Sdílet prostřednictvím

Kurz: Nasazení infrastruktury vpn AlwaysOn

AlwaysOn VPN je řešení vzdáleného přístupu ve Windows Serveru, které poskytuje bezproblémové a zabezpečené připojení vzdálených uživatelů k podnikovým sítím. Podporuje pokročilé metody ověřování a integruje se s existující infrastrukturou a nabízí moderní alternativu k tradičním řešením VPN. Tento kurz začíná řadou nasazení sítě VPN AlwaysOn v ukázkovém prostředí.

V tomto kurzu se dozvíte, jak nasadit ukázkovou infrastrukturu pro připojení VPN AlwaysOn pro klientské počítače s Windows připojenými ke vzdálené doméně. Pokud chcete vytvořit ukázkovou infrastrukturu, budete:

  • Vytvořte řadič domény služby Active Directory.
  • Nakonfigurujte zásady skupiny pro automatické zápisy certifikátů.
  • Vytvořte server NPS (Network Policy Server).
  • Vytvořte server VPN.
  • Vytvořte uživatele a skupinu VPN.
  • Nakonfigurujte server VPN jako klienta RADIUS.
  • Nakonfigurujte server NPS jako server RADIUS.

Další informace o síti VPN AlwaysOn, včetně podporovaných integrací, funkcí zabezpečení a připojení, najdete v tématu Přehled sítě VPN AlwaysOn.

Požadavky

Abyste mohli dokončit kroky v tomto kurzu, musíte splnit následující požadavky:

  • Tři servery (fyzické nebo virtuální) s podporovanou verzí Windows Serveru. Tyto servery jsou řadič domény, server NPS a server VPN.

  • Server, který používáte pro server NPS, potřebuje nainstalované dva fyzické síťové adaptéry: jeden pro připojení k internetu a druhý pro připojení k síti, ve které se nachází řadič domény.

  • Uživatelský účet na všech počítačích, které jsou členy místní skupiny zabezpečení Administrators nebo ekvivalentní.

Důležité

Použití vzdáleného přístupu v Microsoft Azure se nepodporuje. Další informace najdete v tématu Podpora serverového softwaru microsoftu pro virtuální počítače Microsoft Azure.

Vytvoření řadiče domény

  1. Na serveru, který chcete být řadičem domény, nainstalujte službu Active Directory Domain Services (AD DS). Podrobné informace o tom, jak nainstalovat službu AD DS, najdete v tématu Instalace služby Active Directory Domain Services.

  2. Zvýšení úrovně Windows Serveru na řadič domény Pro účely tohoto kurzu vytvoříte novou doménovou strukturu a doménu v této nové doménové struktuře. Podrobné informace o instalaci řadiče domény najdete v tématu Instalace služby AD DS.

  3. Nainstalujte a nakonfigurujte certifikační autoritu (CA) na řadiči domény. Podrobné informace o instalaci certifikační autority najdete v tématu Instalace certifikační autority.

Konfigurace zásad skupiny pro automatické zapisování certifikátů

V této části vytvoříte zásadu skupiny na řadiči domény, aby členové domény automaticky požadovali uživatelské a počítačové certifikáty. Tato konfigurace umožňuje uživatelům SÍTĚ VPN vyžádat a načíst uživatelské certifikáty, které automaticky ověřují připojení VPN. Tato zásada také umožňuje serveru NPS automaticky požadovat ověřovací certifikáty serveru.

  1. Na řadiči domény otevřete konzolu pro správu zásad skupiny.

  2. V levém podokně klikněte pravým tlačítkem na svoji doménu (například corp.contoso.com). Vyberte Vytvořit objekt zásad v této doméně a propojte ho sem.

  3. V dialogovém okně Nový objekt zásad skupiny zadejte jako NázevPolicy automatického zápisu. Vyberte OK.

  4. V levém podokně klikněte pravým tlačítkem myši na Zásady automatického zápisu. Výběrem možnosti Upravit otevřete Editor správy zásad skupiny.

  5. V Editoru pro správu zásad skupiny proveďte následující kroky ke konfiguraci automatického zápisu certifikátu počítače:

    1. Přejděte do části Konfigurace počítače>Zásady>Nastavení Windows>Zabezpečení>Zásady veřejného klíče.

    2. V podokně podrobností klikněte pravým tlačítkem na Klient služby certifikátů – Automatická registrace. Vyberte Vlastnosti.

    3. V dialogovém okně Vlastnosti automatické registrace v klientovi Certifikační služby vyberte pro konfigurační modelpovoleno.

    4. Vyberte Obnovit prošlé certifikáty, aktualizovat čekající certifikáty a odebrat odvolané certifikáty a aktualizovat certifikáty, které používají šablony certifikátů.

    5. Vyberte OK.

  6. V Editoru pro správu zásad skupiny proveďte následující kroky pro konfiguraci automatického zápisu certifikátu uživatele:

    1. Přejděte do části Konfigurace uživatelů>Zásady>Nastavení systému Windows>Nastavení zabezpečení>Zásady veřejného klíče.

    2. V podokně podrobností klikněte pravým tlačítkem na klienta Certifikační služby – Automatická registrace a vyberte Vlastnosti.

    3. V klientovi Certifikační služby – dialogové okno Vlastnosti automatické registrace v konfiguračním modelu vyberte Povoleno.

    4. Vyberte Obnovit prošlé certifikáty, aktualizovat čekající certifikáty a odebrat odvolané certifikáty a aktualizovat certifikáty, které používají šablony certifikátů.

    5. Vyberte OK.

    6. Zavřete Editor správy zásad skupiny.

  7. Použijte zásadu skupiny pro uživatele a počítače v doméně.

  8. Zavřete konzolu pro správu zásad skupiny.

Vytvoření serveru NPS

  1. Na serveru, který chcete být serverem NPS, nainstalujte roli NPS (Network Policy and Access Services). Podrobné informace o tom, jak nainstalovat NPS, naleznete v tématu Instalace serveru NPS.

  2. Zaregistrujte server NPS ve službě Active Directory. Informace o tom, jak zaregistrovat server NPS ve službě Active Directory, naleznete v tématu Registrace serveru NPS v doméně služby Active Directory.

  3. Ujistěte se, že brány firewall povolují veškerý provoz nezbytný pro správné fungování komunikací VPN i protokolu RADIUS. Další informace najdete v tématu Konfigurace bran firewall pro provoz protokolu RADIUS.

  4. Vytvořte skupinu serverů NPS:

    1. Na řadiči domény otevřete Uživatelé a počítače služby Active Directory.

    2. Pod vaší doménou klikněte pravým tlačítkem na Počítače. Vyberte Nový a pak vyberte Skupina.

    3. Do pole Název skupiny zadejte servery NPS a pak vyberte OK.

    4. Klikněte pravým tlačítkem na servery NPS a vyberte Vlastnosti.

    5. Na kartě Členové dialogového okna Vlastnosti serverů NPS vyberte Přidat.

    6. Vyberte Typy objektů, zaškrtněte políčko Počítače a pak vyberte OK.

    7. Do pole Zadejte názvy objektů, které chcete vybrat, zadejte název hostitele serveru NPS. Vyberte OK.

    8. Zavřete uživatele a počítače služby Active Directory.

Vytvoření serveru VPN

  1. V případě serveru, na kterém běží server VPN, se ujistěte, že má počítač nainstalované dva fyzické síťové adaptéry: jeden pro připojení k internetu a druhý pro připojení k síti, ve které je umístěný řadič domény.

  2. Určete, který síťový adaptér se připojuje k internetu a který síťový adaptér se připojuje k doméně. Nakonfigurujte síťový adaptér směřující k internetu s veřejnou IP adresou, zatímco adaptér směřující k intranetu může používat IP adresu z místní sítě.

  3. U síťového adaptéru, který se připojuje k doméně, nastavte upřednostňovanou IP adresu DNS na IP adresu řadiče domény.

  4. Připojte server VPN k doméně. Informace o připojení serveru k doméně najdete v tématu Připojení serveru k doméně.

  5. Otevřete pravidla brány firewall a povolte příchozí provoz na UDP porty 500 a 4500 směrem k externí IP adrese použitou pro veřejné rozhraní na serveru VPN. Pro síťový adaptér připojující se k doméně povolte následující porty UDP: 1812, 1813, 1645 a 1646.

  6. Vytvořte skupinu SERVERŮ VPN:

    1. Na řadiči domény otevřete Uživatelé a počítače služby Active Directory.

    2. Pod vaší doménou klikněte pravým tlačítkem na Počítače. Vyberte Nový a pak vyberte Skupina.

    3. Do pole Název skupiny zadejte servery VPN a pak vyberte OK.

    4. Klikněte pravým tlačítkem myši na servery VPN a vyberte Vlastnosti.

    5. Na kartě Členové dialogového okna Vlastnosti serverů VPN vyberte Přidat.

    6. Vyberte Typy objektů, zaškrtněte políčko Počítače a pak vyberte OK.

    7. Do pole Zadejte názvy objektů, které chcete vybrat, zadejte název hostitele serveru VPN. Vyberte OK.

    8. Zavřete uživatele a počítače služby Active Directory.

  7. Postupujte podle kroků v části Instalace vzdáleného přístupu jako serveru VPN a nainstalujte server VPN.

  8. Otevřete směrování a vzdálený přístup ze Správce serveru.

  9. Klikněte pravým tlačítkem myši na název serveru VPN a pak vyberte Vlastnosti.

  10. Ve vlastnostech vyberte kartu Zabezpečení a pak:

    1. Vyberte zprostředkovatele ověřování a vyberte Ověřování RADIUS.

    2. Výběrem možnosti Konfigurovat otevřete dialogové okno Ověřování protokolu RADIUS.

    3. Výběrem Přidat otevřete dialogové okno Přidat server RADIUS.

      1. Do pole Název serveru zadejte plně kvalifikovaný název domény (FQDN) serveru NPS, což je také server RADIUS. Pokud je například NetBIOS název vašeho serveru NPS a vašeho serveru řadiče domény nps1 a název vaší domény corp.contoso.com, zadejte nps1.corp.contoso.com.

      2. V části Sdílené tajemství vyberte možnost Změnit pro otevření dialogového okna Změnit tajemství.

      3. Do pole Nový tajný klíč zadejte textový řetězec.

      4. Do pole Potvrdit nový tajný kód zadejte stejný textový řetězec a pak vyberte OK.

      5. Uložte tento tajný kód. Budete ho potřebovat, když tento server VPN přidáte jako klienta RADIUS později v tomto kurzu.

    4. Kliknutím na tlačítko OK zavřete dialogové okno Přidat server RADIUS .

    5. Kliknutím na tlačítko OK zavřete dialogové okno Ověřování protokolu RADIUS .

  11. V dialogovém okně Vlastnosti serveru VPN vyberte Metody ověřování....

  12. Vyberte Povolit ověřování certifikátů počítače pro protokol IKEv2.

  13. Vyberte OK.

  14. U zprostředkovatele účetnictví vyberte Účetnický systému Windows.

  15. Výběrem ok zavřete dialogové okno Vlastnosti.

  16. Dialogové okno vás vyzve k restartování serveru. Vyberte Ano.

Vytvoření uživatele a skupiny VPN

  1. Vytvořte uživatele SÍTĚ VPN pomocí následujících kroků:

    1. Na řadiči domény otevřete konzolu Uživatelé a počítače služby Active Directory .
    2. Pod vaší doménou klikněte pravým tlačítkem na Uživatelé. Vyberte Nový. Do pole Přihlašovací jméno uživatele zadejte libovolné jméno. Vyberte Další.
    3. Zvolte heslo pro uživatele.
    4. Zrušit výběr uživatel musí změnit heslo při příštím přihlášení. Vyberte Heslo nikdy nevyprší.
    5. Vyberte Dokončit. Nechte uživatele a počítače služby Active Directory otevřené.

  2. Vytvořte skupinu uživatelů SÍTĚ VPN pomocí následujících kroků:

    1. Pod vaší doménou klikněte pravým tlačítkem na Uživatelé. Vyberte Nový a pak vyberte Skupina.
    2. Do pole Název skupiny zadejte uživatele sítě VPN a pak vyberte OK.
    3. Klikněte pravým tlačítkem myši na uživatelé sítě VPN a vyberte Vlastnosti.
    4. Na kartě Členové dialogového okna Vlastnosti uživatelů sítě VPN vyberte Přidat.
    5. V dialogovém okně Vybrat uživatele přidejte uživatele VPN, kterého jste vytvořili, a vyberte OK.

Konfigurace serveru VPN jako klienta RADIUS

  1. Na serveru NPS otevřete pravidla brány firewall, abyste povolili příchozí přístup prostřednictvím portů UDP 1812, 1813, 1645 a 1646, včetně brány Windows Firewall.

  2. Otevřete konzolu Serveru zásad sítě .

  3. V konzole NPS poklikejte na klienty a servery RADIUS.

  4. Klikněte pravým tlačítkem myši na klienty RADIUS a výběrem možnosti Nový otevřete dialogové okno Nový klient RADIUS .

  5. Ověřte, že je zaškrtnuté políčko Povolit tento klient RADIUS.

  6. Do názvu podle vlastního výběru zadejte zobrazovaný název serveru VPN.

  7. Do pole Adresa (IP nebo DNS) zadejte IP adresu nebo plně kvalifikovaný název domény serveru VPN.

    Pokud zadáte plně kvalifikovaný název domény, vyberte Ověřit , jestli chcete ověřit správnost názvu a namapovat ho na platnou IP adresu.

  8. Ve sdíleném tajném kódu:

    1. Ujistěte se, že je vybrána možnost Ruční .
    2. Zadejte tajný klíč, který jste vytvořili v části Vytvoření serveru VPN.
    3. Pro potvrzení sdíleného tajného kódu zadejte sdílený tajný klíč znovu.

  9. Vyberte OK. Server VPN by se měl zobrazit v seznamu klientů RADIUS nakonfigurovaných na serveru NPS.

Konfigurace serveru NPS jako serveru RADIUS

  1. Zaregistrujte certifikát serveru pro server NPS s certifikátem, který splňuje požadavky v části Konfigurace šablon certifikátů pro požadavky PEAP a EAP. Pokud chcete ověřit, že jsou servery NPS (Network Policy Server) zaregistrované pomocí certifikátu serveru od certifikační autority (CA), přečtěte si téma Ověření zápisu serveru certifikátu serveru.

  2. V konzole NPS vyberte NPS (místní).

  3. Ve Standardní konfiguraci ujistěte se, že je vybraný server RADIUS pro vytáčená připojení nebo připojení VPN.

  4. Výběrem možnosti Konfigurovat VPN nebo Vytáčené připojení otevřete průvodce Konfigurovat VPN nebo Vytáčené připojení.

  5. Vyberte Připojení virtuální privátní sítě (VPN) a pak vyberte Další.

  6. V Zadejte server pro vytáčené připojení nebo VPN u RADIUS klientů vyberte název serveru VPN.

  7. Vyberte Další.

  8. V části Konfigurovat metody ověřování proveďte následující kroky:

    1. Zrušte zaškrtnutí políčka Microsoft Encrypted Authentication verze 2 (MS-CHAPv2).

    2. Vyberte Rozšiřitelný ověřovací protokol.

    3. Jako typ vyberte Microsoft: Protected EAP (PEAP). Potom vyberte Konfigurovat a otevřete dialogové okno Upravit vlastnosti protokolu EAP .

    4. Vyberte Odebrat pro odstranění typu EAP Secured Password (EAP-MSCHAP v2).

    5. Vyberte Přidat. Otevře se dialogové okno pro přidání EAP.

    6. Vyberte čipovou kartu nebo jiný certifikát a pak vyberte OK.

    7. Chcete-li zavřít upravit vlastnosti chráněného protokolu EAP, vyberte ok .

  9. Vyberte Další.

  10. V části Zadat skupiny uživatelů proveďte následující kroky:

    1. Vyberte Přidat. Otevře se dialogové okno Vybrat uživatele, počítače, účty služeb nebo skupiny .

    2. Zadejte uživatele sítě VPN a pak vyberte OK.

    3. Vyberte Další.

  11. V části Zadat filtry IP vyberte Další.

  12. V části Zadat nastavení šifrování vyberte Další. Neprovádejte žádné změny.

  13. Při zadání názvu sféry vyberte Další.

  14. Zvolte Dokončit pro zavření průvodce.

Další krok

Teď jste vytvořili ukázkovou infrastrukturu a můžete začít konfigurovat certifikační autoritu.

Kurz: Konfigurace šablon certifikační autority pro síť VPN AlwaysOn