تكوين VPN من نقطة إلى موقع (P2S) على Windows للاستخدام مع ملفات Azure

يمكنك استخدام اتصال VPN من نقطة إلى موقع (P2S) لتحميل مشاركات ملفات Azure عبر SMB من خارج Azure، دون فتح المنفذ 445. اتصال VPN من نقطة إلى موقع هو اتصال VPN بين Azure وعميل فردي. لاستخدام اتصال P2S VPN مع Azure Files، يجب تكوين اتصال VPN لكل عميل يريد الاتصال. إذا كان لديك العديد من العملاء الذين يحتاجون إلى الاتصال بمشاركات ملفات Azure من شبكتك المحلية، يمكنك استخدام اتصال VPN من موقع إلى موقع (S2S) بدلا من اتصال من نقطة إلى موقع لكل عميل. لمعرفة المزيد، راجع تكوين VPN من موقع إلى موقع للاستخدام مع ملفات Azure.

نوصي بشدة بقراءة اعتبارات الشبكات للوصول المباشر إلى مشاركة ملف Azure قبل متابعة مقالة الكيفية هذه لإجراء مناقشة كاملة لخيارات الشبكات المتوفرة لملفات Azure.

توضح المقالة تفاصيل خطوات تكوين VPN من نقطة إلى موقع على Windows (عميل Windows وWindows Server) لتحميل مشاركات ملفات Azure مباشرة محليا. إذا كنت تبحث عن توجيه حركة مرور Azure File Sync عبر VPN، فشاهد تكوين إعدادات وكيل Azure File Sync وجدار الحماية.

ينطبق على

نوع مشاركة الملف	SMB	NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS)
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS)

المتطلبات الأساسية

• أحدث إصدار من وحدة Azure PowerShell. راجعتركيب الوحدة النمطية في Azure PowerShell.

• مشاركة ملف Azure التي ترغب في إدخالها محليًّا. يتم نشر مشاركات ملفات Azure داخل حسابات التخزين، وهي عبارة عن بنيات إدارة تمثل مجموعة تخزين مشتركة يمكنك من خلالها نشر مشاركات ملفات متعددة، بالإضافة إلى موارد تخزين أخرى. تعرف على المزيد حول كيفية نشر مشاركات ملفات Azure وحسابات التخزين في إنشاء مشاركة ملف Azure.

• شبكة ظاهرية مع نقطة نهاية خاصة لحساب التخزين الذي يحتوي على مشاركة ملف Azure التي تريد تحميلها محليا. لمعرفة كيفية إنشاء نقطة نهاية خاصة، راجع تكوين نقاط نهاية شبكة ملفات Azure.

• يجب إنشاء شبكة فرعية للبوابة على الشبكة الظاهرية. لإنشاء شبكة فرعية للبوابة، قم بتسجيل الدخول إلى مدخل Microsoft Azure، وانتقل إلى الشبكة الظاهرية، وحدد الإعدادات > الشبكات الفرعية، ثم حدد + بوابة الشبكة الفرعية. عند إنشاء الشبكة الفرعية للبوابة، يمكنك تحديد عدد عناوين بروتوكولات الإنترنت التي تحتوي عليها الشبكة الفرعية. يعتمد عدد عناوين "بروتوكولات الإنترنت" المطلوبة على تهيئة بوابة الـ VPN التي تريد إنشاؤها. من الأفضل تحديد /27 أو أكبر (/26 و/25 وما إلى ذلك) للسماح بعناوين IP كافية للتغييرات المستقبلية، مثل إضافة بوابة ExpressRoute.

اجمع المعلومات البيئية

قبل إعداد VPN من نقطة إلى موقع، تحتاج إلى جمع بعض المعلومات حول بيئتك.

المدخل

لإعداد VPN من نقطة إلى موقع باستخدام مدخل Microsoft Azure، ستحتاج إلى معرفة اسم مجموعة الموارد واسم الشبكة الظاهرية واسم الشبكة الفرعية للبوابة واسم حساب التخزين.

Azure PowerShell

قم بتشغيل هذا البرنامج النصي لجمع المعلومات الضرورية. استبدل <resource-group>و <subnet-name><vnet-name>و بالقيم <storage-account-name> المناسبة للبيئة الخاصة بك.

$resourceGroupName  = '<resource-group-name>'
$virtualNetworkName = '<vnet-name>'
$subnetName         = '<subnet-name>'
$storageAccountName = '<storage-account-name>'

$virtualNetworkParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $virtualNetworkName
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

$subnetId = $virtualNetwork |
    Select-Object -ExpandProperty Subnets |
    Where-Object {$_.Name -eq 'StorageAccountSubnet'} |
    Select-Object -ExpandProperty Id

$storageAccountParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $storageAccountName
}
$storageAccount = Get-AzStorageAccount @storageAccountParams

$privateEndpoint = Get-AzPrivateEndpoint |
    Where-Object {
        $subnets = $_ |
            Select-Object -ExpandProperty Subnet |
            Where-Object {$_.Id -eq $subnetId}

        $connections = $_ |
            Select-Object -ExpandProperty PrivateLinkServiceConnections |
            Where-Object {$_.PrivateLinkServiceId -eq $storageAccount.Id}
        
        $null -ne $subnets -and $null -ne $connections
    } |
    Select-Object -First 1

إنشاء شهادة جذرية لمصادقة VPN

لكي تتم مصادقة اتصالات VPN من أجهزة Windows المحلية للوصول إلى شبكتك الظاهرية، يجب إنشاء شهادتين:

1. شهادة الجذر، والتي سيتم توفيرها إلى بوابة الجهاز الظاهري
2. شهادة عميل، والتي سيتم توقيعها مع شهادة الجذر

يمكنك إما استخدام شهادة جذر تم إنشاؤها باستخدام حل مؤسسة، أو يمكنك إنشاء شهادة موقعة ذاتيا. إذا كنت تستخدم حل مؤسسة، فاحصل على ملف .cer لشهادة الجذر من مؤسسة تكنولوجيا المعلومات.

إذا كنت لا تستخدم حل شهادة مؤسسة، قم بإنشاء شهادة جذر موقعة ذاتيا باستخدام برنامج PowerShell النصي هذا. ستقوم بإنشاء شهادة العميل بعد نشر بوابة الشبكة الظاهرية. إذا كان ذلك ممكنا، اترك جلسة PowerShell مفتوحة حتى لا تحتاج إلى إعادة تعريف المتغيرات عند إنشاء شهادة العميل لاحقا في هذه المقالة.

هام

قم بتشغيل برنامج PowerShell النصي هذا كمسؤول من جهاز محلي يعمل بنظام التشغيل Windows 10/Windows Server 2016 أو أحدث. لا تقم بتشغيل البرنامج النصي من Cloud Shell أو VM في Azure.

$rootcertname                = 'CN=P2SRootCert'
$certLocation                = 'Cert:\CurrentUser\My'
$vpnTemp                     = 'C:\vpn-temp'
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

if ($PSVersionTable.PSVersion.Major -ge 6) {
    Import-Module -Name PKI -UseWindowsPowerShell
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = '2048'
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

Export-Certificate -Cert $rootcert -FilePath $exportedencodedrootcertpath -NoClobber | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach ($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

نشر بوابة الشبكة الظاهرية

تعد بوابة الشبكة الظاهرية Azure هي الخدمة التي ستتصل بها أجهزة Windows الموجودة محليًا. إذا لم تكن قد قمت بالفعل، يجب إنشاء شبكة فرعية لبوابة على الشبكة الظاهرية قبل نشر بوابة الشبكة الظاهرية.

يتطلب نشر بوابة شبكة ظاهرية مكونين أساسيين:

1. عنوان IP عام يحدد البوابة لعملائك أينما كانوا في العالم
2. شهادة الجذر التي قمت بإنشائها في الخطوة السابقة، والتي سيتم استخدامها لمصادقة عملائك

يمكنك استخدام مدخل Azure أو Azure PowerShell لنشر بوابة الشبكة الظاهرية. قد يستغرق النشر ما يصل إلى 45 دقيقة لإكماله.

المدخل

لنشر بوابة شبكة ظاهرية باستخدام مدخل Azure، اتبع هذه الإرشادات.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في البحث عن الموارد والخدمات والمستندات، اكتب بوابات الشبكة الظاهرية. حدد موقع بوابات الشبكة الظاهرية في نتائج بحث Marketplace وحددها.

3. حدد + Create لإنشاء بوابة شبكة ظاهرية جديدة.

4. في علامة التبويب أساسيات، املأ قيم معلومات المشروعومعلومات المثيل.

   

   • الاشتراك: حدد الاشتراك الذي تريد استخدامه من القائمة المنسدلة.
   • مجموعة موارد: يتم ملء هذا الإعداد تلقائياً عند تحديدك للشبكة الظاهرية في هذه الصفحة.
   • الاسم: اسم العبارة الخاصة بك. تسمية العبارة ليست مثل تسمية شبكة فرعية للعبارة. إنه اسم كائن البوابة الذي تقوم بإنشائه.
   • المنطقة: حدد المنطقة التي تريد إنشاء هذا المصدر بها. ينبغي لمنطقة العبارة أن تكون نفس الشبكة الظاهرية.
   • نوع العبارة: حدد VPN. تستخدم عبارات VPN نوع عبارة الشبكة الظاهرية VPN.
   • SKU: حدد بوابة SKU التي تدعم الميزات التي تريد استخدامها من القائمة المنسدلة. راجع وحدات SKU الخاصة بالبوابة. لا تستخدم Basic SKU لأنه لا يدعم مصادقة IKEv2.
   • الجيل: حدد الجيل الذي تريد استخدامه. نوصي باستخدام Generation2 SKU. لمزيدٍ من المعلومات، يُرجى مراجعة Gateway SKUs.
   • الشبكة الظاهرية: من القائمة المنسدلة، حدد الشبكة الظاهرية التي تريد إضافة هذه العبارة إليها. إذا لم تتمكن من رؤية الشبكة الظاهرية التي تريد إنشاء بوابة لها، فتأكد من تحديد الاشتراك والمنطقة الصحيحين.
   • الشبكة الفرعية: يجب أن يكون هذا الحقل رمادي اللون وأن يسرد اسم الشبكة الفرعية للبوابة التي قمت بإنشائها، إلى جانب نطاق عناوين IP الخاص بها. إذا رأيت بدلا من ذلك حقل نطاق عناوين الشبكة الفرعية للبوابة مع مربع نص، فأنت لم تقم بعد بتكوين شبكة فرعية للبوابة (راجع المتطلبات الأساسية.)

5. حدد قيم عنوان IP العام الذي يتم إقرانه ببوابة الشبكة الظاهرية. يتم تعيين عنوان IP العام لهذا الكائن عند إنشاء بوابة الشبكة الظاهرية. المرة الوحيدة التي يتغير فيها عنوان IP العام الأساسي هي عند حذف البوابة وإعادة إنشائها. لا يتغير عبر تغيير الحجم أو إعادة التعيين أو الصيانة/الترقيات الداخلية الأخرى.

   

   • عنوان IP العام: اترك Create new محددا.
   • اسم عنوان IP العام: في مربع النص، اكتب اسما لمثيل عنوان IP العام.
   • عنوان IP العام SKU: يتم تحديد الإعداد تلقائيا.
   • التعيين: عادة ما يتم تحديد التعيين تلقائيا ويمكن أن يكون إما ديناميكيا أو ثابتا.
   • تمكين الوضع النشط-النشط: حدد معطل. قم بتمكين هذا الإعداد فقط إذا كنت تقوم بإنشاء تكوين بوابة نشط-نشط.
   • تكوين BGP: حدد Disabled، إلا إذا كان التكوين الخاص بك يتطلب هذا الإعداد على وجه التحديد. إذا كنت تحتاج إلى هذا الإعداد، يكون ASN الافتراضي هو 65515، على الرغم من أنه يمكن تغيير هذه القيمة.

6. حدد Review + create لتشغيل التحقق من الصحة. بمجرد اجتياز التحقق من الصحة، حدد Create لنشر بوابة الشبكة الظاهرية. قد يستغرق النشر ما يصل إلى 45 دقيقة لإكماله.

7. عند اكتمال النشر، حدد Go to resource.

8. في الجزء الأيمن، حدد الإعدادات > تكوين نقطة إلى موقع ثم حدد تكوين الآن. يجب أن تشاهد صفحة تكوين نقطة إلى موقع.

   

   • تجمع العناوين: أضف نطاق عناوين IP الخاص الذي تريد استخدامه. يتلقى عملاء VPN عنوان IP بشكل حيوي من النطاق الذي تحدده. الحد الأدنى قناع الشبكة الفرعية هو 29 بت النشط/السلبي و28 بت للتكوين النشط/النشط.
   • نوع النفق: حدد نوع النفق الذي تريد استخدامه. ستجرب أجهزة الكمبيوتر التي تتصل عبر عميل Windows VPN الأصلي IKEv2 أولا. إذا لم يتصل ذلك، فإنها تعود إلى SSTP (إذا حددت كل من IKEv2 وSSTP من القائمة المنسدلة). إذا حددت نوع نفق OpenVPN، يمكنك الاتصال باستخدام عميل OpenVPN أو عميل Azure VPN.
   • نوع المصادقة: حدد نوع المصادقة الذي تريد استخدامه (في هذه الحالة، اختر شهادة Azure).
   • اسم الشهادة الجذر: اسم ملف الشهادة الجذر (ملف .cer).
   • بيانات الشهادة العامة: افتح الشهادة الجذر باستخدام NotePad وانسخ/الصق بيانات الشهادة العامة في هذا الحقل النصي. إذا استخدمت البرنامج النصي PowerShell في هذه المقالة لإنشاء شهادة جذر موقعة ذاتيا، فسيكون موجودا في C:\vpn-temp. تأكد من لصق النص الموجود بين شهادة -----BEGIN فقط----- وشهادة -----END-----. لا تقم بتضمين أي مسافات أو أحرف إضافية.

   إشعار

   إذا كنت لا ترى نوع النفق أو نوع المصادقة، فإن بوابتك تستخدم Basic SKU. لا يدعم Basic SKU مصادقة IKEv2. إذا كنت ترغب في استخدام IKEv2، تحتاج إلى حذف وإعادة إنشاء البوابة باستخدام بوابة SKU مختلفة.

9. حدد حفظ في أعلى الصفحة لحفظ جميع إعدادات التكوين وتحميل معلومات المفتاح العام للشهادة الجذر إلى Azure.

Azure PowerShell

استبدل <desired-vpn-name> و <desired-region> في البرنامج النصي التالي بالقيم المناسبة لهذه المتغيرات.

أثناء نشر هذا المورد، سيمنع هذا البرنامج النصي PowerShell عملية النشر من الاكتمال. وهذا الأمر متوقع.

$vpnName             = '<desired-vpn-name>' 
$publicIpAddressName = "$vpnName-PublicIP"
$region              = '<desired-region>'

$publicIpParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $publicIpAddressName
    Location          = $region
    Sku               = 'Basic'
    AllocationMethod  = 'Dynamic'
}
$publicIpAddress = New-AzPublicIpAddress @publicIPParams

$gatewayIpParams = @{
    Name = 'vnetGatewayConfig'
    SubnetId = $subnetId
    PublicIpAddressId = $publicIPAddress.Id
}
$gatewayIpConfig = New-AzVirtualNetworkGatewayIpConfig @gatewayIpParams

$vpnClientRootCertParams = @{
    Name           = 'P2SRootCert'
    PublicCertData = $rootCertificate
}
$azRootCertificate = New-AzVpnClientRootCertificate @vpnClientRootCertParams

$virtualNetGatewayParams = @{
    ResourceGroupName         = $resourceGroupName
    Name                      = $vpnName
    Location                  = $region
    GatewaySku                = 'VpnGw2'
    IpConfigurations          = $gatewayIpConfig
    GatewayType               = 'Vpn'
    VpnType                   = 'RouteBased'
    IpConfigurations          = $gatewayIpConfig
    VpnClientAddressPool      = '172.16.201.0/24'
    VpnClientProtocol         = 'IkeV2'
    VpnClientRootCertificates = $azRootCertificate
}
$vpn = New-AzVirtualNetworkGateway @virtualNetGatewayParams

إنشاء شهادة عميل

يجب أن يكون لكل كمبيوتر عميل تتصل به بشبكة ظاهرية مع اتصال من نقطة إلى موقع شهادة عميل مثبتة. تقوم بإنشاء شهادة العميل من شهادة الجذر وتثبيتها على كل كمبيوتر عميل. إذا لم تقم بتثبيت شهادة عميل صالحة، فستفشل المصادقة عندما يحاول العميل الاتصال. يمكنك إما إنشاء شهادة عميل من شهادة جذر تم إنشاؤها باستخدام حل مؤسسة، أو يمكنك إنشاء شهادة عميل من شهادة جذر موقعة ذاتيا.

إنشاء شهادة عميل باستخدام حل مؤسسة

إذا كنت تستخدم حل شهادة مؤسسة، فأنشئ شهادة عميل بتنسيق قيمة الاسم الشائع name@yourdomain.com. استخدم هذا التنسيق بدلًا من تنسيق اسم المجال/اسم المستخدم. تأكد من أن شهادة العميل تستند إلى قالب شهادة المستخدم الذي يحتوي على مصادقة العميل المُدرجة كأول عنصر في قائمة المستخدمين. تحقق من الشهادة بالنقر نقرًا مزدوجًا عليها وعرض استخدام مفتاح مُحسن في علامة تبويب التفاصيل.

إنشاء شهادة عميل من شهادة جذر موقعة ذاتيا

إذا كنت لا تستخدم حل شهادة مؤسسة، يمكنك استخدام PowerShell لإنشاء شهادة عميل باستخدام URI لبوابة الشبكة الظاهرية. سيتم توقيع هذه الشهادة مع الشهادة الجذر التي قمت بإنشائها سابقا. عند إنشاء شهادة عميل من شهادة جذر مُوقعة ذاتيًا، فستُثبت تلقائيًا على الكمبيوتر الذي استخدمته في إنشائها.

إذا كنت ترغب في تثبيت شهادة عميل على كمبيوتر عميل آخر، فقم بتصدير الشهادة كملف .pfx، إلى جانب سلسلة الشهادات بأكملها. سيؤدي القيام بذلك إلى إنشاء ملف .pfx يحتوي على معلومات شهادة الجذر المطلوبة للعميل للمصادقة. لتصدير شهادة الجذر الموقعة ذاتيا ك .pfx، حدد الشهادة الجذر واستخدم نفس الخطوات كما هو موضح في تصدير شهادة العميل.

تحديد شهادة الجذر الموقعة ذاتيا

إذا كنت تستخدم نفس جلسة عمل PowerShell التي استخدمتها لإنشاء شهادة الجذر الموقعة ذاتيا، يمكنك التخطي إلى إنشاء شهادة عميل.

إذا لم يكن الأمر كما هو، فاستخدم الخطوات التالية لتحديد شهادة الجذر الموقعة ذاتيا المثبتة على الكمبيوتر.

1. احصل على قائمة بالشهادات المثبتة على الكمبيوتر.

   Get-ChildItem -Path 'Cert:\CurrentUser\My'
   

2. حدد موقع اسم الموضوع من القائمة التي تم إرجاعها، ثم انسخ بصمة الإبهام الموجودة بجانبه إلى ملف نصي. في المثال التالي، توجد شهادتان. اسم CN هو اسم الشهادة الجذر الموقعة ذاتيًا، والتي تريد إنشاء شهادة تابعة منها. في هذه الحالة، يطلق عليه P2SRootCert.

   Thumbprint                                Subject
   ----------                                -------
   AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
   7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert
   

3. قم بالإعلان عن متغير للشهادة الجذر باستخدام بصمة الإبهام من الخطوة السابقة. استبدل THUMBPRINT ببصمة الإبهام لشهادة الجذر التي تريد إنشاء شهادة عميل منها.

   $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\<THUMBPRINT>'
   

   على سبيل المثال، باستخدام بصمة الإبهام ل P2SRootCert في الخطوة السابقة، يبدو الأمر كما يلي:

   $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655'
   

إنشاء شهادة عميل

New-AzVpnClientConfiguration استخدم PowerShell cmdlet لإنشاء شهادة عميل. إذا كنت لا تستخدم نفس جلسة عمل PowerShell التي استخدمتها لإنشاء شهادة الجذر الموقعة ذاتيا، فستحتاج إلى تحديد شهادة الجذر الموقعة ذاتيا كما هو موضح في القسم السابق. قبل تشغيل البرنامج النصي، استبدل <resource-group-name> باسم مجموعة الموارد الخاصة بك واسم <vpn-gateway-name> بوابة الشبكة الظاهرية التي قمت بنشرها للتو.

هام

قم بتشغيل برنامج PowerShell النصي هذا كمسؤول من جهاز Windows المحلي الذي تريد توصيله بمشاركة ملف Azure. يجب أن يعمل الكمبيوتر بنظام التشغيل Windows 10/Windows Server 2016 أو إصدار أحدث. لا تقم بتشغيل البرنامج النصي من Cloud Shell في Azure. تأكد من تسجيل الدخول إلى حساب Azure قبل تشغيل البرنامج النصي (Connect-AzAccount).

$clientcertpassword = '<enter-your-password>'
$resourceGroupName  = '<resource-group-name>'
$vpnName            = '<vpn-gateway-name>'
$vpnTemp            = 'C:\vpn-temp'
$certLocation       = 'Cert:\CurrentUser\My'

$vpnClientConfigParams = @{
    ResourceGroupName    = $resourceGroupName
    Name                 = $vpnName
    AuthenticationMethod = 'EAPTLS'
}
$vpnClientConfiguration = New-AzVpnClientConfiguration @vpnClientConfigParams

$webRequestParams = @{
    Uri = $vpnClientConfiguration.VpnProfileSASUrl
    OutFile = "$vpnTemp\vpnclientconfiguration.zip"
}
Invoke-WebRequest @webRequestParams

$expandArchiveParams = @{
    Path            = "$vpnTemp\vpnclientconfiguration.zip"
    DestinationPath = "$vpnTemp\vpnclientconfiguration"
}
Expand-Archive @expandArchiveParams

$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile

$exportedclientcertpath = "$vpnTemp\P2SClientCert.pfx"
$clientcertname         = "CN=$($vpnProfile.VpnServer)"

$selfSignedCertParams = @{
    Type              = 'Custom'
    DnsName           = $vpnProfile.VpnServer
    KeySpec           = 'Signature'
    Subject           = $clientcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    Signer            = $rootcert
    TextExtension     = @('2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
$clientcert = New-SelfSignedCertificate @selfSignedCertParams

$mypwd = ConvertTo-SecureString -String $clientcertpassword -Force -AsPlainText

Export-PfxCertificate -FilePath $exportedclientcertpath -Password $mypwd -Cert $clientcert |
    Out-Null

تكوين عميل VPN

ستقوم بوابة الشبكة الظاهرية Azure بإنشاء حزمة قابلة للتنزيل مع ملفات التكوين المطلوبة لتهيئة اتصال VPN على جهاز Windows الموجود محليًا. تحتوي حزمة التكوين على إعدادات خاصة ببوابة VPN التي قمت بإنشائها. إذا قمت بإجراء تغييرات على البوابة، مثل تغيير نوع نفق أو شهادة أو نوع مصادقة، فستحتاج إلى إنشاء حزمة تكوين ملف تعريف عميل VPN أخرى وتثبيتها على كل عميل. وإلا، فقد لا يتمكن عملاء VPN من الاتصال.

ستقوم بتكوين اتصال VPN باستخدام ميزة Always On VPN المقدمة في Windows 10/Windows Server 2016. تحتوي هذه الحزمة أيضا على الملفات التنفيذية التي ستقوم بتكوين عميل Windows VPN القديم، إذا رغبت في ذلك. يستخدم هذا الدليل Always On VPN بدلا من عميل Windows VPN القديم لأن عميل Always On VPN يسمح لك بالاتصال/قطع الاتصال ب Azure VPN دون الحاجة إلى أذونات المسؤول للجهاز.

المدخل

تثبيت شهادة العميل

لتثبيت شهادة العميل المطلوبة للمصادقة مقابل بوابة الشبكة الظاهرية، اتبع هذه الخطوات على كمبيوتر العميل.

1. بمجرد تصدير شهادة العميل، حدد موقع ملف ‎.pfx وانسخه إلى الكمبيوتر العميل.
2. على جهاز الكمبيوتر العميل، انقر نقرًا مزدوجًا فوق الملف ‎.pfx لتثبيته. اترك موقع المتجر بالإعداد المستخدم الحالي، ثم حدد التالي.
3. في صفحة ملف لصفحة الاستيراد، لا تقم بإجراء أي تغييرات. حدد التالي.
4. في صفحة حماية المفتاح الخاص، أدخل كلمة المرور الخاصة بالشهادة، أو تحقق من صحة أساس الأمان، ثم حدد التالي.
5. في الصفحة متجر الشهادات، اترك الموقع الافتراضي، ثم حدد التالي.
6. حدد إنهاء. في تحذير الأمان لتثبيت الشهادة، حدد نعم. يمكنك تحديد "نعم" بشكل مريح لهذا التحذير الأمني لأنك أنشأت الشهادة.
7. يتم الآن استيراد الشهادة بنجاح.

تثبيت عميل VPN

يساعدك هذا القسم على تكوين عميل VPN الأصلي الذي يعد جزءا من نظام التشغيل Windows للاتصال بشبكتك الظاهرية (IKEv2 وSSTP). لا يتطلب هذا التكوين برامج عميل إضافية.

اعرض ملفات التكوين

على كمبيوتر العميل، انتقل إلى C:\vpn-temp مجلد vpnclientconfiguration وافتحه لعرض المجلدات الفرعية التالية:

• WindowsAmd64 وWindowsX86، اللذان يحتويان على حزم مثبت 64 بت و32 بت من Windows، على التوالي. حزمة مثبت WindowsAmd64 مخصصة لجميع عملاء Windows 64 بت المعتمدين، وليس فقط Amd.
• عام، والذي يحتوي على معلومات عامة تستخدم لإنشاء تكوين عميل VPN. يتم توفير المجلد «عام» إذا تم تكوين IKEv2 أو SSTP+IKEv2 على البوابة. إذا تم تكوين SSTP فقط، فإن المجلد العام غير موجود.

تكوين ملف تعريف عميل VPN

يمكنك استخدام نفس حزمة تكوين عميل VPN على كل كمبيوتر عميل يعمل بنظام Windows، طالما أن الإصدار يطابق بنية العميل.

إشعار

يجب أن يكون لديك حقوق مسؤول istrator على كمبيوتر عميل Windows الذي تريد الاتصال منه لتشغيل حزمة المثبت.

1. حدد ملفات تكوين عميل VPN التي تتوافق مع بنية الكمبيوتر الذي يعمل بنظام التشغيل Windows. للحصول على بنية معالج 64 بت، اختر حزمة VpnClientSetupAmd64 المثبت. للحصول على بنية معالج 32 بت، اختر حزمة VpnClientSetupX86 المثبت.

2. انقر نقرًا مزدوجًا فوق الحزمة لتثبيتها. إذا رأيت نافذة SmartScreen منبثقة، فحدد المزيد من المعلومات، ثم قم بتشغيل على أي حال.

3. الاتصال إلى VPN الخاص بك. انتقل إلى الإعدادات VPN وحدد موقع اتصال VPN الذي قمت بإنشائه. إنه نفس اسم شبكتك الظاهرية. حدد اتصال. قد تظهر رسالة منبثقة. حدد Continue لاستخدام الامتيازات الخاصة.

4. في صفحة حالة Connection، حدد Connect لبدء الاتصال. إذا رأيت شاشة Select Certificate، فتحقق من أن شهادة العميل المعروضة هي التي تريد استخدامها للاتصال. إذا لم يكن كذلك، فاستخدم سهم القائمة المنسدلة لتحديد الشهادة الصحيحة، ثم حدد موافق.

Azure PowerShell

سيقوم البرنامج النصي PowerShell التالي بتثبيت شهادة العميل المطلوبة للمصادقة مقابل بوابة الشبكة الظاهرية، ثم تنزيل حزمة VPN وتثبيتها. تذكر استبدال <computer1> و <computer2> بأجهزة الكمبيوتر المطلوبة. يمكنك تشغيل هذا البرنامج النصي على العديد من الأجهزة التي ترغب فيها عن طريق إضافة المزيد من جلسات PowerShell إلى $sessions المصفوفة. يجب أن يكون حساب المستخدم الخاص بك مسؤولا على كل جهاز من هذه الأجهزة. إذا كان أحد هذه الأجهزة هو الجهاز المحلي الذي تقوم بتشغيل البرنامج النصي منه، يجب تشغيل البرنامج النصي من جلسة PowerShell مرتفعة.

$sessions = [System.Management.Automation.Runspaces.PSSession[]]@()
$sessions += New-PSSession -ComputerName '<computer1>'
$sessions += New-PSSession -ComputerName '<computer2>'

foreach ($session in $sessions) {
    Invoke-Command -Session $session -ArgumentList $vpnTemp -ScriptBlock { 
        $vpnTemp = $args[0]
        if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
            New-Item -ItemType Directory -Force -Path 'C:\vpn-temp' | Out-Null
        }
    }

    $copyItemParams = @{
        Path        = @(
            $exportedclientcertpath,
            $exportedrootcertpath,
            "$vpnTemp\vpnclientconfiguration.zip"
        )
        Destination = $vpnTemp
        ToSession   = $session
    }
    Copy-Item @copyItemParams

    $invokeCmdParams = @{
        Session = $session
        ArgumentList = @($mypwd, $vpnTemp, $virtualNetworkName)
    }
    Invoke-Command @invokeCmdParams -ScriptBlock { 
        $mypwd              = $args[0] 
        $vpnTemp            = $args[1]
        $virtualNetworkName = $args[2]
        
        $pfxCertParams = @{
            Exportable        = $true
            Password          = $mypwd
            CertStoreLocation = 'Cert:\LocalMachine\My'
            FilePath          = "$vpnTemp\P2SClientCert.pfx" 
        }
        Import-PfxCertificate @pfxCertParams | Out-Null
        
        $importCertParams = @{
            FilePath          = "$vpnTemp\P2SRootCert.cer"
            CertStoreLocation = "Cert:\LocalMachine\Root"
        }
        Import-Certificate @importCertParams | Out-Null

        $vpnGenericParams = @{
            Path            = "$vpnTemp\vpnclientconfiguration.zip"
            DestinationPath = "$vpnTemp\vpnclientconfiguration"
        }
        Expand-Archive @vpnGenericParams

        $vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"

        $vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile

        $vpnConnectionParams = @{
            Name                 = $virtualNetworkName
            ServerAddress        = $vpnProfile.VpnServer
            TunnelType           = 'Ikev2'
            EncryptionLevel      = 'Required'
            AuthenticationMethod = 'MachineCertificate'
            SplitTunneling       = $true
            AllUserConnection    = $true
        }
        Add-VpnConnection @vpnConnectionParams

        $vpnConnRoute1Params = @{
            Name              = $virtualNetworkName
            DestinationPrefix = $vpnProfile.Routes
            AllUserConnection = $true
        }
        Add-VpnConnectionRoute @vpnConnRoute1Params

        $vpnConnRoute2Params = @{
            Name              = $virtualNetworkName
            DestinationPrefix = $vpnProfile.VpnClientAddressPool
            AllUserConnection = $true
        }
        Add-VpnConnectionRoute @vpnConnRoute2Params

        rasdial $virtualNetworkName
    }
}

Remove-Item -Path $vpnTemp -Recurse

مشاركة ملف Mount Azure

الآن بعد أن قمت بإعداد VPN من نقطة إلى موقع، يمكنك استخدامه لتحميل مشاركة ملف Azure إلى جهاز محلي.

المدخل

لتحميل مشاركة الملف باستخدام مفتاح حساب التخزين الخاص بك، افتح موجه أوامر Windows وقم بتشغيل الأمر التالي. استبدل <YourStorageAccountName>و <FileShareName>و <YourStorageAccountKey> بقيمك الخاصة. إذا كان Z: قيد الاستخدام بالفعل، فاستبدله بحرف محرك أقراص متوفر. يمكنك العثور على مفتاح حساب التخزين الخاص بك في مدخل Microsoft Azure عن طريق الانتقال إلى حساب التخزين وتحديد مفاتيح الوصول إلى الأمان + الشبكات>.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Azure PowerShell

سيقوم البرنامج النصي PowerShell التالي بتحميل المشاركة، وإدراج الدليل الجذر للمشاركة لإثبات تحميل المشاركة بالفعل، ثم إلغاء تحميل المشاركة.

إشعار

لا يمكن تحميل المشاركة باستمرار عبر الاتصال عن بعد في PowerShell. للتحميل باستمرار، راجع استخدام مشاركة ملف Azure مع Windows.

$myShareToMount = '<file-share>'

$storageAccountKeyParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $storageAccountName
}
$storageAccountKeys = Get-AzStorageAccountKey @storageAccountKeyParams

$convertToSecureStringParams = @{
    String = $storageAccountKeys[0].Value
    AsPlainText = $true
    Force = $true
}
$storageAccountKey = ConvertTo-SecureString @convertToSecureStringParams

$getAzNetworkInterfaceParams = @{
    ResourceId = $privateEndpoint.NetworkInterfaces[0].Id
}
$nic = Get-AzNetworkInterface @getAzNetworkInterfaceParams

$storageAccountPrivateIP = $nic.IpConfigurations[0].PrivateIpAddress

$invokeCmdParams = @{
    Session = $sessions
    ArgumentList = @(
        $storageAccountName,
        $storageAccountKey,
        $storageAccountPrivateIP,
        $myShareToMount
    )
}
Invoke-Command @invokeCmdParams -ScriptBlock {
    $storageAccountName      = $args[0]
    $storageAccountKey       = $args[1]
    $storageAccountPrivateIP = $args[2]
    $myShareToMount          = $args[3]

    $credential = [System.Management.Automation.PSCredential]::new(
        "AZURE\$storageAccountName", 
        $storageAccountKey
    )

    $psDriveParams = @{
        Name       = 'Z'
        PSProvider = 'FileSystem'
        Root       = "\\$storageAccountPrivateIP\$myShareToMount"
        Credential = $credential
        Persist    = $true
    }
    New-PSDrive @psDriveParams | Out-Null

    Get-ChildItem -Path Z:\
    Remove-PSDrive -Name Z
}

تدوير شهادة VPN جذرية

إذا كانت هناك حاجة إلى تدوير شهادة الجذر بسبب انتهاء الصلاحية أو المتطلبات الجديدة، يمكنك إضافة شهادة جذر جديدة إلى بوابة الشبكة الظاهرية الموجودة دون إعادة نشر بوابة الشبكة الظاهرية. بعد إضافة شهادة الجذر باستخدام البرنامج النصي التالي، ستحتاج إلى إعادة إنشاء شهادة عميل VPN.

استبدل <resource-group-name>, <desired-vpn-name-here>, و <new-root-cert-name> بقيمك الخاصة، ثم قم بتشغيل البرنامج النصي.

#Creating the new Root Certificate
$ResourceGroupName           = '<resource-group-name>'
$vpnName                     = '<desired-vpn-name-here>'
$NewRootCertName             = '<new-root-cert-name>'
$rootcertname                = "CN=$NewRootCertName"
$certLocation                = 'Cert:\CurrentUser\My'
$date                        = Get-Date -Format 'MM_yyyy'
$vpnTemp                     = "C:\vpn-temp_$date"
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

$exportCertParams = @{
    Cert      = $rootcert
    FilePath  = $exportedencodedrootcertpath
    NoClobber = $true
}
Export-Certificate @exportCertParams | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName $ResourceGroupName

$vpnClientRootCertParams = @{
    PublicCertData               = $rootCertificate
    ResourceGroupName            = $ResourceGroupName
    VirtualNetworkGatewayName    = $gateway
    VpnClientRootCertificateName = $NewRootCertName
}
Add-AzVpnClientRootCertificate @vpnClientRootCertParams

(راجع أيضًا )

• تكوين إعدادات الخادم لاتصالات بوابة P2S VPN
• اعتبارات التواصل للوصول المباشر إلى مشاركة ملفات Azure
• تكوين VPN من نقطة إلى موقع (P2S) على Linux للاستخدام مع Azure Files
• تكوين VPN من موقع إلى موقع (S2S) للاستخدام مع ملفات Azure