使用经典策略在 Windows 登录之前配置始终可用的 VPN
必备条件
-
NetScaler Gateway 和 VPN 插件的版本必须为 12.0.51.24 及更高版本
-
使用经典策略,您只能配置计算机级通道。有关用户级通道配置,请参阅 [高级策略配置链接]
通过在 GUI 中使用经典策略在 Windows 登录之前配置始终可用的 VPN
Windows 登录前始终可用的 VPN 支持以下两种配置:
- 设备证书验证
- 客户端证书身份验证
基于设备证书的验证
- 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器。
- 在“NetScaler Gateway 虚拟服务器”页面上,选择现有虚拟服务器,然后单击“编辑”。
- 在 VPN 虚拟服务器页面的“基本设置”部分下,单击“编辑”。
- 通过选中 启 用设备证书框,清除启用身份验证框以禁用身份验证并 启用设备证书 。
-
单击 添加将 可用的设备证书颁发者的 CA 证书名称添加到列表中。
-
要将 CA 证书绑定到虚拟服务器,请单击 证书部分下的 CA证书。单击SSL 虚拟服务器 CA 证书绑定页面下的 **添加 绑定** 。
-
单击
Click to select以选择所需的证书。
-
选择所需的 CA 证书。
-
单击绑定。
- 单击 确定 保存配置。
基于客户端证书的验
- 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器。
- 在“NetScaler Gateway 虚拟服务器”页面上,选择现有虚拟服务器,然后单击“编辑”。
- 在导航窗格中的“身份验证”下,单击 CERT。
- 在详细信息窗格中,单击“添加”。
- 在名 称 字段中,键入策略的名称。
- 单击服务器旁边的 新建 。
- 在名称中,键入配置文件的名称。
- 选择 双因素旁边的关闭。
- 在“用户名 和 组名”中,选择值,然后单击“创建”。
- 在“创建身份验证策略”对话框中,在命名表达式旁边,选择表达式,单击 添加表达式,单击 创建, 然后单击 关闭。
- 将表达式绑定到虚拟服务器。
- 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器。
- 在“NetScaler Gateway 虚拟服务器”页面上,选择现有虚拟服务器,然后单击“编辑”。
- 在“配置 NetScaler Gateway 虚拟服务器”对话框中,单击“身份验证”选项卡。
- 单击 主要 ,然后在 详细信息下单击 插入策略。
- 在“策略名称”中,选择策略,然后单击“确定”。
- 在 VPN 虚拟服务器页面上,创建 SSL 配置文件。
- 在 拒绝 SSL 重新协商中,仅针对非 安全请求选择 NON SECURE。
- 单击确定。
客户端配置
AlwaysOn、locationDetection 和 suffixList 注册表是可选的,只有在需要位置检测功能时才需要这些注册表。
| 注册表项 | 注册表类型 | 值和描述 |
|---|---|---|
| AlwaysOnService | REG_DWORD | 1 => 在没有用户角色的情况下启用始终在线服务;2 => 使用用户角色启用始终在线服务 |
| AlwayOnURL | REG SZ | 用户要连接到的 NetScaler Gateway 虚拟服务器的 URL。示例:https://xyz.companyDomain.com
|
AlwaysOn |
REG_DWORD | 1 => 在 VPN 失败时允许网络访问;2=> VPN 失败时阻止网络访问 |
| locationDetection | REG_DWORD | 1 => 启用位置检测;0 => 禁用位置检测 |
| suffixList | REG SZ | 以逗号分隔的 Intranet 域列表。在启用位置检测时使用。 |
使用经典策略在 Windows 登录之前配置始终可用的 VPN
已复制!
失败!