连续6年不跑路的安全速度最适合国人VPN
始終在線VPN易於使用且易於實施。請依照以下四部分指南,將遠端存取轉變為Windows 10行動裝置的無縫且持久連線。
目錄
- VPN、DirectAccess與始終在線的比較
- 如何設定始終在線VPN
- 作者
- 最近的文章
作者
Joseph Moody
Joseph Moody是公立學校系統的網路管理員,負責管理5500台PC。他是雲端與資料中心管理領域的微軟最有價值專家(MVP),並在DeployHappiness.com上撰寫部落格。
VPN、DirectAccess與始終在線的比較
與傳統VPN不同,這種遠端存取的迭代設計為持久連接。使用者透過連接到任何外部網路自動連接到您的網路。從Windows 10 1607開始,我們可以依照使用者設定此項功能,VPN用戶端會根據您的規則決定何時自動連線。
它可以在啟動某些應用程式時連接,或在尋找特定主機時連接,甚至保持始終連接狀態。在1709版本中,我們也可以設定設備連線。這使得用戶可以在異地位置登入新筆記型電腦。換句話說,它消除了「目前沒有可用登入伺服器」的悖論。兩個版本的流量都是雙向的,且具備管理能力。異地客戶端可以處理群組策略,接收更新,甚至被遠端控制。在第三部分中,我們將配置這些連接規則。此設定使用的是原生Windows 10 1607以上版本的VPN用戶端,使用者無需安裝任何額外的用戶端軟體。
與DirectAccess不同,始終在線VPN是雙棧技術,支援IPv4和IPv6。正如您將在第四部分中看到的,這將使您的防火牆配置變得更加簡單。
DirectAccess需要網域加入的企業或教育版用戶端,而始終在線VPN則不需要特定的Windows 10版本。客戶端甚至不需要加入網域。
對於進階部署,它可以與Windows Hello for Business以及Azure多因素身份驗證(MFA)整合。雖然始終在線VPN的伺服器和網路配置比DirectAccess更簡單,但傳統的用戶端配置並非如此。
目前,您必須透過PowerShell、SCCM或Intune配置始終在線VPN用戶端。群組原則沒有原生的始終在線VPN用戶端擴充。對於沒有SCCM或Intune的組織,可以自動化PowerShell註冊,但這需要更改預設客戶端配置腳本。該系列的第三篇文章將涵蓋這一部分。
如何設定始終在線VPN
始終在線VPN結合了許多不同的技術。首先,您需要設定一組伺服器-網路原則伺服器(NPS)、憑證授權單位(CA)和遠端存取伺服器。接下來,您必須註冊用戶端(最初是用戶,1709以上版本的裝置用於預先登入連線)。最後,您必須透過多個網路變更安全地將遠端用戶端連接到您的本機基礎架構。所有三個部分都有些重疊,但我們將其分解為邏輯段落。
始終在線VPN伺服器基礎設施依賴您可能已經部署的技術。除了您的DC/DNS伺服器外,此配置還需要一個NPS(RADIUS)伺服器、一個CA伺服器和一個遠端存取(路由/VPN)伺服器。這些伺服器不需要是2016版本,2012 R2伺服器也可以正常運作。本系列將假設您已經在這些伺服器上啟用了這些角色,並且只需要進行始終在線VPN設定所需的修改。
除了NPS、CA和遠端存取伺服器外,您還需要一些網路設定。遠端客戶端將透過UDP連接埠500和4500連接到您的遠端存取伺服器。本節將集中討論單一伺服器設定。為了高可用性,組織應使用故障轉移或負載平衡器。此遠端存取伺服器將跨越您的公用網路和私人網路。如果是實體伺服器,則需要兩個網路介面控制器(NIC)。虛擬機器(VM)將需要正確的虛擬區域網路(VLAN)放置。
遠端存取伺服器將需要一個公共DNS記錄和一個安裝在其上的客戶端可信任憑證。證書名稱需要與遠端存取伺服器名稱相符。本部分指南中的步驟將是通用的,因為有許多類型的防火牆、路由器和交換器。關於虛擬機器的討論將集中在Hyper-V。
客戶端透過先與CA通訊來與此設定進行互動。讓我們來看看遠端設備上的用戶。為了進行身份驗證,該使用者的裝置需要一個特定的VPN憑證。我們將在本指南中使用Active Directory(AD)安全性群組自動向選定使用者頒發此憑證。遠端設備上的使用者設定檔將已經配置了始終在線VPN連接。此連線會在定義的基礎上檢查網路狀態。當狀態符合您配置的規則時,它將發起與遠端存取伺服器公共介面的連線。
遠端存取伺服器透過內部介面驗證該要求與您的網路策略伺服器。如果連接請求有效,它將允許客戶端連接,並將其放置在您在遠端存取伺服器設定期間指定的IP池中。
根據您的網路配置,您可以將用戶端限制在某些網路段,或允許他們像在本地一樣正常存取。
始終在線VPN設定所需的配置重疊於伺服器、網路和用戶端設定。在第二部分中,我們將逐步介紹始終在線VPN環境所需的伺服器設定。當您進行本指南時,如果對專案之間的聯繫感到困惑,請隨時回顧此文章。
