Always On VPN ist eine VPN-Lösung von Microsoft, mit der sich permanente, sichere Verbindungen in ein Unternehmensnetzwerk herstellen lassen, ohne dass der Anwender aktiv eine Verbindung aufbauen muss. Die Lösung ersetzt die Vorgänger-Remote-Verbindungslösung DirectAccess und bietet gegenüber dieser einige Vorteile. Auf Windows-Endgeräten ist Always On VPN in Windows 10 und 11 verfügbar.
Per Always On VPN bauen Windows-Clients automatisch geschützte, permanente VPN-Verbindungen in ein Unternehmensnetzwerk auf und greifen sicher auf Anwendungen, Daten und andere Ressourcen zu.
(Bild: ChatGPT / KI-generiert)
Always On VPN ist der Name einer VPN-Lösung von Microsoft. Sie ist für den Einsatz in Unternehmensumgebungen mit Windows-Rechnern vorgesehen und ermöglicht dauerhafte, sichere Remote-Verbindungen in das Unternehmensnetzwerk, ohne dass der Anwender aktiv eine VPN-Verbindung aufbauen muss. Die Verbindungen werden mit Always On VPN automatisch hergestellt.
Always On VPN ist als Ersatz und moderner Nachfolger der Remote-Verbindungslösung DirectAccess von Microsoft gedacht und bietet gegenüber der Vorgängerlösung einige Verbesserungen und einen erweiterten Funktionsumfang. Die VPN-Lösung Always On VPN wurde mit Windows Server 2016 und Windows 10 eingeführt. Sie wird auf Client-Endgeräten mit den Betriebssystemen Windows 10 und Windows 11 in der Pro-, Enterprise- und Education-Version unterstützt und erfordert keine zusätzlichen Lizenzkosten.
Mithilfe von Always On VPN lässt sich das Risiko von Datenlecks und Sicherheitsbedrohungen bei der Arbeit über potenziell unsichere Netzwerke wie das Internet minimieren.
Always On VPN als Nachfolger von DirectAccess
Die proprietäre Vorgänger-Enterprise-VPN-Lösung DirectAccess wurde von Microsoft mit Windows Server 2008 R2 und Windows 7 eingeführt. 2024 kennzeichnete Microsoft DirectAccess offiziell als veraltete, nicht mehr weiterentwickelte Funktion und kündigte die Lösung damit quasi ab, da ihre Unterstützung in zukünftigen Betriebssystemversionen nicht mehr gesichert ist. Ihr Einsatz wird von Microsoft nicht mehr empfohlen. Unternehmen wird stattdessen geraten, auf die modernere und flexiblere Lösung Always On VPN umzusteigen.
Gegenüber DirectAccess bietet Always On VPN einige Vorteile. So unterstützt Always On VPN beispielsweise modernere Authentifizierungsmethoden, lässt sich nativ mit IPv4 und IPv6 einsetzen, ermöglicht eine größere Auswahl an VPN-Protokollen und ist granularer steuerbar. Zudem integriert sich die VPN-Lösung in Entra ID und eignet sich sehr gut für den Einsatz in Azure-Umgebungen oder in hybriden Szenarien.
Prinzipielle Funktionsweise und Merkmale von Always On VPN
Bei den meisten klassischen VPN-Lösungen ist es erforderlich, dass der Nutzer die VPN-Verbindung aktiv aufbaut. Das ist bei Always On VPN nicht notwendig. Always On VPN baut, sobald das Endgerät einen geeigneten Netzwerkzugang erkannt hat, die VPN-Verbindung automatisch und für den Nutzer unbemerkt im Hintergrund auf und bietet sogar so genannte Pre-Login-Konnektivität.
Zur technischen Umsetzung der Pre-Login-Konnektivität verwendet Always On VPN zwei verschiedene Tunnelarten: einen Gerätetunnel (Device Tunnel) und einen Benutzertunnel (User Tunnel). Für die VPN-Tunnel selbst werden moderne und sichere VPN-Protokolle wie IKEv2 oder das proprietäre, von Microsoft entwickelte Secure Socket Tunneling Protocol (SSTP) unterstützt. Dank der Unterstützung des IKEv2-VPN-Protokolls, eines der am häufigsten verwendeten Tunnelprotokolle, ist eine grundsätzliche Interoperabilität mit VPN-Gateways vieler anderer Hersteller gegeben.
Der Gerätetunnel für die Pre-Login-Konnektivität wird schon vor der Benutzeranmeldung aufgebaut und ermöglicht den Empfang von Gruppenrichtlinien, Zertifikatsdiensten oder anderen internen Server-Diensten. Der VPN-Client erkennt anhand seiner Konfiguration beim Systemstart, dass ein Gerätetunnel aufgebaut werden soll, und stellt automatisch die Verbindung zu einem vorgegebenen VPN-Gateway her. Über den Gerätetunnel können so schon vor dem Benutzer-Login, Gruppenrichtlinien aktualisiert, Skripte ausgeführt oder Updates installiert werden. Der Aufbau des Benutzertunnels erfolgt erst nach der Anmeldung des Users. Über diesen Tunnel greift der Benutzer auf rollenbasierte beziehungsweise auf persönliche Ressourcen zu. Die VPN-Verbindungen bleiben auch beim Standortwechsel oder beim Wechsel zwischen WLAN und Mobilfunk bestehen. Bei einer Trennung werden sie automatisch wiederhergestellt.
Dank dieses Konzepts eignet sich Always On VPN für verschiedene Szenarien. Es werden nicht nur Geräte unterstützt, die in eine Domäne eingebunden sind, sondern es kann auch Nicht-Domänen-Geräten in Arbeitsgruppen oder über Microsoft Entra ID verbundenen Geräten, zum Beispiel modernen BYOD-Arbeitsplätzen, sicherer Zugriff auf Unternehmensressourcen gewährt werden. In eine Domäne eingebundene Geräte erfordern in der Regel einen Gerätetunnel. Benutzertunnel werden von allen Geräten unabhängig von der Einbindung in eine Domäne verwendet.
Die Erreichbarkeit der Netzwerkressourcen ist feingranular steuerbar. Always On VPN lässt sich so konfigurieren, dass nur bestimmter Verkehr durch den Tunnel läuft und anderer Verkehr direkt ins Internet geht (Split Tunneling). Aber auch die über den Tunnel erreichbaren internen Netzwerkressourcen lassen sich genau einstellen und beschränken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was sind typische Einsatzszenarien für Always On VPN
Always On VPN ist für den Einsatz in Microsoft-Unternehmensumgebungen vorgesehen. Unternehmen nutzen die VPN-Lösung, um sicherzustellen, dass aus der Ferne arbeitende, über das Internet verbundene Mitarbeiter über eine geschützte und verschlüsselte VPN-Verbindung Zugriff auf die benötigten internen Unternehmensressourcen wie Anwendungen, Services oder Daten erhalten. Darüber hinaus lassen sich auch von anderen mobilen Endgeräten ohne Windows, wie Android- oder iOS-Smartphones, sichere VPN-Tunnel aufbauen. Hierfür ist es notwendig, auf native Always-on-Features der jeweiligen Betriebssysteme zurückzugreifen und serverseitig das IKEv2-Protokoll zu nutzen.
Typische Einsatzszenarien für Always On VPN sind:
sicheres mobiles Arbeiten von unterwegs (zum Beispiel für die Anbindung von Firmenlaptops oder anderen mobilen Geräten der Außendienstmitarbeiter)
sicheres Arbeiten vom Homeoffice aus
Remote-Management von Geräten außerhalb des Firmennetzwerks (zum Beispiel für Software-Updates, die Aktualisierung und Durchsetzung von Richtlinien oder für die Durchführung von Sicherheitsprüfungen)
sicherer Zugriff auf nicht cloudfähige On-Premises-Anwendungen über das Internet
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6e/60/6e60c67a98b2c4772646e49f82d002b9/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/53/c2/53c2353aedef707eb07273ed87867819/0129016997v1.jpeg "Mit WeSendit Dateien bequem über den Webbrowser teilen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/e4/e7e45f7c0f87d6a16468a90f53301f2a/0130120004v1.jpeg "Credentialed Scans mit Nessus und OpenVAS prüfen Kerberos-Kryptografie, LDAP-Transport und SMB-Härtung auf Active Directory Domänencontrollern systematisch. (Bild: © Stefan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/69/b7696e318a6885a874e524c1c6bfc5b4/0130412587v1.jpeg "Zusammenarbeit an Technologien für die Weiterentwicklung von 5G und der Einführung von 6G-Netzen. (Bild: FZ Jülich / Kurt Steinhausen)")
:quality(80)/p7i.vogel.de/wcms/2f/04/2f048f15110fc247181aa394f7a7833b/0130052204v1.jpeg "Das Forschungsprojekt soll die Automatisierung von Industrierobotern vorantreiben. (Bild: Rolando Ramirez/Ericsson)")
:quality(80)/p7i.vogel.de/wcms/cd/46/cd46c374566ee4f71e0783b16be223ca/0129923840v1.jpeg "Das Angebot dient als vorkonfigurierte beziehungsweise verifizierte Architektur für Hersteller, die private 5G-Netze in der Produktion absichern wollen. (Bild: © Arcurs Co-op/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/fc/abfc546d976d1b4c2e9f70fe03de4e30/0129932836v1.jpeg "Mobile Router wie die BR-Pro-Serie sind für vernetzte Standorte gedacht, etwa in Industrieanlagen, Fahrzeugen oder abgelegenen Infrastrukturen. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/0c/390c96d2166dbf0f562b1fb1b1c2ffaf/0130657743v2.jpeg "Security Baselines für Windows Server 2025 umfassen unter anderem Authentifizierung, SMB-Härtung, Virtual Based Security und Defender. Umsetzung erfolgt über Gruppenrichtlinien und Security Compliance Toolkit. (Bild: © artchvit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/ec/7bec669420d0e77dff0b496317d586be/0130157684v1.jpeg "Just the Browser entfernt KI-Funktionen, die Übermittlung von Telemetriedaten, gesponserte Inhalte, Produktintegrationen und andere Störfaktoren aus Desktop-Webbrowsern. (Bild: © ruslan_khismatov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/ef/52efdf8d33223871c9124dd5c75a52c5/0131079827v1.jpeg "In der Nacht vom 5. auf den 6. Mai waren zahlreiche „de.“-Domains nicht erreichbar. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6f/676f5fab2234b2f238e5fd26ab67d37b/0130503546v2.jpeg "Delegated Managed Service Accounts (dMSA) in Windows Server 2025 ersetzen statische Kennwörter durch gerätegebundene Kerberos-Anmeldungen und ermöglichen automatisierte Schlüsselrotation ohne Betriebsunterbrechung. (Bild: © monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/1f/6b1f4fb4279aea20451635558ce2d366/0130666943v1.jpeg "Bei der Migration fungiert das Windows Admin Center als Gateway zwischen VMware vCenter mit ESXi-Hosts und den Zielsystemen mit Windows Server und Hyper-V. (Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/d2/44/d24407cea22d64a914ef0dd4d68c0824/0131063292v1.jpeg "Durchschnittlich 1,3 Arbeitstage verlieren Beschäftigte jeden Monat durch digitale Reibung. TeamViewer hilft, solche Probleme deutlich zu reduzieren. (Bild: TeamViewer)")
:quality(80)/p7i.vogel.de/wcms/c3/78/c37843547badfee380c45242de141094/0130823375v1.jpeg "René Princz-Schelter von Alcatel-Lucent Enterprise stellt fest, dass KI das Netzwerkmanagement grundlegend verändert. Die zentrale Frage dabei lautet seiner Meinung nach jedoch, wie Unternehmen das Zusammenspiel von Mensch und Maschine so gestalten können, dass Effizienzgewinne realisiert werden, ohne Sicherheit und Kontrolle aus der Hand zu geben. (Bild: Alcatel-Lucent Enterprise (ALE))")
:quality(80)/p7i.vogel.de/wcms/60/f6/60f6e11e34177b8fab6be4eb4df474d2/0130844912v1.jpeg "Wer IT und OT getrennt überwacht, übersieht genau die Schnittstellen, an denen die kritischsten Probleme entstehen. (Bild: ©Maria-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/bd/34bd2a1b51f8ccfee3a78eeb617cc514/0130883643v1.jpeg "15 Jahre Li-Fi-Forschung des Fraunhofer IPMS sind die Grundlage für „Grathus“. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/14/ec/14ec72565acc671ae679eab6f329bfea/0130539648v1.jpeg "Der WBE665S ist für Umgebungen ausgelegt, in denen Staub, Feuchtigkeit oder extreme Temperaturen klassische Access Points an ihre Grenzen bringen. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/8e/7c/8e7c887a559be18c668f23bdde959dfb/0130547457v1.jpeg "Was im Stadion Standard ist, halte auch auf dem Trainingsplatz Einzug: Livebilder ließen sich direkt erfassen, übertragen und unmittelbar auswerten. (Bild: Spiideo)")
:quality(80)/p7i.vogel.de/wcms/67/5a/675a8a64e0c6779acbcc753ea160aeee/0130627781v2.jpeg "Mit der korrekten Konfiguration des Microsoft-365-Tenants steht und fällt der Unternehmensbetrieb. Menschliche Fehler, Insider-Bedrohungen und Tenant-Übernahmen gehören zu den größten Risiken. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/fb/63fbe9c591a2d6a50fb043f1a9a47407/0130727789v1.jpeg "Equinix ergänzt sein Fabric-Portfolio um eine KI-native Steuerungsebene für autonomes Netzwerkmanagement. (Bild: Equinix)")
:quality(80)/p7i.vogel.de/wcms/66/88/6688c3d7ff741a2b8d06e40faa102a25/0130822708v1.jpeg "Krisenfeste Kommunikation erfordert gezielte Investitionen in Routendiversität, redundante Systeme, robuste Stromvorsorge und intelligentes Traffic-Management, sagt Gregor Chroner von GTT. (Bild: GTT)")
:quality(80)/p7i.vogel.de/wcms/90/f9/90f927f0d4071d071db56a2e5b53859e/0130767234v1.jpeg "Das Bechtle Secure Access Gateway A-251 verbindet Techniker per Zero-Trust-Verbindung mit Legacy-IT, SCADA-Systemen, PLCs und HMIs, ohne dass auf den Zielsystemen Software installiert werden müsse. (Bild: Bechtle)")
:quality(80)/p7i.vogel.de/wcms/c9/bf/c9bf50503a792065694992cb480e144b/0130594225v1.jpeg "Mit dem neuen IPsec-VPN-Client wollen Stormshield und ERCOM den sicheren Fernzugriff für sicherheitskritische Umgebungen absichern. (Bild: © Vladimir)")
:quality(80)/p7i.vogel.de/wcms/c6/52/c65259cf5242ad4adc70b884a7b18dc2/0130724298v1.jpeg "Die Ferrari electronic AG bringt mit der OfficeMaster Suite 9 neue Funktionen für sicheren Dokumentenaustausch und digitale Souveränität. (Bild: Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/83/18/83186bb0e17801d60b5227a29ca60e90/0130161986v1.jpeg "Nextcloud lässt sich mit Nextcloud Office zu einer vollwertigen, webbasierten Office-Lösung erweitern. (Bild: © alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/4e/7f4e8d9b1fcca67e06e7f7389e83c0b7/0130665482v2.jpeg "Die Migration auf All-IP schafft die technische Basis für standortunabhängige Erreichbarkeit und moderne Telefonie im Mittelstand. (Bild: Yanawut Suntornkij - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/00/bd0005c8c528ec054bd1181decbf8187/0129070776v1.jpeg "Vorbildlich: Hier sitzt der neue 800GE-Port (ganz rechts) direkt neben etablierten 400G-Links – realisiert mit „Nokia 800G-ZR+“-Single-Lambda-Optiken, die 800 Gbit/s über eine einzige Wellenlänge übertragen, in einem Router vom Typ „Nokia 7750SR“. (Bild: DE-CIX)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134600/134600/65.jpg "vitel_logo.jpg ()")
:quality(80)/p7i.vogel.de/wcms/0c/08/0c08dd8c81f1cb70b9de79624d3b480d/0127273638v1.jpeg "Mit DirectAccess von Microsoft können Remote-Clients über das Internet sichere Verbindungen zu zentralen Anwendungen herstellen. (Bild: Copilot / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/67/d367d383fae42bfd3c54e422cf17f23b/0128192079v1.jpeg "Über ein virtuelles privates Netzwerk kommunizieren Endgeräte oder lokale Netzwerke geschützt vor unbefugtem Zugriff über potenziell unsichere Netze wie das Internet. (Bild: Gemini / KI-generiert)")