Поделиться через

Руководство по развертыванию инфраструктуры VPN AlwaysOn

AlwaysOn VPN — это решение удаленного доступа в Windows Server, которое обеспечивает простое и безопасное подключение для удаленных пользователей к корпоративным сетям. Он поддерживает расширенные методы проверки подлинности и интегрируется с существующей инфраструктурой, предлагая современную альтернативу традиционным решениям VPN. В этом руководстве начинается серия развертывания AlwaysOn VPN в примере среды.

В этом руководстве описано, как развернуть пример инфраструктуры для VPN-подключений AlwaysOn для удаленных клиентских компьютеров Windows, присоединенных к домену. Чтобы создать пример инфраструктуры, выполните следующие действия.

  • Создайте контроллер домена Active Directory.
  • Настройте групповую политику для автоматической регистрации сертификатов.
  • Создайте сервер политики сети (NPS).
  • Создайте VPN-сервер.
  • Создайте VPN-пользователя и группу.
  • Настройте VPN-сервер в качестве клиента RADIUS.
  • Настройте сервер NPS в качестве сервера RADIUS.

Дополнительные сведения о AlwaysOn VPN, включая поддерживаемые интеграции, функции безопасности и подключения, см. в разделе "Обзор VPN Always On".

Необходимые компоненты

Чтобы выполнить действия, описанные в этом руководстве, необходимо выполнить следующие предварительные требования:

  • Три сервера (физические или виртуальные) под управлением поддерживаемой версии Windows Server. Эти серверы являются контроллером домена, сервером NPS и VPN-сервером.

  • Сервер, используемый для сервера NPS, требует установки двух физических сетевых адаптеров: один для подключения к Интернету, а один — для подключения к сети, в которой находится контроллер домена.

  • Учетная запись пользователя на всех компьютерах, которая является членом локальной группы безопасности Администраторы или аналогичной.

Внимание

Использование удаленного доступа в Microsoft Azure не поддерживается. Дополнительные сведения см. в статье о поддержке программного обеспечения сервера Майкрософт для виртуальных машин Microsoft Azure.

Создание контроллера домена

  1. На сервере, на который вы хотите быть контроллером домена, установите доменные службы Active Directory (AD DS). Подробные сведения об установке AD DS см. в разделе "Установка доменных служб Active Directory".

  2. Повышение уровня windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен в новом лесу. Подробные сведения об установке контроллера домена см. в разделе "Установка AD DS".

  3. Установите и настройте центр сертификации (ЦС) на контроллере домена. Подробные сведения об установке ЦС см. в разделе "Установка центра сертификации".

Настройка групповой политики для автоматической регистрации сертификатов

В этом разделе описано, как создать групповую политику на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет пользователям VPN запрашивать и извлекать сертификаты пользователей, которые автоматически проходят проверку подлинности VPN-подключений. Эта политика также позволяет серверу NPS автоматически запрашивать сертификаты проверки подлинности сервера.

  1. На контроллере домена откройте консоль управления групповыми политиками.

  2. В левой области щелкните правой кнопкой мыши свой домен (например, corp.contoso.com). Выберите "Создать объект групповой политики в этом домене и связать его здесь".

  3. В диалоговом окне "Создание объекта групповой политики", в поле Имя введите Политика автоматической регистрации. Нажмите кнопку "ОК".

  4. В левой области щелкните правой кнопкой мыши Политику автоматической регистрации. Выберите "Изменить", чтобы открыть редактор управления групповыми политиками.

  5. В редакторе управления групповыми политиками выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера:

    1. Перейдите к Конфигурация компьютера>Политики>Настройки Windows>Настройки безопасности>Политики открытого ключа.

    2. В области сведений щелкните правой кнопкой мыши на Клиент служб сертификатов — Автоматическая регистрация. Выберите свойства.

    3. В диалоговом окне "Клиент служб сертификатов – свойства автоматической регистрации" для модели конфигурации выберите "Включено".

    4. Выберите "Обновить сертификаты с истекшим сроком действия", обновить ожидающие сертификаты и удалить отозванные сертификаты и обновить сертификаты, использующие шаблоны сертификатов.

    5. Нажмите кнопку "ОК".

  6. В редакторе управления групповыми политиками выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата пользователя:

    1. Перейдите к Конфигурации пользователя>Политики>Параметры Windows>Параметры безопасности>Политики открытых ключей.

    2. В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация и выберите свойства.

    3. В диалоговом окне Свойства клиента служб сертификатов – автоматическая регистрация, в разделе Модель конфигурации, выберите Включено.

    4. Выберите "Обновить сертификаты с истекшим сроком действия", обновить ожидающие сертификаты и удалить отозванные сертификаты и обновить сертификаты, использующие шаблоны сертификатов.

    5. Нажмите кнопку "ОК".

    6. Закройте редактор управления групповыми политиками.

  7. Примените групповую политику к пользователям и компьютерам в домене.

  8. Закройте консоль управления групповыми политиками.

Создание сервера NPS

  1. На сервере, который вы хотите использовать в качестве сервера NPS, установите роль политики сети и служб доступа (NPS). Подробные сведения об установке NPS см. в разделе "Установка сервера политики сети".

  2. Зарегистрируйте сервер NPS в Active Directory. Сведения о регистрации NPS-сервера в Active Directory см. в разделе "Регистрация NPS" в домене Active Directory.

  3. Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в разделе "Настройка брандмауэров для трафика RADIUS".

  4. Создайте группу серверов NPS:

    1. На контроллере домена откройте Пользователи и компьютеры Active Directory.

    2. В разделе вашего домена щелкните правой кнопкой мыши Computers. Выберите "Создать", а затем выберите "Группа".

    3. В имени группы введите NPS-серверы, а затем нажмите кнопку "ОК".

    4. Щелкните правой кнопкой мыши NPS-серверы и выберите пункт "Свойства".

    5. На вкладке "Члены" диалогового окна "Свойства серверов NPS" нажмите кнопку "Добавить".

    6. Установите флажок "Типы объектов", установите флажок "Компьютеры ", а затем нажмите кнопку "ОК".

    7. Введите имена объектов, которые нужно выбрать, введите имя узла сервера NPS. Нажмите кнопку "ОК".

    8. Закройте окно "Пользователи и компьютеры Active Directory".

Создание VPN-сервера

  1. Для сервера, на котором запущен VPN-сервер, убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а один — для подключения к сети, в которой находится контроллер домена.

  2. Определите, какой сетевой адаптер подключается к Интернету и какой сетевой адаптер подключается к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, а адаптер, который сталкивается с интрасетью, может использовать IP-адрес из локальной сети.

  3. Для сетевого адаптера, подключающегося к домену, задайте предпочтительный IP-адрес DNS для IP-адреса контроллера домена.

  4. Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье "Присоединение сервера к домену".

  5. Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере. Для сетевого адаптера, подключающегося к домену, разрешите следующие порты UDP: 1812, 1813, 1645 и 1646.

  6. Создайте группу VPN-серверов:

    1. На контроллере домена откройте active Directory Users and Computers.

    2. В разделе вашего домена щелкните правой кнопкой мыши Computers. Выберите "Создать", а затем выберите "Группа".

    3. В имени группы введите VPN-серверы, а затем нажмите кнопку "ОК".

    4. Щелкните правой кнопкой мыши VPN-серверы и выберите "Свойства".

    5. На вкладке "Члены" диалогового окна "Свойства VPN-серверов" нажмите кнопку "Добавить".

    6. Установите флажок "Типы объектов", установите флажок "Компьютеры ", а затем нажмите кнопку "ОК".

    7. Введите имена объектов, которые нужно выбрать, введите имя узла VPN-сервера. Нажмите кнопку "ОК".

    8. Закройте окно "Пользователи и компьютеры Active Directory".

  7. Выполните действия, описанные в разделе "Установка удаленного доступа в качестве VPN-сервера " для установки VPN-сервера.

  8. Откройте маршрутизацию и удаленный доступ из диспетчера серверов.

  9. Щелкните правой кнопкой мыши имя VPN-сервера и выберите пункт "Свойства".

  10. В свойствах выберите вкладку "Безопасность" , а затем:

    1. Выберите поставщик проверки подлинности и выберите RADIUS Authentication.

    2. Выберите "Настроить", чтобы открыть диалоговое окно проверки подлинности RADIUS.

    3. Нажмите кнопку "Добавить" , чтобы открыть диалоговое окно "Добавить сервер RADIUS".

      1. В имени сервера введите полное доменное имя (FQDN) сервера NPS, который также является сервером RADIUS. Например, если имя NetBIOS вашего сервера NPS и контроллера домена — это nps1, а имя домена — corp.contoso.com, введите nps1.corp.contoso.com.

      2. В общем секрете выберите "Изменить ", чтобы открыть диалоговое окно "Изменить секрет".

      3. В поле "Новый секрет" введите текстовую строку.

      4. В поле "Подтверждение нового секрета" введите ту же текстовую строку, а затем нажмите кнопку "ОК".

      5. Сохраните этот секрет. Это необходимо при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.

    4. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Добавить сервер RADIUS ".

    5. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно проверки подлинности RADIUS .

  11. В диалоговом окне свойств VPN-сервера выберите методы проверки подлинности....

  12. Выберите Разрешить проверку подлинности сертификата компьютера для IKEv2.

  13. Нажмите кнопку "ОК".

  14. Для поставщика бухгалтерских услуг выберите Windows Accounting.

  15. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства".

  16. Диалоговое окно предложит перезапустить сервер. Нажмите кнопку "Да".

Создание vpn-пользователя и группы

  1. Создайте VPN-пользователя, выполнив следующие действия.

    1. На контроллере домена откройте консоль "Пользователи и компьютеры Active Directory ".
    2. В домене щелкните правой кнопкой мыши "Пользователи". Нажмите кнопку "Создать". В поле "Имя входа пользователя" введите любое имя. Нажмите кнопку "Далее".
    3. Выберите пароль для пользователя.
    4. Снимите флажок Пользователь должен изменить пароль при следующем входе. Выберите параметр Пароль никогда не истекает.
    5. Нажмите кнопку "Готово". Оставайтесь открытыми Пользователи и компьютеры Active Directory.

  2. Создайте группу пользователей VPN, выполнив следующие действия.

    1. В домене щелкните правой кнопкой мыши "Пользователи". Выберите "Создать", а затем выберите "Группа".
    2. В имени группы введите VPN Пользователи, а затем нажмите ОК.
    3. Щелкните правой кнопкой мыши VPN-пользователей и выберите "Свойства".
    4. На вкладке "Члены" диалогового окна "Свойства пользователей VPN" нажмите кнопку "Добавить".
    5. В диалоговом окне "Выбор пользователей" добавьте созданного VPN-пользователя и нажмите кнопку "ОК".

Настройка VPN-сервера в качестве клиента RADIUS

  1. На сервере NPS настройте правила брандмауэра, чтобы позволить входящий трафик через UDP-порты 1812, 1813, 1645 и 1646, включая брандмауэр Windows.

  2. Откройте консоль сервера политики сети .

  3. В консоли NPS дважды щелкните RADIUS-Клиенты и Сервера.

  4. Щелкните правой кнопкой мыши "Клиенты RADIUS" и выберите "Создать ", чтобы открыть диалоговое окно "Новый клиент RADIUS ".

  5. Убедитесь, что установлен флажок "Включить этот клиент RADIUS ".

  6. В дружественном имени введите отображаемое имя VPN-сервера.

  7. В поле Address (IP или DNS) введите IP-адрес или полное доменное имя VPN-сервера.

    Если вы ввели полное доменное имя, выберите «Проверить», чтобы убедиться, что имя правильно и сопоставляется с допустимым IP-адресом.

  8. В общем секрете:

    1. Убедитесь, что выбран Manual.
    2. Введите секрет, созданный в разделе "Создание VPN-сервера".
    3. Для подтверждения общего секрета повторно введите общий секрет.

  9. Нажмите кнопку "ОК". VPN-сервер должен отображаться в списке клиентов RADIUS, настроенных на сервере NPS.

Настройка NPS-сервера в качестве сервера RADIUS

  1. Зарегистрируйте сертификат сервера для сервера NPS с сертификатом, отвечающим требованиям в разделе "Настройка шаблонов сертификатов для требований PEAP и EAP". Чтобы убедиться, что серверы политики сети (NPS) зарегистрированы с помощью серверного сертификата, выданного центром сертификации (ЦС), см. статью Проверка регистрации серверного сертификата.

  2. В консоли NPS выберите NPS (Local).

  3. В стандартной конфигурации убедитесь, что выбран сервер RADIUS для подключений по телефону или VPN .

  4. Выберите "Настроить VPN" или "Телефонный подключение", чтобы открыть мастер настройки VPN или телефонного подключения .

  5. Выберите подключения виртуальной частной сети (VPN), а затем нажмите кнопку "Далее".

  6. В поле "Указать телефонный или VPN-сервер" в клиентах RADIUS выберите имя VPN-сервера.

  7. Нажмите кнопку "Далее".

  8. В разделе "Настройка методов проверки подлинности" выполните следующие действия.

    1. Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).

    2. Выберите расширяемый протокол проверки подлинности.

    3. Для Типа выберите Microsoft: Protected EAP (PEAP). Затем нажмите кнопку "Настроить", чтобы открыть диалоговое окно "Свойства защищенного EAP ".

    4. Выберите "Удалить ", чтобы удалить защищенный пароль (EAP-MSCHAP версии 2) типа EAP.

    5. Нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить EAP".

    6. Нажмите кнопку "Смарт-карта" или другой сертификат, а затем нажмите кнопку "ОК".

    7. Выберите ОК, чтобы закрыть окно "Редактировать защищенные свойства EAP".

  9. Нажмите кнопку "Далее".

  10. В разделе "Указание групп пользователей" выполните следующие действия.

    1. Нажмите кнопку "Добавить". Откроется диалоговое окно выбора пользователей, компьютеров, учетных записей служб или групп .

    2. Введите VPN-пользователей, а затем нажмите кнопку "ОК".

    3. Нажмите кнопку "Далее".

  11. В поле "Указать IP-фильтры" нажмите кнопку "Далее".

  12. В разделе "Указание параметров шифрования" нажмите кнопку "Далее". Не вносите никаких изменений.

  13. В поле "Указать имя области" нажмите кнопку "Далее".

  14. Нажмите кнопку "Готово ", чтобы закрыть мастер.

Следующий шаг

Теперь вы создали образец инфраструктуры, вы готовы приступить к настройке центра сертификации.

Руководство по настройке шаблонов центра сертификации для AlwaysOn VPN