Ανάπτυξη Always On VPN με απομακρυσμένη πρόσβαση στα Windows 10

Το DirectAccess εισήχθη στα λειτουργικά συστήματα των Windows 8.1 και Windows Server 2012 ως μια δυνατότητα που επιτρέπει στους χρήστες των Windows να συνδέονται εξ αποστάσεως. Ωστόσο, μετά την εκκίνηση του Windows 10 , η ανάπτυξη αυτής της υποδομής έχει σημειώσει πτώση. Η Microsoft ενθαρρύνει ενεργά τους οργανισμούς που εξετάζουν μια λύση DirectAccess, αντί να εφαρμόσουν VPN που βασίζεται σε πελάτες με τα Windows 10. Αυτή η σύνδεση Always On VPN παρέχει μια εμπειρία DirectAccess χρησιμοποιώντας παραδοσιακά πρωτόκολλα VPN απομακρυσμένης πρόσβασης όπως IKEv2, SSTP, και L2TP / IPsec. Επιπλέον, έρχεται με μερικά πρόσθετα οφέλη επίσης.

Η νέα λειτουργία εισήχθη στην Ενημερωμένη Επέτειος των Windows 10 για να επιτρέψει στους διαχειριστές πληροφορικής να διαμορφώσουν αυτόματα προφίλ σύνδεσης VPN. Όπως αναφέρθηκε προηγουμένως, το Always On VPN έχει μερικά σημαντικά πλεονεκτήματα σε σχέση με την DirectAccess. Για παράδειγμα, το Always On VPN μπορεί να χρησιμοποιήσει IPv4 και IPv6. Έτσι, εάν έχετε κάποιες ανησυχίες σχετικά με τη μελλοντική βιωσιμότητα της DirectAccess και εάν πληρείτε όλες τις απαιτήσεις για υποστήριξη Always On VPN με τα Windows 10, ίσως η σωστή επιλογή είναι η σωστή επιλογή

Πάντα σε VPN για υπολογιστές-πελάτες Windows 10

Αυτό το σεμινάριο σάς καθοδηγεί στα βήματα για την ανάπτυξη συνδέσεων VPN για απομακρυσμένη πρόσβαση για απομακρυσμένους υπολογιστές-πελάτες που εκτελούν Windows 10.

Πριν προχωρήσετε περαιτέρω, βεβαιωθείτε ότι έχετε τα εξής

• Μια υποδομή τομέα Active Directory, που περιλαμβάνει έναν ή περισσότερους διακομιστές DNS (Domain Name System)
• Υποδομή δημόσιου κλειδιού (PKI) και υπηρεσίες πιστοποιητικών υπηρεσίας καταλόγου Active Directory (AD CS). > Απομακρυσμένη πρόσβαση Πάντα σε ανάπτυξη VPN

, εγκαταστήστε ένα νέο διακομιστή απομακρυσμένης πρόσβασης που εκτελεί Windows Server 2016. Στη συνέχεια εκτελέστε τις ακόλουθες ενέργειες με το διακομιστή VPN: Εγκαταστήστε δύο προσαρμογείς δικτύου Ethernet στον φυσικό διακομιστή. Εάν εγκαθιστάτε τον διακομιστή VPN σε ένα VM, πρέπει να δημιουργήσετε δύο εξωτερικούς εικονικούς διακόπτες, έναν για κάθε φυσικό προσαρμογέα δικτύου. και στη συνέχεια να δημιουργήσετε δύο εικονικούς προσαρμογείς δικτύου για το VM, με κάθε προσαρμογέα δικτύου συνδεδεμένο σε έναν εικονικό διακόπτη.

Εγκαταστήστε το διακομιστή στο περιμετρικό σας δίκτυο μεταξύ του άκρου σας και των εσωτερικών τείχους προστασίας με έναν προσαρμογέα δικτύου συνδεδεμένο στο εξωτερικό δίκτυο περιμέτρου ένας προσαρμογέας δικτύου που είναι συνδεδεμένος στο Εσωτερικό Περιμετρικό Δίκτυο

1. Αφού ολοκληρώσετε την παραπάνω διαδικασία, εγκαταστήστε και ρυθμίστε τις παραμέτρους της Απομακρυσμένης Πρόσβασης ως μία πύλη VPN RAS για μία μόνο σύνδεση VPN RAS από απομακρυσμένους υπολογιστές. Δοκιμάστε να διαμορφώσετε την απομακρυσμένη πρόσβαση ως πελάτη RADIUS έτσι ώστε να είναι σε θέση να στέλνει αιτήσεις σύνδεσης στον οργανισμό NPS για επεξεργασία.
2. Εγγραφή και επικύρωση του πιστοποιητικού διακομιστή VPN από την αρχή πιστοποίησης (CA).

Εάν δεν γνωρίζετε, ο διακομιστής είναι εγκατεστημένος στο οργανισμό / το εταιρικό σας δίκτυο. Είναι απαραίτητο να ρυθμίσετε αυτό το διακομιστή ως διακομιστή RADIUS έτσι ώστε να του επιτρέπεται να λαμβάνει αιτήματα σύνδεσης από το διακομιστή VPN. Μόλις ο διακομιστής NPS αρχίσει να λαμβάνει τα αιτήματα, επεξεργάζεται τα αιτήματα σύνδεσης και εκτελεί τα βήματα εξουσιοδότησης και ελέγχου ταυτότητας πριν από την αποστολή ενός μηνύματος Access-Accept ή Access-Reject στο διακομιστή VPN.

AD DS Server

στον τομέα Active Directory, ο οποίος φιλοξενεί λογαριασμούς χρηστών εντός του χώρου.

Ενεργοποίηση της αυτόματης εγγραφής πιστοποιητικού στην Πολιτική ομάδας για υπολογιστές και χρήστες

Δημιουργία ομάδας χρηστών VPN

Δημιουργία ομάδας VPN Servers

1. Δημιουργία ομάδας εξυπηρετητών NPS
2. Server CA
3. Ο διακομιστής πιστοποίησης (CA) είναι μια αρχή πιστοποίησης που εκτελεί υπηρεσίες πιστοποιητικών υπηρεσίας καταλόγου Active Directory. Η ΑΠ καταχωρεί πιστοποιητικά που χρησιμοποιούνται για έλεγχο ταυτότητας πελάτη-διακομιστή PEAP και δημιουργεί πιστοποιητικά βάσει προτύπων πιστοποιητικών. Έτσι, πρώτα, πρέπει να δημιουργήσετε πρότυπα πιστοποιητικών στην ΑΠ. Οι απομακρυσμένοι χρήστες που επιτρέπεται να συνδεθούν στο δίκτυο της οργάνωσής σας πρέπει να έχουν ένα λογαριασμό χρήστη στο AD DS
4. Επίσης, βεβαιωθείτε ότι τα τείχη προστασίας σας επιτρέπουν να λειτουργεί σωστά η κυκλοφορία που είναι απαραίτητη τόσο για τις επικοινωνίες VPN όσο και για το RADIUS.

Εκτός από την ύπαρξη αυτών των στοιχείων διακομιστή, βεβαιωθείτε ότι οι υπολογιστές-πελάτες που ρυθμίζετε για τη χρήση VPN εκτελούν Windows 10 v 1607 ή αργότερα. Ο πελάτης VPN των Windows 10 είναι ιδιαίτερα διαμορφωμένος και προσφέρει πολλές επιλογές.

Αυτός ο οδηγός έχει σχεδιαστεί για την ανάπτυξη του Always On VPN με το ρόλο του διακομιστή απομακρυσμένης πρόσβασης σε ένα δίκτυο οργάνωσης εσωτερικής εγκατάστασης. Μην επιχειρήσετε να αναπτύξετε απομακρυσμένη πρόσβαση σε μια εικονική μηχανή (VM) στο Microsoft Azure.

Για πλήρεις λεπτομέρειες και βήματα ρύθμισης παραμέτρων, μπορείτε να ανατρέξετε σε αυτό το έγγραφο της Microsoft. AutoVPN στα Windows 10 για σύνδεση από απόσταση