Tutoriel : Déployer VPN Always On - Configurer l’infrastructure pour VPN Always On
Dans ce tutoriel, vous allez apprendre à déployer des connexions VPN Always On pour des ordinateurs clients Windows 10 joints à un domaine distant. Vous allez créer un exemple d’infrastructure qui vous montre comment implémenter un processus de connexion de VPN Always On. Ce processus se compose des étapes suivantes :
Le client VPN Windows utilise des serveurs DNS publics pour effectuer une requête de résolution de nom pour l’adresse IP de la passerelle VPN.
Le client VPN utilise l’adresse IP retournée par DNS pour envoyer une demande de connexion à la passerelle VPN.
La passerelle VPN est également configurée en tant que protocole RADIUS (Remote Authentication Dial-In User Service) ; le client RADIUS VPN envoie la demande de connexion au serveur NPS de l’organisation ou de l’entreprise pour le traitement de la demande de connexion.
Le serveur NPS traite la demande de connexion, en se chargeant notamment de l’autorisation et de l’authentification, et détermine s’il faut autoriser ou refuser la demande de connexion.
Le serveur NPS transmet une réponse Access-Accept ou Access-Deny à la passerelle VPN.
La connexion est lancée ou arrêtée en fonction de la réponse que le serveur VPN reçoit du serveur NPS.
Prérequis
Pour effectuer les étapes de ce tutoriel,
vous aurez besoin d’accéder à quatre ordinateurs physiques ou machines virtuelles.
Assurez-vous que votre compte utilisateur sur tous les ordinateurs fait partie des Administrateurs ou d’un groupe équivalent.
Important
L’utilisation de l’accès à distance dans Microsoft Azure (notamment le VPN d’accès à distance et DirectAccess) n’est pas prise en charge. Pour plus d’informations, consultez Prise en charge des logiciels serveur Microsoft pour les machines virtuelles Microsoft Azure.
Créer le contrôleur de domaine
Installez Windows Server sur l’ordinateur qui exécutera le contrôleur de domaine.
Installer les Active Directory Domain Services (AD DS). Pour plus d’informations sur l’installation des AD DS, consultez Installer des Active Directory Domain Services.
Promouvoir Windows Server en contrôleur de domaine. Pour ce tutoriel, vous allez créer une forêt et le domaine de cette nouvelle forêt. Pour plus d’informations sur l’installation du contrôleur de domaine, consultez Installation des AD DS.
Installez et configurez l’autorité de certification sur le contrôleur de domaine. Pour plus d’informations sur l’installation de l’autorité de certification, consultez Installer l’autorité de certification.
Créer une stratégie de groupe Active Directory
Dans cette section, vous allez créer une stratégie de groupe sur le contrôleur de domaine afin que les membres du domaine demandent automatiquement des certificats utilisateur et ordinateur. Cette configuration permet aux utilisateurs VPN de demander et de récupérer des certificats utilisateur qui authentifient automatiquement les connexions VPN. Cette stratégie permet également au serveur NPS de demander automatiquement des certificats d’authentification serveur.
Sur le contrôleur de domaine, ouvrez Gestion des stratégies de groupe.
Dans le volet gauche, cliquez avec le bouton droit sur votre domaine (par exemple, corp.contoso.com). Cliquez avec le bouton droit sur Créer un objet GPO dans ce domaine, et le lier ici.
Dans la boîte de dialogue Nouvel objet GPO, pour Nom, entrez Stratégie d’inscription automatique. Sélectionnez OK.
Dans le volet gauche, cliquez avec le bouton droit sur Stratégie d’inscription automatique. Sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.
Dans l’Éditeur de gestion des stratégies de groupe, effectuez les étapes suivantes pour configurer l’inscription automatique des certificats d’ordinateur :
Dans le volet gauche, accédez à Configuration de l’ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.
Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. Sélectionner Propriétés.
Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, pour Modèle de configuration, sélectionnez Activé.
Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.
Sélectionnez OK.
Dans l’Éditeur de gestion des stratégies de groupe, effectuez les étapes suivantes pour configurer l’inscription automatique des certificats utilisateur :
Dans le volet gauche, accédez à Configuration utilisateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.
Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique et sélectionnez Propriétés.
Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, dans Modèle de configuration, sélectionnez Activé.
Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.
Sélectionnez OK.
Fermez l’Éditeur de gestion des stratégies de groupe.
Fermez la gestion des stratégies de groupe.
Créer le serveur NPS
Installez Windows Server sur l’ordinateur qui exécutera le serveur NPS.
Sur le serveur NPS, installez le rôle NPS (Network Policy and Access Services). Pour plus d’informations sur l’installation du NSP, consultez Installer le serveur NPS (Network Policy Server).
Inscrire le serveur NPS dans Active Directory. Pour plus d’informations sur l’inscription d’un serveur NPS dans Active Directory, consultez Inscrire un serveur NPS dans un domaine Active Directory.
Vérifiez que vos pare-feux autorisent le trafic nécessaire au bon fonctionnement des communications VPN et RADIUS. Pour plus d’informations, consultez Configurer des pare-feux pour le trafic RADIUS.
Créer le groupe Serveurs NPS :
Sur le contrôleur de domaine, ouvrez le composant Utilisateurs et ordinateurs Active Directory.
Sous votre domaine, cliquez avec le bouton droit sur Ordinateurs. Sélectionnez Nouveau, puis Groupe.
Dans Nom du groupe, entrez Serveurs NPS, puis sélectionnez OK.
Cliquez avec le bouton droit sur Serveurs NPS et sélectionnez Propriétés.
Sous l’onglet Membres de la boîte de dialogue Propriétés des serveurs NPS, sélectionnez Ajouter.
sélectionnez Types d’objet, cochez la case Ordinateurs, puis sélectionnez OK.
Dans Entrez les noms d’objets à sélectionner, entrez le nom de l’ordinateur du serveur NPS. Sélectionnez OK.
Fermez Utilisateurs et ordinateurs Active Directory.
Créer le serveur VPN
Installez Windows Server sur l’ordinateur qui exécutera le serveur VPN. Assurez-vous que deux cartes réseau physiques sont installées sur l’ordinateur : une pour se connecter à Internet et une autre pour se connecter au réseau où se trouve le contrôleur de domaine.
Identifiez la carte réseau qui se connecte à Internet et la carte réseau qui se connecte au domaine. Configurez la carte réseau côté Internet avec une adresse IP publique, tandis que la carte côté intranet peut utiliser une adresse IP du réseau local.
Pour la carte réseau qui se connecte au domaine, définissez l’adresse IP DNS préférée sur l’adresse IP du contrôleur de domaine.
Joignez le serveur VPN au domaine. Pour plus d’informations sur la méthode pour joindre un serveur à un domaine, consultez Pour joindre un serveur à un domaine.
Ouvrez vos règles de pare-feu pour autoriser les ports UDP 500 et 4500 entrants vers l'adresse IP externe appliquée à l'interface publique sur le serveur VPN.
Sur la carte réseau qui se connecte au domaine, activez les ports suivants : UDP1812, UDP1813, UDP1645 et UDP1646.
Créer le groupe Serveurs VPN :
Sur le contrôleur de domaine, ouvrez le composant Utilisateurs et ordinateurs Active Directory.
Sous votre domaine, cliquez avec le bouton droit sur Ordinateurs. Sélectionnez Nouveau, puis Groupe.
Dans Nom du groupe, entrez Serveurs VPN, puis sélectionnez OK.
Cliquez avec le bouton droit sur Serveurs VPN, puis sélectionnez Propriétés.
Sous l’onglet Membres de la boîte de dialogue Propriétés des serveurs VPN, sélectionnez Ajouter.
sélectionnez Types d’objet, cochez la case Ordinateurs, puis sélectionnez OK.
Dans Entrer les noms d’objets à sélectionner, entrez le nom de l’ordinateur du serveur VPN. Sélectionnez OK.
Fermez Utilisateurs et ordinateurs Active Directory.
Suivez les étapes décrites dans Installer l’accès à distance en tant que serveur VPN pour installer le serveur VPN.
Ouvrez l’outil Routage et accès à distance à partir du Gestionnaire de serveur.
Cliquez avec le bouton droit sur le serveur VPN, puis cliquez sur Propriétés.
Dans Propriétés, sélectionnez l’onglet Sécurité, puis :
Sélectionnez Fournisseur d’authentification, puis Authentification RADIUS.
Sélectionnez Configurer pour ouvrir la boîte de dialogue Authentification RADIUS.
Sélectionnez Ajouter pour ouvrir la boîte de dialogue Ajouter un serveur RADIUS.
Dans Nom du serveur, entrez le nom de domaine complet (FQDN) du serveur NPS. Dans ce tutoriel, le serveur NPS est le serveur de contrôleur de domaine. Par exemple, si le nom NetBIOS de votre serveur NPS et contrôleur de domaine est dc1 et que votre nom de domaine est corp.contoso.com, entrez dc1.corp.contoso.com.
Dans Secret partagé, sélectionnez Modifier pour ouvrir la boîte de dialogue Modifier le secret.
Dans Nouveau secret, entrez une chaîne de texte.
Dans Confirmer le nouveau secret, entrez la même chaîne de texte, puis sélectionnez OK.
Enregistrez ce secret. Vous en aurez besoin lorsque vous ajouterez ce serveur VPN en tant que client RADIUS plus loin dans ce tutoriel.
Sélectionnez OK pour fermer la boîte de dialogue Ajouter un serveur RADIUS.
Sélectionnez OK pour fermer la boîte de dialogue Authentification Radius.
Dans la boîte de dialogue Propriétés du serveur VPN, sélectionnez Méthodes d’authentification....
Sélectionnez Autoriser l’authentification par certificat d’ordinateur pour IKEv2.
Sélectionnez OK.
Pour Fournisseur de gestion de comptes, sélectionnez Gestion des comptes Windows.
Sélectionnez OK pour fermer la boîte de dialogue Propriétés.
Une boîte de dialogue vous invite à redémarrer le serveur. Sélectionnez Oui.
Créer un client VPN Windows
Installez Windows 10 ou version ultérieure sur l’ordinateur qui sera votre client VPN.
Joignez le client VPN à votre domaine. Pour plus d’informations sur la méthode pour joindre un ordinateur à un domaine, consultez Pour joindre un serveur à un domaine.
Créer un utilisateur et un groupe VPN
Créez un utilisateur VPN en effectuant les étapes suivantes :
Sur le contrôleur de domaine, ouvrez le composant Utilisateurs et ordinateurs Active Directory.
Sous votre domaine, cliquez avec le bouton droit sur Utilisateurs. Sélectionnez Nouveau. Pour Nom d'ouverture de session de l'utilisateur, entrez n’importe quel nom d’ouverture de session. Sélectionnez Suivant.
Choisissez un mot de passe pour le nom d'utilisateur.
Désélectionnez L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Sélectionnez Le mot de passe n’expire jamais.
Sélectionnez Terminer. Gardez le composant Utilisateurs et ordinateurs Active Directory ouvert.
Créez un groupe d’utilisateurs VPN en effectuant les étapes suivantes :
Sous votre domaine, cliquez avec le bouton droit sur Utilisateurs. Sélectionnez Nouveau, puis Groupe.
Dans Nom du groupe, entrez Utilisateurs VPN, puis sélectionnez OK.
Cliquez avec le bouton droit sur Utilisateurs VPN, puis sélectionnez Propriétés.
Sous l’onglet Membres de la boîte de dialogue Propriétés des utilisateurs VPN, sélectionnez Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs, ajoutez l’utilisateur VPN que vous avez créé et sélectionnez OK.
Configurer un serveur VPN comme client RADIUS
Sur le serveur NPS, ouvrez vos règles de pare-feu pour autoriser les ports UDP 1812, 1813, 1645 et 1646 entrants.
Dans la console NPS, double-cliquez sur Clients et serveurs RADIUS.
Cliquez avec le bouton droit sur Clients RADIUS et sélectionnez Nouveau pour ouvrir la boîte de dialogue Nouveau client RADIUS.
Vérifiez que la case Activer cette source de données est cochée.
Dans Nom convivial, entrez un nom d’affichage pour le serveur VPN.
Dans Adresse (IP ou DNS), entrez l’adresse IP ou le nom de domaine complet du serveur VPN.
Si vous entrez le FQDN, sélectionnez Vérifier si vous souhaitez vérifier que le nom est correct et correspond à une adresse IP valide.
Dans Secret partagé :
Vérifiez que Manuel est sélectionné.
Entrez le secret que vous avez créé dans la section Créer le serveur VPN.
Pour Confirmer le secret partagé, entrez à nouveau le secret partagé.
Sélectionnez OK. Le serveur VPN doit apparaître dans la liste des clients RADIUS configurés sur le serveur NPS.
Configurer le serveur NPS en tant que serveur RADIUS
Notes
Dans ce tutoriel, le serveur NPS est installé sur le contrôleur de domaine avec le rôle d’autorité de certification et nous n’avons pas besoin d’inscrire un certificat de serveur NPS distinct. Toutefois, dans un environnement où le serveur NPS est installé sur un serveur distinct, un certificat de serveur NPS doit être inscrit avant que vous puissiez préformer ces étapes.
Dans la console NPS, sélectionnez NPS(Local).
Dans Configuration standard, vérifiez que le serveur RADIUS pour les connexions d’accès à distance ou VPN est sélectionné.
Sélectionnez Configurer le VPN ou l’accès à distance pour ouvrir l’Assistant Configurer le VPN ou d’accès distant.
Sélectionnez Connexions de réseau privé virtuel (VPN),puis Suivant.
Dans Spécifier un serveur d’accès distant ou VPN, dans Clients RADIUS, sélectionnez le nom du serveur VPN.
Sélectionnez Suivant.
Dans Configurer les méthodes d’authentification, effectuez les étapes suivantes :
Désactivez Microsoft Encrypted Authentication version 2 (MS-CHAPv2).
Sélectionnez Protocole EAP (Extensible Authentication Protocol).
Pour le Type, sélectionnez Microsoft: Protected EAP (PEAP). Sélectionnez ensuite Configurer pour ouvrir la boîte de dialogue Modifier les propriétés EAP protégées.
Sélectionnez Supprimer pour supprimer le type Mot de passe sécurisé EAP (EAP-MSCHAP v2).
Sélectionnez Ajouter. La boîte de dialogue Ajouter un EAP s’ouvre.
Sélectionnez Carte à puce ou autre certificat, puis OK.
Sélectionnez OK pour fermer Modifier les propriétés EAP protégées.
Sélectionnez Suivant.
Dans Spécifier des groupes d’utilisateurs, effectuez les étapes suivantes :
Sélectionnez Ajouter. La boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes s'ouvre.
Entrez Utilisateurs VPN, puis sélectionnez OK.
Sélectionnez Suivant.
Dans Spécifier des filtres IP, sélectionnez Suivant.
Dans Spécifier les paramètres de chiffrement, sélectionnez Suivant. N’apportez aucune modification.
Dans Spécifier un nom de domaine, sélectionnez Suivant.
Sélectionnez Terminer pour fermer l’Assistant.
Étapes suivantes
Maintenant que vous avez créé votre exemple d’infrastructure, vous êtes prêt à configurer votre autorité de certification.