS-clients

RADIUS-clients zijn die apparaten en servercomponenten die verbindingspogingen met externe clients ondersteunen. Deze verbindingen kunnen afkomstig zijn van draadloze clients, VPN-clients of apparaten die zijn aangesloten op 802.1X-switches. Bijgevolg kan een RADIUS-client worden beschouwd als een apparaat, zoals een VPN-server of draadloos toegangspunt, dat het RADIUS-protocol ondersteunt voor authenticatie en accounting.

Examentip

RADIUS-clients zijn geen RAS-clients of apparaten die proberen verbinding te maken met een draadloos toegangspunt of VPN-server.

4.3.1.5. Configureer een Radius-client op de NPS-rol

De NPS-rol functioneert niet als RADIUS-client, maar ondersteunt RADIUS-clients. Het is echter noodzakelijk om RADIUS-clients op RADIUS-servers of RADIUS-proxy’s te configureren. Voer de volgende procedure uit om een RADIUS-client toe te voegen aan uw RADIUS-server of proxy:

  1. Vouw in de Network Policy Server-console het knooppunt RADIUS Clients and Servers uit en klik met de rechtermuisknop op het knooppunt RADIUS Clients.
  2. Klik op Toevoegen en typ vervolgens in het dialoogvenster Nieuwe RADIUS-client, weergegeven in de volgende afbeelding, op het tabblad Instellingen een beschrijvende naam voor de RADIUS-client en typ vervolgens het IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) . Geef optioneel een gedeeld geheim op om te verifiëren bij de RADIUS-client.
  3. Klik op het tabblad Geavanceerd en definieer vervolgens of u het RADIUS-standaardprotocol wilt gebruiken, of kies uit een lijst met leveranciers voor uw specifieke apparaattype.

Examentip

U kunt NPS-sjablonen gebruiken om RADIUS-clients te definiëren. U kunt die clients vervolgens selecteren met behulp van de optie Een bestaande sjabloon selecteren op het tabblad Instellingen.

4.3.1.6. Configureer RADIUS-accounting

Met RADIUS-accounting kunt u statistieken met betrekking tot RADIUS-authenticatie en autorisatie verzamelen en bekijken. U kunt ervoor kiezen accountgegevens zo te configureren dat ze lokaal op elke RADIUS-server worden verzameld, of u kunt de boekhoudgegevens van al uw RADIUS-servers en proxy’s centraliseren.

U kunt RADIUS-boekhoudgegevens loggen in tekstbestanden en/of in een Microsoft SQL Server-database. Voor de meeste eenvoudige NPS-implementaties is het gebruik van tekstbestanden voldoende. Grotere implementaties profiteren echter van SQL Server.

Om accounting in NPS te configureren, klikt u in de Network Policy Server-console op het knooppunt Accounting en vervolgens op Configure Accounting. Gebruik de volgende procedure om de configuratie te voltooien:

  1. Kies in de wizard Accountingconfiguratie op de pagina Select Accounting Options hoe u accountinggegevens wilt loggen. Selecteer uit:
    • Log in op een SQL Server-database.
    • Log in op een tekstbestand op de lokale computer.
    • Log tegelijkertijd in op een SQL Server-database en op een lokaal tekstbestand.
    • Log in op een SQL Server-database met behulp van logboekregistratie van tekstbestanden voor failover.
  2. Specificeer op de pagina Configure Local File Logging, weergegeven in Afbeelding 4-56, wat u wilt loggen en waar u de tekstlogbestanden wilt opslaan. Als u SQL Server-logboekregistratie hebt gekozen, geeft u de SQL Server-naam en de instantienaam op en geeft u op welke gebeurtenissen u wilt loggen.
  3. Voltooi de wizard om logboekregistratie in te schakelen.

4.3.2. NPS-sjablonen configureren

Wanneer u de NPS-rol configureert, moet u de relatie opgeven tussen de servers, proxy’s en clients waaruit uw netwerkbeleidsinfrastructuur bestaat. U kunt NPS-sjablonen gebruiken om dit proces sneller en gemakkelijker te maken.

4.3.2.1. NPS-sjablonen maken

U kunt de Network Policy Server-console gebruiken om NPS-sjablonen te maken en te beheren. Vouw in het navigatievenster NPS (lokaal) uit en klik vervolgens op het knooppunt Sjablonenbeheer, zoals weergegeven in de volgende afbeelding.

Door een sjabloon te gebruiken, hoeft u niet herhaaldelijk dezelfde informatie opnieuw op te geven bij het configureren van NPS. Als bijvoorbeeld meerdere RADIUS-servers verbindingen van een aantal RADIUS-clients ondersteunen, kunt u met behulp van een RADIUS Client-sjabloon snel de relatie configureren op de RADIUS-server.

U kunt de volgende typen sjablonen maken:

  • Gedeelde geheimen – Hiermee kunt u een gedeeld geheim instellen dat u kunt gebruiken om verbindingen tussen de RADIUS-servers, proxy’s en clients te beveiligen.
  • RADIUS-clients – Hiermee kunt u een RADIUS-clientobject maken en de eigenschappen ervan definiëren: beschrijvende naam, IP-adres, leveranciersnaam en gedeeld geheim.
  • Externe RADIUS-servers – Hiermee kunt u een RADIUS-server en zijn eigenschappen definiëren, zoals servernaam of IP-adres, gedeeld geheim, authenticatiepoort en accountingpoort.
  • IP-filters – Hiermee kunt u IP-filters maken die netwerkverkeer toestaan of blokkeren op basis van gespecificeerde voorwaarden. Dit kan factoren omvatten zoals of het verkeer inkomend of uitgaand is, de bron- en bestemmings-IP-netwerken of -adressen en het gebruikte protocol, zoals Transmission Control Protocol (TCP) of User Datagram Protocol (UDP). IP-filters worden niet gebruikt om RADIUS te configureren. In plaats daarvan worden ze gebruikt in NPS-beleid, dat in de volgende sectie wordt besproken.

Gebruik de volgende procedure om een sjabloon voor gedeelde geheimen te maken:

  1. Klik op het knooppunt Sjablonenbeheer, klik met de rechtermuisknop op Gedeelde geheimen.
  2. Klik op Nieuw.
  3. Typ in het dialoogvenster Nieuwe RADIUS Shared Secret-sjabloon, weergegeven in de volgende afbeelding, in de tekstvakken Shared Secret en Confirm Shared Secret het wachtwoord dat u wilt gebruiken en klik vervolgens op OK.

Een RADIUS-clientsjabloon configureren:

  1. Klik op het knooppunt Sjablonenbeheer, klik met de rechtermuisknop op RADIUS-clients.
  2. Klik op Nieuw.
  3. Typ in het dialoogvenster Nieuwe RADIUS-client de beschrijvende naam voor het apparaat, typ het IP-adres of FQDN en definieer vervolgens het gedeelde geheim voor het apparaat. U kunt, zoals weergegeven in de volgende afbeelding, een eerder gedefinieerde sjabloon Shared Secrets gebruiken.
  4. Definieer indien nodig op het tabblad Geavanceerd de naam van de leverancier. Dit zorgt ervoor dat het apparaat de juiste RADIUS-versie gebruikt. Raadpleeg de documentatie van uw apparaat voor de vereiste waarde en klik op OK.

Het maken van gedeelde geheimen, RADIUS-clients en externe RADIUS-servers is in grote lijnen vergelijkbaar.

4.3.2.2. NPS-sjablonen toepassen

Het toepassen van NPS-sjablonen is eenvoudig. Wanneer u een definitie van een RADIUS-client of een externe RADIUS-server maakt, zoals eerder in deze sectie beschreven, selecteert u de optie om een bestaande sjabloon te gebruiken.

Als u bijvoorbeeld een RADIUS-client wilt configureren op basis van een sjabloon, gebruikt u de volgende procedure:

  1. Klik in de Network Policy Server-console met de rechtermuisknop op RADIUS-clients en klik vervolgens op Nieuw.
  2. Schakel in het dialoogvenster Nieuwe RADIUS-clients, weergegeven in de volgende afbeelding, het selectievakje Een bestaande sjabloon selecteren in.
  3. Wijzig indien nodig de beschrijvende naam. Alle andere eigenschappen worden geconfigureerd door de sjabloon. Klik OK.

De procedure voor het toepassen van sjablonen bij het maken van RADIUS-servers is in grote lijnen vergelijkbaar. We bekijken het toepassen van IP-filtersjablonen in de volgende sectie.

4.3.3. NPS-beleid configureren

Met NPS-beleid kunt u bepalen welke RAS-clients verbinding kunnen maken met uw organisatie en welke RADIUS-server verantwoordelijk is voor het verwerken van de verbindingspoging.

NPS ondersteunt twee soorten beleid. Dit zijn:

  • Netwerkbeleid – Hiermee kunt u bepalen of de verbindingspoging van een externe client succesvol is.
  • Beleid voor verbindingsverzoeken – Hiermee kunt u bepalen of de lokale server of een externe server verbindingspogingen op afstand verwerkt.

4.3.3.1. Netwerkbeleid configureren

U gebruikt netwerkbeleid om te bepalen of de verbindingspoging van een externe gebruiker is geslaagd. Elk netwerkbeleid bestaat uit vier groepen eigenschappen. Dit zijn:

  • Overzicht – Dit bevat de naam van het beleid en fundamentele elementen van het beleid:
    • Of het beleid is ingeschakeld
    • Wat de toegangsmachtiging is voor clients die overeenkomen met de eigenschappen van het beleid: Toegang verlenen of Toegang weigeren
    • Het type netwerkverbinding: niet gespecificeerd, Remote Desktop Gateway of Remote Access Server (VPN-inbelverbinding)
  • Voorwaarden – Bevat de basiseigenschappen van een verbinding. U kunt meerdere voorwaarden definiëren. Om het beleid van toepassing te laten zijn, moet de externe client voldoen aan alle voorwaarden die in het beleid zijn gespecificeerd. Deze omvatten:
    • Lidmaatschap van Windows-groepen
    • Dag- en tijdbeperkingen
    • IP-adres van de externe client
    • Verificatietype
    • RADIUS-clienteigenschappen, zoals IP-adres of beschrijvende naam
  • Beperkingen – Net als voorwaarden is een beperking een kenmerk van de verbindingspoging. U kunt meerdere beperkingen in een beleid definiëren en om de verbindingspoging te laten slagen, moet de externe client aan alle beperkingen voldoen. Beperkingen zijn onder meer:
    • Verificatiemethoden
    • Waarden voor inactiviteit en sessietime-out
    • Dag- en tijdbeperkingen
  • Instellingen – Ervan uitgaande dat zowel aan de voorwaarden als beperkingen van een beleid wordt voldaan en dat de toegangsmachtiging van het beleid wordt verleend, bepalen de instellingen van het beleid de kenmerken van een verbindingspoging, waaronder:
    • Versleutelingsvereisten
    • IP-filters
    • IP-instellingen, zoals het IPv4- of IPv6-adres dat door een client wordt gebruikt
    • Indien van toepassing, RADIUS-kenmerken, zoals leverancier

Examentip

Als aan de voorwaarden is voldaan, is de polis van toepassing en worden er geen verdere polissen in behandeling genomen. Als echter niet aan de voorwaarden wordt voldaan, verwerkt de NPS-rol het volgende beleid, als er meerdere beleidsregels zijn gedefinieerd.

  • Examentip
  • Net als voorwaarden, als een client niet voldoet aan de beperkingen van een beleid, wijst de NPS-rol de verbindingspoging af. In tegenstelling tot voorwaarden verwerkt de NPS-rol echter geen verder beleid.

Als u meerdere beleidsregels definieert, verwerkt NPS deze als volgt:

  1. Beginnend bij het beleid met de hoogste laagste verwerkingsopdrachtwaarde (meestal de eerste in de lijst), vergelijkt het de eigenschappen van de verbindingspoging met de voorwaarden van het beleid.
  2. Als niet aan de polisvoorwaarden wordt voldaan, verwerkt de NPS op haar beurt de volgende polis. Het blijft beleid op deze manier verwerken totdat de voorwaarden van een beleid overeenkomen met het profiel van de verbindingspoging. Als er geen match is, wordt de toegang geweigerd.
  3. Als aan de polisvoorwaarden is voldaan, worden geen verdere polissen gecontroleerd. NPS controleert vervolgens of de beperkingen overeenkomen. Als dit niet het geval is, wordt de verbindingspoging afgewezen. Als het profiel van de verbindingspoging overeenkomt met de beperkingen, dan:
    1. Als de toegangsmachtiging voor het beleid wordt geweigerd, wordt de verbinding verbroken.
    1. Als de toegangsmachtiging voor het beleid is verleend, wordt de verbinding geaccepteerd.

Examentip

U kunt de inbeleigenschappen van een gebruikersaccount configureren in AD DS. U kunt drie mogelijke waarden instellen: Toegang toestaan, Toegang weigeren en Toegang beheren via NPS-beleid.

Als de inbelmachtiging voor een gebruiker Toegang weigeren is, worden alle verbindingspogingen afgewezen. Als de inbelmachtiging voor een gebruiker Toegang toestaan is, staat NPS de verbindingspoging toe, zelfs als er geen overeenkomend beleid bestaat.

Bij het plannen van NPS-beleid is het belangrijk dat u het vereiste beleid met de juiste voorwaarden maakt en ervoor zorgt dat ze in de juiste volgorde in de beleidslijst in de NPS-console worden geplaatst. U moet bijvoorbeeld twee beleidsregels maken als u wilt dat gebruikers op afstand verbinding kunnen maken, maar alleen tijdens buiten kantooruren, of als u wilt dat beheerders op elk moment verbinding kunnen maken, maar alleen bij gebruik van sterk versleutelde verbindingen:

  • Buiten kantooruren – Dit beleid vereist dat gebruikers zich alleen buiten kantooruren proberen aan te melden en tot de groep Domeingebruikers behoren.
  • Sterke versleuteling – Dit beleid vereist dat sterke versleuteling wordt geconfigureerd op de externe client. Dit beleid heeft ook een voorwaarde voor lidmaatschap van de beveiligingsgroep Domeinadministrators.

Als het beleid nu zo is ingesteld dat out-of-office uren als eerste in de lijst staat, wanneer een beheerder tijdens kantooruren verbinding probeert te maken met sterke versleuteling, is het out-of-office-beleid niet van toepassing. NPS verwerkt op haar beurt de volgende polis. Het sterke encryptiebeleid is van toepassing en de beheerder krijgt toegang.

Als een standaardgebruiker zich tijdens kantooruren probeert aan te melden, is geen van beide beleid van toepassing en wordt de gebruiker de toegang geweigerd. Als dezelfde gebruiker zich na het werk probeert aan te melden, is het eerste beleid van toepassing en krijgt de gebruiker toegang.

Als u een nieuw netwerkbeleid wilt maken, klikt u in de Network Policy Server-console met de rechtermuisknop op het knooppunt Netwerkbeleid en vervolgens op Nieuw. Voltooi vervolgens de wizard Nieuw netwerkbeleid:

  1. Voer een betekenisvolle naam in voor het beleid en klik op Volgende.
  2. Klik op de pagina Voorwaarden opgeven op Toevoegen en selecteer en configureer een voorwaarde voor het beleid. Als u meerdere voorwaarden wilt, herhaalt u dit proces. In de volgende afbeelding zijn twee polisvoorwaarden weergegeven. Klik volgende.
  3. Kies op de pagina Toegangsmachtiging opgeven de optie Toegang verleend, Toegang geweigerd of Toegang wordt bepaald door inbeleigenschappen van gebruiker. Klik volgende.
  4. Definieer op de pagina Verificatiemethoden configureren welke verificatiemethoden zijn toegestaan. Opties zijn onder meer:
    • PAP
    • Shiva PAP (SPAP) CHAP
    • MS-CHAP MS-CHAP-v2 EAP
    • Beveiligde EAP (PEAP)
  5. Klik op Volgende.
  6. Definieer op de pagina Beperkingen configureren een of meer kenmerken van externe verbindingen. Onthoud dat aan alle beperkingen moet worden voldaan voordat een verbindingspoging wordt toegestaan. De volgende afbeelding toont de beschikbare opties. Klik volgende.
  7. Ten slotte kunt u op de pagina Instellingen configureren de verbindingskenmerken definiëren. Deze worden alleen toegepast als aan beide voorwaarden en beperkingen wordt voldaan en het beleid toegang verleent. Gewoonlijk worden IP-filters gebruikt om het type verkeer te definiëren dat via een verbinding kan worden gebruikt. U kunt bijvoorbeeld de verkeersstroom beperken om alleen HTTP of HTTPS te gebruiken door een filter te definiëren voor TCP-verkeer via poort 80 en 443. De volgende afbeelding toont het knooppunt IP-filters. Klik volgende.
  8. Klik op de pagina Nieuw netwerkbeleid voltooien op Voltooien nadat u de instellingen hebt gecontroleerd.

De verwerkingsvolgorde van het nieuwe beleid krijgt de waarde 1, wat betekent dat het beleid als eerste van toepassing is. Nadat u aanvullende beleidsregels heeft gemaakt, wilt u wellicht de volgorde wijzigen. Houd er rekening mee dat u mogelijk het standaardbeleid moet uitschakelen of verwijderen.

Examentip

Er worden twee standaardnetwerkbeleidsregels gemaakt wanneer u de NPS-rol installeert: Verbindingen met Microsoft Routing and Remote Access-server en Verbindingen met andere toegangsservers. Deze weigeren beide standaard toegang.

4.3.3.2. Beleid voor verbindingsverzoeken configureren

U gebruikt alleen beleid voor verbindingsaanvragen wanneer u meerdere instanties van de NPS-rol hebt geïmplementeerd. Het beleid voor verbindingsaanvragen bepaalt welke RADIUS-server netwerkbeleid verwerkt voor verbindingspogingen die zijn ontvangen op een andere RADIUS-server. Als een beleid voor verbindingsverzoeken een externe server definieert voor het verwerken van netwerkbeleid, dan is de lokale server in dat scenario een RADIUS-proxy.

Beleid voor verbindingsverzoeken kan alle, sommige of geen van de verzoeken voor verbindingspogingen doorsturen op basis van een aantal factoren, waaronder:

  • Dag- en tijdbeperkingen
  • Het verbindingstype dat wordt aangevraagd
  • Het IP-adres van de RADIUS-client

Dit betekent dat u meerdere beleidsregels voor verbindingsaanvragen kunt configureren en dat, afhankelijk van de instellingen, verschillende RADIUS-servers kunnen worden gebruikt om verschillende verbindingspogingen te verwerken. Nadat u de NPS-rol hebt geïmplementeerd, bestaat er een standaardbeleid voor verbindingsaanvragen met een zeer lage verwerkingsvolgorde. U kunt dit beleid uitschakelen of zelfs verwijderen. Elk ander beleid heeft echter een hogere verwerkingsvolgorde en heeft voorrang op het standaardbeleid. Het standaardbeleid stuurt geen verbindingspogingen door en verwerkt deze lokaal. Dit kan geschikt zijn voor kleinere NPS-implementaties waar weinig of één NPS-rol is geïmplementeerd.

Gebruik de volgende procedure vanuit de Network Policy Server-console om een beleid voor verbindingsaanvragen te maken:

  1. Klik met de rechtermuisknop op het knooppunt Beleid voor verbindingsverzoeken en klik vervolgens op Nieuw.
  2. Typ een betekenisvolle naam voor het beleid en klik op Volgende.
  3. Klik op de pagina Voorwaarden opgeven op Toevoegen en definieer de kenmerken van de verbindingspoging die u wilt controleren. Deze zijn vergelijkbaar met degene die u kunt definiëren in een netwerkbeleid. U kunt meerdere voorwaarden definiëren, die allemaal moeten overeenkomen met de verbindingspoging om het beleid toe te passen. Als u alle voorwaarden hebt gedefinieerd, klikt u op Volgende.
  4. Definieer op de pagina Doorsturen van verbindingsverzoeken opgeven, weergegeven in de volgende afbeelding, de externe RADIUS-servergroep waarnaar het verzoek moet worden doorgestuurd, of kies de standaard Verificatieverzoeken op deze server. Klik op Accounting en definieer of accountingverzoeken moeten worden doorgestuurd naar een externe RADIUS-servergroep en klik vervolgens op Volgende.
  5. Op de pagina Verificatiemethoden opgeven kunt u de standaard accepteren dat het netwerkbeleid eventuele verificatie-instellingen bepaalt. U kunt ook Verificatie-instellingen voor netwerkbeleid negeren kiezen en vervolgens eventuele verificatie-instellingen voor het beleid definiëren. Klik volgende.
  6. Op de pagina Instellingen configureren kunt u de realm- of RADIUS-instellingen definiëren die worden toegepast op verbindingsverzoeken.
  7. Controleer uw instellingen en klik op Voltooien om het beleid te maken. Indien nodig kunt u de prioriteitsvolgorde van meerdere beleidsregels opnieuw configureren.

4.3.3.3. NPS-beleid importeren en exporteren

Als u meerdere NPS-rollen hebt geïmplementeerd op meerdere Windows Server 2016-computers, kunt u op alle computers hetzelfde NPS-beleid gebruiken. U kunt dit doen door de NPS-configuratie te exporteren en die configuratie op een andere server te importeren. Gebruik de volgende procedures om de NPS-configuratie te exporteren en importeren.

4.3.3.4. NPS-configuratie exporteren

Om de NPS-configuratie te exporteren, klikt u in de Network Policy Server-console met de rechtermuisknop op de NPS (lokale) server en vervolgens:

  1. Klik op Configuratie exporteren.
  2. Schakel in het dialoogvenster Gedeeld geheim exporteren het selectievakje I Am Aware That I Am Exporting All Shared Secrets in en klik vervolgens op OK.
  3. Geef een locatie op om de export op te slaan. Dit is een XML-bestand. Klik op Opslaan.

4.3.3.5. NPS-configuratie importeren

Om de NPS-configuratie te importeren, klikt u in de Network Policy Server-console met de rechtermuisknop op de NPS (lokaal) server en dan:

  1. Klik op Configuratie importeren.
  2. Zoek het XML-bestand dat de geëxporteerde configuratie bevat en dubbelklik erop.

Examentip

U kunt de NPS-serverconfiguratie exporteren met behulp van de Windows PowerShell-cmdlet Export-NpsConfiguration. U kunt die configuratie vervolgens op een andere server importeren met behulp van de cmdlet Windows PowerShell Import-NpsConfiguration.

4.3.4. Certificaten configureren

U kunt een aantal authenticatiemethoden configureren in NPS, waaronder PAP, SPAP, CHAP, MS-CHAP en MS-CHAP-v2, EAP en PEAP. Sommige van deze authenticatiemethoden ondersteunen de uitwisseling van wachtwoorden. Hoewel authenticatie op basis van wachtwoorden algemeen wordt toegepast, is het niet zo veilig als authenticatie op basis van certificaten

4.3.4.1. Overzicht

Het is vooral belangrijk voor scenario’s voor externe toegang dat u de veiligste vorm van authenticatie kiest die uw RAS-infrastructuur kan ondersteunen. De volgende authenticatiemethoden gebruiken altijd certificaten voor serverauthenticatie:

  • EAP met Transport Layer Security (EAP-TLS)
  • PEAP met TLS (PEAP-TLS) of MS-CHAP v2 (PEAP-MS-CHAP v2)

Wanneer u EAP gebruikt met een sterk EAP-type, zoals TLS (met smartcards of certificaten), schakelt u wederzijdse verificatie in waarbij zowel de RAS-clientcomputer als de NPS-server certificaten gebruiken om elkaar te identificeren. De certificaten die u gebruikt, moeten passen bij het beoogde doel. Dat wil zeggen dat u een certificaat moet configureren dat u gebruikt voor de verificatie van een client met het doel Clientverificatie, of de verificatie van een server met het doel Serververificatie. Als het doel van het certificaat niet overeenkomt met het gebruik ervan, mislukt de verificatie.

Examentip

Als u de serverrol Active Directory Certificate Services (AD CS) implementeert om certificaten voor NPS te leveren, ondersteunt de AD CS Computer-certificaatsjabloon standaard zowel het doel Clientverificatie als Serververificatie.

Om authenticatie voor NPS met certificaten in te schakelen, hebt u een aantal certificaten nodig. Deze worden beschreven in de volgende tabel.

CertificaatGebruik
Certificaatautoriteit (CA) rootcertificaat. Dit moet worden geplaatst in het archief met vertrouwde basiscertificeringsinstanties voor de lokale computer en de huidige gebruiker. Dit certificaat wordt automatisch geïmplementeerd op computers die lid zijn van een AD DS-domein. Als een computer niet tot het juiste AD DS-domein behoort, moet u het certificaat handmatig importeren.– Dit certificaat is vereist voor EAP-TLS-, PEAP-TLS- en PEAP-MS-CHAP v2-authenticatie.
Clientcomputercertificaat. Alle computers van domeinleden schrijven dit certificaat automatisch in. Voor computers die niet tot een domein behoren, moet u dit certificaat handmatig registreren.– Vereist voor EAP-TLS en PEAP-TLS.
– Het is niet vereist voor PEAP-MS-CHAP-v2 omdat gebruikersauthenticatie op wachtwoorden is gebaseerd.
Als het clientcomputercertificaat is geïmplementeerd op smartcards, hoeft u het certificaat niet op de computer te installeren.
Server computer certificaat. Dit moet op de NPS-server staan. U kunt dit certificaat met AD DS implementeren voor alle leden van de RAS en Information Access Service (IAS)-servergroep. De NPS-server stuurt zijn certificaat naar clientcomputers die het certificaat gebruiken om de NPS-server te identificeren.
– Dit certificaat is vereist voor EAP-TLS, PEAP-TLS en PEAP-MS-CHAP-
v2-authenticatie.
Gebruikerscertificaat op een smartcard. Voor EAP-TLS en PEAP-TLS zijn gebruikerscertificaten op smartcards vereist, tenzij u automatisch clientcomputercertificaten inschrijft.– Vereist voor EAP-TLS en PEAP-TLS.
– Het is niet vereist voor PEAP-MS-CHAP-v2 omdat gebruikersauthenticatie op wachtwoorden is gebaseerd.

4.3.4.2. Certificaatverificatie configureren met NPS

Wanneer u een NPS-beleid maakt, kunt u de verificatiemethode en het verificatietype definiëren, zoals weergegeven in de volgende afbeelding. U kunt een of meer van deze authenticatiemethoden selecteren binnen uw beleid. Als de verbindende clientcomputer de opgegeven methode niet ondersteunt of niet is geconfigureerd om de opgegeven methode te gebruiken, is het beleid niet van toepassing.

Om op certificaten gebaseerde verificatie te configureren, kiest u EAP en selecteert u vervolgens een EAP-type. Een EAP-type configureren:

  1. Klik in de wizard Nieuw beleid op de pagina Verificatiemethoden configureren onder EAP-typen op Toevoegen.
  2. Kies in het dialoogvenster EAP toevoegen, weergegeven in de volgende afbeelding, de gewenste authenticatiemethode. Klik bijvoorbeeld op Microsoft: beveiligd wachtwoord (EAP-MSCHAP v2) en klik op OK.
  3. Voltooi de wizard Nieuw beleid op de gebruikelijke manier.

U moet nu de cliëntcomputers configureren met de vereiste authenticatie-instellingen. U moet ook de vereiste certificaten distribueren naar zowel de client- als de servercomputer.

4.4. Samenvatting

  • Met NAT kunt u apparaten met privé-IPv4-adressen verbinden met het openbare internet.
  • NAT wordt geïnstalleerd als onderdeel van de Routing-rolservice, die deel uitmaakt van de Remote Access-serverrol.
  • De NAT-service kan desgewenst naamomzetting en door DHCP toegewezen IPv4-adressen voor interne clients bieden.
  • Met de Windows Server 2016 NAT-service kunt u interne services die zich op het privénetwerk bevinden, publiceren naar clients op internet.
  • Met Windows Server 2016 kunt u zowel site-to-site VPN’s als VPN’s voor externe toegang implementeren.
  • Windows Server 2016 ondersteunt het maken van VPN’s op basis van de PPTP-, L2TP/IPsec-, SSTP- of IKEv2-protocollen.
  • VPN opnieuw verbinden vereist een op IKEv2 gebaseerde VPN.
  • Site-naar-site VPN’s in Windows Server 2016 kunnen worden geconfigureerd als interfaces voor bellen op verzoek met pakketfilters, beschikbare uren en persistentie-instellingen.
  • Een DirectAccess-server moet lid zijn van een domein, maar mag geen domeincontroller zijn. GPO’s worden gebruikt om DirectAccess-clientinstellingen te distribueren.
  • U kunt NPS implementeren als RADIUS-server of RADIUS-proxy, maar niet als RADIUS-client.
  • Wanneer u een beleid voor verbindingsaanvragen configureert op een NPS-computer en een externe RADIUS-server definieert, definieert u de lokale server als een RADIUS-proxy.
  • U kunt RADIUS-boekhoudgegevens loggen in een tekstbestand, een SQL Server-database of beide.
  • Met NPS-sjablonen kunt u sneller gedeelde geheimen, RADIUS-client, externe RADIUS-servers en IP-filters configureren voor gebruik in NPS-beleid.
  • Als aan de voorwaarden van een netwerkbeleid wordt voldaan, zelfs als het beleid een verbindingspoging weigert, verwerkt NPS geen verder beleid.
  • U kunt de configuratie van een NPS-computer exporteren en importeren met behulp van de Network Policy Server-console of Windows PowerShell.