DirectAccess bol predstavený v operačných systémoch Windows 8.1 a Windows Server 2012 ako funkcia umožňujúca užívateľom Windows pripojiť sa vzdialene. Avšak po spustení Windows 10, rozmiestnenie tejto infraštruktúry zaznamenalo pokles. Spoločnosť Microsoft aktívne povzbudzuje organizácie, ktoré zvažujú riešenie DirectAccess, aby namiesto toho implementovali VPN klientov so systémom Windows 10. Toto Vždy zapnuté VPN pripojenie prináša skúsenosť podobnú rozhraniu DirectAccess pomocou tradičných VPN protokolov vzdialeného prístupu, ako sú IKEv2, SSTP a L2TP / IPsec. Okrem toho prichádza s niektorými ďalšími výhodami.
Nová funkcia bola zavedená v aktualizácii Windows 10 Anniversary Update, ktorá umožňuje správcom IT konfigurovať automatické profily pripojenia VPN. Ako už bolo spomenuté, Always On VPN má niekoľko dôležitých výhod oproti DirectAccess. Napríklad služba Always On VPN môže používať protokoly IPv4 aj IPv6. Takže ak máte nejaké obavy týkajúce sa budúcej životaschopnosti DirectAccess a ak spĺňate všetky požiadavky na podporu Vždy zapnuté VPN so systémom Windows 10, potom je pravdepodobné, že prejdete na druhý.
Vždy zapnuté VPN pre klientske počítače s operačným systémom Windows 10
Tento návod vás prevedie postupmi nasadzovania pripojení VPN vzdialeného prístupu vždy k vzdialeným klientským počítačom so systémom Windows 10.
- Infraštruktúra domény služby Active Directory vrátane jedného alebo viacerých serverov DNS (Domain Name System).
- Infraštruktúra verejných kľúčov (PKI) a Služby certifikátov služby Active Directory (AD CS).
Začať Vzdialený prístup je vždy na nasadení VPN, nainštalujte nový server vzdialeného prístupu so systémom Windows Server 2016.
Ďalej vykonajte nasledujúce kroky s serverom VPN:
- Inštalujte dva sieťové adaptéry Ethernet na fyzický server. Ak inštalujete server VPN na server VM, musíte vytvoriť dva externé virtuálne prepínače, jeden pre každý fyzický sieťový adaptér; a potom vytvorte dva virtuálne sieťové adaptéry pre VM, pričom každý sieťový adaptér je pripojený k jednému virtuálnemu prepínaču.
- Nainštalujte server vo svojej obvodovej sieti medzi hranicu a interné firewally, s jedným sieťovým adaptérom pripojeným k externej perimeternej sieti a jedným sieťovým adaptérom pripojeným k internej sieti obvodu.
Po dokončení vyššie uvedeného postupu nainštalujte a nakonfigurujte vzdialený prístup ako VPN RAS brána pre jedného nájomcu pre pripojenia VPN typu point-to-site zo vzdialených počítačov. Skúste konfigurovať vzdialený prístup ako klient RADIUS tak, aby bol schopný odoslať žiadosti o pripojenie na server organizácie NPS na spracovanie.
Zapíšte a overte certifikát servera VPN od certifikačnej autority (CA).
NPS Server
Ak si nie ste vedomý, je server nainštalovaný vo vašej organizácii / firemnej sieti. Je potrebné nakonfigurovať tento server ako server RADIUS, aby mohol prijímať požiadavky na pripojenie zo servera VPN. Keď server NPS začne prijímať žiadosti, spracuje žiadosti o pripojenie a vykoná autorizačné a autentifikačné kroky pred odoslaním správy Access-Accept alebo Access-Reject na server VPN.
Server AD DS
Server je doména služby Active Directory v priestoroch, ktorá je hostiteľom používateľských účtov v areáli. Vyžaduje nastavenie nasledujúcich položiek na radiči domény.
- Povolenie automatického zápisu certifikátu v Zásadách skupiny pre počítače a používateľov
- Vytvorte skupinu používateľov VPN
- Vytvorte skupinu VPN serverov
- Vytvorte skupinu serverov NPS
- CA Server
Certifikačný orgán (CA) Server je certifikačná autorita, ktorá používa certifikačné služby služby Active Directory. CA zapíše certifikáty, ktoré sa používajú na autentifikáciu klient-server PEAP a vytvára certifikáty založené na šablónach certifikátov. Takže najskôr musíte vytvoriť šablóny certifikátov na CA. Vzdialení používatelia, ktorí majú povolené pripojenie k sieti vašej organizácie, musia mať v službe AD DS používateľský účet.
Takisto sa uistite, že vaše brány firewall umožňujú prevádzku správnej komunikácie VPN aj RADIUS.
Okrem týchto komponentov servera zabezpečte, aby klientské počítače, ktoré nakonfigurujete na používanie VPN, používali systém Windows 10 v 1607 alebo novší. Klient Windows VPN 10 je vysoko konfigurovateľný a ponúka veľa možností.
Táto príručka je navrhnutá na nasadenie funkcie Always On VPN s rolou servera Remote Access v lokálnej organizačnej sieti. Nesnažte sa nasadiť vzdialený prístup na virtuálny počítač (VM) v programe Microsoft Azure.
Úplné podrobnosti a kroky konfigurácie nájdete v tomto dokumente Microsoft.
Prečítajte si tiež: Ako nastaviť a používať AutoVPN v systéme Windows 10 na vzdialené pripojenie.
Súvisiace príspevky:
- Bežné kódy chýb VPN pre riešenie problémov a riešenia pre systém Windows 10
- Teraz je čas používať softvér VPN aj pre bezpečnosť a súkromie
- Najlepšie voľné VPN softvér pre Windows 10 PC
- Ako nastaviť VPN v systéme Windows 10 - Sprievodca krok za krokom
- Vzdialená certifikačná ochrana chráni poverenia Vzdialenej pracovnej plochy v systéme Windows 10
