Implementere alltid på VPN med ekstern tilgang i Windows 10

DirectAccess ble introdusert i Windows 8.1 og Windows Server 2012 operativsystemer som en funksjon for å tillate Windows-brukere å koble eksternt. Etter lanseringen av Windows 10 , har imidlertid distribusjonen av denne infrastrukturen vært en nedgang. Microsoft har vært aktivt oppmuntrende organisasjoner med tanke på en DirectAccess-løsning for å i stedet implementere klientbasert VPN med Windows 10. Denne Alltid på VPN -tilkoblingen gir en DirectAccess-lignende opplevelse ved hjelp av tradisjonelle VPN-protokoller for fjerntilgang, som IKEv2, SSTP, og L2TP / IPsec. I tillegg kommer det med noen ekstra fordeler også.

Den nye funksjonen ble introdusert i Windows 10 årsjubileumsoppdatering slik at IT-administratorer kan konfigurere automatiske VPN-tilkoblingsprofiler. Som nevnt tidligere har Always On VPN noen viktige fordeler i forhold til DirectAccess. For eksempel kan Always On VPN bruke både IPv4 og IPv6. Så hvis du har noen apprehensions om fremtidig levedyktighet for DirectAccess, og hvis du oppfyller alle kravene til å støtte Alltid på VPN med Windows 10, er det mulig å bytte til sistnevnte det riktige valget.

Alltid på VPN for Windows 10-klientdatamaskiner

Denne veiledningen går gjennom trinnene for å distribuere ekstern tilgang alltid på VPN-tilkoblinger for eksterne klientdatamaskiner som kjører Windows 10.

Før du fortsetter, må du sørge for at du har følgende på plass:

• En Active Directory-domenerinfrastruktur, inkludert ett eller flere DNS-servere.
• Public Key Infrastructure (PKI) og Active Directory Certificate Services (AD CS).

For å starte Fjerntilgang Alltid på VPN-distribusjon , installer en ny Remote Access-server som kjører Windows Server 2016.

Følg deretter følgende handlinger med VPN-serveren:

1. Installer to Ethernet-nettverkskort på den fysiske serveren. Hvis du installerer VPN-serveren på en VM, må du opprette to eksterne virtuelle brytere, en for hvert fysisk nettverkskort; og deretter opprette to virtuelle nettverkskort for VM, med hver nettverkskort koblet til en virtuell bryter.
2. Installer serveren på ditt perimeter-nettverk mellom kanten og interne brannmurer, med ett nettverkskort koblet til Eksternt Perimeter-nettverket, og en nettverkskort koblet til det interne perimeternettverket. Etter at du har fullført prosedyren ovenfor, installerer og konfigurerer du ekstern tilgang som en enkelt leietaker VPN RAS Gateway for VPN-tilkoblinger fra eksterne datamaskiner. Prøv å konfigurere Remote Access som en RADIUS-klient, slik at den er i stand til å sende tilkoblingsforespørsler til organisasjonens NPS-server for behandling.

Registrere og validere VPN-server sertifikatet fra din sertifiseringsinstans (CA).

NPS Server

Hvis du ikke er klar over det, er serveren installert på organisasjon / bedriftsnettverk. Det er nødvendig å konfigurere denne serveren som en RADIUS-server, slik at den kan motta tilkoblingsforespørsler fra VPN-serveren. Når NPS-serveren begynner å motta forespørsler, behandler den tilkoblingsforespørslene og utfører autorisasjons- og godkjenningstrinn før du sender en tilgang til aksepter eller tilgang-avvis til VPN-serveren.

AD DS Server

Serveren er en on- lokaler Active Directory-domene, som er vert for brukerkontoer på stedet. Det krever at du konfigurerer følgende elementer på domenekontrolleren.

Aktiver sertifikatautoenrollering i Gruppepolicy for datamaskiner og brukere

1. Opprett VPN-brukergruppen
2. Opprett VPN-tjenergruppen
3. Opprett NPS-servergruppene
4. CA Server
5. Sertifiseringsmyndigheten (CA) Server er en sertifiseringsmyndighet som kjører Active Directory Certificate Services. CA registrerer sertifikater som brukes til godkjenning av PEAP-klient-server og lager sertifikater basert på sertifikatmaler. Så først må du opprette sertifikatmaler på CA. De eksterne brukerne som har lov til å koble til organisasjonsnettverket ditt, må ha en brukerkonto i AD DS.

Sørg også for at brannmurene dine tillater trafikken som er nødvendig for både VPN- og RADIUS-kommunikasjon for å fungere riktig.

Bortsett fra at disse serverkomponentene er på plass, må du kontrollere at klientdatamaskinene du konfigurerer til å bruke VPN, kjører Windows 10 v 1607 eller senere. Windows 10 VPN-klienten er svært konfigurerbar og tilbyr mange alternativer.

Denne veiledningen er utviklet for å distribuere alltid på VPN med ekstern tilgangsserverrollen i et lokalt organisasjonsnettverk. Ikke prøv å distribuere ekstern tilgang på en virtuell maskin (VM) i Microsoft Azure.

For fullstendige detaljer og konfigurasjonstrinn kan du se dette Microsoft-dokumentet.

Les også

: Slik konfigurerer og bruker du AutoVPN i Windows 10 for å koble eksternt.