Langkah 6. Mengonfigurasi koneksi VPN AlwaysOn klien Windows 10

Artikel
05/25/2022
23 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Sebelumnya: Langkah 5. Mengonfigurasi Pengaturan DNS dan Firewall
Berikutnya: Langkah 7. (Opsional) Akses bersyarkat untuk konektivitas VPN menggunakan Azure AD

Dalam langkah ini, Anda akan mempelajari tentang opsi dan skema ProfileXML, dan mengonfigurasi komputer klien Windows 10 untuk berkomunikasi dengan infrastruktur tersebut dengan koneksi VPN.

Anda dapat mengonfigurasi klien Always On VPN melalui PowerShell, Microsoft Endpoint Configuration Manager, atau Intune. Ketiganya memerlukan profil VPN XML untuk mengonfigurasi pengaturan VPN yang sesuai. Mengotomatiskan pendaftaran PowerShell untuk organisasi tanpa Configuration Manager atau Intune dimungkinkan.

Catatan

Kebijakan Grup tidak menyertakan templat administratif untuk mengonfigurasi Windows 10 klien VPN AlwaysOn Akses Jarak Jauh. Namun, Anda dapat menggunakan skrip masuk.

Catatan

Koneksi VPN yang dipicu otomatis tidak akan berfungsi jika pengalihan folder untuk %appdata% (C:\Users\username\AppData\Roaming) diaktifkan. Pengalihan folder harus dinonaktifkan untuk %appdata%, atau profil VPN yang dipicu otomatis harus disebarkan dalam konteks sistem, untuk mengubah jalur penyimpanan file rasphone.pbk.

Gambaran umum ProfileXML

ProfileXML adalah simpul URI dalam CSP VPNv2. Daripada mengonfigurasi setiap simpul CSP VPNv2 satu per satu—seperti pemicu, daftar rute, dan protokol autentikasi—gunakan simpul ini untuk mengonfigurasi klien VPN Windows 10 dengan mengirimkan semua pengaturan sebagai blok XML tunggal ke satu simpul CSP. Skema ProfileXML cocok dengan skema simpul CSP VPNv2 hampir identik, tetapi beberapa istilah sedikit berbeda.

Anda menggunakan ProfileXML di semua metode pengiriman yang dijelaskan penyebaran ini, termasuk Windows PowerShell, Microsoft Endpoint Configuration Manager, dan Intune. Ada dua cara untuk mengonfigurasi node ProfileXML VPNv2 CSP dalam penyebaran ini:

OMA-DM. Salah satu caranya adalah dengan menggunakan penyedia MDM menggunakan OMA-DM, seperti yang dibahas sebelumnya di bagian simpul CSP VPNv2. Dengan menggunakan metode ini, Anda dapat dengan mudah memasukkan markup XML konfigurasi profil VPN ke dalam simpul ProfileXML CSP saat menggunakan Intune.
Windows jembatan Instrumentasi Manajemen (WMI)-ke-CSP. Metode kedua untuk mengonfigurasi node ProfileXML CSP adalah menggunakan jembatan WMI-to-CSP—kelas WMI yang disebut MDM_VPNv2_01—yang dapat mengakses VPNv2 CSP dan node ProfileXML. Saat Anda membuat instans baru kelas WMI tersebut, WMI menggunakan CSP untuk membuat profil VPN saat menggunakan Windows PowerShell dan Configuration Manager.

Meskipun metode konfigurasi ini berbeda, keduanya memerlukan profil VPN XML yang diformat dengan benar. Untuk menggunakan pengaturan ProfileXML VPNv2 CSP, Anda membuat XML dengan menggunakan skema ProfileXML untuk mengonfigurasi tag yang diperlukan untuk skenario penyebaran sederhana. Untuk informasi selengkapnya, lihat ProfileXML XSD.

Di bawah ini Anda menemukan setiap pengaturan yang diperlukan dan tag ProfileXML yang sesuai. Anda mengonfigurasi setiap pengaturan dalam tag tertentu dalam skema ProfileXML, dan tidak semuanya ditemukan di bawah profil asli. Untuk penempatan tag tambahan, lihat skema ProfileXML.

Penting

Kombinasi lain dari huruf besar atau kecil untuk 'true' dalam tag berikut menghasilkan konfigurasi parsial profil VPN:

<AlwaysOntrue<>/AlwaysOn>
<RememberCredentialstrue></RememberCredentials>

Jenis koneksi: IKEv2 Asli

Elemen ProfileXML:

<NativeProtocolType>IKEv2</NativeProtocolType>

Routing: Memisahkan penerowongan

Elemen ProfileXML:

<RoutingPolicyType>SplitTunnel</RoutingPolicyType>

Resolusi nama: Daftar Informasi Nama Domain dan akhiran DNS

Elemen ProfileXML:

<DomainNameInformation>
<DomainName>.corp.contoso.com</DomainName>
<DnsServers>10.10.1.10,10.10.1.50</DnsServers>
</DomainNameInformation>

<DnsSuffix>corp.contoso.com</DnsSuffix>

Memicu: Deteksi Jaringan AlwaysOn dan Tepercaya

Elemen ProfileXML:

<AlwaysOn>true</AlwaysOn>
<TrustedNetworkDetection>corp.contoso.com</TrustedNetworkDetection>

Otentikasi: PEAP-TLS dengan sertifikat pengguna yang dilindungi TPM

Elemen ProfileXML:

<Authentication>
<UserMethod>Eap</UserMethod>
<Eap>
<Configuration>...</Configuration>
</Eap>
</Authentication>

Anda dapat menggunakan tag sederhana untuk mengonfigurasi beberapa mekanisme autentikasi VPN. Namun, EAP dan PEAP lebih terlibat. Cara term mudah untuk membuat markup XML adalah dengan mengonfigurasi klien VPN dengan pengaturan EAP-nya, lalu mengekspor konfigurasi tersebut ke XML.

Untuk informasi selengkapnya tentang pengaturan EAP, lihat Konfigurasi EAP.

Membuat profil koneksi templat secara manual

Dalam langkah ini, Anda menggunakan Protected Extensible Authentication Protocol (PEAP) untuk mengamankan komunikasi antara klien dan server. Tidak seperti nama pengguna dan kata sandi sederhana, koneksi ini memerlukan bagian EAPConfiguration yang unik di profil VPN agar berfungsi.

Alih-alih menjelaskan cara membuat markup XML dari awal, Anda menggunakan Pengaturan di Windows untuk membuat profil VPN templat. Setelah membuat profil VPN templat, Anda menggunakan Windows PowerShell untuk menggunakan bagian EAPConfiguration dari templat tersebut untuk membuat ProfileXML akhir yang Anda sebarkan nanti dalam penyebaran.

Merekam pengaturan sertifikat NPS

Sebelum membuat templat, perhatikan nama host atau nama domain yang sepenuhnya memenuhi syarat (FQDN) server NPS dari sertifikat server dan nama CA yang mengeluarkan sertifikat.

Prosedur:

Di server NPS Anda, buka Server Kebijakan Jaringan.
Di konsol NPS, di bawah Kebijakan, klik Kebijakan Jaringan.
Klik kanan Koneksi Virtual Private Network (VPN), dan klik Properti.
Klik tab Batasan , dan klik Metode Autentikasi.
Di Jenis EAP, klik Microsoft: EAP Terproteksi (PEAP), dan klik Edit.
Catat nilai untuk Sertifikat yang dikeluarkan ke dan Penerbit.

Anda menggunakan nilai-nilai ini dalam konfigurasi templat VPN yang akan datang. Misalnya, jika FQDN server nps01.corp.contoso.com dan nama hostnya adalah NPS01, nama sertifikat didasarkan pada nama FQDN atau DNS server—misalnya, nps01.corp.contoso.com.
Batalkan kotak dialog Edit Properti EAP terproteksi.
Batalkan kotak dialog Properti Koneksi Jaringan Privat Maya (VPN).
Tutup Server Kebijakan Jaringan.

Catatan

Jika Anda memiliki beberapa server NPS, selesaikan langkah-langkah ini pada masing-masing server sehingga profil VPN dapat memverifikasi masing-masing server tersebut harus digunakan.

Mengonfigurasi profil VPN templat di komputer klien yang bergabung dengan domain

Sekarang setelah Anda memiliki informasi yang diperlukan, konfigurasikan profil VPN templat di komputer klien yang bergabung dengan domain. Jenis akun pengguna yang Anda gunakan (yaitu, pengguna standar atau administrator) untuk bagian proses ini tidak masalah.

Namun, jika Anda belum memulai ulang komputer sejak mengonfigurasi pendaftaran otomatis sertifikat, lakukan sebelum mengonfigurasi koneksi VPN templat untuk memastikan Anda memiliki sertifikat yang dapat digunakan yang terdaftar di dalamnya.

Catatan

Tidak ada cara untuk menambahkan properti vpn tingkat lanjut secara manual, seperti aturan NRPT, Always On, Deteksi jaringan tepercaya, dll. Pada langkah berikutnya, Anda membuat koneksi VPN pengujian untuk memverifikasi konfigurasi server VPN dan bahwa Anda dapat membuat koneksi VPN ke server.

Membuat koneksi VPN pengujian tunggal secara manual

Masuk ke komputer klien yang bergabung dengan domain sebagai anggota grup Pengguna VPN .
Pada menu Mulai, ketik VPN, dan tekan Enter.
Di panel detail, klik Tambahkan koneksi VPN.
Di daftar Penyedia VPN, klik Windows (bawaan).
Di Nama Koneksi, ketik Templat.
Di Nama atau alamat server, ketik FQDN eksternal server VPN Anda (misalnya, vpn.contoso.com).
Klik Simpan.
Di bawah Pengaturan terkait, klik Ubah opsi adaptor.
Klik kanan Templat, dan klik Properti.
Pada tab Keamanan , di Jenis VPN, klik IKEv2.
Di Enkripsi data, klik Enkripsi kekuatan maksimum.
Klik Gunakan Extensible Authentication Protocol (EAP); lalu, dalam Gunakan Extensible Authentication Protocol (EAP), klik Microsoft: Protected EAP (PEAP) (enkripsi diaktifkan).
Klik Properti untuk membuka kotak dialog Properti EAP Terproteksi, dan selesaikan langkah-langkah berikut ini:

a. Dalam kotak Koneksi ke server ini, ketik nama server NPS yang Anda ambil dari pengaturan autentikasi server NPS sebelumnya di bagian ini (misalnya, NPS01).

Catatan

Nama server yang Anda ketik harus cocok dengan nama dalam sertifikat. Anda memulihkan nama ini sebelumnya di bagian ini. Jika nama tidak cocok, koneksi akan gagal, yang menyatakan bahwa "Koneksi dicegah karena kebijakan yang dikonfigurasi di server RAS/VPN Anda."

b. Di bawah Otoritas Sertifikasi Akar Tepercaya, pilih CA akar yang menerbitkan sertifikat server NPS (misalnya, contoso-CA).

c. Di Pemberitahuan sebelum menyambungkan, klik Jangan minta pengguna untuk mengotorisasi server baru atau CA tepercaya.

d. Di Pilih Metode Autentikasi, klik Kartu Pintar atau sertifikat lainnya, dan klik Konfigurasikan. Dialog Kartu Pintar atau Properti Sertifikat lainnya terbuka.

e. Klik Gunakan sertifikat pada komputer ini.

f. Dalam kotak Koneksi ke server ini, masukkan nama server NPS yang Anda ambil dari pengaturan autentikasi server NPS di langkah-langkah sebelumnya.

g. Di bawah Otoritas Sertifikasi Akar Tepercaya, pilih CA akar yang menerbitkan sertifikat server NPS.

h. Pilih kotak centang Jangan minta pengguna untuk mengotorisasi server baru atau otoritas sertifikasi tepercaya .

i. Klik OK untuk menutup Kartu Pintar atau kotak dialog Properti Sertifikat lainnya.

j. Klik OK untuk menutup kotak dialog Properti EAP Terproteksi.
Klik OK untuk menutup kotak dialog Properti Templat.
Tutup jendela Koneksi Jaringan.
Di Pengaturan, uji VPN dengan mengklik Templat, dan mengklik Koneksi.

Penting

Pastikan koneksi VPN templat ke server VPN Anda berhasil. Melakukannya memastikan bahwa pengaturan EAP sudah benar sebelum Anda menggunakannya dalam contoh berikutnya. Anda harus tersambung setidaknya sekali sebelum melanjutkan; jika tidak, profil tidak akan berisi semua informasi yang diperlukan untuk terhubung ke VPN.

Membuat file konfigurasi ProfileXML

Sebelum menyelesaikan bagian ini, pastikan Anda telah membuat dan menguji koneksi VPN templat yang dijelaskan bagian Membuat profil koneksi templat secara manual . Menguji koneksi VPN diperlukan untuk memastikan bahwa profil berisi semua informasi yang diperlukan untuk terhubung ke VPN.

Skrip Windows PowerShell di Daftar 1 membuat dua file di desktop, yang keduanya berisi tag EAPConfiguration berdasarkan profil koneksi templat yang Anda buat sebelumnya:

VPN_Profile.xml. File ini berisi markup XML yang diperlukan untuk mengonfigurasi node ProfileXML di VPNv2 CSP. Gunakan file ini dengan layanan MDM yang kompatibel dengan OMA-DM, seperti Intune.
VPN_Profile.ps1. File ini adalah skrip Windows PowerShell yang dapat Anda jalankan di komputer klien untuk mengonfigurasi simpul ProfileXML di CSP VPNv2. Anda juga dapat mengonfigurasi CSP dengan menyebarkan skrip ini melalui Configuration Manager. Anda tidak dapat menjalankan skrip ini dalam sesi Desktop Jauh, termasuk sesi Hyper-V yang disempurnakan.

Penting

Contoh perintah di bawah ini memerlukan Windows 10 Build 1607 atau yang lebih baru.

Membuat VPN_Profile.xml dan VPN_Profile.ps1

Masuk ke komputer klien yang bergabung dengan domain yang berisi profil VPN templat dengan akun pengguna yang sama dengan bagian Membuat profil koneksi templat secara manual yang dijelaskan.
Tempelkan Daftar 1 ke Windows PowerShell lingkungan skrip terintegrasi (ISE), dan sesuaikan parameter yang dijelaskan dalam komentar. Ini adalah $Template, $ProfileName, $Servers, $DnsSuffix, $DomainName, $TrustedNetwork, dan $DNSServers. Deskripsi lengkap dari setiap pengaturan ada di komentar.
Jalankan skrip untuk menghasilkan VPN_Profile.xml dan VPN_Profile.ps1 di desktop.

Daftar 1. Memahami MakeProfile.ps1

Bagian ini menjelaskan contoh kode yang dapat Anda gunakan untuk mendapatkan pemahaman tentang cara membuat Profil VPN, khususnya untuk mengonfigurasi ProfileXML di CSP VPNv2.

Setelah Anda merakit skrip dari kode contoh ini dan menjalankan skrip, skrip menghasilkan dua file: VPN_Profile.xml dan VPN_Profile.ps1. Gunakan VPN_Profile.xml untuk mengonfigurasi ProfileXML di layanan MDM yang mematuhi OMA-DM, seperti Microsoft Intune.

Gunakan skrip VPN_Profile.ps1 di Windows PowerShell atau Microsoft Endpoint Configuration Manager untuk mengonfigurasi ProfileXML di desktop Windows 10.

Catatan

Untuk melihat contoh lengkap skrip, lihat bagian MakeProfile.ps1 Skrip Lengkap.

Parameter

Konfigurasikan parameter berikut:

$Template. Nama templat untuk mengambil konfigurasi EAP.

$ProfileName. Pengidentifikasi alfanumerik unik untuk profil. Nama profil tidak boleh menyertakan garis miring (/). Jika nama profil memiliki spasi atau karakter non-alfanumerik lainnya, nama profil harus diloloskan dengan benar sesuai dengan standar pengodean URL.

$Servers. Alamat IP publik atau yang dapat dirutekan atau nama DNS untuk gateway VPN. Ini dapat menunjuk ke IP eksternal gateway atau IP virtual untuk farm server. Contohnya, 208.147.66.130 atau vpn.contoso.com.

$DnsSuffix. Menentukan satu atau beberapa akhiran DNS yang dipisahkan koma. Yang pertama dalam daftar juga digunakan sebagai akhiran DNS khusus koneksi utama untuk Antarmuka VPN. Seluruh daftar juga akan ditambahkan ke dalam SuffixSearchList.

$DomainName. Digunakan untuk menunjukkan namespace layanan tempat kebijakan diterapkan. Saat kueri Nama dikeluarkan, klien DNS membandingkan nama dalam kueri dengan semua namespace di bawah DomainNameInformationList untuk menemukan kecocokan. Parameter ini bisa menjadi salah satu jenis berikut:

FQDN - Nama domain yang sepenuhnya memenuhi syarat
Akhiran - Akhiran domain yang akan ditambahkan ke kueri nama pendek untuk resolusi DNS. Untuk menentukan akhiran, tambahkan titik (.) ke akhiran DNS.

$DNSServers. Daftar alamat IP Server DNS yang dipisahkan koma yang akan digunakan untuk namespace.

$TrustedNetwork. String yang dipisahkan koma untuk mengidentifikasi jaringan tepercaya. VPN tidak terhubung secara otomatis ketika pengguna berada di jaringan nirkabel perusahaan mereka di mana sumber daya yang dilindungi dapat diakses langsung oleh perangkat.

Berikut ini adalah contoh nilai untuk parameter yang digunakan dalam perintah di bawah ini. Pastikan Anda mengubah nilai-nilai ini untuk lingkungan Anda.

$TemplateName = 'Template'
$ProfileName = 'Contoso%20AlwaysOn%20VPN'
$Servers = 'vpn.contoso.com'
$DnsSuffix = 'corp.contoso.com'
$DomainName = '.corp.contoso.com'
$DNSServers = '10.10.0.2,10.10.0.3'
$TrustedNetwork = 'corp.contoso.com'

Menyiapkan dan membuat XML profil

Contoh perintah berikut mendapatkan pengaturan EAP dari profil templat:

$Connection = Get-VpnConnection -Name $TemplateName
if(!$Connection)
{
$Message = "Unable to get $TemplateName connection profile: $_"
Write-Host "$Message"
exit
}
$EAPSettings= $Connection.EapConfigXmlStream.InnerXml

Membuat XML profil

Penting

Kombinasi lain dari huruf besar atau kecil untuk 'true' dalam tag berikut menghasilkan konfigurasi parsial profil VPN:

<AlwaysOntrue<>/AlwaysOn>
<RememberCredentialstrue></RememberCredentials>

$ProfileXML = @("
<VPNProfile>
  <DnsSuffix>$DnsSuffix</DnsSuffix>
  <NativeProfile>
<Servers>$Servers</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
  <UserMethod>Eap</UserMethod>
  <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
  </Eap>
</Authentication>
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
  </NativeProfile>
  <AlwaysOn>true</AlwaysOn>
  <RememberCredentials>true</RememberCredentials>
  <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
  <DomainNameInformation>
<DomainName>$DomainName</DomainName>
<DnsServers>$DNSServers</DnsServers>
</DomainNameInformation>
</VPNProfile>
")

VPN_Profile.xml output untuk Intune

Anda bisa menggunakan perintah contoh berikut untuk menyimpan file XML profil:

$ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')

Output VPN_Profile.ps1 untuk desktop dan Configuration Manager

Contoh kode berikut mengonfigurasi Koneksi VPN AlwaysOn IKEv2 dengan menggunakan simpul ProfileXML di CSP VPNv2.

Anda dapat menggunakan skrip ini di desktop Windows 10 atau di Configuration Manager.

Menentukan parameter profil VPN utama

$Script = '$ProfileName = ''' + $ProfileName + ''''
$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

Karakter khusus escape di profil

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

Menentukan properti Jembatan WMI-ke-CSP

$nodeCSPURI = "./Vendor/MSFT/VPNv2"
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

Tentukan SID pengguna untuk profil VPN:

try
{
$username = Gwmi -Class Win32_ComputerSystem | select username
$objuser = New-Object System.Security.Principal.NTAccount($username.username)
$sid = $objuser.Translate([System.Security.Principal.SecurityIdentifier])
$SidValue = $sid.Value
$Message = "User SID is $SidValue."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to get user SID. User may be logged on over Remote Desktop: $_"
Write-Host "$Message"
exit
}

Tentukan sesi WMI:

$session = New-CimSession
$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Type", "PolicyPlatform_UserContext", $false)
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Id", "$SidValue", $false)

Mendeteksi dan menghapus profil VPN sebelumnya:

try
{
  $deleteInstances = $session.EnumerateInstances($namespaceName, $className, $options)
  foreach ($deleteInstance in $deleteInstances)
  {
    $InstanceId = $deleteInstance.InstanceID
    if ("$InstanceId" -eq "$ProfileNameEscaped")
    {
        $session.DeleteInstance($namespaceName, $deleteInstance, $options)
        $Message = "Removed $ProfileName profile $InstanceId"
        Write-Host "$Message"
    } else {
        $Message = "Ignoring existing VPN profile $InstanceId"
        Write-Host "$Message"
    }
  }
}
catch [Exception]
{
  $Message = "Unable to remove existing outdated instance(s) of $ProfileName profile: $_"
  Write-Host "$Message"
  exit
}

Buat profil VPN:

try
{
  $newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", "String", "Property")
  $newInstance.CimInstanceProperties.Add($property)
  $session.CreateInstance($namespaceName, $newInstance, $options)
  $Message = "Created $ProfileName profile."


  Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}

$Message = "Script Complete"
Write-Host "$Message"

Simpan file XML profil

$Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')

$Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
Write-Host "$Message"

Skrip Lengkap MakeProfile.ps1

Sebagian besar contoh menggunakan cmdlet Set-WmiInstance Windows PowerShell untuk menyisipkan ProfileXML ke dalam instans baru kelas MDM_VPNv2_01 WMI.

Namun, ini tidak berfungsi di Configuration Manager karena Anda tidak dapat menjalankan paket dalam konteks pengguna akhir. Oleh karena itu, skrip ini menggunakan Model Informasi Umum untuk membuat sesi WMI dalam konteks pengguna, dan kemudian membuat instans baru dari kelas MDM_VPNv2_01 WMI dalam sesi tersebut. Kelas WMI ini menggunakan jembatan WMI-to-CSP untuk mengonfigurasi CSP VPNv2. Oleh karena itu, dengan menambahkan instans kelas, Anda mengonfigurasi CSP.

Penting

Jembatan WMI-ke-CSP memerlukan hak admin lokal, berdasarkan desain. Untuk menyebarkan profil VPN per pengguna, Anda harus menggunakan Configuration Manager atau MDM.

Catatan

Skrip VPN_Profile.ps1 menggunakan SID pengguna saat ini untuk mengidentifikasi konteks pengguna. Karena tidak ada SID yang tersedia dalam sesi Desktop Jauh, skrip tidak berfungsi dalam sesi Desktop Jauh. Demikian juga, itu tidak berfungsi dalam sesi Hyper-V yang ditingkatkan. Jika Anda menguji VPN Always On Akses Jarak Jauh di komputer virtual, nonaktifkan sesi yang disempurnakan pada VM klien Anda sebelum menjalankan skrip ini.

Contoh skrip berikut mencakup semua contoh kode dari bagian sebelumnya. Pastikan Anda mengubah nilai contoh menjadi nilai yang sesuai untuk lingkungan Anda.

 $TemplateName = 'Template'
 $ProfileName = 'Contoso AlwaysOn VPN'
 $Servers = 'vpn.contoso.com'
 $DnsSuffix = 'corp.contoso.com'
 $DomainName = '.corp.contoso.com'
 $DNSServers = '10.10.0.2,10.10.0.3'
 $TrustedNetwork = 'corp.contoso.com'


 $Connection = Get-VpnConnection -Name $TemplateName
 if(!$Connection)
 {
 $Message = "Unable to get $TemplateName connection profile: $_"
 Write-Host "$Message"
 exit
 }
 $EAPSettings= $Connection.EapConfigXmlStream.InnerXml

 $ProfileXML = @("
 <VPNProfile>
   <DnsSuffix>$DnsSuffix</DnsSuffix>
   <NativeProfile>
 <Servers>$Servers</Servers>
 <NativeProtocolType>IKEv2</NativeProtocolType>
 <Authentication>
   <UserMethod>Eap</UserMethod>
   <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
   </Eap>
 </Authentication>
 <RoutingPolicyType>SplitTunnel</RoutingPolicyType>
   </NativeProfile>
 <AlwaysOn>true</AlwaysOn>
 <RememberCredentials>true</RememberCredentials>
 <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
   <DomainNameInformation>
 <DomainName>$DomainName</DomainName>
 <DnsServers>$DNSServers</DnsServers>
 </DomainNameInformation>
 </VPNProfile>
 ")

 $ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')

  $Script = @("
   `$ProfileName = '$ProfileName'
   `$ProfileNameEscaped = `$ProfileName -replace ' ', '%20'

   `$ProfileXML = '$ProfileXML'

   `$ProfileXML = `$ProfileXML -replace '<', '&lt;'
   `$ProfileXML = `$ProfileXML -replace '>', '&gt;'
   `$ProfileXML = `$ProfileXML -replace '`"', '&quot;'

   `$nodeCSPURI = `"./Vendor/MSFT/VPNv2`"
   `$namespaceName = `"root\cimv2\mdm\dmmap`"
   `$className = `"MDM_VPNv2_01`"

   try
   {
   `$username = Gwmi -Class Win32_ComputerSystem | select username
   `$objuser = New-Object System.Security.Principal.NTAccount(`$username.username)
   `$sid = `$objuser.Translate([System.Security.Principal.SecurityIdentifier])
   `$SidValue = `$sid.Value
   `$Message = `"User SID is `$SidValue.`"
   Write-Host `"`$Message`"
   }
   catch [Exception]
   {
   `$Message = `"Unable to get user SID. User may be logged on over Remote Desktop: `$_`"
   Write-Host `"`$Message`"
   exit
   }

   `$session = New-CimSession
   `$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Type`", `"PolicyPlatform_UserContext`", `$false)
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Id`", `"`$SidValue`", `$false)

   try
   {
  `$deleteInstances = `$session.EnumerateInstances(`$namespaceName, `$className, `$options)
  foreach (`$deleteInstance in `$deleteInstances)
  {
      `$InstanceId = `$deleteInstance.InstanceID
      if (`"`$InstanceId`" -eq `"`$ProfileNameEscaped`")
      {
          `$session.DeleteInstance(`$namespaceName, `$deleteInstance, `$options)
          `$Message = `"Removed `$ProfileName profile `$InstanceId`"
          Write-Host `"`$Message`"
      } else {
          `$Message = `"Ignoring existing VPN profile `$InstanceId`"
          Write-Host `"`$Message`"
      }
  }
   }
   catch [Exception]
   {
  `$Message = `"Unable to remove existing outdated instance(s) of `$ProfileName profile: `$_`"
  Write-Host `"`$Message`"
  exit
   }

   try
   {
  `$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance `$className, `$namespaceName
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ParentID`", `"`$nodeCSPURI`", `"String`", `"Key`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"InstanceID`", `"`$ProfileNameEscaped`", `"String`",      `"Key`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ProfileXML`", `"`$ProfileXML`", `"String`", `"Property`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$session.CreateInstance(`$namespaceName, `$newInstance, `$options)
  `$Message = `"Created `$ProfileName profile.`"

  Write-Host `"`$Message`"
   }
   catch [Exception]
   {
  `$Message = `"Unable to create `$ProfileName profile: `$_`"
  Write-Host `"`$Message`"
  exit
   }

   `$Message = `"Script Complete`"
   Write-Host `"`$Message`"
   ")

   $Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')

 $Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
 Write-Host "$Message"

Mengonfigurasi klien VPN dengan menggunakan Windows PowerShell

Untuk mengonfigurasi CSP VPNv2 pada komputer klien Windows 10, jalankan skrip VPN_Profile.ps1 Windows PowerShell yang Anda buat di bagian Buat XML profil. Buka Windows PowerShell sebagai Administrator; jika tidak, Anda akan menerima kesalahan yang mengatakan, Akses ditolak.

Setelah menjalankan VPN_Profile.ps1 untuk mengonfigurasi profil VPN, Anda dapat memverifikasi kapan saja bahwa profil tersebut berhasil dengan menjalankan perintah berikut di Windows PowerShell ISE:

Get-WmiObject -Namespace root\cimv2\mdm\dmmap -Class MDM_VPNv2_01

Hasil yang berhasil dari cmdlet Get-WmiObject

__GENUS : 2
__CLASS : MDM_VPNv2_01
__SUPERCLASS:
__DYNASTY   : MDM_VPNv2_01
__RELPATH   : MDM_VPNv2_01.InstanceID="Contoso%20AlwaysOn%20VPN",ParentID
  ="./Vendor/MSFT/VPNv2"
__PROPERTY_COUNT: 10
__DERIVATION: {}
__SERVER: WIN01
__NAMESPACE : root\cimv2\mdm\dmmap
__PATH  : \\WIN01\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="Conto
  so%20AlwaysOn%20VPN",ParentID="./Vendor/MSFT/VPNv2"
AlwaysOn: True
ByPassForLocal  :
DnsSuffix   : corp.contoso.com
EdpModeId   :
InstanceID  : Contoso%20AlwaysOn%20VPN
LockDown:
ParentID: ./Vendor/MSFT/VPNv2
ProfileXML  : <VPNProfile><RememberCredentials>true</RememberCredentials>
  <AlwaysOn>true</AlwaysOn><DnsSuffix>corp.contoso.com</DnsSu
  ffix><TrustedNetworkDetection>corp.contoso.com</TrustedNetw
  orkDetection><NativeProfile><Servers>vpn.contoso.com;vpn.co
  ntoso.com</Servers><RoutingPolicyType>SplitTunnel</RoutingP
  olicyType><NativeProtocolType>Ikev2</NativeProtocolType><Au
  thentication><UserMethod>Eap</UserMethod><MachineMethod>Eap
  </MachineMethod><Eap><Configuration><EapHostConfig xmlns="h
  ttp://www.microsoft.com/provisioning/EapHostConfig"><EapMet
  hod><Type xmlns="https://www.microsoft.com/provisioning/EapC
  ommon">25</Type><VendorId xmlns="https://www.microsoft.com/p
  rovisioning/EapCommon">0</VendorId><VendorType xmlns="http:
  //www.microsoft.com/provisioning/EapCommon">0</VendorType><
  AuthorId xmlns="https://www.microsoft.com/provisioning/EapCo
  mmon">0</AuthorId></EapMethod><Config xmlns="https://www.mic
  rosoft.com/provisioning/EapHostConfig"><Eap xmlns="https://w
  ww.microsoft.com/provisioning/BaseEapConnectionPropertiesV1
  "><Type>25</Type><EapType xmlns="https://www.microsoft.com/p
  rovisioning/MsPeapConnectionPropertiesV1"><ServerValidation
  ><DisableUserPromptForServerValidation>true</DisableUserPro
  mptForServerValidation><ServerNames>NPS</ServerNames><Trust
  edRootCA>3f 07 88 e8 ac 00 32 e4 06 3f 30 f8 db 74 25 e1
  2e 5b 84 d1 </TrustedRootCA></ServerValidation><FastReconne
  ct>true</FastReconnect><InnerEapOptional>false</InnerEapOpt
  ional><Eap xmlns="https://www.microsoft.com/provisioning/Bas
  eEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="
  https://www.microsoft.com/provisioning/EapTlsConnectionPrope
  rtiesV1"><CredentialsSource><CertificateStore><SimpleCertSe
  lection>true</SimpleCertSelection></CertificateStore></Cred
  entialsSource><ServerValidation><DisableUserPromptForServer
  Validation>true</DisableUserPromptForServerValidation><Serv
  erNames>NPS</ServerNames><TrustedRootCA>3f 07 88 e8 ac 00
  32 e4 06 3f 30 f8 db 74 25 e1 2e 5b 84 d1 </TrustedRootCA><
  /ServerValidation><DifferentUsername>false</DifferentUserna
  me><PerformServerValidation xmlns="https://www.microsoft.com
  /provisioning/EapTlsConnectionPropertiesV2">true</PerformSe
  rverValidation><AcceptServerName xmlns="https://www.microsof
  t.com/provisioning/EapTlsConnectionPropertiesV2">true</Acce
  ptServerName></EapType></Eap><EnableQuarantineChecks>false<
  /EnableQuarantineChecks><RequireCryptoBinding>false</Requir
  eCryptoBinding><PeapExtensions><PerformServerValidation xml
  ns="https://www.microsoft.com/provisioning/MsPeapConnectionP
  ropertiesV2">true</PerformServerValidation><AcceptServerNam
  e xmlns="https://www.microsoft.com/provisioning/MsPeapConnec
  tionPropertiesV2">true</AcceptServerName></PeapExtensions><
  /EapType></Eap></Config></EapHostConfig></Configuration></E
  ap></Authentication></NativeProfile><DomainNameInformation>
  <DomainName>corp.contoso.com</DomainName><DnsServers>10.10.
      0.2,10.10.0.3</DnsServers><AutoTrigger>true</AutoTrigger></
  DomainNameInformation></VPNProfile>
RememberCredentials : True
TrustedNetworkDetection : corp.contoso.com
PSComputerName  : WIN01

Konfigurasi ProfileXML harus benar dalam struktur, ejaan, konfigurasi, dan terkadang huruf besar/kecil. Jika Anda melihat sesuatu yang berbeda dalam struktur ke Daftar 1, markup ProfileXML kemungkinan berisi kesalahan.

Jika Anda perlu memecahkan masalah markup, lebih mudah untuk memasukkannya ke editor XML daripada memecahkan masalahnya di Windows PowerShell ISE. Dalam kedua kasus, mulailah dengan versi profil yang paling sederhana, dan tambahkan komponen kembali satu per satu sampai masalah terjadi lagi.

Mengonfigurasi klien VPN dengan menggunakan Configuration Manager

Dalam Configuration Manager, Anda dapat menyebarkan profil VPN dengan menggunakan simpul ProfileXML CSP, seperti yang Anda lakukan di Windows PowerShell. Di sini, Anda menggunakan skrip VPN_Profile.ps1 Windows PowerShell yang Anda buat di bagian Membuat file konfigurasi ProfileXML.

Untuk menggunakan Configuration Manager menyebarkan profil VPN AlwaysOn Akses Jarak Jauh ke komputer klien Windows 10, Anda harus mulai dengan membuat sekelompok komputer atau pengguna yang Anda sebarkan profilnya. Dalam skenario ini, buat grup pengguna untuk menyebarkan skrip konfigurasi.

Membuat grup pengguna

Di konsol Configuration Manager, buka Aset dan Kepatuhan\Koleksi Pengguna.
Pada pita Beranda , di grup Buat , klik Buat Koleksi Pengguna.
Pada halaman Umum, selesaikan langkah-langkah berikut ini:

a. Di Nama, ketik Pengguna VPN.

b. Klik Telusuri, klik Semua Pengguna dan klik OK.

c. Klik Berikutnya.
Pada halaman Aturan Keanggotaan, selesaikan langkah-langkah berikut ini:

a. Di Aturan keanggotaan, klik Tambahkan Aturan, dan klik Aturan Langsung. Dalam contoh ini, Anda menambahkan pengguna individual ke koleksi pengguna. Namun, Anda mungkin menggunakan aturan kueri untuk menambahkan pengguna ke koleksi ini secara dinamis untuk penyebaran skala yang lebih besar.

b. Pada halaman Selamat Datang, klik Berikutnya.

c. Pada halaman Cari Sumber Daya, di Nilai, ketik nama pengguna yang ingin Anda tambahkan. Nama sumber daya menyertakan domain pengguna. Untuk menyertakan hasil berdasarkan kecocokan % parsial, sisipkan karakter di salah satu akhir kriteria pencarian Anda. Misalnya, untuk menemukan semua pengguna yang berisi string "lori," ketik %lori%. Klik Selanjutnya.

d. Pada halaman Pilih Sumber Daya, pilih pengguna yang ingin Anda tambahkan ke grup, dan klik Berikutnya.

e. Pada halaman Ringkasan, klik Berikutnya.

f. Pada halaman Penyelesaian, klik Tutup.
Kembali ke halaman Aturan Keanggotaan wizard Buat Koleksi Pengguna, klik Berikutnya.
Pada halaman Ringkasan, klik Berikutnya.
Pada halaman Penyelesaian, klik Tutup.

Setelah membuat grup pengguna untuk menerima profil VPN, Anda dapat membuat paket dan program untuk menyebarkan skrip konfigurasi Windows PowerShell yang Anda buat di bagian Membuat file konfigurasi ProfileXML.

Membuat paket yang berisi skrip konfigurasi ProfileXML

Host skrip VPN_Profile.ps1 pada berbagi jaringan yang dapat diakses oleh akun komputer server situs.
Di konsol Configuration Manager, buka Pustaka Perangkat Lunak\Manajemen Aplikasi\Paket.
Pada pita Beranda , di grup Buat , klik Buat Paket untuk memulai Panduan Buat Paket dan Program.
Pada halaman Paket, selesaikan langkah-langkah berikut ini:

a. Di Nama, ketik Windows 10 Profil VPN AlwaysOn.

b. Pilih kotak centang Paket ini berisi file sumber , dan klik Telusuri.

c. Dalam kotak dialog Atur Folder Sumber, klik Telusuri, pilih berbagi file yang berisi VPN_Profile.ps1, dan klik OK. Pastikan Anda memilih jalur jaringan, bukan jalur lokal. Dengan kata lain, jalurnya harus seperti \fileserver\vpnscript, bukan c:\vpnscript.
Klik Selanjutnya.
Pada halaman Tipe Program, klik Berikutnya.
Pada halaman Program Standar, selesaikan langkah-langkah berikut ini:

a. Di Nama, ketik Skrip Profil VPN.

b. Di Baris perintah, ketik PowerShell.exe -ExecutionPolicy Bypass -File "VPN_Profile.ps1".

c. Dalam mode Jalankan, klik Jalankan dengan hak administratif.

d. Klik Selanjutnya.
Pada halaman Persyaratan, selesaikan langkah-langkah berikut ini:

a. Pilih Program ini hanya dapat berjalan pada platform yang ditentukan.

b. Pilih kotak centang Semua Windows 10 (32-bit) dan Semua Windows 10 (64-bit).

c. Di Perkiraan ruang disk, ketik 1.

d. Di Waktu proses maksimum yang diizinkan (menit), ketik 15.

e. Klik Berikutnya.
Pada halaman Ringkasan, klik Berikutnya.
Pada halaman Penyelesaian, klik Tutup.

Dengan paket dan program yang dibuat, Anda perlu menyebarkannya ke grup Pengguna VPN .

Menyebarkan skrip konfigurasi ProfileXML

Di konsol Configuration Manager, buka Pustaka Perangkat Lunak\Manajemen Aplikasi\Paket.
Di Paket, klik Windows 10 Profil VPN AlwaysOn.
Pada tab Program , di bagian bawah panel detail, klik kanan Skrip Profil VPN, klik Properti, dan selesaikan langkah-langkah berikut ini:

a. Pada tab Tingkat Lanjut , di Saat program ini ditetapkan ke komputer, klik Sekali untuk setiap pengguna yang masuk.

b. Klik OK.
Klik kanan Skrip Profil VPN dan klik Sebarkan untuk memulai Wizard Sebarkan Perangkat Lunak.
Pada halaman Umum, selesaikan langkah-langkah berikut ini:

a. Selain Koleksi, klik Telusuri.

b. Di daftar Tipe Koleksi (kiri atas), klik Koleksi Pengguna.

c. Klik Pengguna VPN, dan klik OK.

d. Klik Selanjutnya.
Pada halaman Konten, selesaikan langkah-langkah berikut ini:

a. Klik Tambahkan, dan klik Titik Distribusi.

b. Di Titik distribusi yang tersedia, pilih titik distribusi tempat Anda ingin mendistribusikan skrip konfigurasi ProfileXML, dan klik OK.

c. Klik Berikutnya.
Pada halaman Pengaturan penyebaran, klik Berikutnya.
Pada halaman Penjadwalan, selesaikan langkah-langkah berikut ini:

a. Klik Baru untuk membuka kotak dialog Jadwal Penugasan.

b. Klik Tetapkan segera setelah peristiwa ini, dan klik OK.

c. Klik Berikutnya.
Pada halaman Pengalaman Pengguna, selesaikan langkah-langkah berikut ini:
1. Pilih kotak centang Penginstalan Perangkat Lunak .
2. Klik Ringkasan.
Pada halaman Ringkasan, klik Berikutnya.
Pada halaman Penyelesaian, klik Tutup.

Dengan skrip konfigurasi ProfileXML yang disebarkan, masuk ke komputer klien Windows 10 dengan akun pengguna yang Anda pilih saat membuat koleksi pengguna. Verifikasi konfigurasi klien VPN.

Catatan

Skrip VPN_Profile.ps1 tidak berfungsi dalam sesi Desktop Jauh. Demikian juga, itu tidak berfungsi dalam sesi hyper-V yang ditingkatkan. Jika Anda menguji VPN AlwaysOn Akses Jarak Jauh di komputer virtual, nonaktifkan sesi yang ditingkatkan pada VM klien Anda sebelum melanjutkan.

Memverifikasi konfigurasi klien VPN

Di Panel Kontrol, di bawah Sistem\Keamanan, klik Configuration Manager.
Dalam dialog properti Configuration Manager, pada tab Tindakan, selesaikan langkah-langkah berikut ini:

a. Klik Siklus Evaluasi Pengambilan Kebijakan & Mesin, klik Jalankan Sekarang, dan klik OK.

b. Klik Siklus Evaluasi Pengambilan Kebijakan & Pengguna, klik Jalankan Sekarang, dan klik OK.

c. Klik OK.
Tutup Panel Kontrol.

Anda akan segera melihat profil VPN baru.

Mengonfigurasi klien VPN dengan menggunakan Intune

Untuk menggunakan Intune untuk menyebarkan profil VPN AlwaysOn Akses Jarak Jauh Windows 10, Anda dapat mengonfigurasi simpul ProfileXML CSP dengan menggunakan profil VPN yang Anda buat di bagian Membuat file konfigurasi ProfileXML, atau Anda dapat menggunakan sampel XML EAP dasar yang disediakan di bawah ini.

Catatan

Intune sekarang menggunakan grup Azure AD. Jika Azure AD Koneksi menyinkronkan grup Pengguna VPN dari lokal ke Azure AD, dan pengguna ditetapkan ke grup Pengguna VPN, Anda siap untuk melanjutkan.

Buat kebijakan konfigurasi perangkat VPN untuk mengonfigurasi komputer klien Windows 10 untuk semua pengguna yang ditambahkan ke grup. Karena templat Intune menyediakan parameter VPN, hanya salin <bagian EapHostConfig></EapHostConfig> dari file VPN_ProfileXML.

Membuat kebijakan konfigurasi VPN AlwaysOn

Masuk ke portal Microsoft Azure.
Buka Intune>Konfigurasi>LayananProfiles.
Klik Buat Profil untuk memulai Wizard Buat profil.
Masukkan Nama untuk profil VPN dan (opsional) deskripsi.
Di bawah Platform, pilih Windows 10 atau yang lebih baru, dan pilih VPN dari menu drop-down Jenis profil.

Tip

Jika Anda membuat profil VPN kustomXML, lihat Menerapkan ProfileXML menggunakan Intune untuk instruksinya.
Di bawah tab VPN Dasar , verifikasi atau atur pengaturan berikut:
- Nama koneksi: Masukkan nama koneksi VPN seperti yang muncul di komputer klien di tab VPN di bawah Pengaturan, misalnya, Contoso AutoVPN.
- Server: Tambahkan satu atau beberapa server VPN dengan mengklik Tambahkan.
- Deskripsi dan Alamat IP atau FQDN: Masukkan deskripsi dan Alamat IP atau FQDN server VPN. Nilai-nilai ini harus selaras dengan Nama Subjek dalam sertifikat autentikasi server VPN.
- Server default: Jika ini adalah server VPN default, atur ke True. Melakukan ini memungkinkan server ini sebagai server default yang digunakan perangkat untuk membuat koneksi.
- Jenis koneksi: Atur ke IKEv2.
- Selalu Aktif: Atur ke Aktifkan untuk menyambungkan ke VPN secara otomatis saat masuk dan tetap tersambung hingga pengguna terputus secara manual.
- Ingat kredensial di setiap masuk: Nilai Boolean (benar atau salah) untuk kredensial penembolokan. Jika diatur ke true, kredensial akan di-cache jika memungkinkan.

Salin string XML berikut ke editor teks:

Penting

Kombinasi lain dari huruf besar atau kecil untuk 'true' dalam tag berikut menghasilkan konfigurasi parsial profil VPN:

<AlwaysOntrue<>/AlwaysOn>
<RememberCredentialstrue></RememberCredentials>

<EapHostConfig xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

<Ganti TrustedRootCA5a> 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 menjadi 4b</TrustedRootCA> dalam sampel dengan thumbprint sertifikat otoritas sertifikat akar lokal Anda di kedua tempat.

Penting

Jangan gunakan thumbprint sampel di bagian <TrustedRootCA></TrustedRootCA> di bawah ini. TrustedRootCA harus menjadi thumbprint sertifikat dari otoritas sertifikat akar lokal yang mengeluarkan sertifikat autentikasi server untuk server RRAS dan NPS. Ini tidak boleh menjadi sertifikat akar cloud, atau thumbprint sertifikat CA penerbitan menengah.
<Ganti ServerNames> NPS.contoso.com</ServerNames> dalam sampel XML dengan FQDN NPS yang bergabung dengan domain tempat autentikasi berlangsung.
Salin string XML yang direvisi dan tempelkan ke dalam kotak Xml EAP di bawah tab VPN Dasar dan klik OK. Kebijakan Konfigurasi Perangkat VPN AlwaysOn menggunakan EAP dibuat di Intune.

Menyinkronkan kebijakan konfigurasi VPN AlwaysOn dengan Intune

Untuk menguji kebijakan konfigurasi, masuk ke komputer klien Windows 10 sebagai pengguna yang Anda tambahkan ke grup Pengguna VPN AlwaysOn, lalu sinkronkan dengan Intune.

Pada menu Mulai, klik Pengaturan.
Di Pengaturan, klik Akun, dan klik Akses kantor atau sekolah.
Klik profil MDM, dan klik Info.
Klik Sinkronkan untuk memaksa evaluasi dan pengambilan kebijakan Intune.
Tutup Pengaturan. Setelah sinkronisasi, Anda akan melihat profil VPN yang tersedia di komputer.

Langkah berikutnya

Anda selesai menyebarkan Always On VPN. Untuk fitur lain yang dapat Anda konfigurasi, lihat tabel di bawah ini:

Jika Anda ingin...	Kemudian lihat...
Mengonfigurasi Akses Bersyar untuk VPN	Langkah 7. (Opsional) Mengonfigurasi akses bersyar untuk konektivitas VPN menggunakan Azure AD: Dalam langkah ini, Anda dapat menyempurnakan cara pengguna VPN resmi mengakses sumber daya Anda menggunakan akses bersyar Azure Active Directory (Azure AD). Dengan Azure AD akses bersyar untuk konektivitas jaringan privat maya (VPN), Anda dapat membantu melindungi koneksi VPN. Akses Bersyar adalah mesin evaluasi berbasis kebijakan yang memungkinkan Anda membuat aturan akses untuk aplikasi Azure Active Directory (Azure AD) yang terhubung.
Pelajari selengkapnya tentang fitur VPN tingkat lanjut	Fitur VPN Tingkat Lanjut: Halaman ini menyediakan panduan tentang cara mengaktifkan Filter Lalu Lintas VPN, cara mengonfigurasi koneksi VPN Otomatis menggunakan Pemicu Aplikasi, dan cara mengonfigurasi NPS untuk hanya mengizinkan Koneksi VPN dari klien menggunakan sertifikat yang dikeluarkan oleh Azure AD.

Jika Anda ingin...

Kemudian lihat...

Mengonfigurasi Akses Bersyar untuk VPN

Langkah 7. (Opsional) Mengonfigurasi akses bersyar untuk konektivitas VPN menggunakan Azure AD: Dalam langkah ini, Anda dapat menyempurnakan cara pengguna VPN resmi mengakses sumber daya Anda menggunakan akses bersyar Azure Active Directory (Azure AD). Dengan Azure AD akses bersyar untuk konektivitas jaringan privat maya (VPN), Anda dapat membantu melindungi koneksi VPN. Akses Bersyar adalah mesin evaluasi berbasis kebijakan yang memungkinkan Anda membuat aturan akses untuk aplikasi Azure Active Directory (Azure AD) yang terhubung.

Pelajari selengkapnya tentang fitur VPN tingkat lanjut

Fitur VPN Tingkat Lanjut: Halaman ini menyediakan panduan tentang cara mengaktifkan Filter Lalu Lintas VPN, cara mengonfigurasi koneksi VPN Otomatis menggunakan Pemicu Aplikasi, dan cara mengonfigurasi NPS untuk hanya mengizinkan Koneksi VPN dari klien menggunakan sertifikat yang dikeluarkan oleh Azure AD.