Samouczek: wdrażanie infrastruktury zawsze włączonej sieci VPN

Zawsze włączona sieć VPN to rozwiązanie dostępu zdalnego w systemie Windows Server, które zapewnia bezproblemową i bezpieczną łączność dla użytkowników zdalnych z sieciami firmowymi. Obsługuje zaawansowane metody uwierzytelniania i integruje się z istniejącą infrastrukturą, oferując nowoczesną alternatywę dla tradycyjnych rozwiązań sieci VPN. Ten samouczek rozpoczyna serię wdrażania zawsze włączonej sieci VPN w przykładowym środowisku.

Z tego samouczka dowiesz się, jak wdrożyć przykładową infrastrukturę dla zawsze włączonych połączeń sieci VPN dla zdalnych komputerów klienckich z systemem Windows przyłączonych do domeny. Aby utworzyć przykładową infrastrukturę, należy wykonać:

• Utwórz kontroler domeny usługi Active Directory.
• Skonfiguruj zasady grupy na potrzeby automatycznej rejestracji certyfikatów.
• Utwórz serwer serwera zasad sieciowych (NPS).
• Utwórz serwer sieci VPN.
• Utwórz użytkownika i grupę sieci VPN.
• Skonfiguruj serwer sieci VPN jako klienta usługi RADIUS.
• Skonfiguruj serwer NPS jako serwer RADIUS.

Aby dowiedzieć się więcej na temat zawsze włączonej sieci VPN, w tym obsługiwanych integracji, funkcji zabezpieczeń i łączności, zobacz Always On VPN Overview (Omówienie zawsze włączonej sieci VPN).

Prerequisites

Aby wykonać kroki opisane w tym samouczku, musisz spełnić następujące wymagania wstępne:

• Trzy serwery (fizyczne lub wirtualne) z obsługiwaną wersją systemu Windows Server. Te serwery są kontrolerem domeny, serwerem NPS i serwerem sieci VPN.

• Serwer używany dla serwera NPS musi mieć zainstalowane dwie fizyczne karty sieciowe: jeden do łączenia się z Internetem, a drugi do łączenia się z siecią, w której znajduje się kontroler domeny.

• Konto użytkownika na wszystkich komputerach należących do lokalnej grupy zabezpieczeń Administratorzy lub równoważnej.

Important

Korzystanie z dostępu zdalnego na platformie Microsoft Azure nie jest obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa oprogramowania serwerowego firmy Microsoft dla maszyn wirtualnych platformy Microsoft Azure.

Tworzenie kontrolera domeny

1. Na serwerze, który ma być kontrolerem domeny, zainstaluj usługi Active Directory Domain Services (AD DS). Aby uzyskać szczegółowe informacje na temat sposobu instalowania usług AD DS, zobacz Instalowanie usług Active Directory Domain Services.

2. Przekształć system Windows Server w kontroler domeny. W tym samouczku utworzysz nowy las i domenę w tym nowym lesie. Aby uzyskać szczegółowe informacje na temat sposobu instalowania kontrolera domeny, zobacz Instalacja usług AD DS.

3. Zainstaluj i skonfiguruj urząd certyfikacji na kontrolerze domeny. Aby uzyskać szczegółowe informacje na temat sposobu instalowania urzędu certyfikacji, zobacz Instalowanie urzędu certyfikacji.

Skonfiguruj zasady grupy na potrzeby automatycznej rejestracji certyfikatów

W tej sekcji utworzysz zasady grupy na kontrolerze domeny, aby członkowie domeny automatycznie żądali certyfikatów użytkowników i komputerów. Ta konfiguracja umożliwia użytkownikom sieci VPN żądanie i pobieranie certyfikatów użytkowników, które automatycznie uwierzytelniają połączenia sieci VPN. Te zasady umożliwiają również serwerowi NPS automatyczne żądanie certyfikatów uwierzytelniania serwera.

1. Na kontrolerze domeny otwórz konsolę zarządzania zasadami grupy.

2. W okienku po lewej stronie kliknij prawym przyciskiem myszy domenę (na przykład corp.contoso.com). Wybierz Utwórz GPO w tej domenie i połącz tutaj.

3. W oknie dialogowym Nowy obiekt zasad grupy w polu Nazwa wprowadź zasady automatycznej rejestracji. Kliknij przycisk OK.

4. W okienku po lewej stronie kliknij prawym przyciskiem myszy pozycję Zasady automatycznej rejestracji. Wybierz pozycję Edytuj , aby otworzyć Edytor zarządzania zasadami grupy.

5. W Edytorze zarządzania zasadami grupy wykonaj następujące kroki, aby skonfigurować automatyczną rejestrację certyfikatu komputera:

   1. Przejdź dopozycji Zasady>konfiguracji> komputeraUstawienia systemu Windows Ustawienia>zabezpieczeń>Zasady klucza publicznego.

   2. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Klient usług certyfikatów — automatyczna rejestracja. Wybierz Właściwości.

   3. W oknie dialogowym Klient usług certyfikatów — właściwości automatycznej rejestracji w polu Model konfiguracji wybierz pozycję Włączone.

   4. Wybierz pozycję Odnów wygasłe certyfikaty, aktualizuj oczekujące certyfikaty i usuń odwołane certyfikaty i Aktualizuj certyfikaty korzystające z szablonów certyfikatów.

   5. Kliknij przycisk OK.

6. W Edytorze zarządzania zasadami grupy wykonaj następujące kroki, aby skonfigurować automatyczną rejestrację certyfikatu użytkownika:

   1. Przejdź dopozycji Zasady>konfiguracji> użytkownikaUstawienia systemu Windows Ustawienia>zabezpieczeń>Zasady klucza publicznego.

   2. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Klient usług certyfikatów — automatyczna rejestracja i wybierz pozycję Właściwości.

   3. W oknie dialogowym Klient usług certyfikatów — właściwości automatycznej rejestracji w modelu konfiguracji wybierz pozycję Włączone.

   4. Wybierz pozycję Odnów wygasłe certyfikaty, aktualizuj oczekujące certyfikaty i usuń odwołane certyfikaty i Aktualizuj certyfikaty korzystające z szablonów certyfikatów.

   5. Kliknij przycisk OK.

   6. Zamknij Edytor zarządzania zasadami grupy.

7. Zastosuj zasady grupy do użytkowników i komputerów w domenie.

8. Zamknij konsolę zarządzania zasadami grupy.

Tworzenie serwera NPS

1. Na serwerze, który ma być serwerem NPS, zainstaluj rolę usługi zasad sieciowych i dostępu (NPS). Aby uzyskać szczegółowe informacje na temat sposobu instalowania serwera NPS, zobacz Instalowanie serwera zasad sieciowych.

2. Zarejestruj serwer NPS w usłudze Active Directory. Aby uzyskać informacje na temat rejestrowania serwera NPS w usłudze Active Directory, zobacz Rejestrowanie serwera NPS w domenie usługi Active Directory.

3. Upewnij się, że zapory zezwalają na poprawne działanie ruchu, który jest niezbędny zarówno do komunikacji sieci VPN, jak i usługi RADIUS. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór dla ruchu usługi RADIUS.

4. Utwórz grupę serwerów NPS:

   1. Na kontrolerze domeny otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

   2. W domenie kliknij prawym przyciskiem myszy pozycję Komputery. Wybierz pozycję Nowy, a następnie wybierz pozycję Grupa.

   3. W polu Nazwa grupy wprowadź ciąg Serwery NPS, a następnie wybierz przycisk OK.

   4. Kliknij prawym przyciskiem myszy pozycję Serwery NPS i wybierz polecenie Właściwości.

   5. Na karcie Członkowie okna dialogowego Właściwości serwerów NPS wybierz pozycję Dodaj.

   6. Wybierz pozycję Typy obiektów, zaznacz pole wyboru Komputery , a następnie wybierz przycisk OK.

   7. W polu Wprowadź nazwy obiektów do wybrania wprowadź nazwę hosta serwera NPS. Kliknij przycisk OK.

   8. Zamknij Użytkownicy i komputery usługi Active Directory.

Tworzenie serwera sieci VPN

1. W przypadku serwera, na którym działa serwer sieci VPN, upewnij się, że maszyna ma zainstalowane dwie fizyczne karty sieciowe: jedną, aby połączyć się z Internetem, i jedną, aby nawiązać połączenie z siecią, w której znajduje się kontroler domeny.

2. Określ, która karta sieciowa łączy się z Internetem i która karta sieciowa łączy się z domeną. Skonfiguruj kartę sieciową skierowaną ku Internetowi z adresem IP publicznym, natomiast karta skierowana ku intranetem może używać adresu IP z lokalnej sieci.

3. W przypadku karty sieciowej łączącej się z domeną ustaw preferowany DNS-owy adres IP na adres IP kontrolera domeny.

4. Przyłącz serwer sieci VPN do domeny. Aby uzyskać informacje na temat dołączania serwera do domeny, zobacz Aby dołączyć serwer do domeny.

5. Otwórz reguły zapory, aby zezwolić na ruch przychodzący portów UDP 500 i 4500 do zewnętrznego adresu IP zastosowanego do interfejsu publicznego na serwerze sieci VPN. W przypadku karty sieciowej łączącej się z domeną należy zezwolić na następujące porty UDP: 1812, 1813, 1645 i 1646.

6. Utwórz grupę Serwerów VPN

   1. Na kontrolerze domeny otwórz Użytkownicy i komputery usługi Active Directory.

   2. W domenie kliknij prawym przyciskiem myszy pozycję Komputery. Wybierz pozycję Nowy, a następnie wybierz pozycję Grupa.

   3. W polu Nazwa grupy wprowadź ciąg Serwery sieci VPN, a następnie wybierz przycisk OK.

   4. Kliknij prawym przyciskiem myszy pozycję Serwery sieci VPN i wybierz polecenie Właściwości.

   5. Na karcie Członkowie okna dialogowego Właściwości serwerów sieci VPN wybierz pozycję Dodaj.

   6. Wybierz pozycję Typy obiektów, zaznacz pole wyboru Komputery , a następnie wybierz przycisk OK.

   7. W polu Wprowadź nazwy obiektów do wybrania wprowadź nazwę hosta serwera sieci VPN. Kliknij przycisk OK.

   8. Zamknij Użytkownicy i komputery usługi Active Directory.

7. Wykonaj kroki opisane w temacie Instalowanie dostępu zdalnego jako serwera sieci VPN , aby zainstalować serwer sieci VPN.

8. Otwórz Routing i Dostęp zdalny z Menedżera Serwera.

9. Kliknij prawym przyciskiem myszy nazwę serwera sieci VPN, a następnie wybierz polecenie Właściwości.

10. W obszarze Właściwości wybierz kartę Zabezpieczenia , a następnie:

    1. Wybierz pozycję Dostawca uwierzytelniania i wybierz pozycję Uwierzytelnianie usługi RADIUS.

    2. Wybierz pozycję Konfiguruj , aby otworzyć okno dialogowe Uwierzytelnianie usługi RADIUS.

    3. Wybierz pozycję Dodaj , aby otworzyć okno dialogowe Dodawanie serwera RADIUS.

       1. W polu Nazwa serwera wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) serwera NPS, który jest również serwerem RADIUS. Jeśli na przykład nazwa NetBIOS serwera NPS i serwera kontrolera domeny to nps1, a nazwa domeny to corp.contoso.com, wprowadź nps1.corp.contoso.com.

       2. W obszarze Wspólny wpis tajny wybierz pozycję Zmień , aby otworzyć okno dialogowe Zmienianie wpisu tajnego.

       3. W obszarze Nowy wpis tajny wprowadź ciąg tekstowy.

       4. W obszarze Potwierdź nowy wpis tajny wprowadź ten sam ciąg tekstowy, a następnie wybierz przycisk OK.

       5. Zapisz tę tajemnicę. Ten serwer sieci VPN jest potrzebny podczas dodawania go jako klienta usługi RADIUS w dalszej części tego samouczka.

    4. Wybierz przycisk OK , aby zamknąć okno dialogowe Dodawanie serwera RADIUS .

    5. Wybierz przycisk OK , aby zamknąć okno dialogowe Uwierzytelnianie usługi RADIUS .

11. W oknie dialogowym Właściwości serwera sieci VPN wybierz pozycję Metody uwierzytelniania....

12. Wybierz pozycję Zezwalaj na uwierzytelnianie certyfikatu maszyny dla protokołu IKEv2.

13. Kliknij przycisk OK.

14. W polu Dostawca księgowości wybierz pozycję Księgowość systemu Windows.

15. Wybierz przycisk OK , aby zamknąć okno dialogowe Właściwości.

16. Zostanie wyświetlone okno dialogowe z monitem o ponowne uruchomienie serwera. Wybierz opcję Tak.

Tworzenie użytkownika i grupy sieci VPN

1. Utwórz użytkownika sieci VPN, wykonując następujące czynności:

   1. Na kontrolerze domeny otwórz konsolę Użytkownicy i komputery usługi Active Directory .
   2. W domenie kliknij prawym przyciskiem myszy pozycję Użytkownicy. Wybierz pozycję Nowy. W polu Nazwa logowania użytkownika wprowadź dowolną nazwę. Wybierz Dalej.
   3. Wybierz hasło użytkownika.
   4. Odznacz Użytkownik musi zmienić hasło przy następnym logowaniu. Wybierz pozycję Hasło nigdy nie wygasa.
   5. Wybierz Zakończ. Pozostaw otwarte okno Użytkownicy i komputery usługi Active Directory.

2. Utwórz grupę użytkowników sieci VPN, wykonując następujące czynności:

   1. W domenie kliknij prawym przyciskiem myszy pozycję Użytkownicy. Wybierz pozycję Nowy, a następnie wybierz pozycję Grupa.
   2. W polu Nazwa grupy wprowadź wartość Użytkownicy sieci VPN, a następnie wybierz przycisk OK.
   3. Kliknij prawym przyciskiem myszy pozycję Użytkownicy sieci VPN i wybierz pozycję Właściwości.
   4. Na karcie Członkowie okna dialogowego Właściwości użytkowników sieci VPN wybierz pozycję Dodaj.
   5. W oknie dialogowym Wybieranie użytkowników dodaj utworzonego użytkownika sieci VPN i wybierz przycisk OK.

Konfigurowanie serwera sieci VPN jako klienta usługi RADIUS

1. Na serwerze NPS skonfiguruj reguły zapory, aby zezwolić na porty UDP 1812, 1813, 1645 i 1646 dla ruchu przychodzącego, w tym Zaporę Windows.

2. Otwórz konsolę serwera zasad sieciowych .

3. W konsoli NPS kliknij dwukrotnie pozycję Klienci i serwery RADIUS.

4. Kliknij prawym przyciskiem myszy klientów RADIUS i wybierz pozycję Nowy , aby otworzyć okno dialogowe Nowy klient RADIUS .

5. Sprawdź, czy pole wyboru Włącz tego klienta RADIUS jest zaznaczone.

6. W polu Przyjazna nazwa wprowadź nazwę wyświetlaną serwera sieci VPN.

7. W polu Adres (adres IP lub DNS) wprowadź adres IP lub nazwę FQDN serwera sieci VPN.

   Jeśli wprowadzisz nazwę FQDN, wybierz pozycję Sprawdź , czy nazwa jest poprawna i mapuje na prawidłowy adres IP.

8. W udostępnionym kluczu tajnym:

   1. Upewnij się, że wybrano opcję Ręczne .
   2. Wprowadź wpis tajny utworzony w sekcji Tworzenie serwera sieci VPN.
   3. W polu Potwierdź wspólny wpis tajny wprowadź ponownie wspólny wpis tajny.

9. Kliknij przycisk OK. Serwer sieci VPN powinien zostać wyświetlony na liście klientów usługi RADIUS skonfigurowanych na serwerze NPS.

Konfigurowanie serwera NPS jako serwera RADIUS

1. Zarejestruj certyfikat serwera dla serwera NPS z certyfikatem spełniającym wymagania w temacie Konfigurowanie szablonów certyfikatów pod kątem wymagań PEAP i EAP. Aby sprawdzić, czy serwery zasad sieciowych (NPS) posiadają certyfikat serwera wydany przez urząd certyfikacji, zobacz Weryfikowanie rejestracji certyfikatu serwera.

2. W konsoli serwera NPS wybierz pozycję NPS (lokalny)..

3. W obszarze Konfiguracja Standardowa upewnij się, że wybrano opcję Serwer RADIUS dla połączeń telefonicznych lub sieci VPN .

4. Wybierz Konfiguruj VPN lub Dial-Up, aby otworzyć kreatora Konfiguruj VPN lub Dial-Up.

5. Wybierz pozycję Połączenia wirtualnej sieci prywatnej (VPN), a następnie wybierz pozycję Dalej.

6. W Określ serwer Dial-Up lub VPN w klientach RADIUS wybierz nazwę serwera VPN.

7. Wybierz Dalej.

8. W obszarze Konfigurowanie metod uwierzytelniania wykonaj następujące kroki:

   1. Wyczyść Uwierzytelnianie Microsoft Encrypted w wersji 2 (MS-CHAPv2).

   2. Wybierz opcję Rozszerzalny protokół uwierzytelniania.

   3. W polu Typ wybierz pozycję Microsoft: Protected EAP (PEAP). Następnie wybierz pozycję Konfiguruj , aby otworzyć okno dialogowe Edytowanie właściwości chronionego protokołu EAP .

   4. Wybierz pozycję Usuń , aby usunąć typ protokołu EAP zabezpieczonego hasła (EAP-MSCHAP v2).

   5. Wybierz Dodaj. Otwiera się okno dialogowe Dodaj protokół EAP.

   6. Wybierz pozycję Karta inteligentna lub inny certyfikat, a następnie wybierz przycisk OK.

   7. Wybierz przycisk OK , aby zamknąć polecenie Edytuj chronione właściwości protokołu EAP.

9. Wybierz Dalej.

10. W obszarze Określanie grup użytkowników wykonaj następujące kroki:

    1. Wybierz Dodaj. Zostanie otwarte okno dialogowe Wybieranie użytkowników, komputerów, kont usług lub grup .

    2. Wprowadź ciąg Użytkownicy sieci VPN, a następnie wybierz przycisk OK.

    3. Wybierz Dalej.

11. W obszarze Określ filtry adresów IP wybierz pozycję Dalej.

12. Na stronie Określanie ustawień szyfrowania wybierz pozycję Dalej. Nie wprowadzaj żadnych zmian.

13. W Określ nazwę domeny wybierz Dalej.

14. Wybierz przycisk Zakończ , aby zamknąć kreatora.

Następny krok

Teraz utworzono przykładową infrastrukturę, możesz rozpocząć konfigurowanie urzędu certyfikacji.

Instrukcje: konfigurowanie szablonów Urzędu Certyfikatów dla Always On VPN