การปรับใช้ Always On VPN ด้วย Remote Access ใน Windows 10

Windows 10 การปรับใช้โครงสร้างพื้นฐานนี้ได้ลดลง ไมโครซอฟท์ได้ให้กำลังใจแก่องค์กรที่กำลังพิจารณาโซลูชัน DirectAccess เพื่อใช้ VPN แบบไคลเอ็นต์กับ Windows 10 การเชื่อมต่อ Always On VPN นี้ให้ประสบการณ์ DirectAccess เหมือนกันโดยใช้โปรโตคอล VPN แบบรีโมต VPN แบบระยะไกลเช่น IKEv2, SSTP, และ L2TP / IPsec นอกจากนี้ยังมีประโยชน์เพิ่มเติมอีกด้วย คุณลักษณะใหม่นี้ได้รับการแนะนำใน Update ประจำปีของ Windows 10 เพื่อให้ผู้ดูแลระบบไอทีสามารถกำหนดค่าโปรไฟล์การเชื่อมต่อ VPN โดยอัตโนมัติ ดังที่ได้กล่าวมาแล้ว Always On VPN มีข้อดีที่สำคัญกว่า DirectAccess ตัวอย่างเช่น Always On VPN สามารถใช้ IPv4 และ IPv6 ได้ ถ้าคุณมีความวิตกเกี่ยวกับความสามารถในการใช้งาน DirectAccess ในอนาคตและหากคุณมีคุณสมบัติครบถ้วนเพื่อรองรับ

Always On VPN กับ Windows 10 อาจเปลี่ยนไปใช้หลังเลือกได้ Always On VPN for Windows 10 คอมพิวเตอร์ไคลเอ็นต์

บทแนะนำนี้จะแนะนำขั้นตอนในการปรับใช้การเข้าถึงระยะไกลเสมอเกี่ยวกับการเชื่อมต่อ VPN สำหรับคอมพิวเตอร์ไคลเอ็นต์แบบรีโมตที่ใช้ Windows 10

ก่อนดำเนินการเพิ่มเติมโปรดตรวจสอบว่าคุณมีข้อมูลต่อไปนี้:

โครงสร้างพื้นฐาน Active Directory รวมถึงเซิร์ฟเวอร์ระบบ DNS (Domain Name System)

• Public Key Infrastructure (PKI) และ Active Directory Certificate Services (AD CS)
• เพื่อเริ่มต้น

การเข้าถึงระยะไกลเสมอในการปรับใช้ VPN ติดตั้งเซิร์ฟเวอร์การเข้าถึงระยะไกลใหม่ที่ใช้ Windows Server 2016 ถัดไปดำเนินการต่อไปนี้กับเซิร์ฟเวอร์ VPN:

ติดตั้งอะแดปเตอร์เครือข่ายอีเทอร์เน็ตสองตัวในเซิร์ฟเวอร์ทางกายภาพ. ถ้าคุณกำลังติดตั้งเซิร์ฟเวอร์ VPN บน VM คุณต้องสร้างสวิตช์เสมือนแบบภายนอกสองชุดสำหรับแต่ละอะแดปเตอร์เครือข่ายที่มีอยู่จริง จากนั้นสร้างอะแดปเตอร์เครือข่ายเสมือนสองอะแดปเตอร์สำหรับ VM โดยใช้อะแดปเตอร์เครือข่ายแต่ละตัวที่เชื่อมต่อกับสวิตช์เสมือนหนึ่งตัว

1. ติดตั้งเซิร์ฟเวอร์บนเครือข่ายของคุณระหว่างขอบกับไฟร์วอลล์ภายในโดยใช้อะแดปเตอร์เครือข่ายหนึ่งตัวที่เชื่อมต่อกับ External Perimeter Network และ อะแดปเตอร์เครือข่ายเดียวที่เชื่อมต่อกับ Internal Perimeter Network
2. หลังจากที่คุณทำตามขั้นตอนข้างต้นแล้วให้ติดตั้งและกำหนดค่า Remote Access ให้เป็น RAS VPN Rant Gateway สำหรับผู้เช่ารายเดียวสำหรับการเชื่อมต่อ VPN จุดต่อจุดจากคอมพิวเตอร์ระยะไกล ลองกำหนดค่า Remote Access เป็น RADIUS Client เพื่อให้สามารถส่งคำขอเชื่อมต่อไปยังเซิร์ฟเวอร์ NPS ขององค์กรเพื่อประมวลผล

ลงทะเบียนและตรวจสอบใบรับรองเซิร์ฟเวอร์ VPN จากหน่วยงานออกใบรับรองของคุณ (CA)

เซิร์ฟเวอร์ NPS

หากคุณไม่ทราบว่าเป็นเซิร์ฟเวอร์ที่ติดตั้งไว้ในองค์กร / เครือข่ายองค์กรของคุณ จำเป็นต้องกำหนดค่าเซิร์ฟเวอร์นี้เป็นเซิร์ฟเวอร์ RADIUS เพื่อให้สามารถรับคำขอเชื่อมต่อจากเซิร์ฟเวอร์ VPN ได้ เมื่อเซิร์ฟเวอร์ NPS เริ่มรับคำขอระบบจะประมวลผลคำขอเชื่อมต่อและดำเนินการขั้นตอนการให้สิทธิ์และการตรวจสอบสิทธิ์ก่อนที่จะส่งข้อความ Access-Accept หรือ Access-Reject ไปยัง VPN Server

เซิร์ฟเวอร์ AD DS

ใช้โดเมน Active Directory ซึ่งเป็นโฮสต์ของบัญชีผู้ใช้ในสถานที่

สร้างกลุ่มผู้ใช้ VPN

1. สร้างกลุ่ม VPN Servers
2. สร้างกลุ่มเซิร์ฟเวอร์ NPS
3. สร้างกลุ่มผู้ใช้ VPN
4. สร้างกลุ่มเซิร์ฟเวอร์ VPN
5. CA Server

เซิร์ฟเวอร์ Authority การรับรอง (CA) เป็นหน่วยงานออกใบรับรองที่ใช้ Active Directory Certificate Services CA enrolls ใบรับรองที่ใช้สำหรับการตรวจสอบความถูกต้องของไคลเอ็นต์เซิร์ฟเวอร์ PEAP และสร้างใบรับรองที่ใช้เทมเพลตใบรับรอง ก่อนอื่นคุณต้องสร้างแม่แบบใบรับรองใน CA ผู้ใช้ระยะไกลที่ได้รับอนุญาตให้เชื่อมต่อกับเครือข่ายองค์กรของคุณต้องมีบัญชีผู้ใช้ใน AD DS

นอกจากนี้ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณอนุญาตการรับส่งข้อมูลที่จำเป็นสำหรับทั้ง VPN และ RADIUS communication เพื่อให้สามารถทำงานได้อย่างถูกต้อง

นอกเหนือจากการมีส่วนประกอบเซิร์ฟเวอร์เหล่านี้ให้ตรวจสอบว่าคอมพิวเตอร์ไคลเอ็นต์ที่คุณกำหนดค่าให้ใช้ VPN กำลังเรียกใช้ Windows 10 v. 1607 หรือใหม่กว่า ไคลเอ็นต์ VPN Windows 10 มีการกำหนดค่าได้สูงและมีทางเลือกมากมาย

คู่มือนี้ออกแบบมาสำหรับการปรับใช้ Always On VPN พร้อมบทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลบนเครือข่ายองค์กรในสถานที่ โปรดอย่าพยายามปรับใช้ Remote Access บนเครื่องเสมือน (VM) ใน Microsoft Azure

สำหรับรายละเอียดทั้งหมดและขั้นตอนการกำหนดค่าคุณสามารถดูเอกสาร Microsoft นี้ได้

อ่าน : วิธีการตั้งค่าและใช้งาน AutoVPN ใน Windows 10 เพื่อเชื่อมต่อจากระยะไกล