Руководство. Развертывание ALWAYS ON VPN — настройка инфраструктуры для Always On VPN
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11
В этом руководстве описано, как развернуть Always On VPN-подключения для удаленных присоединенных к домену клиентских компьютеров Windows. Вы создадите пример инфраструктуры, в который показано, как реализовать Always On процесса VPN-подключения. Процесс состоит из следующих этапов:
VPN-клиент Windows использует общедоступный DNS-сервер для выполнения запроса разрешения имен для IP-адреса VPN-шлюза.
VPN-клиент использует IP-адрес, возвращенный DNS, для отправки запроса на подключение к VPN-шлюзу.
VPN-сервер также настроен в качестве клиента RADIUS; VPN RADIUS-клиент отправляет запрос на подключение серверу NPS для обработки запросов на подключение.
NPS-сервер обрабатывает запрос на подключение, включая авторизацию и проверку подлинности, и определяет, следует ли разрешить или отклонить запрос на подключение.
NPS-сервер пересылает Access-Accept или Access-Deny ответ НА VPN-сервер.
Подключение инициируется или прерывается на основе ответа, полученного VPN-сервером от сервера NPS.
Предварительные требования
Чтобы выполнить действия, описанные в этом руководстве, выполните следующие действия:
Вам потребуется доступ к четырем физическим компьютерам или виртуальным машинам.
Убедитесь, что ваша учетная запись пользователя на всех компьютерах является членом группы "Администраторы" или эквивалентной учетной записью.
Важно!
Использование удаленного доступа в Microsoft Azure не поддерживается, включая VPN-подключение удаленного доступа и DirectAccess. Дополнительные сведения см. в статье Поддержка серверного программного обеспечения Майкрософт для виртуальных машин Microsoft Azure.
Создание контроллера домена
Установите Windows Server на компьютере, на котором будет работать контроллер домена.
Установите доменные службы Active Directory (AD DS). Дополнительные сведения об установке AD DS см. в статье Установка доменные службы Active Directory.
Повышение уровня Windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен для этого нового леса. Подробные сведения об установке контроллера домена см. в статье Установка доменных служб Active Directory.
Установите и настройте центр сертификации (ЦС) на контроллере домена. Дополнительные сведения об установке ЦС см. в разделе Установка центра сертификации.
Создание групповая политика Active Directory
В этом разделе вы создадите групповая политика на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет пользователям VPN запрашивать и получать сертификаты пользователей, которые автоматически проверяют подлинность VPN-подключений. Эта политика также позволяет NPS-серверу автоматически запрашивать сертификаты проверки подлинности сервера.
На контроллере домена откройте раздел "Управление групповой политикой".
В области слева щелкните правой кнопкой мыши домен (например, corp.contoso.com). Выберите Создать объект групповой политики в этом домене и связать его здесь.
В диалоговом окне Новый объект групповой политики в поле Имя введите Политика автоматической регистрации. Щелкните ОК.
В левой области щелкните правой кнопкой мыши политику автоматической регистрации. Выберите Изменить, чтобы открыть редактор управления групповая политика.
В редакторе управления групповая политика выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера.
В области слева перейдите в разделПолитики>конфигурации>компьютера Параметры> WindowsПараметры безопасности Политики открытых>ключей.
В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация. Выберите Свойства.
В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации для параметра Модель конфигурации выберите Включено.
Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
Щелкните ОК.
В редакторе управления групповая политика выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата пользователя.
В области слева перейдите в разделПолитики>конфигурации>пользователей Параметры> WindowsПараметры безопасности Политики открытых>ключей.
В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства.
В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации в разделе Модель конфигурации выберите Включено.
Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
Щелкните ОК.
Закройте редактор управления групповыми политиками.
Закройте оснастку "Управление групповой политикой".
Создание NPS-сервера
Установите Windows Server на компьютере, на котором будет запущен сервер NPS.
На NPS-сервере установите роль служб политики сети и доступа (NPS). Дополнительные сведения об установке NSP см. в разделе Установка сервера политики сети.
Зарегистрируйте сервер NPS в Active Directory. Сведения о том, как зарегистрировать сервер NPS в Active Directory, см. в статье Регистрация NPS в домен Active Directory.
Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в разделе Настройка брандмауэров для трафика RADIUS.
Создайте группу NPS-серверов:
На контроллере домена откройте Пользователи и компьютеры Active Directory.
В разделе домена щелкните правой кнопкой мыши Компьютеры. Выберите Создать, а затем — Группировать.
В поле Имя группы введите NPS-серверы, а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши NPS-серверы и выберите Свойства.
На вкладке Члены диалогового окна Свойства NPS-серверов нажмите кнопку Добавить.
Выберите Типы объектов, установите флажок Компьютеры проверка, а затем нажмите кнопку ОК.
В поле Введите имена объектов для выбора введите имя компьютера сервера NPS. Щелкните ОК.
Закройте окно "Пользователи и компьютеры Active Directory".
Создание VPN-сервера
Установите Windows Server на компьютере, на котором будет выполняться VPN-сервер. Убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а второй — для подключения к сети, в которой находится контроллер домена.
Определите, какой сетевой адаптер подключается к Интернету, а какой — к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, а адаптер, подключенный к интрасети, может использовать IP-адрес из локальной сети.
Для сетевого адаптера, подключающегося к домену, задайте в качестве предпочтительного IP-адреса DNS IP-адрес контроллера домена.
Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье Присоединение сервера к домену.
Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик на внешний IP-адрес, примененный к общедоступному интерфейсу НА VPN-сервере.
На сетевом адаптере, подключаемом к домену, включите следующие порты: UDP1812, UDP1813, UDP1645 и UDP1646.
Создайте группу VPN-серверов:
На контроллере домена откройте Пользователи и компьютеры Active Directory.
В разделе домена щелкните правой кнопкой мыши Компьютеры. Выберите Создать, а затем — Группировать.
В поле Имя группы введите VPN-серверы, а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши VPN-серверы и выберите Свойства.
На вкладке Члены диалогового окна Свойства VPN-серверов нажмите кнопку Добавить.
Выберите Типы объектов, установите флажок Компьютеры проверка, а затем нажмите кнопку ОК.
В поле Введите имена объектов для выбора введите имя компьютера VPN-сервера. Щелкните ОК.
Закройте окно "Пользователи и компьютеры Active Directory".
Чтобы установить VPN-сервер, выполните действия, описанные в разделе Установка удаленного доступа в качестве VPN-сервера .
Откройте средство маршрутизации и удаленного доступа из диспетчер сервера.
Щелкните правой кнопкой мыши VPN-сервер и выберите Свойства.
В разделе Свойства выберите вкладку Безопасность , а затем:
Выберите Поставщик проверки подлинности и проверка подлинности RADIUS.
Выберите Настроить, чтобы открыть диалоговое окно Проверка подлинности RADIUS.
Выберите Добавить , чтобы открыть диалоговое окно Добавление сервера RADIUS.
В поле Имя сервера введите полное доменное имя (FQDN) сервера NPS. В этом руководстве NPS-сервер является сервером контроллера домена. Например, если netBIOS-имя сервера NPS и сервера контроллера домена — dc1, а доменное имя — corp.contoso.com, введите dc1.corp.contoso.com.
В разделе Общий секрет выберите Изменить , чтобы открыть диалоговое окно Изменение секрета.
В поле Новый секрет введите текстовую строку.
В разделе Подтверждение нового секрета введите ту же текстовую строку, а затем нажмите кнопку ОК.
Сохраните этот секрет. Он понадобится при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Добавление сервера RADIUS.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Проверка подлинности Radius.
В диалоговом окне Свойства VPN-сервера выберите Методы проверки подлинности....
Выберите Разрешить проверку подлинности на основе сертификата компьютера для IKEv2.
Щелкните ОК.
В поле Поставщик бухгалтерского учета выберите Учет Windows.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства.
Откроется диалоговое окно с запросом на перезапуск сервера. Выберите ответ Да.
Создание VPN-клиента Windows
Установите Windows 10 или более поздней версии на компьютере, который будет вашим VPN-клиентом.
Присоедините VPN-клиент к домену. Сведения о присоединении компьютера к домену см. в статье Присоединение компьютера к домену.
Создание пользователя и группы VPN
Создайте пользователя VPN, выполнив следующие действия.
На контроллере домена откройте Пользователи и компьютеры Active Directory.
В разделе домена щелкните правой кнопкой мыши Элемент Пользователи. Щелкните Создать. В поле Имя входа пользователя введите любое имя входа. Выберите Далее.
Выберите пароль для пользователя.
Снимите флажок Пользователь должен изменить пароль при следующем входе в систему. установлен флажок Срок действия пароля не ограничен.
Нажмите кнопку Завершить. Не закрывайте Пользователи и компьютеры Active Directory.
Создайте группу пользователей VPN, выполнив следующие действия.
В разделе домена щелкните правой кнопкой мыши Элемент Пользователи. Выберите Создать, а затем — Группировать.
В поле Имя группы введите Пользователи VPN, а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши Пользователи VPN и выберите Свойства.
На вкладке Члены диалогового окна Свойства пользователей VPN нажмите кнопку Добавить.
В диалоговом окне Выбор пользователей добавьте созданного пользователя VPN и нажмите кнопку ОК.
Настройка VPN-сервера в качестве клиента RADIUS
На NPS-сервере откройте правила брандмауэра, чтобы разрешить UDP-портам 1812, 1813, 1645 и 1646 входящий трафик.
В консоли NPS дважды щелкните RADIUS-клиенты и серверы.
Щелкните правой кнопкой мыши RADIUS-клиенты и выберите Создать , чтобы открыть диалоговое окно Новый клиент RADIUS.
Убедитесь, что установлен флажок Включить этот проверка клиента RADIUS.
В поле Понятное имя введите отображаемое имя VPN-сервера.
В поле Адрес (IP или DNS) введите IP-адрес или полное доменное имя VPN-сервера.
Если вы вводите полное доменное имя, выберите Проверить , если вы хотите убедиться, что имя правильное и сопоставляется с допустимым IP-адресом.
В разделе Общий секрет:
Убедитесь, что выбран параметр Вручную .
Введите секрет, созданный в разделе Создание VPN-сервера.
В поле Подтвердить общий секрет повторно введите общий секрет.
Щелкните ОК. VPN-сервер должен отображаться в списке клиентов RADIUS, настроенных на NPS-сервере.
Настройка сервера NPS в качестве сервера RADIUS
Примечание
В этом руководстве NPS-сервер устанавливается на контроллере домена с ролью ЦС. и нам не нужно регистрировать отдельный сертификат сервера NPS. Однако в среде, где NPS-сервер установлен на отдельном сервере, необходимо зарегистрировать сертификат NPS-сервера, прежде чем можно будет предварительно выполнить эти действия.
В консоли NPS выберите NPS(Local).
В разделе Стандартная конфигурация убедитесь, что выбран сервер RADIUS для удаленного доступа или VPN-подключений .
Выберите Настроить VPN или Dial-Up , чтобы открыть мастер настройки VPN или коммутируемого подключения.
Выберите Подключения виртуальной частной сети (VPN) и нажмите кнопку Далее.
В разделе Укажите коммутируемый или VPN-сервер в radius-клиентах выберите имя VPN-сервера.
Выберите Далее.
В разделе Настройка методов проверки подлинности выполните следующие действия.
Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).
Выберите Расширяемый протокол проверки подлинности.
В поле Тип выберите Microsoft: Protected EAP (PEAP) (Майкрософт: защищенный EAP (PEAP)). Затем выберите Настроить, чтобы открыть диалоговое окно Изменение защищенных свойств EAP.
Выберите Удалить , чтобы удалить тип EAP Secured Password (EAP-MSCHAP v2).
Выберите Добавить. Откроется диалоговое окно Добавление EAP.
Выберите Смарт-карта или другой сертификат, а затем нажмите кнопку ОК.
Нажмите кнопку ОК , чтобы закрыть команду Изменить защищенные свойства EAP.
Выберите Далее.
В разделе Указание групп пользователей выполните следующие действия.
Выберите Добавить. Откроется диалоговое окно Выбор пользователей, компьютеров, учетных записей служб или групп.
Введите VPN Users (Пользователи VPN), а затем нажмите кнопку ОК.
Выберите Далее.
В разделе Укажите IP-фильтры нажмите кнопку Далее.
В разделе Укажите параметры шифрования нажмите кнопку Далее. Не вносите никаких изменений.
В поле Укажите имя области нажмите кнопку Далее.
Выберите Готово, чтобы закрыть мастер.
Дальнейшие действия
Теперь вы создали пример инфраструктуры, которая готова к настройке центра сертификации.