Создание пользователей и групп для удаленных VPN-клиентов
С чего начать. Нажмите кнопку Пуск, щелкните Выполнить и введите compmgmt.msc, после чего нажмите клавишу ВВОД. Этой командой открывается окно Управление компьютером.
-
В окне управления компьютером щелкните Локальные пользователи и группы, затем щелкните правой кнопкой элемент Группы и выберите команду Создать группу.
-
Дважды щелкните пользователя, чтобы открыть его свойства.
Включение и настройка удаленного доступа для VPN-клиентов
С чего начать. В дереве консоли управления Forefront TMG щелкните Виртуальные частные сети, а в области сведений откройте вкладку VPN-клиенты.
-
На вкладке Задачи щелкните Включить доступ VPN-клиентов, чтобы открыть диалоговое окно Свойства: VPN-клиенты.
После включения удаленного доступа VPN-клиентов активируется используемое по умолчанию сетевое правило, чтобы установить отношение между внутренней сетью и двумя сетями VPN-клиентов (VPN-клиентами и VPN-клиентами на карантине).
-
Разрешить протокол PPTP
Примечание. |
---|
Если разрешить удаленное подключение VPN-клиентов к Forefront TMG с использованием туннельного протокола L2TP, потребуется сертификат. |
Примечание. |
---|
В качестве пользователей VPN нельзя добавить встроенные группы Windows. Встроенные группы доменов можно использовать (даже в том случае, когда сервер Forefront TMG является также контроллером домена). |
Включение сопоставления пользователей (необязательно)
Включите сопоставление пользователей, чтобы применить используемые по умолчанию правила доступа политики межсетевого экрана для пользователей, проверка подлинности которых осуществляется методом RADIUS или EAP.
-
На вкладке Сопоставление пользователей щелкните Включить сопоставление пользователей.
Чтобы использовать сопоставление пользователей, в домене необходимо установить Forefront TMG. Не включайте сопоставление пользователей в среде рабочей группы.
Проверка VPN-подключений
Чтобы проверить VPN-подключения, можно понаблюдать за использованием удаленного доступа и попытками проверки подлинности через средство просмотра сеансов.
-
На вкладке Задачи щелкните Наблюдение за VPN-клиентами. В средстве просмотра сеансов отображаются данные для VPN-клиентов, подключающихся к Forefront TMG.
Включение управления карантином (необязательно)
Возможно, вы пожелаете помещать каждого подключающегося VPN-клиента в карантин, чтобы убедиться, что он соответствует применяемой политике безопасности. VPN-клиентам, не соответствующим этой политике, будет разрешено подключиться к ресурсам внутренней сети, с которых они могут загрузить программное обеспечение и обновления, необходимые для обеспечения совместимости, но им будет запрещен общий доступ к корпоративным ресурсам. Дополнительные сведения см. в разделах Настройка карантина на основе защиты доступа к сети (NAP) и Настройка управления карантином на основе RQS/RQC.
Условный доступ для VPN-подключений с использованием Azure AD
В этом руководстве вы узнаете, как предоставить пользователям VPN доступ к ресурсам с помощью условного доступа Azure Active Directory (Azure AD). С помощью условного доступа Azure AD для подключения к виртуальной частной сети (VPN) можно защитить VPN-подключения. Условный доступ — это подсистема оценки на основе политик, которая позволяет создавать правила доступа для любого подключенного приложения Azure Active Directory (Azure AD).
Необходимые компоненты
Прежде чем приступить к настройке условного доступа для VPN, необходимо выполнить следующие предварительные требования:
- Условный доступ в Azure Active Directory
- VPN и условный доступ
- Вы завершили руководство. Развертывание инфраструктуры AlwaysOn VPN для AlwaysOn VPN или уже настроено vpn-инфраструктуру AlwaysOn в вашей среде.
- Клиентский компьютер Windows уже настроен с VPN-подключением с помощью Intune. Если вы не знаете, как настроить и развернуть профиль VPN в Intune, см. статью «Развертывание профиля VPN AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune».
Настройка игнорирования проверки списка отзыва сертификатов (CRL) в EAP-TLS
Клиент EAP-TLS не может подключиться, если сервер NPS не завершает отзыв проверка цепочки сертификатов (включая корневой сертификат). Облачные сертификаты, выданные пользователю Azure AD, не имеют списка отзыва сертификатов, так как они являются короткими сертификатами с сроком существования в течение одного часа. Необходимо настроить EAP на NPS, чтобы игнорировать отсутствие списка отзыва сертификатов. Так как метод проверки подлинности — EAP-TLS, это значение реестра необходимо только в EAP\13. Если используются другие методы проверки подлинности EAP, то в них также следует добавить значение реестра.
В этом разделе вы добавите IgnoreNoRevocationCheck и NoRevocationCheck . По умолчанию IgnoreNoRevocationCheck и NoRevocationCheck задано значение 0 (отключено).
Дополнительные сведения и IgnoreNoRevocationCheck NoRevocationCheck сведения см. в разделе Параметры проверки списка сертификатов NPS.
Если сервер маршрутизации Windows и удаленный доступ (RRAS) использует NPS для прокси-вызовов RADIUS ко второму NPS, необходимо установить IgnoreNoRevocationCheck=1 на обоих серверах.
Сбой в реализации этого изменения реестра приведет к сбою подключений IKEv2 с использованием облачных сертификатов с PEAP, но подключения IKEv2 с использованием сертификатов проверки подлинности клиента, выданных из локального ЦС, будут продолжать работать.
- Откройте regedit.exe на сервере NPS.
- Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите IgnoreNoRevocationCheck.
- Дважды щелкните IgnoreNoRevocationCheck и задайте для данных «Значение» значение 1.
- Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите NoRevocationCheck.
- Дважды щелкните NoRevocationCheck и задайте для данных «Значение» значение 1.
- Нажмите кнопку «ОК» и перезагрузите сервер. Перезапуск служб RRAS и NPS недостаточно.
Создание корневых сертификатов для проверки подлинности VPN с помощью Azure AD
В этом разделе описана настройка корневых сертификатов условного доступа для проверки подлинности VPN с помощью Azure AD, которая автоматически создает облачное приложение под названием VPN-сервер в клиенте. Чтобы настроить условный доступ для VPN-подключения, выполните следующие действия:
- Создайте VPN-сертификат на портале Azure.
- Скачайте этот VPN-сертификат.
- Разверните сертификат на VPN-серверах и серверах NPS.
После создания VPN-сертификата в портал Azure Azure AD начнет использовать его немедленно для выдачи краткосрочных сертификатов VPN-клиенту. Важно немедленно развернуть VPN-сертификат на VPN-сервере, чтобы избежать проблем с проверкой учетных данных VPN-клиента.
Когда пользователь пытается подключиться к VPN, VPN-клиент вызывает диспетчер веб-учетных записей (WAM) на клиенте Windows 10. WAM вызывает облачное приложение VPN-сервера. Когда условия и элементы управления в политике условного доступа удовлетворены, Azure AD выдает маркер в виде короткого (1-часового) сертификата WAM. WAM помещает сертификат в хранилище сертификатов пользователя и передает управление VPN-клиенту.
Затем VPN-клиент отправляет сертификат, выданный Azure AD, в VPN для проверки учетных данных.
Azure AD использует последний созданный сертификат в колонке VPN-подключения в качестве издателя. Конечные сертификаты VPN-подключения к условному доступу Azure AD теперь поддерживают надежные сопоставления сертификатов, требование проверки подлинности на основе сертификатов, введенное КБ5014754. Конечные сертификаты VPN-подключения теперь включают расширение SID (1.3.6.1.4.1.311.25.2), которое содержит закодированную версию идентификатора безопасности пользователя, полученную из атрибута onPremisesSecurityIdentifier.
Чтобы создать корневые сертификаты, выполните приведенные действия.
- Войдите на портал Azure как глобальный администратор.
- В меню слева щелкните Azure Active Directory.
- На странице Azure Active Directory в разделе «Управление» щелкните «Безопасность«.
- На странице «Безопасность» в разделе «Защита» щелкните условный доступ.
- Условный доступ | Страница «Политики» в разделе «Управление» щелкните vpn-Подключение ivity.
- На странице VPN connectivity (VPN-подключение) щелкните Новый сертификат.
- На новой странице выполните следующие действия: a. В течение срока выбора выберите 1, 2 или 3 года. b. Выберите Создать.
Настройка политики условного доступа
В этом разделе описана настройка политики условного доступа для VPN-подключения. При создании первого корневого сертификата в колонке «VPN-подключение» он автоматически создает облачное приложение VPN-сервера в клиенте.
Создайте политику условного доступа, назначенную группе пользователей VPN, и область облачное приложение на VPN-сервер:
- Пользователи: VPN-пользователи
- Облачное приложение: VPN-сервер
- Предоставление (управление доступом): «Требовать многофакторную проверку подлинности». При желании можно использовать другие элементы управления.
Процедура. Этот шаг охватывает создание самой базовой политики условного доступа. При желании можно использовать дополнительные условия и элементы управления.
- На странице условного доступа в верхней части панели инструментов нажмите кнопку «Добавить«.
- На новой странице в поле «Имя» введите имя политики. Например, введите политику VPN.
- В разделе «Назначение» выберите «Пользователи и группы«.
- На странице Пользователи и группы выполните следующие действия: a. Выберите «Выбрать пользователей и группы«. b. Нажмите Выбрать. c. На странице «Выбор» выберите группу пользователей VPN и нажмите кнопку «Выбрать«. d. На странице «Пользователи и группы» нажмите кнопку «Готово«.
- На странице Создать выполните следующие действия: a. В разделе «Назначения» выберите «Облачные приложения«. b. На странице «Облачные приложения» выберите » Выбрать приложения«. d. Выберите VPN-сервер.
- На новой странице, чтобы открыть страницу «Предоставление» в разделе «Элементы управления«, выберите «Предоставить«.
- На странице Предоставить выполните следующие действия: a. Выберите Требовать многофакторную проверку подлинности. b. Нажмите Выбрать.
- На странице «Создать» в разделе «Включить политику» нажмите кнопку «Включить«.
- На странице «Создать» нажмите кнопку «Создать«.
Развертывание корневых сертификатов условного доступа в локальной службе AD
В этом разделе описано, как развернуть доверенный корневой сертификат для проверки подлинности VPN в локальной службе AD.
-
На странице подключения VPN выберите «Скачать сертификат«.
Примечание. Параметр скачивания сертификата base64 доступен для некоторых конфигураций, требующих сертификатов base64 для развертывания.
Примечание. В средах, где VPN-сервер не присоединен к домену Active Directory, необходимо добавить в хранилище доверенных корневых центров сертификации доверенные корневые центры сертификации вручную.
- Войдите на сервер с правами Enterprise Администратор с установленными средствами управления центром сертификации.
По умолчанию устанавливаются серверы центра сертификации. Их можно установить на других серверах-членах в рамках средств Администратор istration Role в диспетчер сервера.
- На VPN-сервере в меню введите pkiview.msc, чтобы открыть диалоговое окно Enterprise PKI.
- В меню введите pkiview.msc, чтобы открыть диалоговое окно «Корпоративный PKI».
- Щелкните правой кнопкой мыши PKI Enterprise и выберите пункт «Управление контейнерами AD».
- Убедитесь, что каждый сертификат корневого ЦС MICROSOFT VPN 1-го поколения присутствует в:
- NTAuthCertificates
- Контейнер AIA
- Контейнер центров сертификации
Создание профилей VPNv2 на основе OMA-DM на устройствах Windows 10
В этом разделе описано, как создать профили VPNv2 на основе OMA с помощью Intune для развертывания политики конфигурации VPN-устройств.
- В портал Azure выберите «Профили конфигурации>устройств Intune» и выберите профиль VPN, созданный в разделе «Настройка VPN-клиента» с помощью Intune >.
- В редакторе политик выберите свойства>Параметры>Base VPN. Расширьте существующий XML EAP, чтобы включить фильтр, который дает VPN-клиенту логику, которую он должен получить сертификат условного доступа Azure AD из хранилища сертификатов пользователя, а не оставить его, чтобы позволить ему использовать первый обнаруженный сертификат.
Примечание. Без этого VPN-клиент может получить сертификат пользователя, выданный локальным центром сертификации, что приведет к сбою VPN-подключения.
Найдите раздел, заканчивающийся , и вставьте следующую строку между этими двумя значениями, чтобы предоставить VPN-клиенту логику, чтобы выбрать сертификат условного доступа Azure AD:
AAD Conditional Access 1.3.6.1.4.1.311.87 AAD Conditional Access
Принудительное синхронизация политик MDM на клиенте
Если профиль VPN не отображается на клиентском устройстве, в разделе Параметры\Network & Internet\VPN можно принудительно синхронизировать политику MDM.
- Войдите на клиентский компьютер, присоединенный к домену, в качестве члена группы VPN-пользователей .
- В меню введите учетную запись и нажмите клавишу ВВОД.
- В области навигации слева выберите «Доступ к рабочей или учебной среде«.
- В разделе «Доступ к рабочим или учебным заведениям» выберите Подключение в MDM, а затем выберите «Сведения«.
- Выберите «Синхронизация» и убедитесь, что профиль VPN отображается в разделе Параметры\Network & Internet\VPN.
Следующие шаги
Вы настроите профиль VPN для использования условного доступа Azure AD.
- Дополнительные сведения о том, как работает условный доступ с виртуальными сетями, см. в статье VPN и условный доступ.
- Дополнительные сведения о расширенных функциях VPN см. в статье «Дополнительные функции VPN».
- Общие сведения о VPNv2 CSP см. в статье VPNv2 CSP. В этом разделе приведен обзор VPNv2 CSP.
Подключение филиала в VPN
После включения в VPN предприятия очередного филиала сделать его полноценным: аутентификация в домене, автоустановка обновлений 1С и прочая полноценная работа в локальной сети.
— Настройка маршрутизатора
— Установка физического сервера, т.е. железа для серверов
— На гипервизоре устанавливаем два сервера Windows Server 2012:
— DC: vCPU = 2, ОЗУ = 2 Гб, HDD = 32…40 Гб
— FS: vCPU = 2, ОЗУ = 8 Гб, HDD = 300 Гб (40 + остальное)
— Добавляем сайт в домен
— Поднимаем DC
— Добавляем узел DFS
Настройка маршрутизатора
Выбираем для нового сайта филиала подсеть 10.245.14.0/24.
Адреса пусть Киска выдает пока из небольшого диапазона x.x.x.64…x.x.x.127.
DNS: x.x.x.2 и основной ДНС головного офиса.
Потом на контроллере поднимем DHCP: x.x.x.128…x.x.x.191 (чтобы не пересекались).
Начало и конец диапазона оставим для статики.
Шлюз (внутренний Киски): x.x.x.1
DC: x.x.x.2
Файловый сервер: x.x.x.3
ESXi: x.x.x.10
Принтер: x.x.x.201
МФУ: x.x.x.202
Добавляем сайт в домен
На действующем DC открываем консоль “Сайты и службы”, создаем новый сайт “ESSR”
В этой же консоли создаем новаую подсеть “10.245.14.0/24”, одновременно связывая её с новым сайтом
Поднимаем DC
Сразу задаем статический адрес и переименовываем сервер таким образом, чтобы эти параметры (Имя и IP) уже НЕ менять после установки DC.
Важный момент, которым часто пренебрегают — установка обновлений на ОС. После установки ОС и перед эксплуатацией сервера нужно установить обновления.
Нынче DCPROMO не в моде. Установка контроллера домена выполняется в 2 этапа:
— Установка на сервер роли AD и
— Повышение роли сервера до контроллера
1 этап. Диспетчер серверов — Локальный сервер — Управление — Добавить роли и компоненты
Далее, Далее, Далее
На странице Выбора ролей сервера отмечаем “Доменные службы Active Directory”
и кнопкой “Добавить компоненты” соглашаемся с установкой необходимых сопутствующих компонентов. Далее. На экране выбора компонентов жмем Далее. Далее. Установить. Закрыть.
2 этап. После завершения первого этапа появляется уведомление (желтый треугольник с восклицательным знаком).
Нажимаем на него.
В верхнем уведомлении щелкаем ссылку “Повысить роль этого сервера до уровня контроллера…”
В мастере настройки доменных служб оставляем переключатель в режиме добавления контроллера в существующий домен, проверяем имя домена, учетную запись, от имени которой запускается процесс и нажимаем Далее.
Если на этом шаге еще не создана подсеть для этого сайта, то будет выдано сообщение от ошибке.
“ОШИБКА: Мастер не может получить доступ к списку доменов леса.”
Так что, если пропустили создание сайта и подсети, то создаем сайт, подсеть и все заработает.
На следующей странице мастера вводим 2 раза пароль для режима восстановления. Далее. Далее, Далее, Далее.
Здесь можно сохранить в текстовый файл сценарий для PowerShell, с помощью которого можно было бы сделать то же самое без мастера. (Скажем, нужно много контроллеров развернуть. Подредактировал немного сценарий, и запустил по-быстрому.) Жмем Далее.
Мастер выполняет проверку, выдает замечания и предупреждения. В этом окне нас предупреждают, что с настройками по умолчанию к контроллеру домена под управлением Windows Server 2012 невозможно подключиться с ПК под управлением старых небезопасных ОС.
Нажимаем кнопку “Установить”. Закрыть.
Теперь у нас в диспетчере серверов появился красный флажок. Щелкаем по нему и видим ссылку “Повысить роль этого сервера до уровня контроллера”
Даже, если не щелкать по ней сервер все равно перезагрузится.
После перезагрузки нового DC нужно проверить параметры репликации между контроллерами. Сделать это можно на любом контроллере (или с рабочего места администратора), где установлены инструменты администрирования AD. Запускаем “Сайты и службы”. Если репликация с новым DC не создана автоматически, то можно сделать вручную. Через сутки еще раз проверить, если появились строчки “”, то свои лучше убрать. В некоторых случаях репликацию настраивают вручную, это может зависеть от конкретной ситуации.
DC готов, но надо будет еще DHCP на нем поднять. Это пока не срочно.
Добавляем узел DFS
В качестве сервера пространства имен будем использовать контроллер домена. Для этого на сервере нужна роль DFS-Namespace. Но на контроллере она устанавливается автоматически при добавлении роли DC, поэтому ничего дополнительно устанавливать не нужно.
Файлы будем хранить НЕ на DC, а на другом сервере в этом же сайте, ибо использовать контроллер для общих файловых ресурсов — моветон.
На файловом сервере ESSR-FS запускаем PowerShell с повышенными привилегиями и выполняем команду:
Install-WindowsFeature FS-DFS-Replication
В консоли управления DFS (на любом сервере, где есть эта консоль) добавляем Сервер пространства имен:
правый клик по корню — Add Namespace Server.
В единственное поле появившегося окна вписываем имя подключаемого контролера: DC41
В результате с настройками по умолчанию на этом сервере создается каталог C:\DFSRoots\. Данный путь можно было изменить в окне добавления сервера пространства имен кнопкой “Edit Settings”
Смотрим в консоли DFS, как на других серверах выглядят пути к каталогам общего ресурса, который нужно реплицировать («D:\Inst\1cDistr»). Делаем аналогичный каталог (не обязательно аналогичный, но так удобнее) на файловом сервере нового сайта и выставляем его в общий доступ. В консоли DFS добавляем папку назначения для общего каталога “\x\DB\1cDistr”: правый клик по нему — “Add Folder Target…” В этом окне указываем путь к только что созданной папке, задаем способ репликации.
Схема репликации может быть любой, в зависимости от задач. Увидеть и изменить схему репликации можно в нижней части дерева в консоли DFS — узел Replication. Там для каждой реплицируемой папки свой отдельный раздел. На вкладке Connections можно вручную запустить репликацию, не дожидаясь её выполнения по расписанию. Щелкаем по нужной строчке правой кнопкой и выбираем пункт Replicate Now. В зависимости от скорости соединения файлы могут появиться на новом сервере через разное время. Проверяем минут через 5. Если файлы появились, то на этом все.
Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть — проверка подлинности Microsoft Entra
В этом руководстве показано, как с помощью Виртуальной глобальной сети подключиться к ресурсам в Azure. В этой статье описано, как создать VPN-подключение пользователя типа «точка — сеть» для Виртуальная глобальная сеть, использующего проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra доступна только для шлюзов, использующих протокол OpenVPN.
Проверка подлинности Microsoft Entra поддерживается только для подключений протокола OpenVPN® и требует vpn-клиента Azure.
Вы узнаете, как выполнять следующие задачи:
- Создание виртуальной глобальной сети
- создание пользовательской конфигурации VPN;
- Загрузка профиля виртуального пользователя WAN VPN
- Создание виртуального концентратора
- Изменение концентратора для добавления шлюза P2S
- Подключение виртуальной сети к виртуальному концентратору
- скачивание и применение пользовательской конфигурации VPN-клиента.
- Просмотр виртуальной глобальной сети
Подготовка к работе
Перед началом настройки убедитесь, что удовлетворены следующие требования:
- У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в этой статье.
- В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Эта конфигурация требует, чтобы виртуальные сети были подключены к шлюзу концентратора Виртуальной глобальной сети.
- Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
- Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.
Создание виртуальной глобальной сети
В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.
- На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.
- Выберите Виртуальные глобальные сети в результатах. На странице «Виртуальные глобальные сети» щелкните + Создать, чтобы открыть страницу Создание глобальной сети.
- На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.
- Подписка. Выберите подписку, которую вы хотите использовать.
- Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
- Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
- Имя. Введите имя своей виртуальной глобальной сети.
- Тип. «Базовый» или «Стандартный». Выберите Стандартное. Если вы выбрали «Базовый», учтите, что виртуальные сети уровня «Базовый» могут включать центры только такого же уровня. Центры уровня «Базовый» можно использовать только для подключений «сеть — сеть».
- Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.
- После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.
создание пользовательской конфигурации VPN;
Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.
- Перейдите на страницу Виртуальная глобальная сеть -> Пользовательские конфигурации VPN и нажмите + Создать пользовательскую конфигурацию VPN.
- На странице Основные сведения укажите параметры.
- Имя конфигурации. Введите имя для пользовательской конфигурации VPN.
- Тип туннеля. Выберите значение «OpenVPN» из раскрывающегося списка.
- Щелкните идентификатор Microsoft Entra, чтобы открыть страницу. Переключите идентификатор Microsoft Entra на «Да«и укажите следующие значения на основе сведений о клиенте. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.
- Метод проверки подлинности— выбор идентификатора Microsoft Entra.
- Аудитория. Введите идентификатор приложения VPN-приложения Azure, зарегистрированного в клиенте Microsoft Entra.
- Издатель — https://sts.windows.net//
- Клиент Microsoft Entra: TenantID для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .
- Введите https://login.microsoftonline.com/ для Azure Public AD
- Введите https://login.microsoftonline.us/ для AD Azure для государственных организаций
- Введите https://login-us.microsoftonline.de/ для AD Azure — Германия
- Введите https://login.chinacloudapi.cn/ для China 21Vianet AD
- Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.
Создание пустого концентратора
В этом упражнении мы создадим пустой виртуальный концентратор на этом шаге и добавьте в этот концентратор шлюз P2S. Однако эти действия можно объединить и создать концентратор с параметрами шлюза P2S одновременно. Результат совпадает с тем же способом. После настройки параметров нажмите кнопку Просмотр и создание, чтобы проверить их, а затем нажмите Создать.
- Откройте только что созданную виртуальную глобальную сеть. На странице «Виртуальная глобальная сеть» в разделе Возможность подключения выберите Концентраторы.
- На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.
- На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:
- Регион: выберите регион, в котором требуется развернуть виртуальный центр.
- Имя: имя виртуального центра.
- Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
- Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
- Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.
Добавление шлюза P2S к концентратору
В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Этот шаг может занять до 30 минут для завершения обновления концентратором.
- Перейдите на страницу Концентраторы в виртуальной глобальной сети.
- Щелкните имя концентратора, который требуется изменить, чтобы открыть страницу для концентратора.
- Нажмите кнопку «Изменить виртуальный концентратор » в верхней части страницы, чтобы открыть страницу «Изменить виртуальный концентратор «.
- На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.
- Единицы масштабирования шлюза: выберите единицы масштабирования шлюза. Единицы масштабирования представляют собой совокупную пропускную способность пользовательского шлюза VPN. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
- Пользовательская конфигурация VPN: выберите конфигурацию, которую вы создали ранее.
- Сопоставление пулов пользователей для адресов. Сведения об этом параметре см. в разделе «Настройка групп пользователей и пулов IP-адресов» для vpn-адресов пользователей P2S (предварительная версия).
- После настройки параметров нажмите кнопку «Подтвердить «, чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.
Подключение виртуальной сети к концентратору
В этом разделе вы создаете соединение между виртуальным концентратором и виртуальной сетью.
- В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.
- На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.
- На странице «Добавление подключения» настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе «Сведения о маршрутизации».
- Имя подключения: задайте имя для своего подключения.
- Концентраторы: выберите концентратор, который нужно связать с этим подключением.
- Подписка: проверьте подписку.
- Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
- Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
- Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
- Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
- Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
- Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельная виртуальная (модуль) для входящего трафика и потоков исходящего трафика, рекомендуется использовать виртуальные (модуль) в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
- Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
- Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе «Статические маршруты » для маршрутизации таблиц, указанных в разделе «Распространение в таблицы маршрутов». Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0.
- После завершения настройки параметров нажмите кнопку «Создать «, чтобы создать подключение.
Скачивание пользовательского профиля VPN
Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе «Скачать глобальные и центральные профили». Ниже описано, как скачать глобальный профиль уровня глобальной сети.
- Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).
- В области слева выберите Пользовательские конфигурации VPN.
- Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.
- Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.
- На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.
Настройка клиентов VPN пользователя
На каждом подключаемом компьютере должен быть установлен клиент. Каждый клиент настраивается с помощью файлов профиля клиента VPN-пользователя, загруженных на предыдущих этапах. Используйте статью, относящуюся к операционной системе, к которой вы хотите подключиться.
Настройка VPN-клиентов для macOS (предварительная версия)
Инструкции для клиента macOS см. в разделе Настройка клиента VPN — macOS (предварительная версия).
Для настройки клиентов Windows VPN
- Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:
- Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
- Установите напрямую после входа на клиентский компьютер: Microsoft Store.
- Установите клиент Azure на все компьютеры.
- Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.
- Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните . -> ? Справка. В правой области отображается номер версии клиента.
Для импорта профиля клиента VPN (Windows)
- На странице выберите Import (Импорт).
- Перейдите к XML-файлу профиля и выберите его. Выбрав файл, выберите Open (Открыть).
- Укажите имя профиля и выберите Save (Сохранить).
- Выберите Connect (Подключиться), чтобы подключиться к VPN.
- После подключения значок станет зеленым и выдаст Connected (Подключено).
Для удаления профиля клиента — Windows
- Нажмите кнопку с многоточием (. ) рядом с удаляемым профилем клиента. Затем щелкните Remove (Удалить).
- Выберите Remove (Удалить), чтобы выполнить удаление.
Диагностика проблем с подключением — Windows
- Для диагностики проблем с подключением можно использовать средство Diagnose (Диагностика). Нажмите кнопку с многоточием (. ) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).
- На странице Connection Properties (Свойства подключения) выберите Run Diagnosis (Выполнить диагностику).
- Войдите с помощью своих учетных данных.
- Просмотр результатов диагностики.
Просмотр виртуальной глобальной сети
- Перейдите к виртуальной глобальной сети.
- На странице Обзор каждая точка на карте представляет собой концентратор.
- В разделе Концентраторы и подключения можно просмотреть сведения о состоянии концентратора, сайте, регионе, состоянии VPN-подключения, а также количестве принятых и переданных байтов.
Очистка ресурсов
Если созданные ресурсы вам больше не нужны, удалите их. Некоторые ресурсы Виртуальной глобальной сети необходимо удалять в определенном порядке с учетом зависимостей. Удаление может занять около 30 минут.
- Откройте только что созданную виртуальную глобальную сеть.
- Выберите виртуальный концентратор, связанный с виртуальной глобальной сетью, чтобы открыть страницу концентратора.
- Удалите все субъекты шлюза в том порядке, который соответствует его типу. Этот процесс может занять до 30 минут. VPN:
- Отключите VPN-сайты.
- Удалите VPN-подключения.
- Удалите VPN-шлюзы.
ExpressRoute:
- Удалите подключения ExpressRoute.
- Удалите шлюзы ExpressRoute.
Следующие шаги
Часто задаваемые вопросы о Виртуальная глобальная сеть см. в Виртуальная глобальная сеть вопросы и ответы.