Implementar VPN de Always On

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

En esta sección, aprenderá sobre el flujo de trabajo para implementar conexiones VPN Always On para equipos cliente Windows 10 dominio remoto. Si desea configurar el acceso condicional para ajustar el modo en que los usuarios de VPN acceden a los recursos, consulte Acceso condicional para la conectividad VPN mediante Azure AD. Para más información sobre el acceso condicional para la conectividad VPN mediante Azure AD, consulte Acceso condicional en Azure Active Directory.

En el diagrama siguiente se muestra el proceso de flujo de trabajo para los distintos escenarios al implementar Always On VPN:

Flow chart of the Always On VPN deployment workflow

Importante

Para esta implementación, no es necesario que los servidores de infraestructura, como los equipos que ejecutan Active Directory Domain Services, Servicios de certificados de Active Directory y servidor de directivas de red, ejecuten Windows Server 2016. Puede usar versiones anteriores de Windows Server, como Windows Server 2012 R2, para los servidores de infraestructura y para el servidor que ejecuta acceso remoto.

Paso 1. Planear la implementación de VPN de Always On

En este paso, comenzará a planear y preparar la implementación Always On VPN. Antes de instalar el rol de servidor de acceso remoto en el equipo que está planeando usar como servidor VPN. Después de planear correctamente, puede implementar Always On VPN y, opcionalmente, configurar el acceso condicional para la conectividad VPN mediante Azure AD.

Paso 2. Configurar la infraestructura de servidor de VPN de Always On

En este paso, instalará y configurará los componentes del lado servidor necesarios para admitir la VPN. Los componentes del lado servidor incluyen la configuración de PKI para distribuir los certificados usados por los usuarios, el servidor VPN y el servidor NPS. También se configura RRAS para admitir conexiones IKEv2 y el servidor NPS para realizar la autorización de las conexiones VPN.

Para configurar la infraestructura del servidor, debe realizar las siguientes tareas:

  • En un servidor configurado con Active Directory Domain Services: Habilite la inscripción automática de certificados en directiva de grupo para equipos y usuarios, cree el grupo de usuarios de VPN, el grupo de servidores VPN y el grupo de servidores NPS y agregue miembros a cada grupo.
  • En una ca Active Directory certificate server: Cree las plantillas de certificado Autenticación de usuario, Autenticación de servidor VPN y Autenticación de servidor NPS.
  • En clientes de Windows 10 unidos a un dominio: inscriba y valide los certificados de usuario.

Paso 3. Configurar el servidor de acceso remoto para VPN de Always On

En este paso, configurará vpn de acceso remoto para permitir conexiones VPN IKEv2, denegará las conexiones de otros protocolos VPN y asignará un grupo de direcciones IP estáticas para la emisión de direcciones IP a los clientes VPN autorizados que se conectan.

Para configurar RAS, debe realizar las siguientes tareas:

  • Inscripción y validación del certificado de servidor VPN
  • Instalación y configuración de VPN de acceso remoto

Paso 4. Instalar y configurar el servidor NPS

En este paso, instalará el servidor de directivas de red (NPS) mediante Windows PowerShell o el Asistente para agregar roles y características Administrador del servidor de directivas. También puede configurar NPS para controlar todas las tareas de autenticación, autorización y contabilidad de la solicitud de conexión que recibe del servidor VPN.

Para configurar NPS, debe realizar las siguientes tareas:

  • Registrar el servidor NPS en Active Directory
  • Configurar la contabilidad RADIUS para el servidor NPS
  • Agregar el servidor VPN como cliente RADIUS en NPS
  • Configuración de la directiva de red en NPS
  • Inscripción automática del certificado de servidor NPS

Paso 5. Configuración de DNS y firewall Configuración para Always On VPN

En este paso, configurará dns y firewall. Cuando los clientes VPN remotos se conectan, usan los mismos servidores DNS que los clientes internos, lo que les permite resolver nombres de la misma manera que el resto de las estaciones de trabajo internas.

Paso 6. Configurar las conexiones VPN de Always On del cliente de Windows 10

En este paso, configurará los equipos Windows 10 cliente para que se comuniquen con esa infraestructura con una conexión VPN. Puede usar varias tecnologías para configurar clientes Windows 10 VPN, incluidos Windows PowerShell, Microsoft Endpoint Configuration Manager e Intune. Los tres requieren un perfil de VPN XML para configurar las opciones de VPN adecuadas.

Paso 7. (Opcional) Configuración del acceso condicional para la conectividad VPN

En este paso opcional, puede ajustar el modo en que los usuarios de VPN autorizados acceden a los recursos. Con Azure AD acceso condicional para la conectividad VPN, puede ayudar a proteger las conexiones VPN. El acceso condicional es un motor de evaluación basado en directivas que permite crear reglas de acceso para cualquier Azure AD aplicación conectada. Para obtener más información, vea Azure Active Directory (Azure AD) condicional.

Paso siguiente

Paso 1. Planear la implementación Always On VPN: antes de instalar el rol de servidor de acceso remoto en el equipo que está planeando usar como servidor VPN. Después de planear correctamente, puede implementar Always On VPN y, opcionalmente, configurar el acceso condicional para la conectividad VPN mediante Azure AD.