ZadanieInformacje

Przegląd podstawowych pojęć.

Wirtualne sieci prywatne

Gromadzenie wymaganych informacji.

Wymagania dotyczące instalowania usługi RRAS jako serwera sieci VPN

Konfigurowanie protokołu TCP/IP na kartach sieciowych serwera RRAS.

Konfigurowanie protokołu TCP/IP na serwerze RRAS

Zainstaluj usługę RRAS.

Instalowanie usługi RRAS

Włączanie usługi RRAS i konfigurowanie jej jako serwera sieci VPN.

Włączanie usługi RRAS jako serwera sieci VPN

Jeśli dany serwer RRAS znajduje się poza zaporą obwodową lub działa jako oparta na hoście zapora, taka jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi, należy skonfigurować wymagane reguły zapory, aby umożliwić ruch sieciowy wirtualnej sieci prywatnej (VPN) przez zaporę do serwera RRAS.

Artykuł dotyczący konfigurowania zapory dla ruchu sieci VPN (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140709)

Jeśli dany serwer RRAS nie znajduje się poza zaporą obwodową i nie działa jako oparta na hoście zapora, taka jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi, należy skonfigurować statyczne filtry pakietów do zezwalania tylko na żądany ruch sieciowy VPN do serwera RRAS.

Konfigurowanie statycznych filtrów dla ruchu sieci VPN (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140713)

Konfigurowanie rodzajów połączeń sieci VPN i liczby każdego z nich, którą obsługuje dany serwer sieci VPN.

Domyślnie usługa RRAS w tej wersji systemu Windows obsługuje po 128 połączeń usługi Internet Key Exchange w wersji 2 (IKEv2), protokołu L2TP (Layer Two Tunneling Protocol), protokołu PPTP (Point-to-Point Tunneling Protocol) i protokołu tunelowania SSTP (Secure Socket Tunneling Protocol). Jeśli usługa VPN zostanie włączona po zainstalowaniu usługi RRAS, porty VPN zostają wyłączone i system Windows będzie tworzyć tylko po pięć połączeń każdego rodzaju. Wykonując tę procedurę, można włączyć porty i skonfigurować potrzebną liczbę połączeń.

Konfigurowanie portów dla dostępu zdalnego

Konfigurowanie DHCP lub statycznej puli adresów IP dla klientów VPN.

Konfigurowanie sposobu przypisywania przez usługę RRAS adresów IP klientom VPN

Jeśli do dostarczania adresów IP klientom zdalnym używany jest protokół DHCP, a serwer DHCP nie znajduje się w tej samej podsieci IP co serwer RRAS, należy skonfigurować agenta przekazywania DHCP, aby przekazywał dalej żądania multiemisji i odpowiedzi DHCP przez routery do serwera DHCP.

Konfigurowanie agenta przekazywania DHCP IPv4

Konfigurowanie agenta przekazywania DHCP IPv6

Jeśli do centralnego zarządzania zasadami dla serwerów RRAS używany jest serwer zasad sieciowych, należy skonfigurować właściwości telefonowania, zasady sieciowe uprawnień do telefonowania oraz ustawienia uwierzytelnienia oraz szyfrowania.

Zobacz temat „Lista kontrolna: Konfigurowanie serwera NPS dla połączeń telefonicznych i sieci VPN” w Pomocy serwera zasad sieciowych.

Dostosowywanie poziomów rejestrowania dla usługi RRAS i każdego z protokołów routingu.

Konfigurowanie poziomów rejestrowania dla usługi RRAS

Należy utworzyć profil Menedżera połączeń do zarządzania połączeniami klienckimi dla użytkowników i w celu uproszczenia rozwiązywania problemów z połączeniami klienckimi (opcjonalnie).

Zestaw administracyjny Menedżera połączeń (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=136440)

Jeśli dana konfiguracja usługi RRAS wymaga certyfikatów do uwierzytelnienia, na przykład w przypadku używania połączeń IKEv2 lub połączeń w sieci VPN opartych na protokole STTP, trzeba dysponować źródłem certyfikatów. Należy zainstalować Usługi certyfikatów w usłudze Active Directory (AD CS) na serwerze w tej sieci, co stanowi alternatywę wobec zakupienia certyfikatów od innych firm będących głównymi urzędami certyfikacji.

Usługi certyfikatów w usłudze Active Directory (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=136444)

Aby obsługiwać połączenia SSTP lub IKEv2 sieci VPN uwierzytelniane za pomocą certyfikatów, na serwerze RRAS musi zostać prawidłowo zainstalowany certyfikat komputera z uwierzytelnieniem serwera lub ulepszone użycie klucza (EKU) do wszystkich celów.

Konfigurowanie usługi RRAS z certyfikatem uwierzytelniania komputera

Jeśli serwer RRAS został początkowo skonfigurowany jedynie do obsługi protokołu internetowego w wersji 4 (IPv4), można dodać obsługę zdalnego dostępu protokołu internetowego w wersji 6 (IPv6).

Włączanie dostępu zdalnego IPv6

Należy skonfigurować serwer VPN do używania ochrony dostępu do sieci (NAP), aby wymusić zasady wymagania kondycji.

Konfigurowanie wymuszania ochrony dostępu do sieci dla sieci VPN

Dodatkowe informacje


Spis treści