(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Konfigurieren eines Punkt-zu-Standort-VPNs mit dem Assistenten im Verwaltungsportal

Letzte Aktualisierung: Februar 2014

ImportantWichtig
Punkt-zu-Standort-VPNs sind derzeit in der Vorschau (CTP) verfügbar.

Die Konfiguration eines Punkt-zu-Standort-VPNs umfasst drei Hauptaufgaben. In den einzelnen Abschnitten dieses Themas werden die erforderlichen Schritte erläutert. Die Reihenfolge der Schritte muss eingehalten werden. Führen Sie die Schritte deshalb der Reihe nach aus, und lassen Sie keinen Schritt aus.

  1. Virtuelle Netzwerke und das Gateway des virtuellen Netzwerks: Bevor Sie die Punkt-zu-Standort-Verbindung konfigurieren, müssen Sie zunächst das virtuelle Netzwerk selbst und das Gateway des virtuellen Netzwerks konfigurieren. Sie können das virtuelle Netzwerk und das Gateway des virtuellen Netzwerks im Verwaltungsportal oder auch mithilfe von PowerShell erstellen. Wenn Sie bereits ein virtuelles Netzwerk erstellt haben, können Sie die zugehörige Seite Konfigurieren aufrufen und Punkt-zu-Standort auswählen. Sollten Sie noch kein dynamisches Gateway für das virtuelle Netzwerk erstellt haben, müssen Sie erst ein Gateway einrichten, bevor Sie den Vorgang fortsetzen können. Wenn das virtuelle Netzwerk derzeit für Standort-zu-Standort-Verbindungen konfiguriert ist, müssen Sie sicherstellen, dass das Netzwerk ein dynamisches Gateway verwendet. Falls nicht, müssen Sie das Gateway erneut als dynamisches Gateway konfigurieren. Weitere Informationen finden Sie unter Konfigurieren eines Gateways für ein virtuelles Netzwerk im Verwaltungsportal und Ändern des Routingtyps von Gateways eines virtuellen Netzwerks.

  2. Zertifikate: Als Nächstes müssen Sie die Zertifikate generieren und exportieren. Sie erstellen ein selbstsigniertes Stammzertifikat mit den zugehörigen Clientzertifikaten. Anschließend laden Sie die Stammzertifikatdatei mit der Erweiterung .cer (die Zertifikatdatei ohne den privaten Schlüssel) in das Verwaltungsportal hoch. Sie generieren die Clientzertifikate auf der Grundlage des Stammzertifikats, in dem der private Schlüssel enthalten ist. Anschließend installieren Sie ein Clientzertifikat für jeden Clientcomputer, den Sie mit dem VPN verbinden möchten. Derzeit werden nur selbstsignierte Stammzertifikate für Punkt-zu-Standort-Verbindungen unterstützt.

  3. VPN-Clientkonfiguration: Nachdem die Zertifikate hochgeladen und installiert wurden, können Sie das Client-VPN-Konfigurationspaket erstellen, herunterladen und installieren. Das VPN-Paket enthält die Einstellungen, die die Clientcomputer für die Verbindung mit dem VPN verwenden. Es ist die Kombination aus VPN-Einstellungen und Clientzertifikat, die es einem Clientcomputer ermöglicht, eine Verbindung mit dem virtuellen Netzwerk herzustellen.

Zum Erstellen eines Punkt-zu-Standort-VPNs müssen Sie zunächst ein virtuelles Netzwerk und ein Gateway mit dynamischem Routing erstellen. Diese Prozeduren helfen Ihnen, die erforderliche Konfiguration des virtuellen Netzwerks im Verwaltungsportal zu erstellen. Nachdem Sie diese Schritte abgeschlossen haben, erstellen und verteilen Sie Zertifikate an die einzelnen Clientcomputer und konfigurieren die Clientcomputer anhand der richtigen VPN-Einstellungen. Weitere Informationen und Erläuterungen zu den einzelnen Einstellungen, die für virtuelle Netzwerke im Verwaltungsportal-Assistenten verfügbar ist, finden Sie unter Informationen zum Konfigurieren eines virtuellen Netzwerks im Verwaltungsportal. Während dieser Prozedur erstellen Sie auch ein Gateway mit dynamischem Routing. Für Punkt-zu-Standort-VPNs wird ein Gateway mit dynamischem Routing benötigt. Weitere Informationen zu dynamischem Routing und VPNs finden Sie unter Informationen zu VPN-Geräten für virtuelle Netzwerke. Falls Sie diese Prozeduren bereits abgeschlossen haben, können Sie zu Zertifikate übergehen, um die nächsten Schritte auszuführen.

  1. Melden Sie sich beim Windows Azure-Verwaltungsportal an.

  2. Klicken Sie in der unteren linken Ecke des Bildschirms auf Neu. Klicken Sie im Navigationsbereich auf Netzwerke und dann auf Virtuelles Netzwerk. Klicken Sie auf Benutzerdefiniert erstellen, um den Konfigurations-Assistenten zu starten.

  3. Geben Sie auf der Seite Details zum virtuellen Netzwerk die folgenden Informationen ein, und klicken Sie dann auf den Pfeil Weiter in der unteren rechten Ecke. Weitere Informationen über die Einstellungen auf der Detailseite finden Sie unter Seite "Details zum virtuellen Netzwerk".

    • Name

    • Region

    • Affinitätsgruppe

    • Affinitätsgruppenname

  4. Geben Sie auf der Seite DNS-Server und VPN-Konnektivität die folgenden Informationen ein, und klicken Sie dann auf den Pfeil Weiter in der unteren rechten Ecke. Weitere Informationen zu den Einstellungen auf dieser Seite finden Sie unter Seite "DNS-Server und VPN-Konnektivität".

    • DNS-Server

    • Punkt-zu-Standort-VPN konfigurieren (Kontrollkästchen aktivieren)

  5. Geben Sie auf der Seite Punkt-zu-Standort-Konnektivität die folgenden Informationen ein, und klicken Sie auf den Pfeil Weiter. Weitere Informationen zu den Einstellungen auf dieser Seite finden Sie unter Seite "Punkt-zu-Standort-Konnektivität".

    • Adressraum einschließlich Start-IP und CIDR (Anzahl Adressen)

    • Adressraum hinzufügen, falls für den Netzwerkentwurf erforderlich.

  6. Geben Sie auf der Seite Virtuelle Netzwerkadressräume die folgenden Informationen ein, und klicken dann auf das Häkchen in der unteren rechten Ecke, um das Netzwerk zu konfigurieren. Weitere Informationen zu den Einstellungen auf dieser Seite finden Sie unter Seite "Virtuelle Netzwerkadressräume".

    • Adressraum einschließlich Start-IP und Anzahl.

    • Subnetz hinzufügen einschließlich Start-IP und Anzahl. Muss nur ausgewählt werden, falls für den Netzwerkentwurf erforderlich.

    • Gatewaysubnetz hinzufügen einschließlich Start-IP und Anzahl. Für diese Konfiguration erforderlich.

Nachdem Sie auf das Häkchen geklickt haben, beginnt die Erstellung des virtuellen Netzwerks. Sobald das virtuelle Netzwerk erstellt ist, wird im Verwaltungsportal auf der Seite Netzwerke unter Status der Eintrag Erstellt angezeigt. Nachdem das virtuelle Netzwerk erstellt wurde, können Sie mit den nächsten Schritten fortfahren.

  1. Klicken Sie im Verwaltungsportal auf der Seite Netzwerke auf das gerade erstellte virtuelle Netzwerk, und navigieren Sie zur Seite Dashboard.

  2. Klicken Sie unten auf der Seite Dashboard auf Gateway erstellen, und klicken Sie auf Dynamisches Routing. Eine Meldung mit der Frage Möchten Sie ein Gateway für das virtuelle Netzwerk "yournetwork" erstellen? wird angezeigt. Klicken Sie auf Ja, um mit der Erstellung des Gateways zu beginnen. Die Erstellung des Gateways kann bis zu 15 Minuten dauern.

Zur Authentifizierung von VPN-Clients für "Punkt-zu-Standort"-VPNs werden Zertifikate verwendet. Sie müssen ein selbstsigniertes Stammzertifikat zusammen mit den Clientzertifikaten generieren, die mit dem selbstsignierten Stammzertifikat verkettet sind. Anschließend können Sie die Clientzertifikate auf jedem Clientcomputer installieren, der eine Verbindung benötigt.

Eine Möglichkeit, ein X.509-Zertifikat zu erstellen, besteht in der Verwendung des Tools zur Erstellung von Zertifikaten (makecert.exe). Um makecert zu verwenden, können Sie das kostenfreie Programm Microsoft Visual Studio Express 2013 für Windows Desktop herunterladen und installieren. Weitere Informationen zur Verwendung von makecert finden Sie unter MakeCert. Weitere allgemeine Informationen zu Verwaltungszertifikaten finden Sie unter Erstellen und Hochladen eines Verwaltungszertifikats für Windows Azure.

ImportantWichtig
Derzeit werden nur selbstsignierte Stammzertifikate unterstützt.

  1. Navigieren Sie zum Ordner Visual Studio-Tools, und starten Sie die Eingabeaufforderung als Administrator.

  2. Wechseln Sie zu dem Verzeichnis, in dem die CER-Datei vom Tool makecert erstellt werden soll. Wenn Sie einen Ordner auswählen, auf den Sie über das Tool nicht zugreifen können, erhalten Sie bei der Zertifikaterstellung eine Meldung, dass der Zugriff verweigert wurde.

  3. Geben Sie den unten angegebenen Befehl ein, wobei <RootCertificateName> für den Namen steht, den Sie für das Zertifikat verwenden möchten. Sie können natürlich auch einen anderen Namen verwenden. Er muss die Erweiterung .cer aufweisen. Durch diesen Befehl wird im persönlichen Zertifikatspeicher des Computers ein Zertifikat erstellt und installiert. Außerdem wird durch den Befehl eine CER-Datei erstellt, die diesem Zertifikat entspricht (das ist die Datei, die keinen privaten Schlüssel enthält). Die CER-Datei ist die Datei, die Sie später in das Verwaltungsportal hochladen. Da Sie ein Stammzertifikat erstellt haben, können Sie es zusammen mit dem privaten Schüssel auch exportieren und an einem sicheren Ort speichern, von dem aus es wiederhergestellt werden kann. Das Stammzertifikat ist das Zertifikat, auf dessen Grundlage Sie die Clientzertifikate erstellen, die von den Punkt-zu-Standort-Clients zur Verbindung mit dem virtuellen Netzwerk verwendet werden. Wenn Sie das folgende Beispiel ausführen, erhalten Sie ein Stammzertifikat mit dem Namen "RootCertificateName".

    makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"
    
  4. Später laden Sie dieses Stammzertifikat in das Windows Azure-Verwaltungsportal hoch.

  1. Stellen Sie sicher, dass Sie die vorherigen Schritte zum Erstellen eines selbstsigniertes Stammzertifikats abgeschlossen haben. Das Stammzertifikat mit der Erweiterung .pfx muss auf dem Computer installiert werden, von dem aus Sie das Clientzertifikat erstellen.

  2. Öffnen Sie ein Visual Studio-Eingabeaufforderungsfenster als Administrator.

  3. Wechseln Sie in das Verzeichnis, in dem die Zertifikatdatei gespeichert werden soll. <RootCertificateName> bezieht sich auf das selbstsignierte Stammzertifikat, das Sie im vorherigen Schritt erstellt haben. Wenn Sie das folgende Beispiel ausführen, wird ein Clientzertifikat mit dem Namen "ClientCertificateName" in den persönlichen Zertifikatspeicher ausgegeben.

  4. Geben Sie folgenden Befehl ein:

    makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
    
  5. Alle Zertifikate werden im persönlichen Zertifikatspeicher auf dem Computer gespeichert. Überprüfen Sie dies in certmgr. Mithilfe dieser Prozedur können Sie so viele Clientzertifikate wie nötig generieren. Es wird empfohlen, eindeutige Clientzertifikate für jeden Computer zu erstellen, den Sie mit dem virtuellen Netzwerk verbinden möchten.

  1. Zeitgleich mit dem Stammzertifikat wird eine CER-Datei erstellt, die Sie einfach in das Verwaltungsportal hochladen können. Wenn Sie jedoch über keine solche Datei verfügen, können Sie eine CER-Datei aus dem selbstsignierten Stammzertifikat exportieren. Die CER-Datei enthält keinen privaten Schlüssel. Verwenden Sie in diesem Schritt certmgr.msc. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie exportieren möchten, klicken Sie auf Alle Tasks und dann auf Exportieren.

  2. Exportieren Sie das Stammzertifikat als öffentliches Zertifikat. Der private Schlüssel wird nicht exportiert. Speichern Sie das Stammzertifikat mit der Erweiterung .cer.

  1. Auf jedem Computer, den Sie mit dem virtuellen Netzwerk verbinden möchten, muss ein Clientzertifikat installiert sein. Das heißt, Sie müssen wahrscheinlich mehrere Clientzertifikate erstellen und anschließend exportieren. Zum Exportieren der Clientzertifikate verwenden Sie certmgr.msc. Klicken Sie mit der rechten Maustaste auf das Clientzertifikat, das Sie exportieren möchten, klicken Sie auf Alle Tasks und dann auf Exportieren.

  2. Exportieren Sie das Clientzertifikat mit dem privaten Schlüssel. Dieser Schüssel entspricht einer Datei mit der Erweiterung .pfx. Notieren Sie das Kennwort (den Schüssel), das bzw. den Sie für dieses Zertifikat festgelegt haben.

  1. Laden Sie das Stammzertifikat hoch, das Sie in das Verwaltungsportal exportiert haben. Überprüfen Sie, ob das Zertifikat das Format .cer aufweist und ob Sie das Stammzertifikat und kein verkettetes Clientzertifikat hochgeladen haben. Das Verwaltungsportal verhindert den versehentlichen Import eines Zertifikats, das den privaten Schlüssel enthält. Jeder Versuch verursacht einen Fehler. Sie können bis zu 20 Zertifikate hochladen, um mehrere Zertifikatketten zu unterstützen.

    Klicken Sie im Verwaltungsportal auf der Seite Zertifikate für Ihr virtuelles Netzwerk auf Ein Stammzertifikat hochladen.

  2. Suchen Sie auf der Seite Zertifikat hochladen das VPN-Stammzertifikat mit der Erweiterung .cer, und klicken Sie dann auf das Häkchen.

    noteHinweis
    Das hochgeladene Zertifikat entspricht dem .cer-Stammzertifikat und nicht dem VPN-Clientzertifikat.

  1. Auf jedem Computer, den Sie mit dem virtuellen Netzwerk verbinden möchten, muss ein Clientzertifikat installiert sein. Doppelklicken Sie auf dem Clientcomputer auf die Datei mit der Erweiterung .pfx, um sie zu installieren. Geben Sie das Kennwort ein, sobald Sie dazu aufgefordert werden. Behalten Sie den Installationspfad unverändert bei.

  2. Nachdem das Clientzertifikat installiert wurde, können Sie die VPN-Clientkonfiguration starten.

Um eine Verbindung mit dem virtuellen Netzwerk herzustellen, müssen Sie außerdem Ihren VPN-Client konfigurieren. Zum Herstellen einer Verbindung benötigt der Client sowohl ein Clientzertifikat als auch die erforderliche VPN-Clientkonfiguration. Überprüfen Sie vor der Erstellung des VPN-Clientkonfigurationspakets die folgenden Voraussetzungen:

  • Stellen Sie sicher, dass das Gateway des virtuellen Netzwerks erfolgreich erstellt wurde. Sie können dies auf der Seite Dashboard des virtuellen Netzwerks überprüfen.

  • Stellen Sie sicher, dass Sie die Stammzertifikatdatei mit der Erweiterung .cer erfolgreich hochgeladen haben. Dies lässt sich ebenfalls auf der Seite Dashboard überprüfen.

  • Stellen Sie sicher, dass Sie die Clientzertifikate mit Schlüssel exportiert und auf den Computern installiert haben, die Sie mit dem virtuellen Netzwerk verbinden möchten.

  1. Navigieren Sie im Verwaltungsportal auf der Seite Dashboard des virtuellen Netzwerks zum Menü Kurzer Blick in der rechten Ecke, und klicken Sie auf das VPN-Paket des Clients, den Sie mit dem virtuellen Netzwerk verbinden möchten.

    Die folgenden Clientbetriebssysteme werden unterstützt:

    • Windows 7 (32-Bit und 64-Bit)

    • Windows Server 2008 R2 (nur 64 Bit).

    • Windows 8 (32-Bit und 64-Bit)

    • Windows Server 2012 (nur 64-Bit)

    Wählen Sie das Downloadpaket aus, das dem Clientbetriebssystem entspricht, unter dem es installiert wird:

    • Wählen Sie für 32-Bit-Clients die Option x86-Client-VPN-Paket herunterladen aus.

    • Wählen Sie für 64-Bit-Clients die Option AMD64-Client-VPN-Paket herunterladen aus.

  2. Es dauert einige Minuten, bis das Clientpaket erstellt ist. Nachdem die Paketerstellung abgeschlossen ist, können Sie die Datei herunterladen. Die heruntergeladene Datei mit der Erweiterung .exe kann sicher auf dem lokalen Computer gespeichert werden.

  3. Nachdem Sie das VPN-Clientpaket generiert und aus dem Verwaltungsportal heruntergeladen haben, können Sie das Clientpaket auf dem Computer installieren, den Sie mit dem virtuellen Netzwerk verbinden möchten. Stellen Sie sicher, dass das Clientzertifikat mit dem Schlüssel zum lokalen Clientcomputer installiert wurde, bevor Sie fortfahren. Das VPN-Clientpaket enthält Konfigurationsinformationen zum Konfigurieren der in Windows integrierten VPN-Clientsoftware. Vom Paket wird keine zusätzliche Software installiert.

  1. Kopieren Sie die Konfigurationsdatei lokal auf den Computer, den Sie mit dem virtuellen Netzwerk verbinden möchten, und doppelklicken Sie auf die Datei mit der Erweiterung *.exe.

    noteHinweis
    Das VPN-Clientkonfigurationspaket wird nicht von Microsoft signiert. Sie können das Paket mithilfe eines unternehmenseigenen Signierungsdiensts oder mit dem SignTool signieren. Das Paket kann jedoch auch ohne Signierung verwendet werden. Wird das Paket nicht signiert, wird bei der Installation des Pakets jedoch eine Warnung angezeigt.

  2. Sobald die Konfiguration abgeschlossen ist, können Sie die VPN-Verbindung starten.

  1. Überprüfen Sie auf dem Clientcomputer folgende Voraussetzungen:

    • Stellen Sie sicher, dass sich das Stammzertifikat im vertrauenswürdigen Stamm My store befindet. Beispiel: Trusted Root Certification/Certificates.

    • Stellen Sie sicher, dass der private Schlüssel des Clientzertifikats im Zertifikat My store installiert ist. Beispiel: Console Root/Current User/ Personal/Certificates.

  2. Navigieren Sie auf dem Clientcomputer zu den VPN-Verbindungen, suchen Sie die VPN-Verbindung für das virtuelle Netzwerk, und klicken Sie auf Verbinden.

  3. Eine Popup-Nachricht wird angezeigt, über die Sie ein selbstsigniertes Zertifikats für den Gatewayendpunkt erstellen. Klicken Sie auf Weiter, um erweiterte Berechtigungen zu verwenden.

  4. Klicken Sie auf der Statusseite Verbindung auf Verbinden, um die Verbindung zu starten.

  5. Stellen Sie im Bildschirm Zertifikat auswählen sicher, dass das angezeigte Clientzertifikat dem Zertifikat entspricht, über das Sie die Verbindung herstellen möchten. Wählen Sie andernfalls mithilfe des Dropdownpfeils das richtige Zertifikat aus, und klicken Sie auf OK.

  6. Sie sind jetzt mit dem virtuellen Netzwerk verbunden und haben vollen Zugriff auf jeden Dienst und jeden virtuellen Computer, der vom virtuellen Netzwerk gehostet wird.

  1. Um sicherzustellen, ob die VPN-Verbindung aktiv ist, öffnen Sie eine Eingabeaufforderung mit erweiterten Berechtigungen und führen ipconfig/all aus.

  2. Überprüfen Sie die Ergebnisse. Diese sollten etwa wie folgt aussehen:

    PPP adapter mahenntestnetwork2:
    
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : mahenntestnetwork2
       Physical Address. . . . . . . . . :
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 192.168.130.2(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
       NetBIOS over Tcpip. . . . . . . . : Enabled
    
    

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.