Partager via

Configurer des stratégies réseau

Vous pouvez utiliser cette rubrique pour configurer des stratégies réseau dans le serveur NPS (Network Policy Server).

Ajouter une stratégie réseau

Le serveur NPS (Network Policy Server) utilise des stratégies réseau et les propriétés de numérotation des comptes d’utilisateur pour déterminer si une demande de connexion est autorisée à se connecter au réseau.

Vous pouvez utiliser cette procédure pour configurer une nouvelle stratégie réseau dans la console du serveur NPS ou dans la console d’accès à distance.

Exécution de l’autorisation

Quand le serveur NPS autorise une demande de connexion, il compare la demande à chaque stratégie réseau de la liste triée des stratégies, en commençant par la première stratégie, puis en descendant dans la liste des stratégies configurées. Si le serveur NPS trouve une stratégie dont les conditions correspondent à la demande de connexion, le serveur NPS utilise la stratégie de correspondance et les propriétés de numérotation du compte d’utilisateur pour effectuer l’autorisation. Si les propriétés de numérotation du compte d’utilisateur sont configurées pour accorder ou contrôler l’accès via une stratégie réseau et que la demande de connexion est autorisée, le serveur NPS applique les paramètres configurés dans la stratégie réseau à la connexion.

Si le serveur NPS ne trouve pas de stratégie réseau qui correspond à la demande de connexion, la demande de connexion est rejetée, sauf si les propriétés de numérotation du compte d’utilisateur sont définies pour accorder l’accès.

Si les propriétés de numérotation du compte d’utilisateur sont définies pour refuser l’accès, la demande de connexion est refusée par le serveur NPS.

Paramètres de clé

Lorsque vous utilisez l’Assistant Nouvelle stratégie réseau pour créer une stratégie réseau, la valeur que vous spécifiez dans la méthode de connexion réseau est utilisée pour configurer automatiquement la condition type de stratégie :

  • Si vous conservez la valeur par défaut Unspecified, la stratégie réseau que vous créez est évaluée par le serveur NPS pour tous les types de connexions réseau qui utilisent n’importe quel type de serveur d’accès réseau (NAS).
  • Si vous spécifiez une méthode de connexion réseau, le serveur NPS évalue la stratégie réseau uniquement si la demande de connexion provient du type de serveur d’accès réseau que vous spécifiez.

Dans la page Autorisation d’accès , vous devez sélectionner Access accordé si vous souhaitez que la stratégie autorise les utilisateurs à se connecter à votre réseau. Si vous souhaitez que la stratégie empêche les utilisateurs de se connecter à votre réseau, sélectionnez Accès refusé.

Si vous souhaitez que l’autorisation d’accès soit déterminée par les propriétés de numérotation du compte d’utilisateur dans Active Directory® Domain Services (AD DS), vous pouvez cocher la case Accès déterminé par les propriétés de numérotation de l’utilisateur.

L’appartenance aux administrateurs de domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour ajouter une stratégie réseau

  1. Ouvrez la console NPS, puis double-cliquez sur Stratégies.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Stratégies réseau, puis cliquez sur Nouveau. L’Assistant Nouvelle stratégie réseau s’ouvre.

  3. Utilisez l’Assistant Nouvelle stratégie réseau pour créer une stratégie.

Créer à l’aide d’un Assistant des stratégies réseau pour l’accès è distance ou le VPN

Vous pouvez utiliser cette procédure pour créer des stratégies de demande de connexion et des stratégies réseau qui nécessitent le déploiement de serveur de numérotation ou de serveurs de réseau virtuel privé (VPN) en tant que client RADIUS (Remote Authentication Dial-In User Service) sur le serveur NPS RADIUS.

Notes

Les ordinateurs clients, comme les ordinateurs portables et autres ordinateurs exécutant des systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs d’authentification 802.1X, des serveurs de réseau privé virtuel (VPN) et des serveurs d’accès à distance), car ces périphériques utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, comme les serveurs NPS (Network Policy Server).

Cette procédure explique comment ouvrir l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel dans le serveur NPS.

Après avoir exécuté l’Assistant, les stratégies suivantes sont créées :

  • Une stratégie de demande de connexion
  • Une stratégie réseau

Vous pouvez exécuter l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel chaque fois que vous avez besoin de créer de nouvelles stratégies pour les serveurs d’accès à distance et les serveurs VPN.

L’exécution de l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel n’est pas la seule étape nécessaire pour déployer des serveurs d’accès à distance ou VPN en tant que clients RADIUS sur le serveur NPS. Les deux méthodes d’accès réseau nécessitent le déploiement de composants matériels et logiciels supplémentaires.

L’appartenance aux administrateurs de domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour créer à l’aide d’un Assistant des stratégies pour accès à distance ou le VPN

  1. Ouvrez la console du serveur NPS. S’il n’est pas déjà sélectionné, cliquez sur NPS (local). Si vous souhaitez créer des stratégies sur un serveur NPS distant, sélectionnez le serveur.

  2. Dans Prise en Main et Configuration Standard, sélectionnez le serveur RADIUS pour les connexions commutées ou VPN. Le texte et les liens situés sous le texte changent pour refléter votre sélection.

  3. Cliquez sur Configurer un VPN ou un accès à distance à l’aide d’un Assistant. L’Assistant Nouvelles connexions d’accès à distance ou de réseau privé virtuel s’ouvre.

  4. Suivez les instructions de l’Assistant pour terminer la création de vos nouvelles stratégies.

Créer des stratégies réseau pour le réseau 802.1X câblé ou sans fil à l’aide d’un Assistant

Vous pouvez utiliser cette procédure pour créer la stratégie de demande de connexion et la stratégie réseau nécessaires pour déployer des commutateurs d’identification 802.1X ou des points d’accès sans fil 802.1X en tant que clients RADIUS (Remote Authentication Dial-In User Service) sur le serveur NPS RADIUS.

Cette procédure explique comment démarrer l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X dans le serveur NPS.

Après avoir exécuté l’Assistant, les stratégies suivantes sont créées :

  • Une stratégie de demande de connexion
  • Une stratégie réseau

Vous pouvez exécuter l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X chaque fois que vous devez créer de nouvelles stratégies pour l’accès 802.1X.

L’exécution de l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X n’est pas la seule étape requise pour déployer des commutateurs d’authentification et des points d’accès sans fil 802.1X en tant que clients RADIUS sur le serveur NPS. Les deux méthodes d’accès réseau nécessitent le déploiement de composants matériels et logiciels supplémentaires.

L’appartenance aux administrateurs de domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour créer des stratégies pour le réseau 802.1X câblé ou sans fil à l’aide d’un Assistant

  1. Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur de stratégie réseau. La console NPS s’ouvre.

  2. S’il n’est pas déjà sélectionné, cliquez sur NPS (local). Si vous souhaitez créer des stratégies sur un serveur NPS distant, sélectionnez le serveur.

  3. Dans Prise en main et configuration standard, sélectionnez le serveur RADIUS pour les connexions sans fil ou câblées 802.1X. Le texte et les liens situés sous le texte changent pour refléter votre sélection.

  4. Cliquez sur Configurer 802.1X à l’aide d’un Assistant. L’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X s’ouvre.

  5. Suivez les instructions de l’Assistant pour terminer la création de vos nouvelles stratégies.

Configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur

Utilisez cette procédure pour configurer une stratégie réseau NPS afin d’ignorer les propriétés de numérotation des comptes d’utilisateur dans Active Directory pendant le processus d’autorisation. Les comptes d’utilisateurs dans Utilisateurs et ordinateurs Active Directory ont des propriétés de numérotation qui sont évaluées par le serveur NPS pendant le processus d’autorisation, sauf si la propriété Autorisation d’accès au réseau du compte d’utilisateur est définie sur Contrôler l’accès via la Stratégie réseau NPS.

Vous pouvez configurer le serveur NPS pour ignorer les propriétés de numérotation des comptes d’utilisateur dans Active Directory dans deux circonstances :

  • Lorsque vous souhaitez simplifier l’autorisation NPS à l’aide de la stratégie réseau, mais que toutes vos comptes d’utilisateur n’ont pas la propriété d’autorisation d’accès réseau définie pour contrôler l’accès via la stratégie réseau NPS. Par exemple, certains comptes d’utilisateur peuvent avoir la propriété Autorisation d’accès réseau du compte d’utilisateur définie sur Refuser l’accès ou Autoriser l’accès.

  • Lorsque d’autres propriétés de numérotation de comptes d’utilisateur ne s’appliquent pas au type de connexion configuré dans la stratégie réseau. Par exemple, les propriétés autres que le paramètre d’autorisation d’accès réseau s’appliquent uniquement aux connexions commutées ou VPN, mais la stratégie réseau que vous créez concerne les connexions sans fil ou de commutateur authentifiant.

Vous pouvez utiliser cette procédure pour configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur. Si une demande de connexion correspond à la stratégie réseau où cette case à cocher est cochée, le serveur NPS n’utilise pas les propriétés de numérotation du compte d’utilisateur pour déterminer si l’utilisateur ou l’ordinateur est autorisé à accéder au réseau. Seuls les paramètres de la stratégie réseau sont utilisés pour déterminer l’autorisation.

L’appartenance aux administrateurs, ou équivalente, est la condition minimale requise pour effectuer cette procédure.

  1. Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur de stratégie réseau. La console NPS s’ouvre.

  2. Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie que vous souhaitez configurer.

  3. Dans la boîte de dialogue Propriétés de la stratégie, dans l’onglet Vue d’ensemble, dans Autorisation d’accès, cochez la case Ignorer les propriétés de numérotation du compte d’utilisateur, puis cliquez sur OK.

Pour configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur

Configurer le serveur NPS pour les VLAN (réseaux locaux virtuels)

Lorsque vous utilisez des serveurs d’accès réseau prenant en charge le VLAN et le serveur NPS dans Windows Server 2016, vous pouvez fournir à des groupes d’utilisateurs un accès uniquement aux ressources réseau correspondant à leurs autorisations de sécurité. Par exemple, vous pouvez fournir aux visiteurs un accès sans fil à Internet sans leur permettre d’accéder au réseau de votre organisation.

En outre, les VLAN vous permettent de regrouper logiquement des ressources réseau existants dans différents emplacements physiques ou sur différents sous-réseaux physiques. Par exemple, les membres de votre service commercial et les ressources de leur réseau, telles que les ordinateurs clients, les serveurs et les imprimantes, peuvent se trouver dans plusieurs bâtiments différents de votre organisation, mais vous pouvez placer toutes ces ressources sur un seul VLAN qui utilise la même plage d’adresses IP. Le VLAN fonctionne ensuite comme un seul sous-réseau, par rapport à l’utilisateur final.

Vous pouvez également utiliser des VLAN lorsque vous souhaitez séparer un réseau entre différents groupes d’utilisateurs. Une fois que vous avez déterminé comment définir vos groupes, vous pouvez créer des groupes de sécurité dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis ajouter des membres aux groupes.

Configurer une stratégie réseau pour les VLAN

Vous pouvez utiliser cette procédure pour configurer une stratégie réseau qui affecte des utilisateurs à un VLAN. Lorsque vous utilisez du matériel réseau prenant en charge les VLAN, tels que des routeurs, des commutateurs et des contrôleurs d’accès, vous pouvez configurer une stratégie réseau pour indiquer aux serveurs d’accès de placer des membres de groupes Active Directory spécifiques sur des VLAN spécifiques. Cette possibilité de regrouper logiquement des ressources réseau avec des VLAN permet de faire preuve de flexibilité lors de la conception et de l’implémentation de solutions réseau.

Lorsque vous configurez les paramètres d’une stratégie réseau NPS à utiliser avec des réseaux locaux virtuels, vous devez configurer les attributs Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type et Tunnel-Tag.

Cette procédure est fournie à titre indicatif; car votre configuration réseau peut nécessiter des paramètres différents de ceux qui sont décrits ci-dessous.

L’appartenance aux administrateurs, ou équivalente, est la condition minimale requise pour effectuer cette procédure.

Pour configurer une stratégie réseau pour les VLAN

  1. Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur de stratégie réseau. La console NPS s’ouvre.

  2. Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie que vous souhaitez configurer.

  3. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Paramètres .

  4. Dans les propriétés de stratégie, dans Paramètres, dans les attributs RADIUS, vérifiez que Standard est sélectionné.

  5. Dans le volet d’informations, dans Attributs, l’attribut Service-Type est configuré avec une valeur par défaut framed. Par défaut, pour les stratégies avec des méthodes d'accès VPN et accès commuté, l’attribut Framed-Protocol est configuré avec une valeur PPP. Pour spécifier des attributs de connexion supplémentaires requis pour les réseaux locaux virtuels, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut RADIUS standard s’ouvre.

  6. Dans Ajouter un attribut RADIUS standard, dans Attributs, faites défiler vers le bas et ajoutez les attributs suivants :

    • Type de tunnel-moyen. Sélectionnez une valeur appropriée aux sélections précédentes que vous avez effectuées pour la stratégie. Par exemple, si la stratégie réseau que vous configurez est une stratégie sans fil, sélectionnez Valeur : 802 (inclut tous les supports 802 plus le format canonique Ethernet).

    • tunnel-pvt-group-id. Entrez l’entier qui représente le numéro de VLAN auquel les membres du groupe seront affectés.

    • Type de tunnel. Sélectionnez Réseaux locaux virtuels (VLAN).

  7. Dans Ajouter un attribut RADIUS standard, cliquez sur Fermer.

  8. Si votre serveur d’accès réseau (NAS) nécessite l’utilisation de l’attribut Tunnel-Tag , procédez comme suit pour ajouter l’attribut Tunnel-Tag à la stratégie réseau. Si votre documentation NAS ne mentionne pas cet attribut, ne l’ajoutez pas à la stratégie. Si nécessaire, ajoutez les attributs comme suit :

    • Dans Propriétés de stratégie, dans Paramètres, dans Attributs RADIUS, cliquez sur Fournisseur spécifique.

    • Dans le volet d’informations, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut spécifique au fournisseur s’ouvre.

    • Dans Attributs, faites défiler vers le bas et sélectionnez Tunnel-Tag, puis cliquez sur Ajouter. La boîte de dialogue Informations sur l’attribut s’ouvre.

    • Dans Valeur d’attribut, tapez la valeur que vous avez obtenue à partir de votre documentation matérielle.

Configurer la taille de charge utile EAP

Dans certains cas, les routeurs ou les pare-feu suppriment des paquets, car ils sont configurés pour abandonner les paquets qui nécessitent une fragmentation.

Lorsque vous déployez le serveur NPS avec des stratégies réseau qui utilisent le protocole EAP (Extensible Authentication Protocol) avec le protocole TLS (Transport Layer Security) ou EAP-TLS, comme méthode d’authentification, l’unité de transmission maximale (MTU) par défaut utilisée par le serveur NPS pour les charges utiles EAP est de 1 500 octets.

Cette taille maximale pour la charge utile EAP peut créer des messages RADIUS qui nécessitent une fragmentation par un routeur ou un pare-feu entre le serveur NPS et un client RADIUS. Si tel est le cas, un routeur ou un pare-feu positionné entre le client RADIUS et le serveur NPS peut abandonner en mode silencieux certains fragments, ce qui entraîne l’échec de l’authentification et l’incapacité du client d’accès à se connecter au réseau.

Utilisez la procédure suivante pour réduire la taille maximale utilisée par le serveur NPS pour les charges utiles EAP en ajustant l’attribut Framed-MTU dans une stratégie réseau à une valeur ne dépassant pas 1 344.

L’appartenance aux administrateurs, ou équivalente, est la condition minimale requise pour effectuer cette procédure.

Pour configurer l’attribut Framed-MTU

  1. Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur de stratégie réseau. La console NPS s’ouvre.

  2. Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie que vous souhaitez configurer.

  3. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Paramètres .

  4. Dans Paramètres, dans attributs RADIUS, cliquez sur Standard. Dans le volet d’informations, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut RADIUS standard s’ouvre.

  5. Dans Attributs, faites défiler vers le bas jusqu’à ce que vous cliquez sur Framed-MTU, puis cliquez sur Ajouter. La boîte de dialogue Informations sur l’attribut s’ouvre.

  6. Dans Valeur d’attribut, tapez une valeur égale ou inférieure à 1344. Cliquez sur OK, cliquez sur Fermer, puis sur OK.

Pour plus d’informations sur les stratégies réseau, consultez Stratégies réseau.

Pour obtenir des exemples de syntaxe de correspondance de modèle pour spécifier des attributs de stratégie réseau, consultez Utiliser des expressions régulières dans NPS.

Pour plus d’informations sur NPS, consultez Serveur de stratégie réseau (NPS).