DirectAccess бе въведен в операционните системи Windows 8.1 и Windows Server 2012 като функция, позволяваща на потребителите на Windows да се свързват от разстояние. Въпреки това, след стартирането на Windows 10, разгръщането на тази инфраструктура бележи спад. Microsoft активно окуражава организациите да обмислят решение на DirectAccess, за да внедрят вместо това клиентска VPN с Windows 10. Това Винаги включена VPN връзката доставя подобно на DirectAccess изживяване, като използва традиционни VPN протоколи за отдалечен достъп като IKEv2, SSTP и L2TP / IPsec. Освен това, той идва с някои допълнителни ползи, както добре.
Новата функция бе въведена в Windows 10 Anniversary Update, за да позволи на ИТ-администраторите да конфигурират автоматични VPN свързващи профили. Както вече споменахме, Always On VPN има някои важни предимства пред DirectAccess. Например, Always On VPN може да използва както IPv4, така и IPv6. Така че, ако имате някакви притеснения относно бъдещата жизнеспособност на DirectAccess и ако отговаряте на всички изисквания за поддръжка Винаги включена VPN с Windows 10, а след това може би превключването към последния е правилният избор.
Винаги на VPN за клиентски компютри с Windows 10
Този урок ви запознава със стъпките за разполагане на VPN връзки за отдалечен достъп Always On за отдалечени клиентски компютри, работещи под Windows 10.
- Инфраструктура на домейн на Active Directory, включваща един или повече сървъри на DNS (Domain Name System).
- Инфраструктурата за публични ключове (PKI) и услугите за сертифициране на Active Directory (AD CS).
Да започна Отдалечен достъп Винаги На Внедряване на VPN, инсталирайте нов сървър за отдалечен достъп, който изпълнява Windows Server 2016.
След това изпълнете следните действия с VPN сървъра:
- Инсталирайте два мрежови адаптера за Ethernet във физическия сървър. Ако инсталирате VPN сървъра на VM, трябва да създадете два външни виртуални превключвателя, по един за всеки физически мрежов адаптер; и след това да създадете два виртуални мрежови адаптора за VM, като всеки мрежови адаптер е свързан към един виртуален комутатор.
- Инсталирайте сървъра във вашата периметърна мрежа между вашите ръбове и вътрешни защитни стени, с един мрежов адаптер, свързан към външната периметърна мрежа и един мрежов адаптер, свързан към вътрешната периметърна мрежа.
След като завършите горната процедура, инсталирайте и конфигурирайте отдалечения достъп като VPN RAS Gateway на един наемател за VPN връзки от точка до място от отдалечени компютри. Опитайте да конфигурирате отдалечения достъп като RADIUS клиент, така че да е в състояние да изпрати заявки за връзка към организацията на NPS сървъра за обработка.
Регистрирайте и валидирайте сертификата за сървър VPN от вашия сертифициращ орган (CA).
NPS сървър
Ако не сте наясно, сървърът е инсталиран на вашата организация / корпоративна мрежа. Необходимо е да конфигурирате този сървър като RADIUS сървър, за да му позволите да получава заявки за връзка от VPN сървъра. След като сървърът на NPS започне да получава заявки, той обработва заявките за връзка и изпълнява стъпки за оторизация и удостоверяване, преди да изпрати съобщение до Access-Accept или Access-Reject до VPN сървъра.
AD DS сървър
Сървърът е локален домейн на Active Directory, който е домакин на локални потребителски акаунти. Той изисква да настроите следните елементи в домейн контролера.
- Активирайте автоматичното записване на сертификати в груповата политика за компютри и потребители
- Създайте групата VPN потребители
- Създайте групата VPN сървъри
- Създайте група NPS сървъри
- CA сървър
Сертифициращият орган (СО) сървър е сертифициращ орган, който изпълнява сертификационни услуги на Active Directory. СО задава сертификати, които се използват за удостоверяване на клиентски сървър на PEAP и създава сертификати въз основа на шаблони на сертификати. Така че, първо, трябва да създадете шаблони за сертификати на CA. Отдалечените потребители, на които е разрешено да се свързват с мрежата на вашата организация, трябва да имат потребителски акаунт в AD DS.
Също така се уверете, че вашите защитни стени позволяват трафика, необходим както за VPN, така и за RADIUS комуникациите, да работи правилно.
Освен че разполагате с тези сървърни компоненти, уверете се, че клиентските компютри, които конфигурирате да използват VPN, използват Windows 10 v 1607 или по-нова версия. Windows 10 VPN клиентът е силно конфигурируем и предлага много опции.
Това ръководство е предназначено за внедряване на Always On VPN с ролята на сървъра за отдалечен достъп в локална мрежа на организацията. Моля, не се опитвайте да разполагате с отдалечен достъп на виртуална машина (VM) в Microsoft Azure.
За пълни подробности и стъпки за конфигуриране можете да препратите този документ на Microsoft.
Прочетете също: Как да инсталирате и използвате AutoVPN в Windows 10, за да се свържете от разстояние.
Подобни публикации:
- Общи кодове за грешки и решения за VPN грешки за Windows 10
- Сега е време да използвате VPN софтуер и за защита и поверителност
- Най-добър безплатен VPN софтуер за Windows 10 PC
- Как да настроите VPN в Windows 10 - Ръководство стъпка по стъпка
- Remote Guard Guard защитава идентификационните данни за отдалечен работен плот в Windows 10