Nasazení vždy na VPN pomocí vzdáleného přístupu v Windows 10

  • 3 min číst
  • Srpna 29, 2017

Aplikace DirectAccess byla představena v operačních systémech Windows 8.1 a Windows Server 2012 jako funkce umožňující vzdáleným připojením uživatelů systému Windows. Nicméně, po spuštění Windows 10, nasazení této infrastruktury bylo svědkem poklesu. Společnost Microsoft aktivně podporuje organizace, které uvažují o řešení DirectAccess, místo toho implementovat klientskou VPN Windows 10, Tento Vždy zapnutá VPN propojení poskytuje rozhraní DirectAccess se zkušenostmi s tradičními VPN protokoly vzdáleného přístupu, jako jsou IKEv2, SSTP a L2TP / IPsec. Kromě toho přichází s dalšími výhodami.

Nová funkce byla představena v Windows 10 Aktualizace výročí umožňuje správcům IT konfigurovat automatické profily připojení VPN. Jak již bylo zmíněno dříve, Always On VPN má oproti DirectAccess některé důležité výhody. Například služba Always On VPN může používat protokol IPv4 i protokol IPv6. Takže, pokud máte nějaké obavy o budoucí životaschopnosti DirectAccess, a pokud splníte všechny požadavky na podporu Vždy zapnutá VPN s Windows 10, pak možná přechod na druhé je tou správnou volbou.

Vždy na VPN pro Windows 10 klientských počítačů

Tento průvodce vás provede kroky nasazení připojení VPN pro vzdálený přístup vždy pro vzdálené klientské počítače, které jsou spuštěny Windows 10.

Vždy na VPN pro Windows 10

Než budete pokračovat dále, ujistěte se, že máte následující:

  • Infrastruktura domény služby Active Directory, včetně jednoho nebo více serverů DNS (Domain Name System).
  • Infrastruktura veřejných klíčů (PKI) a Služba certifikátů služby Active Directory (AD CS).

Začít Vzdálený přístup je vždy nasazen VPN, nainstalujte nový server vzdáleného přístupu se systémem Windows Server 2016.

Dále proveďte následující akce s VPN serverem:

  1. Do fyzického serveru nainstalujte dva síťové adaptéry Ethernet. Pokud instalujete server VPN na modul VM, musíte vytvořit dva externí virtuální přepínače, jeden pro každý fyzický síťový adaptér; a potom vytvořte dva virtuální síťové adaptéry pro VM, přičemž každý síťový adaptér je připojen k jednomu virtuálnímu přepínači.
  2. Nainstalujte server do obvodové sítě mezi okrajem a interními firewally, jedním síťovým adaptérem připojeným k externí síti perimetru a jedním síťovým adaptérem připojeným k vnitřní síti obvodu.

Po dokončení výše uvedeného postupu nainstalujte a nakonfigurujte vzdálený přístup jako bránu VPN RAS jediného nájemce pro připojení VPN typu point-to-site ze vzdálených počítačů. Zkuste konfigurovat vzdálený přístup jako klient RADIUS tak, aby byl schopen odeslat žádosti o připojení organizačnímu serveru NPS ke zpracování.

Zaregistrujte a ověřte certifikát serveru VPN od certifikační autority (CA).

NPS Server

Pokud si nejste jisti, je server nainstalován ve vaší organizaci / firemní síti. Je nutné nakonfigurovat tento server jako server RADIUS, aby mohl přijímat požadavky na připojení ze serveru VPN. Jakmile server NPS začne přijímat požadavky, zpracovává žádosti o připojení a provádí autorizační a ověřovací kroky před odesláním zprávy Access-Accept nebo Access-Reject na server VPN.

AD DS Server

Server je doména Active Directory v prostorách, která hostí v uživatelských účtech v prostorách. To vyžaduje, abyste nastavili následující položky v řadiči domény.

  1. Povolit automatický zápis certifikátu v zásadách skupiny pro počítače a uživatele
  2. Vytvořte skupinu uživatelů VPN
  3. Vytvořte skupinu serverů VPN
  4. Vytvořte skupinu serverů NPS
  5. CA Server

Certifikační autorita (CA) Server je certifikační autorita, ve které je spuštěna služba Active Directory Certificate Services. CA zapíše certifikáty, které se používají pro autentizaci klientského serveru PEAP a vytváří certifikáty založené na šablonách certifikátů. Takže nejprve musíte vytvořit certifikační šablony na CA. Vzdálení uživatelé, kteří mají povoleno připojení k síti vaší organizace, musí mít v AD DS uživatelský účet.

Také se ujistěte, že brány firewall umožňují provoz, který je nezbytný pro komunikaci VPN i RADIUS, aby fungoval správně.

Kromě toho, že máte tyto komponenty serveru nainstalovány, zajistěte, aby klientské počítače, které jste konfigurovali, používali VPN běží Windows 10 v 1607 nebo novější. Windows 10 VPN klient je vysoce konfigurovatelný a nabízí mnoho možností.

Tato příručka je navržena pro nasazení funkce Always On VPN s rolí serveru vzdáleného přístupu v místní organizační síti. Nepokoušejte se nasadit vzdálený přístup na virtuální počítač (VM) v aplikaci Microsoft Azure.

Úplné podrobnosti a kroky konfigurace naleznete v této příručce Dokument Microsoft.

Zdroj