Skip to main content

Windows Server 2025 RRAS + L2TP/IPsec + AD 域认证 部署指南

好的 👍 我来帮你整理一份 Windows Server 2025 上 RRAS + L2TP/IPsec + AD 域认证的完整部署步骤
这个方案是微软官方推荐的比 PPTP 更安全的 VPN 方式,并且可以直接用 AD 域用户账号密码进行认证。

🔧 Windows Server 2025 RRAS + L2TP/IPsec + AD 域认证 部署指南

1️⃣ 前置条件

  1. 已经有 AD 域控制器(例如 ad.example.com)。

  2. VPN 服务器(Windows Server 2025,建议已加入 AD 域)。

  3. 一张公网 IP(供外网用户访问 VPN)。

  4. 一个合格的 服务器证书(VPN 服务器需要证书,推荐用企业内部 CA 或公网 CA)。

2️⃣ 安装角色和功能

在 VPN 服务器上执行:

  1. 打开 Server ManagerAdd Roles and Features

  2. 选择:

    • Remote Access 角色

    • 勾选 DirectAccess and VPN (RAS)

    • 自动勾选 Routing

  3. 安装完成后,不要关闭向导,选择 Open the Getting Started Wizard

3️⃣ 配置 RRAS(启用 VPN)

  1. 打开 Server Manager → Tools → Routing and Remote Access

  2. 右键服务器名 → Configure and Enable Routing and Remote Access

  3. 选择 Custom configuration → 勾选 VPN access

  4. 完成后启动 RRAS 服务。

4️⃣ 配置 L2TP/IPsec

  1. 在 RRAS 管理器中,右键服务器 → 属性:

    • Security 标签页 → 选中 Allow custom IPsec policy for L2TP connections

    • 输入一个 预共享密钥(Pre-Shared Key,PSK),例如:MySecureKey@2025

  2. (推荐做法)如果你有证书:

    • RRAS → Properties → Security → SSL Certificate Binding 里选择服务器证书(而不是 PSK)。

5️⃣ 配置 NPS(与 AD 集成)

  1. 打开 Server Manager → Tools → Network Policy Server (NPS)

  2. 在左侧导航栏选择 RADIUS Clients and Servers → RADIUS Clients → 新建:

    • Name: RRAS-VPN

    • Address: 127.0.0.1 或 VPN 服务器 IP

    • Shared secret: 随便设置(RRAS 会用到)。

  3. Policies → Network Policies 新建策略:

    • 名称:VPN Access

    • 条件:Windows Groups → 添加一个 AD 用户组(比如 VPN_Users)。

    • 权限:Access Granted

    • 认证方式:启用 MS-CHAPv2(默认即可)。

6️⃣ 在 RRAS 中绑定 NPS

  1. RRAS 管理器,右键服务器 → 属性。

  2. Security → Authentication provider,选择 RADIUS Authentication

  3. 添加本机的 NPS 服务器:

    • Address:127.0.0.1

    • Shared secret:和上一步设置的一致。

7️⃣ 配置防火墙

在 VPN 服务器上放行以下端口:

  • UDP 500(IKE)

  • UDP 4500(NAT-T)

  • UDP 1701(L2TP)

  • TCP 443(如果未来考虑 SSTP)

同时确保公网 IP 已正确映射到该服务器。

8️⃣ 客户端连接(Windows 10/11)

  1. 打开 设置 → 网络和 Internet → VPN → 添加 VPN

  2. 填写:

    • VPN 提供程序:Windows (内置)

    • 连接名称:随意(如 CompanyVPN

    • 服务器名称/IP:公网 IP 或 FQDN(如 vpn.example.com

    • VPN 类型:L2TP/IPsec with pre-shared key

    • 预共享密钥:输入服务器上配置的 PSK(如 MySecureKey@2025

    • 登录方式:用户名和密码(AD 域账号,如 user1 / Password

  3. 保存后点击连接。

9️⃣ 验证

在客户端输入 AD 域用户的账号/密码,成功连上 VPN 后,可以 ping 内网服务器 或访问共享资源来确认连通性。

📌 总结

  • 安全性:比 PPTP 高很多,支持加密和 AD 域账号统一认证。

  • 运维便利:账号密码直接走域控,不需要单独维护 VPN 用户。

  • 扩展:后续可以升级到 Always On VPN (AOVPN),体验更接近内网域机。

要不要我帮你再整理一份 Always On VPN(AOVPN)+ AD 域认证 的部署方案?这个是微软最新一代 VPN,比 L2TP 更安全、更现代化。

No Comments
Back to top