Руководство. Развертывание Always On VPN — настройка инфраструктуры для Always On VPN

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11

В этом руководстве описано, как развернуть Always On VPN-подключения для удаленных клиентских компьютеров Windows, присоединенных к домену. Вы создадите пример инфраструктуры, где показано, как реализовать Always On процесс VPN-подключения. Процесс состоит из следующих этапов:

  1. VPN-клиент Windows использует общедоступный DNS-сервер для выполнения запроса разрешения имен для IP-адреса VPN-шлюза.

  2. VPN-клиент использует IP-адрес, возвращенный DNS, для отправки запроса на подключение к VPN-шлюзу.

  3. VPN-сервер также настроен в качестве клиента RADIUS; VPN-клиент RADIUS отправляет запрос на подключение серверу NPS для обработки запроса на подключение.

  4. NPS-сервер обрабатывает запрос на подключение, включая авторизацию и проверку подлинности, и определяет, следует ли разрешать или отклонять запрос на подключение.

  5. Сервер NPS перенаправит Access-Accept или Access-Deny ответ на VPN-сервер.

  6. Подключение инициируется или завершается на основе ответа, полученного VPN-сервером от сервера NPS.

Предварительные требования

Чтобы выполнить действия, описанные в этом руководстве, выполните следующие действия:

  • Вам потребуется доступ к четырем физическим компьютерам или виртуальным машинам.

  • Убедитесь, что учетная запись пользователя на всех компьютерах является членом группы "Администраторы" или эквивалентной учетной записи.

Важно!

Использование удаленного доступа в Microsoft Azure не поддерживается, включая VPN удаленного доступа и DirectAccess. Дополнительные сведения см. в статье Поддержка серверного программного обеспечения Майкрософт для виртуальных машин Microsoft Azure.

Создание контроллера домена

  1. Установите Windows Server на компьютере, на котором будет выполняться контроллер домена.

  2. Установите доменные службы Active Directory (AD DS). Подробные сведения об установке AD DS см. в статье Установка доменные службы Active Directory.

  3. Повышение уровня Windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен в этом новом лесу. Подробные сведения об установке контроллера домена см. в разделе Установка AD DS.

  4. Установите и настройте центр сертификации (ЦС) на контроллере домена. Подробные сведения об установке ЦС см. в разделе Установка центра сертификации.

Создание групповая политика Active Directory

В этом разделе вы создадите групповая политика на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет пользователям VPN запрашивать и извлекать сертификаты пользователей, которые автоматически проверяют подлинность VPN-подключений. Эта политика также позволяет NPS-серверу автоматически запрашивать сертификаты проверки подлинности сервера.

  1. На контроллере домена откройте раздел "Управление групповой политикой".

  2. В левой области щелкните правой кнопкой мыши свой домен (например, corp.contoso.com). Выберите Создать объект групповой политики в этом домене и свяжите его здесь.

  3. В диалоговом окне Новый объект групповой политики в поле Имя введите Политика автоматической регистрации. Щелкните ОК.

  4. В левой области щелкните правой кнопкой мыши Пункт Политика автоматической регистрации. Выберите Изменить, чтобы открыть редактор управления групповая политика.

  5. В редакторе управления групповая политика выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера.

    1. На левой панели выберитеПолитики>конфигурации> компьютераWindows Параметры>безопасности Политики открытых>ключей.

    2. В области сведений щелкните правой кнопкой мыши пункт Клиент служб сертификатов — автоматическая регистрация. Выберите Свойства.

    3. В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации для параметра Модель конфигурации выберите Включено.

    4. Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.

    5. Щелкните ОК.

  6. В редакторе управления групповая политика выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата пользователя.

    1. В области слева перейдите в разделПолитики>конфигурации>пользователей Параметры>Windows Параметры безопасности Политики>открытого ключа.

    2. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства.

    3. В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации в разделе Модель конфигурации выберите Включено.

    4. Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.

    5. Щелкните ОК.

    6. Закройте редактор управления групповыми политиками.

  7. Закройте оснастку "Управление групповой политикой".

Создание NPS-сервера

  1. Установите Windows Server на компьютере, на котором будет выполняться NPS-сервер.

  2. На NPS-сервере установите роль служб политики сети и доступа (NPS). Подробные сведения об установке NSP см. в разделе Установка сервера политики сети.

  3. Зарегистрируйте NPS-сервер в Active Directory. Сведения о регистрации NPS-сервера в Active Directory см. в статье Регистрация NPS в домен Active Directory.

  4. Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в статье Настройка брандмауэров для трафика RADIUS.

  5. Создайте группу NPS-серверы:

    1. На контроллере домена откройте Пользователи и компьютеры Active Directory.

    2. В разделе домена щелкните правой кнопкой мыши Компьютеры. Выберите Создать, а затем — Группировать.

    3. В поле Имя группы введите NPS-серверы, а затем нажмите кнопку ОК.

    4. Щелкните правой кнопкой мыши NPS-серверы и выберите Свойства.

    5. На вкладке Члены диалогового окна Свойства NPS-серверов нажмите кнопку Добавить.

    6. Выберите Типы объектов, установите флажок Компьютеры , а затем нажмите кнопку ОК.

    7. В поле Введите имена объектов для выбора введите имя компьютера NPS-сервера. Щелкните ОК.

    8. Закройте окно "Пользователи и компьютеры Active Directory".

Создание VPN-сервера

  1. Установите Windows Server на компьютере, на котором будет выполняться VPN-сервер. Убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а второй — для подключения к сети, в которой находится контроллер домена.

  2. Определите, какой сетевой адаптер подключается к Интернету, а какой — к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, в то время как адаптер, подключенный к интрасети, может использовать IP-адрес из локальной сети.

  3. Для сетевого адаптера, подключающегося к домену, задайте в качестве предпочтительного IP-адреса DNS IP-адрес контроллера домена. Сведения о том, как задать статический предпочтительный DNS-адрес, см. в статье Изменение адреса DNS-сервера IPv4 на общедоступный DNS-адрес в Windows.

  4. Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье Присоединение сервера к домену.

  5. Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик на внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.

  6. На сетевом адаптере, подключаемом к домену, включите следующие порты: UDP1812, UDP1813, UDP1645 и UDP1646.

  7. Создайте группу VPN-серверов:

    1. На контроллере домена откройте Пользователи и компьютеры Active Directory.

    2. В разделе домена щелкните правой кнопкой мыши Компьютеры. Выберите Создать, а затем — Группировать.

    3. В поле Имя группы введите VPN-серверы, а затем нажмите кнопку ОК.

    4. Щелкните правой кнопкой мыши VPN-серверы и выберите Свойства.

    5. На вкладке Члены диалогового окна Свойства VPN-серверов нажмите кнопку Добавить.

    6. Выберите Типы объектов, установите флажок Компьютеры , а затем нажмите кнопку ОК.

    7. В поле Введите имена объектов для выбора введите имя компьютера VPN-сервера. Щелкните ОК.

    8. Закройте окно "Пользователи и компьютеры Active Directory".

  8. Чтобы установить VPN-сервер, выполните действия, описанные в разделе Установка удаленного доступа в качестве VPN-сервера .

  9. Откройте средство маршрутизации и удаленного доступа из диспетчер сервера.

  10. Щелкните правой кнопкой мыши VPN-сервер и выберите Свойства.

  11. В разделе Свойства выберите вкладку Безопасность , а затем:

    1. Выберите Поставщик проверки подлинности и проверка подлинности RADIUS.

    2. Выберите Настроить, чтобы открыть диалоговое окно Проверка подлинности RADIUS.

    3. Нажмите кнопку Добавить , чтобы открыть диалоговое окно Добавление сервера RADIUS.

      1. В поле Имя сервера введите полное доменное имя сервера NPS. В этом руководстве NPS-сервер является сервером контроллера домена. Например, если netBIOS-имя сервера NPS и сервера контроллера домена — dc1, а доменное имя — corp.contoso.com, введите dc1.corp.contoso.com.

      2. В разделе Общий секрет выберите Изменить , чтобы открыть диалоговое окно Изменение секрета.

      3. В поле Новый секрет введите текстовую строку.

      4. В разделе Подтверждение нового секрета введите ту же текстовую строку, а затем нажмите кнопку ОК.

      5. Сохраните этот секрет. Он понадобится при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.

    4. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Добавление сервера RADIUS.

    5. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Проверка подлинности Radius.

  12. В диалоговом окне Свойства VPN-сервера выберите Методы проверки подлинности....

  13. Выберите Разрешить проверку подлинности на основе сертификата компьютера для IKEv2.

  14. Щелкните ОК.

  15. В поле Поставщик бухгалтерского учета выберите Учет Windows.

  16. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства.

  17. Появится диалоговое окно с предложением перезапустить сервер. Выберите ответ Да.

Создание VPN-клиента Windows

  1. Установите Windows 10 или более поздней версии на компьютере, который будет вашим VPN-клиентом.

  2. Присоедините VPN-клиент к домену. Сведения о присоединении компьютера к домену см. в статье Присоединение компьютера к домену.

Создание пользователя и группы VPN

  1. Создайте пользователя VPN, выполнив следующие действия.

    1. На контроллере домена откройте Пользователи и компьютеры Active Directory.

    2. В разделе домена щелкните правой кнопкой мыши элемент Пользователи. Щелкните Создать. В поле Имя входа пользователя введите любое имя входа. Выберите Далее.

    3. Выберите пароль для пользователя.

    4. Снимите флажок Пользователь должен изменить пароль при следующем входе в систему. установлен флажок Срок действия пароля не ограничен.

    5. Нажмите кнопку Готово. Не закрывайте Пользователи и компьютеры Active Directory.

  2. Создайте группу пользователей VPN, выполнив следующие действия.

    1. В разделе домена щелкните правой кнопкой мыши элемент Пользователи. Выберите Создать, а затем — Группировать.

    2. В поле Имя группы введите Пользователи VPN, а затем нажмите кнопку ОК.

    3. Щелкните правой кнопкой мыши VPN Users (Пользователи VPN ) и выберите Свойства.

    4. На вкладке Члены диалогового окна Свойства пользователей VPN нажмите кнопку Добавить.

    5. В диалоговом окне Выбор пользователей добавьте созданного пользователя VPN и нажмите кнопку ОК.

Настройка VPN-сервера в качестве клиента RADIUS

  1. На NPS-сервере откройте правила брандмауэра, чтобы разрешить входящий трафик портов UDP 1812, 1813, 1645 и 1646.

  2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы.

  3. Щелкните правой кнопкой мыши RADIUS-клиенты и выберите Создать , чтобы открыть диалоговое окно Новый клиент RADIUS.

  4. Убедитесь, что установлен флажок Включить этот клиент RADIUS .

  5. В поле Понятное имя введите отображаемое имя VPN-сервера.

  6. В поле Адрес (IP-адрес или DNS) введите IP-адрес или полное доменное имя VPN-сервера.

    Если вы введете полное доменное имя, выберите Проверить , если вы хотите убедиться, что имя правильное и сопоставляется с допустимым IP-адресом.

  7. В разделе Общий секрет:

    1. Убедитесь, что выбран параметр Вручную .

    2. Введите секрет, созданный в разделе Создание VPN-сервера.

    3. В поле Подтвердить общий секрет повторно введите общий секрет.

  8. Щелкните ОК. VPN-сервер должен появиться в списке клиентов RADIUS, настроенных на NPS-сервере.

Настройка NPS-сервера в качестве сервера RADIUS

Примечание

В этом руководстве NPS-сервер устанавливается на контроллере домена с ролью ЦС. и нам не нужно регистрировать отдельный сертификат NPS-сервера. Однако в среде, где NPS-сервер установлен на отдельном сервере, перед выполнением этих действий необходимо зарегистрировать сертификат NPS-сервера.

  1. В консоли NPS выберите NPS(Локальный).

  2. В разделе Стандартная конфигурация убедитесь, что выбран сервер RADIUS для коммутируемых или VPN-подключений .

  3. Выберите Настроить VPN или Dial-Up , чтобы открыть мастер настройки VPN или удаленного доступа.

  4. Выберите Подключения виртуальной частной сети (VPN) и нажмите кнопку Далее.

  5. В поле Укажите коммутируемый или VPN-сервер в окне RADIUS-клиенты выберите имя VPN-сервера.

  6. Выберите Далее.

  7. В разделе Настройка методов проверки подлинности выполните следующие действия.

    1. Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).

    2. Выберите Расширяемый протокол проверки подлинности.

    3. В поле Тип выберите Microsoft: Protected EAP (PEAP) (Майкрософт: защищенный EAP (PEAP)). Затем выберите Настроить, чтобы открыть диалоговое окно Изменение защищенных свойств EAP.

    4. Выберите Удалить , чтобы удалить тип EAP Secured Password (EAP-MSCHAP v2) (Защищенный пароль (EAP-MSCHAP версии 2)).

    5. Выберите Добавить. Откроется диалоговое окно Добавление EAP.

    6. Выберите Смарт-карта или другой сертификат, а затем нажмите кнопку ОК.

    7. Нажмите кнопку ОК , чтобы закрыть окно Edit Protected EAP Properties (Изменить защищенные свойства EAP).

  8. Выберите Далее.

  9. В разделе Указание групп пользователей выполните следующие действия.

    1. Выберите Добавить. Откроется диалоговое окно Выбор пользователей, компьютеров, учетных записей служб или групп.

    2. Введите Пользователи VPN, а затем нажмите кнопку ОК.

    3. Выберите Далее.

  10. В разделе Укажите IP-фильтры нажмите кнопку Далее.

  11. На вкладке Укажите параметры шифрования нажмите кнопку Далее. Не вносите никаких изменений.

  12. На вкладке Укажите имя области нажмите кнопку Далее.

  13. Выберите Готово, чтобы закрыть мастер.

Дальнейшие действия

Теперь вы создали пример инфраструктуры, которая готова к настройке центра сертификации.