Windows Server 2019 How to setup a VPN server using PPTP
Mục lục:
DirectAccess được giới thiệu trong Windows 8.1 và Windows Server 2012 là một tính năng để cho phép người dùng Windows kết nối từ xa. Tuy nhiên, sau khi ra mắt Windows 10 , việc triển khai cơ sở hạ tầng này đã chứng kiến sự sụt giảm. Microsoft đã tích cực khuyến khích các tổ chức xem xét giải pháp DirectAccess thay vì triển khai VPN dựa trên máy khách với Windows 10. Kết nối Always On VPN mang lại trải nghiệm giống như DirectAccess sử dụng giao thức VPN truy cập từ xa truyền thống như IKEv2, SSTP, và L2TP / IPsec. Bên cạnh đó, nó cũng đi kèm với một số lợi ích bổ sung.
Tính năng mới được giới thiệu trong Bản cập nhật kỷ niệm Windows 10 để cho phép các quản trị viên CNTT cấu hình cấu hình kết nối VPN tự động. Như đã đề cập trước đó, Always On VPN có một số lợi thế quan trọng so với DirectAccess. Ví dụ: Always On VPN có thể sử dụng cả IPv4 và IPv6. Vì vậy, nếu bạn có một số lo ngại về khả năng tương lai của DirectAccess, và nếu bạn đáp ứng tất cả các yêu cầu để hỗ trợ Always On VPN với Windows 10, thì có lẽ chuyển sang thứ hai là lựa chọn đúng. > Luôn bật VPN cho máy tính khách Windows 10
Hướng dẫn này hướng dẫn bạn qua các bước để triển khai kết nối VPN Luôn truy cập từ xa cho các máy khách từ xa đang chạy Windows 10.
Trước khi tiếp tục, hãy đảm bảo bạn có các bước sau tại chỗ:
Cơ sở hạ tầng miền Active Directory, bao gồm một hoặc nhiều máy chủ Hệ thống tên miền (DNS).
- Cơ sở hạ tầng khóa công khai (PKI) và Dịch vụ chứng chỉ thư mục hoạt động (AD CS).
- Để bắt đầu
Truy cập từ xa Luôn triển khai VPN , cài đặt máy chủ Truy cập từ xa mới đang chạy Windows Server 2016. Tiếp theo, thực hiện các thao tác sau với Máy chủ VPN:
Cài đặt hai bộ điều hợp mạng Ethernet trong máy chủ vật lý. Nếu bạn đang cài đặt máy chủ VPN trên máy ảo, bạn phải tạo hai công tắc ảo bên ngoài, một cho mỗi bộ điều hợp mạng vật lý; và sau đó tạo hai adapter mạng ảo cho VM, với mỗi adapter mạng được kết nối với một switch ảo.
- Cài đặt máy chủ trên mạng vành đai giữa cạnh và tường lửa nội bộ, với một bộ điều hợp mạng được kết nối với External Perimeter Network, và Một bộ điều hợp mạng được kết nối với mạng nội bộ Perimeter.
- Sau khi bạn hoàn thành quy trình trên, hãy cài đặt và cấu hình Remote Access như một cổng thuê riêng VPN RAS Gateway cho các kết nối VPN điểm-tới-trang từ các máy tính từ xa. Hãy thử cấu hình Remote Access như RADIUS Client để nó có thể gửi yêu cầu kết nối đến máy chủ NPS của tổ chức để xử lý.
Đăng ký và xác thực chứng chỉ máy chủ VPN từ cơ quan cấp chứng chỉ (CA) của bạn.
Máy chủ NPS
Nếu bạn không biết, đó là máy chủ được cài đặt trên tổ chức của bạn / mạng công ty. Nó là cần thiết để cấu hình máy chủ này như một máy chủ RADIUS để cho phép nó nhận các yêu cầu kết nối từ máy chủ VPN. Khi máy chủ NPS bắt đầu nhận các yêu cầu, nó xử lý các yêu cầu kết nối và thực hiện các bước ủy quyền và xác thực trước khi gửi một thông báo Access-Accept hoặc Access-Reject tới máy chủ VPN.
Máy chủ AD DS
Máy chủ đang bật cơ sở miền Active Directory, lưu trữ tài khoản người dùng tại chỗ. Nó yêu cầu bạn thiết lập các mục sau trên bộ điều khiển miền.
Bật tự động đăng ký chứng chỉ trong Chính sách nhóm cho máy tính và người dùng
- Tạo nhóm người dùng VPN
- Tạo nhóm máy chủ VPN
- Tạo nhóm máy chủ NPS
- Máy chủ CA
- Máy chủ chứng chỉ (CA) là một cơ quan cấp chứng chỉ đang chạy Dịch vụ chứng chỉ Active Directory. CA đăng ký chứng chỉ được sử dụng cho xác thực máy khách-máy chủ PEAP và tạo chứng chỉ dựa trên mẫu chứng chỉ. Vì vậy, trước tiên, bạn cần tạo các mẫu chứng chỉ trên CA. Người dùng từ xa được phép kết nối với mạng tổ chức của bạn phải có tài khoản người dùng trong AD DS.
Ngoài ra, hãy chắc chắn rằng tường lửa của bạn cho phép lưu lượng cần thiết cho cả truyền thông VPN và RADIUS hoạt động chính xác.
Ngoài việc có các thành phần máy chủ này, hãy đảm bảo rằng các máy khách mà bạn cấu hình để sử dụng VPN đang chạy Windows 10 v 1607 trở lên. Máy khách VPN Windows 10 có khả năng cấu hình cao và cung cấp nhiều tùy chọn.
Hướng dẫn này được thiết kế để triển khai Always On VPN với vai trò máy chủ Truy cập từ xa trên mạng tổ chức tại chỗ. Vui lòng không cố gắng triển khai Truy cập từ xa trên máy ảo (VM) trong Microsoft Azure.
Để biết chi tiết đầy đủ và các bước cấu hình, bạn có thể tham khảo Tài liệu Microsoft này.
Đồng thời đọc
: Cách thiết lập và sử dụng AutoVPN trong Windows 10 để kết nối từ xa.
Công ty, trước đây gọi là OpenMFG, thường được gọi là mã nguồn mở, nhưng trên thực tế sử dụng phương pháp lai. Sản phẩm PostBooks cấp đầu tiên được phát hành dưới Giấy phép Phân bổ Công khai Chung. Trong khi đó, phiên bản chuẩn mức trung bình của nó và sản phẩm OpenMFG hàng đầu được cấp phép thương mại nhưng cho phép người dùng truy cập vào mã nguồn. Tuy nhiên, bất kỳ cải thiện nào phải được thực hiện trở lại xTuple để xem xét và có thể bao gồm trong cơ sở mã chính.
Giá cho OpenMFG bắt đầu từ US $ 1,000 cho mỗi người dùng / năm và giảm từ đó, tùy thuộc vào số người dùng
ĐIện toán đám mây IBM cho phép các doanh nghiệp và người tiêu dùng truy cập từ xa vào các máy tính qua Internet để truy cập các dịch vụ. Gopalakrishnan cho biết Trung tâm mới ở Ấn Độ được đặt làm nền tảng thử nghiệm cho các doanh nghiệp và các viện nghiên cứu triển khai và thử nghiệm ứng dụng, Gopalakrishnan nói. Mặc dù nền tảng này sẽ được cung cấp miễn phí cho các cơ sở đào tạo mà các đối tác của IBM, các doanh nghiệp sẽ phải trả phí, ông nói thêm.
Có một số ứng dụng quy mô sản xuất sử dụng điện toán đám mây, Gopalakrishnan cho biết. Các tổ chức học thuật ở Ấn Độ dự kiến sẽ làm việc để sử dụng điện toán đám mây cho các ứng dụng của chính phủ điện tử và nghiên cứu các mô hình triển khai cho điện toán đám mây. Deepak Bhosale, Giám đốc bộ phận CNTT của Asian Paints, một nhà cung cấp sơn của Ấn Độ cho biết.
Lỗ hổng trong SSL hoặc Lớp cổng bảo mật được sử dụng để bảo vệ lưu lượng truy cập web cho ngân hàng trực tuyến, mua sắm và bất kỳ kết nối https nào khác, cho phép kẻ tấn công đột nhập vào bất kỳ kết nối an toàn về mặt lý thuyết nào và thêm các lệnh độc hại. truy cập lưu lượng mạng cụ thể giữa một máy khách, chẳng hạn như trình duyệt Web, và Web hoặc máy chủ khác. Điều đó có nghĩa là hầu hết người dùng gia đình có thể sẽ không được nhắm mục tiêu cụ thể bởi một trong những cuộc tấn công trung gian
Tuy nhiên, các doanh nghiệp và tổ chức có thể nhắm mục tiêu. Per Ray, bất kỳ lưu lượng truy cập SSL được bảo vệ nào cũng có thể dễ bị tổn thương, cho dù đó là trang https, bảo mật cơ sở dữ liệu hoặc kết nối e-mail bảo mật. Vấn đề không cho phép giải mã và ăn cắp dữ liệu mã hóa SSL hoàn toàn, mà thay vào đó cho phép chèn bất kỳ lệnh nào vào luồng truyền thông.