Acara
Menjadi Insinyur Data Fabric Bersertifikat
14 Jan, 23 - 31 Mar, 23
Periksa kelayakan Anda untuk penawaran diskon ujian dan daftarkan sesi langsung gratis untuk mempersiapkan Ujian DP-700.
Pelajari lebih lanjutBrowser ini sudah tidak didukung.
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.
Anda dapat menggunakan koneksi VPN titik-ke-situs (P2S) untuk memasang berbagi file Azure Anda melalui SMB dari luar Azure, tanpa membuka port 445. Koneksi VPN titik-ke-situs adalah koneksi VPN antara Azure dan klien individual. Untuk menggunakan koneksi VPN P2S dengan Azure Files, Anda harus mengonfigurasi koneksi VPN untuk setiap klien yang ingin terhubung. Jika Anda memiliki banyak klien yang perlu tersambung ke berbagi file Azure dari jaringan lokal, Anda dapat menggunakan koneksi VPN situs-ke-situs (S2S) alih-alih koneksi titik-ke-situs untuk setiap klien. Untuk mempelajari selengkapnya, lihat Mengonfigurasi VPN situs-ke-situs untuk digunakan dengan Azure Files.
Kami sangat menyarankan Agar Anda membaca pertimbangan Jaringan untuk akses berbagi file Azure langsung sebelum melanjutkan artikel panduan ini untuk diskusi lengkap tentang opsi jaringan yang tersedia untuk Azure Files.
Artikel ini merinci langkah-langkah untuk mengonfigurasi VPN titik-ke-situs di Windows (klien Windows dan Windows Server) untuk memasang berbagi file Azure langsung di tempat. Jika Anda ingin merutekan lalu lintas Azure File Sync melalui VPN, lihat mengonfigurasi proksi Azure File Sync dan pengaturan firewall.
Jenis berbagi File | SMB | NFS |
---|---|---|
Berbagi file standar (GPv2), LRS/ZRS | ||
Berbagi file standar (GPv2), GRS/GZRS | ||
Berbagi file premium (FileStorage), LRS/ZRS |
Modul Azure PowerShell versi terbaru. Lihat Memasang modul Azure PowerShell.
Berbagi file Azure lokal yang ingin Anda pasang. Berbagi file Azure disebarkan dalam akun penyimpanan, yang merupakan konstruksi manajemen yang mewakili kumpulan penyimpanan bersama tempat Anda dapat menyebarkan beberapa berbagi file, serta sumber daya penyimpanan lainnya. Pelajari selengkapnya tentang cara menyebarkan berbagi file Azure dan akun penyimpanan di Membuat berbagi file Azure.
Jaringan virtual dengan titik akhir privat untuk akun penyimpanan yang berisi berbagi file Azure yang ingin Anda pasang secara lokal. Untuk mempelajari cara membuat titik akhir privat, lihat Mengonfigurasi titik akhir jaringan Azure Files.
Anda harus membuat subnet gateway di jaringan virtual. Untuk membuat subnet gateway, masuk ke portal Azure, navigasikan ke jaringan virtual, pilih Pengaturan Subnet, lalu pilih + Subnet> gateway. Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Jumlah alamat IP yang diperlukan tergantung pada konfigurasi gateway VPN yang ingin Anda buat. Yang terbaik adalah menentukan /27 atau lebih besar (/26, /25 dll.) untuk mengizinkan alamat IP yang cukup untuk perubahan di masa mendatang, seperti menambahkan gateway ExpressRoute.
Sebelum menyiapkan VPN titik-ke-situs, Anda perlu mengumpulkan beberapa informasi tentang lingkungan Anda.
Untuk menyiapkan VPN titik-ke-situs menggunakan portal Azure, Anda harus mengetahui nama grup sumber daya, nama jaringan virtual, nama subnet gateway, dan nama akun penyimpanan Anda.
Agar koneksi VPN dari komputer Windows lokal Anda diautentikasi untuk mengakses jaringan virtual, Anda harus membuat dua sertifikat:
Anda dapat menggunakan sertifikat akar yang dihasilkan dengan solusi perusahaan, atau Anda dapat membuat sertifikat yang ditandatangani sendiri. Jika Anda menggunakan solusi perusahaan, dapatkan file .cer untuk sertifikat akar dari organisasi TI Anda.
Jika Anda tidak menggunakan solusi sertifikat perusahaan, buat sertifikat akar yang ditandatangani sendiri menggunakan skrip PowerShell ini. Anda akan membuat sertifikat klien setelah menyebarkan gateway jaringan virtual. Jika memungkinkan, biarkan sesi PowerShell Terbuka sehingga Anda tidak perlu menentukan ulang variabel saat membuat sertifikat klien nanti di artikel ini.
Penting
Jalankan skrip PowerShell ini sebagai administrator dari komputer lokal yang menjalankan Windows 10/Windows Server 2016 atau yang lebih baru. Jangan jalankan skrip dari Cloud Shell atau VM di Azure.
$rootcertname = 'CN=P2SRootCert'
$certLocation = 'Cert:\CurrentUser\My'
$vpnTemp = 'C:\vpn-temp'
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath = "$vpnTemp\P2SRootCert.cer"
if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}
if ($PSVersionTable.PSVersion.Major -ge 6) {
Import-Module -Name PKI -UseWindowsPowerShell
}
$selfSignedCertParams = @{
Type = 'Custom'
KeySpec = 'Signature'
Subject = $rootcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = '2048'
CertStoreLocation = $certLocation
KeyUsageProperty = 'Sign'
KeyUsage = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams
Export-Certificate -Cert $rootcert -FilePath $exportedencodedrootcertpath -NoClobber | Out-Null
certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null
$rawRootCertificate = Get-Content -Path $exportedrootcertpath
$rootCertificate = ''
foreach ($line in $rawRootCertificate) {
if ($line -notlike '*Certificate*') {
$rootCertificate += $line
}
}
Gateway jaringan virtual Azure adalah layanan tempat tujuan komputer Windows lokal Anda akan disambungkan. Jika Anda belum melakukannya, Anda harus membuat subnet gateway di jaringan virtual sebelum menyebarkan gateway jaringan virtual.
Menyebarkan gateway jaringan virtual memerlukan dua komponen dasar:
Anda dapat menggunakan portal Azure atau Azure PowerShell untuk menyebarkan gateway jaringan virtual. Penyebaran dapat memakan waktu hingga 45 menit untuk diselesaikan.
Untuk menyebarkan gateway jaringan virtual menggunakan portal Azure, ikuti instruksi berikut.
Masuk ke portal Azure.
Di Cari sumber daya, layanan, dan dokumen, ketik gateway jaringan virtual. Temukan Gateway jaringan virtual di hasil pencarian Marketplace dan pilih.
Pilih + Buat untuk membuat gateway jaringan virtual baru.
Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.
Tentukan nilai untuk alamat IP Publik yang terkait dengan gateway jaringan virtual. Alamat IP publik ditetapkan ke objek ini ketika gateway jaringan virtual dibuat. Satu-satunya waktu alamat IP publik utama berubah adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh mengubah ukuran, mengatur ulang, atau pemeliharaan/peningkatan internal lainnya.
Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi lolos, pilih Buat untuk menyebarkan gateway jaringan virtual. Penyebaran dapat memakan waktu hingga 45 menit untuk diselesaikan.
Setelah penyebaran selesai, pilih Kembali ke sumber daya.
Di menu layanan, di bawah Pengaturan, pilih Konfigurasi titik-ke-situs lalu pilih Konfigurasikan sekarang. Anda akan melihat halaman konfigurasi Titik-ke-situs.
C:\vpn-temp
. Pastikan untuk hanya menempelkan teks yang berada di antara SERTIFIKAT -----BEGIN----- dan SERTIFIKAT -----END-----. Jangan sertakan spasi atau karakter tambahan apa pun.Catatan
Jika Anda tidak melihat jenis terowongan atau jenis autentikasi, gateway Anda menggunakan SKU Dasar. SKU Dasar tidak mendukung autentikasi IKEv2. Jika Anda ingin menggunakan IKEv2, Anda perlu menghapus dan membuat ulang gateway menggunakan SKU gateway yang berbeda.
Pilih Simpan di bagian atas halaman untuk menyimpan semua pengaturan konfigurasi dan mengunggah informasi kunci publik sertifikat akar ke Azure.
Setiap komputer klien yang Anda sambungkan ke jaringan virtual dengan koneksi titik-ke-situs harus memiliki sertifikat klien yang terinstal. Anda membuat sertifikat klien dari sertifikat akar dan menginstalnya di setiap komputer klien. Jika Anda tidak menginstal sertifikat klien yang valid, autentikasi akan gagal saat klien mencoba menyambungkan. Anda dapat membuat sertifikat klien dari sertifikat akar yang dihasilkan dengan solusi perusahaan, atau Anda dapat membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri.
Jika Anda menggunakan solusi sertifikat enterpise, buat sertifikat klien dengan format nilai nama umum name@yourdomain.com. Gunakan format ini, jangan gunakan format nama domain\nama pengguna. Pastikan sertifikat klien didasarkan pada templat sertifikat pengguna yang memiliki Autentikasi Klien yang terdaftar sebagai item pertama dalam daftar pengguna. Periksa sertifikat dengan mengklik dua kali sertifikat dan menampilkan Penggunaan Kunci yang Disempurnakan di tab Detail.
Jika Anda tidak menggunakan solusi sertifikat perusahaan, Anda dapat menggunakan PowerShell untuk membuat sertifikat klien dengan URI gateway jaringan virtual. Sertifikat ini akan ditandatangani dengan sertifikat akar yang Anda buat sebelumnya. Ketika Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, sertifikat tersebut secara otomatis dipasang pada komputer yang Anda gunakan untuk membuatnya.
Jika Anda ingin menginstal sertifikat klien di komputer klien lain, ekspor sertifikat sebagai file .pfx, bersama dengan seluruh rantai sertifikat. Dengan begitu, akan terbuat file .pfx yang berisi informasi sertifikat akar yang diperlukan klien untuk mengautentikasi. Untuk mengekspor sertifikat akar yang ditandatangani sendiri sebagai .pfx, pilih sertifikat akar dan gunakan langkah yang sama seperti yang dijelaskan dalam Mengekspor sertifikat klien.
Jika Anda menggunakan sesi PowerShell yang sama dengan yang Anda gunakan untuk membuat sertifikat akar yang ditandatangani sendiri, Anda dapat melompat ke depan untuk Membuat sertifikat klien.
Jika tidak, gunakan langkah-langkah berikut untuk mengidentifikasi sertifikat akar yang ditandatangani sendiri yang diinstal di komputer Anda.
Dapatkan daftar sertifikat yang terinstal di komputer Anda.
Get-ChildItem -Path 'Cert:\CurrentUser\My'
Temukan nama subjek dari daftar yang dikembalikan, lalu salin thumbprint yang terletak di sampingnya ke file teks. Dalam contoh berikut, ada dua sertifikat. Nama CN adalah nama sertifikat akar yang ditandatangani sendiri dari tempat Anda ingin membuat sertifikat anak. Dalam hal ini, itu disebut P2SRootCert.
Thumbprint Subject
---------- -------
AED812AD883826FF76B4D1D5A77B3C08EFA79F3F CN=P2SChildCert4
7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655 CN=P2SRootCert
Menyatakan variabel untuk sertifikat akar menggunakan thumbprint dari langkah sebelumnya. Ganti THUMBPRINT dengan thumbprint sertifikat akar tempat Anda ingin membuat sertifikat klien.
$rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\<THUMBPRINT>'
Misalnya, menggunakan thumbprint untuk P2SRootCert di langkah sebelumnya, perintah terlihat seperti ini:
$rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655'
New-AzVpnClientConfiguration
Gunakan cmdlet PowerShell untuk menghasilkan sertifikat klien. Jika Anda tidak menggunakan sesi PowerShell yang sama dengan yang Anda gunakan untuk membuat sertifikat akar yang ditandatangani sendiri, Anda harus mengidentifikasi sertifikat akar yang ditandatangani sendiri seperti yang dijelaskan di bagian sebelumnya. Sebelum menjalankan skrip, ganti <resource-group-name>
dengan nama grup sumber daya Anda dan <vpn-gateway-name>
dengan nama gateway jaringan virtual yang baru saja Anda sebarkan.
Penting
Jalankan skrip PowerShell ini sebagai administrator dari komputer Windows lokal yang ingin Anda sambungkan ke berbagi file Azure. Komputer harus menjalankan Windows 10/Windows Server 2016 atau yang lebih baru. Jangan jalankan skrip dari Cloud Shell di Azure. Pastikan Anda masuk ke akun Azure Anda sebelum menjalankan skrip (Connect-AzAccount
).
$clientcertpassword = '<enter-your-password>'
$resourceGroupName = '<resource-group-name>'
$vpnName = '<vpn-gateway-name>'
$vpnTemp = 'C:\vpn-temp'
$certLocation = 'Cert:\CurrentUser\My'
$vpnClientConfigParams = @{
ResourceGroupName = $resourceGroupName
Name = $vpnName
AuthenticationMethod = 'EAPTLS'
}
$vpnClientConfiguration = New-AzVpnClientConfiguration @vpnClientConfigParams
$webRequestParams = @{
Uri = $vpnClientConfiguration.VpnProfileSASUrl
OutFile = "$vpnTemp\vpnclientconfiguration.zip"
}
Invoke-WebRequest @webRequestParams
$expandArchiveParams = @{
Path = "$vpnTemp\vpnclientconfiguration.zip"
DestinationPath = "$vpnTemp\vpnclientconfiguration"
}
Expand-Archive @expandArchiveParams
$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile
$exportedclientcertpath = "$vpnTemp\P2SClientCert.pfx"
$clientcertname = "CN=$($vpnProfile.VpnServer)"
$selfSignedCertParams = @{
Type = 'Custom'
DnsName = $vpnProfile.VpnServer
KeySpec = 'Signature'
Subject = $clientcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = 2048
CertStoreLocation = $certLocation
Signer = $rootcert
TextExtension = @('2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
$clientcert = New-SelfSignedCertificate @selfSignedCertParams
$mypwd = ConvertTo-SecureString -String $clientcertpassword -Force -AsPlainText
Export-PfxCertificate -FilePath $exportedclientcertpath -Password $mypwd -Cert $clientcert |
Out-Null
Gateway jaringan virtual Azure akan membuat paket yang dapat diunduh dengan file konfigurasi yang diperlukan untuk menginisialisasi koneksi VPN di komputer Windows lokal Anda. Paket konfigurasi berisi pengaturan khusus untuk gateway VPN yang Anda buat. Jika Anda membuat perubahan pada gateway, seperti mengubah jenis terowongan, sertifikat, atau jenis autentikasi, Anda harus membuat paket konfigurasi profil klien VPN lain dan menginstalnya di setiap klien. Jika tidak, klien VPN Anda mungkin tidak dapat tersambung.
Anda akan mengonfigurasi koneksi VPN menggunakan fitur AlwaysOn VPN yang diperkenalkan di Windows 10/Windows Server 2016. Paket ini juga berisi executable yang akan mengonfigurasi klien WINDOWS VPN warisan, jika diinginkan. Panduan ini menggunakan Always On VPN daripada klien VPN Windows warisan karena klien Always On VPN memungkinkan Anda untuk menyambungkan/memutuskan sambungan dari Vpn Azure tanpa memiliki izin administrator ke komputer.
Untuk menginstal sertifikat klien yang diperlukan untuk autentikasi terhadap gateway jaringan virtual, ikuti langkah-langkah ini di komputer klien.
Bagian ini membantu Anda mengonfigurasi klien VPN asli yang menjadi bagian dari sistem operasi Windows Anda untuk terhubung ke jaringan virtual Anda (IKEv2 dan SSTP). Konfigurasi ini tidak memerlukan perangkat lunak klien tambahan.
Pada komputer klien, navigasikan ke C:\vpn-temp
dan buka folder vpnclientconfiguration untuk melihat subfolder berikut:
Anda dapat menggunakan paket konfigurasi klien VPN yang sama di setiap komputer klien Windows, selama versinya cocok dengan arsitektur untuk klien.
Catatan
Anda harus memiliki hak Administrator pada komputer klien Windows tempat Anda ingin tersambung untuk menjalankan paket penginstal.
Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal VpnClientSetupAmd64
. Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal VpnClientSetupX86
.
Klik dua kali paket untuk menginstalnya. Jika Anda melihat popup SmartScreen, pilih Info selengkapnya, lalu Tetap jalankan.
Sambungkan ke VPN Anda. Buka Pengaturan VPN dan temukan koneksi VPN yang Anda buat. Ini adalah nama yang sama dengan jaringan virtual Anda. Pilih Sambungkan. Pesan pop-up mungkin muncul. Pilih Lanjutkan menggunakan hak istimewa yang ditinggikan.
Pada halaman status Koneksi, pilih Sambungkan untuk memulai koneksi. Jika Anda melihat layar Pilih Sertifikat, verifikasi bahwa sertifikat klien yang diperlihatkan adalah sertifikat yang ingin Anda gunakan untuk menyambungkan. Jika tidak, gunakan panah drop-down untuk memilih sertifikat yang benar, lalu pilih OK.
Setelah menyiapkan VPN titik-ke-situs, Anda dapat menggunakannya untuk memasang berbagi file Azure ke komputer lokal.
Untuk memasang berbagi file menggunakan kunci akun penyimpanan Anda, buka perintah Windows dan jalankan perintah berikut. Ganti <YourStorageAccountName>
, <FileShareName>
, dan <YourStorageAccountKey>
dengan nilai Anda sendiri. Jika Z: sudah digunakan, ganti dengan huruf drive yang tersedia. Anda dapat menemukan kunci akun penyimpanan Anda di portal Azure dengan menavigasi ke akun penyimpanan dan memilih Keamanan + kunci Akses jaringan>.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>
Jika sertifikat akar perlu diputar karena kedaluwarsa atau persyaratan baru, Anda dapat menambahkan sertifikat akar baru ke gateway jaringan virtual yang ada tanpa menyebarkan ulang gateway jaringan virtual. Setelah menambahkan sertifikat akar menggunakan skrip berikut, Anda harus membuat ulang sertifikat klien VPN.
Ganti <resource-group-name>
, <desired-vpn-name-here>
dan <new-root-cert-name>
dengan nilai Anda sendiri, lalu jalankan skrip.
#Creating the new Root Certificate
$ResourceGroupName = '<resource-group-name>'
$vpnName = '<desired-vpn-name-here>'
$NewRootCertName = '<new-root-cert-name>'
$rootcertname = "CN=$NewRootCertName"
$certLocation = 'Cert:\CurrentUser\My'
$date = Get-Date -Format 'MM_yyyy'
$vpnTemp = "C:\vpn-temp_$date"
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath = "$vpnTemp\P2SRootCert.cer"
if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}
$selfSignedCertParams = @{
Type = 'Custom'
KeySpec = 'Signature'
Subject = $rootcertname
KeyExportPolicy = 'Exportable'
HashAlgorithm = 'sha256'
KeyLength = 2048
CertStoreLocation = $certLocation
KeyUsageProperty = 'Sign'
KeyUsage = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams
$exportCertParams = @{
Cert = $rootcert
FilePath = $exportedencodedrootcertpath
NoClobber = $true
}
Export-Certificate @exportCertParams | Out-Null
certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null
$rawRootCertificate = Get-Content -Path $exportedrootcertpath
$rootCertificate = ''
foreach($line in $rawRootCertificate) {
if ($line -notlike '*Certificate*') {
$rootCertificate += $line
}
}
#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName $ResourceGroupName
$vpnClientRootCertParams = @{
PublicCertData = $rootCertificate
ResourceGroupName = $ResourceGroupName
VirtualNetworkGatewayName = $gateway
VpnClientRootCertificateName = $NewRootCertName
}
Add-AzVpnClientRootCertificate @vpnClientRootCertParams
Acara
Menjadi Insinyur Data Fabric Bersertifikat
14 Jan, 23 - 31 Mar, 23
Periksa kelayakan Anda untuk penawaran diskon ujian dan daftarkan sesi langsung gratis untuk mempersiapkan Ujian DP-700.
Pelajari lebih lanjutPelatihan
Modul
Memecahkan masalah gateway VPN di Microsoft Azure - Training
Konfigurasi jaringan dan penggunaan Jaringan Privat Maya (VPNs) merupakan bagian integral dari keberhasilan kerja kolaboratif. Dalam modul ini, kita melihat cara memantau dan memecahkan masalah VPN situs-ke-situs dan titik-ke-situs. Jaringan AZ720 AZ-720 az-720
Sertifikasi
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Rencanakan, berikan, kelola, dan pantau pengalaman desktop virtual dan aplikasi jarak jauh di Microsoft Azure untuk perangkat apa pun.