設定 P2S VPN 閘道 連線的伺服器設定 - 憑證驗證 - Azure 入口網站

本文可協助您設定必要的VPN 閘道點對站 (P2S) 伺服器設定，讓您安全地將執行 Windows、Linux 或 macOS 的個別用戶端連線到 Azure VNet。 當您想要從遠端位置 (例如當您從住家或會議進行遠距工作) 連線到您的 VNet 時，P2S VPN 連線很實用。 如果您只有少數用戶端需要連線到虛擬網路， (VNet) ，您也可以使用 P2S 而非站對站 (S2S) VPN。 P2S 連線不需要 VPN 裝置或公眾對應 IP 位址即可運作。

P2S 有各種不同的組態選項可供使用。 如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。 本文可協助您建立使用憑證驗證和Azure 入口網站的 P2S 設定。 若要使用Azure PowerShell建立此設定，請參閱設定 P2S - 憑證 - PowerShell一文。 如需 RADIUS 驗證，請參閱 P2S RADIUS 一文。 如需 Azure Active Directory 驗證，請參閱 P2S Azure AD 一文。

P2S Azure 憑證驗證連線會使用下列專案，您將在此練習中設定：

• RouteBased VPN 閘道。
• 已上傳至 Azure 之根憑證的公開金鑰 (.cer 檔案)。 上傳憑證之後，它會被視為受信任的憑證，並用於驗證。
• 從根憑證產生的用戶端憑證。 此用戶端憑證須安裝在每部將連線至 VNet 的用戶端電腦上。 此憑證使用於用戶端憑證。
• VPN 用戶端組態檔。 VPN 用戶端使用 VPN 用戶端組態檔進行設定。 這些檔案包含用戶端連線至 VNet 所需的資訊。 您必須使用組態檔中的設定來設定每個進行連線的用戶端。

先決條件

請確認您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶，則可以啟用 MSDN 訂戶權益或註冊免費帳戶。

範例值

您可以使用下列值來建立測試環境，或參考這些值來進一步了解本文中的範例：

VNet

• VNet 名稱︰VNet1
• 位址空間：10.1.0.0/16
  在此範例中，我們只使用一個位址空間。 您可以針對 VNet 使用一個以上的位址空間。
• 子網路名稱： FrontEnd
• 子網路位址範圍：10.1.0.0/24
• 訂用帳戶：如果您有一個以上的訂用帳戶，請確認您使用正確的訂用帳戶。
• 資源群組： TestRG1
• 位置： 美國東部

虛擬網路閘道

• 虛擬網路閘道名稱：VNet1GW
• 閘道類型： VPN
• VPN 類型： 以路由為基礎
• SKU：VpnGw2
• 產生：Generation2
• 閘道子網路位址範圍： 10.1.255.0/27
• 公用 IP 位址名稱：VNet1GWpip

連線類型和用戶端位址集區

• 連線類型：點對站
• 用戶端位址集區：172.16.201.0/24
  使用這個點對站連線來連線到 VNet 的 VPN 用戶端，會收到來自用戶端位址集區的 IP 位址。

建立 VNet

在本節中，您會建立 VNet。 如需要用於此設定的建議值，請參閱 範例值 一節。

注意

在使用虛擬網路作為用作跨單位結構的一部分時，請確保與內部部署網路系統管理員協調，以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍，流量就會以未預期的方式路由傳送。 此外，如果要將此虛擬網路連線至另一個虛擬網路，則位址空間不能與其他虛擬網路重疊。 請據此規劃您的網路組態。

1. 登入 Azure 入口網站。

2. 在入口網站頁面頂端 的 [搜尋資源]、[服務和檔] (G+/) 中，輸入 虛擬網路。 從 Marketplace 結果中選取虛擬網路，以開啟 [虛擬網路] 頁面。

3. 在 [虛擬網路] 頁面上，選取 [建立]。 這會開啟 [建立虛擬網路] 頁面。

4. 在 [基本] 索引標籤上，設定 [專案詳細資料] 和 [執行個體詳細資料] 的 VNet 設定。 當您輸入的值經過驗證後，即會顯示綠色的核取記號。 您可以根據需要的設定來調整範例中顯示的值。

   

   • 訂用帳戶：確認列出的訂用帳戶是否正確。 您可以使用下拉式清單變更訂用帳戶。
   • 資源群組：選取現有的資源群組，或選取 [新建] 以建立新的資源群組。 如需有關資源群組的詳細資訊，請參閱 Azure Resource Manager 概觀。
   • Name：輸入虛擬網路的名稱。
   • 區域：選取您的 VNet 位置。 此位置會決定您部署到此 VNet 的資源存留的位置。

5. 選取 [下一步 ] 或 [安全性] 以前進到 [ 安全性 ] 索引標籤。在此練習中，保留此頁面上所有服務的預設值。

6. 選取 [ IP 位址 ] 以前進到 [IP 位址] 索引標籤。在 [ IP 位址] 索引標籤上，設定設定。

   • IPv4 位址空間：依預設，系統會自動建立位址空間。 您可以選取位址空間並加以調整，以反映自己的值。 您也可以新增不同的位址空間，並移除自動建立的預設值。 例如，您可以將起始位址指定為 10.1.0.0， 並將位址空間大小指定為 /16，然後 新增 該位址空間。
   • + 新增子網路：如果您使用預設的位址空間，則系統會自動建立預設子網路。 如果您變更位址空間，請在該位址空間內新增子網。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 指定以下設定，然後在頁面底部選取 [新增] 以新增值。
     • 子網名稱：範例： FrontEnd。
     • 子網路位址範圍︰此子網路的位址範圍。 例如 ，10.1.0.0 和 /24。

7. 檢閱 [IP 位址 ] 頁面，並移除您不需要的任何位址空間或子網。

8. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

9. 驗證設定之後，請選取 [建立] 以建立虛擬網路。

建立 VPN 閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久，視選取的閘道 SKU 而定。

注意

基本閘道 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您打算讓 Mac 用戶端連線到 VNet，請勿使用基本 SKU。

虛擬網路閘道會使用稱為閘道子網路的特定子網路。 閘道子網路是您設定虛擬網路時，所指定虛擬網路 IP 位址範圍的一部分。 其包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時，您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為閘道子網指定 /27 或更大的 (/26，/25 等 ) 。

如果您看到錯誤指出位址空間與子網路重疊，或子網路未包含在虛擬網路的位址空間內，請檢查您的 VNet 位址範圍。 您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。 例如，如果您的預設子網路包含整個位址範圍，則沒有剩餘任何 IP 位址可供建立其他子網路。 您可以調整現有位址空間內的子網路以釋出 IP 位址，也可以指定其他位址範圍並於該處建立閘道子網路。

1. 在 [搜尋資源、服務和文件 (G+/)] 中，輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取，以開啟 [建立虛擬網路閘道] 頁面。

   

2. 在 [基本] 索引標籤中，填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

   

   • 訂用帳戶：從下拉式清單選取您想要使用的訂用帳戶。
   • 資源群組：當您在此頁面上選取您的虛擬網路時，會自動填入此設定。
   • 名稱：為您的閘道命名。 為您的閘道命名與為閘道子網路命名不同。 這是您要建立之閘道物件的名稱。
   • 區域：選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。
   • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
   • VPN 類型：選取針對您的組態指定的 VPN 類型。 大部分組態需要路由式 VPN 類型。
   • SKU：從下拉清單選取您要使用的閘道 SKU。 下拉式清單中所列的 SKU 取決於您選取的 VPN 類型。 選取的 SKU 務必要能支援您所要使用的功能。 例如，如果您選取 'AZ' SKU，例如 'VPNGw2AZ'，則會選取可用性區域 SKU，其設定不同于此範例所示。 如需詳細資訊，請參閱 Azure 可用性區域中的區域備援虛擬網路閘道。 如需閘道 SKU 的詳細資訊，請參閱閘道 SKU。
   • 世代：選取您要使用的世代。 我們建議使用 Generation2 SKU。 如需詳細資訊，請參閱閘道 SKU。
   • 虛擬網路：從下拉式清單選擇您要新增此閘道的虛擬網路。 如果您看不到想要建立閘道的 VNet，請確定您在先前的設定中選取了正確的訂用帳戶和區域。
   • 閘道子網路位址範圍︰只有當您的 VNet 沒有閘道子網時，才會顯示此欄位。 最好指定 /27 或更大範圍 (/26、/25 等)。 這可讓您有足夠的 IP 位址因應未來變更，例如新增 ExpressRoute 閘道。 如果您已經有閘道子網路，您可以藉由瀏覽至您的虛擬網路來檢視 GatewaySubnet 詳細資料。 選取 [子網路] 以檢視範圍。 如果您想要變更範圍，可以刪除並重新建立 GatewaySubnet。

3. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時，會將公用 IP 位址指派給這個物件。 唯一的主要公用 IP 位址變更時間是刪除並重新建立閘道。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

   

   • 公用 IP 位址類型：在此練習中，如果您有選擇網址類別型的選項，請選取 [標準]。
   • 公用 IP 位址：將 [新建] 保持選取。
   • 公用 IP 位址名稱：在文字方塊中，輸入公用 IP 位址執行個體的名稱。
   • 公用 IP 位址 SKU：設定會自動選取。
   • 指派：指派通常會自動選取，而且可以是動態或靜態。
   • 啟用主動-主動模式：選取 [已停用]。 只有在您建立主動-主動閘道組態時，才啟用此設定。
   • 設定 BGP：除非您的設定特別需要此設定，否則請選取 [已停用]。 如果您需要此設定，則預設的 ASN 為 65515，不過您可以變更此值。

4. 選取 [檢閱 + 建立] 以執行驗證。

5. 驗證通過後，選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [ 概 觀] 頁面上看到部署狀態。 建立閘道之後，您可以查看入口網站中的 VNet，以檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

使用閘道子網路時，避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網路產生關聯，可能會導致您的虛擬網路閘道 (VPN 與 Express Route 閘道) 如預期停止運作。 如需有關網路安全性群組的詳細資訊，請參閱什麼是網路安全性群組？。

產生憑證

憑證是 Azure 用於驗證透過點對站 VPN 連線來連線至 VNet 的用戶端。 一旦您取得根憑證，您可將公開金鑰資訊上傳至 Azure。 接著，Azure 會將根憑證視為「受信任」，以便透過 P2S 連線至 VNet。

您也可以從受信任的根憑證產生用戶端憑證，然後將它們安裝在每部用戶端電腦上。 在用戶端初始 VNet 連線時，用戶端憑證用來驗證用戶端。

在後續各節中建立點對站組態之前，必須先產生並擷取根憑證。

產生根憑證

取得根憑證的 .cer 檔案。 您可以使用透過企業解決方案產生的根憑證 (建議)，或產生自我簽署憑證。 建立根憑證之後，將公開憑證資料 (不是私密金鑰) 匯出為 Base64 編碼的 X.509 .cer 檔案。 稍後將此檔案上傳至 Azure。

• 企業憑證︰ 如果您是使用企業解決方案，則可以使用現有的憑證鏈結。 取得您想要使用的根憑證 .cer 檔案。

• 自我簽署根憑證： 如果您未使用企業憑證解決方案，請建立自我簽署的根憑證。 否則，您建立的憑證將無法與 P2S 連線相容，而且用戶端嘗試連線時會收到連線錯誤。 您可以使用 Azure PowerShell、MakeCert 或 OpenSSL。 下列文章中的步驟將說明如何產生相容的自我簽署根憑證：

  • Windows 10或更新版本的 PowerShell 指示：這些指示需要在執行 Windows 10 或更新版本的電腦上使用 PowerShell。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • MakeCert 指示：如果您沒有執行Windows 10或更新版本之電腦的存取權，請使用 MakeCert 來產生憑證。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 從根憑證產生的用戶端憑證可以安裝於任何支援的 P2S 用戶端上。
  • Linux 指示。

產生用戶端憑證

每部連線到具有點對站連線之 VNet 的用戶端電腦都必須安裝用戶端憑證。 您會從根憑證產生用戶端憑證，並將其安裝在每部用戶端電腦上。 如果您沒有安裝有效的用戶端憑證，用戶端嘗試連線至 VNet 時所進行的驗證將會失敗。

您可以為每個用戶端產生唯一的憑證，也可以對多個用戶端使用相同的憑證。 產生唯一用戶端憑證的優點是能夠撤銷單一憑證。 否則，如果多個用戶端使用相同的用戶端憑證進行驗證，而您要撤銷它時，就必須為每個使用該憑證的用戶端產生並安裝新的憑證。

您可以使用下列方法來產生用戶端憑證︰

• 企業憑證︰

  • 如果您使用企業憑證解決方案，請以一般的名稱值格式 name@yourdomain.com 產生用戶端憑證。 請使用此格式，而不是「網域名稱\使用者名稱」的格式。

  • 請確定用戶端憑證所根據的憑證範本，是將「用戶端驗證」列為使用者清單中第一個項目的使用者憑證範本。 按兩下憑證，然後檢視 [詳細資料] 索引標籤中的 [增強金鑰使用方法]，即可檢查憑證。

• 自我簽署根憑證： 請遵循下列任一 P2S 憑證文章中的步驟，讓您建立的用戶端憑證可與 P2S 連線相容。

  當您從自我簽署根憑證產生用戶端憑證時，此憑證會自動安裝在您用來產生它的電腦上。 如果您想要在另一部用戶端電腦上安裝用戶端憑證，請將其匯出為 .pfx 檔案 (包含整個憑證鏈結)。 這麼做將會建立一個 .pfx 檔案，其中包含用戶端進行驗證所需的根憑證資訊。

  這些文章中的步驟都會產生相容的用戶端憑證，您可以接著進行匯出並散發。

  • Windows 10 或更新版本 PowerShell 指示：這些指示需要 Windows 10 或更新版本和 PowerShell，以產生憑證。 產生的憑證可以安裝在任何支援的 P2S 用戶端。

  • MakeCert 指示：如果您無法存取 Windows 10 或更新版本電腦來產生憑證，則可以使用 MakeCert。 雖然 MakeCert 已被取代，但您仍可用它來產生憑證。 您可以將產生的憑證安裝在任何支援的 P2S 用戶端。

  • Linux 指示。

新增位址集區

[點對站組態] 頁面包含 P2S VPN 所需的組態資訊。 設定好所有 P2S 設定並更新閘道之後，就會使用點對站組態頁面來檢視或變更 P2S VPN 設定。

1. 移至您在上一節中建立的閘道。
2. 在左窗格中，選取 [點對站組態]。
3. 按一下 [立即設定] 以開啟 [組態] 頁面。

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。 如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

1. 在 [點對站設定] 頁面上的 [位址集區] 方塊中，新增您要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。

2. 接下來，設定通道和驗證類型。

指定通道和驗證類型

注意

如果您在 [點對站組態 ] 頁面上看不到通道類型或驗證類型，您的閘道會使用基本 SKU。 基本 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您想要使用這些設定，則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

在本節中，您會指定通道類型和驗證類型。 這些設定可能會變得複雜，視您需要的通道類型而定，以及將用來從使用者作業系統進行連線的 VPN 用戶端軟體。 本文中的步驟將逐步引導您完成基本組態設定和選擇。

您可以從下拉式清單中選取包含多個通道類型的選項，例如 IKEv2 和 OpenVPN (SSL) 或 IKEv2 和 SSTP (SSL) ，不過，僅支援特定通道類型和驗證類型的組合。 例如，只有在從通道類型下拉式清單中選取 OpenVPN (SSL) ，而不是 IKEv2 和 OpenVPN (SSL) 時，才能使用 Azure Active Directory 驗證。

此外，您所選擇的通道類型和驗證類型會影響可用來連線到 Azure 的 VPN 用戶端軟體。 有些 VPN 用戶端軟體只能透過 IKEv2 連線，其他則只能透過 OpenVPN 連線。 而某些用戶端軟體雖然支援特定通道類型，但可能不支援您選擇的驗證類型。

如您所見，當您從不同的作業系統連線各種 VPN 用戶端時，規劃通道類型和驗證類型很重要。 當您搭配 Azure 憑證 驗證選擇通道類型時，請考慮下列準則。 其他驗證類型有不同的考慮。

• Windows：

  • 透過作業系統中已安裝的原生 VPN 用戶端連線的 Windows 電腦會先嘗試 IKEv2，如果未連線，則從通道類型下拉式清單中選取 [IKEv2] 和 [SSTP]) ，它們會回復為 SSTP (。
  • 如果您選取 OpenVPN 通道類型，您可以使用 OpenVPN 用戶端或Azure VPN Client進行連線。
  • Azure VPN Client可以支援額外的選擇性組態設定，例如自訂路由和強制通道。

• macOS 和 iOS：

  • iOS 和 macOS 的原生 VPN 用戶端只能使用 IKEv2 通道類型來連線到 Azure。
  • 目前不支援憑證驗證Azure VPN Client，即使您選取 OpenVPN 通道類型也一樣。
  • 如果您想要搭配憑證驗證使用 OpenVPN 通道類型，您可以使用 OpenVPN 用戶端。
  • 針對 macOS，您可以使用 Azure VPN Client 搭配 OpenVPN 通道類型和 Azure AD 驗證， (不是憑證驗證) 。

• Android 和 Linux：

  • Android 和 Linux 上的 strongSwan 用戶端只能使用 IKEv2 通道類型進行連線。 如果您想要使用 OpenVPN 通道類型，請使用不同的 VPN 用戶端。

通道類型

在 [點對站設定] 頁面上，選取 [通道類型]。 在此練習中，從下拉式清單中選取 [IKEv2] 和 [OpenVPN (SSL) ]。

驗證類型

在此練習中，請選取驗證類型的 Azure 憑證 。 如果您對其他驗證類型感興趣，請參閱 Azure AD 和 RADIUS的文章。

上傳根憑證公開金鑰資訊

在本節中，您會將公用根憑證資料上傳至 Azure。 一旦上傳公開憑證資料，Azure 就可以使用它來驗證已安裝從受信任根憑證產生之用戶端憑證的用戶端。

1. 在 [根憑證] 區段中，瀏覽至您的 [虛擬網路閘道] -> [點對站設定] 頁面。 只有當您選取驗證類型為 [Azure 憑證] 時，才會顯示此區段。

2. 請確定您在先前的步驟中，已將根憑證匯出為 Base-64 編碼的 X.509 (.CER) 檔案。 您需要以這種格式匯出憑證，以便可以使用文字編輯器開啟憑證。 您不需要匯出私密金鑰。

   

3. 使用文字編輯器 (例如「記事本」) 開啟憑證。 複製憑證資料時，請確定您是以連續一行的形式複製文字，而不含歸位字元或換行字元。 您可能必須將文字編輯器中的檢視修改成 [顯示符號] 或 [顯示所有字元]，才能看到歸位字元和換行字元。 請只以連續一行的形式複製下列區段：

   

4. 在 [根憑證] 區段中，您最多可以新增 20 個受信任的根憑證。

   • 將憑證資料貼到 [公開憑證資料] 欄位中。
   • 命名憑證。

   

5. 此練習不需要其他路由。 如需自訂路由功能的詳細資訊，請參閱 公告自訂路由。

6. 選取頁面頂端的 [儲存]，儲存所有的組態設定。

   

安裝匯出的用戶端憑證

每個想要連線的 VPN 用戶端都必須有用戶端憑證。 當您產生用戶端憑證時，您所使用的電腦通常會為您自動安裝用戶端憑證。 如果您想要從另一部電腦建立 P2S 連線，您必須在想要連線的電腦上安裝用戶端憑證。 安裝用戶端憑證時，您需要匯出用戶端憑證時所建立的密碼。

請確定用戶端憑證已隨著整個憑證鏈結匯出為 .pfx (這是預設值)。 否則，根憑證資訊不存在於用戶端電腦上，而且用戶端將無法正確驗證。

如需安裝步驟，請參閱安裝用戶端憑證。

設定 VPN 用戶端並聯機至 Azure

每個 VPN 用戶端都是使用您產生和下載之 VPN 用戶端設定檔群組態套件中的檔案來設定。 組態套件包含您建立之 VPN 閘道專屬的設定。 如果您變更閘道，例如變更通道類型、憑證或驗證類型，您必須產生另一個 VPN 用戶端設定檔群組態套件，並在每個用戶端上安裝它。 否則，您的 VPN 用戶端可能無法連線。

如需產生 VPN 用戶端設定檔群組態套件、設定 VPN 用戶端及連線至 Azure 的步驟，請參閱下列文章：

• Windows
• macOS-iOS
• Linux

驗證連線

這些指示適用於 Windows 用戶端。

1. 若要驗證您的 VPN 連線為作用中狀態，請開啟提升權限的命令提示字元，並執行 ipconfig/all。

2. 檢視結果。 請注意，您接收到的 IP 位址是您在組態中指定的點對站 VPN 用戶端位址集區中的其中一個位址。 結果類似於此範例：

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

連線至虛擬機器

這些指示適用於 Windows 用戶端。

您可以建立 VM 的遠端桌面連線，以連線到部署至 VNet 的 VM。 一開始確認您可以連線至 VM 的最佳方法是使用其私人 IP 位址 (而不是電腦名稱) 進行連線。 這樣一來，您會測試以查看您是否可以連線，而不是否已正確設定名稱解析。

1. 找出私人 IP 位址。 在 Azure 入口網站中或使用 PowerShell 查看 VM 的屬性，即可找到 VM 的私人 IP 位址。

   • Azure 入口網站 - 在 Azure 入口網站中尋找您的虛擬機器。 檢視 VM 的屬性。 系統會列出私人 IP 位址。

   • PowerShell - 使用範例來檢視資源群組中的 VM 和私人 IP 位址清單。 使用此範例前，您不需要加以修改。

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. 確認您已連線至 VNet。

3. 在工作列上的搜尋方塊中輸入「RDP」或「遠端桌面連線」以開啟遠端桌面連線，然後選取 [遠端桌面連線]。 您也可以使用 PowerShell 中的 'mstsc' 命令開啟遠端桌面連線。

4. 在 [遠端桌面連線] 中，輸入 VM 的私人 IP 位址。 您可以選取 [顯示選項]，調整其他設定，然後進行連線。

針對連線進行疑難排解

如果您無法透過 VPN 連線與虛擬機器連線，請檢查下列各項：

• 確認您的 VPN 連線成功。

• 確認您正連線至 VM 的私人 IP 位址。

• 如果您可以使用私人 IP 位址 (而非電腦名稱) 來連線至 VM，請確認您已正確設定 DNS。 如需 VM 的名稱解析運作方式的詳細資訊，請參閱 VM 的名稱解析。

• 如需 RDP 連線的詳細資訊，請參閱針對 VM 的遠端桌面連線進行疑難排解。

• 請確認 VPN 用戶端設定套件是在針對 VNet 指定的 DNS 伺服器 IP 位址之後產生。 如果您已更新 DNS 伺服器 IP 位址，請產生並安裝新的 VPN 用戶端設定套件。

• 使用 'ipconfig' 來檢查指派給所連線電腦上乙太網路介面卡的 IPv4 位址。 如果 IP 位址位在您要連線的 VNet 位址範圍內，或在您 VPNClientAddressPool 的位址範圍內，這稱為重疊位址空間。 當您的位址空間以這種方式重疊時，網路流量不會連線到 Azure，它會保留在本機網路上。

新增或移除受信任的根憑證

您可以從 Azure 新增和移除受信任的根憑證。 當您移除根憑證時，從該根憑證產生憑證的用戶端將無法進行驗證，因而無法進行連線。 若希望用戶端進行驗證和連線，您需要安裝從 Azure 信任 (已上傳至 Azure) 的根憑證產生的新用戶端憑證。

您最多可新增 20 個受信任的根憑證 .cer 檔案至 Azure。 如需指示，請參閱上傳受信任的根憑證一節。

若要移除受信任的根憑證：

1. 瀏覽至虛擬網路閘道的 [點對站設定] 頁面。
2. 在頁面的 [根憑證] 區段中，找出您想要移除的憑證。
3. 按一下憑證旁邊的省略符號，然後選取 [移除]。

若要撤銷用戶端憑證

您可以撤銷用戶端憑證。 憑證撤銷清單可讓您根據個別用戶端憑證選擇性地拒絕 P2S 連線。 這與移除受信任的根憑證不同。 若您從 Azure 移除受信任的根憑證 .cer，就會撤銷所有由撤銷的根憑證所產生/簽署的用戶端憑證之存取權。 撤銷用戶端憑證，而不是根憑證，可以繼續使用從根憑證產生的憑證進行驗證。

常見的做法是使用根憑證管理小組或組織層級的存取權，然後使用撤銷的用戶端憑證針對個別使用者進行細部的存取控制。

您可以藉由將指紋新增至撤銷清單來撤銷用戶端憑證。

1. 擷取用戶端憑證指紋。 如需詳細資訊，請參閱做法：擷取憑證的指紋。
2. 將資訊複製到文字編輯器，並移除所有的空格，使其為連續字串。
3. 瀏覽至虛擬網路閘道 [點對站組態] 頁面。 這個頁面與您用來上傳受信任根憑證的頁面相同。
4. 在 [撤銷憑證] 區段中，輸入憑證的易記名稱 (它不一定是憑證 CN)。
5. 將指紋字串複製並貼上到 [指紋]欄位。
6. 指紋會進行驗證，並且自動新增至撤銷清單。 畫面上會出現一則訊息，指出清單正在更新。
7. 更新完成之後，憑證無法再用於連線。 嘗試使用此憑證進行連線的用戶端會收到訊息，指出憑證不再有效。

點對站常見問題集

如需常見問題，請參閱我們的常見問題集。

下一步

連線完成後，您可以將虛擬機器新增至 VNet。 如需詳細資訊，請參閱虛擬機器。 若要了解網路與虛擬機器的詳細資訊，請參閱 Azure 與 Linux VM 網路概觀。

如需有關為 P2S 疑難排解的資訊，請參閱針對 Azure 點對站連線進行疑難排解。