مشاركة عبر

تكوين مجموعات المستخدمين وتجمعات عناوين IP ل P2S User VPNs

  • مقالة

توفر P2S User VPNs القدرة على تعيين عناوين IP للمستخدمين من تجمعات عناوين محددة استنادا إلى هويتهم أو بيانات اعتماد المصادقة الخاصة بهم عن طريق إنشاء مجموعات المستخدمين. تساعدك هذه المقالة على تكوين مجموعات المستخدمين وأعضاء المجموعة وتحديد أولويات المجموعات. لمزيد من المعلومات حول العمل مع مجموعات المستخدمين، راجع حول مجموعات المستخدمين.

المتطلبات الأساسية

قبل البدء، تأكد من تكوين شبكة WAN ظاهرية تستخدم أسلوب مصادقة واحدا أو أكثر. للحصول على خطوات، راجع البرنامج التعليمي: إنشاء اتصال VPN P2S لمستخدم Virtual WAN.

‏‏سير العمل‬

تستخدم هذه المقالة سير العمل التالي لمساعدتك في إعداد مجموعات المستخدمين وتجمعات عناوين IP لاتصال P2S VPN.

  1. النظر في متطلبات التكوين

  2. اختيار آلية مصادقة

  3. إنشاء مجموعة مستخدمين

  4. تكوين إعدادات البوابة

الخطوة 1: النظر في متطلبات التكوين

يسرد هذا القسم متطلبات التكوين وقيود مجموعات المستخدمين وتجمعات عناوين IP.

  • الحد الأقصى للمجموعات: يمكن أن تشير بوابة P2S VPN واحدة إلى ما يصل إلى 90 مجموعة.

  • الحد الأقصى للأعضاء: العدد الإجمالي لأعضاء النهج/المجموعة عبر جميع المجموعات المعينة إلى بوابة هو 390.

  • تعيينات متعددة: إذا تم تعيين مجموعة لتكوينات اتصال متعددة على نفس البوابة، يتم حسابها وأعضائها عدة مرات. مثال: مجموعة نهج تضم 10 أعضاء تم تعيينهم لثلاثة تكوينات اتصال VPN تحسب على أنها ثلاث مجموعات تضم 30 عضوا، وليس مجموعة واحدة تضم 10 أعضاء.

  • المستخدمون المتزامنون: يتم تحديد العدد الإجمالي للمستخدمين المتزامنين بواسطة وحدة مقياس البوابة وعدد عناوين IP المخصصة لكل مجموعة مستخدمين. لا يتم تحديده من خلال عدد أعضاء النهج/المجموعة المقترنة بالبوابة.

  • بمجرد إنشاء مجموعة كجزء من تكوين خادم VPN، لا يمكن تعديل اسم المجموعة وإعدادها الافتراضي.

  • يجب أن تكون أسماء المجموعات مميزة.

  • تتم معالجة المجموعات ذات الأولوية الرقمية الأقل قبل المجموعات ذات الأولوية الرقمية الأعلى. إذا كان المستخدم المتصل عضوا في مجموعات متعددة، فإن البوابة تعتبره عضوا في المجموعة ذات أولوية رقمية أقل لأغراض تعيين عناوين IP.

  • لا يمكن حذف المجموعات التي تستخدمها بوابات VPN الموجودة من نقطة إلى موقع.

  • يمكنك إعادة ترتيب أولويات المجموعات بالنقر فوق أزرار الأسهم لأعلى لأسفل المقابلة لتلك المجموعة.

  • لا يمكن أن تتداخل تجمعات العناوين مع تجمعات العناوين المستخدمة في تكوينات الاتصال الأخرى (نفس البوابات أو بوابات مختلفة) في نفس شبكة WAN الظاهرية.

  • لا يمكن أن تتداخل تجمعات العناوين أيضا مع مساحات عناوين الشبكة الظاهرية أو مساحات عناوين المركز الظاهري أو العناوين المحلية.

  • لا يمكن أن تكون تجمعات العناوين أصغر من /24. على سبيل المثال، لا يمكنك تعيين نطاق من /25 أو /26.

الخطوة 2: اختيار آلية المصادقة

تسرد الأقسام التالية آليات المصادقة المتوفرة التي يمكن استخدامها أثناء إنشاء مجموعات المستخدمين.

مجموعات Microsoft Entra

لإنشاء مجموعات Active Directory وإدارتها، راجع إدارة مجموعات Microsoft Entra وعضوية المجموعة.

  • يجب تحديد معرف كائن مجموعة Microsoft Entra (وليس اسم المجموعة) كجزء من تكوين Vpn للمستخدم من نقطة إلى موقع Virtual WAN.
  • يمكن تعيين مستخدمي Microsoft Entra ليكونوا جزءا من مجموعات Active Directory متعددة، ولكن Virtual WAN تعتبر المستخدمين جزءا من مجموعة نهج/مستخدم Virtual WAN التي لها أقل أولوية رقمية.

RADIUS - سمات مورد NPS الخاصة

للحصول على معلومات تكوين السمات الخاصة بمورد خادم نهج الشبكة (NPS)، راجع RADIUS - تكوين NPS للسمات الخاصة بالمورد.

الشهادات

لإنشاء شهادات موقعة ذاتيا، راجع إنشاء شهادات وتصديرها لاتصالات Vpn P2S للمستخدم: PowerShell. لإنشاء شهادة باسم مشترك محدد، قم بتغيير معلمة الموضوع إلى القيمة المناسبة (مثال، xx@domain.com) عند تشغيل New-SelfSignedCertificate أمر PowerShell. على سبيل المثال، يمكنك إنشاء شهادات مع الموضوع التالي:

حقل الشهادة الرقمية قيمة الوصف
الموضوع CN= cert@marketing.contoso.com شهادة رقمية لقسم التسويق
الموضوع CN= cert@sale.contoso.com شهادة رقمية لقسم البيع
الموضوع CN= cert@engineering.contoso.com شهادة رقمية لقسم الهندسة
الموضوع CN= cert@finance.contoso.com شهادة رقمية لقسم الشؤون المالية

إشعار

تنطبق ميزة تجمع العناوين المتعددة مع مصادقة الشهادة الرقمية على مجموعة مستخدمين معينة استنادا إلى حقل الموضوع . لا تعمل معايير التحديد مع شهادات الاسم البديل للموضوع (SAN).

الخطوة 3: إنشاء مجموعة مستخدمين

استخدم الخطوات التالية لإنشاء مجموعة مستخدمين.

  1. في مدخل Microsoft Azure، انتقل إلى صفحة Virtual WAN -> User VPN configurations .

  2. في صفحة تكوينات VPN للمستخدم، حدد تكوين VPN للمستخدم الذي تريد تحريره، ثم حدد تحرير التكوين.

  3. في صفحة تحرير تكوين VPN للمستخدم، افتح علامة التبويب مجموعات المستخدمين.

    لقطة شاشة لتمكين مجموعات المستخدمين.

  4. حدد نعم لتمكين مجموعات المستخدمين. عند تعيين تكوين الخادم هذا إلى بوابة P2S VPN، يتم تعيين عناوين IP للمستخدمين الذين هم جزء من مجموعات المستخدمين نفسها من نفس تجمعات العناوين. يتم تعيين عناوين IP للمستخدمين الذين هم جزء من مجموعات مختلفة من مجموعات مختلفة. عند استخدام هذه الميزة، يجب تحديد المجموعة الافتراضية لإحدى المجموعات التي تقوم بإنشائها.

  5. لبدء إنشاء مجموعة مستخدمين جديدة، املأ معلمة الاسم باسم المجموعة الأولى.

  6. بجوار اسم المجموعة، حدد تكوين المجموعة لفتح صفحة تكوين إعدادات المجموعة.

    لقطة شاشة لإنشاء مجموعة جديدة.

  7. في صفحة تكوين إعدادات المجموعة، املأ القيم لكل عضو تريد تضمينه في هذه المجموعة. يمكن أن تحتوي المجموعة على عدة أعضاء في المجموعة.

    • إنشاء عضو جديد عن طريق ملء حقل الاسم .

    • حدد Authentication: Setting Type من القائمة المنسدلة. يتم ملء القائمة المنسدلة تلقائيا استنادا إلى أساليب المصادقة المحددة لتكوين Vpn للمستخدم.

    • اكتب القيمة. للحصول على قيم صالحة، راجع حول مجموعات المستخدمين.

    لقطة شاشة لتكوين القيم لأعضاء مجموعة المستخدمين.

  8. عند الانتهاء من إنشاء الإعدادات للمجموعة، حدد Add and Ok.

  9. إنشاء أي مجموعات إضافية.

  10. حدد مجموعة واحدة على الأقل كافتراضية. سيتم تعيين المستخدمين الذين ليسوا جزءا من أي مجموعة محددة على بوابة إلى المجموعة الافتراضية على البوابة. لاحظ أيضا أنه لا يمكنك تعديل الحالة "الافتراضية" لمجموعة بعد إنشاء المجموعة.

    لقطة شاشة لتحديد المجموعة الافتراضية.

  11. حدد الأسهم لضبط ترتيب أولوية المجموعة.

    لقطة شاشة لضبط ترتيب الأولوية.

  12. حدد Review + create لإنشاء وتكوين. بعد إنشاء تكوين VPN للمستخدم، قم بتكوين إعدادات تكوين خادم البوابة لاستخدام ميزة مجموعات المستخدمين.

الخطوة 4: تكوين إعدادات البوابة

  1. في المدخل، انتقل إلى المركز الظاهري وحدد User VPN (نقطة إلى موقع).

  2. في صفحة نقطة إلى موقع، حدد رابط وحدات مقياس البوابة لفتح بوابة تحرير VPN للمستخدم. اضبط قيمة وحدات مقياس البوابة من القائمة المنسدلة لتحديد معدل نقل البوابة.

  3. بالنسبة لتكوين خادم نقطة إلى موقع، حدد تكوين VPN للمستخدم الذي قمت بتكوينه لمجموعات المستخدمين. إذا لم تكن قد قمت بتكوين هذه الإعدادات بعد، فشاهد إنشاء مجموعة مستخدمين.

  4. إنشاء نقطة جديدة لتكوين الموقع عن طريق كتابة اسم تكوين جديد.

  5. حدد مجموعة واحدة أو أكثر ليتم إقرانها بهذا التكوين. سيتم تعيين عناوين IP لجميع المستخدمين الذين هم جزء من المجموعات المقترنة بهذا التكوين من نفس تجمعات عناوين IP.

    عبر جميع التكوينات لهذه البوابة، يجب أن يكون لديك مجموعة مستخدم افتراضية واحدة محددة بالضبط.

    لقطة شاشة لصفحة

  6. بالنسبة إلى مجموعات العناوين، حدد تكوين لفتح صفحة تحديد تجمعات العناوين. في هذه الصفحة، قم بإقران تجمعات العناوين الجديدة بهذا التكوين. سيتم تعيين عناوين IP للمستخدمين الأعضاء في المجموعات المقترنة بهذا التكوين من التجمعات المحددة. استنادا إلى عدد وحدات مقياس البوابة المقترنة بالبوابة، قد تحتاج إلى تحديد أكثر من تجمع عناوين واحد. لا يمكن أن تكون تجمعات العناوين أصغر من /24. على سبيل المثال، لا يمكنك تعيين نطاق من /25 أو /26 إذا كنت تريد أن يكون لديك نطاق تجمع عناوين أصغر لمجموعات المستخدمين. الحد الأدنى للبادئة هو /24. حدد إضافة و Ok لحفظ تجمعات العناوين الخاصة بك.

    لقطة شاشة لصفحة تحديد تجمعات العناوين.

  7. تحتاج إلى تكوين واحد لكل مجموعة من المجموعات التي يجب تعيين عناوين IP لها من تجمعات عناوين مختلفة. كرر الخطوات لإنشاء المزيد من التكوينات. راجع الخطوة 1 للاطلاع على المتطلبات والقيود المتعلقة بتجمعات العناوين والمجموعات.

  8. بعد إنشاء التكوينات التي تحتاج إليها، حدد تحرير، ثم تأكيد لحفظ الإعدادات.

    لقطة شاشة لتأكيد الإعدادات.

استكشاف الأخطاء وإصلاحها

  1. تحقق من أن الحزم لها السمات الصحيحة؟: يمكن تشغيل Wireshark أو التقاط حزمة أخرى في وضع NPS وفك تشفير الحزم باستخدام المفتاح المشترك. يمكنك التحقق من أن الحزم يتم إرسالها من خادم RADIUS إلى بوابة VPN من نقطة إلى موقع مع تكوين RADIUS VSA الصحيح.
  2. هل يتم تعيين IP خاطئ للمستخدمين؟: إعداد تسجيل أحداث NPS والتحقق منها للمصادقة سواء كان المستخدمون مطابقين للنهج أم لا.
  3. هل تواجه مشكلات في تجمعات العناوين؟ يتم تحديد كل تجمع عناوين على البوابة. يتم تقسيم تجمعات العناوين إلى تجمعين للعناوين وتعيينها لكل مثيل نشط-نشط في زوج بوابة VPN من نقطة إلى موقع. يجب أن تظهر عناوين التقسيم هذه في جدول التوجيه الفعال. على سبيل المثال، إذا حددت "10.0.0.0/24"، يجب أن ترى مسارين "/25" في جدول التوجيه الفعال. إذا لم يكن الأمر كذلك، فحاول تغيير تجمعات العناوين المعرفة على البوابة.
  4. عميل P2S غير قادر على تلقي المسارات؟ تأكد من أن جميع تكوينات اتصال VPN من نقطة إلى موقع مقترنة ب defaultRouteTable ونشرها إلى نفس مجموعة جداول التوجيه. يجب تكوين هذا تلقائيا إذا كنت تستخدم المدخل، ولكن إذا كنت تستخدم REST أو PowerShell أو CLI، فتأكد من تعيين جميع النشرات والاقترانات بشكل مناسب.
  5. هل يتعذر تمكين Multipool باستخدام عميل Azure VPN؟ إذا كنت تستخدم عميل Azure VPN، فتأكد من أن عميل Azure VPN المثبت على أجهزة المستخدم هو أحدث إصدار. تحتاج إلى تنزيل العميل مرة أخرى لتمكين هذه الميزة.
  6. هل يتم تعيين جميع المستخدمين إلى المجموعة الافتراضية؟ إذا كنت تستخدم مصادقة Microsoft Entra، فتأكد من أن إدخال عنوان URL للمستأجر في تكوين (https://login.microsoftonline.com/<tenant ID>) الخادم لا ينتهي ب \. إذا كان عنوان URL هو إدخال ينتهي ب \، فلن تتمكن البوابة من معالجة مجموعات مستخدمي Microsoft Entra بشكل صحيح، ويتم تعيين جميع المستخدمين إلى المجموعة الافتراضية. للمعالجة، قم بتعديل تكوين الخادم لإزالة تجمعات العناوين اللاحقة \ وتعديلها التي تم تكوينها على البوابة لتطبيق التغييرات على البوابة. هذه مشكلة معروفة.
  7. هل تحاول دعوة مستخدمين خارجيين لاستخدام ميزة Multipool؟ إذا كنت تستخدم مصادقة Microsoft Entra وتخطط لدعوة المستخدمين الخارجيين (المستخدمين الذين ليسوا جزءا من مجال Microsoft Entra الذي تم تكوينه على بوابة VPN) للاتصال ببوابة VPN من نقطة إلى موقع WAN الظاهرية، فتأكد من أن نوع المستخدم للمستخدم الخارجي هو "عضو" وليس "ضيف". تأكد أيضا من تعيين "اسم" المستخدم إلى عنوان البريد الإلكتروني للمستخدم. إذا لم يتم تعيين نوع المستخدم واسم المستخدم المتصل بشكل صحيح كما هو موضح أعلاه، أو لا يمكنك تعيين عضو خارجي ليكون "عضوا" في مجال Microsoft Entra الخاص بك، يتم تعيين المستخدم المتصل إلى المجموعة الافتراضية وتعيين IP من تجمع عناوين IP الافتراضي.

الخطوات التالية