פריסה תמיד ב- VPN עם גישה מרחוק ב- Windows 10

DirectAccess הוצג במערכות ההפעלה Windows 8.1 ו- Windows Server 2012 כתכונה כדי לאפשר למשתמשי Windows להתחבר מרחוק. עם זאת, בעקבות ההשקה של Windows 10 , הפריסה של תשתית זו יש ירידה בירידה. מיקרוסופט ממשיכה לעודד באופן פעיל את הארגונים בהתחשב בפתרון DirectAccess במקום ליישם VPN מבוסס-לקוח עם Windows 10. חיבור זה תמיד פועל על VPN מספק חוויה דומה ל- DirectAccess באמצעות פרוטוקולי VPN מסורתיים לגישה מרחוק כגון IKEv2, SSTP, ו - L2TP / IPsec. חוץ מזה, זה מגיע עם כמה יתרונות נוספים גם כן.

תכונה חדשה הוצגה ב 10 יום Windows Update כדי לאפשר למנהלי IT להגדיר פרופילים חיבור VPN אוטומטית. כפי שצוין קודם לכן, תמיד על VPN יש כמה יתרונות חשובים על פני DirectAccess. לדוגמה, תמיד On VPN יכול להשתמש הן IPv4 והן IPv6. אז, אם יש לך כמה חששות לגבי הכדאיות העתידית של DirectAccess, ואם אתה עונה על כל הדרישות כדי לתמוך תמיד על VPN עם Windows 10, אז אולי המעבר האחרון הוא הבחירה הנכונה. > תמיד על VPN עבור מחשבי לקוח של Windows 10

מערך הדרכה זה מעביר אותך לאורך השלבים לפריסת חיבורי VPN מרוחקים תמיד ב- VPN עבור מחשבי לקוח מרוחקים הפועלים עם Windows 10.

לפני שתמשיך הלאה, ודא שיש ברשותך את הפריטים הבאים:

תשתית תחום של Active Directory, כולל שרת אחד או יותר של DNS Domain Name System.

• תשתית מפתח ציבורי (PKI) ו- Active Directory Certificate Services (AD CS).
• כדי להתחיל

גישה מרחוק תמיד ב- VPN פריסה , התקן שרת גישה מרחוק חדש שבו פועל Windows Server 2016. לאחר מכן, בצע את הפעולות הבאות עם שרת VPN:

התקן שני מתאמי רשת Ethernet בשרת הפיזי. אם אתה מתקין את שרת ה- VPN ב- VM, עליך ליצור שני בוררים וירטואליים חיצוניים, אחד עבור כל מתאם רשת פיזי; ולאחר מכן ליצור שני מתאמי רשת וירטואליים עבור ה- VM, כאשר כל מתאם רשת מחובר למתג וירטואלי אחד.

1. התקן את השרת ברשת ההיקפית בין הקצה לבין חומת האש הפנימית, כאשר מתאם רשת אחד מחובר לרשת החיצונית של המערכת, וכן מתאם רשת אחד המחובר לרשת הפנימית של המערכת.
2. לאחר השלמת ההליך לעיל, התקן והגדר את התצורה של גישה מרחוק כשרת יחיד VPN RAS Gateway עבור חיבורי VPN מסוג נקודה אל אתר ממחשבים מרוחקים. נסה להגדיר את התצורה של `גישה מרחוק` כמשתמש RADIUS כך שהוא יוכל לשלוח בקשות חיבור לשרת ה- NPS של הארגון לעיבוד.

רשום ואמת את אישור שרת ה- VPN מרשות האישורים שלך (CA).

NPS Server

אם אינך מודע לכך, השרת מותקן ברשת הארגון / הארגון שלך. יש להגדיר שרת זה כשרת RADIUS כדי לאפשר לו לקבל בקשות התחברות משרת VPN. כאשר שרת NPS מתחיל לקבל בקשות, הוא מעבד את בקשות החיבור ומבצע שלבי הרשאה ואימות לפני שליחת הודעת Access-Accept או Access-Repject אל שרת ה- VPN.

AD DS Server

תחום Active Directory של אתר, המארח חשבונות משתמש מקומיים. כדי להגדיר את הפריטים הבאים בבקר התחום

אפשר רישום אוטומטי של אישורים במדיניות קבוצתית עבור מחשבים ומשתמשים

1. יצירת קבוצת משתמשי VPN
2. יצירת קבוצת שרתי VPN
3. יצירת קבוצת שרתי NPS
4. שרת CA
5. שרת רשות האישורים (CA) הוא רשות אישורים המפעילה שירותי אישורים של Active Directory. ה- CA רושם אישורים המשמשים לאימות שרת לקוח של PEAP ויוצר אישורים על סמך תבניות אישורים. אז, קודם כל, אתה צריך ליצור תבניות תעודה על CA. למשתמשים המרוחקים המורשים להתחבר לרשת הארגון שלך חייב להיות חשבון משתמש ב- AD DS.

כמו כן, ודא כי חומות האש שלך מאפשרות את התנועה הנחוצה עבור תקשורת VPN ו- RADIUS לתפקוד תקין.

מלבד היות רכיבי השרת האלה במקומם, ודא שמחשבי הלקוח שאתה מגדיר להשתמש ב- VPN מפעילים את Windows 10 v 1607 ואילך. לקוח Windows 10 VPN הוא מאוד להגדרה ומציע אפשרויות רבות.

מדריך זה מיועד לפריסת VPN תמיד עם תפקיד שרת גישה מרחוק ברשת ארגון מקומית. אל תנסה לפרוס את `גישה מרחוק` במחשב וירטואלי (VM) ב- Microsoft Azure.

לקבלת פרטים מלאים וכן שלבי קביעת תצורה, באפשרותך לעיין במסמך Microsoft זה.

ראה גם

כיצד להגדיר ולהשתמש AutoVPN ב - Windows 10 כדי להתחבר מרחוק