Konfigurowanie połączenia typu punkt-lokacja przy użyciu uwierzytelniania certyfikatu (wersja klasyczna)Configure a Point-to-Site connection by using certificate authentication (classic)

Uwaga

Ten artykuł dotyczy klasycznego modelu wdrażania.This article is written for the classic deployment model. Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji oraz większą zgodność funkcji niż klasyczny model wdrażania.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania).For more information about the deployment models, see Understanding deployment models.

W przypadku wersji Menedżer zasobów tego artykułu wybierz ją z listy rozwijanej lub z spisu treści po lewej stronie.For the Resource Manager version of this article, select it from the drop-down list, or from the table of contents on the left.

W tym artykule pokazano, jak utworzyć sieć wirtualną z połączeniem typu punkt-lokacja.This article shows you how to create a VNet with a Point-to-Site connection. Tę sieć wirtualną można utworzyć za pomocą klasycznego modelu wdrażania przy użyciu Azure Portal.You create this VNet with the classic deployment model by using the Azure portal. Ta konfiguracja korzysta z certyfikatów z podpisem własnym lub wystawionych przez urząd certyfikacji do uwierzytelniania klienta nawiązującego połączenie.This configuration uses certificates to authenticate the connecting client, either self-signed or CA issued. Tę konfigurację możesz również utworzyć przy użyciu innego narzędzia lub modelu wdrażania, korzystając z opcji opisanych w następujących artykułach:You can also create this configuration with a different deployment tool or model by using options that are described in the following articles:

Będziemy używać bramy sieci VPN typu punkt-lokacja (P2S, Point-to-Site), która pozwala utworzyć bezpieczne połączenie z siecią wirtualną z poziomu komputera klienckiego.You use a Point-to-Site (P2S) VPN gateway to create a secure connection to your virtual network from an individual client computer. Połączenia sieci VPN typu punkt-lokacja przydają się, gdy użytkownik chce połączyć się z siecią wirtualną z lokalizacji zdalnej.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location. Połączenie sieci VPN typu punkt-lokacja jest lepszym rozwiązaniem niż połączenie sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną.When you have only a few clients that need to connect to a VNet, a P2S VPN is a useful solution to use instead of a Site-to-Site VPN. Połączenie sieci VPN typu punkt-lokacja jest nawiązywane przez zainicjowanie go z komputera klienckiego.A P2S VPN connection is established by starting it from the client computer.

Ważne

Klasyczny model wdrożenia obsługuje tylko klientów sieci VPN systemu Windows i używa protokołu Secure Socket Tunneling Protocol (SSTP) będącego protokołem sieci VPN opartym na protokole SSL.The classic deployment model supports Windows VPN clients only and uses the Secure Socket Tunneling Protocol (SSTP), an SSL-based VPN protocol. Aby zapewnić obsługę innych klientów niż sieć VPN systemu Windows, sieć wirtualna musi zostać utworzona przy użyciu modelu wdrażania usługi Resource Manager.To support non-Windows VPN clients, you must create your VNet with the Resource Manager deployment model. Model wdrażania usługi Resource Manager obsługuje, oprócz protokołu SSTP, protokół IKEv2 sieci VPN.The Resource Manager deployment model supports IKEv2 VPN in addition to SSTP. Aby uzyskać więcej informacji, zobacz About P2S connections (Informacje o połączeniach punkt-lokacja).For more information, see About P2S connections.

Diagram: połączenie typu punkt-lokacja

Ustawienia i wymaganiaSettings and requirements

WymaganiaRequirements

Połączenia z uwierzytelnianiem certyfikatu punkt-lokacja wymagają następujących elementów.Point-to-Site certificate authentication connections require the following items. W tym artykule opisano kroki, które ułatwią ich tworzenie.There are steps in this article that will help you create them.

  • Brama dynamicznej sieci VPN.A Dynamic VPN gateway.
  • Klucz publiczny (plik cer) dla certyfikatu głównego, przekazany na platformę Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Ten klucz jest uznawany za certyfikat zaufany i jest używany do uwierzytelniania.This key is considered a trusted certificate and is used for authentication.
  • Certyfikat klienta wygenerowany na podstawie certyfikatu głównego i zainstalowany na każdym komputerze klienckim, który będzie nawiązywać połączenie.A client certificate generated from the root certificate, and installed on each client computer that will connect. Ten certyfikat jest używany do uwierzytelniania klientów.This certificate is used for client authentication.
  • Pakiet konfiguracji klienta sieci VPN musi zostać wygenerowany i zainstalowany na każdym komputerze klienckim, który nawiązuje połączenie.A VPN client configuration package must be generated and installed on every client computer that connects. Pakiet konfiguracji klienta konfiguruje natywnego klienta sieci VPN, który znajduje się już w systemie operacyjnym, ustawiając w nim informacje niezbędne do łączenia się z siecią wirtualną.The client configuration package configures the native VPN client that's already on the operating system with the necessary information to connect to the VNet.

Połączenia typu punkt-lokacja nie wymagają urządzenia sieci VPN ani lokalnego publicznego adresu IP.Point-to-Site connections don't require a VPN device or an on-premises public-facing IP address. Połączenie sieci VPN jest nawiązywane za pośrednictwem protokołu SSTP (Secure Socket Tunneling Protocol).The VPN connection is created over SSTP (Secure Socket Tunneling Protocol). Po stronie serwera obsługiwany jest protokół SSTP w wersji 1.0, 1.1 i 1.2.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. Klient decyduje o wyborze wersji do użycia.The client decides which version to use. W przypadku systemu Windows 8.1 i nowszych protokół SSTP domyślnie używa wersji 1.2.For Windows 8.1 and above, SSTP uses 1.2 by default.

Aby uzyskać więcej informacji, zobacz Informacje o połączeniach punkt-lokacja i często zadawanych pytaniach.For more information, see About Point-to-Site connections and the FAQ.

Przykładowe ustawieniaExample settings

Następujących wartości możesz użyć do tworzenia środowiska testowego lub odwoływać się do tych wartości, aby lepiej zrozumieć przykłady w tym artykule:Use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Grupa zasobów: TestRGResource Group: TestRG
  • Nazwa sieci wirtualnej: VNet1VNet Name: VNet1
  • Przestrzeń adresowa: 192.168.0.0/16Address space: 192.168.0.0/16
    W tym przykładzie zostanie wykorzystana tylko jedna przestrzeń adresowa.For this example, we use only one address space. Istnieje możliwość użycia więcej niż jednej przestrzeni adresowej dla sieci wirtualnej.You can have more than one address space for your VNet.
  • Nazwa podsieci: FrontonuSubnet name: FrontEnd
  • Zakres adresów podsieci: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • GatewaySubnet: 10.11.255.0/27GatewaySubnet: 10.11.255.0/27
  • Region: (US) Wschodnie stany USARegion: (US) East US
  • Przestrzeń adresowa klienta: 172.16.201.0/24Client address space: 172.16.201.0/24
    Klienci sieci VPN połączeni z siecią wirtualną, którzy korzystają z tego połączenia punkt-lokacja, otrzymują adresy IP z określonej puli.VPN clients that connect to the VNet by using this Point-to-Site connection receive an IP address from the specified pool.
  • Typ połączenia: wybierz pozycję punkt-lokacja.Connection type: Select Point-to-site.
  • GatewaySubnet zakres adresów (blok CIDR): 192.168.200.0/24GatewaySubnet Address range (CIDR block): 192.168.200.0/24

Przed rozpoczęciem sprawdź, czy masz subskrypcję platformy Azure.Before you begin, verify that you have an Azure subscription. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Tworzenie sieci wirtualnejCreate a virtual network

Jeśli masz już sieć wirtualną, sprawdź, czy ustawienia są zgodne z projektem bramy sieci VPN.If you already have a VNet, verify that the settings are compatible with your VPN gateway design. Zwróć szczególną uwagę na wszelkie podsieci, które mogą pokrywać się z innymi sieciami.Pay particular attention to any subnets that may overlap with other networks.

  1. W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.
  2. Wybierz pozycję + Utwórz zasób.Select +Create a resource. W polu Wyszukaj w witrynie Marketplace wpisz "Virtual Network".In the Search the marketplace field, type 'Virtual Network'. Znajdź Virtual Network z zwróconej listy i wybierz ją, aby otworzyć stronę Virtual Network .Locate Virtual Network from the returned list and select it to open the Virtual Network page.
  3. Na stronie Virtual Network w obszarze przycisk Utwórz zostanie wyświetlony wartość "wdróż z Menedżer zasobów (Zmień na klasyczny)".On the Virtual Network page, under the Create button, you see "Deploy with Resource Manager (change to Classic)". Menedżer zasobów jest wartością domyślną dla tworzenia sieci wirtualnej.Resource Manager is the default for creating a VNet. Nie chcesz utworzyć Menedżer zasobów sieci wirtualnej.You don't want to create a Resource Manager VNet. Wybierz pozycję (Zmień na klasyczny) , aby utworzyć klasyczną sieć wirtualną.Select (change to Classic) to create a Classic VNet. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.Then, select the Overview tab and select Create.
  4. Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie podstawy Skonfiguruj ustawienia sieci wirtualnej z przykładowymi wartościami.On the Create virtual network(classic) page, on the Basics tab, configure the VNet settings with the example values.
  5. Wybierz pozycję Przegląd + Utwórz , aby sprawdzić poprawność sieci wirtualnej.Select Review + create to validate your VNet.
  6. Sprawdzanie poprawności przebiega.Validation runs. Po sprawdzeniu poprawności sieci wirtualnej wybierz pozycję Utwórz.After the VNet is validated, select Create.

Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale system DNS jest niezbędny, jeśli chcesz rozpoznawanie nazw między maszynami wirtualnymi.DNS settings are not a required part of this configuration, but DNS is necessary if you want name resolution between your VMs. Określenie wartości nie powoduje utworzenia nowego serwera DNS.Specifying a value does not create a new DNS server. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to.

Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw.After you create your virtual network, you can add the IP address of a DNS server to handle name resolution. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i Dodaj adres IP serwera DNS, który ma być używany do rozpoznawania nazw.Open the settings for your virtual network, select DNS servers, and add the IP address of the DNS server that you want to use for name resolution.

  1. Zlokalizuj sieć wirtualną w portalu.Locate the virtual network in the portal.
  2. Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję serwery DNS.On the page for your virtual network, under the Settings section, select DNS servers.
  3. Dodaj serwer DNS.Add a DNS server.
  4. Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.To save your settings, select Save at the top of the page.

Tworzenie bramy sieci VPNCreate a VPN gateway

  1. Przejdź do utworzonej sieci wirtualnej.Navigate to the VNet that you created.

  2. Na stronie Sieć wirtualna w obszarze Ustawienia wybierz pozycję brama.On the VNet page, under Settings, select Gateway. Na stronie brama można wyświetlić bramę sieci wirtualnej.On the Gateway page, you can view the gateway for your virtual network. Ta sieć wirtualna nie ma jeszcze bramy.This virtual network does not yet have a gateway. Kliknij tutaj, aby dodać połączenie i bramę.Click the note that says Click here to add a connection and a gateway.

  3. Na stronie Konfigurowanie połączenia sieci VPN i bramy wybierz następujące ustawienia:On the Configure a VPN connection and gateway page, select the following settings:

    • Typ połączenia: punkt-lokacjaConnection type: Point-to-site
    • Przestrzeń adresowa klienta: Dodaj zakres adresów IP, z którego klienci sieci VPN otrzymują adres IP podczas nawiązywania połączenia.Client address space: Add the IP address range from which the VPN clients receive an IP address when connecting. Używaj zakresu prywatnych adresów IP nienakładającego się na lokalizację lokalną, z której się łączysz, ani na sieć wirtualną, z którą chcesz się łączyć.Use a private IP address range that doesn't overlap with the on-premises location that you connect from, or with the VNet that you connect to.
  4. Pozostaw pole wyboru dla opcji nie konfiguruj bramy w tym momencie bez wyboru.Leave the checkbox for Do not configure a gateway at this time unselected. Utworzymy bramę.We will create a gateway.

  5. W dolnej części strony wybierz pozycję Dalej: brama >.At the bottom of the page, select Next: Gateway >.

  6. Na karcie brama wybierz następujące wartości:On the Gateway tab, select the following values:

    • Rozmiar: Rozmiar to jednostka SKU bramy dla bramy sieci wirtualnej.Size: The size is the gateway SKU for your virtual network gateway. W witrynie Azure Portal domyślną jednostką SKU jest Domyślna.In the Azure portal, the default SKU is Default. Więcej informacji o jednostkach SKU bramy zawiera artykuł Informacje o ustawieniach bramy VPN Gateway.For more information about gateway SKUs, see About VPN gateway settings.
    • Typ routingu: Należy wybrać opcję dynamiczny dla konfiguracji typu punkt-lokacja.Routing Type: You must select Dynamic for a point-to-site configuration. Routing statyczny nie będzie działał.Static routing will not work.
    • Podsieć bramy: To pole jest już wypełniane.Gateway subnet: This field is already autofilled. Nie można zmienić nazwy.You cannot change the name. Jeśli spróbujesz zmienić nazwę przy użyciu programu PowerShell lub innych metod, Brama nie będzie działała prawidłowo.If you try to change the name using PowerShell or any other means, the gateway will not work properly.
    • Zakres adresów (blok CIDR): Chociaż istnieje możliwość utworzenia podsieci bramy jako małej jako/29, zalecamy utworzenie większej podsieci zawierającej więcej adresów, wybierając co najmniej/28 lub/27.Address range (CIDR block): While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. Zapewni to wystarczająco dużo adresów, aby możliwe były dodatkowe konfiguracje, które mogą być potrzebne w przyszłości.Doing so will allow for enough addresses to accommodate possible additional configurations that you may want in the future. Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń (NSG, Network Security Group) z podsiecią bramy.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci VPN przestanie działać zgodnie z oczekiwaniami.Associating a network security group to this subnet may cause your VPN gateway to not function as expected.
  7. Wybierz pozycję Przegląd + Utwórz , aby sprawdzić poprawność ustawień.Select Review + create to validate your settings.

  8. Po zakończeniu walidacji wybierz pozycję Utwórz.Once validation passes, select Create. Tworzenie bramy sieci VPN może zająć do 45 minut, zależnie od wybranej jednostki SKU bramy.A VPN gateway can take up to 45 minutes to complete, depending on the gateway SKU that you select.

Tworzenie certyfikatówCreate certificates

Na platformie Azure certyfikaty są używane do uwierzytelniania klientów sieci VPN w obrębie sieci VPN typu punkt-lokacja.Azure uses certificates to authenticate VPN clients for Point-to-Site VPNs. Informacje o kluczu publicznym certyfikatu głównego należy przekazać na platformę Azure.You upload the public key information of the root certificate to Azure. Klucz publiczny jest wtedy uważany za zaufany.The public key is then considered trusted. Certyfikaty klienta muszą zostać wygenerowane na podstawie zaufanego certyfikatu głównego, a następnie zainstalowane na każdym komputerze klienckim w magazynie certyfikatów Certificates-Current User\Personal\Certificates.Client certificates must be generated from the trusted root certificate, and then installed on each client computer in the Certificates-Current User\Personal\Certificates certificate store. Certyfikat jest używany do uwierzytelniania klienta, gdy inicjuje on połączenie z siecią wirtualną.The certificate is used to authenticate the client when it connects to the VNet.

Jeśli używasz certyfikatów z podpisem własnym, musisz je utworzyć przy użyciu określonych parametrów.If you use self-signed certificates, they must be created by using specific parameters. Certyfikat z podpisem własnym możesz utworzyć przy użyciu polecenia MakeCert lub instrukcji dotyczących środowiska PowerShell i systemu Windows 10.You can create a self-signed certificate by using the instructions for PowerShell and Windows 10, or MakeCert. Ważne jest, aby wykonać kroki opisane w tych instrukcjach w przypadku używania certyfikatów głównych z podpisem własnym i generowania certyfikatów klienta na podstawie certyfikatu głównego z podpisem własnym.It's important to follow the steps in these instructions when you use self-signed root certificates and generate client certificates from the self-signed root certificate. W przeciwnym razie utworzone przez Ciebie certyfikaty nie będą zgodne z połączeniami typu punkt-lokacja i zostanie wyświetlony błąd połączenia.Otherwise, the certificates you create won't be compatible with P2S connections and you'll receive a connection error.

Uzyskiwanie klucza publicznego (pliku cer) dla certyfikatu głównegoAcquire the public key (.cer) for the root certificate

Użyj certyfikatu głównego wygenerowanego za pomocą rozwiązania przedsiębiorstwa (zalecane) albo wygeneruj certyfikat z podpisem własnym.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Po utworzeniu certyfikatu głównego wyeksportuj dane certyfikatu publicznego (nie klucz prywatny) jako plik cer X.509 z kodowaniem Base64.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. Następnie przekaż dane certyfikatu publicznego na serwer platformy Azure.Then, upload the public certificate data to the Azure server.

  • Certyfikat przedsiębiorstwa: Jeśli używasz rozwiązania Enterprise, możesz użyć istniejącego łańcucha certyfikatów.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Uzyskaj plik cer dla certyfikatu głównego, którego chcesz użyć.Acquire the .cer file for the root certificate that you want to use.

  • Certyfikat główny z podpisem własnym: Jeśli nie używasz rozwiązania z certyfikatem przedsiębiorstwa, Utwórz certyfikat główny z podpisem własnym.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. W przeciwnym razie utworzone przez Ciebie certyfikaty nie będą zgodne z połączeniami punkt-lokacja i będzie wyświetlany błąd połączenia podczas próby nawiązania połączenia.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Możesz użyć programu Azure PowerShell, MakeCert lub protokołu OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. W poniższych artykułach opisano sposób generowania zgodnego certyfikatu głównego z podpisem własnym:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Instrukcje programu Windows 10 PowerShell: w przypadku tych instrukcji do generowania certyfikatów wymagany jest system Windows 10 i program PowerShell.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Certyfikaty klienta generowane na podstawie certyfikatu głównego można instalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Instrukcje MakeCert: Użyj MakeCert, jeśli nie masz dostępu do komputera z systemem Windows 10 w celu wygenerowania certyfikatów.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Mimo iż narzędzie MakeCert jest przestarzałe, przy jego użyciu można nadal generować certyfikaty.Although MakeCert is deprecated, you can still use it to generate certificates. Certyfikaty klienta generowane na podstawie certyfikatu głównego można instalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Instrukcje dotyczące systemu LinuxLinux instructions

Generowanie certyfikatu klientaGenerate a client certificate

Każdy komputer kliencki, który połączysz z siecią wirtualną przy użyciu połączenia punkt-lokacja, musi mieć zainstalowany certyfikat klienta.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Należy wygenerować go na podstawie certyfikatu głównego i zainstalować na każdym komputerze klienckim.You generate it from the root certificate and install it on each client computer. Jeśli nie zainstalujesz prawidłowego certyfikatu klienta, uwierzytelnianie zakończy się niepowodzeniem, gdy klient spróbuje nawiązać połączenie z siecią wirtualną.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Można wygenerować unikatowy certyfikat dla każdego klienta lub można użyć tego samego certyfikatu dla wielu klientów.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. Zaletą generowania unikatowych certyfikatów klienta jest możliwość odwołania pojedynczego certyfikatu.The advantage to generating unique client certificates is the ability to revoke a single certificate. W przeciwnym razie, jeśli wielu klientów korzysta z tego samego certyfikatu klienta do uwierzytelniania i odwołasz go, konieczne będzie wygenerowanie i zainstalowanie nowych certyfikatów dla każdego klienta korzystającego z tego certyfikatu.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Certyfikaty klienta można wygenerować, posługując się następującymi metodami:You can generate client certificates by using the following methods:

  • Certyfikat przedsiębiorstwa:Enterprise certificate:

    • Jeśli używasz rozwiązania z certyfikatem przedsiębiorstwa, wygeneruj certyfikat klienta przy użyciu nazwy pospolitej formatu wartości nazwa @ yourdomain.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Użyj tego formatu zamiast formatu nazwa domeny\nazwa użytkownika.Use this format instead of the domain name\username format.
    • Upewnij się, że certyfikat klienta jest oparty na szablonie certyfikatu użytkownika, którego pierwszym elementem na liście użytkownika jest Uwierzytelnienie klienta.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Sprawdź certyfikat, dwukrotnie go klikając i wyświetlając obszar Ulepszone użycie klucza na karcie Szczegóły.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Certyfikat główny z podpisem własnym: Wykonaj kroki opisane w jednym z następujących artykułów certyfikatów P2S, aby utworzone certyfikaty klienta były zgodne z połączeniami P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Czynności opisane w tych artykułach umożliwiają wygenerowanie zgodnego certyfikatu klienta:The steps in these articles generate a compatible client certificate:

    • Instrukcje programu Windows 10 PowerShell: w przypadku tych instrukcji do generowania certyfikatów wymagany jest system Windows 10 i program PowerShell.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Wygenerowane certyfikaty można zainstalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.The generated certificates can be installed on any supported P2S client.
    • Instrukcje MakeCert: Użyj MakeCert, jeśli nie masz dostępu do komputera z systemem Windows 10 w celu wygenerowania certyfikatów.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Mimo iż narzędzie MakeCert jest przestarzałe, przy jego użyciu można nadal generować certyfikaty.Although MakeCert is deprecated, you can still use it to generate certificates. Możesz zainstalować wygenerowane certyfikaty na dowolnym obsługiwanym kliencie typu punkt-lokacja.You can install the generated certificates on any supported P2S client.
    • Instrukcje dotyczące systemu LinuxLinux instructions

    Gdy certyfikat klienta jest generowany na podstawie certyfikatu głównego z podpisem własnym, jest on automatycznie instalowany na komputerze użytym do jego wygenerowania.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Aby zainstalować certyfikat klienta na innym komputerze klienckim, wyeksportuj go jako plik pfx razem z całym łańcuchem certyfikatów.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. Spowoduje to utworzenie pliku pfx zawierającego informacje o certyfikacie głównym, który jest wymagany do uwierzytelnienia klienta.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Aby wyeksportować certyfikatTo export the certificate

Aby uzyskać instrukcje dotyczące eksportowania certyfikatu, zobacz Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja przy użyciu programu PowerShell.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

Przekazywanie pliku cer certyfikatu głównegoUpload the root certificate .cer file

Po utworzeniu bramy przekaż plik cer (który zawiera informacje o kluczu publicznym) dla zaufanego certyfikatu głównego na serwer platformy Azure.After the gateway has been created, upload the .cer file (which contains the public key information) for a trusted root certificate to the Azure server. Nie przekazuj klucza prywatnego dla certyfikatu głównego.Don't upload the private key for the root certificate. Po przekazaniu certyfikatu platforma Azure będzie używać go do uwierzytelniania klientów, którzy mają zainstalowany certyfikat klienta wygenerowany na podstawie zaufanego certyfikatu głównego.After you upload the certificate, Azure uses it to authenticate clients that have installed a client certificate generated from the trusted root certificate. W razie potrzeby dodatkowe pliki zaufanego certyfikatu głównego możesz przekazać później — maksymalnie może ich być 20.You can later upload additional trusted root certificate files (up to 20), if needed.

  1. Przejdź do utworzonej sieci wirtualnej.Navigate to the virtual network you created.
  2. W obszarze Ustawieniawybierz pozycję połączenia punkt-lokacja.Under Settings, select Point-to-site connections.
  3. Wybierz pozycję Zarządzaj certyfikatem.Select Manage certificate.
  4. Wybierz pozycję Przekaż.Select Upload.
  5. W okienku Przekaż certyfikat wybierz ikonę folderu i przejdź do certyfikatu, który chcesz przekazać.On the Upload a certificate pane, select the folder icon and navigate to the certificate you want to upload.
  6. Wybierz pozycję Przekaż.Select Upload.
  7. Po pomyślnym przekazaniu certyfikatu można go wyświetlić na stronie Zarządzanie certyfikatem.After the certificate has uploaded successfully, you can view it on the Manage certificate page. Może być konieczne wybranie opcji Odśwież , aby wyświetlić przekazany certyfikat.You may need to select Refresh to view the certificate you just uploaded.

Konfigurowanie klientaConfigure the client

Aby nawiązać połączenie z siecią wirtualną przy użyciu połączenia sieci VPN typu punkt-lokacja, na każdym kliencie trzeba zainstalować pakiet do konfiguracji natywnego klienta sieci VPN systemu Windows.To connect to a VNet by using a Point-to-Site VPN, each client must install a package to configure the native Windows VPN client. Pakiet konfiguracji powoduje skonfigurowanie natywnego klienta sieci VPN systemu Windows za pomocą ustawień koniecznych do łączenia się z siecią wirtualną.The configuration package configures the native Windows VPN client with the settings necessary to connect to the virtual network.

Tego samego pakietu konfiguracji klienta VPN można użyć na każdym komputerze klienckim, o ile wersja jest zgodna z architekturą dla klienta.You can use the same VPN client configuration package on each client computer, as long as the version matches the architecture for the client. Listę obsługiwanych systemów operacyjnych klienta znajduje się w temacie Informacje o połączeniach typu punkt-lokacja i często zadawanych pytaniach.For the list of client operating systems that are supported, see About Point-to-Site connections and the FAQ.

Generowanie i instalowanie pakietu konfiguracji klienta sieci VPNGenerate and install a VPN client configuration package

  1. Przejdź do ustawień połączeń punkt-lokacja dla sieci wirtualnej.Navigate to the Point-to-site connections settings for your VNet.

  2. W górnej części strony wybierz pakiet pobierania, który odpowiada systemowi operacyjnemu klienta, na którym zostanie zainstalowany:At the top of the page, select the download package that corresponds to the client operating system where it will be installed:

    • W przypadku klientów 64-bitowych wybierz pozycję klient VPN (64-bitowy).For 64-bit clients, select VPN client (64-bit).
    • W przypadku klientów 32-bitowych wybierz pozycję klient VPN (32-bitowy).For 32-bit clients, select VPN client (32-bit).
  3. Platforma Azure generuje pakiet z określonymi ustawieniami wymaganymi przez klienta.Azure generates a package with the specific settings that the client requires. Za każdym razem, gdy wprowadzasz zmiany w sieci wirtualnej lub bramie, musisz pobrać nowy pakiet konfiguracji klienta i zainstalować go na komputerach klienckich.Each time you make changes to the VNet or gateway, you need to download a new client configuration package and install them on your client computers.

  4. Po wygenerowaniu pakietu wybierz pozycję Pobierz.After the package generates, select Download.

  5. Zainstaluj pakiet konfiguracji klienta na komputerze klienckim.Install the client configuration package on your client computer. Jeśli podczas instalacji zostanie wyświetlony podręczny komunikat filtru SmartScreen z informacją o ochronie systemu Windows komputera, wybierz pozycję więcej informacji, a następnie wybierz pozycję Uruchom mimo to.When installing, if you see a SmartScreen popup saying Windows protected your PC, select More info, then select Run anyway. Możesz także zapisać pakiet w celu zainstalowania go na innych komputerach klienckich.You can also save the package to install on other client computers.

Instalowanie certyfikatu klientaInstall a client certificate

W tym ćwiczeniu podczas generowania certyfikatu klienta został on automatycznie zainstalowany na komputerze.For this exercise, when you generated the client certificate, it was automatically installed on your computer. Aby utworzyć połączenie P2S z innego komputera klienckiego niż używany do generowania certyfikatów klienta, należy zainstalować na tym komputerze wygenerowany certyfikat klienta.To create a P2S connection from a different client computer than the one used to generate the client certificates, you must install the generated client certificate on that computer.

Podczas instalowania certyfikatu klienta potrzebne jest hasło, które zostało utworzone w trakcie eksportowania certyfikatu klienta.When you install a client certificate, you need the password that was created when the client certificate was exported. Zazwyczaj można zainstalować certyfikat, klikając go dwukrotnie.Typically, you can install the certificate by just double-clicking it. Aby uzyskać więcej informacji, zobacz Install an exported client certificate (Instalowanie wyeksportowanego certyfikatu klienta).For more information, see Install an exported client certificate.

Nawiązywanie połączenia z siecią wirtualnąConnect to your VNet

Uwaga

Musisz mieć uprawnienia administratora na komputerze klienckim, z którym nawiązujesz połączenie.You must have Administrator rights on the client computer from which you are connecting.

  1. Na komputerze klienckim przejdź do ustawień sieci VPN.On the client computer, go to VPN settings.
  2. Wybierz utworzoną sieć VPN.Select the VPN that you created. Jeśli użyto przykładowych ustawień, połączenie zostanie oznaczone jako Grupa TestRG VNet1.If you used the example settings, the connection will be labeled Group TestRG VNet1.
  3. Wybierz pozycję Połącz.Select Connect.
  4. W polu Virtual Network systemu Windows Azure wybierz pozycję Połącz.In the Windows Azure Virtual Network box, select Connect. Jeśli zostanie wyświetlony komunikat podręczny o certyfikacie, wybierz pozycję Kontynuuj , aby użyć podwyższonych uprawnień i tak , aby akceptować zmiany w konfiguracji.If a pop-up message about the certificate appears, select Continue to use elevated privileges and Yes to accept configuration changes.
  5. Po pomyślnym nawiązaniu połączenia zobaczysz połączone powiadomienie.When your connection succeeds, you'll see a Connected notification.

Jeśli występują problemy z połączeniem, sprawdź następujące elementy:If you have trouble connecting, check the following items:

  • Jeśli wyeksportowano certyfikat klienta przy użyciu Kreatora eksportu certyfikatów, upewnij się, że został on wyeksportowany jako plik pfx i wybrano opcję Jeśli jest to możliwe, dołącz wszystkie certyfikaty ze ścieżki certyfikacji.If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Podczas eksportowania z użyciem tej wartości eksportowane są również informacje o certyfikacie głównym.When you export it with this value, the root certificate information is also exported. Po zainstalowaniu certyfikatu na komputerze klienckim instalowany jest również certyfikat główny w pliku pfx.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Aby sprawdzić, czy certyfikat główny został zainstalowany, otwórz pozycję Zarządzaj certyfikatami użytkowników i wybierz pozycję Zaufane główne urzędy certyfikacji\Certyfikaty.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Sprawdź, czy na liście znajduje się certyfikat główny, który musi być obecny, aby uwierzytelnianie działało.Verify that the root certificate is listed, which must be present for authentication to work.

  • Jeśli użyto certyfikatu wydanego przez rozwiązanie dla przedsiębiorstwa proponowane przez urząd certyfikacji i nie możesz przeprowadzić uwierzytelnienia, sprawdź kolejność uwierzytelniania w certyfikacie klienta.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Sprawdź kolejność elementów na liście uwierzytelniania, dwukrotnie klikając certyfikat klienta, wybierając kartę Szczegóły, a następnie wybierając pozycję Ulepszone użycie klucza.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Upewnij się, że pierwszym elementem na liście jest Uwierzytelnienie klienta.Make sure Client Authentication is the first item in the list. Jeśli tak nie jest, certyfikat klienta należy wydać na podstawie szablonu użytkownika mającego Uwierzytelnienie klienta jako pierwszy element na liście.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Aby uzyskać dodatkowe informacje dotyczące rozwiązywania problemów z połączeniami typu punkt-lokacja, zobacz Troubleshoot P2S connections (Rozwiązywanie problemów dotyczących połączeń typu punkt-lokacja).For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Sprawdzenie połączenia sieci VPNVerify the VPN connection

  1. Sprawdź, czy połączenie sieci VPN jest aktywne.Verify that your VPN connection is active. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze klienckim, a następnie uruchom polecenie ipconfig/all.Open an elevated command prompt on your client computer, and run ipconfig/all.

  2. Przejrzyj wyniki.View the results. Zwróć uwagę na fakt, że otrzymany adres IP jest jednym z adresów z zakresu dla połączenia typu punkt-lokacja określonego podczas tworzenia sieci wirtualnej.Notice that the IP address you received is one of the addresses within the Point-to-Site connectivity address range that you specified when you created your VNet. Wyniki powinny być podobne do poniższego przykładu:The results should be similar to this example:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 192.168.130.2(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Nawiązywanie połączenia z maszyną wirtualnąTo connect to a virtual machine

Utwórz połączenie pulpitu zdalnego, aby nawiązać połączenie z maszyną wirtualną wdrożoną w sieci wirtualnej.Create a Remote Desktop Connection to connect to a VM that's deployed to your VNet. Najlepszym sposobem na zweryfikowanie, czy można połączyć się z maszyną wirtualną, jest połączenie się z nią za pomocą jej prywatnego adresu IP, a nie nazwy komputera.The best way to verify you can connect to your VM is to connect with its private IP address, rather than its computer name. W ten sposób można przetestować możliwość połączenia się, a nie poprawność skonfigurowania rozpoznawania nazw.That way, you're testing to see if you can connect, not whether name resolution is configured properly.

  1. Zlokalizuj prywatny adres IP dla swojej maszyny wirtualnej.Locate the private IP address for your VM. Aby znaleźć prywatny adres IP maszyny wirtualnej, wyświetl właściwości maszyny wirtualnej w witrynie Azure Portal lub użyj programu PowerShell.To find the private IP address of a VM, view the properties for the VM in the Azure portal or use PowerShell.
  2. Sprawdź, czy masz połączenie z siecią wirtualną przez połączenie sieci VPN punkt-lokacja.Verify that you're connected to your VNet with the Point-to-Site VPN connection.
  3. Aby otworzyć program Podłączanie pulpitu zdalnego, wpisz RDP lub Podłączanie pulpitu zdalnego w polu wyszukiwania na pasku zada, a następnie wybierz pozycję Podłączanie pulpitu zdalnego.To open Remote Desktop Connection, enter RDP or Remote Desktop Connection in the search box on the taskbar, then select Remote Desktop Connection. Możesz go również otworzyć za pomocą polecenia mstsc w programie PowerShell.You can also open it by using the mstsc command in PowerShell.
  4. W programie Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej.In Remote Desktop Connection, enter the private IP address of the VM. Jeśli to konieczne, kliknij pozycję Pokaż opcje, aby dostosować dodatkowe ustawienia, a następnie nawiąż połączenie.If necessary, select Show Options to adjust additional settings, then connect.

Jak rozwiązywać problemy z połączeniem RDP z maszyną wirtualnąTo troubleshoot an RDP connection to a VM

Jeśli masz problemy z łączeniem się z maszyną wirtualną za pośrednictwem połączenia sieci VPN, istnieje kilka rzeczy, które możesz sprawdzić.If you're having trouble connecting to a virtual machine over your VPN connection, there are a few things you can check.

  • Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.Verify that your VPN connection is successful.
  • Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.Verify that you're connecting to the private IP address for the VM.
  • Wprowadź polecenie ipconfig, aby sprawdzić adres IPv4 przypisany do karty Ethernet na komputerze, z którego jest nawiązywane połączenie.Enter ipconfig to check the IPv4 address assigned to the Ethernet adapter on the computer from which you're connecting. Nakładająca się przestrzeń adresowa występuje, gdy adres IP znajduje się w zakresie adresów sieci wirtualnej, z którą jest nawiązywane połączenie, lub w zakresie adresów puli VPNClientAddressPool.An overlapping address space occurs when the IP address is within the address range of the VNet that you're connecting to, or within the address range of your VPNClientAddressPool. Kiedy przestrzeń adresowa nakłada się w ten sposób, ruch sieciowy nie dociera do platformy Azure, tylko pozostaje w sieci lokalnej.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Jeśli możesz połączyć się z maszyną wirtualną za pomocą prywatnego adresu IP, ale nie za pomocą nazwy komputera, sprawdź, czy usługa DNS została prawidłowo skonfigurowana.If you can connect to the VM by using the private IP address, but not the computer name, verify that you have configured DNS properly. Aby uzyskać więcej informacji na temat tego, jak działa rozpoznawanie nazw dla maszyn wirtualnych, zobacz Name Resolution for VMs (Rozpoznawanie nazw dla maszyn wirtualnych).For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Sprawdź, czy pakiet konfiguracji klienta sieci VPN jest generowany po określeniu adresów IP serwera DNS dla sieci wirtualnej.Verify that the VPN client configuration package is generated after you specify the DNS server IP addresses for the VNet. Jeśli zaktualizujesz adresy IP serwera DNS, wygeneruj i zainstaluj nowy pakiet konfiguracji klienta sieci VPN.If you update the DNS server IP addresses, generate and install a new VPN client configuration package.

Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.For more troubleshooting information, see Troubleshoot Remote Desktop connections to a VM.

Dodawanie lub usuwanie zaufanych certyfikatów głównychTo add or remove trusted root certificates

Zaufane certyfikaty główne można dodawać do platformy Azure lub z niej usuwać.You can add and remove trusted root certificates from Azure. Po usunięciu certyfikatu głównego klienci, którzy mają certyfikat wygenerowany na podstawie tego certyfikatu głównego, nie będą w stanie się uwierzytelnić i w związku z tym nie będą mogli nawiązywać połączeń.When you remove a root certificate, clients that have a certificate generated from that root can no longer authenticate and connect. Jeśli chcesz, aby klienci mogli uwierzytelniać się i nawiązywać połączenia, musisz zainstalować nowy certyfikat klienta wygenerowany na podstawie certyfikatu głównego, który jest traktowany jako zaufany przez platformę Azure.For those clients to authenticate and connect again, you must install a new client certificate generated from a root certificate that's trusted by Azure.

Dodawanie zaufanego certyfikatu głównegoAdd a trusted root certificate

Do platformy Azure można dodać maksymalnie 20 plików CER zaufanych certyfikatów głównych przy użyciu tego samego procesu, który został użyty w celu dodania pierwszego zaufanego certyfikatu głównego.You can add up to 20 trusted root certificate .cer files to Azure by using the same process that you used to add the first trusted root certificate.

Usuń zaufany certyfikat głównyRemove a trusted root certificate

  1. W sekcji połączenia typu punkt-lokacja sieci wirtualnej wybierz pozycję Zarządzaj certyfikatem.On the Point-to-site connections section of the page for your VNet, select Manage certificate.
  2. Wybierz wielokropek obok certyfikatu, który chcesz usunąć, a następnie wybierz pozycję Usuń.Select the ellipsis next to the certificate that you want to remove, then select Delete.

Aby odwołać certyfikat klientaTo revoke a client certificate

W razie potrzeby możesz odwołać certyfikat klienta.If necessary, you can revoke a client certificate. Lista odwołania certyfikatów umożliwia dokonanie selektywnej odmowy połączenia punkt-lokacja w oparciu o indywidualne certyfikaty klienta.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Różni się to od usuwania zaufanego certyfikatu głównego.This method differs from removing a trusted root certificate. Jeśli usuniesz plik cer zaufanego certyfikatu głównego z platformy Azure, spowoduje to odwołanie dostępu dla wszystkich certyfikatów klienta wygenerowanych lub podpisanych przez odwołany certyfikat główny.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Odwołanie certyfikatu klienta zamiast certyfikatu głównego pozwala dalej używać innych certyfikatów wygenerowanych na podstawie certyfikatu głównego do uwierzytelniania połączeń punkt-lokacja.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication for the Point-to-Site connection.

Częstą praktyką jest użycie certyfikatu głównego do zarządzania dostępem na poziomach zespołu lub organizacji przy jednoczesnym korzystaniu z odwołanych certyfikatów klienta dla bardziej precyzyjnej kontroli dostępu poszczególnych użytkowników.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Certyfikat klienta można odwołać przez dodanie odcisku palca do listy odwołania.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Pobierz odcisk palca certyfikatu klienta.Retrieve the client certificate thumbprint. Aby uzyskać więcej informacji, zobacz How to: Pobieranie odcisku palca certyfikatu.For more information, see How to: Retrieve the Thumbprint of a Certificate.
  2. Skopiuj informacje do edytora tekstu i usuń wszelkie spacje, tak aby powstał ciąg bez odstępów.Copy the information to a text editor and remove its spaces so that it's a continuous string.
  3. Przejdź do połączenia sieci VPN typu punkt-lokacja, a następnie wybierz pozycję Zarządzaj certyfikatem.Navigate to Point-to-site VPN connection, then select Manage certificate.
  4. Wybierz pozycję Lista odwołania, aby otworzyć stronę Lista odwołania.Select Revocation list to open the Revocation list page.
  5. W obszarze Odcisk palca wklej odcisk palca certyfikatu jako jeden ciągły wiersz tekstu bez odstępów.In Thumbprint, paste the certificate thumbprint as one continuous line of text, with no spaces.
  6. Wybierz pozycję + Dodaj do listy , aby dodać odcisk palca do listy odwołania certyfikatów (CRL).Select + Add to list to add the thumbprint to the certificate revocation list (CRL).

Po zakończeniu aktualizowania nie będzie można już używać certyfikatu do nawiązywania połączeń.After updating has completed, the certificate can no longer be used to connect. Klienci, którzy spróbują połączyć się za pomocą tego certyfikatu, zobaczą komunikat informujący o tym, że certyfikat nie jest już ważny.Clients that try to connect by using this certificate receive a message saying that the certificate is no longer valid.

Najczęściej zadawane pytaniaFAQ

Te często zadawane pytania dotyczą połączeń punkt-lokacja wykorzystujących klasyczny model wdrażania.This FAQ applies to P2S connections that use the classic deployment model.

Których systemów operacyjnych klienta można używać z połączeniami typu punkt-lokacja?What client operating systems can I use with Point-to-Site?

Obsługiwane są następujące systemy operacyjne klientów:The following client operating systems are supported:

  • Windows 7 (32-bitowy i 64-bitowy)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (tylko 64-bitowy)Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32-bitowy i 64-bitowy)Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32-bitowy i 64-bitowy)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (tylko 64-bitowy)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (tylko 64-bitowy)Windows Server 2012 R2 (64-bit only)
  • Windows 10Windows 10

Czy można użyć dowolnego oprogramowania klienta VPN obsługującego protokół SSTP do połączenia punkt-lokacja?Can I use any software VPN client that supports SSTP for Point-to-Site?

Nie.No. Obsługa jest ograniczona tylko do wymienionych wersji systemu operacyjnego Windows.Support is limited only to the listed Windows operating system versions.

Ile punktów końcowych klienta sieci VPN może istnieć w konfiguracji punkt-lokacja?How many VPN client endpoints can exist in my Point-to-Site configuration?

Liczba punktów końcowych klienta sieci VPN zależy od jednostki SKU i protokołu bramy.The amount of VPN client endpoints depends on your gateway sku and protocol.


Generowanie bramy sieci VPN
VPN
Gateway
Generation
SKUSKU Połączenia typu lokacja-lokacja/Połączenia między sieciami wirtualnymi
Tunele
S2S/VNet-to-VNet
Tunnels
Połączenia typu punkt-lokacja
Połączenia SSTP
P2S
SSTP Connections
P2S
połączenia IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Test porównawczy
agregowanej przepływności
Aggregate
Throughput Benchmark
BGPBGP Strefa nadmiarowaZone-redundant
Generation1Generation1 PodstawoweBasic Maksymalnie zMax. 1010 Maksymalnie zMax. 128128 NieobsługiwaneNot Supported 100 Mb/s100 Mbps NieobsługiwaneNot Supported NieNo
Generation1Generation1 VpnGw1VpnGw1 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 250250 650 Mb/s650 Mbps ObsługiwaneSupported NieNo
Generation1Generation1 VpnGw2VpnGw2 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 500500 1 Gb/s1 Gbps ObsługiwaneSupported NieNo
Generation1Generation1 VpnGw3VpnGw3 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10001000 1,25 Gb/s1.25 Gbps ObsługiwaneSupported NieNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 250250 650 Mb/s650 Mbps ObsługiwaneSupported TakYes
Generation1Generation1 VpnGw2AZVpnGw2AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 500500 1 Gb/s1 Gbps ObsługiwaneSupported TakYes
Generation1Generation1 VpnGw3AZVpnGw3AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10001000 1,25 Gb/s1.25 Gbps ObsługiwaneSupported TakYes
Generation2Generation2 VpnGw2VpnGw2 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 500500 1,25 Gb/s1.25 Gbps ObsługiwaneSupported NieNo
Generation2Generation2 VpnGw3VpnGw3 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10001000 2,5 GB/s2.5 Gbps ObsługiwaneSupported NieNo
Generation2Generation2 VpnGw4VpnGw4 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 50005000 5 Gb/s5 Gbps ObsługiwaneSupported NieNo
Generation2Generation2 VpnGw5VpnGw5 Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10 00010000 10 Gb/s10 Gbps ObsługiwaneSupported NieNo
Generation2Generation2 VpnGw2AZVpnGw2AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 500500 1,25 Gb/s1.25 Gbps ObsługiwaneSupported TakYes
Generation2Generation2 VpnGw3AZVpnGw3AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10001000 2,5 GB/s2.5 Gbps ObsługiwaneSupported TakYes
Generation2Generation2 VpnGw4AZVpnGw4AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 50005000 5 Gb/s5 Gbps ObsługiwaneSupported TakYes
Generation2Generation2 VpnGw5AZVpnGw5AZ Maksymalnie zMax. 30*30* Maksymalnie zMax. 128128 Maksymalnie zMax. 10 00010000 10 Gb/s10 Gbps ObsługiwaneSupported TakYes

(*) Jeśli potrzebujesz więcej niż 30 tuneli sieci VPN S2S, skorzystaj z usługi Virtual WAN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Zmiany rozmiarów jednostek SKU VpnGw są dozwolone w ramach tej samej generacji, z wyjątkiem zmiany rozmiarów podstawowej jednostki SKU.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Podstawowa jednostka SKU jest starszą wersją SKU i ma ograniczenia dotyczące funkcji.The Basic SKU is a legacy SKU and has feature limitations. Aby przejść z warstwy Podstawowa do innej jednostki SKU VpnGw, należy usunąć podstawową jednostkę SKU sieci VPN i utworzyć nową bramę z kombinacją żądanej generacji i rozmiaru jednostki SKU.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Te limity połączeń są niezależne.These connection limits are separate. Przykładowo dla jednostki SKU VpnGw1 można mieć 128 połączeń SSTP, a oprócz tego 250 połączeń IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informacje o cenach znajdują się na stronie Cennik.Pricing information can be found on the Pricing page.

  • Informacje na temat umowy SLA (Service Level Agreement) można znaleźć na stronie SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Na pojedynczym tunelu można osiągnąć maksymalnie 1 GB/s przepustowości.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Wzorzec zagregowanej przepływności w powyższej tabeli opiera się na pomiarach wielu tuneli zagregowanych za pośrednictwem jednej bramy.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Test porównawczy agregowanej przepływności dla bramy sieci VPN bazuje na sumie wartości dla połączeń typu lokacja-lokacja i punkt-lokacja.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Posiadanie dużej liczby połączeń typu punkt-lokacja może negatywnie wpływać na połączenie typu lokacja-lokacja z powodu ograniczeń przepustowości.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Ze względu na warunki ruchu internetowego i zachowania aplikacji test porównawczy agregowanej przepływności nie pokazuje przepływności gwarantowanej.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Aby pomóc naszym klientom zrozumieć względną wydajność jednostek SKU przy użyciu różnych algorytmów, do mierzenia wydajności używamy publicznie dostępnych narzędzi iPerf i CTSTraffic.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. W poniższej tabeli przedstawiono wyniki testów wydajności dla generacji 1, VpnGw jednostek SKU.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Jak widać, najlepszą wydajność uzyskuje się w przypadku użycia algorytmu GCMAES256 w przypadku szyfrowania i integralności protokołu IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Średnia wydajność podczas korzystania z AES256 na potrzeby szyfrowania IPsec i SHA256 w celu zapewnienia integralności.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. W przypadku użycia DES3 na potrzeby szyfrowania IPsec i SHA256 w celu zapewnienia integralności mamy najniższą wydajność.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GenerowanieGeneration SKUSKU Używane algorytmy
Algorithms
used
Zaobserwowana przepływność
Throughput
observed
Poobserwowane pakiety na sekundę
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90 00090,000
60 00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90 00090,000
60 00060,000

Czy w przypadku połączenia punkt-lokacja można użyć własnego głównego urzędu certyfikacji PKI?Can I use my own internal PKI root CA for Point-to-Site connectivity?

Tak.Yes. Wcześniej można było używać tylko certyfikatów głównych z podpisem własnym.Previously, only self-signed root certificates could be used. Nadal można przekazać do 20 certyfikatów głównych.You can still upload up to 20 root certificates.

Czy można pominąć serwery proxy i zapory, korzystając z połączenia punkt-lokacja?Can I traverse proxies and firewalls by using Point-to-Site?

Tak.Yes. Do celów tunelowania przez zaporę jest wykorzystywany protokół SSTP (Secure Socket Tunneling Protocol).We use Secure Socket Tunneling Protocol (SSTP) to tunnel through firewalls. Ten tunel jest wyświetlany jako połączenie HTTPs.This tunnel appears as an HTTPS connection.

Czy w przypadku ponownego uruchomienia komputera klienckiego skonfigurowanego pod kątem połączenia typu punkt-lokacja połączenie z siecią VPN zostanie nawiązane automatycznie?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Domyślnie komputer kliencki nie przywraca automatycznie połączenia z siecią VPN.By default, the client computer won't reestablish the VPN connection automatically.

Czy w przypadku połączeń punkt-lokacja jest obsługiwane automatyczne ponowne nawiązywanie połączenia i DDNS na klientach sieci VPN?Does Point-to-Site support auto reconnect and DDNS on the VPN clients?

Nie.No. Automatyczne ponowne nawiązywanie połączenia i DDNS nie są obecnie obsługiwane w przypadku połączeń VPN typu punkt-lokacja.Auto reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Czy w ramach tej samej sieci wirtualnej można korzystać z konfiguracji typu lokacja-lokacja i punkt-lokacja?Can I have Site-to-Site and Point-to-Site configurations for the same virtual network?

Tak.Yes. Oba te rozwiązania będą działać, o ile zastosowana zostanie brama sieci VPN typu RouteBased.Both solutions will work if you have a RouteBased VPN type for your gateway. W przypadku klasycznego modelu wdrażania należy użyć bramy dynamicznej.For the classic deployment model, you need a dynamic gateway. Połączenia typu punkt-lokacja nie są obsługiwane w przypadku bram sieci VPN o statycznym routingu ani bram, w których używane jest polecenie cmdlet -VpnType PolicyBased.We don't support Point-to-Site for static routing VPN gateways or gateways that use the -VpnType PolicyBased cmdlet.

Czy można skonfigurować klienta typu punkt-lokacja pod kątem jednoczesnego nawiązywania połączenia z wieloma sieciami wirtualnymi?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Tak.Yes. Sieci wirtualne nie mogą jednak mieć nakładających się prefiksów IP, a przestrzenie adresowe w przypadku połączenia punkt-lokacja nie mogą nakładać się między sieciami wirtualnymi.However, the virtual networks can't have overlapping IP prefixes and the Point-to-Site address spaces must not overlap between the virtual networks.

Jakiej przepływności można oczekiwać w przypadku połączeń typu lokacja-lokacja lub punkt-lokacja?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Trudno jest utrzymać dokładną przepływność tuneli VPN.It's difficult to maintain the exact throughput of the VPN tunnels. Protokoły IPsec i SSTP należą do niejawnie ciężkich protokołów sieci VPN.IPsec and SSTP are crypto-heavy VPN protocols. Przepływność ograniczają również opóźnienia i przepustowość między lokalizacjami lokalnymi i Internetem.Throughput is also limited by the latency and bandwidth between your premises and the internet.

Następne krokiNext steps