使用Windows 10中的远程访问部署Always On VPn

DirectAccess作为一项功能引入Windows 8.1和Windows Server 2012操作系统，以允许Windows用户进行远程连接。但是，在启动 Windows 10 之后，此基础架构的部署已经出现下滑。微软一直在积极鼓励组织考虑采用DirectAccess解决方案，以便在Windows 10中实现基于客户端的VPN。 Always On VPN 连接提供类似DirectAccess的体验，使用传统的远程访问VPN协议，例如IKEv2，SSTP，和L2TP / IPsec。此外，它还带来了一些额外的好处。

Windows 10周年更新中引入了新功能，允许IT管理员配置自动VPN连接配置文件。如前所述，Always On VPN与DirectAccess相比具有一些重要优势。例如，Always On VPN可以同时使用IPv4和IPv6。因此，如果您对DirectAccess的未来可行性有一些疑虑，并且您满足了所有支持 Always On VPN 的所有要求，那么切换到后者是正确的选择。

Windows 10客户端计算机始终开启VPN

本教程将引导您完成为运行Windows 10的远程客户端计算机部署远程访问始终开启VPN连接的步骤。

在继续操作之前，请确保您拥有以下适用于：

• Active Directory域基础结构，包括一个或多个域名系统（DNS）服务器。
• 公钥基础结构（PKI）和Active Directory证书服务（AD CS）。

开始 远程访问始终在VPN部署上，安装运行Windows Server 2016的新远程访问服务器。

接下来，使用VPN服务器执行以下操作：

1. 在物理服务器中安装两个以太网网络适配器。如果要在VM上安装VPN服务器，则必须创建两个外部虚拟交换机，每个物理网络适配器一个;然后为虚拟机创建两个虚拟网络适配器，并将每个网络适配器连接到一个虚拟交换机。
2. 将服务器安装在边缘和内部防火墙之间的外围网络中，并将一个网络适配器连接到外部外围网络，然后一个网络适配器连接到内部外围网络

完成上述过程后，请将远程访问安装并配置为单个租户VPN RAS网关，以便从远程计算机进行点对点VPN连接。尝试将远程访问配置为RADIUS客户端，以便它能够将连接请求发送到组织NPS服务器进行处理。

注册并验证证书颁发机构（CA）颁发的VPN服务器证书。

NPS服务器

如果您不知道，它是服务器安装在您的组织/企业网络上。有必要将此服务器配置为RADIUS服务器，以使其能够接收来自VPN服务器的连接请求。一旦NPS服务器开始接收请求，它就会在发送访问接受或访问拒绝消息到VPN服务器之前处理连接请求并执行授权和验证步骤。

AD DS服务器

服务器是一个在线服务器，本地Active Directory域，它托管本地用户帐户。它要求您在域控制器上设置以下项目：

1. 在组策略中为计算机和用户启用证书自动注册
2. 创建VPN用户组
3. 创建VPN服务器组
4. 创建NPS服务器组
5. CA服务器

证书颁发机构（CA）服务器是运行Active Directory证书服务的证书颁发机构。 CA注册用于PEAP客户端 - 服务器身份验证的证书并根据证书模板创建证书。所以，首先，您需要在CA上创建证书模板。允许连接到组织网络的远程用户必须在AD DS中具有用户帐户。

此外，请确保您的防火墙允许VPN和RADIUS通信所需的通信正常运行。

除了安装这些服务器组件之外，请确保您配置为使用VPN的客户端计算机正在运行Windows 10 v 1607或更高版本。 Windows 10 VPN客户端具有高度可配置性，并提供了多种选择。

本指南旨在在本地组织网络上部署Always On VPN与远程访问服务器角色。请不要尝试在Microsoft Azure的虚拟机（VM）上部署远程访问。

有关完整的详细信息和配置步骤，请参阅此Microsoft文档。

另请阅读：如何设置和使用Windows 10中的AutoVPN可以远程连接。