"DirectAccess" buvo įdiegta "Windows 8.1" ir "Windows Server 2012" operacinėse sistemose kaip funkcija, leidžianti Windows vartotojams nuotoliniu būdu prisijungti. Tačiau po to, kai buvo paleistas " Windows 10", šios infrastruktūros diegimas sumažėjo. "Microsoft" aktyviai skatina organizacijas svarstyti "DirectAccess" sprendimą, o ne įdiegti kliento pagrindu veikiančią VPN su "Windows 10." Visada VPN naudojantis tradiciniais nuotolinės prieigos VPN protokolais, tokiais kaip IKEv2, SSTP ir L2TP / IPsec, sukuria "DirectAccess" patyrimą. Be to, tai taip pat turi papildomos naudos.
Nauja funkcija buvo pristatyta "Windows 10" jubiliejaus atnaujinime, kad IT administratoriai galėtų konfigūruoti automatinius VPN prisijungimo profilius. Kaip minėta anksčiau, "Always On VPN" turi keletą svarbių pranašumų prieš "DirectAccess". Pavyzdžiui, visada VPN gali naudoti tiek IPv4, tiek IPv6. Taigi, jei turite tam tikrų rūpesčių dėl "DirectAccess" gyvybingumo ateityje ir jei atitiksite visus reikalavimus, reikalingus palaikyti Visada VPN su "Windows 10", tada galbūt pereiti prie pastarosios yra tinkamas pasirinkimas.
Visada VPN "Windows 10" klientų kompiuteriams
Šiame vadove pateikiama informacija apie veiksmus, skirtus nuotolinės prieigos nuotolinės prieigos visada VPN jungtyse nuotoliniams klientams, naudojantiems "Windows 10".
- "Active Directory" domeno infrastruktūra, įskaitant vieną ar daugiau domenų vardų sistemos (DNS) serverių.
- Viešosios raktų infrastruktūros (PKI) ir Active Directory sertifikatų paslaugos (AD CS).
Pradėti Nuotolinė prieiga visada naudojant VPN diegimą, įdiekite naują nuotolinės prieigos serverį, kuriame veikia "Windows Server 2016".
Tada atlikite šiuos veiksmus su VPN serveriu:
- Įdiekite du Ethernet tinklo adapterius fiziniame serveryje. Jei įdiegiate VPM serverį VM, turite sukurti du išorinius virtualius jungiklius, po vieną kiekvienam fiziniam tinklo adapteriui; tada sukurkite du virtualaus tinklo adapterius VM, kiekvienas tinklo adapteris prijungtas prie vieno virtualaus jungiklio.
- Įdiekite serverį perimetro tinkle tarp savo krašto ir vidinių užkardos, su vienu išoriniu perimetru tinklo prijungtu tinklo adapteriu ir vienu tinklo adapteriu, prijungtu prie vidinio perimetro tinklo.
Atlikę aukščiau aprašytą procedūrą, įdiekite ir konfigūruokite nuotolinę prieigą kaip atskirą nuomininką VPN RAS Gateway iš vietinių VPN jungčių iš nutolusių kompiuterių. Pabandykite konfigūruoti nuotolinę prieigą kaip RADIUS klientą, kad jis galėtų siųsti prašymus prisijungti prie organizacijos NPS serverio apdorojimui.
Užsiregistruokite ir patvirtinkite VPN serverio sertifikatą iš savo sertifikavimo institucijos (CA).
NPS serveris
Jei nežinote, serveris yra įdiegtas jūsų organizacijoje / įmonės tinkle. Šį serverį reikia sukonfigūruoti kaip "RADIUS" serverį, kad jis galėtų gauti ryšio užklausas iš VPN serverio. Kai NPS serveris pradeda gauti užklausas, jis apdoroja prisijungimo užklausas ir atlieka autorizacijos ir autentiškumo patvirtinimo veiksmus prieš siunčiant VPN serveriui pranešimą "Prieiga-priimti" arba "Prieiga-atmesti".
AD DS serveris
Serveris yra vietinis "Active Directory" domenas, kuriame yra lokalių naudotojų paskyrų. Tam reikia nustatyti domeno valdiklyje esančius elementus.
- Įgalinti kompiuterių ir naudotojų grupės politiką automatinį prisijungimą
- Sukurkite VPN naudotojų grupę
- Sukurkite VPN serverių grupę
- Sukurkite NPS serverių grupę
- CA serveris
Sertifikavimo tarnybos (CA) serveris yra sertifikavimo institucija, kurioje veikia "Active Directory" sertifikavimo paslaugos. CA įveda sertifikatus, kurie naudojami PEAP kliento ir serverio autentifikavimui, ir kuria sertifikatus, pagrįstus sertifikatų šablonais. Taigi, pirma, jums reikia sukurti sertifikatų šablonus CA. Nuotoliniai naudotojai, kuriems leidžiama prisijungti prie jūsų organizacijos tinklo, turi turėti AD DS vartotojo paskyrą.
Taip pat įsitikinkite, kad jūsų ugniasienės leidžia srautui, kuris reikalingas tiek VPN, tiek RADIUS ryšiui, kad jis veiktų teisingai.
Be šių serverių komponentų įdiegimo, įsitikinkite, kad kliento kompiuteriuose, kuriuose konfigūruojatės naudoti VPN, veikia "Windows 10" arba "1607" arba naujesnė versija. "Windows 10" VPT klientas yra labai konfigūruojamas ir siūlo daugybę galimybių.
Šis vadovas skirtas dislokuoti visada VPN su nuotolinės prieigos serverio funkcija lokaliu organizacijos tinklu. Nebandykite diegti nuotolinės prieigos "Microsoft Azure" virtualioje mašinoje (VM).
Norėdami gauti išsamios informacijos ir konfigūravimo veiksmus, galite kreiptis į šį "Microsoft" dokumentą.
Taip pat skaitykite: Kaip nustatyti ir naudoti "AutoVPN" "Windows 10" nuotoliniu būdu.
Susijusios žinutės:
- Bendras VPN klaidų kodų trikčių diagnostikos ir sprendimų sprendimas "Windows 10"
- Dabar atėjo laikas naudoti VPN programinę įrangą ir dėl saugumo ir privatumo
- Geriausia nemokama VPT programinė įranga, skirta "Windows 10" kompiuteriui
- Kaip nustatyti "Windows 10" "VPN" - žingsnis po žingsnio vadovas
- "Remote Credential Guard" apsaugo "Remote Desktop" įgaliojimus "Windows 10"
