教學課程:部署 Always On VPN - 設定 Always On VPN 的基礎結構
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10、Windows 11
在本教學課程中,您會了解如何為已加入遠端網域的 Windows 用戶端電腦部署 Always On VPN 連線。 您會建立範例基礎結構,用來示範如何實作 Always On VPN 連線處理程序。 這個處理程序包含下列步驟:
Windows VPN 用戶端使用公用 DNS 伺服器,針對 VPN 閘道的 IP 位址執行名稱解析查詢。
VPN 用戶端使用 DNS 傳回的 IP 位址,將連線要求傳送至 VPN 閘道。
VPN 伺服器也設定為遠端驗證撥入使用者服務 (RADIUS) 用戶端;VPN RADIUS 用戶端會將連線要求傳送至 NPS 伺服器,以進行連線要求處理。
NPS 伺服器處理連線要求 (包括執行授權和驗證),並判斷是否允許或拒絕連線要求。
NPS 伺服器將 Access-Accept 或 Access-Deny 回應轉送給 VPN 伺服器。
根據 VPN 伺服器從 NPS 伺服器收到的回應起始或終止連線。
必要條件
若要完成本教學課程中的步驟,必須滿足下列條件:
您需要有四部實體電腦或虛擬機器 (VM) 的存取權。
請確定您在所有電腦上的使用者帳戶都是系統管理員或對等角色的成員。
重要
不支援在 Microsoft Azure 中使用遠端存取,包括遠端存取 VPN 和 DirectAccess。 如需詳細資訊,請參閱 Microsoft 伺服器軟體對 Microsoft Azure 虛擬機器的支援。
建立網域控制站
在執行網域控制站的電腦上安裝 Windows Server。
安裝 Active Directory Domain Services (AD DS)。 如需如何安裝 AD DS 的詳細資訊,請參閱安裝 Active Directory Domain Services。
將 Windows Server 升階至網域控制站。 在本教學課程中,您會建立新的樹系和該新樹系的網域。 如需如何安裝網域控制站的詳細資訊,請參閱 AD DS 安裝。
在網域控制站上安裝並設定憑證授權單位 (CA)。 如需如何安裝 CA 的詳細資訊,請參閱安裝憑證授權單位。
建立 Active Directory 群組原則
在本節中,您會在網域控制站上建立群組原則,讓網域成員自動要求使用者和電腦憑證。 此設定可讓 VPN 使用者要求並擷取可自動驗證 VPN 連線的使用者憑證。 此原則也允許 NPS 伺服器自動要求伺服器驗證憑證。
在網域控制站上開啟 [群組原則管理]。
在左窗格中,以滑鼠右鍵按一下您的網域 (例如,corp.contoso.com)。 選取 [在這個網域中建立 GPO 並連結到這裡]。
在 [新增 GPO] 對話方塊的 [名稱] 中,輸入 [自動註冊原則]。 選取 [確定]。
在左窗格中,以滑鼠右鍵按一下 [自動註冊原則]。 選取 [編輯] 以開啟 [群組原則管理編輯器]。
在 [群組原則管理編輯器] 中,完成下列步驟來設定電腦憑證自動註冊:
在左窗格中,移至 [電腦設定]>[原則]>[Windows 設定]>[安全性設定]>[公開金鑰原則]。
在詳細資料窗格中,以滑鼠右鍵按一下 [憑證服務用戶端 - 自動註冊]。 選取 [屬性] 。
在 [憑證服務用戶端 – 自動註冊內容] 對話方塊的 [設定模型] 中,選取 [已啟用]。
選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 與 [更新使用憑證範本的憑證] 。
選取 [確定]。
在 [群組原則管理編輯器] 中,完成下列步驟來設定使用者憑證自動註冊:
在左窗格中,移至 [使用者設定]>[原則]>[Windows 設定]>[安全性設定]>[公開金鑰原則]。
在詳細資料窗格中,以滑鼠右鍵按一下 [憑證服務用戶端 - 自動註冊],然後選取 [內容]。
在 [憑證服務用戶端 – 自動註冊內容] 對話方塊的 [設定模型] 中,選取 [已啟用]。
選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 與 [更新使用憑證範本的憑證] 。
選取 [確定]。
關閉 [群組原則管理編輯器]。
關閉 [群組原則管理] 。
建立 NPS 伺服器
在執行 NPS 伺服器的電腦上安裝 Windows Server。
在 NPS 伺服器上,安裝網路原則和存取服務 (NPS) 角色。 如需如何安裝 NSP 的詳細資訊,請參閱安裝網路原則伺服器。
在 Active Directory 中註冊 NPS 伺服器。 如需如何在 Active Directory 中註冊 NPS 伺服器的詳細資訊,請參閱在 Active Directory 網域中註冊 NPS。
請確定防火牆允許 VPN 和 RADIUS 通訊正常運作所需的流量。 如需詳細資訊,請參閱設定 RADIUS 流量的防火牆。
建立 NPS 伺服器群組:
在網域控制站上,開啟 [Active Directory 使用者及電腦]。
在您的網域底下,以滑鼠右鍵按一下 [電腦]。 選取 [新增],然後選取 [群組]。
在 [群組名稱] 中輸入 [NPS 伺服器],然後選取 [確定]。
以滑鼠右鍵按一下 [NPS 伺服器],然後選取 [內容]。
在 [NPS 伺服器內容] 對話方塊的 [成員] 索引標籤上,選取 [新增]。
選取 [物件類型],選取 [電腦] 核取方塊,然後選取 [確定]。
在 [輸入要選取的物件名稱] 中,輸入 NPS 伺服器的電腦名稱。 選取 [確定]。
關閉 [Active Directory 使用者和電腦]。
建立 VPN 伺服器
在執行 VPN 伺服器的電腦上安裝 Windows Server。 請確定電腦已安裝兩張實體網路介面卡:一張用來連線到網際網路,另一張用來連線到網域控制站所在的網路。
識別哪些網路介面卡連線到網際網路,以及哪些網路介面卡連線到網域。 使用公用 IP 位址設定對應網際網路的網路介面卡,而對應內部網路的介面卡可以使用區域網路的 IP 位址。
對於連線到網域的網路介面卡,請將 DNS 慣用的 IP 位址設定為網域控制站的 IP 位址。
將 VPN 伺服器加入網域。 如需如何將伺服器加入網域的詳細資訊,請參閱將伺服器加入網域。
開啟防火牆規則,以允許 UDP 連接埠 500 和 4500 輸入至套用到 VPN 伺服器上公用介面的外部 IP 位址。
在連線到網域的網路介面卡上,啟用下列連接埠:UDP1812、UDP1813、UDP1645 和 UDP1646。
建立 VPN 伺服器群組:
在網域控制站上,開啟 [Active Directory 使用者及電腦]。
在您的網域底下,以滑鼠右鍵按一下 [電腦]。 選取 [新增],然後選取 [群組]。
在 [群組名稱] 中輸入 [VPN 伺服器],然後選取 [確定]。
以滑鼠右鍵按一下 [VPN 伺服器],然後選取 [內容]。
在 [VPN 伺服器內容] 對話方塊的 [成員] 索引標籤上,選取 [新增]。
選取 [物件類型],選取 [電腦] 核取方塊,然後選取 [確定]。
在 [輸入要選取的物件名稱] 中,輸入 VPN 伺服器的電腦名稱。 選取 [確定]。
關閉 [Active Directory 使用者和電腦]。
遵循將遠端存取安裝為 VPN 伺服器中的步驟來安裝 VPN 伺服器。
從伺服器管理員開啟路由和遠端存取工具。
以滑鼠右鍵按一下 VPN 伺服器,然後選取 [內容]。
在 [內容] 中選取 [安全性] 索引標籤,然後:
選取 [驗證提供者],然後選取 [RADIUS 驗證]。
選取 [設定] 以開啟 [RADIUS 驗證] 對話方塊。
選取 [新增] 以開啟 [新增 RADIUS 伺服器] 對話方塊。
在 [伺服器名稱] 中,輸入 NPS 伺服器的完整網域名稱 (FQDN)。 在本教學課程中,NPS 伺服器是網域控制站伺服器。 例如,如果 NPS 和網域控制站伺服器的 NetBIOS 名稱是 dc1,而網域名稱是 corp.contoso.com,請輸入 dc1.corp.contoso.com。
在 [共用密碼] 中,選取 [變更] 以開啟 [變更密碼] 對話方塊。
在 [新增密碼] 中,輸入文字字串。
在 [確認新密碼] 中,輸入相同的文字字串,然後選取 [確定]。
儲存此密碼。 稍後在本教學課程中,當您將此 VPN 伺服器新增為 RADIUS 用戶端時,需要使用此密碼。
選取 [確定] 以關閉 [新增 RADIUS 伺服器] 對話方塊。
選取 [確定] 以關閉 [RADIUS 驗證] 對話方塊。
在 [VPN 伺服器內容] 對話方塊中,選取 [驗證方法...]。
選取 [允許 IKEv2 的電腦憑證驗證]。
選取 [確定]。
針對 [帳戶處理提供者] 選取 [Windows 帳戶處理]。
選取 [確定] 以關閉內容對話方塊。
此時即會顯示一個對話方塊,提示您重新啟動伺服器。 選取 [是] 。
建立 VPN Windows 用戶端
在將成為 VPN 用戶端的電腦上安裝 Windows 10 或更新版本。
將 VPN 用戶端加入網域。 如需如何將電腦加入網域的詳細資訊,請參閱將電腦加入網域。
建立 VPN 使用者和群組
採取下列步驟建立 VPN 使用者:
在網域控制站上,開啟 [Active Directory 使用者及電腦]。
在您的網域底下,以滑鼠右鍵按一下 [使用者]。 選取新增。 針對 [使用者登入名稱],輸入任何登入名稱。 選取 [下一步] 。
選擇使用者的密碼。
取消選取 [使用者必須在下次登入時變更密碼]。 選取 [密碼永久有效] 。
選取 [完成] 。 將 [Active Directory 使用者和電腦] 保持開啟狀態。
採取下列步驟建立 VPN 使用者群組:
在您的網域底下,以滑鼠右鍵按一下 [使用者]。 選取 [新增],然後選取 [群組]。
在 [群組名稱] 中輸入 [VPN 使用者],然後選取 [確定]。
以滑鼠右鍵按一下 [VPN 使用者],然後選取 [內容]。
在 [VPN 使用者內容] 對話方塊的 [成員] 索引標籤上,選取 [新增]。
在 [選取使用者] 對話方塊中,新增您建立的 VPN 使用者,然後選取 [確定]。
將 VPN 伺服器設定為 RADIUS 用戶端
在 NPS 伺服器上,開啟防火牆規則以允許 UDP 連接埠 1812、1813、1645 和 1646 輸入。
在 NPS 主控台中,按兩下 [RADIUS 用戶端和伺服器]。
以滑鼠右鍵按一下 [RADIUS 用戶端],然後選取 [新增] 以開啟 [新增 RADIUS 用戶端] 對話方塊。
確認已選取 [啟用此 RADIUS 用戶端] 核取方塊。
在 [自訂名稱] 中,輸入 VPN 伺服器的顯示名稱。
在 [位址 (IP 或 DNS)] 中,輸入 VPN 伺服器的 IP 位址或 FQDN。
如果您輸入 FQDN,並且想要確認名稱是否正確以及是否對應至有效的 IP 位址,請選取 [驗證]。
在[共用密碼]:
確定已選取 [手動]。
輸入您在建立 VPN 伺服器一節中建立的密碼。
針對 [確認共用密碼] 重新輸入共用密碼。
選取 [確定]。 VPN 伺服器應該會顯示在 NPS 伺服器上設定的 RADIUS 用戶端清單中。
將 NPS 伺服器設定為 RADIUS 伺服器
注意
在本教學課程中,NPS 伺服器會安裝在具有 CA 角色的網域控制站上;我們不需要註冊個別的 NPS 伺服器憑證。 不過,在 NPS 伺服器安裝於不同伺服器的環境中,必須先註冊 NPS 伺服器憑證,才能執行這些步驟。
在 NPS 主控台中,選取 [NPS (本機)]。
在 [標準設定] 中,確定已選取 [用於撥號或 VPN 連線的 RADIUS 伺服器]。
選取 [設定 VPN 或撥號] 以開啟 [設定 VPN 或撥號] 精靈。
選取 [虛擬私人網路 (VPN) 連線],然後選取 [下一步]。
在 RADIUS 用戶端的 [指定撥號或 VPN 伺服器] 中,選取 VPN 伺服器的名稱。
選取 [下一步] 。
在 [設定驗證方法] 中,完成下列步驟:
清除 [Microsoft 加密驗證第 2 版 (MS-CHAPv2)]。
選取 [可延伸的驗證通訊協定]。
針對 [類型],選取 [Microsoft:受保護的 EAP (PEAP)]。 然後選取 [設定] 以開啟 [編輯受保護的 EAP 內容] 對話方塊。
選取 [移除] 以移除安全密碼 (EAP-MSCHAP v2) EAP 類型。
選取新增。 [新增 EAP] 對話方塊隨即開啟。
選取 [智慧卡或其他憑證],然後選取 [確定]。
選取 [確定] 以關閉 [編輯受保護的 EAP 內容]。
選取 [下一步] 。
在 [指定使用者群組] 中,完成下列步驟:
選取新增。 [選取使用者、電腦、服務帳戶或群組] 對話方塊隨即開啟。
輸入 [VPN 使用者],然後選取 [確定]。
選取 [下一步] 。
在 [指定 IP 篩選器] 上,選取 [下一步]。
在 [指定加密設定] 上,選取 [下一步]。 請勿進行任何變更。
在 [指定領域名稱] 上,選取 [下一步]。
選取完成以關閉精靈。
下一步
現在您已建立範例基礎結構,接著可以設定憑證授權單位。