Windows Server 2008 R2 IPSec VPN 行動

企業行動VPN建置實戰問答TOP 6

2013-05-06
企業中有許多的行動工作者是透過VPN網路,來進行各種遠端協同作業需求,為了讓這些用戶在使用VPN網路的過程中更加流暢,可以善用Windows Server 2008 R2 VPN Reconnect技術來達成。
不管原因為何,任何一種遠端網路存取技術只要在連線過程中發生中斷,遠端使用者便需要手動重新建立連線與登入,這對於行動工作者來說,在許多情況下相當地不方便。

舉例來說,當在客戶公司的大廳內使用無線區域網路連線Internet,並以筆記型電腦透過VPN方式連線存取自己公司的內部網路資料,忽然需要移駕到某一層樓的會議室,並且須改用有線網路來連線Internet時,根據過去的經驗,在這樣的情境下與自己公司VPN網路的連線肯定會中斷。

如今Windows Server 2008 R2所提供的RRAS角色服務(路由及遠端存取),在結合行動用戶端Windows 7的使用下,提供了VPN Reconnect的連線處理機制。

透過VPN Reconnect連線處理機制的協助,所有發生暫時性斷線的Windows 7或Windows 8行動用戶端,在發生從實體有線的網路切換到無線網路過程當中所發生的斷線期間,作業系統並不會彈跳出中斷連線的訊息通知干擾使用者。

而等到Internet連線能力恢復之後,將自動完成與原有企業Windows Server 2008 R2的VPN主機連線,不需要使用者重新自行建立VPN連線以及再一次輸入相關的身分認證,例如網域帳戶與密碼或是智慧卡的PIN碼。


VPN Reconnect所採用的IPSec通道模式是IKEv2(Internet Key Exchange version 2)協定的加密連線機制,而IKEv2支援電腦憑證及EAP為主的驗證方式,這部分的協定說明可以參考RFC 4306。

至於由IKEv2協定提供的行動性(Mobility)與多宿主(Multihoming)通訊協定(MOBIKE)功能,則可以參考RFC 4555說明。

接著實際打造一個VPN Reconnect的測試環境,來真正感受一下它與其他VPN連線方式的不同之處。

這裡需要準備的環境是一部網域控制站主機(DC),此主機必須預先將憑證授權單位伺服器角色安裝完畢,或者是在現有網域之內已經存在。以及一部準備建置成為VPN主機的Windows Server 2008 R2作業系統並且已加入網域,此主機可以是採雙網卡或是單網卡架構。最後則是一台作為外部連線存取使用的遠端Windows 7或Windows 8電腦。

TOP 1:網域控制站主機的準備工作有那些?

在網域控制站主機的「系統管理工具」選單中開啟「Active Directory使用者及電腦」介面,接著建立好一個自訂的VPN使用者群組,並且如圖1所示在〔撥入〕活頁標籤內為其中每位成員選擇「允許存取」設定,然後按下〔確定〕按鈕。


▲圖1 VPN帳戶設定。

為了方便後續遠端用戶端連線存取的測試,接著在網域控制站的任一磁碟分割區內建立一個資料夾,並且在其中存放任一檔案。

隨後,將此資料夾設定為共用。至於共用的對象,可以是前面所建立的VPN使用者群組。

圖2所示是筆者在共用資料夾內所存放的一個文字檔案,等待完成VPN組態的配置之後,必須能夠從遠端用戶端電腦透過IKEv2的VPN連線方式來存取它。


▲圖2 準備測試檔案。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!