Win10系统 - Win10系统官方网站

在Windows10中部署始终使用远程访问的VPN

DirectAccess是在Windows 8.1和Windows Server 2012操作系统中引入的,可以让Windows用户远程连接。然而,随着Windows10的推出,这种基础架构的部署已经有所下降。微软一直积极鼓励组织考虑使用DirectAccess解决方案,以Windows10的方式实施基于客户端的VPN。这种始终在线的VPN连接可以使用传统的远程访问VPN协议(如IKEv2,SSTP和L2TP / IPsec)提供类似DirectAccess的体验。此外,它还带来一些额外的好处。

 

Windows10周年纪念版中引入了新功能,允许IT管理员配置自动VPN连接配置文件。如前所述,Always On VPN与DirectAccess相比有一些重要的优势。例如,Always On VPN可以同时使用IPv4和IPv6。因此,如果您对DirectAccess的未来可行性有所担忧,并且如果您满足所有要求以支持始终使用Windows 10的VPN,则可能切换到后者是正确的选择。

 

始终在VPN for Windows 10客户端计算机上

本教程将引导您完成为运行Windows 10的远程客户端计算机部署Remote Access Always On VPN连接的步骤。

在Windows10中部署始终使用远程访问的VPN

在进一步进一步之前,请确保您有以下几点:

 

Active Directory域基础设施,包括一个或多个域名系统(DNS)服务器。

公共密钥基础设施(PKI)和Active Directory证书服务(AD CS)。

要开始远程访问始终在VPN部署,请安装运行Windows Server 2016的新的远程访问服务器。

 

接下来,使用VPN服务器执行以下操作:

 

在物理服务器中安装两个以太网网络适配器。如果要在虚拟机上安装VPN服务器,则必须创建两个外部虚拟交换机,每个物理网络适配器一个;然后为虚拟机创建两个虚拟网络适配器,每个网络适配器连接到一个虚拟交换机。

在边缘和内部防火墙之间的外围网络上安装服务器,一个网络适配器连接到外部周边网络,一个网络适配器连接到内部周边网络。

完成上述步骤后,将远程访问安装并配置为单个租户VPN RAS网关,用于从远程计算机进行点对点VPN连接。尝试将远程访问配置为RADIUS客户端,以便它可以向组织NPS服务器发送连接请求进行处理。

从认证机构(CA)注册并验证VPN服务器证书。

 

NPS服务器

如果您不知道,服务器是安装在您的组织/公司网络上。 有必要将此服务器配置为RADIUS服务器,以使其能够从VPN服务器接收连接请求。 一旦NPS服务器开始接收请求,它就会处理连接请求,并在向VPN服务器发送Access-Accept或Access-Reject消息之前执行授权和认证步骤。

 

AD DS服务器

服务器是一个内部部署的Active Directory域,它承载内部部署的用户帐户。 它需要您在域控制器上设置以下项目。

1.在计算机和用户的组策略中启用证书自动注册

2.创建VPN用户组

3.创建VPN服务器组

4.创建NPS服务器组

5.CA服务器

证书颁发机构(CA)服务器是运行Active Directory证书服务的证书颁发机构。 CA注册用于PEAP客户端 - 服务器认证的证书,并根据证书模板创建证书。因此,首先,您需要在CA上创建证书模板。允许连接到组织网络的远程用户必须在AD DS中具有用户帐户。

 

另外,请确保您的防火墙允许VPN和RADIUS通信所需的流量正常工作。

 

除了使用这些服务器组件之外,请确保您配置为使用VPN的客户端计算机正在运行Windows10 v 1607或更高版本。 Windows10 VPN客户端是高度可配置的,并提供许多选项。

 

本指南旨在在本地组织网络上部署具有远程访问服务器角色的Always On VPN。请勿尝试在Microsoft Azure中的虚拟机(VM)上部署远程访问。