Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De functie AlwaysOn is geïntroduceerd in de Windows 10 VPN-client. AlwaysOn is de mogelijkheid om een VPN-verbinding te onderhouden. Met AlwaysOn kan het actieve VPN-profiel automatisch verbinding maken en verbonden blijven op basis van triggers, zoals gebruikersaanmelding, netwerkstatuswijziging of apparaatscherm actief.
U kunt gateways met AlwaysOn gebruiken om permanente gebruikerstunnels en apparaattunnels naar Azure tot stand te brengen.
AlwaysOn VPN-verbindingen omvatten een van de twee typen tunnels:
Apparaattunnel: maakt verbinding met opgegeven VPN-servers voordat gebruikers zich aanmelden bij het apparaat. Voor aanmeldingsconnectiviteitsscenario's en apparaatbeheer wordt een apparaattunnel gebruikt.
Gebruikerstunnel: maakt alleen verbinding nadat gebruikers zich hebben aangemeld bij het apparaat. Met behulp van gebruikerstunnels hebt u toegang tot organisatiebronnen via VPN-servers.
Apparaattunnels en gebruikerstunnels werken onafhankelijk van hun VPN-profielen. Ze kunnen tegelijkertijd worden verbonden en ze kunnen naar wens verschillende verificatiemethoden en andere VPN-configuratie-instellingen gebruiken.
Dit artikel helpt u bij het configureren van een AlwaysOn VPN-gebruikerstunnel. Zie Een AlwaysOn VPN-apparaattunnel configureren voor meer informatie over het configureren van een apparaattunnel.
De gateway configureren
Gebruik de instructies in het artikel Een punt-naar-site-VPN-verbinding configureren om de VPN-gateway te configureren voor het gebruik van IKEv2 en verificatie op basis van certificaten.
Een gebruikerstunnel configureren
Installeer clientcertificaten op de Windows-client, zoals wordt weergegeven in dit punt-naar-site VPN-clientartikel . Het certificaat moet zich in het huidige gebruikersarchief bevinden.
U kunt de AlwaysOn VPN-client configureren via PowerShell, Configuration Manager of Intune door de instructies te volgen in AlwaysOn VPN-verbindingen voor Windows 10 of hoger configureren.
Voorbeeldconfiguratie voor de gebruikerstunnel
Nadat u de gateway van het virtuele netwerk hebt geconfigureerd en het clientcertificaat hebt geïnstalleerd in het archief van de lokale computer op de Windows-client, configureert u een tunnel voor clientapparaten met behulp van de volgende voorbeelden. Houd er rekening mee dat deze voorbeelden zijn gevalideerd in Windows 10.
Kopieer de volgende tekst en sla deze op als usercert.ps1:
Param( [string]$xmlFilePath, [string]$ProfileName ) $a = Test-Path $xmlFilePath echo $a $ProfileXML = Get-Content $xmlFilePath echo $XML $ProfileNameEscaped = $ProfileName -replace ' ', '%20' $Version = 201606090004 $ProfileXML = $ProfileXML -replace '<', '<' $ProfileXML = $ProfileXML -replace '>', '>' $ProfileXML = $ProfileXML -replace '"', '"' $nodeCSPURI = './Vendor/MSFT/VPNv2' $namespaceName = "root\cimv2\mdm\dmmap" $className = "MDM_VPNv2_01" $session = New-CimSession try { $newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key') $newInstance.CimInstanceProperties.Add($property) $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key') $newInstance.CimInstanceProperties.Add($property) $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property') $newInstance.CimInstanceProperties.Add($property) $session.CreateInstance($namespaceName, $newInstance) $Message = "Created $ProfileName profile." Write-Host "$Message" } catch [Exception] { $Message = "Unable to create $ProfileName profile: $_" Write-Host "$Message" exit } $Message = "Complete." Write-Host "$Message"Kopieer de volgende tekst en sla deze op als VPNProfile.xml in dezelfde map als usercert.ps1. Bewerk de volgende tekst zodat deze overeenkomt met uw omgeving:
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file<Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space<Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space<PrefixSize>32</PrefixSize> <= Subnet mask
<VPNProfile> <NativeProfile> <Servers>azuregateway-b115055e-0882-49bc-a9b9-7de45cba12c0-8e6946892333.vpn.azure.com</Servers> <NativeProtocolType>IKEv2</NativeProtocolType> <Authentication> <UserMethod>Eap</UserMethod> <Eap> <Configuration> <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName></EapType></Eap></Config></EapHostConfig> </Configuration> </Eap> </Authentication> <RoutingPolicyType>SplitTunnel</RoutingPolicyType> <!-- disable the addition of a class based route for the assigned IP address on the VPN interface --> <DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute> </NativeProfile> <!-- use host routes(/32) to prevent routing conflicts --> <Route> <Address>192.168.3.5</Address> <PrefixSize>32</PrefixSize> </Route> <Route> <Address>192.168.3.4</Address> <PrefixSize>32</PrefixSize> </Route> <!-- traffic filters for the routes specified above so that only this traffic can go over the device tunnel --> <TrafficFilter> <RemoteAddressRanges>192.168.3.4, 192.168.3.5</RemoteAddressRanges> </TrafficFilter> <!-- need to specify always on = true --> <AlwaysOn>true</AlwaysOn> <RememberCredentials>true</RememberCredentials> <!--new node to register client IP address in DNS to enable manage out --> <RegisterDNS>true</RegisterDNS> </VPNProfile>Voer PowerShell uit als beheerder.
Ga in PowerShell naar de map waarin usercert.ps1 en VPNProfile.xml zich bevinden en voer de volgende opdracht uit:
C:\> .\usercert.ps1 .\VPNProfile.xml UserTest
Zoek onder VPN-instellingen naar de vermelding UserTest en selecteer vervolgens Verbinding maken.
Als de verbinding slaagt, hebt u een AlwaysOn-gebruikerstunnel geconfigureerd.
Een profiel verwijderen
Als u een profiel wilt verwijderen, gebruikt u de volgende stappen:
Voer de volgende opdracht uit:
C:\> Remove-VpnConnection UserTestMaak de verbinding ongedaan en haal het vinkje weg uit het selectievakje Automatisch verbinding maken.
Volgende stappen
Zie Punt-naar-site-verbindingsproblemen in Azure om verbindingsproblemen op te lossen die zich kunnen voordoen.