DirectAccess был представлен в операционных системах Windows 8.1 и Windows Server 2012 как функция, позволяющая пользователям Windows подключаться удаленно. Однако после запуска Windows 10, развертывание этой инфраструктуры стало свидетелем снижения. Корпорация Майкрософт активно поощряет организации, рассматривающие решение DirectAccess, вместо этого внедрять клиентскую VPN с Windows 10. Это Всегда в сети VPN соединение обеспечивает опыт DirectAccess, используя традиционные протоколы VPN удаленного доступа, такие как IKEv2, SSTP и L2TP / IPsec. Кроме того, он поставляется с некоторыми дополнительными преимуществами.
Новая функция появилась в обновлении Windows 10 Anniversary Update, чтобы позволить ИТ-администраторам настраивать профили VPN-соединений. Как упоминалось ранее, Always On VPN имеет некоторые важные преимущества перед DirectAccess. Например, Always On VPN может использовать как IPv4, так и IPv6. Итак, если у вас есть некоторые опасения относительно будущей жизнеспособности DirectAccess и если вы удовлетворите все требования к поддержке Всегда в сети VPN с Windows 10, то, возможно, переключение на последний является правильным выбором.
Всегда на VPN для клиентских компьютеров под Windows 10
В этом руководстве описываются шаги по развертыванию подключений удаленного доступа, всегда к VPN, для удаленных клиентских компьютеров под управлением Windows 10.
- Инфраструктура домена Active Directory, включая один или несколько серверов доменных имен (DNS).
- Инфраструктура открытого ключа (PKI) и службы сертификации Active Directory (AD CS).
Начать Удаленный доступ всегда при развертывании VPN, установите новый сервер удаленного доступа под управлением Windows Server 2016.
Затем выполните следующие действия с VPN-сервером:
- Установите два сетевых адаптера Ethernet на физическом сервере. Если вы устанавливаете VPN-сервер на виртуальную машину, вы должны создать два внешних виртуальных коммутатора, по одному для каждого физического сетевого адаптера; а затем создать два виртуальных сетевых адаптера для виртуальной машины, причем каждый сетевой адаптер подключен к одному виртуальному коммутатору.
- Установите сервер в своей периметрической сети между вашим краем и внутренними брандмауэрами, с одним сетевым адаптером, подключенным к внешней периферийной сети, и одним сетевым адаптером, подключенным к внутренней сети периметра.
По завершении описанной выше процедуры установите и настройте удаленный доступ в виде единого VPN-шлюза VPN-провайдера для VPN-соединений точка-точка с удаленных компьютеров. Попробуйте настроить удаленный доступ как RADIUS-клиент, чтобы он мог отправлять запросы на подключение к серверу NPS организации для обработки.
Заполните и подтвердите сертификат сервера VPN от своего центра сертификации (CA).
Сервер NPS
Если вы не знаете, это сервер установлен в вашей организации / корпоративной сети. Необходимо настроить этот сервер как сервер RADIUS, чтобы он мог получать запросы на подключение с VPN-сервера. После того, как сервер NPS начинает получать запросы, он обрабатывает запросы на соединение и выполняет шаги авторизации и аутентификации перед отправкой на VPN-сервер сообщения Access-Accept или Access-Reject.
Сервер AD DS
Сервер является локальным доменом Active Directory, в котором размещаются локальные учетные записи пользователей. Он требует установки следующих элементов на контроллере домена.
- Включить автоматическую подачу сертификата в групповой политике для компьютеров и пользователей
- Создание группы пользователей VPN
- Создание группы серверов VPN
- Создание группы серверов NPS
- Сервер CA
Сервер центра сертификации (CA) является центром сертификации, на котором работают службы сертификации Active Directory. CA регистрирует сертификаты, которые используются для аутентификации клиент-сервер PEAP и создает сертификаты на основе шаблонов сертификатов. Итак, во-первых, вам нужно создать шаблоны сертификатов в CA. Удаленным пользователям, которым разрешено подключаться к вашей организации, должна быть учетная запись пользователя в AD DS.
Кроме того, убедитесь, что ваши брандмауэры позволяют трафику, который необходим как для VPN, так и для RADIUS-связи, работать правильно.
Помимо наличия этих компонентов сервера, убедитесь, что клиентские компьютеры, которые вы настроили для использования VPN, работают под управлением Windows 10 v 1607 или более поздней версии. Клиент Windows 10 VPN очень настраивается и предлагает множество опций.
Данное руководство предназначено для развертывания Always On VPN с ролью сервера удаленного доступа в локальной сети организации. Не пытайтесь развернуть удаленный доступ на виртуальной машине (VM) в Microsoft Azure.
Для получения подробных сведений и шагов настройки вы можете обратиться к этому документу Microsoft.
Также читайте: Как настроить и использовать AutoVPN в Windows 10 для удаленного подключения.
Похожие сообщения:
- Общие проблемы с ошибками и устранение неполадок с ошибками VPN для Windows 10
- Пришло время использовать программное обеспечение VPN также для обеспечения безопасности и конфиденциальности
- Лучшее бесплатное программное обеспечение для VPN для ПК с Windows 10
- Как настроить VPN в Windows 10 - Пошаговое руководство
- Remote Credential Guard защищает учетные данные удаленного рабочего стола в Windows 10