Pont–hely (P2S) VPN konfigurálása Windows rendszeren az Azure Fileshoz való használatra
Pont–hely (P2S) VPN-kapcsolattal csatlakoztathatja az Azure-fájlmegosztásokat SMB-n keresztül az Azure-on kívülről anélkül, hogy megnyitná a 445-ös portot. A pont–hely TÍPUSÚ VPN-kapcsolat az Azure és egy egyéni ügyfél közötti VPN-kapcsolat. Ha P2S VPN-kapcsolatot szeretne használni az Azure Files szolgáltatással, konfigurálnia kell egy VPN-kapcsolatot minden olyan ügyfélhez, amely csatlakozni szeretne. Ha sok ügyfélnek kell csatlakoznia az Azure-fájlmegosztásokhoz a helyszíni hálózatról, az egyes ügyfelekhez pont–hely kapcsolat helyett helyek közötti (S2S) VPN-kapcsolatot használhat. További információ: Helyek közötti VPN konfigurálása az Azure Fileshoz való használatra.
Javasoljuk, hogy olvassa el a közvetlen Azure-fájlmegosztási hozzáférés hálózati szempontjait, mielőtt folytatná ezt az útmutatót az Azure Fileshoz elérhető hálózati lehetőségek teljes körű megvitatásához.
A cikk részletesen bemutatja, hogyan konfigurálhat pont–hely VPN-t Windows rendszeren (Windows-ügyfél és Windows Server) az Azure-fájlmegosztások közvetlen helyszíni csatlakoztatásához. Ha vpn-en keresztül szeretné irányítani az Azure File Sync-forgalmat, tekintse meg az Azure File Sync-proxy és a tűzfal beállításainak konfigurálását.
A következőre érvényes:
Fájlmegosztás típusa | SMB | NFS |
---|---|---|
Standard szintű fájlmegosztások (GPv2), LRS/ZRS | ||
Standard szintű fájlmegosztások (GPv2), GRS/GZRS | ||
Prémium fájlmegosztások (FileStorage), LRS/ZRS |
Előfeltételek
Az Azure PowerShell-modul legújabb verziója. Lásd : Az Azure PowerShell-modul telepítése.
Egy Azure-fájlmegosztás, amely a helyszínen csatlakoztatható. Az Azure-fájlmegosztások a tárfiókokban vannak üzembe helyezve, amelyek olyan felügyeleti szerkezetek, amelyek egy megosztott tárkészletet jelölnek, amelyben több fájlmegosztást és más tárolási erőforrásokat is üzembe helyezhet. További információ arról, hogyan helyezhet üzembe Azure-fájlmegosztásokat és tárfiókokat az Azure-fájlmegosztások létrehozása során.
A helyszíni csatlakoztatni kívánt Azure-fájlmegosztást tartalmazó tárfiók privát végpontjával rendelkező virtuális hálózat . A privát végpontok létrehozásáról az Azure Files hálózati végpontjainak konfigurálása című témakörben olvashat.
Létre kell hoznia egy átjáróalhálózatot a virtuális hálózaton. Átjáróalhálózat létrehozásához jelentkezzen be az Azure Portalra, keresse meg a virtuális hálózatot, válassza Gépház > alhálózatokat, majd válassza az + Átjáró alhálózat lehetőséget. Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. A szükséges IP-címek száma a létrehozni kívánt VPN-átjárókonfigurációtól függ. A legjobb, ha /27 vagy nagyobb (/26, /25 stb.) értéket ad meg, hogy elegendő IP-cím legyen a jövőbeli változásokhoz, például expressRoute-átjáró hozzáadásához.
Környezeti adatok gyűjtése
A pont–hely VPN beállítása előtt adatokat kell gyűjtenie a környezetéről.
Ahhoz, hogy pont–hely VPN-t állíthasson be az Azure Portal használatával, ismernie kell az erőforráscsoport nevét, a virtuális hálózat nevét, az átjáró alhálózatának nevét és a tárfiók nevét.
Főtanúsítvány létrehozása VPN-hitelesítéshez
Ahhoz, hogy a helyszíni Windows-gépekről érkező VPN-kapcsolatokat hitelesíteni lehessen a virtuális hálózat eléréséhez, két tanúsítványt kell létrehoznia:
- Főtanúsítvány, amely a virtuálisgép-átjárónak lesz megadva
- Ügyféltanúsítvány, amely a főtanúsítvánnyal lesz aláírva
Használhat egy vállalati megoldással létrehozott főtanúsítványt, vagy létrehozhat egy önaláírt tanúsítványt. Ha vállalati megoldást használ, szerezze be a főtanúsítvány .cer fájlját az informatikai szervezettől.
Ha nem vállalati tanúsítványmegoldást használ, hozzon létre egy önaláírt főtanúsítványt ezzel a PowerShell-szkripttel. A virtuális hálózati átjáró üzembe helyezése után létre kell hoznia az ügyféltanúsítványt. Ha lehetséges, hagyja nyitva a PowerShell-munkamenetet, hogy a cikk későbbi részében ne kelljen újradefiniálnia a változókat az ügyféltanúsítvány létrehozásakor.
Fontos
Futtassa ezt a PowerShell-szkriptet rendszergazdaként egy Windows 10/Windows Server 2016 vagy újabb rendszert futtató helyszíni gépről. Ne futtassa a szkriptet Cloud Shellből vagy virtuális gépről az Azure-ban.
$rootcertname = 'CN=P2SRootCert'
$certLocation = 'Cert:\CurrentUser\My'
$vpnTemp = 'C:\vpn-temp'
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath = "$vpnTemp\P2SRootCert.cer"
if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}
if ($PSVersionTable.PSVersion.Major -ge 6) {
Import-Module -Name PKI -UseWindowsPowerShell
}
$selfSignedCertParams = @{
Type = 'Custom'
KeySpec = 'Signature'
Subject = $rootcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = '2048'
CertStoreLocation = $certLocation
KeyUsageProperty = 'Sign'
KeyUsage = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams
Export-Certificate -Cert $rootcert -FilePath $exportedencodedrootcertpath -NoClobber | Out-Null
certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null
$rawRootCertificate = Get-Content -Path $exportedrootcertpath
$rootCertificate = ''
foreach ($line in $rawRootCertificate) {
if ($line -notlike '*Certificate*') {
$rootCertificate += $line
}
}
Virtuális hálózati átjáró üzembe helyezése
Az Azure virtuális hálózati átjáró az a szolgáltatás, amelyhez a helyszíni Windows-gépek csatlakoznak. Ha még nem tette meg, a virtuális hálózati átjáró üzembe helyezése előtt létre kell hoznia egy átjáróalhálózatot a virtuális hálózaton.
A virtuális hálózati átjáró üzembe helyezéséhez két alapvető összetevő szükséges:
- Nyilvános IP-cím, amely azonosítja az ügyfelek átjáróját bárhol a világon
- Az előző lépésben létrehozott főtanúsítvány, amely az ügyfelek hitelesítésére szolgál
A virtuális hálózati átjáró üzembe helyezéséhez használhatja az Azure Portalt vagy az Azure PowerShellt. Az üzembe helyezés akár 45 percet is igénybe vehet.
Ha virtuális hálózati átjárót szeretne üzembe helyezni az Azure Portalon, kövesse az alábbi utasításokat.
Jelentkezzen be az Azure Portalra.
Az erőforrások, szolgáltatások és dokumentumok keresése mezőbe írja be a virtuális hálózati átjárókat. Keresse meg a virtuális hálózati átjárókat a Marketplace keresési eredményei között, és válassza ki.
Új virtuális hálózati átjáró létrehozásához válassza a +Létrehozás lehetőséget.
Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.
- Előfizetés: Válassza ki a használni kívánt előfizetést a legördülő listából.
- Erőforráscsoport: Ezt a beállítást a rendszer automatikusan kitölti, amikor kiválasztja a virtuális hálózatot ezen a lapon.
- Név: adjon nevet az átjárónak. Az átjáró elnevezése nem ugyanaz, mint egy átjáróalhálózat elnevezése. Ez a létrehozott átjáróobjektum neve.
- Régió: Válassza ki azt a régiót, amelyben létre szeretné hozni ezt az erőforrást. Az átjáró régiójának meg kell egyeznie a virtuális hálózatával.
- Átjáró típusa: válassza ki a VPN elemet. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.
- Termékváltozat: Válassza ki az átjáró termékváltozatát, amely támogatja a használni kívánt funkciókat a legördülő listában. Lásd: Átjáró termékváltozatai. Ne használja az alapszintű termékváltozatot, mert nem támogatja az IKEv2 hitelesítést.
- Generáció: Válassza ki a használni kívánt generációt. Javasoljuk, hogy használjon 2. generációs termékváltozatot. További információkért lásd: Az átjárók termékváltozatai.
- Virtuális hálózat: A legördülő listában válassza ki azt a virtuális hálózatot, amelyhez hozzá szeretné adni ezt az átjárót. Ha nem látja azt a virtuális hálózatot, amelyhez átjárót szeretne létrehozni, győződjön meg arról, hogy a megfelelő előfizetést és régiót választotta ki.
- Alhálózat: Ezt a mezőt szürkén kell kiszürkíteni, és listázni kell a létrehozott átjáró-alhálózat nevét, valamint annak IP-címtartományát. Ha ehelyett egy szövegmezőt tartalmazó Átjáró alhálózat címtartomány-mezőt lát, akkor még nem konfigurált átjáróalhálózatot (lásd : Előfeltételek).)
Adja meg a virtuális hálózati átjáróhoz társított nyilvános IP-cím értékeit. A virtuális hálózati átjáró létrehozásakor a rendszer ehhez az objektumhoz rendeli a nyilvános IP-címet. Az elsődleges nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Nem változik az átméretezés, az alaphelyzetbe állítás vagy más belső karbantartás/frissítés során.
- Nyilvános IP-cím: Hagyja kijelölve az Új létrehozása lehetőséget.
- Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
- Nyilvános IP-cím termékváltozata: A beállítás automatikusan ki van jelölve.
- Hozzárendelés: A hozzárendelés általában automatikusan ki van jelölve, és lehet dinamikus vagy statikus.
- Aktív-aktív mód engedélyezése: Válassza a Letiltva lehetőséget. Ezt a beállítást csak akkor engedélyezze, ha aktív-aktív átjárókonfigurációt hoz létre.
- BGP konfigurálása: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten erre a beállításra van szükség. Ha ehhez a beállításhoz van szükség, az alapértelmezett ASN 65515, bár ez az érték módosítható.
Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a virtuális hálózati átjáró üzembe helyezéséhez. Az üzembe helyezés akár 45 percet is igénybe vehet.
Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.
A bal oldali panelen válassza Gépház > Pont–hely konfigurációt, majd válassza a Konfigurálás most lehetőséget. Ekkor megjelenik a pont–hely konfigurációs lap.
- Címkészlet: Adja hozzá a használni kívánt privát IP-címtartományt. A VPN-ügyfelek dinamikusan kapnak egy IP-címet a megadott tartományból. A minimális alhálózati maszk az aktív/passzív és 28 bites aktív/aktív konfiguráció esetén 29 bites.
- Alagút típusa: Adja meg a használni kívánt alagúttípust. A natív Windows VPN-ügyfélen keresztül csatlakozó számítógépek először az IKEv2-t próbálják ki. Ha ez nem csatlakozik, visszaállnak az SSTP-hez (ha az IKEv2-t és az SSTP-t is kiválasztja a legördülő listából). Ha az OpenVPN-alagúttípust választja, openVPN-ügyféllel vagy az Azure VPN-ügyféllel csatlakozhat.
- Hitelesítési típus: Adja meg a használni kívánt hitelesítési típust (ebben az esetben válassza az Azure-tanúsítványt).
- Főtanúsítvány neve: A főtanúsítvány fájlneve (.cer fájl).
- Nyilvános tanúsítvány adatai: Nyissa meg a főtanúsítványt a Jegyzettömbben, és másolja/illessze be a nyilvános tanúsítvány adatait ebben a szövegmezőben. Ha a cikkben szereplő PowerShell-szkripttel önaláírt főtanúsítványt hoz létre, az a következő helyen
C:\vpn-temp
található: . Ügyeljen arra, hogy csak a -----BEGIN TANÚSÍTVÁNY----- és -----END TANÚSÍTVÁNY közé beszúrt szöveget illessze be-----. Ne tartalmazzon további szóközöket vagy karaktereket.
Feljegyzés
Ha nem látja az alagút típusát vagy hitelesítési típusát, az átjáró az alapszintű termékváltozatot használja. Az alapszintű termékváltozat nem támogatja az IKEv2 hitelesítést. Ha az IKEv2-t szeretné használni, törölnie kell és újra létre kell hoznia az átjárót egy másik átjáró termékváltozatával.
A lap tetején található Mentés gombra kattintva mentse az összes konfigurációs beállítást, és töltse fel a főtanúsítvány nyilvános kulcsadatait az Azure-ba.
Ügyféltanúsítvány létrehozása
A pont–hely kapcsolattal rendelkező virtuális hálózathoz csatlakozó összes ügyfélszámítógépen telepítve kell lennie egy ügyféltanúsítványnak. Hozza létre az ügyféltanúsítványt a főtanúsítványból, és telepítse az egyes ügyfélszámítógépekre. Ha nem telepít érvényes ügyféltanúsítványt, a hitelesítés sikertelen lesz, amikor az ügyfél megpróbál csatlakozni. Létrehozhat egy ügyféltanúsítványt egy vállalati megoldással létrehozott főtanúsítványból, vagy létrehozhat egy ügyféltanúsítványt egy önaláírt főtanúsítványból.
Ügyféltanúsítvány létrehozása vállalati megoldással
Ha vállalati tanúsítványmegoldást használ, hozzon létre egy általános névérték formátumú ügyféltanúsítványt name@yourdomain.com. Ezt a formátumot használja a tartománynév\felhasználónév formátum helyett. Győződjön meg arról, hogy az ügyféltanúsítvány olyan felhasználói tanúsítványsablonon alapul, amelynek ügyfél-hitelesítése a felhasználói lista első elemeként szerepel. Ellenőrizze a tanúsítványt, ha duplán kattint rá, és megtekinti a Bővített kulcshasználatot a Részletek lapon.
Ügyféltanúsítvány létrehozása önaláírt főtanúsítványból
Ha nem vállalati tanúsítványmegoldást használ, a PowerShell használatával létrehozhat egy ügyféltanúsítványt a virtuális hálózati átjáró URI-jával. Ez a tanúsítvány a korábban létrehozott főtanúsítvánnyal lesz aláírva. Ha önaláírt főtanúsítványból hoz létre ügyféltanúsítványt, az automatikusan telepítve lesz a létrehozáshoz használt számítógépen.
Ha egy ügyféltanúsítványt egy másik ügyfélszámítógépre szeretne telepíteni, exportálja a tanúsítványt .pfx fájlként, a teljes tanúsítványlánccal együtt. Ezzel létrehoz egy .pfx fájlt, amely tartalmazza az ügyfél hitelesítéséhez szükséges főtanúsítvány-adatokat. Az önaláírt főtanúsítvány .pfx formátumban való exportálásához válassza ki a főtanúsítványt, és kövesse az ügyféltanúsítvány exportálása című cikkben leírt lépéseket.
Az önaláírt főtanúsítvány azonosítása
Ha ugyanazt a PowerShell-munkamenetet használja, amelyet az önaláírt főtanúsítvány létrehozásához használt, továbbléphet az ügyféltanúsítvány létrehozásához.
Ha nem, az alábbi lépésekkel azonosíthatja a számítógépre telepített önaláírt főtanúsítványt.
Kérje le a számítógépre telepített tanúsítványok listáját.
Get-ChildItem -Path 'Cert:\CurrentUser\My'
Keresse meg a visszaadott listából a tulajdonos nevét, majd másolja a mellette található ujjlenyomatot egy szövegfájlba. Az alábbi példában két tanúsítvány található. A CN neve annak az önaláírt főtanúsítványnak a neve, amelyből gyermektanúsítványt szeretne létrehozni. Ebben az esetben a neve P2SRootCert.
Thumbprint Subject ---------- ------- AED812AD883826FF76B4D1D5A77B3C08EFA79F3F CN=P2SChildCert4 7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655 CN=P2SRootCert
Deklaráljon egy változót a főtanúsítványhoz az előző lépés ujjlenyomatával. Cserélje le az UJJLENYOMATot annak a főtanúsítványnak az ujjlenyomatára, amelyből ügyféltanúsítványt szeretne létrehozni.
$rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\<THUMBPRINT>'
Ha például az előző lépésben a P2SRootCert ujjlenyomatát használja, a parancs a következőképpen néz ki:
$rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655'
Ügyféltanúsítvány létrehozása
New-AzVpnClientConfiguration
A PowerShell-parancsmag használatával hozzon létre egy ügyféltanúsítványt. Ha nem ugyanazt a PowerShell-munkamenetet használja, mint amelyet az önaláírt főtanúsítvány létrehozásához használt, azonosítania kell az önaláírt főtanúsítványt az előző szakaszban leírtak szerint. A szkript futtatása előtt cserélje le <resource-group-name>
az erőforráscsoport nevére és <vpn-gateway-name>
az imént üzembe helyezett virtuális hálózati átjáró nevére.
Fontos
Futtassa ezt a PowerShell-szkriptet rendszergazdaként azon a helyszíni Windows-gépen, amelyhez csatlakozni szeretne az Azure-fájlmegosztáshoz. A számítógépen Windows 10/Windows Server 2016 vagy újabb rendszert kell futtatni. Ne futtassa a szkriptet egy Azure-beli Cloud Shellből. A szkript (Connect-AzAccount
) futtatása előtt győződjön meg arról, hogy bejelentkezik az Azure-fiókjába.
$clientcertpassword = '<enter-your-password>'
$resourceGroupName = '<resource-group-name>'
$vpnName = '<vpn-gateway-name>'
$vpnTemp = 'C:\vpn-temp'
$certLocation = 'Cert:\CurrentUser\My'
$vpnClientConfigParams = @{
ResourceGroupName = $resourceGroupName
Name = $vpnName
AuthenticationMethod = 'EAPTLS'
}
$vpnClientConfiguration = New-AzVpnClientConfiguration @vpnClientConfigParams
$webRequestParams = @{
Uri = $vpnClientConfiguration.VpnProfileSASUrl
OutFile = "$vpnTemp\vpnclientconfiguration.zip"
}
Invoke-WebRequest @webRequestParams
$expandArchiveParams = @{
Path = "$vpnTemp\vpnclientconfiguration.zip"
DestinationPath = "$vpnTemp\vpnclientconfiguration"
}
Expand-Archive @expandArchiveParams
$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile
$exportedclientcertpath = "$vpnTemp\P2SClientCert.pfx"
$clientcertname = "CN=$($vpnProfile.VpnServer)"
$selfSignedCertParams = @{
Type = 'Custom'
DnsName = $vpnProfile.VpnServer
KeySpec = 'Signature'
Subject = $clientcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = 2048
CertStoreLocation = $certLocation
Signer = $rootcert
TextExtension = @('2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
$clientcert = New-SelfSignedCertificate @selfSignedCertParams
$mypwd = ConvertTo-SecureString -String $clientcertpassword -Force -AsPlainText
Export-PfxCertificate -FilePath $exportedclientcertpath -Password $mypwd -Cert $clientcert |
Out-Null
A VPN-ügyfél konfigurálása
Az Azure virtuális hálózati átjáró létrehoz egy letölthető csomagot, amely konfigurációs fájlokat tartalmaz a VPN-kapcsolat inicializálásához a helyszíni Windows-gépen. A konfigurációs csomag a létrehozott VPN-átjáróra vonatkozó beállításokat tartalmaz. Ha módosítja az átjárót, például módosít egy alagúttípust, tanúsítványt vagy hitelesítési típust, létre kell hoznia egy másik VPN-ügyfélprofil-konfigurációs csomagot, és telepítenie kell az egyes ügyfelekre. Ellenkező esetben előfordulhat, hogy a VPN-ügyfelek nem tudnak csatlakozni.
A VPN-kapcsolatot a Windows 10/Windows Server 2016-ban bevezetett Always On VPN-funkcióval fogja konfigurálni. Ez a csomag olyan végrehajtható fájlokat is tartalmaz, amelyek szükség esetén konfigurálják az örökölt Windows VPN-ügyfelet. Ez az útmutató az Always On VPN-t használja az örökölt Windows VPN-ügyfél helyett, mivel az Always On VPN-ügyfél lehetővé teszi az Azure VPN-hez való csatlakozást/leválasztást anélkül, hogy rendszergazdai engedélyekkel kellene rendelkeznie a géphez.
Az ügyféltanúsítvány telepítése
A virtuális hálózati átjárón való hitelesítéshez szükséges ügyféltanúsítvány telepítéséhez kövesse az alábbi lépéseket az ügyfélszámítógépen.
- Az ügyféltanúsítvány exportálása után keresse meg és másolja a .pfx fájlt az ügyfélszámítógépre.
- Az ügyfélszámítógépen kattintson duplán a .pfx fájlra annak telepítéséhez. Hagyja meg az Áruház helyét aktuális felhasználóként, majd válassza a Tovább gombot.
- A Fájl importálása lapon nem kell semmit módosítania. Válassza a Tovább lehetőséget.
- A Titkos kulcsok védelme lapon adja meg a tanúsítvány jelszavát, vagy ellenőrizze, hogy a rendszerbiztonsági tag helyes-e, majd válassza a Tovább gombot.
- A Tanúsítványtároló lapon hagyja meg az alapértelmezett helyet, majd válassza a Tovább gombot.
- Válassza a Befejezés lehetőséget. A tanúsítvány telepítésére vonatkozó biztonsági figyelmeztetésben válassza az Igen lehetőséget. A biztonsági figyelmeztetéshez kényelmesen kiválaszthatja az "Igen" lehetőséget, mert létrehozta a tanúsítványt.
- A rendszer ezután sikeresen importálja a tanúsítványt.
A VPN-ügyfél telepítése
Ez a szakasz segít konfigurálni a Windows operációs rendszer részét képező natív VPN-ügyfelet a virtuális hálózathoz való csatlakozáshoz (IKEv2 és SSTP). Ehhez a konfigurációhoz nincs szükség további ügyfélszoftverre.
Konfigurációs fájlok megtekintése
Az ügyfélszámítógépen keresse meg C:\vpn-temp
és nyissa meg a vpnclientconfiguration mappát a következő almappák megtekintéséhez:
- WindowsAmd64 és WindowsX86, amelyek a Windows 64 bites és a 32 bites telepítőcsomagokat tartalmazzák. A WindowsAmd64 telepítőcsomag az összes támogatott 64 bites Windows-ügyfélhez tartozik, nem csak az Amdhez.
- Általános, amely a saját VPN-ügyfélkonfiguráció létrehozásához használt általános információkat tartalmazza. Az általános mappa akkor érhető el, ha az IKEv2 vagy az SSTP+IKEv2 konfigurálva lett az átjárón. Ha csak az SSTP van konfigurálva, akkor az Általános mappa nincs jelen.
VPN-ügyfélprofil konfigurálása
Minden Windows-ügyfélszámítógépen ugyanazt a VPN-ügyfélkonfigurációs csomagot használhatja, amennyiben a verzió megegyezik az ügyfél architektúrájának verziójával.
Feljegyzés
A telepítőcsomag futtatásához Rendszergazda istrator jogosultságokkal kell rendelkeznie azon a Windows-ügyfélszámítógépen, amelyhez csatlakozni szeretne.
Válassza ki a Windows rendszerű számítógép architektúrájának megfelelő VPN-ügyfélkonfigurációs fájlokat. 64 bites processzorarchitektúra esetén válassza ki a
VpnClientSetupAmd64
telepítőcsomagot. 32 bites processzorarchitektúra esetén válassza ki aVpnClientSetupX86
telepítőcsomagot.Kattintson duplán a csomagra a telepítéséhez. Ha megjelenik egy SmartScreen-előugró ablak, válassza a További információ, majd a Futtatás parancsot.
Csatlakozás a VPN-hez. Nyissa meg a VPN-Gépház, és keresse meg a létrehozott VPN-kapcsolatot. Ugyanaz a név, mint a virtuális hálózaté. Válassza a Kapcsolódás lehetőséget. Előfordulhat, hogy előugró üzenet jelenik meg. Válassza a Folytatás lehetőséget emelt szintű jogosultságok használatához.
A Csatlakozás ion állapotlapján válassza a Csatlakozás a kapcsolat elindításához. Ha megjelenik a Tanúsítvány kiválasztása képernyő, ellenőrizze, hogy az a csatlakozáshoz használni kívánt ügyféltanúsítványt mutatja-e. Ha nem, a legördülő nyilat használva válassza ki a megfelelő tanúsítványt, majd kattintson az OK gombra.
Azure-fájlmegosztás csatlakoztatása
Most, hogy beállította a pont–hely VPN-t, csatlakoztathatja az Azure-fájlmegosztást egy helyszíni géphez.
Ha a tárfiókkulcs használatával szeretné csatlakoztatni a fájlmegosztást, nyisson meg egy Windows parancssort, és futtassa a következő parancsot. Cserélje le <YourStorageAccountName>
a , <FileShareName>
és <YourStorageAccountKey>
a saját értékeit. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A tárfiókkulcsot az Azure Portalon találhatja meg, ha a tárfiókra lép, és kiválasztja a Biztonság + hálózatkezelési>hozzáférési kulcsok lehetőséget.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
VPN-főtanúsítvány elforgatása
Ha egy főtanúsítványt elévülés vagy új követelmények miatt kell elforgatni, a virtuális hálózati átjáró ismételt üzembe helyezése nélkül hozzáadhat egy új főtanúsítványt a meglévő virtuális hálózati átjáróhoz. Miután hozzáadta a főtanúsítványt a következő szkripttel, újra létre kell hoznia a VPN-ügyféltanúsítványt.
Cserélje le <resource-group-name>
a , <desired-vpn-name-here>
majd <new-root-cert-name>
a saját értékeit, majd futtassa a szkriptet.
#Creating the new Root Certificate
$ResourceGroupName = '<resource-group-name>'
$vpnName = '<desired-vpn-name-here>'
$NewRootCertName = '<new-root-cert-name>'
$rootcertname = "CN=$NewRootCertName"
$certLocation = 'Cert:\CurrentUser\My'
$date = Get-Date -Format 'MM_yyyy'
$vpnTemp = "C:\vpn-temp_$date"
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath = "$vpnTemp\P2SRootCert.cer"
if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}
$selfSignedCertParams = @{
Type = 'Custom'
KeySpec = 'Signature'
Subject = $rootcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = 2048
CertStoreLocation = $certLocation
KeyUsageProperty = 'Sign'
KeyUsage = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams
$exportCertParams = @{
Cert = $rootcert
FilePath = $exportedencodedrootcertpath
NoClobber = $true
}
Export-Certificate @exportCertParams | Out-Null
certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null
$rawRootCertificate = Get-Content -Path $exportedrootcertpath
$rootCertificate = ''
foreach($line in $rawRootCertificate) {
if ($line -notlike '*Certificate*') {
$rootCertificate += $line
}
}
#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName $ResourceGroupName
$vpnClientRootCertParams = @{
PublicCertData = $rootCertificate
ResourceGroupName = $ResourceGroupName
VirtualNetworkGatewayName = $gateway
VpnClientRootCertificateName = $NewRootCertName
}
Add-AzVpnClientRootCertificate @vpnClientRootCertParams
Lásd még
- A P2S VPN Gateway-kapcsolatok kiszolgálóbeállításainak konfigurálása
- Hálózatkezelési szempontok a közvetlen Azure-fájlmegosztáshoz való hozzáféréshez
- Pont–hely (P2S) VPN konfigurálása Linuxon az Azure Fileshoz való használatra
- Helyek közötti (S2S) VPN konfigurálása az Azure Fileshoz való használatra