Computer >> Máy Tính >  >> Hệ thống >> Windows

Triển khai VPN luôn bật với quyền truy cập từ xa trong Windows 11/10

DirectAccess được giới thiệu trong hệ điều hành Windows 8.1 và Windows Server 2012 như một tính năng cho phép người dùng Windows kết nối từ xa. Tuy nhiên, sau khi ra mắt Windows 11/10 , việc triển khai cơ sở hạ tầng này đã chứng kiến ​​một sự sụt giảm. Microsoft đã tích cực khuyến khích các tổ chức xem xét giải pháp DirectAccess để triển khai VPN dựa trên máy khách với Windows 10. Always On VPN này kết nối mang lại trải nghiệm giống như DirectAccess bằng cách sử dụng các giao thức VPN truy cập từ xa truyền thống như IKEv2, SSTP và L2TP / IPsec. Bên cạnh đó, nó cũng đi kèm với một số lợi ích bổ sung.

Tính năng mới đã được giới thiệu trong Bản cập nhật kỷ niệm Windows 10 để cho phép quản trị viên CNTT định cấu hình cấu hình kết nối VPN tự động. Như đã đề cập trước đó, Always On VPN có một số lợi thế quan trọng so với DirectAccess. Ví dụ:Always On VPN có thể sử dụng cả IPv4 và IPv6. Vì vậy, nếu bạn có chút e ngại về khả năng tồn tại trong tương lai của DirectAccess và nếu bạn đáp ứng tất cả các yêu cầu để hỗ trợ Always On VPN với Windows 10, thì có lẽ chuyển sang phiên bản thứ hai là lựa chọn đúng đắn.

Luôn bật VPN cho máy khách Windows 11/10

Hướng dẫn này sẽ hướng dẫn bạn các bước để triển khai kết nối VPN Luôn truy cập Từ xa cho các máy khách từ xa đang chạy Windows 11/10.

Triển khai VPN luôn bật với quyền truy cập từ xa trong Windows 11/10

Trước khi tiếp tục, hãy đảm bảo bạn có những điều sau:

  • Cơ sở hạ tầng miền Active Directory, bao gồm một hoặc nhiều máy chủ Hệ thống tên miền (DNS).
  • Cơ sở hạ tầng khóa công khai (PKI) và Dịch vụ chứng chỉ Active Directory (AD CS).

Để bắt đầu Truy cập từ xa Luôn triển khai VPN , cài đặt một máy chủ Truy cập Từ xa mới đang chạy Windows Server 2016.

Tiếp theo, thực hiện các tác vụ sau với Máy chủ VPN:

  1. Cài đặt hai bộ điều hợp mạng Ethernet trong máy chủ vật lý. Nếu bạn đang cài đặt máy chủ VPN trên một máy ảo, bạn phải tạo hai thiết bị chuyển mạch ảo Bên ngoài, một công tắc cho mỗi bộ điều hợp mạng vật lý; rồi tạo hai bộ điều hợp mạng ảo cho máy ảo, với mỗi bộ điều hợp mạng được kết nối với một công tắc ảo.
  2. Cài đặt máy chủ trên mạng ngoại vi của bạn giữa tường lửa cạnh và tường lửa bên trong, với một bộ điều hợp mạng được kết nối với Mạng ngoại vi và một bộ điều hợp mạng được kết nối với Mạng ngoại vi.

Sau khi bạn hoàn tất quy trình trên, hãy cài đặt và định cấu hình Truy cập Từ xa làm Cổng RAS VPN cho một đối tượng thuê cho các kết nối VPN điểm-trang từ các máy tính từ xa. Hãy thử định cấu hình Truy cập từ xa dưới dạng Máy khách RADIUS để nó có thể gửi yêu cầu kết nối đến máy chủ NPS của tổ chức để xử lý.

Đăng ký và xác thực chứng chỉ máy chủ VPN từ cơ quan cấp chứng chỉ của bạn (CA).

Máy chủ NPS

Nếu bạn không biết, đó là máy chủ được cài đặt trên mạng tổ chức / công ty của bạn. Cần phải định cấu hình máy chủ này như một máy chủ RADIUS để cho phép nó nhận các yêu cầu kết nối từ máy chủ VPN. Khi máy chủ NPS bắt đầu nhận được yêu cầu, nó sẽ xử lý các yêu cầu kết nối và thực hiện các bước ủy quyền và xác thực trước khi gửi thông báo Access-Accept hoặc Access-Reject tới Máy chủ VPN.

Máy chủ AD DS

Máy chủ là miền Active Directory tại chỗ, chứa các tài khoản người dùng tại chỗ. Nó yêu cầu bạn thiết lập các mục sau trên bộ điều khiển miền.

  1. Bật tính năng tự động đăng ký chứng chỉ trong Chính sách nhóm cho máy tính và người dùng
  2. Tạo Nhóm người dùng VPN
  3. Tạo Nhóm máy chủ VPN
  4. Tạo Nhóm máy chủ NPS
  5. Máy chủ CA

Máy chủ của Cơ quan cấp chứng chỉ (CA) là cơ quan cấp chứng chỉ đang chạy Dịch vụ chứng chỉ Active Directory. CA đăng ký các chứng chỉ được sử dụng để xác thực máy khách-máy chủ PEAP và tạo chứng chỉ dựa trên các mẫu chứng chỉ. Vì vậy, trước tiên, bạn cần tạo các mẫu chứng chỉ trên CA. Người dùng từ xa được phép kết nối với mạng tổ chức của bạn phải có tài khoản người dùng trong AD DS.

Ngoài ra, hãy đảm bảo rằng tường lửa của bạn cho phép lưu lượng cần thiết cho cả giao tiếp VPN và RADIUS hoạt động chính xác.

Ngoài việc có các thành phần máy chủ này, hãy đảm bảo rằng các máy khách mà bạn định cấu hình để sử dụng VPN đang chạy Windows 11/10. Máy khách Windows VPN có thể cấu hình cao và cung cấp nhiều tùy chọn.

Hướng dẫn này được thiết kế để triển khai Always On VPN với vai trò máy chủ Truy cập Từ xa trên mạng tổ chức tại chỗ. Vui lòng không cố triển khai Truy cập Từ xa trên máy ảo (VM) trong Microsoft Azure.

Để biết đầy đủ chi tiết và các bước cấu hình, bạn có thể tham khảo Tài liệu Microsoft này.

Cũng đọc :Cách thiết lập và sử dụng AutoVPN trong Windows để kết nối từ xa.

Triển khai VPN luôn bật với quyền truy cập từ xa trong Windows 11/10