部署 Always On VPN

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10

本部分介绍为已加入域的远程客户端计算机Always On VPN 连接的Windows 10工作流。 如果要配置条件访问以微调 VPN 用户访问资源的方式,请参阅使用 Azure AD 进行VPN 连接的条件性Azure AD。 若要详细了解使用客户端进行 VPN 连接的条件Azure AD,请参阅 中的条件Azure Active Directory。

下图说明了部署 VPN 时不同方案的Always On过程:

Flow chart of the Always On VPN deployment workflow

重要

对于此部署,基础结构服务器(如运行 Active Directory 域 Services、Active Directory 证书服务 和网络策略服务器的计算机)在 Windows Server 2016。 可以将早期版本的 Windows Server(例如 Windows Server 2012 R2)用于基础结构服务器和运行远程访问的服务器。

步骤 1。 规划始终启用 VPN 部署

在此步骤中,你将开始计划和准备Always On VPN 部署。 在计划用作 VPN 服务器的计算机上安装远程访问服务器角色之前。 正确规划后,可以部署 Always On VPN,并选择性地使用 AZURE AD 为 VPN 连接配置条件Azure AD。

步骤 2. 配置始终启用 VPN 服务器基础结构

在此步骤中,将安装和配置支持 VPN 所需的服务器端组件。 服务器端组件包括配置 PKI 以分发用户、VPN 服务器和 NPS 服务器使用的证书。 还可以将 RRAS 配置为支持 IKEv2 连接,将 NPS 服务器配置为对 VPN 连接执行授权。

若要配置服务器基础结构,必须执行以下任务:

  • 在配置有 Active Directory 域 服务的服务器上: 为计算机和用户组策略启用证书自动注册,创建 VPN 用户组、VPN 服务器组和 NPS 服务器组,以及将成员添加到每个组。
  • 在 Active Directory 证书服务器 CA 上: 创建用户身份验证、VPN 服务器身份验证和 NPS 服务器身份验证证书模板。
  • 在已加入域Windows 10客户端:注册和验证用户证书。

步骤 3. 为始终启用 VPN 配置远程访问服务器

在此步骤中,将远程访问 VPN 配置为允许 IKEv2 VPN 连接,拒绝来自其他 VPN 协议的连接,并分配静态 IP 地址池,以颁发 IP 地址以连接授权的 VPN 客户端。

若要配置 RAS,必须执行以下任务:

  • 注册并验证 VPN 服务器证书
  • 安装和配置远程访问 VPN

步骤 4. 安装和配置 NPS 服务器

在此步骤中,使用 (或) 添加角色和功能向导Windows PowerShell NPS 服务器管理器网络策略服务器。 还可以配置 NPS 以处理从 VPN 服务器接收的连接请求的所有身份验证、授权和记帐职责。

若要配置 NPS,必须执行以下任务:

  • 在 Active Directory 中注册 NPS 服务器
  • 为 NPS 服务器配置 RADIUS 记帐
  • 将 VPN 服务器添加为 NPS 中的 RADIUS 客户端
  • 在 NPS 中配置网络策略
  • 自动注册 NPS 服务器证书

步骤 5。 为 VPN 配置 DNS 设置防火墙Always On防火墙

在此步骤中,将配置 DNS 和防火墙设置。 当远程 VPN 客户端连接时,它们使用与内部客户端使用的 DNS 服务器相同的 DNS 服务器,从而允许它们以与内部工作站的其余部分相同的方式解析名称。

步骤 6. 配置 Windows 10 客户端始终启用 VPN 连接

在此步骤中,将Windows 10客户端计算机配置为通过 VPN 连接与该基础结构通信。 可以使用多种技术配置 VPN Windows 10,包括 Windows PowerShell、Microsoft Endpoint Configuration Manager 和 Intune。 这三个都需要 XML VPN 配置文件来配置相应的 VPN 设置。

步骤 7. (可选) 配置 VPN 连接的条件访问

在此可选步骤中,可以微调授权 VPN 用户访问资源的方式。 借助Azure AD VPN 连接的条件访问,可以帮助保护 VPN 连接。 条件访问是基于策略的评估引擎,可用于为连接的任何应用程序Azure AD规则。 有关详细信息,请参阅条件Azure Active Directory (Azure AD) 访问

后续步骤

步骤 1。 规划Always On VPN 部署:在计划用作 VPN 服务器的计算机上安装远程访问服务器角色之前。 正确规划后,可以部署 Always On VPN,并选择性地使用 AZURE AD 为 VPN 连接配置条件Azure AD。