始終在線VPN 系列第五部分:客戶端連接設置

更新時間

歡迎來到我們始終在線VPN 系列的第五部分!到目前為止,您已經了解了始終在線VPN 的工作原理,配置了證書頒發機構,安裝了NPS 和RRAS 以實現遠端連接,並為安全連接設定了網路。現在是時候讓您的客戶端進行連線了!

目錄

  • 建立始終在線VPN 用戶端模板
  • 測試始終在線VPN 連接
  • 部署始終在線VPN 連線模板
  • 始終在線VPN 的下一步是什麼?

作者

Joseph Moody
Joseph Moody 是一位公立學校系統的網路管理員,負責管理5,500 台PC。他是雲端和資料中心管理領域的微軟最有價值專家(MVP),並在DeployHappiness.com 上進行部落格寫作。

建立始終在線VPN 用戶端模板

首先,您需要一台乾淨的網域加入機器(實體或虛擬)。該機器應運行Windows 10 1607 或更高版本。這台計算機將作為您的模板機器。它需要一種方式從外部連接到您的遠端存取/VPN 伺服器。在這台機器上,您將手動建立VPN 連線並進行測試。雖然您可以手動建立XML 連接模板,但透過連接精靈配置它並稍後使用PowerShell 匯出可能更簡單。我們現在就來做這件事。

在第3 和第4 部分中,我們回顧了網路策略伺服器(NPS)或遠端身分驗證撥號使用者服務(RADIUS)的憑證需求。為了獲得最佳安全性,您的客戶端在連線時應知道NPS 主機名稱。頒發給NPS 機器的憑證將儲存此確切主機名稱以及受信任的憑證授權單位(CA)的名稱。

連接到您的NPS/RADIUS 機器並啟動NPS Microsoft 管理控制台(MMC)。擴展到Policies\Network Policies 。右鍵點選您在第3 部分建立的虛擬私人網路(VPN) 網路策略,並選擇屬性

Constraints選項卡上。在Authentication Methods約束中,選擇Microsoft: Protected EAP (PEAP) ,然後按一下編輯

現在應該會開啟編輯受保護的EAP 屬性視窗。記下issued to值以及Issuer值。取得這些值後,您可以取消開啟的任何NPS 控制台視窗。您將在下面的高級範本配置部分輸入這些值。

在您的範本機器上,以VPN 使用者群組的成員身分登入。一旦登錄,打開certmgr.msc並驗證是否從VPN 用戶模板中頒發了證書。如果沒有,請查看本系列的第2 部分。點選開始,搜尋VPN 。您可能需要過濾以僅顯示設置,以查看更改虛擬私人網路(VPN)選項。

選擇新增VPN 連接,並執行以下操作:

  • 將VPN 提供者變更為Windows(內建)
  • 指定一個臨時連接名稱,例如template
  • 輸入您的始終在線VPN 伺服器的外部完全合格網域名稱(FQDN)。這是您在本系列第4 部分建立的DNS 值。
  • 按一下儲存以關閉新增VPN 連線視窗。在右側的相關設定下,按一下變更適配器選項(或導覽至控制面板\網路和Internet\網路連線)。

右鍵單擊您的模板並選擇屬性。在安全性選項卡上配置以下內容:

  • 將VPN 類型變更為IKEv2
  • 將資料加密值變更為最大強度加密
  • 一下使用可擴充驗證協定(EAP)單選按鈕,並從下拉清單中選擇Microsoft: Protected EAP (PEAP)(啟用加密)

仍在安全性標籤上,按一下屬性以啟動受保護的EAP 屬性視窗。

  • 連接到這些伺服器下輸入issued to值。
  • 受信任的根憑證授權單位下,檢查與您先前記錄的Issuer值相符的CA 名稱。
  • 連線前的通知下拉清單中,選擇不詢問使用者授權新伺服器或受信任的CA
  • 對於身份驗證方法,選擇智慧卡或其他憑證

智慧卡或其他憑證右側,按一下設定按鈕。現在您將配置的選項控制用戶端如何選擇本機憑證進行身份驗證。

智慧卡或其他憑證屬性視窗中:

  • 選擇在此電腦上使用憑證單選按鈕。
  • 連接到這些伺服器下輸入issued to值。
  • 受信任的根憑證授權單位下,檢查與您先前記錄的Issuer值相符的CA 名稱。此選項和前一個選項應與您在上面的受保護的EAP 屬性畫面中輸入的值相符。
  • 檢查不提示使用者授權新伺服器或受信任的憑證授權單位

如果您的VPN 使用者有多個使用者憑證(如在certmgr.msc中所見),並且在連線之前被提示選擇一個,您可以使用進階標籤來細化憑證選擇。

測試始終在線VPN 連接

按一下所有開啟視窗的確定,返回網路連線控制面板視窗。確保您已連接到外部網路。選擇您的VPN 範本(無論是在設定中還是在工作列右下角的通知區域中)。單擊連接

希望您的VPN 模板成功連線。如果成功,請繼續下一部分。如果沒有,抱歉,問題可能是某個地方的小配置錯誤或缺少複選框。在客戶端範本機器上,開啟應用程式事件日誌並尋找具有RasClient來源的事件。您應該會看到一條訊息和一個錯誤代碼。微軟在這裡提供了一些關於始終在線VPN 800 X 錯誤的基本指導。如果您仍然遇到連接問題,請留下詳細評論並上傳任何日誌。

部署始終在線VPN 連線模板

首先,我們需要匯出我們剛剛建立並測試的範本文件。從TechNet 下載最新的MakeProfile.ps1腳本。根據以下說明配置頂部的參數:

  • $Template : 您之前使用的模板名稱(例如template
  • $ProfileName : 用戶端將看到的最終名稱(例如AlwaysOn
  • $Servers : 您的遠端存取伺服器的外部FQDN(您在範本中輸入的值)
  • $DnsSuffix : 客戶端的內部DNS 後綴;使用ipconfig查看格式(例如local
  • $DomainName : 帶有前導點的DNS 後綴(例如.Test.local
  • $TrustedNetwork : 可能與DnsSuffix 相同

在本機登入(無遠端桌面/Hyper-V 增強會話)的使用者帳戶下執行此腳本。如果腳本成功執行,您應該會在目前使用者的桌面上看到兩個檔案: VPN_Profile.xmlVPN_Profile.ps1

微軟提供了幾種部署始終在線VPN 連線的方法。目前,您可以使用PowerShell 腳本、SCCM 或Intune 部署它們。 SCCM 使用VPN_Profile.ps1文件,而Intune 使用VPN_Profile.xml檔案。從技術上講,您可以使用群組原則,因為您可以使用登入/啟動腳本用戶端擴充功能(CSE)來執行PowerShell 腳本。

對於這個部署,我們將使用PowerShell 方法,因為它是最簡單的設定。然而,它的擴展性較差。執行VPN_Profile.ps1腳本的使用者需要以本機管理員身分登入。可以使用您的範本機器進行此操作,但請刪除您先前建立的設定檔。

將這台機器連接到您的內部網路。確保您登入的使用者是管理員,然後以管理員身分啟動PowerShell。打開您的VPN_Profile.ps1腳本並執行。如果成功運行,它將建立一個新的始終在線VPN 設定檔。它將偵測到您已透過DNS 後綴值連接到內部網路。

透過上述步驟,您將能夠成功建立並部署始終在線VPN 連接模板,確保安全的遠端存取。請繼續關注我們的系列文章,以了解更多關於VPN 的資訊和設定技巧!

更新時間

VPN常見問題