Implementering af altid på VPN med fjernadgang i Windows 10

DirectAccess blev introduceret i Windows 8.1 og Windows Server 2012 operativsystemer som en funktion, der gør det muligt for Windows-brugere at oprette forbindelse eksternt. Efter lanceringen af ​​ Windows 10 er udbredelsen af ​​denne infrastruktur imidlertid set et fald. Microsoft har aktivt opfordret organisationer til at overveje en DirectAccess-løsning til at implementere klientbaseret VPN med Windows 10. Denne forbindelse til altid VPN giver en DirectAccess-lignende oplevelse ved hjælp af traditionelle VPN-protokoller til fjernadgang, såsom IKEv2, SSTP, og L2TP / IPsec. Desuden kommer det med nogle ekstra fordele.

Den nye funktion blev introduceret i Windows 10 årsdagen opdatering for at give it-administratorer mulighed for at konfigurere automatiske VPN-forbindelsesprofiler. Som tidligere nævnt har Always On VPN nogle vigtige fordele i forhold til DirectAccess. For eksempel kan Always On VPN både bruge IPv4 og IPv6. Så hvis du har nogle ængstelser om DirectAccess fremtidige rentabilitet, og hvis du opfylder alle kravene til at understøtte Alltid på VPN med Windows 10, er det måske det rigtige valg at skifte til sidstnævnte.

Altid på VPN til Windows 10-klientcomputere

Denne vejledning går dig igennem trinnene for at installere fjernadgang altid på VPN-forbindelser til eksterne klientcomputere, der kører Windows 10.

Kontroller, at du har følgende, før du fortsætter på plads:

• En Active Directory-domæneinfrastruktur, herunder et eller flere DNS-servere (Domain Name System).
• Public Key Infrastructure (PKI) og Active Directory Certificate Services (AD CS).

For at starte Fjernadgang altid på VPN Deployment skal du installere en ny Remote Access-server, der kører Windows Server 2016.

Udfør følgende handlinger med VPN-serveren:

1. Installer to Ethernet-netværkskort på den fysiske server. Hvis du installerer VPN-serveren på en VM, skal du oprette to eksterne virtuelle omskiftere, en til hver fysiske netværkskort; og derefter oprette to virtuelle netværksadaptere til VM`en, med hver netværksadapter tilsluttet en virtuel switch.
2. Installer serveren på dit perimeter-netværk mellem din kant og interne firewalls, med en netværksadapter tilsluttet det eksterne perimeter-netværk og en netværksadapter tilsluttet det interne perimeter-netværk.

Når du har gennemført ovenstående procedure, skal du installere og konfigurere Remote Access som en enkelt lejer VPN RAS Gateway til VPN-forbindelser fra VPN til eksterne computere. Prøv at konfigurere Remote Access som en RADIUS-klient, så den er i stand til at sende forbindelsesforespørgsler til organisationens NPS-server til behandling.

Tilmeld og valider VPN-servercertifikatet fra din certificeringsmyndighed (CA).

NPS Server

Hvis du ikke er klar over, er serveren installeret på din organisation / virksomhedens netværk. Det er nødvendigt at konfigurere denne server som en RADIUS-server, så den kan modtage forbindelsesforespørgsler fra VPN-serveren. Når NPS-serveren begynder at modtage anmodninger, behandler den forbindelsesforespørgsler og udfører godkendelses- og godkendelsestrin, inden der sendes en Access Accept eller Access-Refject-besked til VPN-serveren.

AD DS Server

Serveren er en on- lokaler Active Directory-domæne, som er vært for lokalt brugerkonti. Det kræver, at du konfigurerer følgende punkter på domænecontrolleren.

1. Aktivér certifikatautoenrollering i Gruppepolitik til computere og brugere
2. Opret VPN-brugergruppen
3. Opret VPN-servergruppen
4. Opret NPS-servergruppen
5. CA Server

Certificeringsmyndigheden (CA) Server er en certificeringsmyndighed, der kører Active Directory Certificate Services. CA registrerer certifikater, som bruges til PEAP-klient-server-godkendelse og opretter certifikater baseret på certifikatskabeloner. Så først skal du oprette certifikatskabeloner på CA. De fjernbrugere, der har lov til at oprette forbindelse til dit organisationsnetværk, skal have en brugerkonto i AD DS.

Sørg også for, at dine firewalls tillader den trafik, der er nødvendig for både VPN og RADIUS-kommunikation for at fungere korrekt.

Ud over at have disse serverkomponenter på plads, skal du sikre dig, at klientcomputere, du konfigurerer til at bruge VPN, kører Windows 10 v 1607 eller senere. Windows 10 VPN-klienten er meget konfigurerbar og tilbyder mange muligheder.

Denne vejledning er designet til at implementere Always On VPN med Remote Access-serverrollen på et lokalt organisationsnetværk. Prøv ikke at installere Remote Access på en virtuel maskine (VM) i Microsoft Azure.

For fuldstændige detaljer og konfigurationstrin kan du henvise til dette Microsoft-dokument.

Læs også : Sådan opsættes og brugeres AutoVPN i Windows 10 for at oprette forbindelse eksternt.