Mengonfigurasi VPN titik-ke-situs (P2S) di Windows untuk digunakan dengan Azure Files

Anda dapat menggunakan koneksi VPN titik-ke-situs (P2S) untuk memasang berbagi file Azure Anda melalui SMB dari luar Azure, tanpa membuka port 445. Koneksi VPN titik-ke-situs adalah koneksi VPN antara Azure dan klien individual. Untuk menggunakan koneksi VPN P2S dengan Azure Files, Anda harus mengonfigurasi koneksi VPN untuk setiap klien yang ingin terhubung. Jika Anda memiliki banyak klien yang perlu tersambung ke berbagi file Azure dari jaringan lokal, Anda dapat menggunakan koneksi VPN situs-ke-situs (S2S) alih-alih koneksi titik-ke-situs untuk setiap klien. Untuk mempelajari selengkapnya, lihat Mengonfigurasi VPN situs-ke-situs untuk digunakan dengan Azure Files.

Kami sangat menyarankan Agar Anda membaca pertimbangan Jaringan untuk akses berbagi file Azure langsung sebelum melanjutkan artikel panduan ini untuk diskusi lengkap tentang opsi jaringan yang tersedia untuk Azure Files.

Artikel ini merinci langkah-langkah untuk mengonfigurasi VPN titik-ke-situs di Windows (klien Windows dan Windows Server) untuk memasang berbagi file Azure langsung di tempat. Jika Anda ingin merutekan lalu lintas Azure File Sync melalui VPN, lihat mengonfigurasi proksi Azure File Sync dan pengaturan firewall.

Berlaku untuk

Jenis berbagi File SMB NFS
Berbagi file standar (GPv2), LRS/ZRS Yes No
Berbagi file standar (GPv2), GRS/GZRS Yes No
Berbagi file premium (FileStorage), LRS/ZRS Yes No

Prasyarat

  • Modul Azure PowerShell versi terbaru. Lihat Memasang modul Azure PowerShell.

  • Berbagi file Azure lokal yang ingin Anda pasang. Berbagi file Azure disebarkan dalam akun penyimpanan, yang merupakan konstruksi manajemen yang mewakili kumpulan penyimpanan bersama tempat Anda dapat menyebarkan beberapa berbagi file, serta sumber daya penyimpanan lainnya. Pelajari selengkapnya tentang cara menyebarkan berbagi file Azure dan akun penyimpanan di Membuat berbagi file Azure.

  • Jaringan virtual dengan titik akhir privat untuk akun penyimpanan yang berisi berbagi file Azure yang ingin Anda pasang secara lokal. Untuk mempelajari cara membuat titik akhir privat, lihat Mengonfigurasi titik akhir jaringan Azure Files.

  • Anda harus membuat subnet gateway di jaringan virtual. Untuk membuat subnet gateway, masuk ke portal Azure, navigasikan ke jaringan virtual, pilih Pengaturan Subnet, lalu pilih + Subnet> Gateway. Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Jumlah alamat IP yang diperlukan tergantung pada konfigurasi gateway VPN yang ingin Anda buat. Yang terbaik adalah menentukan /27 atau lebih besar (/26, /25 dll.) untuk mengizinkan alamat IP yang cukup untuk perubahan di masa mendatang, seperti menambahkan gateway ExpressRoute.

Mengumpulkan informasi lingkungan

Sebelum menyiapkan VPN titik-ke-situs, Anda perlu mengumpulkan beberapa informasi tentang lingkungan Anda.

Untuk menyiapkan VPN titik-ke-situs menggunakan portal Azure, Anda harus mengetahui nama grup sumber daya, nama jaringan virtual, nama subnet gateway, dan nama akun penyimpanan Anda.

Membuat sertifikat akar untuk autentikasi VPN

Agar koneksi VPN dari komputer Windows lokal Anda diautentikasi untuk mengakses jaringan virtual, Anda harus membuat dua sertifikat:

  1. Sertifikat akar, yang akan diberikan ke gateway komputer virtual
  2. Sertifikat klien, yang akan ditandatangani dengan sertifikat akar

Anda dapat menggunakan sertifikat akar yang dihasilkan dengan solusi perusahaan, atau Anda dapat membuat sertifikat yang ditandatangani sendiri. Jika Anda menggunakan solusi perusahaan, dapatkan file .cer untuk sertifikat akar dari organisasi TI Anda.

Jika Anda tidak menggunakan solusi sertifikat perusahaan, buat sertifikat akar yang ditandatangani sendiri menggunakan skrip PowerShell ini. Anda akan membuat sertifikat klien setelah menyebarkan gateway jaringan virtual. Jika memungkinkan, biarkan sesi PowerShell Terbuka sehingga Anda tidak perlu menentukan ulang variabel saat membuat sertifikat klien nanti di artikel ini.

Penting

Jalankan skrip PowerShell ini sebagai administrator dari komputer lokal yang menjalankan Windows 10/Windows Server 2016 atau yang lebih baru. Jangan jalankan skrip dari Cloud Shell atau VM di Azure.

$rootcertname                = 'CN=P2SRootCert'
$certLocation                = 'Cert:\CurrentUser\My'
$vpnTemp                     = 'C:\vpn-temp'
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

if ($PSVersionTable.PSVersion.Major -ge 6) {
    Import-Module -Name PKI -UseWindowsPowerShell
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = '2048'
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

Export-Certificate -Cert $rootcert -FilePath $exportedencodedrootcertpath -NoClobber | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach ($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

Sebarkan gateway jaringan virtual

Gateway jaringan virtual Azure adalah layanan tempat tujuan komputer Windows lokal Anda akan disambungkan. Jika Anda belum melakukannya, Anda harus membuat subnet gateway di jaringan virtual sebelum menyebarkan gateway jaringan virtual.

Menyebarkan gateway jaringan virtual memerlukan dua komponen dasar:

  1. Alamat IP publik yang akan mengidentifikasi gateway ke klien Anda di mana pun mereka berada di dunia
  2. Sertifikat akar yang Anda buat di langkah sebelumnya, yang akan digunakan untuk mengautentikasi klien Anda

Anda dapat menggunakan portal Azure atau Azure PowerShell untuk menyebarkan gateway jaringan virtual. Penyebaran dapat memakan waktu hingga 45 menit untuk diselesaikan.

Untuk menyebarkan gateway jaringan virtual menggunakan portal Azure, ikuti instruksi berikut.

  1. Masuk ke portal Azure.

  2. Di Cari sumber daya, layanan, dan dokumen, ketik gateway jaringan virtual. Temukan Gateway jaringan virtual di hasil pencarian Marketplace dan pilih.

  3. Pilih + Buat untuk membuat gateway jaringan virtual baru.

  4. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • Langganan: Pilih langganan yang ingin Anda gunakan dari menu pilihan menurun.
    • Grup Sumber Daya: Pengaturan ini diisi otomatis saat Anda memilih jaringan virtual Anda di halaman ini.
    • Nama: Beri nama gateway Anda. Menamai gateway Anda tidak sama dengan menamai subnet gateway. Ini adalah nama objek gateway yang Anda buat.
    • Wilayah: Pilih wilayah tempat Anda ingin membuat sumber daya ini. Wilayah untuk gateway harus sama dengan jaringan virtual.
    • Jenis gateway: Pilih VPN. VPN Gateway menggunakan gateway virtual jenis VPN.
    • SKU: Pilih SKU gateway yang mendukung fitur yang ingin Anda gunakan dari menu dropdown. Lihat SKU Gateway. Jangan gunakan SKU Dasar karena tidak mendukung autentikasi IKEv2.
    • Generasi: Pilih generasi yang ingin Anda gunakan. Sebaiknya gunakan SKU Generasi2. Untuk informasi selengkapnya, lihat SKU Gateway.
    • Jaringan virtual: Dari menui tarik turun, pilih jaringan virtual yang ingin Anda tambahkan gateway ini. Jika Anda tidak dapat melihat jaringan virtual yang ingin Anda buat gatewaynya, pastikan Anda memilih langganan dan wilayah yang benar.
    • Subnet: Bidang ini harus berwarna abu-abu dan mencantumkan nama subnet gateway yang Anda buat, bersama dengan rentang alamat IP-nya. Jika Anda melihat bidang rentang alamat subnet Gateway dengan kotak teks, maka Anda belum mengonfigurasi subnet gateway (lihat Prasyarat.)
  5. Tentukan nilai untuk alamat IP Publik yang terkait dengan gateway jaringan virtual. Alamat IP publik ditetapkan ke objek ini ketika gateway jaringan virtual dibuat. Satu-satunya waktu alamat IP publik utama berubah adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh mengubah ukuran, mengatur ulang, atau pemeliharaan/peningkatan internal lainnya.

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • Alamat IP Publik: Biarkan Buat baru terpilih.
    • Nama alamat IP publik: Dalam kotak teks, ketikkan nama untuk contoh alamat IP publik Anda.
    • SKU alamat IP publik: Pengaturan dipilih secara otomatis.
    • Penugasan: Penugasan biasanya dipilih secara otomatis dan dapat bersifat Dinamis atau Statis.
    • Aktifkan mode aktif-aktif: Pilih Dinonaktifkan. Hanya aktifkan pengaturan ini jika Anda membuat konfigurasi gateway aktif-aktif.
    • Konfigurasikan BGP: Pilih Dinonaktifkan, kecuali konfigurasi Anda secara khusus memerlukan pengaturan ini. Jika Anda memerlukan pengaturan ini, ASN defaultnya adalah 65515, meskipun nilai ini dapat diubah.
  6. Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi lolos, pilih Buat untuk menyebarkan gateway jaringan virtual. Penyebaran dapat memakan waktu hingga 45 menit untuk diselesaikan.

  7. Setelah penyebaran selesai, pilih Kembali ke sumber daya.

  8. Di panel kiri, pilih Pengaturan > Konfigurasi titik-ke-situs lalu pilih Konfigurasikan sekarang. Anda akan melihat halaman konfigurasi Titik-ke-situs.

    Screenshot showing how to configure a point-to-site VPN using the Azure portal.

    • Kumpulan alamat: Tambahkan rentang alamat IP privat yang ingin Anda gunakan. Klien VPN secara dinamis menerima alamat IP dari rentang yang Anda tentukan. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.
    • Jenis terowongan: Tentukan jenis terowongan yang ingin Anda gunakan. Komputer yang terhubung melalui klien VPN Windows asli akan mencoba IKEv2 terlebih dahulu. Jika tidak tersambung, mereka kembali ke SSTP (jika Anda memilih IKEv2 dan SSTP dari menu dropdown). Jika Anda memilih jenis terowongan OpenVPN, Anda dapat tersambung menggunakan Klien OpenVPN atau Klien Azure VPN.
    • Jenis autentikasi: Tentukan jenis autentikasi yang ingin Anda gunakan (dalam hal ini, pilih sertifikat Azure).
    • Nama sertifikat akar: Nama file sertifikat akar (file .cer).
    • Data sertifikat publik: Buka sertifikat akar dengan NotePad dan salin/tempel data sertifikat publik di bidang teks ini. Jika Anda menggunakan skrip PowerShell dalam artikel ini untuk menghasilkan sertifikat akar yang ditandatangani sendiri, skrip tersebut akan terletak di C:\vpn-temp. Pastikan untuk hanya menempelkan teks yang berada di antara SERTIFIKAT -----BEGIN----- dan SERTIFIKAT -----END-----. Jangan sertakan spasi atau karakter tambahan apa pun.

    Catatan

    Jika Anda tidak melihat jenis terowongan atau jenis autentikasi, gateway Anda menggunakan SKU Dasar. SKU Dasar tidak mendukung autentikasi IKEv2. Jika Anda ingin menggunakan IKEv2, Anda perlu menghapus dan membuat ulang gateway menggunakan SKU gateway yang berbeda.

  9. Pilih Simpan di bagian atas halaman untuk menyimpan semua pengaturan konfigurasi dan mengunggah informasi kunci publik sertifikat akar ke Azure.

Membuat sertifikat klien

Setiap komputer klien yang Anda sambungkan ke jaringan virtual dengan koneksi titik-ke-situs harus memiliki sertifikat klien yang terinstal. Anda membuat sertifikat klien dari sertifikat akar dan menginstalnya di setiap komputer klien. Jika Anda tidak menginstal sertifikat klien yang valid, autentikasi akan gagal saat klien mencoba menyambungkan. Anda dapat membuat sertifikat klien dari sertifikat akar yang dihasilkan dengan solusi perusahaan, atau Anda dapat membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri.

Membuat sertifikat klien menggunakan solusi perusahaan

Jika Anda menggunakan solusi sertifikat enterpise, buat sertifikat klien dengan format nilai nama umum name@yourdomain.com. Gunakan format ini, jangan gunakan format nama domain\nama pengguna. Pastikan sertifikat klien didasarkan pada templat sertifikat pengguna yang memiliki Autentikasi Klien yang terdaftar sebagai item pertama dalam daftar pengguna. Periksa sertifikat dengan mengklik dua kali sertifikat dan menampilkan Penggunaan Kunci yang Disempurnakan di tab Detail.

Membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri

Jika Anda tidak menggunakan solusi sertifikat perusahaan, Anda dapat menggunakan PowerShell untuk membuat sertifikat klien dengan URI gateway jaringan virtual. Sertifikat ini akan ditandatangani dengan sertifikat akar yang Anda buat sebelumnya. Ketika Anda membuat sertifikat klien dari sertifikat akar yang ditandatangani sendiri, sertifikat tersebut secara otomatis dipasang pada komputer yang Anda gunakan untuk membuatnya.

Jika Anda ingin menginstal sertifikat klien di komputer klien lain, ekspor sertifikat sebagai file .pfx, bersama dengan seluruh rantai sertifikat. Dengan begitu, akan terbuat file .pfx yang berisi informasi sertifikat akar yang diperlukan klien untuk mengautentikasi. Untuk mengekspor sertifikat akar yang ditandatangani sendiri sebagai .pfx, pilih sertifikat akar dan gunakan langkah yang sama seperti yang dijelaskan dalam Mengekspor sertifikat klien.

Mengidentifikasi sertifikat akar yang ditandatangani sendiri

Jika Anda menggunakan sesi PowerShell yang sama dengan yang Anda gunakan untuk membuat sertifikat akar yang ditandatangani sendiri, Anda dapat melompat ke depan untuk Membuat sertifikat klien.

Jika tidak, gunakan langkah-langkah berikut untuk mengidentifikasi sertifikat akar yang ditandatangani sendiri yang diinstal di komputer Anda.

  1. Dapatkan daftar sertifikat yang terinstal di komputer Anda.

    Get-ChildItem -Path 'Cert:\CurrentUser\My'
    
  2. Temukan nama subjek dari daftar yang dikembalikan, lalu salin thumbprint yang terletak di sampingnya ke file teks. Dalam contoh berikut, ada dua sertifikat. Nama CN adalah nama sertifikat akar yang ditandatangani sendiri dari tempat Anda ingin membuat sertifikat anak. Dalam hal ini, itu disebut P2SRootCert.

    Thumbprint                                Subject
    ----------                                -------
    AED812AD883826FF76B4D1D5A77B3C08EFA79F3F  CN=P2SChildCert4
    7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert
    
  3. Menyatakan variabel untuk sertifikat akar menggunakan thumbprint dari langkah sebelumnya. Ganti THUMBPRINT dengan thumbprint sertifikat akar tempat Anda ingin membuat sertifikat klien.

    $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\<THUMBPRINT>'
    

    Misalnya, menggunakan thumbprint untuk P2SRootCert di langkah sebelumnya, perintah terlihat seperti ini:

    $rootcert = Get-ChildItem -Path 'Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655'
    

Membuat sertifikat klien

New-AzVpnClientConfiguration Gunakan cmdlet PowerShell untuk menghasilkan sertifikat klien. Jika Anda tidak menggunakan sesi PowerShell yang sama dengan yang Anda gunakan untuk membuat sertifikat akar yang ditandatangani sendiri, Anda harus mengidentifikasi sertifikat akar yang ditandatangani sendiri seperti yang dijelaskan di bagian sebelumnya. Sebelum menjalankan skrip, ganti <resource-group-name> dengan nama grup sumber daya Anda dan <vpn-gateway-name> dengan nama gateway jaringan virtual yang baru saja Anda sebarkan.

Penting

Jalankan skrip PowerShell ini sebagai administrator dari komputer Windows lokal yang ingin Anda sambungkan ke berbagi file Azure. Komputer harus menjalankan Windows 10/Windows Server 2016 atau yang lebih baru. Jangan jalankan skrip dari Cloud Shell di Azure. Pastikan Anda masuk ke akun Azure Anda sebelum menjalankan skrip (Connect-AzAccount).

$clientcertpassword = '<enter-your-password>'
$resourceGroupName  = '<resource-group-name>'
$vpnName            = '<vpn-gateway-name>'
$vpnTemp            = 'C:\vpn-temp'
$certLocation       = 'Cert:\CurrentUser\My'

$vpnClientConfigParams = @{
    ResourceGroupName    = $resourceGroupName
    Name                 = $vpnName
    AuthenticationMethod = 'EAPTLS'
}
$vpnClientConfiguration = New-AzVpnClientConfiguration @vpnClientConfigParams

$webRequestParams = @{
    Uri = $vpnClientConfiguration.VpnProfileSASUrl
    OutFile = "$vpnTemp\vpnclientconfiguration.zip"
}
Invoke-WebRequest @webRequestParams

$expandArchiveParams = @{
    Path            = "$vpnTemp\vpnclientconfiguration.zip"
    DestinationPath = "$vpnTemp\vpnclientconfiguration"
}
Expand-Archive @expandArchiveParams

$vpnGeneric = "$vpnTemp\vpnclientconfiguration\Generic"
$vpnProfile = ([xml](Get-Content -Path "$vpnGeneric\VpnSettings.xml")).VpnProfile

$exportedclientcertpath = "$vpnTemp\P2SClientCert.pfx"
$clientcertname         = "CN=$($vpnProfile.VpnServer)"

$selfSignedCertParams = @{
    Type              = 'Custom'
    DnsName           = $vpnProfile.VpnServer
    KeySpec           = 'Signature'
    Subject           = $clientcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    Signer            = $rootcert
    TextExtension     = @('2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
$clientcert = New-SelfSignedCertificate @selfSignedCertParams

$mypwd = ConvertTo-SecureString -String $clientcertpassword -Force -AsPlainText

Export-PfxCertificate -FilePath $exportedclientcertpath -Password $mypwd -Cert $clientcert |
    Out-Null

Mengonfigurasi klien VPN

Gateway jaringan virtual Azure akan membuat paket yang dapat diunduh dengan file konfigurasi yang diperlukan untuk menginisialisasi koneksi VPN di komputer Windows lokal Anda. Paket konfigurasi berisi pengaturan khusus untuk gateway VPN yang Anda buat. Jika Anda membuat perubahan pada gateway, seperti mengubah jenis terowongan, sertifikat, atau jenis autentikasi, Anda harus membuat paket konfigurasi profil klien VPN lain dan menginstalnya di setiap klien. Jika tidak, klien VPN Anda mungkin tidak dapat tersambung.

Anda akan mengonfigurasi koneksi VPN menggunakan fitur AlwaysOn VPN yang diperkenalkan di Windows 10/Windows Server 2016. Paket ini juga berisi executable yang akan mengonfigurasi klien WINDOWS VPN warisan, jika diinginkan. Panduan ini menggunakan Always On VPN daripada klien VPN Windows warisan karena klien Always On VPN memungkinkan Anda untuk menyambungkan/memutuskan sambungan dari Vpn Azure tanpa memiliki izin administrator ke komputer.

Menginstal sertifikat klien

Untuk menginstal sertifikat klien yang diperlukan untuk autentikasi terhadap gateway jaringan virtual, ikuti langkah-langkah ini di komputer klien.

  1. Setelah sertifikat klien diekspor, temukan dan salin file .pfx ke komputer klien.
  2. Pada komputer klien, klik dua kali file .pfx untuk menginstal. Biarkan Lokasi Toko sebagai Pengguna Saat Ini, lalu pilih Berikutnya.
  3. Di halaman File untuk diimpor, jangan membuat perubahan apa pun. Pilih Selanjutnya.
  4. Di halaman Perlindungan kunci privat, masukkan kata sandi untuk sertifikat, atau verifikasi bahwa prinsip keamanan sudah benar, lalu pilih Berikutnya.
  5. Di halaman Penyimpanan Sertifikat, tinggalkan lokasi default, lalu pilih Berikutnya.
  6. Pilih Selesai. Pada Peringatan Keamanan untuk penginstalan sertifikat, pilih Ya. Anda dapat dengan nyaman memilih 'Ya' untuk peringatan keamanan ini karena Anda membuat sertifikat.
  7. Sertifikat sekarang berhasil diimpor.

Menginstal klien VPN

Bagian ini membantu Anda mengonfigurasi klien VPN asli yang menjadi bagian dari sistem operasi Windows Anda untuk terhubung ke jaringan virtual Anda (IKEv2 dan SSTP). Konfigurasi ini tidak memerlukan perangkat lunak klien tambahan.

Menampilkan file konfigurasi

Pada komputer klien, navigasikan ke C:\vpn-temp dan buka folder vpnclientconfiguration untuk melihat subfolder berikut:

  • WindowsAmd64 dan WindowsX86, yang masing-masing berisi paket alat penginstal Windows 64-bit dan 32-bit. Paket pemasangan WindowsAmd64 ditujukan untuk semua klien Windows 64-bit yang didukung, bukan hanya Amd.
  • Generik, yang berisi informasi umum yang digunakan untuk membuat konfigurasi klien VPN Anda sendiri. Folder Generik disediakan jika IKEv2 atau SSTP+IKEv2 dikonfigurasi pada gateway. Jika hanya SSTP yang dikonfigurasi, folder Generik tidak ada.

Mengonfigurasi profil klien VPN

Anda dapat menggunakan paket konfigurasi klien VPN yang sama di setiap komputer klien Windows, selama versinya cocok dengan arsitektur untuk klien.

Catatan

Anda harus memiliki hak Administrator pada komputer klien Windows tempat Anda ingin tersambung untuk menjalankan paket penginstal.

  1. Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal VpnClientSetupAmd64 . Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal VpnClientSetupX86 .

  2. Klik dua kali paket untuk menginstalnya. Jika Anda melihat popup SmartScreen, pilih Info selengkapnya, lalu Tetap jalankan.

  3. Koneksi ke VPN Anda. Buka VPN Pengaturan dan temukan koneksi VPN yang Anda buat. Ini adalah nama yang sama dengan jaringan virtual Anda. Pilih Sambungkan. Pesan pop-up mungkin muncul. Pilih Lanjutkan menggunakan hak istimewa yang ditinggikan.

  4. Pada halaman status Koneksi, pilih Sambungkan untuk memulai koneksi. Jika Anda melihat layar Pilih Sertifikat, verifikasi bahwa sertifikat klien yang diperlihatkan adalah sertifikat yang ingin Anda gunakan untuk menyambungkan. Jika tidak, gunakan panah drop-down untuk memilih sertifikat yang benar, lalu pilih OK.

Memasang berbagi file Azure

Setelah menyiapkan VPN titik-ke-situs, Anda dapat menggunakannya untuk memasang berbagi file Azure ke komputer lokal.

Untuk memasang berbagi file menggunakan kunci akun penyimpanan Anda, buka perintah Windows dan jalankan perintah berikut. Ganti <YourStorageAccountName>, <FileShareName>, dan <YourStorageAccountKey> dengan nilai Anda sendiri. Jika Z: sudah digunakan, ganti dengan huruf drive yang tersedia. Anda dapat menemukan kunci akun penyimpanan Anda di portal Azure dengan menavigasi ke akun penyimpanan dan memilih Keamanan + kunci Akses jaringan>.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:localhost\<YourStorageAccountName> <YourStorageAccountKey>

Memutar Sertifikat Akar VPN

Jika sertifikat akar perlu diputar karena kedaluwarsa atau persyaratan baru, Anda dapat menambahkan sertifikat akar baru ke gateway jaringan virtual yang ada tanpa menyebarkan ulang gateway jaringan virtual. Setelah menambahkan sertifikat akar menggunakan skrip berikut, Anda harus membuat ulang sertifikat klien VPN.

Ganti <resource-group-name>, <desired-vpn-name-here> dan <new-root-cert-name> dengan nilai Anda sendiri, lalu jalankan skrip.

#Creating the new Root Certificate
$ResourceGroupName           = '<resource-group-name>'
$vpnName                     = '<desired-vpn-name-here>'
$NewRootCertName             = '<new-root-cert-name>'
$rootcertname                = "CN=$NewRootCertName"
$certLocation                = 'Cert:\CurrentUser\My'
$date                        = Get-Date -Format 'MM_yyyy'
$vpnTemp                     = "C:\vpn-temp_$date"
$exportedencodedrootcertpath = "$vpnTemp\P2SRootCertencoded.cer"
$exportedrootcertpath        = "$vpnTemp\P2SRootCert.cer"

if (-Not (Test-Path -Path $vpnTemp -PathType Container)) {
    New-Item -ItemType Directory -Force -Path $vpnTemp | Out-Null
}

$selfSignedCertParams = @{
    Type              = 'Custom'
    KeySpec           = 'Signature'
    Subject           = $rootcertname
    KeyExportPolicy   = 'Exportable'
    HashAlgorithm     = 'sha256'
    KeyLength         = 2048
    CertStoreLocation = $certLocation
    KeyUsageProperty  = 'Sign'
    KeyUsage          = 'CertSign'
}
$rootcert = New-SelfSignedCertificate @selfSignedCertParams

$exportCertParams = @{
    Cert      = $rootcert
    FilePath  = $exportedencodedrootcertpath
    NoClobber = $true
}
Export-Certificate @exportCertParams | Out-Null

certutil -encode $exportedencodedrootcertpath $exportedrootcertpath | Out-Null

$rawRootCertificate = Get-Content -Path $exportedrootcertpath

$rootCertificate = ''

foreach($line in $rawRootCertificate) { 
    if ($line -notlike '*Certificate*') { 
        $rootCertificate += $line 
    } 
}

#Fetching gateway details and adding the newly created Root Certificate.
$gateway = Get-AzVirtualNetworkGateway -Name $vpnName -ResourceGroupName $ResourceGroupName

$vpnClientRootCertParams = @{
    PublicCertData               = $rootCertificate
    ResourceGroupName            = $ResourceGroupName
    VirtualNetworkGatewayName    = $gateway
    VpnClientRootCertificateName = $NewRootCertName
}
Add-AzVpnClientRootCertificate @vpnClientRootCertParams

Baca juga