Always On VPN 進階功能

適用于：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10

除了標準部署之外，您可以新增其他進階 VPN 功能，以改善 VPN 連線的安全性和可用性。 例如，VPN 伺服器可以使用這些功能來協助確保連線用戶端在允許連線之前狀況良好。

高可用性

以下是更多高可用性選項。

選項	描述
伺服器復原和負載平衡	在需要高可用性或支援大量要求的環境中，您可以增加遠端存取的效能和復原能力。 使用 可在執行網路原則伺服器 (NPS) 並啟用遠端存取服務器叢集的多部伺服器之間進行負載平衡。 相關檔： NPS Proxy 伺服器負載平衡 在叢集中部署遠端存取
地理網站復原	針對以 IP 為基礎的地理位置，您可以在 Windows Server 2016中使用全域流量管理員與 DNS。 如需更健全的地理負載平衡，您可以使用全域伺服器負載平衡解決方案，例如Microsoft Azure 流量管理員。 相關檔： 流量管理員概觀 Microsoft Azure 流量管理員

進階驗證

以下是驗證的更多選項。

選項	描述
Windows Hello 企業版	在Windows 10中，Windows Hello 企業版在電腦和行動裝置上提供強式雙因素驗證來取代密碼。 此驗證封裝含系結至裝置的新使用者認證類型，並使用生物特徵辨識或個人識別碼 (PIN) 。 Windows 10 VPN 用戶端與Windows Hello 企業版相容。 當使用者使用手勢登入之後，VPN 連線會使用Windows Hello 企業版憑證進行憑證式驗證。 相關檔： Windows Hello 企業版 技術案例研究：在 Windows 10 中使用 Windows Hello 企業版 啟用遠端存取
Azure Multifactor Authentication (MFA)	Azure AD Multi-Factor Authentication 具有雲端和內部部署版本，您可以與 Windows VPN 驗證機制整合。 如需這項機制運作方式的詳細資訊，請參閱 整合 RADIUS 驗證與 Azure AD Multi-Factor Authentication Server。

進階 VPN 功能

以下是進階功能的更多選項。

選項	描述
流量篩選	如果您必須強制選擇哪些應用程式 VPN 用戶端可以存取，您可以啟用 VPN 流量篩選器。 如需詳細資訊，請參閱 VPN 安全性功能。
應用程式觸發的 VPN	您可以設定 VPN 設定檔，以在特定應用程式或應用程式類型啟動時自動連線。 如需這個和其他觸發選項的詳細資訊，請參閱 VPN 自動觸發的設定檔選項。
VPN 條件式存取	條件式存取和裝置合規性可能需要受管理的裝置符合標準，才能連線到 VPN。 VPN 條件式存取的其中一個進階功能可讓您將 VPN 連線限制為只有用戶端驗證憑證包含 1.3.6.1.4.1.311.87的「AAD 條件式存取」OID 的裝置。 若要限制 VPN 連線，您必須執行下列動作： 在 NPS 伺服器上，開啟 [網路原則伺服器 ] 嵌入式管理單元。 展開[原則>網路原則]。 以滑鼠右鍵按一下 [ 虛擬私人網路 (VPN) 連線網路原則]，然後選取 [ 屬性]。 選取 [Settings] \(設定\) 索引標籤。 選取 [廠商特定]，然後選取 [ 新增]。 選取 [ Allowed-Certificate-OID ] 選項，然後選取 [ 新增]。 將 AAD 條件式存取 OID 貼上 為 1.3.6.1.4.1.311.87 作為屬性值，然後選取 [ 確定 ] 兩次。 選取 [關閉]，然後選取 [ 套用]。 遵循這些步驟之後，當 VPN 用戶端嘗試使用短期雲端憑證以外的任何憑證進行連線時，連線會失敗。 如需條件式存取的詳細資訊，請參閱 VPN 和條件式存取。

---

封鎖使用撤銷憑證的 VPN 用戶端

安裝更新之後，RRAS 伺服器可以針對使用 IKEv2 的 VPN 和電腦憑證進行驗證的 VPN 強制執行憑證撤銷，例如裝置通道 Always-on VPN。 這表示對於這類 VPN，RRAS 伺服器可以拒絕嘗試使用撤銷憑證之用戶端的 VPN 連線。

可用性

下表列出包含每個 Windows 版本之修正的版本。

作業系統版本	版本
Windows Server 版本 1903	KB4501375
Windows Server 2019 Windows Server，版本 1809	KB4505658
Windows Server 1803 版	KB4507466
Windows Server 1709 版	KB4507465
Windows Server 2016版本 1607	KB4503294

如何設定必要條件

1. 在 Windows 更新可供使用時安裝。
2. 請確定您使用的所有 VPN 用戶端和 RRAS 伺服器憑證都有 CDP 專案，而且 RRAS 伺服器可以連線到各自的 CRL。
3. 在 RRAS 伺服器上，使用 Set-VpnAuthProtocol PowerShell Cmdlet 來設定 RootCertificateNameToAccept 參數。

   下列範例會列出要執行這項作業的命令。 在此範例中， CN=Contoso 根憑證授權單位 代表根憑證授權單位的辨別名稱。

   $cert1 = ( Get-ChildItem -Path cert:LocalMachine\root | Where-Object -FilterScript { $_.Subject -Like "*CN=Contoso Root Certification Authority*" } )
   Set-VpnAuthProtocol -RootCertificateNameToAccept $cert1 -PassThru
   

如何設定 RRAS 伺服器，針對以 IKEv2 電腦憑證為基礎的 VPN 連線強制執行憑證撤銷

1. 在命令提示字元視窗中，執行下列命令：

   reg add HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2 /f /v CertAuthFlags /t REG_DWORD /d "4"
   

2. 重新開機 路由和遠端存取 服務。

若要停用這些 VPN 連線的憑證撤銷，請設定 CertAuthFlags = 2 或移除 CertAuthFlags 值，然後重新開機 路由和遠端存取 服務。

如何撤銷以 IKEv2 電腦憑證為基礎的 VPN 連線 VPN 用戶端憑證

1. 撤銷憑證授權單位單位的 VPN 用戶端憑證。
2. 從憑證授權單位單位發佈新的 CRL。
3. 在 RRAS 伺服器上，開啟系統管理命令提示字元視窗，然後執行下列命令：

   certutil -urlcache * delete
   certutil -setreg chain\ChainCacheResyncFiletime @now
   

如何確認 IKEv2 機器憑證型 VPN 連線的憑證撤銷是否正常運作

注意

使用此程式之前，請確定您啟用 CAPI2 操作事件記錄檔。

1. 請遵循先前的步驟來撤銷 VPN 用戶端憑證。

2. 嘗試使用具有撤銷憑證的用戶端來連線到 VPN。 RRAS 伺服器應該拒絕連線，並顯示「無法接受 IKE 驗證認證」等訊息。

3. 在 RRAS 伺服器上，開啟 事件檢視器，然後流覽至[應用程式和服務記錄檔]/[Microsoft/Windows/CAPI2]。

4. 搜尋具有下列資訊的事件：

   • 記錄名稱： Microsoft-Windows-CAPI2/Operational Microsoft-Windows-CAPI2/Operational
   • 事件識別碼： 41
   • 此事件包含下列文字：subject=「Client FQDN」 (Client FQDN代表具有撤銷憑證之用戶端的完整功能變數名稱。)

   < 事件資料的 [結果 >] 欄位應包含[憑證已撤銷]。 例如，請參閱事件中的下列摘錄：

   Log Name:      Microsoft-Windows-CAPI2/Operational Microsoft-Windows-CAPI2/Operational
   Source:        Microsoft-Windows-CAPI2
   Date:          5/20/2019 1:33:24 PM
   Event ID:      41
   ...
   Event Xml:
   <Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
    <UserData>
     <CertVerifyRevocation>
      <Certificate fileRef="C97AE73E9823E8179903E81107E089497C77A720.cer" subjectName="client01.corp.contoso.com" />
      <IssuerCertificate fileRef="34B1AE2BD868FE4F8BFDCA96E47C87C12BC01E3A.cer" subjectName="Contoso Root Certification Authority" />
      ...
      <Result value="80092010">The certificate is revoked.</Result>
     </CertVerifyRevocation>
    </UserData>
   </Event>
   

---

受信任的平臺模組 (TPM) 金鑰證明

具有 TPM 證明金鑰的使用者憑證可提供更高的安全性保證，由非匯出性、反鐵擊和 TPM 提供的金鑰隔離所備份。

如需Windows 10中 TPM 金鑰證明的詳細資訊，請參閱TPM 金鑰證明。

後續步驟

開始規劃Always On VPN 部署：在您打算作為 VPN 伺服器的電腦上安裝遠端存取服務器角色之前，請執行下列工作。 在適當規劃之後，您可以部署Always On VPN，並選擇性地使用 Azure AD 設定 VPN 連線的條件式存取。

相關主題

• NPS Proxy 伺服器負載平衡：遠端驗證撥入使用者服務 (RADIUS) 用戶端，這些用戶端是網路存取伺服器，例如虛擬私人網路 (VPN) 伺服器和無線存取點、建立連線要求，並將其傳送至 NPS 等 RADIUS 伺服器。 在某些情況下，NPS 伺服器一次可能會收到太多連線要求，導致效能降低或多載。

• 流量管理員概觀：本主題提供 Azure 流量管理員的概觀，可讓您控制服務端點的使用者流量分佈。 流量管理員會使用網域名稱系統 (DNS)，根據流量路由方法和端點的健康情況，將用戶端要求導向到最適當的端點。

• Windows Hello 企業版：本主題提供必要條件的概觀，例如僅限雲端部署和混合式部署。 本主題也會列出有關Windows Hello 企業版的常見問題。

• 技術案例研究：在Windows 10中啟用具有Windows Hello 企業版的遠端存取：在此技術案例研究中，瞭解 Microsoft 如何使用 Windows Hello 企業版 實作遠端存取。 對於組織和取用者來說，Windows Hello 企業版是超越密碼的私密金鑰/公開金鑰或憑證式驗證方法。 這種形式的驗證依賴金鑰組認證，其可取代密碼且能抵抗漏洞、竊取及網路釣魚。

• 整合 RADIUS 驗證與 Azure AD Multi-Factor Authentication：本主題將逐步引導您使用 Azure AD Multi-Factor Authentication Server 新增及設定 RADIUS 用戶端驗證。 RADIUS 是接受驗證要求並處理這些要求的標準通訊協定。 Azure AD Multi-Factor Authentication Server 可以做為 RADIUS 伺服器。

• VPN 安全性功能：本主題提供鎖定 VPN、Windows 資訊保護 (WIP) 與 VPN 整合和流量篩選的 VPN 安全性指導方針概觀。

• VPN 自動觸發的設定檔選項：本主題提供 VPN 自動觸發設定檔選項的概觀，例如應用程式觸發程式、名稱型觸發程式和Always On。

• VPN 和條件式存取：本主題提供雲端式條件式存取平臺的概觀，以提供遠端用戶端的裝置合規性選項。 「條件式存取」是原則型評估引擎，可讓您為任何 Azure Active Directory (Azure AD) 已連線的應用程式建立存取規則。

• TPM 金鑰證明：本主題提供信任平臺模組的概觀 (TPM) 和部署 TPM 金鑰證明的步驟。 您也可以尋找疑難排解資訊和解決問題的步驟。