始终在线 VPN 系列第五部分:客户端连接设置

更新时间

欢迎来到我们始终在线 VPN 系列的第五部分!到目前为止,您已经了解了始终在线 VPN 的工作原理,配置了证书颁发机构,安装了 NPS 和 RRAS 以实现远程连接,并为安全连接设置了网络。现在是时候让您的客户端进行连接了!

目录

  • 创建始终在线 VPN 客户端模板
  • 测试始终在线 VPN 连接
  • 部署始终在线 VPN 连接模板
  • 始终在线 VPN 的下一步是什么?

作者

Joseph Moody
Joseph Moody 是一名公共学校系统的网络管理员,负责管理 5,500 台 PC。他是云和数据中心管理领域的微软最有价值专家(MVP),并在 DeployHappiness.com 上进行博客写作。

创建始终在线 VPN 客户端模板

首先,您需要一台干净的域加入机器(物理或虚拟)。该机器应运行 Windows 10 1607 或更高版本。这台计算机将作为您的模板机器。它需要一种方式从外部连接到您的远程访问/VPN 服务器。在这台机器上,您将手动创建 VPN 连接并进行测试。虽然您可以手动创建 XML 连接模板,但通过连接向导配置它并稍后使用 PowerShell 导出可能更简单。我们现在就来做这件事。

在第 3 和第 4 部分中,我们回顾了网络策略服务器(NPS)或远程身份验证拨号用户服务(RADIUS)的证书要求。为了获得最佳安全性,您的客户端在连接时应知道 NPS 主机名。颁发给 NPS 机器的证书将存储此确切主机名以及受信任的证书颁发机构(CA)的名称。

连接到您的 NPS/RADIUS 机器并启动 NPS Microsoft 管理控制台 (MMC)。扩展到 Policies\Network Policies。右键单击您在第 3 部分创建的虚拟专用网络 (VPN) 网络策略,并选择 属性

Constraints 选项卡上。在 Authentication Methods 约束中,选择 Microsoft: Protected EAP (PEAP),然后单击 编辑

现在应该打开 编辑受保护的 EAP 属性 窗口。记下 issued to 值以及 Issuer 值。获取这些值后,您可以取消打开的任何 NPS 控制台窗口。您将在下面的高级模板配置部分输入这些值。

在您的模板机器上,以 VPN 用户组的成员身份登录。一旦登录,打开 certmgr.msc 并验证是否从 VPN 用户模板中颁发了证书。如果没有,请查看本系列的第 2 部分。单击 开始,搜索 VPN。您可能需要过滤以仅显示设置,以查看 更改虚拟专用网络(VPN) 选项。

选择 添加 VPN 连接,并执行以下操作:

  • 将 VPN 提供程序更改为 Windows(内置)
  • 指定一个临时连接名称,例如 template
  • 输入您的始终在线 VPN 服务器的外部完全合格域名(FQDN)。这是您在本系列第 4 部分创建的 DNS 值。
  • 单击 保存 以关闭 添加 VPN 连接 窗口。在右侧的相关设置下,单击 更改适配器选项(或导航至 控制面板\网络和 Internet\网络连接)。

右键单击您的模板并选择 属性。在 安全性 选项卡上配置以下内容:

  • 将 VPN 类型更改为 IKEv2
  • 将数据加密值更改为 最大强度加密
  • 单击 使用可扩展身份验证协议 (EAP) 单选按钮,并从下拉列表中选择 Microsoft: Protected EAP (PEAP)(启用加密)

仍在 安全性 选项卡上,单击 属性 以启动 受保护的 EAP 属性 窗口。

  • 连接到这些服务器 下输入 issued to 值。
  • 受信任的根证书颁发机构 下,检查与您之前记录的 Issuer 值匹配的 CA 名称。
  • 连接前的通知 下拉列表中,选择 不询问用户授权新服务器或受信任的 CA
  • 对于 身份验证方法,选择 智能卡或其他证书

智能卡或其他证书 右侧,单击 配置 按钮。您现在将配置的选项控制客户端如何选择本地证书进行身份验证。

智能卡或其他证书属性 窗口中:

  • 选择 在此计算机上使用证书 单选按钮。
  • 连接到这些服务器 下输入 issued to 值。
  • 受信任的根证书颁发机构 下,检查与您之前记录的 Issuer 值匹配的 CA 名称。此选项和前一个选项应与您在上面的 受保护的 EAP 属性 屏幕中输入的值匹配。
  • 检查 不提示用户授权新服务器或受信任的证书颁发机构

如果您的 VPN 用户有多个用户证书(如在 certmgr.msc 中所见),并且在连接之前被提示选择一个,您可以使用 高级 选项卡来细化证书选择。

测试始终在线 VPN 连接

单击所有打开窗口的 确定,返回 网络连接 控制面板窗口。确保您已连接到外部网络。选择您的 VPN 模板(无论是在设置中还是在任务栏右下角的通知区域中)。单击 连接

希望您的 VPN 模板成功连接。如果成功,请继续下一部分。如果没有,抱歉,问题可能是某个地方的小配置错误或缺少复选框。在客户端模板机器上,打开 应用程序事件日志 并查找具有 RasClient 源的事件。您应该会看到一条消息和一个错误代码。微软在这里提供了一些关于始终在线 VPN 800 X 错误的基本指导。如果您仍然遇到连接问题,请留下详细评论并上传任何日志。

部署始终在线 VPN 连接模板

首先,我们需要导出我们刚刚创建并测试的模板文件。从 TechNet 下载最新的 MakeProfile.ps1 脚本。根据以下说明配置顶部的参数:

  • $Template: 您之前使用的模板名称(例如 template
  • $ProfileName: 客户端将看到的最终名称(例如 AlwaysOn
  • $Servers: 您的远程访问服务器的外部 FQDN(您在模板中输入的值)
  • $DnsSuffix: 客户端的内部 DNS 后缀;使用 ipconfig 查看格式(例如 local
  • $DomainName: 带有前导点的 DNS 后缀(例如 .Test.local
  • $TrustedNetwork: 可能与 DnsSuffix 相同

在本地登录(无远程桌面/Hyper-V 增强会话)的用户帐户下运行此脚本。如果脚本成功运行,您应该会在当前用户的桌面上看到两个文件:VPN_Profile.xmlVPN_Profile.ps1

微软提供了几种部署始终在线 VPN 连接的方法。目前,您可以使用 PowerShell 脚本、SCCM 或 Intune 部署它们。SCCM 使用 VPN_Profile.ps1 文件,而 Intune 使用 VPN_Profile.xml 文件。从技术上讲,您可以使用组策略,因为您可以使用登录/启动脚本客户端扩展(CSE)来运行 PowerShell 脚本。

对于这个部署,我们将使用 PowerShell 方法,因为它是最简单的设置。然而,它的扩展性较差。运行 VPN_Profile.ps1 脚本的用户需要以本地管理员身份登录。可以使用您的模板机器进行此操作,但请删除您之前创建的配置文件。

将这台机器连接到您的内部网络。确保您登录的用户是管理员,然后以管理员身份启动 PowerShell。打开您的 VPN_Profile.ps1 脚本并运行。如果成功运行,它将创建一个新的始终在线 VPN 配置文件。它将检测到您已通过 DNS 后缀值连接到内部网络。

通过以上步骤,您将能够成功创建并部署始终在线 VPN 连接模板,确保安全的远程访问。请继续关注我们的系列文章,了解更多关于 VPN 的信息和配置技巧!

更新时间

VPN常见问题