DirectAccess ถูกนำมาใช้ในระบบปฏิบัติการ Windows 8.1 และ Windows Server 2012 เป็นคุณลักษณะที่อนุญาตให้ผู้ใช้ Windows เชื่อมต่อจากระยะไกล อย่างไรก็ตาม หลังจากเปิดตัว Windows 11/10 การปรับใช้โครงสร้างพื้นฐานนี้ลดลง Microsoft ได้สนับสนุนให้องค์กรต่างๆ พิจารณาโซลูชัน DirectAccess ให้นำ VPN ที่ใช้ไคลเอ็นต์มาใช้กับ Windows 10 แทน Always On VPN การเชื่อมต่อมอบประสบการณ์ที่เหมือนกับ DirectAccess โดยใช้โปรโตคอล VPN การเข้าถึงระยะไกลแบบเดิม เช่น IKEv2, SSTP และ L2TP/IPsec นอกจากนี้ยังมาพร้อมกับคุณประโยชน์เพิ่มเติมอีกด้วย
คุณลักษณะใหม่นี้ถูกนำมาใช้ในการอัปเดตในโอกาสวันครบรอบของ Windows 10 เพื่อให้ผู้ดูแลระบบไอทีสามารถกำหนดค่าโปรไฟล์การเชื่อมต่อ VPN อัตโนมัติได้ ดังที่ได้กล่าวไว้ก่อนหน้านี้ Always On VPN มีข้อได้เปรียบที่สำคัญบางประการเหนือ DirectAccess ตัวอย่างเช่น Always On VPN สามารถใช้ได้ทั้ง IPv4 และ IPv6 ดังนั้น หากคุณมีความกังวลเกี่ยวกับความอยู่รอดของ DirectAccess ในอนาคต และหากคุณปฏิบัติตามข้อกำหนดทั้งหมดเพื่อรองรับ Always On VPN กับ Windows 10 บางทีการเปลี่ยนไปใช้ Windows 10 อาจเป็นทางเลือกที่เหมาะสม
เปิด VPN เสมอสำหรับคอมพิวเตอร์ไคลเอนต์ Windows 11/10
บทแนะนำนี้จะอธิบายขั้นตอนต่างๆ ในการปรับใช้การเชื่อมต่อ VPN การเข้าถึงระยะไกลตลอดเวลาสำหรับคอมพิวเตอร์ไคลเอนต์ระยะไกลที่ใช้ Windows 11/10
ก่อนดำเนินการใดๆ เพิ่มเติม ตรวจสอบให้แน่ใจว่าคุณมีสิ่งต่อไปนี้:
- โครงสร้างพื้นฐานของโดเมน Active Directory รวมถึงเซิร์ฟเวอร์ Domain Name System (DNS) ตั้งแต่หนึ่งเครื่องขึ้นไป
- Public Key Infrastructure (PKI) และ Active Directory Certificate Services (AD CS)
เพื่อเริ่มต้น การเข้าถึงระยะไกล Always On VPN Deployment , ติดตั้งเซิร์ฟเวอร์การเข้าถึงระยะไกลใหม่ที่กำลังเรียกใช้ Windows Server 2016
ถัดไป ดำเนินการต่อไปนี้กับเซิร์ฟเวอร์ VPN:
- ติดตั้งอะแดปเตอร์เครือข่ายอีเทอร์เน็ตสองตัวในเซิร์ฟเวอร์จริง หากคุณกำลังติดตั้งเซิร์ฟเวอร์ VPN บน VM คุณต้องสร้างสวิตช์เสมือนภายนอกสองตัว สวิตช์หนึ่งตัวสำหรับอะแดปเตอร์เครือข่ายจริงแต่ละตัว แล้วสร้างอะแดปเตอร์เครือข่ายเสมือนสองตัวสำหรับ VM โดยแต่ละอะแดปเตอร์เครือข่ายเชื่อมต่อกับสวิตช์เสมือนหนึ่งตัว
- ติดตั้งเซิร์ฟเวอร์บนเครือข่ายปริมณฑลระหว่างขอบและไฟร์วอลล์ภายใน โดยอะแดปเตอร์เครือข่ายหนึ่งตัวเชื่อมต่อกับเครือข่ายภายนอกขอบเขต และอะแดปเตอร์เครือข่ายหนึ่งตัวเชื่อมต่อกับเครือข่ายขอบเขตภายใน
หลังจากที่คุณทำตามขั้นตอนข้างต้นแล้ว ให้ติดตั้งและกำหนดค่าการเข้าถึงระยะไกลเป็นเกตเวย์ VPN RAS สำหรับผู้เช่ารายเดียวสำหรับการเชื่อมต่อ VPN แบบจุดต่อเว็บไซต์จากคอมพิวเตอร์ระยะไกล ลองกำหนดค่า Remote Access เป็น RADIUS Client เพื่อให้สามารถส่งคำขอเชื่อมต่อไปยังเซิร์ฟเวอร์ NPS ขององค์กรเพื่อทำการประมวลผล
ลงทะเบียนและตรวจสอบใบรับรองเซิร์ฟเวอร์ VPN จากหน่วยงานออกใบรับรอง (CA) ของคุณ
เซิร์ฟเวอร์ NPS
หากคุณไม่ทราบ แสดงว่าเป็นเซิร์ฟเวอร์ที่ติดตั้งในองค์กร/เครือข่ายองค์กรของคุณ จำเป็นต้องกำหนดค่าเซิร์ฟเวอร์นี้เป็นเซิร์ฟเวอร์ RADIUS เพื่อให้สามารถรับคำขอเชื่อมต่อจากเซิร์ฟเวอร์ VPN เมื่อเซิร์ฟเวอร์ NPS เริ่มรับคำขอ เซิร์ฟเวอร์จะประมวลผลคำขอเชื่อมต่อและดำเนินการขั้นตอนการอนุญาตและรับรองความถูกต้องก่อนส่งข้อความ Access-Accept หรือ Access-Reject ไปยังเซิร์ฟเวอร์ VPN
เซิร์ฟเวอร์ AD DS
เซิร์ฟเวอร์เป็นโดเมน Active Directory ในสถานที่ ซึ่งโฮสต์บัญชีผู้ใช้ภายในองค์กร คุณต้องตั้งค่ารายการต่อไปนี้บนตัวควบคุมโดเมน
- เปิดใช้งานการลงทะเบียนใบรับรองอัตโนมัติในนโยบายกลุ่มสำหรับคอมพิวเตอร์และผู้ใช้
- สร้างกลุ่มผู้ใช้ VPN
- สร้างกลุ่มเซิร์ฟเวอร์ VPN
- สร้างกลุ่มเซิร์ฟเวอร์ NPS
- เซิร์ฟเวอร์ CA
เซิร์ฟเวอร์ผู้ออกใบรับรอง (CA) เป็นผู้ออกใบรับรองที่กำลังเรียกใช้บริการใบรับรองไดเรกทอรีที่ใช้งานอยู่ CA จะลงทะเบียนใบรับรองที่ใช้สำหรับการรับรองความถูกต้องของไคลเอ็นต์เซิร์ฟเวอร์ PEAP และสร้างใบรับรองตามเทมเพลตใบรับรอง ก่อนอื่น คุณต้องสร้างเทมเพลตใบรับรองใน CA ผู้ใช้ระยะไกลที่ได้รับอนุญาตให้เชื่อมต่อกับเครือข่ายองค์กรของคุณต้องมีบัญชีผู้ใช้ใน AD DS
นอกจากนี้ ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณอนุญาตการรับส่งข้อมูลที่จำเป็นสำหรับทั้งการสื่อสาร VPN และ RADIUS เพื่อให้ทำงานได้อย่างถูกต้อง
นอกเหนือจากการมีส่วนประกอบเซิร์ฟเวอร์เหล่านี้แล้ว ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ไคลเอนต์ที่คุณกำหนดค่าให้ใช้ VPN กำลังใช้งาน Windows 11/10 ไคลเอนต์ Windows VPN สามารถกำหนดค่าได้สูงและมีตัวเลือกมากมาย
คู่มือนี้ออกแบบมาเพื่อปรับใช้ Always On VPN โดยมีบทบาทเซิร์ฟเวอร์ Remote Access บนเครือข่ายองค์กรภายในองค์กร โปรดอย่าพยายามปรับใช้ Remote Access บนเครื่องเสมือน (VM) ใน Microsoft Azure
สำหรับรายละเอียดทั้งหมดและขั้นตอนการกำหนดค่า โปรดดูเอกสาร Microsoft นี้
อ่านด้วย :วิธีตั้งค่าและใช้ AutoVPN ใน Windows เพื่อเชื่อมต่อจากระยะไกล