Bagikan melalui

Tutorial: Menyebarkan infrastruktur VPN AlwaysOn

Always On VPN adalah solusi akses jarak jauh di Windows Server yang menyediakan konektivitas yang mulus dan aman untuk pengguna jarak jauh ke jaringan perusahaan. Ini mendukung metode autentikasi tingkat lanjut dan terintegrasi dengan infrastruktur yang ada, menawarkan alternatif modern untuk solusi VPN tradisional. Tutorial ini memulai seri untuk menyebarkan Always On VPN di lingkungan sampel.

Dalam tutorial ini, Anda mempelajari cara menyebarkan infrastruktur sampel untuk koneksi AlwaysOn VPN untuk komputer klien Windows yang bergabung dengan domain jarak jauh. Untuk membuat infrastruktur sampel, Anda:

  • Buat pengontrol domain Active Directory.
  • Konfigurasikan Kebijakan Grup untuk pendaftaran otomatis sertifikat.
  • Buat server Server Kebijakan Jaringan (NPS).
  • Membuat server VPN.
  • Buat pengguna dan grup VPN.
  • Konfigurasikan server VPN sebagai klien RADIUS.
  • Konfigurasikan server NPS sebagai server RADIUS.

Untuk mempelajari selengkapnya tentang AlwaysOn VPN, termasuk integrasi, fitur keamanan, dan konektivitas yang didukung, lihat Gambaran Umum VPN AlwaysOn.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam tutorial ini, Anda perlu memenuhi prasyarat berikut:

  • Tiga server (fisik atau virtual) yang menjalankan versi Windows Server yang didukung. Server ini adalah pengendali domain, server NPS, dan server VPN.

  • Server yang Anda gunakan untuk server NPS membutuhkan dua adaptor jaringan fisik yang diinstal: satu untuk terhubung ke internet, dan satu untuk terhubung ke jaringan tempat pengendali domain berada.

  • Akun pengguna di semua komputer yang merupakan anggota grup keamanan Administrator lokal, atau setara.

Penting

Menggunakan Akses Jarak Jauh di Microsoft Azure tidak didukung. Untuk informasi selengkapnya, lihat Dukungan perangkat lunak server Microsoft untuk komputer virtual Microsoft Azure.

Membuat pengontrol domain

  1. Di server, Anda ingin menjadi pengontrol domain, instal Active Directory Domain Services (AD DS). Untuk informasi terperinci tentang cara menginstal AD DS, lihat Menginstal Active Directory Domain Services.

  2. Promosikan Windows Server ke pengendali domain. Untuk tutorial ini, Anda membuat forest baru dan domain ke dalam forest baru tersebut. Untuk informasi terperinci tentang cara menginstal pengontrol domain, lihat Penginstalan AD DS.

  3. Instal dan konfigurasikan Otoritas Sertifikat (CA) pada pengontrol domain. Untuk informasi terperinci tentang cara menginstal CA, lihat Menginstal Otoritas Sertifikasi.

Mengonfigurasi Kebijakan Grup untuk pendaftaran otomatis sertifikat

Di bagian ini, Anda membuat Kebijakan Grup pada pengendali domain sehingga anggota domain secara otomatis meminta sertifikat pengguna dan komputer. Konfigurasi ini memungkinkan pengguna VPN untuk meminta dan mengambil sertifikat pengguna yang secara otomatis mengautentikasi koneksi VPN. Kebijakan ini juga memungkinkan server NPS untuk meminta sertifikat autentikasi server secara otomatis.

  1. Pada pengendali domain, buka konsol Manajemen Kebijakan Grup.

  2. Di panel kiri, klik kanan domain Anda (misalnya, corp.contoso.com). Pilih Buat GPO di domain ini, dan Tautkan di sini.

  3. Pada kotak dialog GPO Baru , untuk Nama, masukkan Kebijakan Pendaftaran Otomatis. Pilih OK.

  4. Di panel kiri, klik kanan Kebijakan Pendaftaran Otomatis. Pilih Edit untuk membuka Editor Manajemen Kebijakan Grup.

  5. Di Editor Manajemen Kebijakan Grup, selesaikan langkah-langkah berikut untuk mengonfigurasi pendaftaran otomatis sertifikat komputer:

    1. Navigasi ke Konfigurasi Komputer>Kebijakan>Pengaturan Windows>Pengaturan Keamanan>Kebijakan Kunci Publik.

    2. Di panel rincian, klik kanan pada Klien Layanan Sertifikat – Pendaftaran Otomatis. Pilih Properti.

    3. Pada kotak dialog Klien Layanan Sertifikat – Properti Pendaftaran Otomatis, untuk Model Konfigurasi, pilih Diaktifkan.

    4. Pilih Perbarui sertifikat yang kedaluwarsa, perbarui sertifikat yang tertunda, dan hapus sertifikat yang dicabut dan Perbarui sertifikat yang menggunakan templat sertifikat.

    5. Pilih OK.

  6. Di Editor Manajemen Kebijakan Grup, selesaikan langkah-langkah berikut untuk mengonfigurasi pendaftaran otomatis sertifikat pengguna:

    1. Arahkan ke Konfigurasi Pengguna>Kebijakan>Pengaturan Windows>Pengaturan Keamanan>Kebijakan Kunci Publik.

    2. Di panel detail, klik kanan Layanan Klien Sertifikat – Pendaftaran Otomatis dan pilih Properti.

    3. Pada kotak dialog Properti Pendaftaran Otomatis Klien Layanan Sertifikat, di Model Konfigurasi, pilih Diaktifkan.

    4. Pilih Perbarui sertifikat yang kedaluwarsa, perbarui sertifikat yang tertunda, dan hapus sertifikat yang dicabut dan Perbarui sertifikat yang menggunakan templat sertifikat.

    5. Pilih OK.

    6. Tutup Editor Manajemen Kebijakan Grup.

  7. Terapkan Kebijakan Grup ke pengguna dan komputer di domain.

  8. Tutup konsol Manajemen Kebijakan Grup.

Membuat server NPS

  1. Pada server yang ingin Anda jadikan server NPS, instal peran Kebijakan Jaringan dan Layanan Akses (NPS). Untuk informasi terperinci tentang cara menginstal NPS, lihat Menginstal Server Kebijakan Jaringan.

  2. Daftarkan Server NPS di Direktori Aktif. Untuk informasi tentang cara mendaftarkan Server NPS di Direktori Aktif, lihat Mendaftarkan NPS di Domain Direktori Aktif.

  3. Pastikan firewall Anda memungkinkan lalu lintas yang diperlukan agar komunikasi VPN dan RADIUS berfungsi dengan benar. Untuk informasi selengkapnya, lihat Mengonfigurasi Firewall untuk Lalu Lintas RADIUS.

  4. Buat grup Server NPS:

    1. Di pengontrol domain, buka Pengguna dan Komputer Direktori Aktif.

    2. Di bawah domain Anda, klik kanan Komputer. Pilih Baru, lalu pilih Grup.

    3. Di Nama grup, masukkan Server NPS, lalu pilih OK.

    4. Klik kanan NPS Servers dan pilih Properti.

    5. Pada tab Anggota dari kotak dialog Properti Server NPS, pilih Tambahkan.

    6. Pilih Jenis Objek, pilih kotak centang Komputer , lalu pilih OK.

    7. Di Masukkan nama objek yang akan dipilih, masukkan nama host server NPS. Pilih OK.

    8. Tutup Pengguna dan Komputer Active Directory.

Membuat server VPN

  1. Untuk server yang menjalankan server VPN, pastikan bahwa komputer memiliki dua adaptor jaringan fisik yang terinstal: satu untuk terhubung ke internet, dan satu untuk terhubung ke jaringan tempat pengendali domain berada.

  2. Identifikasi adaptor jaringan mana yang tersambung ke internet dan adaptor jaringan mana yang tersambung ke domain. Konfigurasikan adaptor jaringan yang menghadap internet dengan alamat IP publik, sementara adaptor yang menghadap intranet dapat menggunakan alamat IP dari jaringan lokal.

  3. Untuk adaptor jaringan yang tersambung ke domain, atur alamat IP pilihan DNS ke alamat IP pengendali domain.

  4. Gabungkan server VPN ke domain. Untuk informasi tentang cara menggabungkan server ke domain, lihat Untuk bergabung dengan server ke domain.

  5. Buka aturan firewall Anda untuk mengizinkan port UDP 500 dan 4500 masuk ke alamat IP eksternal yang diterapkan ke antarmuka publik di server VPN. Untuk adaptor jaringan yang terhubung ke domain, izinkan port UDP berikut: 1812, 1813, 1645, dan 1646.

  6. Buat grup SERVER VPN:

    1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer.

    2. Di bawah domain Anda, klik kanan Komputer. Pilih Baru, lalu pilih Grup.

    3. Di Nama grup, masukkan Server VPN, lalu pilih OK.

    4. Klik kanan Server VPN dan pilih Properti.

    5. Pada tab Anggota dari kotak dialog Properti Server VPN, pilih Tambahkan.

    6. Pilih Jenis Objek, pilih kotak centang Komputer , lalu pilih OK.

    7. Di Masukkan nama objek yang akan dipilih, masukkan nama host server VPN. Pilih OK.

    8. Tutup Pengguna dan Komputer Active Directory.

  7. Ikuti langkah-langkah dalam Menginstal Akses Jarak Jauh sebagai server VPN untuk menginstal server VPN.

  8. Buka Perutean dan Akses Jarak Jauh dari Manajer Server.

  9. Klik kanan nama server VPN, lalu pilih Properti.

  10. Di Properti, pilih tab Keamanan lalu:

    1. Pilih Penyedia autentikasi dan pilih Autentikasi RADIUS.

    2. Pilih Konfigurasikan untuk membuka dialog Autentikasi RADIUS.

    3. Pilih Tambahkan untuk membuka dialog Tambahkan Server RADIUS.

      1. Di Nama server, masukkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dari server NPS, yang juga merupakan server RADIUS. Misalnya, jika nama NetBIOS dari NPS dan server pengendali domain Anda adalah nps1 dan nama domain Anda adalah corp.contoso.com, masukkan nps1.corp.contoso.com.

      2. Di Rahasia bersama, pilih Ubah untuk membuka kotak dialog Ubah Rahasia.

      3. Di Rahasia baru, masukkan string teks.

      4. Di Konfirmasi rahasia baru, masukkan string teks yang sama, lalu pilih OK.

      5. Simpan rahasia ini. Anda membutuhkannya ketika Anda menambahkan server VPN ini sebagai klien RADIUS nanti dalam tutorial ini.

    4. Pilih OK untuk menutup dialog Tambahkan Server RADIUS .

    5. Pilih OK untuk menutup dialog Autentikasi RADIUS .

  11. Pada dialog Properti server VPN, pilih Metode Autentikasi....

  12. Pilih Izinkan autentikasi sertifikat mesin untuk IKEv2.

  13. Pilih OK.

  14. Untuk Penyedia Akuntansi, pilih Windows Accounting.

  15. Pilih OK untuk menutup dialog Properti.

  16. Dialog meminta Anda untuk memulai ulang server. Pilih Ya.

Membuat pengguna dan grup VPN

  1. Buat pengguna VPN dengan mengambil langkah-langkah berikut:

    1. Pada pengontrol domain, buka konsol Pengguna direktori aktif dan Komputer .
    2. Di bawah domain Anda, klik kanan Pengguna. Pilih baru. Untuk Nama masuk pengguna, masukkan nama apa pun. Pilih Selanjutnya.
    3. Pilih kata sandi untuk pengguna.
    4. Batal pilih Pengguna harus mengubah kata sandi pada log masuk berikutnya. Pilih Kata Sandi tidak pernah kedaluwarsa.
    5. Pilih Selesai. Biarkan Pengguna Direktori Aktif dan Komputer tetap terbuka.

  2. Buat grup pengguna VPN dengan mengambil langkah-langkah berikut:

    1. Di bawah domain Anda, klik kanan Pengguna. Pilih Baru, lalu pilih Grup.
    2. Di Nama grup, masukkan Pengguna VPN, lalu pilih OK.
    3. Klik kanan Pengguna VPN dan pilih Properti.
    4. Pada tab Anggota dari kotak dialog Properti Pengguna VPN, pilih Tambahkan.
    5. Pada kotak dialog Pilih Pengguna, tambahkan pengguna VPN yang Anda buat dan pilih OK.

Mengonfigurasi server VPN sebagai klien RADIUS

  1. Di server NPS, buka aturan firewall Anda untuk mengizinkan port UDP 1812, 1813, 1645, dan 1646 masuk, termasuk Windows Firewall.

  2. Buka konsol Server Kebijakan Jaringan .

  3. Di konsol NPS, klik dua kali Klien dan Server RADIUS.

  4. Klik kanan Klien RADIUS dan pilih Baru untuk membuka kotak dialog Klien RADIUS Baru .

  5. Verifikasi bahwa kotak centang Aktifkan klien RADIUS ini sudah dipilih.

  6. Di Nama yang mudah diingat, masukkan nama tampilan untuk server VPN.

  7. Di Alamat (IP atau DNS), masukkan alamat IP atau FQDN server VPN.

    Jika Anda memasukkan FQDN, pilih Verifikasi apakah Anda ingin memverifikasi bahwa nama sudah benar dan memetakan ke alamat IP yang valid.

  8. Rahasia bersama:

    1. Pastikan bahwa Manual dipilih.
    2. Masukkan rahasia yang Anda buat di bagian Buat server VPN.
    3. Untuk Konfirmasi rahasia bersama, masukkan kembali rahasia bersama.

  9. Pilih OK. Server VPN akan muncul dalam daftar klien RADIUS yang dikonfigurasi di server NPS.

Mengonfigurasi server NPS sebagai server RADIUS

  1. Daftarkan sertifikat server untuk server NPS, dengan sertifikat yang memenuhi persyaratan dalam Mengonfigurasi Templat Sertifikat untuk persyaratan PEAP dan EAP. Untuk memverifikasi bahwa server Network Policy Server (NPS) Anda terdaftar dengan sertifikat server dari otoritas sertifikasi (CA), lihat Memverifikasi Pendaftaran Server Sertifikat Server.

  2. Di konsol NPS, pilih NPS (Lokal).

  3. Di Konfigurasi Standar, pastikan bahwa server RADIUS untuk Sambungan Dial-Up atau VPN dipilih.

  4. Pilih Konfigurasikan VPN atau Dial-Up untuk membuka wizard Konfigurasi VPN atau Dial-Up.

  5. Pilih Koneksi Virtual Private Network (VPN), lalu pilih Berikutnya.

  6. Di Tentukan Dial-Up atau VPN Server, di klien RADIUS, pilih nama server VPN.

  7. Pilih Selanjutnya.

  8. Di Mengonfigurasi Metode Autentikasi, selesaikan langkah-langkah berikut:

    1. Hapus Autentikasi Terenkripsi Microsoft versi 2 (MS-CHAPv2).

    2. Pilih Protokol Autentikasi yang Dapat Diperluas.

    3. Untuk Jenis, pilih Microsoft: EAP Terlindungi (PEAP). Lalu pilih Konfigurasikan untuk membuka kotak dialog Edit Properti EAP terproteksi .

    4. Pilih Hapus untuk menghapus jenis EAP Kata Sandi Aman (EAP-MSCHAP v2).

    5. Pilih Tambahkan. Kotak dialog Tambahkan EAP terbuka.

    6. Pilih Kartu Pintar atau sertifikat lainnya, lalu pilih OK.

    7. Pilih OK untuk menutup Edit Properti EAP terproteksi.

  9. Pilih Selanjutnya.

  10. Di Tentukan Grup Pengguna, selesaikan langkah-langkah berikut:

    1. Pilih Tambahkan. Kotak dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup terbuka.

    2. Masukkan Pengguna VPN, lalu pilih OK.

    3. Pilih Selanjutnya.

  11. Pada Tentukan Filter IP, pilih Berikutnya.

  12. Pada Tentukan Pengaturan Enkripsi, pilih Berikutnya. Jangan membuat perubahan apa pun.

  13. Pada Tentukan Nama Realm, pilih Berikutnya.

  14. Pilih Selesai untuk menutup wizard.

Langkah selanjutnya

Sekarang Anda membuat infrastruktur sampel, Anda siap untuk mulai mengonfigurasi Otoritas Sertifikat Anda.

Tutorial: Mengonfigurasi templat Otoritas Sertifikat untuk VPN AlwaysOn