Dela via

Självstudie: Distribuera Always On VPN-infrastruktur

Always On VPN är en fjärråtkomstlösning i Windows Server som ger sömlös och säker anslutning för fjärranvändare till företagsnätverk. Den stöder avancerade autentiseringsmetoder och integreras med befintlig infrastruktur och erbjuder ett modernt alternativ till traditionella VPN-lösningar. Den här guiden inleder serien för distribution av Always On VPN i en exempellokal.

I den här självstudien får du lära dig hur du distribuerar en exempelinfrastruktur för AlwaysOn VPN-anslutningar för fjärrdomänanslutna Windows-klientdatorer. Om du vill skapa en exempelinfrastruktur:

  • Skapa en Active Directory-domänkontrollant.
  • Konfigurera grupprincip för automatisk registrering av certifikat.
  • Skapa en NPS-server (Network Policy Server).
  • Skapa en VPN-server.
  • Skapa en VPN-användare och -grupp.
  • Konfigurera VPN-servern som en RADIUS-klient.
  • Konfigurera NPS-servern som en RADIUS-server.

Mer information om Always On VPN, inklusive integreringar som stöds, säkerhets- och anslutningsfunktioner finns i Översikt över Always On VPN.

Förutsättningar

För att slutföra stegen i den här självstudien måste du uppfylla följande krav:

  • Tre servrar (fysiska eller virtuella) som kör en version av Windows Server som stöds. Dessa servrar är domänkontrollanten, NPS-servern och VPN-servern.

  • Servern som du använder för NPS-servern behöver två fysiska nätverkskort installerade: ett för att ansluta till Internet och ett för att ansluta till nätverket där domänkontrollanten finns.

  • Ett användarkonto på alla datorer som är medlem i den lokala säkerhetsgruppen Administratörer eller motsvarande.

Viktigt!

Det går inte att använda fjärråtkomst i Microsoft Azure. Mer information finns i Microsofts serverprogramsupport för virtuella Microsoft Azure-datorer.

Skapa domänkontrollanten

  1. Installera Active Directory Domain Services (AD DS) på den server som du vill vara domänkontrollant. Detaljerad information om hur du installerar AD DS finns i Installera Active Directory Domain Services.

  2. Flytta upp Windows Server till domänkontrollant. I den här handledningen skapar du en ny skog och en ny domän till den nya skogen. Detaljerad information om hur du installerar domänkontrollanten finns i AD DS-installation.

  3. Installera och konfigurera certifikatutfärdare (CA) på domänkontrollanten. Detaljerad information om hur du installerar certifikatutfärdare finns i Installera certifikatutfärdare.

Konfigurera grupprincip för automatisk registrering av certifikat

I det här avsnittet skapar du en grupprincip på domänkontrollanten så att domänmedlemmar automatiskt begär användar- och datorcertifikat. Med den här konfigurationen kan VPN-användare begära och hämta användarcertifikat som automatiskt autentiserar VPN-anslutningar. Den här principen gör också att NPS-servern kan begära serverautentiseringscertifikat automatiskt.

  1. Öppna konsolen Grupprinciphantering på domänkontrollanten.

  2. Högerklicka på domänen i den vänstra rutan (till exempel corp.contoso.com). Välj Skapa ett grupprincipobjekt i den här domänen och länka det här.

  3. I dialogrutan Ny GPO, för Namn, anger du Autoenrollment Policy. Välj OK.

  4. Högerklicka på Princip för automatisk registrering i den vänstra rutan. Välj Redigera för att öppna redigeraren för grupprinciphantering.

  5. I Redigeraren för grupprinciphantering utför du följande steg för att konfigurera automatisk registrering av datorcertifikat:

    1. Gå till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Principer för offentlig nyckel.

    2. Högerklicka på Certifikattjänstklient – automatisk registrering i informationsfönstret. Välj Egenskaper.

    3. I dialogrutan Certifikattjänsters klient – egenskaper för automatisk registrering väljer du Aktiverad för Konfigurationsmodell.

    4. Välj Förnya utgångna certifikat, uppdatera väntande certifikat och ta bort återkallade certifikat och Uppdatera certifikat som använder certifikatmallar.

    5. Välj OK.

  6. I Redigeraren för grupprinciphantering utför du följande steg för att konfigurera automatisk registrering av användarcertifikat:

    1. Gå till Användarkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Principer för offentlig nyckel.

    2. I informationsfönstret högerklickar du på Certifikattjänstklient – Automatisk registrering och väljer Egenskaper.

    3. I dialogrutan Certifikattjänsters klient – egenskaper för automatisk registrering går du till Konfigurationsmodell och väljer Aktiverad.

    4. Välj Förnya utgångna certifikat, uppdatera väntande certifikat och ta bort återkallade certifikat och Uppdatera certifikat som använder certifikatmallar.

    5. Välj OK.

    6. Stäng Redigeraren för grupprinciphantering.

  7. Tillämpa grupprincipen på användare och datorer i domänen.

  8. Stäng konsolen Gruppolicyhantering.

Skapa NPS-servern

  1. Installera nps-rollen (Network Policy and Access Services) på den server som du vill vara NPS-server. Detaljerad information om hur du installerar NPS finns i Installera nätverksprincipserver.

  2. Registrera NPS-servern i Active Directory. Information om hur du registrerar NPS Server i Active Directory finns i Registrera en NPS i en Active Directory-domän.

  3. Se till att brandväggarna tillåter att den trafik som krävs för både VPN- och RADIUS-kommunikation fungerar korrekt. Mer information finns i Konfigurera brandväggar för RADIUS-trafik.

  4. Skapa gruppen NPS-servrar:

    1. Öppna Active Directory-användare och datorer på domänkontrollanten.

    2. Högerklicka på Datorer under domänen. Välj Ny och sedan Grupp.

    3. I Gruppnamn anger du NPS-servrar och väljer sedan OK.

    4. Högerklicka på NPS-servrar och välj Egenskaper.

    5. På fliken Medlemmar i dialogrutan Egenskaper för NPS-servrar väljer du Lägg till.

    6. Välj Objekttyper, markera kryssrutan Datorer och välj sedan OK.

    7. I Ange de objektnamn som ska väljas anger du värdnamnet för NPS-servern. Välj OK.

    8. Stäng Active Directory – användare och datorer.

Skapa VPN-servern

  1. För den server som kör VPN-servern kontrollerar du att datorn har två fysiska nätverkskort installerade: ett för att ansluta till Internet och ett för att ansluta till nätverket där domänkontrollanten finns.

  2. Identifiera vilket nätverkskort som ansluter till Internet och vilket nätverkskort som ansluter till domänen. Konfigurera nätverkskortet mot Internet med en offentlig IP-adress, medan nätverkskortet mot intranätet kan använda en IP-adress från det lokala nätverket.

  3. För nätverkskortet som ansluter till domänen anger du den ÖNSKADE IP-adressen för DNS till domänkontrollantens IP-adress.

  4. Anslut VPN-servern till domänen. Information om hur du ansluter en server till en domän finns i Ansluta en server till en domän.

  5. Öppna brandväggsreglerna för att tillåta UDP-portarna 500 och 4500 för inkommande trafik till den externa IP-adressen som är tilldelad det offentliga gränssnittet på VPN-server. För nätverkskortet som ansluter till domänen tillåter du följande UDP-portar: 1812, 1813, 1645 och 1646.

  6. Skapa VPN-servergruppen:

    1. Öppna Active Directory-användare och datorer på domänkontrollanten.

    2. Högerklicka på Datorer under domänen. Välj Ny och sedan Grupp.

    3. I Gruppnamn anger du VPN-servrar och väljer sedan OK.

    4. Högerklicka på VPN-servrar och välj Egenskaper.

    5. På fliken Medlemmar i dialogrutan Egenskaper för VPN-servrar väljer du Lägg till.

    6. Välj Objekttyper, markera kryssrutan Datorer och välj sedan OK.

    7. I Ange de objektnamn som ska väljas anger du värdnamnet för VPN-servern. Välj OK.

    8. Stäng Active Directory – användare och datorer.

  7. Följ stegen i Installera fjärråtkomst som en VPN-server för att installera VPN-servern.

  8. Öppna Routning och fjärråtkomst från Serverhanteraren.

  9. Högerklicka på namnet på VPN-servern och välj sedan Egenskaper.

  10. I Egenskaper väljer du fliken Säkerhet och sedan:

    1. Välj Autentiseringsprovider och välj RADIUS-autentisering.

    2. Välj Konfigurera för att öppna dialogrutan RADIUS-autentisering.

    3. Välj Lägg till för att öppna dialogrutan Lägg till RADIUS-server.

      1. I Servernamn anger du det fullständigt kvalificerade domännamnet (FQDN) för NPS-servern, som också är en RADIUS-server. Om till exempel NetBIOS-namnet på NPS- och domänkontrollantservern är nps1 och domännamnet är corp.contoso.comanger du nps1.corp.contoso.com.

      2. I Delad hemlighet väljer du Ändra för att öppna dialogrutan Ändra hemlighet.

      3. I Ny hemlighet anger du en textsträng.

      4. I Bekräfta ny hemlighet anger du samma textsträng och väljer sedan OK.

      5. Spara den här hemligheten. Du behöver det när du lägger till den här VPN-servern som en RADIUS-klient senare i den här självstudien.

    4. Välj OK för att stänga dialogrutan Lägg till RADIUS-server .

    5. Välj OK för att stänga dialogrutan RADIUS-autentisering .

  11. I dialogrutan Egenskaper för VPN-server väljer du Autentiseringsmetoder....

  12. Välj Tillåt autentisering av datorcertifikat för IKEv2.

  13. Välj OK.

  14. Som bokföringsleverantör väljer du Windows Bokföring.

  15. Välj OK för att stänga dialogrutan Egenskaper.

  16. I en dialogruta uppmanas du att starta om servern. Välj Ja.

Skapa VPN-användare och -grupp

  1. Skapa en VPN-användare genom att utföra följande steg:

    1. Öppna konsolen Active Directory-användare och datorer på domänkontrollanten.
    2. Högerklicka på Användare under domänen. Välj Ny. För Användarens inloggningsnamn anger du valfritt namn. Välj Nästa.
    3. Välj ett lösenord för användaren.
    4. Avmarkera Användaren måste ändra lösenordet vid nästa inloggning. Välj Lösenord upphör aldrig att gälla.
    5. Välj Slutför. Håll Active Directory-användare och datorer öppna.

  2. Skapa en VPN-användargrupp genom att utföra följande steg:

    1. Högerklicka på Användare under domänen. Välj Ny och sedan Grupp.
    2. I Gruppnamn anger du VPN-användare och väljer sedan OK.
    3. Högerklicka på VPN-användare och välj Egenskaper.
    4. På fliken Medlemmar i dialogrutan Egenskaper för VPN-användare väljer du Lägg till.
    5. I dialogrutan Välj användare lägger du till den VPN-användare som du skapade och väljer OK.

Konfigurera VPN-servern som en RADIUS-klient

  1. Öppna brandväggsreglerna på NPS-servern för att tillåta inkommande UDP-portar 1812, 1813, 1645 och 1646, inklusive Windows-brandväggen.

  2. Öppna konsolen för Network Policy Server.

  3. Dubbelklicka på RADIUS-klienter och servrar i NPS-konsolen.

  4. Högerklicka på RADIUS-klienter och välj Nytt för att öppna dialogrutan Ny RADIUS-klient .

  5. Kontrollera att kryssrutan Aktivera den här RADIUS-klienten är markerad.

  6. I Eget namn anger du ett visningsnamn för VPN-servern.

  7. I Adress (IP eller DNS)anger du IP-adressen eller FQDN för VPN-servern.

    Om du anger det fullständiga domännamnet väljer du Verifiera om du vill kontrollera att namnet är korrekt och mappar till en giltig IP-adress.

  8. I Delad hemlighet:

    1. Kontrollera att Manuell är markerat.
    2. Ange hemligheten som du skapade i avsnittet Skapa VPN-server.
    3. För Bekräfta delad hemlighet anger du den delade hemligheten igen.

  9. Välj OK. VPN-servern bör visas i listan över RADIUS-klienter som konfigurerats på NPS-servern.

Konfigurera NPS-servern som en RADIUS-server

  1. Registrera ett servercertifikat för NPS-servern med ett certifikat som uppfyller kraven i Konfigurera certifikatmallar för PEAP- och EAP-krav. Information om hur du kontrollerar att nps-servrar (Network Policy Server) har registrerats med ett servercertifikat från certifikatutfärdaren finns i Verifiera serverregistrering av ett servercertifikat.

  2. I NPS-konsolen väljer du NPS (lokal).

  3. I Standardkonfiguration kontrollerar du att RADIUS-servern för fjärranslutningar eller VPN-anslutningar är markerad.

  4. Välj Konfigurera VPN eller Uppringning för att öppna guiden Konfigurera VPN eller uppringning .

  5. Välj Vpn-anslutningar (Virtual Private Network) och välj sedan Nästa.

  6. I Ange uppringning eller VPN-server, under RADIUS-klienter, välj namnet på VPN-servern.

  7. Välj Nästa.

  8. I Konfigurera autentiseringsmetoder utför du följande steg:

    1. Rensa Microsoft Encrypted Authentication version 2 (MS-CHAPv2).

    2. Välj Utökningsbart autentiseringsprotokoll.

    3. För Typ väljer du Microsoft: Skyddad EAP (PEAP). Välj sedan Konfigurera för att öppna dialogrutan Redigera skyddade EAP-egenskaper .

    4. Välj Ta bort för att ta bort EAP-typen skyddat lösenord (EAP-MSCHAP v2).

    5. Välj Lägg till. Dialogrutan Lägg till EAP öppnas.

    6. Välj Smartkort eller annat certifikat och välj sedan OK.

    7. Välj OK för att stänga Redigera skyddade EAP-egenskaper.

  9. Välj Nästa.

  10. Slutför följande steg i Ange användargrupper:

    1. Välj Lägg till. Dialogrutan Välj användare, datorer, tjänstkonton eller grupper öppnas.

    2. Ange VPN-användare och välj sedan OK.

    3. Välj Nästa.

  11. Ange IP-filter väljer du Nästa.

  12. Ange krypteringsinställningar väljer du Nästa. Gör inga ändringar.

  13. Ange ett sfärnamn väljer du Nästa.

  14. Välj Slutför för att stänga guiden.

Nästa steg

Nu när du har skapat exempelinfrastrukturen är du redo att börja konfigurera certifikatutfärdare.

Handledning: Konfigurera certifikatutfärdarmallar för Always On VPN