Pont–hely (P2S) VPN konfigurálása Windows rendszeren az Azure Fileshoz való használatra

Pont–hely (P2S) VPN-kapcsolattal csatlakoztathatja az Azure-fájlmegosztásokat SMB-n keresztül az Azure-on kívülről anélkül, hogy megnyitná a 445-ös portot. A pont–hely TÍPUSÚ VPN-kapcsolat az Azure és egy egyéni ügyfél közötti VPN-kapcsolat. Ha P2S VPN-kapcsolatot szeretne használni az Azure Files szolgáltatással, konfigurálnia kell egy VPN-kapcsolatot minden olyan ügyfélhez, amely csatlakozni szeretne. Ha sok ügyfélnek kell csatlakoznia az Azure-fájlmegosztásokhoz a helyszíni hálózatról, az egyes ügyfelekhez pont–hely kapcsolat helyett helyek közötti (S2S) VPN-kapcsolatot használhat. További információ: Helyek közötti VPN konfigurálása az Azure Fileshoz való használatra.

Javasoljuk, hogy olvassa el a közvetlen Azure-fájlmegosztási hozzáférés hálózati szempontjait, mielőtt folytatná ezt az útmutatót az Azure Fileshoz elérhető hálózati lehetőségek teljes körű megvitatásához.

A cikk részletesen bemutatja, hogyan konfigurálhat pont–hely VPN-t Windows rendszeren (Windows-ügyfél és Windows Server) az Azure-fájlmegosztások közvetlen helyszíni csatlakoztatásához. Ha vpn-en keresztül szeretné irányítani az Azure File Sync-forgalmat, tekintse meg az Azure File Sync-proxy és a tűzfal beállításainak konfigurálását.

A következőre érvényes:

Fájlmegosztás típusa	SMB	NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS
Standard szintű fájlmegosztások (GPv2), GRS/GZRS
Prémium fájlmegosztások (FileStorage), LRS/ZRS

Előfeltételek

• Az Azure PowerShell-modul legújabb verziója. Lásd : Az Azure PowerShell-modul telepítése.

• Egy Azure-fájlmegosztás, amely a helyszínen csatlakoztatható. Az Azure-fájlmegosztások a tárfiókokban vannak üzembe helyezve, amelyek olyan felügyeleti szerkezetek, amelyek egy megosztott tárkészletet jelölnek, amelyben több fájlmegosztást és más tárolási erőforrásokat is üzembe helyezhet. További információ arról, hogyan helyezhet üzembe Azure-fájlmegosztásokat és tárfiókokat az Azure-fájlmegosztások létrehozása során.

• A helyszíni csatlakoztatni kívánt Azure-fájlmegosztást tartalmazó tárfiók privát végpontjával rendelkező virtuális hálózat . A privát végpontok létrehozásáról az Azure Files hálózati végpontjainak konfigurálása című témakörben olvashat.

• Létre kell hoznia egy átjáróalhálózatot a virtuális hálózaton. Átjáróalhálózat létrehozásához jelentkezzen be az Azure Portalra, keresse meg a virtuális hálózatot, válassza Gépház > alhálózatokat, majd válassza az + Átjáró alhálózat lehetőséget. Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. A szükséges IP-címek száma a létrehozni kívánt VPN-átjárókonfigurációtól függ. A legjobb, ha /27 vagy nagyobb (/26, /25 stb.) értéket ad meg, hogy elegendő IP-cím legyen a jövőbeli változásokhoz, például expressRoute-átjáró hozzáadásához.

Környezeti adatok gyűjtése

A pont–hely VPN beállítása előtt adatokat kell gyűjtenie a környezetéről.

Portál

Ahhoz, hogy pont–hely VPN-t állíthasson be az Azure Portal használatával, ismernie kell az erőforráscsoport nevét, a virtuális hálózat nevét, az átjáró alhálózatának nevét és a tárfiók nevét.

Azure PowerShell

Futtassa ezt a szkriptet a szükséges információk gyűjtéséhez. Cserélje le <resource-group>a , <vnet-name>, <subnet-name>és <storage-account-name> a környezetének megfelelő értékeket.

$resourceGroupName  = '<resource-group-name>'
$virtualNetworkName = '<vnet-name>'
$subnetName         = '<subnet-name>'
$storageAccountName = '<storage-account-name>'

$virtualNetworkParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $virtualNetworkName
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

$subnetId = $virtualNetwork |
    Select-Object -ExpandProperty Subnets |
    Where-Object {$_.Name -eq 'StorageAccountSubnet'} |
    Select-Object -ExpandProperty Id

$storageAccountParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $storageAccountName
}
$storageAccount = Get-AzStorageAccount @storageAccountParams

$privateEndpoint = Get-AzPrivateEndpoint |
    Where-Object {
        $subnets = $_ |
            Select-Object -ExpandProperty Subnet |
            Where-Object {$_.Id -eq $subnetId}

        $connections = $_ |
            Select-Object -ExpandProperty PrivateLinkServiceConnections |
            Where-Object {$_.PrivateLinkServiceId -eq $storageAccount.Id}
        
        $null -ne $subnets -and $null -ne $connections
    } |
    Select-Object -First 1

Főtanúsítvány létrehozása VPN-hitelesítéshez

Ahhoz, hogy a helyszíni Windows-gépekről érkező VPN-kapcsolatokat hitelesíteni lehessen a virtuális hálózat eléréséhez, két tanúsítványt kell létrehoznia:

1. Főtanúsítvány, amely a virtuálisgép-átjárónak lesz megadva
2. Ügyféltanúsítvány, amely a főtanúsítvánnyal lesz aláírva

Használhat egy vállalati megoldással létrehozott főtanúsítványt, vagy létrehozhat egy önaláírt tanúsítványt. Ha vállalati megoldást használ, szerezze be a főtanúsítvány .cer fájlját az informatikai szervezettől.

Ha nem vállalati tanúsítványmegoldást használ, hozzon létre egy önaláírt főtanúsítványt ezzel a PowerShell-szkripttel. A virtuális hálózati átjáró üzembe helyezése után létre kell hoznia az ügyféltanúsítványt. Ha lehetséges, hagyja nyitva a PowerShell-munkamenetet, hogy a cikk későbbi részében ne kelljen újradefiniálnia a változókat az ügyféltanúsítvány létrehozásakor.

Fontos

Futtassa ezt a PowerShell-szkriptet rendszergazdaként egy Windows 10/Windows Server 2016 vagy újabb rendszert futtató helyszíni gépről. Ne futtassa a szkriptet Cloud Shellből vagy virtuális gépről az Azure-ban.

$rootcertname                = 'CN=P2SRootCert'
$certLocation                = 'Cert:\CurrentUser\My'
$vpnTemp                     = 'C:\vpn-temp'
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

if ($PSVersionTable.PSVersion.Major -ge 6) {
    Import-Module -Name PKI -UseWindowsPowerShell
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = '2048'
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

Export-Certificate -Cert $rootcert -FilePath $exportedencodedrootcertpath -NoClobber | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach ($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

Virtuális hálózati átjáró üzembe helyezése

Az Azure virtuális hálózati átjáró az a szolgáltatás, amelyhez a helyszíni Windows-gépek csatlakoznak. Ha még nem tette meg, a virtuális hálózati átjáró üzembe helyezése előtt létre kell hoznia egy átjáróalhálózatot a virtuális hálózaton.

A virtuális hálózati átjáró üzembe helyezéséhez két alapvető összetevő szükséges:

1. Nyilvános IP-cím, amely azonosítja az ügyfelek átjáróját bárhol a világon
2. Az előző lépésben létrehozott főtanúsítvány, amely az ügyfelek hitelesítésére szolgál

A virtuális hálózati átjáró üzembe helyezéséhez használhatja az Azure Portalt vagy az Azure PowerShellt. Az üzembe helyezés akár 45 percet is igénybe vehet.

Portál

Ha virtuális hálózati átjárót szeretne üzembe helyezni az Azure Portalon, kövesse az alábbi utasításokat.

1. Jelentkezzen be az Azure Portalra.

2. Az erőforrások, szolgáltatások és dokumentumok keresése mezőbe írja be a virtuális hálózati átjárókat. Keresse meg a virtuális hálózati átjárókat a Marketplace keresési eredményei között, és válassza ki.

3. Új virtuális hálózati átjáró létrehozásához válassza a +Létrehozás lehetőséget.

4. Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.

   

   • Előfizetés: Válassza ki a használni kívánt előfizetést a legördülő listából.
   • Erőforráscsoport: Ezt a beállítást a rendszer automatikusan kitölti, amikor kiválasztja a virtuális hálózatot ezen a lapon.
   • Név: adjon nevet az átjárónak. Az átjáró elnevezése nem ugyanaz, mint egy átjáróalhálózat elnevezése. Ez a létrehozott átjáróobjektum neve.
   • Régió: Válassza ki azt a régiót, amelyben létre szeretné hozni ezt az erőforrást. Az átjáró régiójának meg kell egyeznie a virtuális hálózatával.
   • Átjáró típusa: válassza ki a VPN elemet. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.
   • Termékváltozat: Válassza ki az átjáró termékváltozatát, amely támogatja a használni kívánt funkciókat a legördülő listában. Lásd: Átjáró termékváltozatai. Ne használja az alapszintű termékváltozatot, mert nem támogatja az IKEv2 hitelesítést.
   • Generáció: Válassza ki a használni kívánt generációt. Javasoljuk, hogy használjon 2. generációs termékváltozatot. További információkért lásd: Az átjárók termékváltozatai.
   • Virtuális hálózat: A legördülő listában válassza ki azt a virtuális hálózatot, amelyhez hozzá szeretné adni ezt az átjárót. Ha nem látja azt a virtuális hálózatot, amelyhez átjárót szeretne létrehozni, győződjön meg arról, hogy a megfelelő előfizetést és régiót választotta ki.
   • Alhálózat: Ezt a mezőt szürkén kell kiszürkíteni, és listázni kell a létrehozott átjáró-alhálózat nevét, valamint annak IP-címtartományát. Ha ehelyett egy szövegmezőt tartalmazó Átjáró alhálózat címtartomány-mezőt lát, akkor még nem konfigurált átjáróalhálózatot (lásd : Előfeltételek).)

5. Adja meg a virtuális hálózati átjáróhoz társított nyilvános IP-cím értékeit. A virtuális hálózati átjáró létrehozásakor a rendszer ehhez az objektumhoz rendeli a nyilvános IP-címet. Az elsődleges nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Nem változik az átméretezés, az alaphelyzetbe állítás vagy más belső karbantartás/frissítés során.

   

   • Nyilvános IP-cím: Hagyja kijelölve az Új létrehozása lehetőséget.
   • Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
   • Nyilvános IP-cím termékváltozata: A beállítás automatikusan ki van jelölve.
   • Hozzárendelés: A hozzárendelés általában automatikusan ki van jelölve, és lehet dinamikus vagy statikus.
   • Aktív-aktív mód engedélyezése: Válassza a Letiltva lehetőséget. Ezt a beállítást csak akkor engedélyezze, ha aktív-aktív átjárókonfigurációt hoz létre.
   • BGP konfigurálása: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten erre a beállításra van szükség. Ha ehhez a beállításhoz van szükség, az alapértelmezett ASN 65515, bár ez az érték módosítható.

6. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a virtuális hálózati átjáró üzembe helyezéséhez. Az üzembe helyezés akár 45 percet is igénybe vehet.

7. Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.

8. A bal oldali panelen válassza Gépház > Pont–hely konfigurációt, majd válassza a Konfigurálás most lehetőséget. Ekkor megjelenik a pont–hely konfigurációs lap.

   

   • Címkészlet: Adja hozzá a használni kívánt privát IP-címtartományt. A VPN-ügyfelek dinamikusan kapnak egy IP-címet a megadott tartományból. A minimális alhálózati maszk az aktív/passzív és 28 bites aktív/aktív konfiguráció esetén 29 bites.
   • Alagút típusa: Adja meg a használni kívánt alagúttípust. A natív Windows VPN-ügyfélen keresztül csatlakozó számítógépek először az IKEv2-t próbálják ki. Ha ez nem csatlakozik, visszaállnak az SSTP-hez (ha az IKEv2-t és az SSTP-t is kiválasztja a legördülő listából). Ha az OpenVPN-alagúttípust választja, openVPN-ügyféllel vagy az Azure VPN-ügyféllel csatlakozhat.
   • Hitelesítési típus: Adja meg a használni kívánt hitelesítési típust (ebben az esetben válassza az Azure-tanúsítványt).
   • Főtanúsítvány neve: A főtanúsítvány fájlneve (.cer fájl).
   • Nyilvános tanúsítvány adatai: Nyissa meg a főtanúsítványt a Jegyzettömbben, és másolja/illessze be a nyilvános tanúsítvány adatait ebben a szövegmezőben. Ha a cikkben szereplő PowerShell-szkripttel önaláírt főtanúsítványt hoz létre, az a következő helyen C:\vpn-temptalálható: . Ügyeljen arra, hogy csak a -----BEGIN TANÚSÍTVÁNY----- és -----END TANÚSÍTVÁNY közé beszúrt szöveget illessze be-----. Ne tartalmazzon további szóközöket vagy karaktereket.

   Feljegyzés

   Ha nem látja az alagút típusát vagy hitelesítési típusát, az átjáró az alapszintű termékváltozatot használja. Az alapszintű termékváltozat nem támogatja az IKEv2 hitelesítést. Ha az IKEv2-t szeretné használni, törölnie kell és újra létre kell hoznia az átjárót egy másik átjáró termékváltozatával.

9. A lap tetején található Mentés gombra kattintva mentse az összes konfigurációs beállítást, és töltse fel a főtanúsítvány nyilvános kulcsadatait az Azure-ba.

Azure PowerShell

Cserélje le és <desired-region> írja be <desired-vpn-name> a következő szkriptben ezeknek a változóknak a megfelelő értékeit.

Az erőforrás üzembe helyezése közben ez a PowerShell-szkript megakadályozza az üzembe helyezés befejezését. Ez várható.

$vpnName             = '<desired-vpn-name>' 
$publicIpAddressName = "$vpnName-PublicIP"
$region              = '<desired-region>'

$publicIpParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $publicIpAddressName
    Location          = $region
    Sku               = 'Basic'
    AllocationMethod  = 'Dynamic'
}
$publicIpAddress = New-AzPublicIpAddress @publicIPParams

$gatewayIpParams = @{
    Name = 'vnetGatewayConfig'
    SubnetId = $subnetId
    PublicIpAddressId = $publicIPAddress.Id
}
$gatewayIpConfig = New-AzVirtualNetworkGatewayIpConfig @gatewayIpParams

$vpnClientRootCertParams = @{
    Name           = 'P2SRootCert'
    PublicCertData = $rootCertificate
}
$azRootCertificate = New-AzVpnClientRootCertificate @vpnClientRootCertParams

$virtualNetGatewayParams = @{
    ResourceGroupName         = $resourceGroupName
    Name                      = $vpnName
    Location                  = $region
    GatewaySku                = 'VpnGw2'
    IpConfigurations          = $gatewayIpConfig
    GatewayType               = 'Vpn'
    VpnType                   = 'RouteBased'
    IpConfigurations          = $gatewayIpConfig
    VpnClientAddressPool      = '172.16.201.0/24'
    VpnClientProtocol         = 'IkeV2'
    VpnClientRootCertificates = $azRootCertificate
}
$vpn = New-AzVirtualNetworkGateway @virtualNetGatewayParams

Ügyféltanúsítvány létrehozása

A pont–hely kapcsolattal rendelkező virtuális hálózathoz csatlakozó összes ügyfélszámítógépen telepítve kell lennie egy ügyféltanúsítványnak. Hozza létre az ügyféltanúsítványt a főtanúsítványból, és telepítse az egyes ügyfélszámítógépekre. Ha nem telepít érvényes ügyféltanúsítványt, a hitelesítés sikertelen lesz, amikor az ügyfél megpróbál csatlakozni. Létrehozhat egy ügyféltanúsítványt egy vállalati megoldással létrehozott főtanúsítványból, vagy létrehozhat egy ügyféltanúsítványt egy önaláírt főtanúsítványból.

Ügyféltanúsítvány létrehozása vállalati megoldással

Ha vállalati tanúsítványmegoldást használ, hozzon létre egy általános névérték formátumú ügyféltanúsítványt name@yourdomain.com. Ezt a formátumot használja a tartománynév\felhasználónév formátum helyett. Győződjön meg arról, hogy az ügyféltanúsítvány olyan felhasználói tanúsítványsablonon alapul, amelynek ügyfél-hitelesítése a felhasználói lista első elemeként szerepel. Ellenőrizze a tanúsítványt, ha duplán kattint rá, és megtekinti a Bővített kulcshasználatot a Részletek lapon.

Ügyféltanúsítvány létrehozása önaláírt főtanúsítványból

Ha nem vállalati tanúsítványmegoldást használ, a PowerShell használatával létrehozhat egy ügyféltanúsítványt a virtuális hálózati átjáró URI-jával. Ez a tanúsítvány a korábban létrehozott főtanúsítvánnyal lesz aláírva. Ha önaláírt főtanúsítványból hoz létre ügyféltanúsítványt, az automatikusan telepítve lesz a létrehozáshoz használt számítógépen.

Ha egy ügyféltanúsítványt egy másik ügyfélszámítógépre szeretne telepíteni, exportálja a tanúsítványt .pfx fájlként, a teljes tanúsítványlánccal együtt. Ezzel létrehoz egy .pfx fájlt, amely tartalmazza az ügyfél hitelesítéséhez szükséges főtanúsítvány-adatokat. Az önaláírt főtanúsítvány .pfx formátumban való exportálásához válassza ki a főtanúsítványt, és kövesse az ügyféltanúsítvány exportálása című cikkben leírt lépéseket.

Az önaláírt főtanúsítvány azonosítása

Ha ugyanazt a PowerShell-munkamenetet használja, amelyet az önaláírt főtanúsítvány létrehozásához használt, továbbléphet az ügyféltanúsítvány létrehozásához.

Ha nem, az alábbi lépésekkel azonosíthatja a számítógépre telepített önaláírt főtanúsítványt.

1. Kérje le a számítógépre telepített tanúsítványok listáját.

   Get-ChildItem -Path 'Cert:\CurrentUser\My'
   

2. Keresse meg a visszaadott listából a tulajdonos nevét, majd másolja a mellette található ujjlenyomatot egy szövegfájlba. Az alábbi példában két tanúsítvány található. A CN neve annak az önaláírt főtanúsítványnak a neve, amelyből gyermektanúsítványt szeretne létrehozni. Ebben az esetben a neve P2SRootCert.

   Thumbprint                                Subject
   ----------                                -------
   AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
   7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert
   

3. Deklaráljon egy változót a főtanúsítványhoz az előző lépés ujjlenyomatával. Cserélje le az UJJLENYOMATot annak a főtanúsítványnak az ujjlenyomatára, amelyből ügyféltanúsítványt szeretne létrehozni.

   $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\<THUMBPRINT>'
   

   Ha például az előző lépésben a P2SRootCert ujjlenyomatát használja, a parancs a következőképpen néz ki:

   $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655'
   

Ügyféltanúsítvány létrehozása

New-AzVpnClientConfiguration A PowerShell-parancsmag használatával hozzon létre egy ügyféltanúsítványt. Ha nem ugyanazt a PowerShell-munkamenetet használja, mint amelyet az önaláírt főtanúsítvány létrehozásához használt, azonosítania kell az önaláírt főtanúsítványt az előző szakaszban leírtak szerint. A szkript futtatása előtt cserélje le <resource-group-name> az erőforráscsoport nevére és <vpn-gateway-name> az imént üzembe helyezett virtuális hálózati átjáró nevére.

Fontos

Futtassa ezt a PowerShell-szkriptet rendszergazdaként azon a helyszíni Windows-gépen, amelyhez csatlakozni szeretne az Azure-fájlmegosztáshoz. A számítógépen Windows 10/Windows Server 2016 vagy újabb rendszert kell futtatni. Ne futtassa a szkriptet egy Azure-beli Cloud Shellből. A szkript (Connect-AzAccount) futtatása előtt győződjön meg arról, hogy bejelentkezik az Azure-fiókjába.

$clientcertpassword = '<enter-your-password>'
$resourceGroupName  = '<resource-group-name>'
$vpnName            = '<vpn-gateway-name>'
$vpnTemp            = 'C:\vpn-temp'
$certLocation       = 'Cert:\CurrentUser\My'

$vpnClientConfigParams = @{
    ResourceGroupName    = $resourceGroupName
    Name                 = $vpnName
    AuthenticationMethod = 'EAPTLS'
}
$vpnClientConfiguration = New-AzVpnClientConfiguration @vpnClientConfigParams

$webRequestParams = @{
    Uri = $vpnClientConfiguration.VpnProfileSASUrl
    OutFile = "$vpnTemp\vpnclientconfiguration.zip"
}
Invoke-WebRequest @webRequestParams

$expandArchiveParams = @{
    Path            = "$vpnTemp\vpnclientconfiguration.zip"
    DestinationPath = "$vpnTemp\vpnclientconfiguration"
}
Expand-Archive @expandArchiveParams

$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile

$exportedclientcertpath = "$vpnTemp\P2SClientCert.pfx"
$clientcertname         = "CN=$($vpnProfile.VpnServer)"

$selfSignedCertParams = @{
    Type              = 'Custom'
    DnsName           = $vpnProfile.VpnServer
    KeySpec           = 'Signature'
    Subject           = $clientcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    Signer            = $rootcert
    TextExtension     = @('2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
$clientcert = New-SelfSignedCertificate @selfSignedCertParams

$mypwd = ConvertTo-SecureString -String $clientcertpassword -Force -AsPlainText

Export-PfxCertificate -FilePath $exportedclientcertpath -Password $mypwd -Cert $clientcert |
    Out-Null

A VPN-ügyfél konfigurálása

Az Azure virtuális hálózati átjáró létrehoz egy letölthető csomagot, amely konfigurációs fájlokat tartalmaz a VPN-kapcsolat inicializálásához a helyszíni Windows-gépen. A konfigurációs csomag a létrehozott VPN-átjáróra vonatkozó beállításokat tartalmaz. Ha módosítja az átjárót, például módosít egy alagúttípust, tanúsítványt vagy hitelesítési típust, létre kell hoznia egy másik VPN-ügyfélprofil-konfigurációs csomagot, és telepítenie kell az egyes ügyfelekre. Ellenkező esetben előfordulhat, hogy a VPN-ügyfelek nem tudnak csatlakozni.

A VPN-kapcsolatot a Windows 10/Windows Server 2016-ban bevezetett Always On VPN-funkcióval fogja konfigurálni. Ez a csomag olyan végrehajtható fájlokat is tartalmaz, amelyek szükség esetén konfigurálják az örökölt Windows VPN-ügyfelet. Ez az útmutató az Always On VPN-t használja az örökölt Windows VPN-ügyfél helyett, mivel az Always On VPN-ügyfél lehetővé teszi az Azure VPN-hez való csatlakozást/leválasztást anélkül, hogy rendszergazdai engedélyekkel kellene rendelkeznie a géphez.

Portál

Az ügyféltanúsítvány telepítése

A virtuális hálózati átjárón való hitelesítéshez szükséges ügyféltanúsítvány telepítéséhez kövesse az alábbi lépéseket az ügyfélszámítógépen.

1. Az ügyféltanúsítvány exportálása után keresse meg és másolja a .pfx fájlt az ügyfélszámítógépre.
2. Az ügyfélszámítógépen kattintson duplán a .pfx fájlra annak telepítéséhez. Hagyja meg az Áruház helyét aktuális felhasználóként, majd válassza a Tovább gombot.
3. A Fájl importálása lapon nem kell semmit módosítania. Válassza a Tovább lehetőséget.
4. A Titkos kulcsok védelme lapon adja meg a tanúsítvány jelszavát, vagy ellenőrizze, hogy a rendszerbiztonsági tag helyes-e, majd válassza a Tovább gombot.
5. A Tanúsítványtároló lapon hagyja meg az alapértelmezett helyet, majd válassza a Tovább gombot.
6. Válassza a Befejezés lehetőséget. A tanúsítvány telepítésére vonatkozó biztonsági figyelmeztetésben válassza az Igen lehetőséget. A biztonsági figyelmeztetéshez kényelmesen kiválaszthatja az "Igen" lehetőséget, mert létrehozta a tanúsítványt.
7. A rendszer ezután sikeresen importálja a tanúsítványt.

A VPN-ügyfél telepítése

Ez a szakasz segít konfigurálni a Windows operációs rendszer részét képező natív VPN-ügyfelet a virtuális hálózathoz való csatlakozáshoz (IKEv2 és SSTP). Ehhez a konfigurációhoz nincs szükség további ügyfélszoftverre.

Konfigurációs fájlok megtekintése

Az ügyfélszámítógépen keresse meg C:\vpn-temp és nyissa meg a vpnclientconfiguration mappát a következő almappák megtekintéséhez:

• WindowsAmd64 és WindowsX86, amelyek a Windows 64 bites és a 32 bites telepítőcsomagokat tartalmazzák. A WindowsAmd64 telepítőcsomag az összes támogatott 64 bites Windows-ügyfélhez tartozik, nem csak az Amdhez.
• Általános, amely a saját VPN-ügyfélkonfiguráció létrehozásához használt általános információkat tartalmazza. Az általános mappa akkor érhető el, ha az IKEv2 vagy az SSTP+IKEv2 konfigurálva lett az átjárón. Ha csak az SSTP van konfigurálva, akkor az Általános mappa nincs jelen.

VPN-ügyfélprofil konfigurálása

Minden Windows-ügyfélszámítógépen ugyanazt a VPN-ügyfélkonfigurációs csomagot használhatja, amennyiben a verzió megegyezik az ügyfél architektúrájának verziójával.

Feljegyzés

A telepítőcsomag futtatásához Rendszergazda istrator jogosultságokkal kell rendelkeznie azon a Windows-ügyfélszámítógépen, amelyhez csatlakozni szeretne.

1. Válassza ki a Windows rendszerű számítógép architektúrájának megfelelő VPN-ügyfélkonfigurációs fájlokat. 64 bites processzorarchitektúra esetén válassza ki a VpnClientSetupAmd64 telepítőcsomagot. 32 bites processzorarchitektúra esetén válassza ki a VpnClientSetupX86 telepítőcsomagot.

2. Kattintson duplán a csomagra a telepítéséhez. Ha megjelenik egy SmartScreen-előugró ablak, válassza a További információ, majd a Futtatás parancsot.

3. Csatlakozás a VPN-hez. Nyissa meg a VPN-Gépház, és keresse meg a létrehozott VPN-kapcsolatot. Ugyanaz a név, mint a virtuális hálózaté. Válassza a Kapcsolódás lehetőséget. Előfordulhat, hogy előugró üzenet jelenik meg. Válassza a Folytatás lehetőséget emelt szintű jogosultságok használatához.

4. A Csatlakozás ion állapotlapján válassza a Csatlakozás a kapcsolat elindításához. Ha megjelenik a Tanúsítvány kiválasztása képernyő, ellenőrizze, hogy az a csatlakozáshoz használni kívánt ügyféltanúsítványt mutatja-e. Ha nem, a legördülő nyilat használva válassza ki a megfelelő tanúsítványt, majd kattintson az OK gombra.

Azure PowerShell

Az alábbi PowerShell-szkript telepíti a virtuális hálózati átjárón való hitelesítéshez szükséges ügyféltanúsítványt, majd letölti és telepíti a VPN-csomagot. Ne felejtse el lecserélni és <computer2> használni <computer1> a kívánt számítógépeket. Ezt a szkriptet annyi gépen futtathatja, amennyit csak szeretne, ha további PowerShell-munkameneteket ad hozzá a $sessions tömbhöz. A felhasználói fióknak rendszergazdai jogosultságúnak kell lennie ezen gépek mindegyikén. Ha ezen gépek egyike az a helyi gép, amelyről a szkriptet futtatja, a szkriptet emelt szintű PowerShell-munkamenetből kell futtatnia.

$sessions = [System.Management.Automation.Runspaces.PSSession[]]@()
$sessions += New-PSSession -ComputerName '<computer1>'
$sessions += New-PSSession -ComputerName '<computer2>'

foreach ($session in $sessions) {
    Invoke-Command -Session $session -ArgumentList $vpnTemp -ScriptBlock { 
        $vpnTemp = $args[0]
        if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
            New-Item -ItemType Directory -Force -Path 'C:\vpn-temp' | Out-Null
        }
    }

    $copyItemParams = @{
        Path        = @(
            $exportedclientcertpath,
            $exportedrootcertpath,
            "$vpnTemp\vpnclientconfiguration.zip"
        )
        Destination = $vpnTemp
        ToSession   = $session
    }
    Copy-Item @copyItemParams

    $invokeCmdParams = @{
        Session = $session
        ArgumentList = @($mypwd, $vpnTemp, $virtualNetworkName)
    }
    Invoke-Command @invokeCmdParams -ScriptBlock { 
        $mypwd              = $args[0] 
        $vpnTemp            = $args[1]
        $virtualNetworkName = $args[2]
        
        $pfxCertParams = @{
            Exportable        = $true
            Password          = $mypwd
            CertStoreLocation = 'Cert:\LocalMachine\My'
            FilePath          = "$vpnTemp\P2SClientCert.pfx" 
        }
        Import-PfxCertificate @pfxCertParams | Out-Null
        
        $importCertParams = @{
            FilePath          = "$vpnTemp\P2SRootCert.cer"
            CertStoreLocation = "Cert:\LocalMachine\Root"
        }
        Import-Certificate @importCertParams | Out-Null

        $vpnGenericParams = @{
            Path            = "$vpnTemp\vpnclientconfiguration.zip"
            DestinationPath = "$vpnTemp\vpnclientconfiguration"
        }
        Expand-Archive @vpnGenericParams

        $vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"

        $vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile

        $vpnConnectionParams = @{
            Name                 = $virtualNetworkName
            ServerAddress        = $vpnProfile.VpnServer
            TunnelType           = 'Ikev2'
            EncryptionLevel      = 'Required'
            AuthenticationMethod = 'MachineCertificate'
            SplitTunneling       = $true
            AllUserConnection    = $true
        }
        Add-VpnConnection @vpnConnectionParams

        $vpnConnRoute1Params = @{
            Name              = $virtualNetworkName
            DestinationPrefix = $vpnProfile.Routes
            AllUserConnection = $true
        }
        Add-VpnConnectionRoute @vpnConnRoute1Params

        $vpnConnRoute2Params = @{
            Name              = $virtualNetworkName
            DestinationPrefix = $vpnProfile.VpnClientAddressPool
            AllUserConnection = $true
        }
        Add-VpnConnectionRoute @vpnConnRoute2Params

        rasdial $virtualNetworkName
    }
}

Remove-Item -Path $vpnTemp -Recurse

Azure-fájlmegosztás csatlakoztatása

Most, hogy beállította a pont–hely VPN-t, csatlakoztathatja az Azure-fájlmegosztást egy helyszíni géphez.

Portál

Ha a tárfiókkulcs használatával szeretné csatlakoztatni a fájlmegosztást, nyisson meg egy Windows parancssort, és futtassa a következő parancsot. Cserélje le <YourStorageAccountName>a , <FileShareName>és <YourStorageAccountKey> a saját értékeit. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A tárfiókkulcsot az Azure Portalon találhatja meg, ha a tárfiókra lép, és kiválasztja a Biztonság + hálózatkezelési>hozzáférési kulcsok lehetőséget.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Azure PowerShell

Az alábbi PowerShell-szkript csatlakoztatja a megosztást, felsorolja a megosztás gyökérkönyvtárát, hogy igazolja, hogy a megosztás valóban csatlakoztatva van, majd leválasztja a megosztást.

Feljegyzés

A megosztást nem lehet tartósan csatlakoztatni a PowerShell-remotinghoz. Az állandó csatlakoztatásról további információt az Azure-fájlmegosztás használata a Windows használatával című témakörben talál.

$myShareToMount = '<file-share>'

$storageAccountKeyParams = @{
    ResourceGroupName = $resourceGroupName
    Name              = $storageAccountName
}
$storageAccountKeys = Get-AzStorageAccountKey @storageAccountKeyParams

$convertToSecureStringParams = @{
    String = $storageAccountKeys[0].Value
    AsPlainText = $true
    Force = $true
}
$storageAccountKey = ConvertTo-SecureString @convertToSecureStringParams

$getAzNetworkInterfaceParams = @{
    ResourceId = $privateEndpoint.NetworkInterfaces[0].Id
}
$nic = Get-AzNetworkInterface @getAzNetworkInterfaceParams

$storageAccountPrivateIP = $nic.IpConfigurations[0].PrivateIpAddress

$invokeCmdParams = @{
    Session = $sessions
    ArgumentList = @(
        $storageAccountName,
        $storageAccountKey,
        $storageAccountPrivateIP,
        $myShareToMount
    )
}
Invoke-Command @invokeCmdParams -ScriptBlock {
    $storageAccountName      = $args[0]
    $storageAccountKey       = $args[1]
    $storageAccountPrivateIP = $args[2]
    $myShareToMount          = $args[3]

    $credential = [System.Management.Automation.PSCredential]::new(
        "AZURE\$storageAccountName", 
        $storageAccountKey
    )

    $psDriveParams = @{
        Name       = 'Z'
        PSProvider = 'FileSystem'
        Root       = "\\$storageAccountPrivateIP\$myShareToMount"
        Credential = $credential
        Persist    = $true
    }
    New-PSDrive @psDriveParams | Out-Null

    Get-ChildItem -Path Z:\
    Remove-PSDrive -Name Z
}

VPN-főtanúsítvány elforgatása

Ha egy főtanúsítványt elévülés vagy új követelmények miatt kell elforgatni, a virtuális hálózati átjáró ismételt üzembe helyezése nélkül hozzáadhat egy új főtanúsítványt a meglévő virtuális hálózati átjáróhoz. Miután hozzáadta a főtanúsítványt a következő szkripttel, újra létre kell hoznia a VPN-ügyféltanúsítványt.

Cserélje le <resource-group-name>a , <desired-vpn-name-here>majd <new-root-cert-name> a saját értékeit, majd futtassa a szkriptet.

#Creating the new Root Certificate
$ResourceGroupName           = '<resource-group-name>'
$vpnName                     = '<desired-vpn-name-here>'
$NewRootCertName             = '<new-root-cert-name>'
$rootcertname                = "CN=$NewRootCertName"
$certLocation                = 'Cert:\CurrentUser\My'
$date                        = Get-Date -Format 'MM_yyyy'
$vpnTemp                     = "C:\vpn-temp_$date"
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

$exportCertParams = @{
    Cert      = $rootcert
    FilePath  = $exportedencodedrootcertpath
    NoClobber = $true
}
Export-Certificate @exportCertParams | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName $ResourceGroupName

$vpnClientRootCertParams = @{
    PublicCertData               = $rootCertificate
    ResourceGroupName            = $ResourceGroupName
    VirtualNetworkGatewayName    = $gateway
    VpnClientRootCertificateName = $NewRootCertName
}
Add-AzVpnClientRootCertificate @vpnClientRootCertParams

Lásd még

• A P2S VPN Gateway-kapcsolatok kiszolgálóbeállításainak konfigurálása
• Hálózatkezelési szempontok a közvetlen Azure-fájlmegosztáshoz való hozzáféréshez
• Pont–hely (P2S) VPN konfigurálása Linuxon az Azure Fileshoz való használatra
• Helyek közötti (S2S) VPN konfigurálása az Azure Fileshoz való használatra