Bagikan melalui

Tutorial: Menyebarkan VPN AlwaysOn - Menyiapkan infrastruktur untuk Always On VPN

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11

Dalam tutorial ini, Anda akan mempelajari cara menyebarkan koneksi Vpn AlwaysOn untuk komputer klien Windows yang bergabung dengan domain jarak jauh. Anda akan membuat infrastruktur sampel yang menunjukkan kepada Anda cara menerapkan proses koneksi VPN AlwaysOn. Proses ini terdiri dari langkah-langkah berikut:

  1. Klien VPN Windows menggunakan server DNS publik untuk melakukan kueri resolusi nama untuk alamat IP gateway VPN.

  2. Klien VPN menggunakan alamat IP yang dikembalikan oleh DNS untuk mengirim permintaan koneksi ke gateway VPN.

  3. Server VPN juga dikonfigurasi sebagai Klien Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) ; Klien VPN RADIUS mengirimkan permintaan koneksi ke server NPS untuk pemrosesan permintaan koneksi.

  4. Server NPS memproses permintaan koneksi, termasuk melakukan otorisasi dan autentikasi, dan menentukan apakah akan mengizinkan atau menolak permintaan koneksi.

  5. Server NPS meneruskan respons Access-Accept atau Access-Deny ke server VPN.

  6. Koneksi dimulai atau dihentikan berdasarkan respons yang diterima server VPN dari server NPS.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam tutorial ini,

  • Anda akan memerlukan akses ke empat komputer fisik atau komputer virtual (VM).

  • Pastikan akun pengguna Anda di semua komputer adalah anggota Administrator, atau yang setara.

Penting

Menggunakan Akses Jarak Jauh di Microsoft Azure tidak didukung, termasuk VPN Akses Jarak Jauh dan DirectAccess. Untuk informasi selengkapnya, lihat Dukungan perangkat lunak server Microsoft untuk komputer virtual Microsoft Azure.

Membuat pengontrol domain

  1. Instal Windows Server pada komputer yang akan menjalankan pengendali domain.

  2. Instal Active Directory Domain Services (AD DS). Untuk informasi terperinci tentang cara menginstal AD DS, lihat Menginstal Active Directory Domain Services.

  3. Promosikan Windows Server ke pengendali domain. Untuk tutorial ini, Anda akan membuat forest baru dan domain ke forest baru tersebut. Untuk informasi terperinci tentang cara menginstal pengontrol domain, lihat Penginstalan AD DS.

  4. Instal dan konfigurasikan Otoritas Sertifikat (CA) pada pengontrol domain. Untuk informasi terperinci tentang cara menginstal CA, lihat Menginstal Otoritas Sertifikasi.

Membuat Kebijakan Grup Direktori Aktif

Di bagian ini, Anda akan membuat Kebijakan Grup pada pengendali domain sehingga anggota domain secara otomatis meminta sertifikat pengguna dan komputer. Konfigurasi ini memungkinkan pengguna VPN meminta dan mengambil sertifikat pengguna yang secara otomatis mengautentikasi koneksi VPN. Kebijakan ini juga memungkinkan server NPS untuk meminta sertifikat autentikasi server secara otomatis.

  1. Pada pengendali domain, buka Manajemen Kebijakan Grup.

  2. Di panel kiri, klik kanan domain Anda (misalnya, corp.contoso.com). Pilih Buat GPO di domain ini, dan Tautkan di sini.

  3. Pada kotak dialog GPO Baru, untuk Nama, masukkan Kebijakan Pendaftaran Otomatis. Pilih OK.

  4. Di panel kiri, klik kanan Kebijakan Pendaftaran otomatis. Pilih Edit untuk membuka Editor Manajemen Kebijakan Grup.

  5. Di Editor Manajemen Kebijakan Grup, selesaikan langkah-langkah berikut untuk mengonfigurasi pendaftaran otomatis sertifikat komputer:

    1. Di panel kiri, buka Kebijakan>Konfigurasi>Komputer Windows Pengaturan> Keamanan Pengaturan> Keamanan Kunci Publik.

    2. Di panel detail, klik kanan Klien Layanan Sertifikat – Pendaftaran Otomatis. Pilih Properti.

    3. Pada kotak dialog Klien Layanan Sertifikat – Properti Pendaftaran Otomatis, untuk Model Konfigurasi, pilih Diaktifkan.

    4. Pilih Perbarui sertifikat yang kedaluwarsa, perbarui sertifikat yang tertunda, dan hapus sertifikat yang dicabut dan Perbarui sertifikat yang menggunakan templat sertifikat.

    5. Pilih OK.

  6. Di Editor Manajemen Kebijakan Grup, selesaikan langkah-langkah berikut untuk Mengonfigurasi pendaftaran otomatis sertifikat pengguna:

    1. Di panel kiri, buka Kebijakan>Konfigurasi>Pengguna Windows Pengaturan> Keamanan Pengaturan> Keamanan Kunci Publik.

    2. Di panel detail, klik kanan Klien Layanan Sertifikat – Pendaftaran Otomatis dan pilih Properti.

    3. Pada kotak dialog Klien Layanan Sertifikat – Properti Pendaftaran Otomatis, di Model Konfigurasi, pilih Diaktifkan.

    4. Pilih Perbarui sertifikat yang kedaluwarsa, perbarui sertifikat yang tertunda, dan hapus sertifikat yang dicabut dan Perbarui sertifikat yang menggunakan templat sertifikat.

    5. Pilih OK.

    6. Tutup Editor Manajemen Kebijakan Grup.

  7. Tutup Manajemen Kebijakan Grup.

Membuat server NPS

  1. Instal Windows Server pada komputer yang akan menjalankan server NPS.

  2. Di server NPS, instal peran Kebijakan Jaringan dan Layanan Access (NPS). Untuk informasi terperinci tentang cara menginstal NSP, lihat Menginstal Server Kebijakan Jaringan.

  3. Daftarkan Server NPS di Direktori Aktif. Untuk informasi tentang cara mendaftarkan Server NPS di Direktori Aktif, lihat Mendaftarkan NPS di Domain Direktori Aktif.

  4. Pastikan firewall Anda memungkinkan lalu lintas yang diperlukan agar komunikasi VPN dan RADIUS berfungsi dengan benar. Untuk informasi selengkapnya, lihat Mengonfigurasi Firewall untuk Lalu Lintas RADIUS.

  5. Buat grup Server NPS:

    1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer.

    2. Di bawah domain Anda, klik kanan Komputer. Pilih Baru, lalu pilih Grup.

    3. Di Nama grup, masukkan Server NPS, lalu pilih OK.

    4. Klik kanan Server NPS dan pilih Properti.

    5. Pada tab Anggota dari kotak dialog Properti Server NPS, pilih Tambahkan.

    6. pilih Jenis Objek, pilih kotak centang Komputer , lalu pilih OK.

    7. Di Masukkan nama objek untuk dipilih, masukkan nama komputer server NPS. Pilih OK.

    8. Tutup Pengguna dan Komputer Active Directory.

Membuat server VPN

  1. Instal Windows Server pada komputer yang akan menjalankan VPN Server. Pastikan bahwa komputer memiliki dua adaptor jaringan fisik yang terinstal: satu untuk terhubung ke internet, dan satu untuk terhubung ke jaringan tempat pengendali domain berada.

  2. Identifikasi adaptor jaringan mana yang tersambung ke internet dan adaptor jaringan mana yang tersambung ke domain. Konfigurasikan adaptor jaringan yang menghadap internet dengan alamat IP publik, sementara adaptor yang menghadap intranet dapat menggunakan alamat IP dari jaringan lokal.

  3. Untuk adaptor jaringan yang tersambung ke domain, atur alamat IP pilihan DNS ke alamat IP pengendali domain.

  4. Gabungkan server VPN ke domain. Untuk informasi tentang cara menggabungkan server ke domain, lihat Untuk bergabung dengan server ke domain.

  5. Buka aturan firewall Anda untuk mengizinkan port UDP 500 dan 4500 masuk ke alamat IP eksternal yang diterapkan ke antarmuka publik di server VPN.

  6. Pada adaptor jaringan yang tersambung ke domain, aktifkan port berikut: UDP1812, UDP1813, UDP1645, dan UDP1646.

  7. Buat grup SERVER VPN:

    1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer.

    2. Di bawah domain Anda, klik kanan Komputer. Pilih Baru, lalu pilih Grup.

    3. Di Nama grup, masukkan Server VPN, lalu pilih OK.

    4. Klik kanan SERVER VPN dan pilih Properti.

    5. Pada tab Anggota dari kotak dialog Properti Server VPN, pilih Tambahkan.

    6. pilih Jenis Objek, pilih kotak centang Komputer , lalu pilih OK.

    7. Di Masukkan nama objek yang akan dipilih, masukkan nama komputer server VPN. Pilih OK.

    8. Tutup Pengguna dan Komputer Active Directory.

  8. Ikuti langkah-langkah dalam Menginstal Akses Jarak Jauh sebagai server VPN untuk menginstal server VPN.

  9. Buka alat Perutean dan Akses Jarak Jauh dari Manajer Server.

  10. Klik kanan server VPN, lalu pilih Properti.

  11. Di Properti, pilih tab Keamanan lalu:

    1. Pilih Penyedia autentikasi dan pilih Autentikasi RADIUS.

    2. Pilih Konfigurasikan untuk membuka dialog Autentikasi RADIUS.

    3. Pilih Tambahkan untuk membuka dialog Tambahkan Server RADIUS.

      1. Di Nama server, masukkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dari server NPS. Dalam tutorial ini, server NPS adalah server pengontrol domain. Misalnya, jika nama NetBIOS server NPS dan pengendali domain Anda adalah dc1 dan nama domain Anda corp.contoso.com, masukkan dc1.corp.contoso.com.

      2. Di Rahasia bersama, pilih Ubah untuk membuka kotak dialog Ubah Rahasia.

      3. Di Rahasia baru, masukkan string teks.

      4. Di Konfirmasi rahasia baru, masukkan string teks yang sama, lalu pilih OK.

      5. Simpan rahasia ini. Anda akan membutuhkannya ketika Anda menambahkan server VPN ini sebagai klien RADIUS nanti dalam tutorial ini.

    4. Pilih OK untuk menutup dialog Tambahkan Server RADIUS.

    5. Pilih OK untuk menutup dialog Autentikasi Radius.

  12. Pada dialog Properti server VPN, pilih Metode Autentikasi....

  13. Pilih Izinkan autentikasi sertifikat mesin untuk IKEv2.

  14. Pilih OK.

  15. Untuk Penyedia akuntansi, pilih Akuntansi Windows.

  16. Pilih OK untuk menutup dialog Properti.

  17. Dialog akan meminta Anda untuk memulai ulang server. Pilih Ya.

Membuat klien VPN Windows

  1. Instal Windows 10 atau yang lebih baru pada komputer yang akan menjadi klien VPN Anda.

  2. Bergabunglah dengan klien VPN ke domain Anda. Untuk informasi tentang cara menggabungkan komputer ke domain, lihat Untuk menggabungkan komputer ke domain.

Membuat Pengguna dan Grup VPN

  1. Buat Pengguna VPN dengan mengambil langkah-langkah berikut:

    1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer.

    2. Di bawah domain Anda, klik kanan Pengguna. Pilih baru. Untuk Nama masuk pengguna, masukkan nama masuk apa pun. Pilih Selanjutnya.

    3. Pilih kata sandi untuk pengguna.

    4. Batal pilih Pengguna harus mengubah kata sandi pada log masuk berikutnya. Pilih Kata Sandi tidak pernah kedaluwarsa.

    5. Pilih Selesai. Biarkan Pengguna Direktori Aktif dan Komputer tetap terbuka.

  2. Buat grup Pengguna VPN dengan mengambil langkah-langkah berikut:

    1. Di bawah domain Anda, klik kanan Pengguna. Pilih Baru, lalu pilih Grup.

    2. Di Nama grup, masukkan Pengguna VPN, lalu pilih OK.

    3. Klik kanan Pengguna VPN dan pilih Properti.

    4. Pada tab Anggota dari kotak dialog Properti Pengguna VPN, pilih Tambahkan.

    5. Pada kotak dialog Pilih Pengguna, tambahkan pengguna VPN yang Anda buat dan pilih OK.

Mengonfigurasi server VPN sebagai klien RADIUS

  1. Di server NPS, buka aturan firewall Anda untuk mengizinkan port UDP 1812, 1813, 1645, dan 1646 masuk.

  2. Di konsol NPS, klik dua kali Klien dan Server RADIUS.

  3. Klik kanan Klien RADIUS dan pilih Baru untuk membuka kotak dialog Klien RADIUS Baru.

  4. Verifikasi bahwa kotak centang Aktifkan klien RADIUS ini dipilih.

  5. Di Nama yang mudah diingat, masukkan nama tampilan untuk server VPN.

  6. Di Alamat (IP atau DNS), masukkan alamat IP atau FQDN server VPN.

    Jika Anda memasukkan FQDN, pilih Verifikasi apakah Anda ingin memverifikasi bahwa nama sudah benar dan memetakan ke alamat IP yang valid.

  7. Di Rahasia bersama:

    1. Pastikan Manual dipilih.

    2. Masukkan rahasia yang Anda buat di bagian Buat server VPN.

    3. Untuk Konfirmasi rahasia bersama, masukkan kembali rahasia bersama.

  8. Pilih OK. Server VPN akan muncul dalam daftar klien RADIUS yang dikonfigurasi di server NPS.

Mengonfigurasi server NPS sebagai server RADIUS

Catatan

Dalam tutorial ini, server NPS diinstal pada pengendali domain dengan peran CA; dan kita tidak perlu mendaftarkan sertifikat server NPS terpisah. Namun, di lingkungan tempat server NPS diinstal di server terpisah, sertifikat server NPS harus didaftarkan sebelum Anda dapat melakukan praformasi langkah-langkah ini.

  1. Di konsol NPS, pilih NPS(Lokal).

  2. Di Konfigurasi Standar, pastikan bahwa server RADIUS untuk Dial-Up atau VPN Koneksi ion dipilih.

  3. Pilih KonfigurasiKAN VPN atau Dial-Up untuk membuka wizard Konfigurasi VPN atau Dial-Up.

  4. Pilih Koneksi ion Virtual Private Network (VPN), dan pilih Berikutnya.

  5. Di Tentukan Dial-Up atau VPN Server, di klien RADIUS, pilih nama server VPN.

  6. Pilih Selanjutnya.

  7. Di Mengonfigurasi Metode Autentikasi, selesaikan langkah-langkah berikut:

    1. Hapus Autentikasi Terenkripsi Microsoft versi 2 (MS-CHAPv2) .

    2. Pilih Protokol Autentikasi yang Dapat Diperluas.

    3. Untuk Jenis, pilih Microsoft: EAP Terlindungi (PEAP). Lalu pilih Konfigurasikan untuk membuka kotak dialog Edit Properti EAP terproteksi.

    4. Pilih Hapus untuk menghapus jenis EAP Secured Password (EAP-MSCHAP v2).

    5. Pilih Tambahkan. Kotak dialog Tambahkan EAP terbuka.

    6. Pilih Kartu Pintar atau sertifikat lainnya, lalu pilih OK.

    7. Pilih OK untuk menutup Edit Properti EAP terproteksi.

  8. Pilih Selanjutnya.

  9. Di Tentukan Grup Pengguna, selesaikan langkah-langkah berikut:

    1. Pilih Tambahkan. Kotak dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup terbuka.

    2. Masukkan Pengguna VPN, lalu pilih OK.

    3. Pilih Selanjutnya.

  10. Pada Tentukan Filter IP, pilih Berikutnya.

  11. Pada Tentukan Pengaturan Enkripsi, pilih Berikutnya. Jangan membuat perubahan apa pun.

  12. Pada Tentukan Nama Realm, pilih Berikutnya.

  13. Pilih Selesai untuk menutup wizard.

Langkah berikutnya

Sekarang Anda telah membuat infrastruktur sampel, Anda siap untuk mengonfigurasi Otoritas Sertifikat Anda.