Sertifika kimlik doğrulamasını kullanarak Noktadan Siteye bağlantı yapılandırma (klasik)

  • Makale

Bu makalede, klasik (eski) dağıtım modelini kullanarak Noktadan Siteye bağlantı ile sanal ağ oluşturma gösterilmektedir. Bu yapılandırma, bağlanan istemcinin kimliğini doğrulamak için otomatik olarak imzalanan veya CA tarafından verilen sertifikaları kullanır. Bu yönergeler klasik dağıtım modeline yöneliktir. Artık klasik dağıtım modelini kullanarak ağ geçidi oluşturasınız. Bunun yerine bu makalenin Resource Manager sürümüne bakın.

Önemli

Artık klasik dağıtım modeli (hizmet yönetimi) sanal ağları için yeni sanal ağ geçitleri oluşturasınız. Yeni sanal ağ geçitleri yalnızca Resource Manager sanal ağları için oluşturulabilir.

Tek bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı oluşturmak için Noktadan Siteye (P2S) VPN ağ geçidi kullanırsınız. Noktadan Siteye VPN bağlantıları, sanal ağınıza uzak bir konumdan bağlanmak istediğinizde kullanışlıdır. Sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda, P2S VPN Siteden Siteye VPN yerine kullanmak için kullanışlı bir çözümdür. P2S VPN bağlantısı, istemci bilgisayardan başlatılmasıyla oluşturulur.

Önemli

Klasik dağıtım modeli yalnızca Windows VPN istemcilerini destekler ve SSL tabanlı VPN protokolü olan Güvenli Yuva Tünel Protokolünü (SSTP) kullanır. Windows dışı VPN istemcilerini desteklemek için, VNet'inizi Resource Manager dağıtım modeliyle oluşturmanız gerekir. Resource Manager dağıtım modeli SSTP’ye ek olarak IKEv2 VPN desteği sunar. Daha fazla bilgi için bkz. P2S bağlantıları hakkında.

Klasik noktadan siteye mimariyi gösteren diyagram.

Not

Bu makale klasik (eski) dağıtım modeli için yazılmıştır. Bunun yerine en son Azure dağıtım modelini kullanmanızı öneririz. Resource Manager dağıtım modeli en son dağıtım modelidir ve klasik dağıtım modeline göre daha fazla seçenek ve özellik uyumluluğu sunar. Bu iki dağıtım modeli arasındaki farkı anlamak için bkz . Dağıtım modellerini ve kaynaklarınızın durumunu anlama.

Bu makalenin farklı bir sürümünü kullanmak istiyorsanız, sol bölmedeki içindekiler tablosunu kullanın.

Ayarlar ve gereksinimler

Gereksinimler

Noktadan Siteye sertifika kimlik doğrulama bağlantıları aşağıdaki öğeleri gerektirir. Bu makalede bunları oluşturmanıza yardımcı olacak adımlar vardır.

  • Bir Dinamik VPN ağ geçidi.
  • Azure’a yüklenmiş bir kök sertifikanın ortak anahtarı (.cer dosyası). Bu anahtar güvenilir bir sertifika olarak kabul edilir ve kimlik doğrulaması için kullanılır.
  • Kök sertifikadan oluşturulmuş ve bağlanacak her bir istemci bilgisayara yüklenmiş istemci sertifikası. Bu sertifika, istemci kimlik doğrulaması için kullanılır.
  • Bir VPN istemcisi yapılandırma paketi oluşturulmalı ve bağlanan her istemci bilgisayara yüklenmelidir. İstemci yapılandırma paketi, zaten işletim sisteminde olan yerel VPN istemcisini sanal ağa bağlanmak için gerekli bilgilerle yapılandırır.

Noktadan Siteye bağlantılar için VPN cihazı veya şirket içi genel kullanıma yönelik IP adresi gerekmez. VPN bağlantısı SSTP (Güvenli Yuva Tünel Protokolü) üzerinden oluşturulur. Sunucu tarafında 1.0, 1.1 ve 1.2 SSTP sürümlerini destekliyoruz. Kullanılacak sürüm, istemci tarafından belirlenir. Windows 8.1 ve sonraki sürümlerinde, SSTP'de varsayılan olarak 1.2 kullanılır.

Daha fazla bilgi için bkz . Noktadan Siteye bağlantılar hakkında ve SSS.

Örnek ayarlar

Bir test ortamı oluşturmak için aşağıdaki değerleri kullanın veya bu makaledeki örnekleri daha iyi anlamak için bu değerlere bakın:

  • Kaynak Grubu: TestRG
  • VNet Adı: VNet1
  • Adres alanı: 192.168.0.0/16
    Bu örnekte yalnızca bir adres alanı kullanılmaktadır. Sanal ağınıza ait birden fazla adres alanı olabilir.
  • Alt ağ adı: FrontEnd
  • Alt ağ adres aralığı: 192.168.1.0/24
  • GatewaySubnet: 192.168.200.0/24
  • Bölge: (ABD) Doğu ABD
  • İstemci adres alanı: 172.16.201.0/24
    Bu Noktadan Siteye bağlantıyı kullanarak sanal ağa bağlanan VPN istemcileri, belirtilen havuzdan bir IP adresi alır.
  • Bağlan türü: Noktadan siteye'yi seçin.

Başlamadan önce Azure aboneliğinizin olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Sanal ağ oluşturma

Zaten bir sanal ağınız varsa, ayarların VPN ağ geçidi tasarımınızla uyumlu olduğunu doğrulayın. Diğer ağlarla çakışabilecek alt ağlara özellikle dikkat edin.

  1. Tarayıcıdan Azure portalına gidin ve gerekiyorsa Azure hesabınızda oturum açın.
  2. +Kaynak oluştur'u seçin. Markette ara alanına 'Sanal Ağ' yazın. Döndürülen listeden Sanal Ağ bulun ve Sanal Ağ sayfasını açmak için seçin.
  3. Sanal Ağ sayfasındaki Oluştur düğmesinin altında "Resource Manager ile dağıt (Klasik olarak değiştir)" ifadesini görürsünüz. Resource Manager, sanal ağ oluşturmak için varsayılan değerdir. Resource Manager sanal ağı oluşturmak istemiyorsunuz. Klasik sanal ağ oluşturmak için (Klasik olarak değiştirin) öğesini seçin. Ardından Genel Bakış sekmesini ve ardından Oluştur'u seçin.
  4. Sanal ağ oluştur (klasik) sayfasındaki Temel bilgiler sekmesinde sanal ağ ayarlarını örnek değerlerle yapılandırın.
  5. Sanal ağınızı doğrulamak için Gözden geçir ve oluştur'u seçin.
  6. Doğrulama çalıştırmaları. Sanal ağ doğrulandıktan sonra Oluştur'u seçin.

DNS ayarları bu yapılandırmanın gerekli bir parçası değildir, ancak VM'leriniz arasında ad çözümlemesi istiyorsanız DNS gereklidir. Bir değer belirtildiğinde yeni bir DNS sunucusu oluşturulmaz. Belirttiğiniz DNS sunucusu IP adresi, bağlandığınız kaynakların adlarını çözümleyebilen bir DNS sunucusu olmalıdır.

Sanal ağınızı oluşturduktan sonra ad çözünürlüğünü işlemek için bir DNS sunucusunun IP adresini ekleyebilirsiniz. Sanal ağınızın ayarlarını açın, DNS sunucuları'nı seçin ve ad çözümlemesi için kullanmak istediğiniz DNS sunucusunun IP adresini ekleyin.

  1. Portalda sanal ağı bulun.
  2. Sanal ağınızın sayfasındaki Ayarlar bölümünde DNS sunucuları'nı seçin.
  3. Bir DNS sunucusu ekleyin.
  4. Ayarlarınızı kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

VPN ağ geçidi oluşturma

  1. Oluşturduğunuz sanal ağa gidin.

  2. Sanal ağ sayfasındaki Ayarlar altında Ağ Geçidi'ni seçin. Ağ Geçidi sayfasında, sanal ağınız için ağ geçidini görüntüleyebilirsiniz. Bu sanal ağın henüz bir ağ geçidi yok. Bağlantı ve ağ geçidi eklemek için buraya tıklayın yazan nota tıklayın.

  3. VPN bağlantısı ve ağ geçidi yapılandırma sayfasında aşağıdaki ayarları seçin:

    • Bağlantı türü: Noktadan siteye
    • İstemci adres alanı: Bağlanırken VPN istemcilerinin bir IP adresi aldığı IP adresi aralığını ekleyin. Bağlandığınız şirket içi konumla veya bağlandığınız sanal ağ ile çakışmayan bir özel IP adresi aralığı kullanın.

  4. Şu anda ağ geçidi yapılandırma onay kutusunu seçili değil olarak bırakın. Bir ağ geçidi oluşturacağız.

  5. Sayfanın en altında İleri: Ağ Geçidi'ni >seçin.

  6. Ağ Geçidi sekmesinde aşağıdaki değerleri seçin:

    • Boyut: Boyut, sanal ağ geçidinizin ağ geçidi SKU'sudur. Azure portalında varsayılan SKU Varsayılan'dır. Ağ geçidi SKU'ları hakkında daha fazla bilgi için bkz . VPN ağ geçidi ayarları hakkında.
    • Yönlendirme Türü: Noktadan siteye yapılandırma için Dinamik'i seçmelisiniz. Statik yönlendirme çalışmaz.
    • Ağ geçidi alt ağı: Bu alan zaten otomatik olarak doldurulmuş. Adı değiştiremezsiniz. PowerShell veya başka bir yolla adı değiştirmeye çalışırsanız ağ geçidi düzgün çalışmaz.
    • Adres aralığı (CIDR bloğu): /29 kadar küçük bir ağ geçidi alt ağı oluşturmak mümkün olsa da, en az /28 veya /27 seçerek daha fazla adres içeren daha büyük bir alt ağ oluşturmanızı öneririz. Bunu yapmak, gelecekte isteyebileceğiniz olası ek yapılandırmaları barındırmak için yeterli adrese izin verir. Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunu bu alt ağ ile ilişkilendirmek VPN ağ geçidinizin beklendiği gibi çalışmamasına neden olabilir.

  7. Ayarlarınızı doğrulamak için Gözden geçir ve oluştur'u seçin.

  8. Doğrulama başarılı olduktan sonra Oluştur'u seçin. Vpn ağ geçidinin tamamlanması, seçtiğiniz ağ geçidi SKU'sunun bağlı olarak 45 dakika kadar sürebilir.

Sertifika oluşturma

Azure, Noktadan Siteye VPN'ler için VPN istemcilerinin kimliğini doğrulamak için sertifikalar kullanır. Kök sertifikanın ortak anahtar bilgilerini Azure'a yükleyin. Daha sonra ortak anahtar güvenilir olarak kabul edilir. İstemci sertifikaları güvenilen kök sertifikadan oluşturulmalı ve ardından Sertifikalar-Geçerli Kullanıcı\Kişisel\Sertifikalar sertifika deposundaki her istemci bilgisayara yüklenmelidir. Sertifika, sanal ağa bağlandığında istemcinin kimliğini doğrulamak için kullanılır.

Otomatik olarak imzalanan sertifikalar kullanıyorsanız, bunlar belirli parametreler kullanılarak oluşturulmalıdır. PowerShell ve Windows 10 veya sonraki sürümleri veya MakeCert yönergelerini kullanarak otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Otomatik olarak imzalanan kök sertifikaları kullanırken ve otomatik olarak imzalanan kök sertifikadan istemci sertifikaları oluştururken bu yönergelerdeki adımları izlemek önemlidir. Aksi takdirde, oluşturduğunuz sertifikalar P2S bağlantılarıyla uyumlu olmaz ve bağlantı hatası alırsınız.

Kök sertifika için ortak anahtarı (.cer) alma

Kök sertifika için .cer dosyasını alın. Kurumsal çözümle oluşturulmuş bir kök sertifika kullanabilir (önerilir) veya otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Kök sertifikayı oluşturduktan sonra, genel sertifika verilerini (özel anahtar değil) Base64 kodlanmış X.509 .cer dosyası olarak dışarı aktarın. Bu dosyayı daha sonra Azure'a yüklersiniz.

  • Kurumsal sertifika: Kurumsal bir çözüm kullanıyorsanız mevcut sertifika zincirinizi kullanabilirsiniz. Kullanmak istediğiniz kök sertifika için .cer dosyasını alın.

  • Otomatik olarak imzalanan kök sertifika: Kurumsal sertifika çözümü kullanmıyorsanız, otomatik olarak imzalanan bir kök sertifika oluşturun. Aksi takdirde, oluşturduğunuz sertifikalar P2S bağlantılarınızla uyumlu olmaz ve istemciler bağlanmaya çalıştıklarında bir bağlantı hatası alır. Azure PowerShell, MakeCert veya OpenSSL kullanabilirsiniz. Aşağıdaki makalelerdeki adımlar, uyumlu bir otomatik olarak imzalanan kök sertifikanın nasıl oluşturulacağı açıklanmaktadır:

    • Windows 10 veya üzeri için PowerShell yönergeleri: Bu yönergeler, Windows 10 veya üzeri çalıştıran bir bilgisayarda PowerShell gerektirir. Kök sertifikadan oluşturulan istemci sertifikaları tüm desteklenen P2S istemcilere yüklenebilir.
    • MakeCert yönergeleri: Windows 10 veya üzerini çalıştıran bir bilgisayara erişiminiz yoksa sertifika oluşturmak için MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Kök sertifikadan oluşturduğunuz istemci sertifikaları desteklenen herhangi bir P2S istemcisine yüklenebilir.
    • Linux - OpenSSL yönergeleri
    • Linux - strongSwan yönergeleri

İstemci sertifikası oluşturma

Noktadan siteye bağlantısı olan bir sanal ağa bağladığınız her istemci bilgisayarda bir istemci sertifikası yüklü olmalıdır. Kök sertifikadan oluşturur ve her istemci bilgisayara yüklersiniz. Geçerli bir istemci sertifikası yüklemezseniz, istemci sanal ağa bağlanmaya çalıştığında kimlik doğrulaması başarısız olur.

Her istemci için benzersiz bir sertifika oluşturabileceğiniz gibi, birden çok istemci için aynı sertifikayı da kullanabilirsiniz. Benzersiz istemci sertifikaları oluşturmanın avantajı, tek bir sertifikayı iptal edebiliyor olmanızdır. Aksi takdirde, birden çok istemci kimlik doğrulaması yapmak için aynı istemci sertifikasını kullanır ve bunu iptal ederseniz, bu sertifikayı kullanan her istemci için yeni sertifikalar oluşturmanız ve yüklemeniz gerekir.

aşağıdaki yöntemleri kullanarak istemci sertifikaları oluşturabilirsiniz:

  • Kurumsal sertifika:

    • Kurumsal sertifika çözümü kullanıyorsanız ortak ad değeri biçiminde name@yourdomain.combir istemci sertifikası oluşturun. Etki alanı adı\kullanıcı adı biçimi yerine bu biçimi kullanın.

    • İstemci sertifikasının, kullanıcı listesindeki ilk öğe olarak İstemci Kimlik Doğrulaması'nın listelendiği bir kullanıcı sertifikası şablonunu temel aldığından emin olun. Sertifikaya çift tıklayıp Ayrıntılar sekmesinde Gelişmiş Anahtar Kullanımı'nı görüntüleyerek sertifikayı denetleyin.

  • Otomatik olarak imzalanan kök sertifika: Oluşturduğunuz istemci sertifikalarının P2S bağlantılarınızla uyumlu olması için aşağıdaki P2S sertifika makalelerinden birinde yer alan adımları izleyin.

    Otomatik olarak imzalanan bir kök sertifikadan bir istemci sertifikası oluşturduğunuzda, otomatik olarak bunu oluşturmak için kullandığınız bilgisayara yüklenir. Başka bir istemci bilgisayara bir istemci sertifikası yüklemek istiyorsanız, sertifika zincirinin tamamıyla birlikte .pfx dosyası olarak dışarı aktarın. Bunu yaptığınızda, istemcinin kimlik doğrulaması için gereken kök sertifika bilgilerini içeren bir .pfx dosyası oluşturulur.

    Bu makalelerdeki adımlar, daha sonra dışarı aktarabileceğiniz ve dağıtabileceğiniz uyumlu bir istemci sertifikası oluşturur.

    • Windows 10 veya üzeri PowerShell yönergeleri: Bu yönergeler, sertifika oluşturmak için Windows 10 veya üzerini ve PowerShell'i gerektirir. Oluşturulan sertifikalar desteklenen herhangi bir P2S istemcisine yüklenebilir.

    • MakeCert yönergeleri: Sertifika oluşturmak için Windows 10 veya sonraki bir bilgisayara erişiminiz yoksa MakeCert kullanın. MakeCert kullanımdan kaldırılmış olsa da sertifika oluşturmak için bunu kullanmaya devam edebilirsiniz. Oluşturulan sertifikaları desteklenen herhangi bir P2S istemcisine yükleyebilirsiniz.

    • Linux yönergeleri.

Kök sertifika .cer dosyasını karşıya yükleme

Ağ geçidi oluşturulduktan sonra, güvenilir bir kök sertifikanın .cer dosyasını (ortak anahtar bilgilerini içerir) Azure sunucusuna yükleyin. Kök sertifikanın özel anahtarını karşıya yüklemeyin. Sertifikayı karşıya yükledikten sonra Azure, güvenilen kök sertifikadan oluşturulan bir istemci sertifikası yüklemiş olan istemcilerin kimliğini doğrulamak için bu sertifikayı kullanır. Gerekirse daha sonra ek güvenilen kök sertifika dosyalarını (en fazla 20) karşıya yükleyebilirsiniz.

  1. Oluşturduğunuz sanal ağa gidin.
  2. Ayarlar altında Noktadan siteye bağlantılar'ı seçin.
  3. Sertifikayı yönet'i seçin.
  4. Yükle'yi seçin.
  5. Sertifikayı karşıya yükle bölmesinde klasör simgesini seçin ve karşıya yüklemek istediğiniz sertifikaya gidin.
  6. Yükle'yi seçin.
  7. Sertifika başarıyla yüklendikten sonra Sertifikayı yönet sayfasında görüntüleyebilirsiniz. Yeni yüklediğiniz sertifikayı görüntülemek için Yenile'yi seçmeniz gerekebilir.

İstemciyi yapılandırma

Noktadan Siteye VPN kullanarak bir sanal ağa bağlanmak için, her istemcinin yerel Windows VPN istemcisini yapılandırmak için bir paket yüklemesi gerekir. Yapılandırma paketi, sanal ağa bağlanmak için gereken ayarlarla yerel Windows VPN istemcisini yapılandırır.

Sürümünün istemci mimarisiyle eşleşmesi şartıyla, her istemci bilgisayarda aynı VPN istemcisi yapılandırma paketini kullanabilirsiniz. Desteklenen istemci işletim sistemlerinin listesi için bkz . Noktadan Siteye bağlantılar hakkında ve SSS.

VPN istemcisi yapılandırma paketi oluşturma ve yükleme

  1. Sanal ağınız için Noktadan siteye bağlantılar ayarlarına gidin.

  2. Sayfanın üst kısmında, yükleneceği istemci işletim sistemine karşılık gelen indirme paketini seçin:

    • 64 bit istemciler için VPN istemcisi (64 bit) seçeneğini belirleyin.
    • 32 bit istemciler için VPN istemcisi (32 bit) seçeneğini belirleyin.

  3. Azure, istemcinin gerektirdiği belirli ayarlara sahip bir paket oluşturur. Sanal ağda veya ağ geçidinde her değişiklik yaptığınızda, yeni bir istemci yapılandırma paketi indirmeniz ve bunları istemci bilgisayarlarınıza yüklemeniz gerekir.

  4. Paket oluşturduktan sonra İndir'i seçin.

  5. İstemci yapılandırma paketini istemci bilgisayarınıza yükleyin. Yüklerken Windows'un bilgisayarınızı koruduğunu belirten bir SmartScreen açılır penceresi görürseniz Diğer bilgiler'i ve ardından Yine de çalıştır'ı seçin. Paketi ayrıca diğer istemci bilgisayarlara yüklemek üzere kaydedebilirsiniz.

İstemci sertifikası yükleme

Bu alıştırmada, istemci sertifikasını oluşturduğunuzda, otomatik olarak bilgisayarınıza yüklendi. İstemci sertifikalarını oluşturmak için kullanılandan farklı bir istemci bilgisayardan P2S bağlantısı oluşturmak için, oluşturulan istemci sertifikasını o bilgisayara yüklemeniz gerekir.

bir istemci sertifikası yüklediğinizde, istemci sertifikası dışarı aktarılırken oluşturulan parolaya ihtiyacınız vardır. Genellikle sertifikayı çift tıklayarak yükleyebilirsiniz. Daha fazla bilgi için bkz. Dışarı aktarılan istemci sertifikasını yükleme.

Sanal ağınıza bağlanma

Not

Bağlanmakta olduğunuz istemci bilgisayarında Yönetici haklarına sahip olmanız gerekir.

  1. İstemci bilgisayarda VPN ayarları'na gidin.
  2. Oluşturduğunuz VPN'i seçin. Örnek ayarları kullandıysanız, bağlantı Grup TestRG VNet1 olarak etiketlenir.
  3. Bağlan'ı seçin.
  4. Windows Azure Sanal Ağ kutusunda Bağlan'ı seçin. Sertifikayla ilgili bir açılır ileti görüntülenirse, yükseltilmiş ayrıcalıkları kullanmak için Devam'ı ve yapılandırma değişikliklerini kabul etmek için Evet'i seçin.
  5. Bağlantınız başarılı olduğunda Bağlan bir bildirim görürsünüz.

Bağlanırken sorun yaşıyorsanız aşağıdaki öğeleri denetleyin:

  • Sertifika Dışarı Aktarma Sihirbazı ile bir istemci sertifikasını dışarı aktardıysanız, bunu bir .pfx dosyası olarak dışarı aktardığınızdan ve mümkünse tüm sertifikaları sertifika yoluna ekle'yi seçtiğinizden emin olun. Bu değerle dışarı aktardığınızda kök sertifika bilgileri de dışarı aktarılır. Sertifikayı istemci bilgisayara yükledikten sonra, .pfx dosyasındaki kök sertifika da yüklenir. Kök sertifikanın yüklü olduğunu doğrulamak için Kullanıcı sertifikalarını yönet'i açın ve Güvenilen Kök Sertifika Yetkilileri\Sertifikalar'ı seçin. Kimlik doğrulamasının çalışması için mevcut olması gereken kök sertifikanın listelendiğini doğrulayın.

  • Kurumsal CA çözümü tarafından verilen bir sertifika kullandıysanız ve kimlik doğrulaması gerçekleştiremiyorsanız, istemci sertifikasında kimlik doğrulama sırasını doğrulayın. İstemci sertifikasına çift tıklayıp Ayrıntılar sekmesini ve ardından Gelişmiş Anahtar Kullanımı'nı seçerek kimlik doğrulama listesi sırasını denetleyin. İstemci Kimlik Doğrulaması'nın listedeki ilk öğe olduğundan emin olun. Değilse, listedeki ilk öğe olarak İstemci Kimlik Doğrulaması olan kullanıcı şablonunu temel alan bir istemci sertifikası verin.

  • P2S hakkında ek sorun giderme bilgileri için bkz. P2S bağlantılarının sorunlarını giderme.

VPN bağlantısını doğrulama

  1. VPN bağlantınızın etkin olduğunu doğrulayın. İstemci bilgisayarınızda yükseltilmiş bir komut istemi açın ve ipconfig/all komutunu çalıştırın.

  2. Sonuçlara bakın. Aldığınız IP adresinin, sanal ağınızı oluştururken belirlediğiniz Noktadan Siteye bağlantı adres aralığı içerisinden bir adres olduğuna dikkat edin. Sonuçlar şu örneğe benzer olmalıdır:

     PPP adapter VNet1:
     Connection-specific DNS Suffix .:
     Description.....................: VNet1
     Physical Address................:
     DHCP Enabled....................: No
     Autoconfiguration Enabled.......: Yes
     IPv4 Address....................: 172.16.201.11 (Preferred)
     Subnet Mask.....................: 255.255.255.255
     Default Gateway.................:
     NetBIOS over Tcpip..............: Enabled

Sanal makineye bağlanma

Sanal ağınıza dağıtılan bir VM'ye bağlanmak için Uzak Masaüstü Bağlan oluşturun. VM'nize bağlanabildiğinizi doğrulamanın en iyi yolu, bilgisayar adı yerine özel IP adresiyle bağlanmaktır. Bu şekilde, ad çözümlemenin düzgün yapılandırılıp yapılandırılmadığını değil bağlanıp bağlanamayacağınızı test edersiniz.

  1. Sanal makinenizin özel IP adresini bulun. Bir VM'nin özel IP adresini bulmak için Azure portalında VM'nin özelliklerini görüntüleyin veya PowerShell'i kullanın.
  2. Noktadan Siteye VPN bağlantısıyla sanal ağınıza bağlı olduğunuzu doğrulayın.
  3. Uzak Masaüstü Bağlan'ni açmak için görev çubuğundaki arama kutusuna RDP veya Uzak Masaüstü Bağlan ion yazın, ardından Uzak Masaüstü Bağlan ion'ı seçin. PowerShell'de mstsc komutunu kullanarak da açabilirsiniz.
  4. Uzak Masaüstü Bağlan ion'da VM'nin özel IP adresini girin. Gerekirse, ek ayarları yapmak için Seçenekleri Göster'i seçin ve ardından bağlanın.

VM ile RDP bağlantısı sorunlarını giderme

VPN bağlantınız üzerinden bir sanal makineye bağlanırken sorun yaşıyorsanız, denetleyebileceğiniz birkaç şey vardır.

  • VPN bağlantınızın başarılı olduğunu doğrulayın.
  • VM'nin özel IP adresine bağlandığınızı doğrulayın.
  • Bağlandığınız bilgisayardaki Ethernet bağdaştırıcısına atanan IPv4 adresini denetlemek için ipconfig girin. IP adresi, bağlandığınız sanal ağın adres aralığı içinde veya VPNClientAddressPool adres aralığı içinde olduğunda çakışan bir adres alanı oluşur. Adres alanınız bu şekilde çakıştığında, ağ trafiği Azure’a ulaşmaz ve yerel ağda kalır.
  • Sanal makineye özel IP adresini kullanarak bağlanabiliyorsanız ancak bilgisayar adını kullanamıyorsanız, DNS'yi doğru yapılandırdığınızdan emin olun. VM’ler için ad çözümlemesinin nasıl çalıştığı hakkında daha fazla bilgi için bkz. VM'ler için Ad Çözümlemesi.
  • Sanal ağ için DNS sunucusu IP adreslerini belirttikten sonra VPN istemcisi yapılandırma paketinin oluşturulduğunu doğrulayın. DNS sunucusu IP adreslerini güncelleştirirseniz yeni bir VPN istemcisi yapılandırma paketi oluşturup yükleyin.

Daha fazla sorun giderme bilgisi için bkz. VM ile Uzak Masaüstü bağlantılarında sorun giderme.

Güvenilen kök sertifika ekleme veya kaldırma

Azure’da güvenilen kök sertifikayı ekleyebilir veya kaldırabilirsiniz. Bir kök sertifikayı kaldırdığınızda, bu kökten oluşturulmuş bir sertifikaya sahip istemciler artık kimlik doğrulaması ve bağlantı kuramıyor. Bu istemcilerin kimlik doğrulaması yapması ve yeniden bağlanması için, Azure tarafından güvenilen bir kök sertifikadan oluşturulan yeni bir istemci sertifikası yüklemeniz gerekir.

Güvenilen kök sertifika ekleme

İlk güvenilen kök sertifikayı eklemek için kullandığınız işlemi kullanarak Azure'a en fazla 20 güvenilen kök sertifika .cer dosya ekleyebilirsiniz.

Güvenilen kök sertifikayı kaldırma

  1. VNet'inizin sayfasının Noktadan siteye bağlantılar bölümünde Sertifikayı yönet'i seçin.
  2. Kaldırmak istediğiniz sertifikanın yanındaki üç noktayı ve ardından Sil'i seçin.

İstemci sertifikasını iptal etmek için

Gerekirse, bir istemci sertifikayı iptal edebilirsiniz. Sertifika iptal listesi sayesinde, ayrı istemci sertifikalarına göre Noktadan Siteye bağlantıyı seçmeli olarak reddedebilirsiniz. Bu yöntem, güvenilen kök sertifikanın kaldırılmasından farklıdır. Azure’dan güvenilen kök sertifika .cer dosyasını kaldırırsanız iptal edilen kök sertifika tarafından oluşturulan/imzalanan tüm istemci sertifikaları reddedilir. Kök sertifika yerine istemci sertifikasını iptal etmek, kök sertifikadan oluşturulan diğer sertifikaların Noktadan Siteye bağlantı için kimlik doğrulaması amacıyla kullanılmaya devam edilmesine olanak sağlar.

Genellikle ekip ve kuruluş düzeylerinde erişimi yönetmek için kök sertifika kullanılırken ayrı kullanıcılar üzerinde ayrıntılı erişim denetimi için iptal edilen istemci sertifikaları kullanılır.

Parmak izini iptal listesine ekleyerek bir istemci sertifikasını iptal edebilirsiniz.

  1. İstemci sertifikasının parmak izini alın. Daha fazla bilgi için bkz. Nasıl yapılır: Bir Sertifikanın Parmak İzini Alma.
  2. Bilgileri bir metin düzenleyicisine kopyalayın ve sürekli bir dize olması için boşluklarını kaldırın.
  3. Noktadan siteye VPN bağlantısı'na gidin ve Sertifikayı yönet'i seçin.
  4. İptal listesi sayfasını açmak için İptal listesi'niseçin.
  5. Parmak İzi'nde, sertifika parmak izini boşluksuz, sürekli bir metin satırı olarak yapıştırın.
  6. Parmak izini sertifika iptal listesine (CRL) eklemek için + Listeye ekle'yi seçin.

Güncelleştirme tamamlandıktan sonra sertifika artık bağlanmak için kullanılamaz. Bu sertifikayı kullanarak bağlanmaya çalışan istemciler, sertifikanın artık geçerli olmadığını belirten bir ileti alır.

SSS

Bu SSS, klasik dağıtım modelini kullanan P2S bağlantıları için geçerlidir.

Noktadan siteye hangi istemci işletim sistemlerini kullanabilirim?

Aşağıdaki istemci işletim sistemleri desteklenmektedir:

  • Windows 7 (32 bit ve 64 bit)
  • Windows Server 2008 R2 (yalnızca 64 bit)
  • Windows 8 (32 bit ve 64 bit)
  • Windows 8.1 (32 bit ve 64 bit)
  • Windows Server 2012 (yalnızca 64 bit)
  • Windows Server 2012 R2 (yalnızca 64 bit)
  • Windows 10
  • Windows 11

Noktadan siteye SSTP'yi destekleyen herhangi bir yazılım VPN istemcisi kullanabilir miyim?

Hayır Destek yalnızca listelenen Windows işletim sistemi sürümleriyle sınırlıdır.

Noktadan siteye yapılandırmamda kaç VPN istemci uç noktası bulunabilir?

VPN istemci uç noktalarının sayısı ağ geçidi sku'nuza ve protokolünüze bağlıdır.

VPN
Ağ Geçidi
Nesil		 SKU S2S/Sanal Ağdan Sanal Ağa
Tünel		 P2S
SSTP Bağlan ions		 P2S
IKEv2/OpenVPN Bağlan ions		 Toplama
Aktarım Hızı Karşılaştırması		 BGP Alanlar arası yedekli Sanal Ağ DESTEKLENEN VM Sayısı
Nesil1 Temel Maks. 10 Maks. 128 Desteklenmiyor 100 Mb/sn Desteklenmiyor Hayır 200
Nesil1 VpnGw1 Maks. 30 Maks. 128 Maks. 250 650 Mbps Desteklenir Hayır 450
Nesil1 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1 Gbps Desteklenir Hayır 1300
Nesil1 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 1,25 Gb/sn Desteklenir Hayır 4000
Nesil1 VpnGw1AZ Maks. 30 Maks. 128 Maks. 250 650 Mbps Desteklenir Yes 1000
Nesil1 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1 Gbps Desteklenir Yes Kategori 2000
Nesil1 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 1,25 Gb/sn Desteklenir Yes Kategori 5000
Nesil2 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1,25 Gb/sn Desteklenir Hayır 685
Nesil2 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 2,5 Gb/sn Desteklenir Hayır 2240
Nesil2 VpnGw4 Maks. 100* Maks. 128 Maks. Kategori 5000 5 Gbps Desteklenir Hayır 5300
Nesil2 VpnGw5 Maks. 100* Maks. 128 Maks. 10000 10 Gbps Desteklenir Hayır 6700
Nesil2 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1,25 Gb/sn Desteklenir Yes Kategori 2000
Nesil2 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 2,5 Gb/sn Desteklenir Yes 3300
Nesil2 VpnGw4AZ Maks. 100* Maks. 128 Maks. Kategori 5000 5 Gbps Desteklenir Yes 4400
Nesil2 VpnGw5AZ Maks. 100* Maks. 128 Maks. 10000 10 Gbps Desteklenir Yes 9000

Noktadan siteye bağlantı için kendi iç PKI kök CA'mı kullanabilir miyim?

Evet. Önceden, yalnızca otomatik olarak imzalanan kök sertifikalar kullanılabiliyordu. Yine de en fazla 20 kök sertifika yükleyebilirsiniz.

Noktadan siteye kullanarak proxy'leri ve güvenlik duvarlarını çapraz geçiş yapabilir miyim?

Evet. Güvenlik duvarları arasında tünel açmak için Güvenli Yuva Tünel Protokolü (SSTP) kullanırız. Bu tünel bir HTTPS bağlantısı olarak görünür.

Noktadan siteye için yapılandırılmış bir istemci bilgisayarı yeniden başlatırsam VPN otomatik olarak yeniden bağlanır mı?

Varsayılan olarak, istemci bilgisayar VPN bağlantısını otomatik olarak yeniden kuramaz.

Noktadan siteye vpn istemcilerinde otomatik yeniden bağlanmayı ve DDNS'yi destekliyor mu?

Hayır Otomatik yeniden bağlanma ve DDN'ler şu anda noktadan siteye VPN'lerde desteklenmemektedir.

Aynı sanal ağ için Siteden Siteye ve noktadan siteye yapılandırmaları alabilir miyim?

Evet. Ağ geçidiniz için RouteBased VPN türünüz varsa her iki çözüm de çalışır. Klasik dağıtım modeli için dinamik bir ağ geçidiniz olması gerekir. Statik yönlendirme VPN ağ geçitleri veya -VpnType PolicyBased cmdlet'ini kullanan ağ geçitleri için noktadan siteye desteğimiz yoktur.

Noktadan siteye istemciyi aynı anda birden çok sanal ağa bağlanacak şekilde yapılandırabilir miyim?

Evet. Ancak, sanal ağlarda çakışan IP ön ekleri olamaz ve noktadan siteye adres alanlarının sanal ağlar arasında çakışmaması gerekir.

Siteden Siteye veya noktadan siteye bağlantılar aracılığıyla ne kadar aktarım hızı bekleyebilirsiniz?

VPN tünellerinin tam verimini elde etmek zordur. IPsec ve SSTP şifrelemesi ağır VPN protokolleridir. Aktarım hızı, şirket içi ve İnternet arasındaki gecikme süresi ve bant genişliğiyle de sınırlıdır.

Sonraki adımlar