Развертывание всегда на VPN с помощью удаленного доступа в Windows 10

DirectAccess был представлен в операционных системах Windows 8.1 и Windows Server 2012 как функция, позволяющая пользователям Windows подключаться удаленно. Однако после запуска Windows 10 развертывание этой инфраструктуры стало свидетелем снижения. Microsoft активно поощряет организации, рассматривающие решение DirectAccess вместо этого реализовать VPN на основе клиента с Windows 10. Это соединение Always On VPN обеспечивает опыт DirectAccess с использованием традиционных протоколов VPN удаленного доступа, таких как IKEv2, SSTP, и L2TP / IPsec. Кроме того, он поставляется с некоторыми дополнительными преимуществами.

Новая функция появилась в обновлении Windows 10 Anniversary Update, чтобы позволить ИТ-администраторам настраивать профили VPN-соединений. Как упоминалось ранее, Always On VPN имеет некоторые важные преимущества перед DirectAccess. Например, Always On VPN может использовать как IPv4, так и IPv6. Итак, если у вас есть некоторые опасения относительно будущей жизнеспособности DirectAccess и если вы отвечаете всем требованиям поддержки Always On VPN с Windows 10, то, возможно, переключение на последнее является правильным выбором.

Всегда на VPN для клиентских компьютеров под управлением Windows 10

В этом учебном руководстве вы найдете инструкции по развертыванию удаленного доступа всегда к VPN-подключениям для удаленных клиентских компьютеров под управлением Windows 10.

Прежде чем продолжить, убедитесь, что у вас есть следующее: на месте:

• Инфраструктура домена Active Directory, включая один или несколько серверов доменных имен (DNS).
• Инфраструктура открытого ключа (PKI) и службы сертификации Active Directory (AD CS).

Чтобы начать > Удаленный доступ всегда при развертывании VPN , установите новый сервер удаленного доступа под управлением Windows Server 2016.

Далее выполните следующие действия с VPN-сервером:

1. Установите два сетевых сетевых адаптера Ethernet на физическом сервере, Если вы устанавливаете VPN-сервер на виртуальную машину, вы должны создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создать два виртуальных сетевых адаптера для виртуальной машины, причем каждый сетевой адаптер подключен к одному виртуальному коммутатору.
2. Установите сервер в вашей периметрической сети между вашим краем и внутренними брандмауэрами, с одним сетевым адаптером, подключенным к внешней периметрической сети, и один сетевой адаптер, подключенный к внутренней сети периметра.

После завершения описанной выше процедуры установите и настройте удаленный доступ в качестве отдельного VPN-шлюза-арендатора VPN для VPN-соединений точка-точка с удаленных компьютеров. Попробуйте настроить удаленный доступ как клиент RADIUS, чтобы он мог отправлять запросы на соединение на сервер организации NPS для обработки.

Заполнить и проверить сертификат сервера VPN из центра сертификации (CA).

Сервер NPS

Если вы не знаете, это сервер установлен в вашей организации / корпоративной сети. Необходимо настроить этот сервер как сервер RADIUS, чтобы он мог получать запросы на подключение с VPN-сервера. После того, как сервер NPS начинает получать запросы, он обрабатывает запросы на соединение и выполняет шаги авторизации и аутентификации перед отправкой на VPN-сервер сообщения Access-Accept или Access-Reject.

Сервер доменных служб Active Directory

Сервер - домена Active Directory, в котором размещаются локальные учетные записи пользователей. Для этого необходимо настроить следующие элементы на контроллере домена.

1. Включить автоматическую подачу сертификата в групповой политике для компьютеров и пользователей
2. Создать группу пользователей VPN
3. Создать группу VPN-серверов
4. Создать группу серверов NPS
5. Сервер CA

Сервер центра сертификации (CA) - это центр сертификации, на котором работают службы сертификации Active Directory. CA регистрирует сертификаты, которые используются для аутентификации клиент-сервер PEAP и создает сертификаты на основе шаблонов сертификатов. Итак, во-первых, вам нужно создать шаблоны сертификатов в CA. Удаленным пользователям, которым разрешено подключаться к вашей организации, должна быть учетная запись пользователя в AD DS.

Кроме того, убедитесь, что ваши брандмауэры позволяют правильно работать с трафиком, который необходим как для VPN, так и для RADIUS-коммуникаций.

Помимо наличия этих компонентов сервера, убедитесь, что клиентские компьютеры, на которых настроено использование VPN, работают под управлением Windows 10 v 1607 или новее. Клиент Windows 10 VPN очень настраивается и предлагает множество опций.

Это руководство предназначено для развертывания Always On VPN с ролью сервера удаленного доступа в локальной сети организации. Не пытайтесь развернуть удаленный доступ на виртуальной машине (Microsoft) в Microsoft Azure.

Для получения подробных сведений и шагов настройки вы можете обратиться к этому документу Microsoft.

Также читайте : Как настроить и использовать AutoVPN в Windows 10 для удаленного подключения.