始终在线VPN易于使用且易于实施。请按照以下四部分指南,将远程访问转变为Windows 10移动设备的无缝和持久连接。
目录
- VPN、DirectAccess与始终在线的比较
- 如何配置始终在线VPN
- 作者
- 最近的文章
作者
Joseph Moody
Joseph Moody是公共学校系统的网络管理员,负责管理5500台PC。他是云与数据中心管理领域的微软最有价值专家(MVP),并在DeployHappiness.com上撰写博客。
VPN、DirectAccess与始终在线的比较
与传统VPN不同,这种远程访问的迭代设计为持久连接。用户通过连接到任何外部网络自动连接到您的网络。从Windows 10 1607开始,我们可以按用户配置此项功能,VPN客户端会根据您的规则决定何时自动连接。
它可以在启动某些应用程序时连接,或在查找特定主机时连接,甚至保持始终连接状态。在1709版本中,我们还可以配置设备连接。这使得用户可以在异地位置登录新笔记本电脑。换句话说,它消除了“当前没有可用登录服务器”的悖论。两个版本的流量都是双向的,且具备管理能力。异地客户端可以处理组策略,接收更新,甚至被远程控制。在第三部分中,我们将配置这些连接规则。此设置使用的是原生Windows 10 1607及以上版本的VPN客户端,用户无需安装任何额外的客户端软件。
与DirectAccess不同,始终在线VPN是一种双栈技术,支持IPv4和IPv6。正如您将在第四部分中看到的,这将使您的防火墙配置变得更加简单。
DirectAccess需要域加入的企业或教育版客户端,而始终在线VPN则不需要特定的Windows 10版本。客户端甚至不需要加入域。
对于高级部署,它可以与Windows Hello for Business以及Azure多因素身份验证(MFA)集成。虽然始终在线VPN的服务器和网络配置比DirectAccess更简单,但传统的客户端配置并非如此。
目前,您必须通过PowerShell、SCCM或Intune配置始终在线VPN客户端。组策略没有原生的始终在线VPN客户端扩展。对于没有SCCM或Intune的组织,可以自动化PowerShell注册,但这需要更改默认客户端配置脚本。该系列的第三篇文章将涵盖这一部分。
如何配置始终在线VPN
始终在线VPN结合了许多不同的技术。首先,您需要配置一组服务器——网络策略服务器(NPS)、证书颁发机构(CA)和远程访问服务器。接下来,您必须注册客户端(最初是用户,1709及以上版本的设备用于预登录连接)。最后,您必须通过多个网络更改安全地将远程客户端连接到您的本地基础设施。所有三个部分都有些重叠,但我们将其分解为逻辑段落。
始终在线VPN服务器基础设施依赖于您可能已经部署的技术。除了您的DC/DNS服务器外,此配置还需要一个NPS(RADIUS)服务器、一个CA服务器和一个远程访问(路由/VPN)服务器。这些服务器不需要是2016版本,2012 R2服务器也可以正常工作。本系列将假设您已经在这些服务器上启用了这些角色,并且只需要进行始终在线VPN设置所需的修改。
除了NPS、CA和远程访问服务器外,您还需要一些网络配置。远程客户端将通过UDP端口500和4500连接到您的远程访问服务器。本节将集中讨论单服务器设置。为了高可用性,组织应使用故障转移或负载均衡器。此远程访问服务器将跨越您的公共网络和私有网络。如果是物理服务器,则需要两个网络接口控制器(NIC)。虚拟机(VM)将需要正确的虚拟局域网(VLAN)放置。
远程访问服务器将需要一个公共DNS记录和一个安装在其上的客户端可信证书。证书名称需要与远程访问服务器名称匹配。本部分指南中的步骤将是通用的,因为有许多类型的防火墙、路由器和交换机。关于虚拟机的讨论将集中在Hyper-V上。
客户端通过首先与CA通信来与此设置进行交互。让我们来看一下远程设备上的用户。为了进行身份验证,该用户的设备需要一个特定的VPN证书。我们将在本指南中使用Active Directory(AD)安全组自动向选定用户颁发此证书。远程设备上的用户配置文件将已经配置了始终在线VPN连接。此连接会在定义的基础上检查网络状态。当状态符合您配置的规则时,它将发起与远程访问服务器公共接口的连接。
远程访问服务器通过内部接口验证该请求与您的网络策略服务器。如果连接请求有效,它将允许客户端连接,并将其放置在您在远程访问服务器设置期间指定的IP池中。
根据您的网络配置,您可以将客户端限制在某些网络段,或允许他们像在本地一样正常访问。
始终在线VPN设置所需的配置重叠于服务器、网络和客户端设置。在第二部分中,我们将逐步介绍始终在线VPN环境所需的服务器设置。在您进行本指南时,如果对项目之间的联系感到困惑,请随时回顾此文章。
