AlwaysOn VPN 是 Windows Server 中的遠端存取解決方案,可為遠端使用者提供順暢且安全的公司網路連線。 它支援進階驗證方法,並與現有的基礎結構整合,提供傳統 VPN 解決方案的新式替代方案。 此教學課程將展開 Always On VPN 的系列,於範例環境中部署。
在本教學課程中,您將瞭解如何為已加入遠端網域的 Windows 用戶端電腦部署 Always On VPN 連線的範例基礎結構。 若要建立範例基礎結構,您可以:
- 建立 Active Directory 域控制器。
- 設定群組原則以自動登錄憑證。
- 建立網路原則伺服器 (NPS) 伺服器。
- 建立 VPN 伺服器。
- 建立 VPN 使用者和群組。
- 將 VPN 伺服器設定為 RADIUS 用戶端。
- 將 NPS 伺服器設定為 RADIUS 伺服器。
若要深入瞭解 AlwaysOn VPN,包括支援的整合、安全性和連線功能,請參閱 AlwaysOn VPN 概觀。
Prerequisites
若要完成本教學課程中的步驟,您需要符合下列必要條件:
執行支援版本的 Windows Server 有三部伺服器(實體或虛擬版)。 這些伺服器是域控制器、NPS 伺服器和 VPN 伺服器。
您用於 NPS 伺服器的伺服器需要安裝兩張實體網路適配器:一張連接到因特網,另一張用來連線到域控制器所在的網路。
所有電腦上屬於本機 Administrators 安全性群組成員的使用者帳戶,或對等專案。
Important
不支援在 Microsoft Azure 中使用遠端訪問功能。 如需詳細資訊,請參閱 Microsoft Microsoft Azure 虛擬機的伺服器軟體支援。
建立網域控制站
在您要成為網域控制器的伺服器上,安裝 Active Directory Domain Services (AD DS) 。 如需如何安裝 AD DS 的詳細資訊,請參閱 安裝 Active Directory 網域服務。
將 Windows Server 升階至網域控制站。 在本教學課程中,您會建立新的樹系和該新樹系的網域。 如需如何安裝域控制器的詳細資訊,請參閱 AD DS 安裝。
在網域控制站上安裝並設定憑證授權單位 (CA)。 如需如何安裝 CA 的詳細資訊,請參閱 安裝證書頒發機構單位。
設定群組原則以自動登錄憑證
在本節中,您會在域控制器上建立組策略,讓網域成員自動要求使用者和計算機憑證。 此設定可讓 VPN 使用者要求並擷取自動驗證 VPN 連線的用戶憑證。 此原則也允許 NPS 伺服器自動要求伺服器驗證憑證。
在域控制器上,開啟組策略管理控制台。
在左窗格中,以滑鼠右鍵按下您的網域 (例如 ,
corp.contoso.com)。 選擇 [於此網域建立 GPO,並連結至此]。在 [ 新增 GPO ] 對話方塊中,針對 [名稱],輸入 [自動註冊原則]。 請選擇 [確定]。
在左窗格中,以滑鼠右鍵按一下 [自動註冊原則]。 選取 [編輯] 以開啟 群組原則管理編輯器。
在 組策略管理編輯器中,完成下列步驟來設定計算機憑證自動註冊:
導覽至電腦設定>原則、Windows 設定>安全性>設定>、公鑰原則。
在詳細數據窗格中,以滑鼠右鍵按兩下 [ 憑證服務用戶端 – 自動註冊]。 選擇屬性。
在 [憑證服務用戶端 – 自動註冊屬性] 對話框中,針對 [組態模型],選取 [已啟用]。
選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 與 [更新使用憑證範本的憑證] 。
請選擇 [確定]。
在 [組策略管理編輯器] 中,完成下列步驟來設定用戶憑證自動註冊:
導覽至使用者組態>原則、Windows 設定>安全性>設定>、公開金鑰原則。
在詳細數據窗格中,以滑鼠右鍵按兩下 [ 憑證服務用戶端 – 自動註冊] ,然後選取 [ 屬性]。
在 [憑證服務用戶端 – 自動註冊屬性] 對話方塊的 [設定模型] 中,選取 已啟用。
選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 與 [更新使用憑證範本的憑證] 。
請選擇 [確定]。
關閉組策略管理編輯器。
將組策略套用至網域中的用戶和計算機。
關閉 [群組原則管理] 主控台。
建立 NPS 伺服器
在您想要成為 NPS 伺服器的伺服器上,安裝 網路原則和存取服務 (NPS) 角色。 如需如何安裝 NPS 的詳細資訊,請參閱 安裝網路原則伺服器。
在 Active Directory 中註冊 NPS 伺服器。 如需如何在 Active Directory 中註冊 NPS 伺服器的資訊,請參閱 在 Active Directory 網域中註冊 NPS。
請確定防火牆允許 VPN 和 RADIUS 通訊正常運作所需的流量。 如需詳細資訊,請參閱 防火牆的設定以容納RADIUS流量。
建立 NPS 伺服器群組:
在網域控制站上,開啟 [Active Directory 使用者及電腦]。
在您的網域下方,以滑鼠右鍵按一下 [電腦]。 選取 新增,然後選取 群組。
在 [群組名稱] 中,輸入 [NPS 伺服器],然後選取 [確定]。
以滑鼠右鍵按一下 [NPS 伺服器],然後選取 [屬性]。
在 [NPS 伺服器屬性] 對話方塊的 [成員] 索引標籤上,選取 [新增]。
選取 [物件類型],選取 [ 電腦 ] 核取方塊,然後選取 [ 確定]。
在 [輸入要選取的物件名稱] 中,輸入 NPS 伺服器的主機名。 請選擇 [確定]。
關閉 [Active Directory 使用者和電腦]。
建立 VPN 伺服器
針對執行 VPN 伺服器的伺服器,請確定機器已安裝兩張實體網路適配器:一張連線到因特網,另一張連接到域控制器所在的網路。
識別哪些網路介面卡連線到網際網路,以及哪些網路介面卡連線到網域。 使用公用 IP 位址設定對應網際網路的網路介面卡,而對應內部網路的介面卡可以使用區域網路的 IP 位址。
對於連線到網域的網路介面卡,請將 DNS 慣用的 IP 位址設定為網域控制站的 IP 位址。
將 VPN 伺服器加入網域。 如需如何將伺服器加入網域的資訊,請參閱 將伺服器加入網域。
開啟防火牆規則,以允許 UDP 連接埠 500 和 4500 輸入至套用到 VPN 伺服器上公用介面的外部 IP 位址。 針對連線到網域的網路適配器,允許下列 UDP 埠:1812、1813、1645 和 1646。
建立 VPN 伺服器群組:
在域控制器上,開啟 [Active Directory 使用者和計算機]。
在您的網域下方,以滑鼠右鍵按一下 [電腦]。 選取 新增,然後選取 群組。
在 [群組名稱] 中,輸入 [VPN 伺服器],然後選取 [確定]。
以滑鼠右鍵按一下 VPN 伺服器,然後選取屬性。
在 VPN 伺服器內容對話方塊的 成員 索引標籤上,選取 新增。
選取 [物件類型],選取 [ 電腦 ] 核取方塊,然後選取 [ 確定]。
在 [輸入要選取的物件名稱] 中,輸入 VPN 伺服器的主機名。 請選擇 [確定]。
關閉 [Active Directory 使用者和電腦]。
請遵循 將遠端存取安裝為 VPN 伺服器 中的步驟來安裝 VPN 伺服器。
從伺服器管理員開啟 路由和遠端訪問 。
以滑鼠右鍵按一下 VPN 伺服器的名稱,然後選取 [屬性]。
在 [屬性] 中,選取 [ 安全性 ] 索引標籤,然後:
選取 [驗證提供者],然後選取 [RADIUS 驗證]。
選取 [設定] 以開啟 [RADIUS 驗證] 對話方塊。
選取 [ 新增 ] 以開啟 [新增 RADIUS 伺服器] 對話方塊。
在 [ 伺服器名稱] 中,輸入 NPS 伺服器的完整網域名稱 (FQDN),這也是 RADIUS 伺服器。 例如,如果 NPS 和網域控制器伺服器的 NetBIOS 名稱是
nps1,且您的網域名稱為corp.contoso.com,請輸入nps1.corp.contoso.com。在 [共用密碼] 中,選取 [ 變更 ] 以開啟 [變更密碼] 對話方塊。
在 [新增密碼] 中,輸入文字字串。
在 [確認新密碼] 中,輸入相同的文字字串,然後選取 [ 確定]。
儲存此密碼。 當您稍後在本教學課程中將此 VPN 伺服器新增為 RADIUS 用戶端時,您需要它。
選取 [確定 ] 以關閉 [ 新增 RADIUS 伺服器 ] 對話方塊。
選取 [ 確定 ] 以關閉 [ RADIUS 驗證 ] 對話方塊。
在 VPN 伺服器屬性對話方塊中,選取 驗證方法...。
選取 [允許 IKEv2 的計算機憑證驗證]。
請選擇 [確定]。
針對 [會計提供者],選取 [Windows 會計]。
選取 [ 確定 ] 以關閉 [屬性] 對話方塊。
對話框會提示您重新啟動伺服器。 選擇是。
建立 VPN 使用者和群組
採取下列步驟建立 VPN 使用者:
- 在域控制器上,開啟 [Active Directory 使用者和計算機] 主控台。
- 在您的網域下方,以滑鼠右鍵按一下「使用者」。 選取 新增。 針對 [使用者登入名稱],輸入任何名稱。 選取 下一步。
- 選擇使用者的密碼。
- 取消選取 用戶必須在下次登入時變更密碼。 選取 [密碼永久有效] 。
- 選取 [完成]。 將 [Active Directory 使用者和電腦] 保持開啟狀態。
採取下列步驟來建立 VPN 使用者群組:
- 在您的網域下方,以滑鼠右鍵按一下「使用者」。 選取 新增,然後選取 群組。
- 在 群組名稱中,輸入 VPN 使用者,然後選取 確定。
- 右鍵單擊 VPN 用戶,然後選擇屬性。
- 在 VPN 使用者屬性對話方塊的 成員 索引標籤上,選取 新增。
- 在 [ 選取使用者 ] 對話方塊中,新增您建立的 VPN 使用者,然後選取 [ 確定]。
將 VPN 伺服器設定為 RADIUS 用戶端
在 NPS 伺服器上,開啟防火牆規則以允許 UDP 埠 1812、1813、1645 和 1646 輸入,包括 Windows 防火牆。
開啟 網路原則伺服器 控制台。
在 NPS 控制台中,按兩下 [RADIUS 用戶端和伺服器]。
以滑鼠右鍵按一下 RADIUS 用戶端 ,然後選取 新增 以開啟 新增 RADIUS 用戶端 對話方塊。
確認已選取 [ 啟用此 RADIUS 用戶端 ] 複選框。
在 [易記名稱] 中,輸入 VPN 伺服器的顯示名稱。
在 [位址](IP 或 DNS)中,輸入 VPN 伺服器的 IP 位址或 FQDN。
如果您輸入 FQDN,請選取 [驗證] ,以確認名稱正確並對應至有效的 IP 位址。
在 共用密碼中:
- 請確定已選取 手動。
- 輸入您在 [ 建立 VPN 伺服器] 區段中建立的秘密。
- 針對 [確認共用密碼],重新輸入共享密碼。
請選擇 [確定]。 VPN 伺服器應該會顯示在 NPS 伺服器上設定的 RADIUS 用戶端清單中。
將 NPS 伺服器設定為 RADIUS 伺服器
向 NPS 伺服器註冊伺服器證書,其中憑證符合 設定 PEAP 的證書範本和 EAP 需求中的需求。 若要驗證您的網路原則伺服器(NPS)是否已獲得來自證書頒發機構(CA)的伺服器證書,請參閱 驗證伺服器證書的註冊情況。
在 NPS 主控台中,選取 [NPS (本機)]。
在 標準配置中,確保選擇撥 號或VPN連線的RADIUS伺服器 。
選取 [設定 VPN] 或 [撥號 ] 以開啟 [ 設定 VPN] 或 [撥號] 精靈。
選取 [虛擬專用網(VPN) 連線],然後選取 [ 下一步]。
在 [指定撥號] 或 [VPN 伺服器] 的 [RADIUS 用戶端] 中,選取 VPN 伺服器的名稱。
選取 下一步。
在 [設定驗證方法] 中,完成下列步驟:
清除Microsoft加密驗證第 2 版(MS-CHAPv2)。
選取 [可延伸驗證通訊協定]。
針對 [類型],選取 [Microsoft:受保護的 EAP (PEAP)]。 然後選取 [設定] 以開啟 [編輯受保護的 EAP 屬性 ] 對話方塊。
選取 [移除] 以移除安全密碼 (EAP-MSCHAP v2) EAP 型別。
選取 ,然後新增。 [新增 EAP] 對話方塊隨即開啟。
選取 [智慧卡] 或其他憑證,然後選取 [ 確定]。
選取 [ 確定 ] 以關閉 [編輯受保護的 EAP 屬性]。
選取 下一步。
在 [指定使用者群組] 中,完成下列步驟:
選取 ,然後新增。 [ 選取使用者、計算機、服務帳戶或群組 ] 對話框隨即開啟。
輸入 VPN 使用者,然後選取 確定。
選取 下一步。
在 [指定 IP 篩選] 上,選取 [ 下一步]。
在 [指定加密設定] 上,選取 [ 下一步]。 請勿進行任何變更。
在 [指定領域名稱] 上,選取 [ 下一步]。
選取 [ 完成 ] 以關閉精靈。
後續步驟
現在您已建立範例基礎結構,您可以開始設定憑證授權機構。