Konfigurera en punkt-till-plats-anslutning med hjälp av certifikatautentisering (klassisk)

  • Artikel

Den här artikeln visar hur du skapar ett virtuellt nätverk med en punkt-till-plats-anslutning med hjälp av den klassiska (äldre) distributionsmodellen. Den här konfigurationen använder certifikat för att autentisera den anslutande klienten, antingen självsignerade eller från en certifikatutfärdare. De här anvisningarna gäller för den klassiska distributionsmodellen. Du kan inte längre skapa en gateway med den klassiska distributionsmodellen. Se Resource Manager-versionen av den här artikeln i stället.

Viktigt!

Du kan inte längre skapa nya virtuella nätverksgatewayer för klassiska virtuella distributionsmodeller (tjänsthantering). Nya virtuella nätverksgatewayer kan bara skapas för virtuella Resource Manager-nätverk.

Du använder en VPN-gateway med P2S-konfiguration (punkt-till-plats) för att skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. P2S-VPN-anslutningar är användbara när du vill ansluta till ditt virtuella nätverk från en fjärransluten plats. P2S-VPN-anslutningar är en bra lösning att använda i stället för en plats-till-plats-VPN-anslutning när du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk. En P2S-VPN-anslutning upprättas genom att du startar den från klientdatorn.

Viktigt!

Den klassiska distributionsmodellen stöder endast Windows VPN-klienter och använder Secure Socket Tunneling Protocol (SSTP), ett SSL-baserat VPN-protokoll. För att ge stöd för icke-Windows-baserade VPN-klienter måste du skapa ditt virtuella nätverk med Resource Manager-distributionsmodellen. Resource Manager-distributionsmodellen stöder IKEv2 VPN, utöver SSTP. Mer information finns i om P2S-anslutningar.

Diagram som visar klassisk punkt-till-plats-arkitektur.

Kommentar

Den här artikeln är skriven för den klassiska (äldre) distributionsmodellen. Vi rekommenderar att du använder den senaste Azure-distributionsmodellen i stället. Resource Manager-distributionsmodellen är den senaste distributionsmodellen och erbjuder fler alternativ och funktionskompatibilitet än den klassiska distributionsmodellen. Information om skillnaden mellan dessa två distributionsmodeller finns i Förstå distributionsmodeller och tillståndet för dina resurser.

Om du vill använda en annan version av den här artikeln använder du innehållsförteckningen i den vänstra rutan.

Inställningar och krav

Krav

Punkt-till-plats-certifikatautentiseringsanslutningar kräver följande objekt. Det finns steg i den här artikeln som hjälper dig att skapa dem.

  • En dynamisk VPN gateway.
  • Den offentliga nyckeln (CER-fil) för ett rotcertifikat, som överförts till Azure. Den här nyckeln anses vara ett betrott certifikat och används för autentisering.
  • Ett klientcertifikat genereras från rotcertifikatet och installerad på varje klientdator som ska ansluta. Det här certifikatet används för klientautentisering.
  • Ett konfigurationspaket för VPN-klienter måste skapas och installeras på varje klientdator som ansluter. Klientkonfigurationspaketet konfigurerar den interna VPN-klienten som redan finns i operativsystemet med den information som krävs för att ansluta till det virtuella nätverket.

Punkt-till-plats-anslutningar kräver inte någon VPN-enhet eller en lokal offentlig IP-adress. VPN-anslutningen upprättas via SSTP (Secure Socket Tunneling Protocol). På serversidan stöder vi SSTP version 1.0, 1.1 och 1.2. Klienten avgör vilken version som ska användas. För Windows 8.1 och senare, använder SSTP version 1.2 som standard.

Mer information finns i Om punkt-till-plats-anslutningar och vanliga frågor och svar.

Exempelinställningar

Använd följande värden för att skapa en testmiljö eller för att bättre förstå exemplen i den här artikeln:

  • Resursgrupp: TestRG
  • Namn på virtuellt nätverk: VNet1
  • Adressutrymme: 192.168.0.0/16
    I det här exemplet använder vi bara ett adressutrymme. Du kan ha fler än ett adressutrymme för ditt virtuella nätverk.
  • Undernätsnamn: FrontEnd
  • Adressintervall för undernätet: 192.168.1.0/24
  • GatewaySubnet: 192.168.200.0/24
  • Region: (USA) USA, östra
  • Klientadressutrymme: 172.16.201.0/24
    VPN-klienter som ansluter till VNet med den här punkt-till-plats-anslutningen får en IP-adress från den angivna poolen.
  • Anslut ionstyp: Välj Punkt-till-plats.

Innan du börjar kontrollerar du att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Skapa ett virtuellt nätverk

Om du redan har ett VNet, kontrollerar du att inställningarna är kompatibla med din VPN-gatewaydesign. Var särskilt uppmärksam på eventuella undernät som kan överlappa andra nätverk.

  1. Navigera till Azure-portalen från en webbläsare och logga in med ditt Azure-konto vid behov.
  2. Välj +Skapa en resurs. Skriv ”Virtuella nätverk” i fältet Sök på marketplace. Leta upp virtuellt nätverk i den returnerade listan och välj det för att öppna sidan Virtuellt nätverk .
  3. På sidan Virtuellt nätverk, under knappen Skapa, visas "Distribuera med Resource Manager (ändra till klassisk)". Resource Manager är standard för att skapa ett virtuellt nätverk. Du vill inte skapa ett virtuellt Resource Manager-nätverk. Välj (ändra till Klassisk) för att skapa ett klassiskt virtuellt nätverk. Välj sedan fliken Översikt och välj Skapa.
  4. På sidan Skapa virtuellt nätverk (klassiskt)fliken Grundläggande konfigurerar du VNet-inställningarna med exempelvärdena.
  5. Välj Granska + skapa för att verifiera ditt virtuella nätverk.
  6. Valideringskörningar. När det virtuella nätverket har verifierats väljer du Skapa.

DNS-inställningar är inte en nödvändig del av den här konfigurationen, men DNS är nödvändigt om du vill ha namnmatchning mellan dina virtuella datorer. Ingen ny DNS-server skapas när du anger ett värde. Den angivna IP-adressen för DNS-servern måste vara en DNS-server som kan matcha namnen för de resurser som du ansluter till.

När du har skapat ditt virtuella nätverk kan du lägga till IP-adressen för en DNS-server för att hantera namnmatchning. Öppna inställningarna för det virtuella nätverket, välj DNS-servrar och lägg till IP-adressen för den DNS-server som du vill använda för namnmatchning.

  1. Leta upp det virtuella nätverket i portalen.
  2. På sidan för ditt virtuella nätverk går du till avsnittet Inställningar och väljer DNS-servrar.
  3. Lägg till en DNS-server.
  4. Spara inställningarna genom att välja Spara överst på sidan.

Skapa en VPN-gateway

  1. Gå till det virtuella nätverk som du skapade.

  2. På sidan VNet går du till Inställningar och väljer Gateway. På sidan Gateway kan du visa gatewayen för ditt virtuella nätverk. Det här virtuella nätverket har ännu ingen gateway. Klicka på kommentaren som säger Klicka här om du vill lägga till en anslutning och en gateway.

  3. På sidan Konfigurera en VPN-anslutning och gateway väljer du följande inställningar:

    • Anslutningstyp: Punkt-till-plats
    • Klientadressutrymme: Lägg till DET IP-adressintervall som VPN-klienterna tar emot en IP-adress från när de ansluter. Använd ett intervall för privata IP-adresser som inte överlappar med den lokala platsen som du ansluter från, eller med det virtuella nätverk som du ansluter till.

  4. Lämna kryssrutan för Konfigurera inte en gateway för tillfället avmarkerad. Vi skapar en gateway.

  5. Längst ned på sidan väljer du Nästa: Gateway >.

  6. På fliken Gateway väljer du följande värden:

    • Storlek: Storleken är gateway-SKU:n för din virtuella nätverksgateway. Standard-SKU på Azure Portal är Standard. Mer information om gateway-SKU:er finns i Om VPN Gateway-inställningar.
    • Routningstyp: Du måste välja Dynamisk för en punkt-till-plats-konfiguration. Statisk routning fungerar inte.
    • Gateway-undernät: Det här fältet är redan automatiskt ifyllt. Du kan inte ändra namnet. Om du försöker ändra namnet med hjälp av PowerShell eller något annat sätt fungerar inte gatewayen korrekt.
    • Adressintervall (CIDR-block): Även om det är möjligt att skapa ett gatewayundernät så litet som /29 rekommenderar vi att du skapar ett större undernät som innehåller fler adresser genom att välja minst /28 eller /27. Om du gör det kan det finnas tillräckligt med adresser för att hantera eventuella ytterligare konfigurationer som du kanske vill ha i framtiden. När du arbetar med gateway-undernät, bör du undvika att associera en nätverkssäkerhetsgrupp (NSG) till gateway-undernätet. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan vpn-gatewayen inte fungera som förväntat.

  7. Välj Granska + skapa för att verifiera inställningarna.

  8. När valideringen har godkänts väljer du Skapa. Det kan ta upp till 45 minuter innan en VPN-gateway är klar, beroende på vilken gateway-SKU du väljer.

Skapa certifikat

Azure använder certifikat för att autentisera VPN-klienter för punkt-till-plats-VPN. Du överför informationen om den offentliga nyckeln för rotcertifikatet till Azure. Den offentliga nyckeln anses sedan vara betrodd. Klientcertifikat måste skapas från det betrodda rotcertifikatet och sedan installeras på varje dator i certifikatarkivet Certifikat – aktuell användare\Personlig\Certifikat. Certifikatet används för att autentisera klienten när den ansluter till det virtuella nätverket.

Om du använder självsignerade certifikat måste de skapas med specifika parametrar. Du kan skapa ett självsignerat certifikat med hjälp av anvisningarna för PowerShell och Windows 10 eller senare, eller MakeCert. Det är viktigt att du följer stegen i anvisningarna när du använder självsignerade rotcertifikat och genererar klientcertifikat från det självsignerade rotcertifikatet. Annars kommer dina certifikat inte att vara kompatibla med P2S-anslutningar och du får ett anslutningsfel.

Hämta den offentliga nyckeln (.cer) för rotcertifikatet

Hämta .cer-filen för rotcertifikatet. Du kan antingen använda ett rotcertifikat som har genererats med en företagslösning (rekommenderas) eller generera ett självsignerat certifikat. När du har skapat rotcertifikatet exporterar du offentliga certifikatdata (inte den privata nyckeln) som en Base64-kodad X.509 .cer-fil. Du laddar upp den här filen senare till Azure.

  • Företagscertifikat: Om du använder en företagslösning kan du använda din befintliga certifikatkedja. Hämta .cer-filen för det rotcertifikat som du vill använda.

  • Självsignerat rotcertifikat: Om du inte använder en företagscertifikatlösning skapar du ett självsignerat rotcertifikat. Annars är de certifikat som du skapar inte kompatibla med dina P2S-anslutningar och klienterna får ett anslutningsfel när de försöker ansluta. Du kan använda Azure PowerShell, MakeCert eller OpenSSL. Stegen i följande artiklar beskriver hur du genererar ett kompatibelt självsignerat rotcertifikat:

Generera ett klientcertifikat

Varje klientdator som du ansluter till ett virtuellt nätverk med en punkt-till-plats-anslutning måste ha ett klientcertifikat installerat. Du kan generera det från rotcertifikatet och installera det på varje klientdator. Om du inte installerar ett giltigt klientcertifikat misslyckas autentiseringen när klienten försöker ansluta till det virtuella nätverket.

Du kan antingen generera ett unikt certifikat för varje klient eller använda samma certifikat för flera klienter. Fördelen med att generera unika klientcertifikat är möjligheten att återkalla ett enskilt certifikat. Om flera klienter i stället använder samma klientcertifikat och du behöver återkalla det, så måste du generera och installera nya certifikat för varje klient som använder certifikatet.

Du kan generera klientcertifikat på följande sätt:

  • Företagscertifikat:

    • Om du använder en lösning för företagscertifikat genererar du ett klientcertifikat med det allmänna namnvärdesformatet name@yourdomain.com. Använd det här formatet i stället för formatet domännamn\användarnamn.

    • Se till att klientcertifikatet baseras på en användarcertifikatmall där Klientautentisering är den första posten i användningslistan. Du kan kontrollera certifikatet genom att dubbelklicka på det och visa Förbättrad nyckelanvändning på fliken Information.

  • Självsignerat rotcertifikat: Följ stegen i någon av följande P2S-certifikatartiklar så att klientcertifikaten som du skapar är kompatibla med dina P2S-anslutningar.

    När du skapar ett klientcertifikat från ett självsignerat rotcertifikat installeras det automatiskt på den dator som du använde för att skapa det. Om du vill installera klientcertifikatet på en annan klientdator ska du exportera det som .pfx tillsammans med hela certifikatkedjan. Då skapas en .pfx-fil som innehåller den rotcertifikatinformation som krävs för att autentisera klienten.

    Stegen i de här artiklarna genererar ett kompatibelt klientcertifikat som du sedan kan exportera och distribuera.

    • PowerShell-instruktioner för Windows 10 eller senare: Dessa instruktioner kräver Windows 10 eller senare och PowerShell för att generera certifikat. Certifikaten som skapas kan installeras på valfri P2S-klient som stöds.

    • MakeCert-instruktioner: Använd MakeCert om du inte har åtkomst till en Windows 10- eller senare dator för att generera certifikat. MakeCert är inaktuellt, men du kan fortfarande använda det för att generera certifikat. Du kan installera de genererade certifikaten på valfri P2S-klient som stöds.

    • Linux-instruktioner.

Ladda upp .cer-filen med rotcertifikatet

När gatewayen har skapats laddar du upp CER-filen (som innehåller informationen om den offentliga nyckeln) för ett betrott rotcertifikat till Azure-servern. Ladda inte upp den privata nyckeln för rotcertifikatet. När du har laddat upp certifikatet använder Azure det för att autentisera klienter som har installerat ett klientcertifikat som har genererats från det betrodda rotcertifikatet. Du kan ladda upp ytterligare betrodda rotcertifikatfiler (upp till 20) senare om det behövs.

  1. Navigera till det virtuella nätverk som du skapade.
  2. Under Inställningar väljer du Punkt-till-plats-anslutningar.
  3. Välj Hantera certifikat.
  4. Välj överför.
  5. I fönstret Ladda upp ett certifikat väljer du mappikonen och navigerar till det certifikat som du vill ladda upp.
  6. Välj överför.
  7. När certifikatet har laddats upp kan du visa det på sidan Hantera certifikat. Du kan behöva välja Uppdatera för att visa certifikatet som du just laddade upp.

Konfigurera klienten

För att ansluta till ett virtuellt nätverk med hjälp av ett VPN för punkt-till-plats måste varje klient installera ett paket för konfiguration av den interna Windows VPN-klienten. Konfigurationspaketet ställer in den interna Windows VPN-klienten med de inställningar som krävs för att ansluta till det virtuella nätverket.

Du kan använda samma VPN-klientkonfigurationspaket på varje klientdator, förutsatt att versionen matchar arkitekturen för klienten. En lista över klientoperativsystem som stöds finns i Om punkt-till-plats-anslutningar och vanliga frågor och svar.

Skapa och installera ett VPN-klientkonfigurationspaket

  1. Gå till inställningarna för punkt-till-plats-anslutningar för ditt virtuella nätverk.

  2. Längst upp på sidan väljer du det nedladdningspaket som motsvarar klientoperativsystemet där det ska installeras:

    • För 64-bitarsklienter väljer du VPN-klient (64-bitars).
    • För 32-bitarsklienter väljer du VPN-klient (32-bitars).

  3. Azure genererar ett paket med de specifika inställningar som klienten kräver. Varje gång du gör ändringar i det virtuella nätverket eller gatewayen måste du ladda ned ett nytt klientkonfigurationspaket och installera dem på klientdatorerna.

  4. När paketet har genererats väljer du Ladda ned.

  5. Installera klientkonfigurationspaketet på klientdatorn. När du installerar, om du ser ett SmartScreen-popup-fönster som säger att Windows skyddade din dator, väljer du Mer information och väljer sedan Kör ändå. Du kan också spara paketet om du vill installera det på andra klientdatorer.

Installera ett klientcertifikat

I den här övningen installerades det automatiskt på datorn när du genererade klientcertifikatet. Om du vill skapa en P2S-anslutning från en annan klientdator än den som användes för att generera klientcertifikaten måste du installera det genererade klientcertifikatet på datorn.

När du installerar ett klientcertifikat behöver du lösenordet som skapades när klientcertifikatet exporterades. Normalt kan du installera certifikatet genom att bara dubbelklicka på det. Mer information finns i Installera ett exporterat klientcertifikat.

Anslut till ditt VNet

Kommentar

Du måste ha administratörsbehörigheter på den klientdator som du använder för att ansluta.

  1. Gå till VPN-inställningar på klientdatorn.
  2. Välj det VPN som du skapade. Om du använde exempelinställningarna kommer anslutningen att märkas Som Grupp TestRG VNet1.
  3. Välj Anslut.
  4. I rutan Virtuellt Windows Azure-nätverk väljer du Anslut. Om ett popup-meddelande om certifikatet visas väljer du Fortsätt för att använda utökade privilegier och Ja för att acceptera konfigurationsändringar.
  5. När anslutningen lyckas visas ett Anslut meddelande.

Om du har problem med att ansluta kan du kontrollera följande:

  • Om du har exporterat ett klientcertifikat med Certificate Export Wizard (guiden för certifikatexport) kontrollerar du att du har exporterat det som en .pfx-fil och valt Include all certificates in the certification path if possible (Inkludera alla certifikat i certifieringssökvägen om det är möjligt). När du exporterar det med det här värdet exporteras även rotcertifikatinformationen. När du har installerat certifikatet på klientdatorn installeras även rotcertifikatet i .pfx-filen. Kontrollera att rotcertifikatet har installerats genom att öppna Hantera användarcertifikat och välja Betrodda rotcertifikatutfärdare\certifikat. Kontrollera att rotcertifikatet finns med. Detta krävs för att autentiseringen ska fungera.

  • Om du använde ett certifikat som utfärdades av en certifikatutfärdarlösning för företag och du inte kan autentisera kontrollerar du autentiseringsordningen på klientcertifikatet. Kontrollera listan med autentiseringsordningen genom att dubbelklicka på klientcertifikatet, välja fliken Information och sedan välja Förbättrad nyckelanvändning. Kontrollera att Klientautentisering är den första posten i listan. Annars utfärdar du ett klientcertifikat baserat på den användarmall där Klientautentisering är den första posten i listan.

  • Mer information om P2S-felsökning finns i Felsöka P2S-anslutningar.

Verifiera VPN-anslutningen

  1. Kontrollera att VPN-anslutningen är aktiv. Öppna en upphöjd kommandotolk på klientdatorn och kör ipconfig/all.

  2. Granska resultaten. Observera att den IP-adress som du har fått är en av adresserna inom adressintervallet för punkt-till-plats-anslutningen som du angav när du skapade ditt VNet. Resultatet bör likna det här exemplet:

     PPP adapter VNet1:
     Connection-specific DNS Suffix .:
     Description.....................: VNet1
     Physical Address................:
     DHCP Enabled....................: No
     Autoconfiguration Enabled.......: Yes
     IPv4 Address....................: 172.16.201.11 (Preferred)
     Subnet Mask.....................: 255.255.255.255
     Default Gateway.................:
     NetBIOS over Tcpip..............: Enabled

Ansluta till en virtuell dator

Skapa en anslutning till fjärrskrivbord för att ansluta till en virtuell dator som distribueras till ditt VNet. Det bästa sättet att kontrollera att du kan ansluta till den virtuella datorn är via dess privata IP-adress i stället för datornamnet. På så sätt testar du om du kan ansluta, inte huruvida namnmatchningen är korrekt konfigurerad.

  1. Leta upp den privata IP-adressen för den virtuella datorn. Du hittar den privata IP-adressen för en virtuell dator genom att granska egenskaperna för den virtuella datorn på Azure-portalen eller med hjälp av PowerShell.
  2. Kontrollera att du är ansluten till ditt VNet med punkt-till-plats-anslutningen via VPN.
  3. Du öppnar fjärrskrivbordsanslutningen genom att ange RDP eller Anslutning till fjärrskrivbord i sökrutan i Aktivitetsfältet och sedan välja Anslutning till fjärrskrivbord. Du kan även öppna den med hjälp av kommandot mstsc i PowerShell.
  4. I fjärrskrivbordsanslutningen anger du den virtuella datorns privata IP-adress. Vid behov väljer du Visa alternativ för att justera ytterligare inställningar och ansluter därefter.

Felsöka en RDP-anslutning till en virtuell dator

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen finns det några saker som du kan kontrollera.

  • Kontrollera att VPN-anslutningen har genomförts.
  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.
  • Ange ipconfig för att kontrollera vilken IPv4-adress som har tilldelats till Ethernet-adaptern på den dator som du ansluter från. Ett överlappande adressutrymme uppstår om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till eller inom adressintervallet för din VPNClientAddressPool. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.
  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen, men inte med namnet på datorn, kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchningen fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.
  • Kontrollera att paketet för VPN-klientkonfiguration skapas efter att du anger IP-adresserna för DNS-server för det virtuella nätverket. Om du uppdaterar IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

Mer felsökningsinformation finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

Så här lägger du till eller tar bort betrodda rotcertifikat

Du kan lägga till och ta bort betrodda rotcertifikat från Azure. När du tar bort ett rotcertifikat kan klienter som har ett certifikat som genererats från det rotcertifikatet inte längre autentisera och ansluta. För att dessa klienter ska kunna autentisera och ansluta igen måste du installera ett nytt klientcertifikat som genereras från ett rotcertifikat som är betrott av Azure.

Lägga till ett betrott rotcertifikat

Du kan lägga till upp till 20 betrodda rotcertifikat .cer filer till Azure genom att använda samma process som du använde för att lägga till det första betrodda rotcertifikatet.

Ta bort ett betrott rotcertifikat

  1. I avsnittet Punkt-till-plats-anslutningar på sidan för ditt virtuella nätverk väljer du Hantera certifikat.
  2. Välj ellipsen bredvid det certifikat som du vill ta bort och välj sedan Ta bort.

Så här återkallar du ett klientcertifikat

Om det behövs kan du återkalla ett klientcertifikat. Du kan använda listan över återkallade certifikat för att selektivt neka punkt-till-plats-anslutningar baserat på enskilda klientcertifikat. Den här metoden skiljer sig från hur du tar bort ett betrott rotcertifikat. Om du tar bort CER-filen för ett betrott rotcertifikat i Azure återkallas åtkomsten för alla klientcertifikat som genererats/signerats med det återkallade rotcertifikatet. När du återkallar ett klientcertifikat snarare än rotcertifikatet så kan de andra certifikat som har skapats med rotcertifikatet fortfarande användas för autentisering av P2S-anslutningen.

Den vanligaste metoden är att använda rotcertifikatet för att hantera åtkomst på grupp- eller organisationsnivå, och att återkalla klientcertifikat för mer detaljerad åtkomstkontroll för enskilda användare.

Du kan återkalla ett klientcertifikat genom att lägga till tumavtrycket i listan över återkallade certifikat.

  1. Hämta klientcertifikatets tumavtryck. Mer information finns i How to: Retrieve the Thumbprint of a Certificate (Gör så här: Hämta tumavtrycket för ett certifikat).
  2. Kopiera informationen till en textredigerare och ta bort alla blanksteg så att strängen är i ett stycke.
  3. Gå till Punkt-till-plats-VPN-anslutning och välj sedan Hantera certifikat.
  4. Öppna sidan Lista över återkallade certifikat genom att välja Lista över återkallade certifikat.
  5. I Tumavtryck klistrar du in certifikattumavtrycket som en kontinuerlig textrad, utan blanksteg.
  6. Välj + Lägg till i listan för att lägga till tumavtrycket i listan över återkallade certifikat (CRL).

När uppdateringen är klar kan certifikatet inte längre användas för att ansluta. Klienter som försöker ansluta med det här certifikatet får ett meddelande om att certifikatet inte längre är giltigt.

Vanliga frågor

De här vanliga frågorna gäller för P2S-anslutningar som använder den klassiska distributionsmodellen.

Vilka klientoperativsystem kan jag använda med punkt-till-plats?

Följande klientoperativsystem stöds:

  • Windows 7 (32-bitars och 64-bitars)
  • Windows Server 2008 R2 (endast 64-bitars)
  • Windows 8 (32-bitars och 64-bitars)
  • Windows 8.1 (32-bitars och 64-bitars)
  • Windows Server 2012 (endast 64-bitars)
  • Windows Server 2012 R2 (endast 64-bitars)
  • Windows 10
  • Windows 11

Kan jag använda valfri VPN-klient för programvara som stöder SSTP för punkt-till-plats?

Nej. Stödet är enbart begränsat till de Windows-operativsystemversioner som anges.

Hur många VPN-klientslutpunkter kan finnas i min punkt-till-plats-konfiguration?

Antalet VPN-klientslutpunkter beror på din gateway-SKU och ditt protokoll.

VPN
Gateway
Generation		 SKU S2S/VNet-till-VNet
Tunnlar		 P2S
SSTP-Anslut ions		 P2S
IKEv2/OpenVPN Anslut ions		 Sammanlagda
Prestandamått för dataflöde		 BGP Zonredundant Antal virtuella datorer som stöds i det virtuella nätverket
Generation1 Grundläggande Max. 10 Max. 128 Stöds inte 100 Mbit/s Stöds inte Nej 200
Generation1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds Nej 450
Generation1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds Nej 1300
Generation1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds Nej 4000
Generation1 VPNGw1AZ Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds Ja 1000
Generation1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds Ja 2000
Generation1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds Ja 5000
Generation2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds Nej 685
Generation2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds Nej 2240
Generation2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds Nej 5300
Generation2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds Nej 6700
Generation2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds Ja 2000
Generation2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds Ja 3300
Generation2 VPNGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds Ja 4400
Generation2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds Ja 9 000

Kan jag använda min egen interna PKI-rot-CA för punkt-till-plats-anslutning?

Ja. Tidigare kunde bara självsignerade rotcertifikat användas. Du kan fortfarande överföra upp till 20 rotcertifikat.

Kan jag gå igenom proxyservrar och brandväggar med punkt-till-plats?

Ja. Vi använder Secure Socket Tunneling Protocol för tunneltrafik genom brandväggar. Den här tunneln visas som en HTTPs-anslutning.

Kommer VPN automatiskt att återansluta om jag startar om en klientdator som konfigurerats för punkt-till-plats?

Som standard kommer klientdatorn inte återupprätta VPN-anslutningen automatiskt.

Stöder punkt-till-plats automatisk återanslutning och DDNS på VPN-klienterna?

Nej. Automatisk återanslutning och DDNS stöds för närvarande inte i punkt-till-plats-VPN.

Kan jag ha plats-till-plats- och punkt-till-plats-konfigurationer för samma virtuella nätverk?

Ja. Båda dessa lösningar fungerar om du har en routningsbaserad VPN-typ för din gateway. I den klassiska distributionsmodellen måste du ha en dynamisk gateway. Vi stöder inte punkt-till-plats för statisk routning av VPN-gatewayer eller gatewayer som använder cmdleten -VpnType PolicyBased .

Kan jag konfigurera en punkt-till-plats-klient för att ansluta till flera virtuella nätverk samtidigt?

Ja. De virtuella nätverken kan dock inte ha överlappande IP-prefix och punkt-till-plats-adressutrymmena får inte överlappa mellan de virtuella nätverken.

Hur mycket dataflöde kan jag förvänta mig via plats-till-plats- eller punkt-till-plats-anslutningar?

Det är svårt att bibehålla ett exakt dataflöde i VPN-tunnlarna. IPsec och SSTP är kryptografifrekventa VPN-protokoll. Dataflödet är också begränsat av svarstiden och bandbredden mellan din lokala plats och Internet.

Nästa steg