10 Jan

SSTP unter Windows Server 2012

Routing and Remote Access Service

Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative für eine sichere Verbindung in die eigene Umgebung sein. Für größere Umgebungen mit Windows 7 / 8 Enterprise Lizenzen könnte DirectAccess allerdings interessanter sein.

In diesem „Small Business / Home“ Szenario hat der RAS-Server nur eine Netzwerkkarte und der Firewall des Routers leitet den Port 443 zum RAS-Server weiter. Auch sollte der RAS-Server nicht wie in dieser Anleitung auf den Screenshots zu sehen ist, auf einem Domain Controller installiert werden.

Voraussetzungen

SSL Zertifikat für den öffentlichen Namen des VPN-Servers (z.B. vpn.fabian-niesen.de). Die Zertifikatesperrliste muss aus dem Internet erreichbar sein, und der Client muss dem Zertifikat vertrauen. Zum Testen funktioniert auch ein kostenloses Zertifikat von StartSSL.com.

Installation und Konfiguration des RAS-Servers

Zuerst wird das SSL-Zertifikat mit dem privaten Schlüssel zu dem Computerkonto hinzugefügt. Ein Doppelklick auf die PFX-Datei startet den „Zertifikatimport-Assistent“


Um das Zertifikat später auch mal wieder vom Server zusichern / zu exportieren sollte der private Schlüssel als exportierbar markiert werden.


Der Zertifikatspeicher sollte automatisch gewählt werden. Dadurch werden, wenn die Übergeordneten Zertifikate enthalten sind, diese direkt in die richtigen Zertifikatspeicher installiert. Nach der Fertigstellung geht es mit der Installation des RAS-Servers weiter.

Dazu muss die Rolle „Remotezugriff“ mit den notwendigen Abhängigkeiten installiert werden. Bei den Rollendiensten braucht nur „DirectAccess und VPN (RAS)“ selektiert zu sein.


Nachdem die Rolle nun installiert ist und der Server neugestartet wurde, geht es jetzt an die Konfiguration.


Dazu wird die „Remotezugriffsverwaltung“ benötigt. Der „Assistent für erste Schritte“ hilft dann bei der Konfiguration:


Nach der Auswahl von „Nur VPN bereitstellen“ startet die „Routing und RAS“ Konsole. Um den RAS-Server zu konfigurieren den Servernamen auswählen und das Kontextmenu öffnen.


Der Setup-Assistent ist dem vom Windows-Server 2008R2 sehr ähnlich. Als Konfiguratonsoption wird „Benutzerdefinierte Konfiguration“ ausgewählt, da „RAS (DFÜ oder VPN)“ zwei Netzwerkkarten voraussetzt.


Als nächstes wird die Option „VPN-Zugriff“ ausgewählt.


Als nächstes wird ohne weitere Konfigurationsmöglichkeit der Konfigurationsassistent Fertiggestellt. Und das starten des RAS-Dienstes muss bestätigt werden.


Nun kann das VPN in der „Routing und RAS“ Konsole konfiguriert werden. Als erstes sollten die VPN Ports konfiguriert werden.


Nacheinander können hier die Arten des VPN’s konfiguriert werden, inklusive der Anzahl der Ports. Hier sollte man nach dem Prinzip weniger ist mehr, abwägen was und wie viele gebraucht werden.


Da ich nur SSTP nutzen möchte, deaktiviere ich alle anderen RAS-Geräte:


Zum Abschluss sieht die Konfiguration dann so aus


Jetzt ist der Server grundsätzlich einsatzbereit, jetzt müssen die entsprechenden Benutzer noch berechtigt werden.

Dies kann in einer größeren Umgebung über NPS-Richtlinien gemacht werden oder in dem der Benutzer über „Active Directory Benutzer und Computer“ das Recht zur Einwahl gestattet wird.


Wenn alles richtig gemacht wurde können sich nun die Benutzer Einwählen. Allerdings von jedem Gerät das SSTP Unterstützt. Wer das noch etwas einschränken möchte, sollte sich mit dem Thema NPS-Netzwerkrichtlinien (Network Policy Server) näher beschäftigen.

SSTP unter Windows Server 2012
3.67 (73.33%) 3 Bewertungen

www.fabian-niesen.de/betriebssysteme/windows/ws2012/sstp-unter-windows-server-2012.html" data-title="SSTP unter Windows Server 2012" data-theme="round" data-twitter-via="Fabian_Niesen" data-flattruser="fabian_niesen" data-rssfeed="https://www.fabian-niesen.de/feed/rss" data-timestamp="1357842290" data-services='["xing", "linkedin", "twitter", "googleplus", "flattr", "info"] '>
Fabian Niesen (140 Posts)

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und arbeitet bei der Steep GmbH in Bonn. Unter anderem ist er Zertifiziert als MCITP: Enterprise Messaging Administrator, MCITP: Enterprise Administrator, MCSA Windows Server 2008 / 2012, MCSA Office 365, MCT und Novell Certified Linux Administrator. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte und Historische Lieder.


Durch das Fortsetzen der Benutzung dieser Seite, stimmst du der Benutzung von Cookies zu. Datenschutzerklärung

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close

";