Implementarea VPN Always On cu accesul la distanță în Windows 10

DirectAccess a fost introdus în sistemele de operare Windows 8.1 și Windows Server 2012 ca o caracteristică care permite utilizatorilor Windows să se conecteze de la distanță. Cu toate acestea, după lansarea Windows 10 , desfășurarea acestei infrastructuri a înregistrat o scădere. Microsoft a încurajat în mod activ organizațiile care au în vedere o soluție DirectAccess să implementeze VPN bazată pe client cu Windows 10. Această conexiune Always On VPN oferă o experiență asemănătoare cu DirectAccess utilizând protocoalele tradiționale de acces la distanță VPN, cum ar fi IKEv2, SSTP, și L2TP / IPsec. Pe lângă aceasta, acesta are și unele beneficii suplimentare.

Noua facilitate a fost introdusă în actualizarea Windows 10 Anniversary, pentru a permite administratorilor IT să configureze profiluri de conectare VPN automate. După cum am menționat mai devreme, VPN Always On are câteva avantaje importante față de DirectAccess. De exemplu, Always On VPN poate utiliza atât IPv4, cât și IPv6. Deci, dacă aveți unele îndoieli cu privire la viitoarea viabilitate a DirectAccess și dacă îndepliniți toate cerințele pentru a sprijini Always On VPN cu Windows 10, atunci probabil trecerea la acesta este alegerea potrivită.

Întotdeauna pe VPN pentru computerele client Windows 10

Acest tutorial vă arată pașii pentru implementarea conexiunilor VPN de la distanță pentru conexiunile de la distanță pentru computerele client la distanță care execută Windows 10.

Înainte de a continua, asigurați-vă că aveți următoarele în locul:

• O infrastructură de domeniu Active Directory, care include unul sau mai multe servere DNS (Domain Name System).
• Infrastructura cheilor publice (PKI) și Active Directory Certificate Services (AD CS). > Aplicație de acces la distanță implementată întotdeauna pe VPN

, instalați un nou server de acces la distanță care execută Windows Server 2016. În continuare, efectuați următoarele acțiuni cu serverul VPN: Instalați două adaptoare de rețea Ethernet în serverul fizic. Dacă instalați serverul VPN pe un VM, trebuie să creați două switch-uri virtuale externe, unul pentru fiecare adaptor fizic de rețea; și apoi să creați două adaptoare de rețea virtuale pentru VM, fiecare adaptor de rețea conectat la un întrerupător virtual.

Instalați serverul din rețeaua perimetrală între marginea dvs. și firele de protecție interne, cu un adaptor de rețea conectat la rețeaua perimetrală externă și un adaptor de rețea conectat la rețeaua internă de perimetru.

1. După ce ați finalizat procedura de mai sus, instalați și configurați accesul la distanță ca un singur gateway VPN RAS pentru VPN pentru conexiuni VPN punct-la-site de la computerele de la distanță. Încercați să configurați accesul la distanță ca un client RADIUS astfel încât acesta să fie în măsură să trimită cereri de conectare către serverul organizației NPS pentru procesare.
2. Înscrieți și validați certificatul serverului VPN de la autoritatea de certificare (CA).

Dacă nu știți, serverul este instalat în rețeaua organizației / companiei. Este necesar să configurați acest server ca server RADIUS pentru a permite acestuia să primească cereri de conectare de la serverul VPN. Odată ce serverul NPS începe să primească cereri, acesta procesează cererile de conectare și efectuează pașii de autorizare și autentificare înainte de a trimite un mesaj Access-Accept sau Access-Reject la serverul VPN.

AD DS Server

spațiu domeniu Active Directory, care găzduiește conturi de utilizator locale. Se solicită setarea următoarelor elemente pe controlerul de domeniu:

Activați înregistrarea automată a certificatelor în Politica de grup pentru computere și utilizatori

Creați grupul de utilizatori VPN

Creați grupul de servere VPN

1. Creați serverele NPS
2. Server CA
3. Serverul autorității de certificare (CA) este o autoritate de certificare care execută serviciile de certificare Active Directory. CA înregistrează certificate care sunt utilizate pentru autentificarea client-server PEAP și creează certificate pe baza șabloanelor de certificate. Deci, în primul rând, trebuie să creați șabloane de certificate pe CA. Utilizatorii la distanță cărora li se permite să se conecteze la rețeaua organizației trebuie să aibă un cont de utilizator în AD DS
4. De asemenea, asigurați-vă că firewall-urile dvs. permit ca traficul necesar atât pentru comunicațiile VPN cât și pentru comunicațiile RADIUS să funcționeze corect.
5. În afară de existența acestor componente server, asigurați-vă că computerele client configurate să utilizeze VPN rulează Windows 10 v 1607 sau mai târziu. Clientul Windows 10 VPN este foarte configurabil și oferă multe opțiuni.

Acest ghid este conceput pentru a implementa Always On VPN cu rolul serverului de acces de la distanță într-o rețea de organizare locală. Nu încercați să implementați accesul la distanță pe o mașină virtuală (VM) din Microsoft Azure.

Pentru detalii complete și pașii de configurare, puteți să consultați acest document Microsoft

De asemenea, citiți

: Cum se configurează și se utilizează AutoVPN în Windows 10 pentru a vă conecta la distanță.