Serveur NPS (Network Policy Server)

S’applique à : Windows Server 2022, Windows Server 2016, Windows Server 2019

Vous pouvez utiliser cette rubrique pour obtenir une vue d’ensemble du serveur de stratégie réseau dans Windows Server 2016 et Windows Server 2019. NPS est installé lorsque vous installez la fonctionnalité Stratégie réseau et Access Services (NPAS) dans Windows Server 2016 et Server 2019.

Le serveur de stratégie réseau (NPS) vous permet de créer et d’appliquer des stratégies d’accès réseau à l’échelle de l’organisation pour l’authentification et l’autorisation de demande de connexion.

Vous pouvez également configurer NPS en tant que proxy RADIUS (Remote Authentication Dial-In User Service) pour transférer les demandes de connexion vers un serveur NPS distant ou un autre serveur RADIUS afin que vous puissiez équilibrer la charge des demandes de connexion et les transférer vers le domaine approprié pour l’authentification et l’autorisation.

NPS vous permet de configurer et de gérer de manière centralisée l’authentification, l’autorisation et la comptabilité de l’accès réseau avec les fonctionnalités suivantes :

  • Serveur RADIUS. NPS effectue l’authentification centralisée, l’autorisation et la comptabilité pour les connexions sans fil, au commutateur d’authentification, à l’accès à distance et au réseau privé virtuel (VPN). Lorsque vous utilisez NPS en tant que serveur RADIUS, vous devez configurer les serveurs d’accès réseau, tels que les point d’accès sans fil et les serveurs VPN, en tant que clients RADIUS dans NPS. Vous devez également configurer les stratégies réseau utilisées par NPS pour autoriser les demandes de connexion. Vous pouvez éventuellement configurer la gestion des comptes RADIUS de sorte que NPS enregistre les informations de gestion des comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server. Pour plus d’informations, consultez le serveur RADIUS.
  • Proxy RADIUS. Lorsque vous utilisez NPS comme proxy RADIUS, vous configurez des stratégies de demande de connexion qui indiquent au serveur NPS les demandes de connexion à transférer vers d’autres serveurs RADIUS et vers quels serveurs RADIUS vous souhaitez transférer des demandes de connexion. Vous pouvez éventuellement configurer NPS pour le transfert des données de gestion des comptes à enregistrer par un ou plusieurs ordinateurs d’un groupe de serveurs RADIUS distants. Pour configurer NPS en tant que serveur proxy RADIUS, consultez les rubriques suivantes. Pour plus d’informations, consultez proxy RADIUS.
  • Comptabilité RADIUS. Vous pouvez configurer NPS pour journaliser les événements sur un fichier journal local ou sur une instance locale ou distante de Microsoft SQL Server. Pour plus d’informations, consultez journalisation NPS.

Important

La protection de l’accès réseau (NAP), l’autorité d’inscription d’intégrité (HRA) et le protocole d’autorisation d’identification de l’hôte (HCAP) ont été déconseillés dans Windows Server 2012 R2 et ne sont pas disponibles dans Windows Server 2016. Si vous avez un déploiement NAP à l’aide de systèmes d’exploitation antérieurs à Windows Server 2016, vous ne pouvez pas migrer votre déploiement NAP vers Windows Server 2016.

Vous pouvez configurer NPS avec n’importe quelle combinaison de ces fonctionnalités. Par exemple, vous pouvez configurer un serveur NPS en tant que serveur RADIUS pour les connexions VPN et également en tant que proxy RADIUS pour transférer certaines demandes de connexion aux membres d’un groupe de serveurs RADIUS distant pour l’authentification et l’autorisation dans un autre domaine.

éditions de serveur Windows et NPS

NPS fournit différentes fonctionnalités en fonction de l’édition de Windows Serveur que vous installez.

Windows Server 2016 ou Windows Server 2019 Standard/Datacenter Edition

Avec NPS dans Windows Server 2016 Standard ou Datacenter, vous pouvez configurer un nombre illimité de clients RADIUS et de groupes de serveurs RADIUS distants. En outre, vous pouvez configurer des clients RADIUS en spécifiant une plage d'adresses IP.

Notes

La fonctionnalité de stratégie réseau WIndows et Access Services n’est pas disponible sur les systèmes installés avec une option d’installation Server Core.

Les sections suivantes fournissent des informations plus détaillées sur NPS en tant que serveur RADIUS et proxy.

Serveur RADIUS et proxy

Vous pouvez utiliser NPS comme serveur RADIUS, un proxy RADIUS ou les deux.

Serveur RADIUS

NPS est l’implémentation Microsoft de la norme RADIUS spécifiée par internet Engineering Task Force (IETF) dans les RFCs 2865 et 2866. En tant que serveur RADIUS, NPS effectue l’authentification, l’autorisation et la comptabilité centralisées pour de nombreux types d’accès réseau, notamment le commutateur sans fil, l’authentification, l’accès à distance de réseau privé virtuel et les connexions de routeur à routeur.

Notes

Pour plus d’informations sur le déploiement de NPS en tant que serveur RADIUS, consultez Déployer le serveur de stratégie réseau.

NPS permet l’utilisation d’un ensemble hétérogène de périphériques sans fil, commutateur, accès à distance ou VPN. Vous pouvez utiliser NPS avec le service d’accès à distance, disponible dans Windows Server 2016.

NPS utilise un domaine services de domaine Active Directory (AD DS) ou la base de données des comptes d’utilisateur SAM (Security Accounts Manager) local pour authentifier les informations d’identification de l’utilisateur pour les tentatives de connexion. Lorsqu’un serveur exécutant NPS est membre d’un domaine AD DS, NPS utilise le service d’annuaire comme base de données de compte d’utilisateur et fait partie d’une solution d’authentification unique. Le même ensemble d’informations d’identification est utilisé pour le contrôle d’accès réseau (authentification et autorisation de l’accès à un réseau) et pour se connecter à un domaine AD DS.

Notes

NPS utilise les propriétés rendez-vous du compte d’utilisateur et des stratégies réseau pour autoriser une connexion.

Les fournisseurs de services Internet et les organisations qui maintiennent l’accès réseau ont le défi accru de gérer tous les types d’accès réseau à partir d’un seul point d’administration, quel que soit le type d’équipement d’accès réseau utilisé. La norme RADIUS prend en charge cette fonctionnalité dans des environnements homogènes et hétérogènes. RADIUS est un protocole client-serveur qui permet à l’équipement d’accès réseau (utilisé en tant que clients RADIUS) d’envoyer des demandes d’authentification et de comptabilité à un serveur RADIUS.

Un serveur RADIUS a accès aux informations de compte d’utilisateur et peut vérifier les informations d’authentification d’accès réseau. Si les informations d’identification de l’utilisateur sont authentifiées et que la tentative de connexion est autorisée, le serveur RADIUS autorise l’accès utilisateur en fonction des conditions spécifiées, puis enregistre la connexion d’accès réseau dans un journal de comptabilité. L’utilisation de RADIUS permet à l’utilisateur d’accès réseau, à l’authentification, à l’autorisation et aux données comptables d’être collectées et conservées dans un emplacement central, plutôt que sur chaque serveur d’accès.

Utilisation de NPS en tant que serveur RADIUS

Vous pouvez utiliser NPS comme serveur RADIUS quand :

  • Vous utilisez un domaine AD DS ou la base de données des comptes d’utilisateur SAM locaux en tant que base de données de compte d’utilisateur pour les clients d’accès.
  • Vous utilisez l’accès à distance sur plusieurs serveurs rendez-vous, serveurs VPN ou routeurs de numérotation à la demande et vous souhaitez centraliser à la fois la configuration des stratégies réseau et la journalisation des connexions et la comptabilité.
  • Vous externalisez votre accès rendez-vous, VPN ou sans fil à un fournisseur de services. Les serveurs d’accès utilisent RADIUS pour authentifier et autoriser les connexions effectuées par des membres de votre organisation.
  • Vous souhaitez centraliser l’authentification, l’autorisation et la comptabilité pour un ensemble hétérogène de serveurs d’accès.

L’illustration suivante montre NPS en tant que serveur RADIUS pour divers clients d’accès.

NPS as a RADIUS Server

Proxy RADIUS

En tant que proxy RADIUS, NPS transfère les messages d’authentification et de comptabilité vers NPS et d’autres serveurs RADIUS. Vous pouvez utiliser NPS comme proxy RADIUS pour fournir le routage des messages RADIUS entre les clients RADIUS (également appelés serveurs d’accès réseau) et les serveurs RADIUS qui effectuent l’authentification, l’autorisation et la comptabilité de la tentative de connexion.

Lorsqu’il est utilisé en tant que proxy RADIUS, NPS est un point de basculement central ou de routage via lequel l’accès RADIUS et le flux de messages comptables sont utilisés. NPS enregistre des informations dans un journal de comptabilité sur les messages transférés.

Utilisation de NPS en tant que proxy RADIUS

Vous pouvez utiliser NPS comme proxy RADIUS quand :

  • Vous êtes un fournisseur de services qui propose des services d’accès réseau externe, VPN ou sans fil à plusieurs clients. Vos naS envoient des demandes de connexion au proxy RADIUS NPS. En fonction de la partie du domaine du nom d’utilisateur dans la demande de connexion, le proxy RADIUS NPS transfère la demande de connexion à un serveur RADIUS géré par le client et peut authentifier et autoriser la tentative de connexion.
  • Vous souhaitez fournir l’authentification et l’autorisation pour les comptes d’utilisateur qui ne sont pas membres du domaine dans lequel le NPS est membre ou un autre domaine qui a une approbation bidirectionnelle avec le domaine dans lequel le NPS est membre. Cela inclut des comptes dans des domaines non approuvés, des domaines approuvés unidirectionnels et d’autres forêts. Au lieu de configurer vos serveurs d’accès pour envoyer leurs demandes de connexion à un serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de connexion à un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie nom de domaine du nom d’utilisateur et transfère la demande à un serveur NPS dans le domaine ou la forêt appropriés. Les tentatives de connexion pour les comptes d’utilisateur d’un domaine ou d’une forêt peuvent être authentifiées pour les naS dans un autre domaine ou forêt.
  • Vous souhaitez effectuer l’authentification et l’autorisation à l’aide d’une base de données qui n’est pas une base de données de compte Windows. Dans ce cas, les demandes de connexion qui correspondent à un nom de domaine spécifié sont transférées à un serveur RADIUS, qui a accès à une autre base de données de comptes d’utilisateur et de données d’autorisation. Les autres bases de données utilisateur incluent les bases de données NDS (Novell Directory Services) et les bases de données langage SQL (SQL).
  • Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de configurer vos clients RADIUS pour tenter d’équilibrer leurs demandes de connexion et de comptabilité sur plusieurs serveurs RADIUS, vous pouvez les configurer pour envoyer leurs demandes de connexion et de comptabilité à un proxy RADIUS NPS. Le proxy RADIUS NPS équilibre dynamiquement la charge des demandes de connexion et de comptabilité sur plusieurs serveurs RADIUS et augmente le traitement de grands nombres de clients RADIUS et d’authentifications par seconde.
  • Vous souhaitez fournir l’authentification RADIUS et l’autorisation pour les fournisseurs de services externalisés et réduire la configuration du pare-feu intranet. Un pare-feu intranet se trouve entre votre réseau de périmètre (le réseau entre votre intranet et Internet) et l’intranet. En plaçant un serveur NPS sur votre réseau de périmètre, le pare-feu entre votre réseau de périmètre et l’intranet doit autoriser le trafic à circuler entre le serveur NPS et plusieurs contrôleurs de domaine. En remplaçant le serveur NPS par un proxy NPS, le pare-feu doit autoriser uniquement le trafic RADIUS à circuler entre le proxy NPS et un ou plusieurs NPS au sein de votre intranet.

L’illustration suivante montre NPS en tant que proxy RADIUS entre les clients RADIUS et les serveurs RADIUS.

NPS as a RADIUS Proxy

Avec NPS, les organisations peuvent également externaliser l’infrastructure d’accès à distance à un fournisseur de services tout en conservant le contrôle sur l’authentification, l’autorisation et la comptabilité des utilisateurs.

Les configurations NPS peuvent être créées pour les scénarios suivants :

  • Accès sans fil
  • Accès à distance au réseau privé virtuel (VPN) de l’organisation
  • Accès hors connexion externe ou sans fil
  • Accès à Internet
  • Accès authentifié aux ressources extranet pour les partenaires commerciaux

Exemples de configuration du serveur RADIUS et du proxy RADIUS

Les exemples de configuration suivants montrent comment configurer NPS en tant que serveur RADIUS et proxy RADIUS.

NPS en tant que serveur RADIUS. Dans cet exemple, NPS est configuré en tant que serveur RADIUS, la stratégie de demande de connexion par défaut est la seule stratégie configurée et toutes les demandes de connexion sont traitées par le serveur NPS local. Le serveur NPS peut authentifier et autoriser les utilisateurs dont les comptes se trouvent dans le domaine du serveur NPS et dans les domaines approuvés.

NPS en tant que proxy RADIUS. Dans cet exemple, le serveur NPS est configuré en tant que proxy RADIUS qui transfère les demandes de connexion aux groupes de serveurs RADIUS distants dans deux domaines non approuvés. La stratégie de demande de connexion par défaut est supprimée et deux nouvelles stratégies de demande de connexion sont créées pour transférer des demandes à chacun des deux domaines non approuvés. Dans cet exemple, NPS ne traite aucune demande de connexion sur le serveur local.

NPS en tant que serveur RADIUS et proxy RADIUS. Outre la stratégie de demande de connexion par défaut, qui désigne que les demandes de connexion sont traitées localement, une nouvelle stratégie de demande de connexion est créée qui transfère les demandes de connexion à un serveur NPS ou à un autre serveur RADIUS dans un domaine non approuvé. Cette deuxième stratégie est nommée stratégie proxy. Dans cet exemple, la stratégie proxy apparaît en premier dans la liste triée des stratégies. Si la demande de connexion correspond à la stratégie proxy, la demande de connexion est transférée au serveur RADIUS dans le groupe de serveurs RADIUS distant. Si la demande de connexion ne correspond pas à la stratégie proxy, mais qu’elle correspond à la stratégie de demande de connexion par défaut, NPS traite la demande de connexion sur le serveur local. Si la demande de connexion ne correspond pas à l’une ou l’autre stratégie, elle est ignorée.

NPS en tant que serveur RADIUS avec des serveurs de comptabilité distants. Dans cet exemple, le serveur NPS local n’est pas configuré pour effectuer la comptabilité et la stratégie de demande de connexion par défaut est révisée afin que les messages de comptabilité RADIUS soient transférés à un serveur NPS ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant. Bien que les messages de comptabilité soient transférés, les messages d’authentification et d’autorisation ne sont pas transférés, et le serveur NPS local effectue ces fonctions pour le domaine local et tous les domaines approuvés.

NPS avec RADIUS distant pour Windows mappage utilisateur. Dans cet exemple, NPS agit à la fois comme un serveur RADIUS et comme proxy RADIUS pour chaque demande de connexion individuelle en transférant la demande d’authentification à un serveur RADIUS distant tout en utilisant un compte d’utilisateur local Windows pour l’autorisation. Cette configuration est implémentée en configurant le RADIUS distant pour Windows attribut de mappage d’utilisateurs comme condition de la stratégie de demande de connexion. (En outre, un compte d’utilisateur doit être créé localement sur le serveur RADIUS portant le même nom que le compte d’utilisateur distant sur lequel l’authentification est effectuée par le serveur RADIUS distant.)

Configuration

Pour configurer NPS en tant que serveur RADIUS, vous pouvez utiliser une configuration standard ou une configuration avancée dans la console NPS ou dans Gestionnaire de serveur. Pour configurer NPS en tant que proxy RADIUS, vous devez utiliser la configuration avancée.

Configuration standard

Avec la configuration standard, les Assistants sont fournis pour vous aider à configurer NPS pour les scénarios suivants :

  • Serveur RADIUS pour les connexions rendez-vous ou VPN
  • Serveur RADIUS pour les connexions sans fil 802.1X ou câblées

Pour configurer NPS à l’aide d’un Assistant, ouvrez la console NPS, sélectionnez l’un des scénarios précédents, puis cliquez sur le lien qui ouvre l’Assistant.

Configuration avancée

Lorsque vous utilisez une configuration avancée, vous configurez manuellement NPS en tant que serveur RADIUS ou proxy RADIUS.

Pour configurer NPS à l’aide d’une configuration avancée, ouvrez la console NPS, puis cliquez sur la flèche en regard de Configuration avancée pour développer cette section.

Les éléments de configuration avancés suivants sont fournis.

Configurer le serveur RADIUS

Pour configurer NPS en tant que serveur RADIUS, vous devez configurer les clients RADIUS, la stratégie réseau et la comptabilité RADIUS.

Pour obtenir des instructions sur la création de ces configurations, consultez les rubriques suivantes.

Configurer le proxy RADIUS

Pour configurer NPS en tant que proxy RADIUS, vous devez configurer des clients RADIUS, des groupes de serveurs RADIUS distants et des stratégies de demande de connexion.

Pour obtenir des instructions sur la création de ces configurations, consultez les rubriques suivantes.

Journalisation NPS

La journalisation NPS est également appelée comptabilité RADIUS. Configurez la journalisation NPS selon vos besoins, que NPS soit utilisé comme serveur RADIUS, proxy ou combinaison de ces configurations.

Pour configurer la journalisation NPS, vous devez configurer les événements que vous souhaitez journaliser et afficher avec observateur d'événements, puis déterminer les autres informations que vous souhaitez journaliser. En outre, vous devez décider si vous souhaitez enregistrer l’authentification utilisateur et les informations comptables sur les fichiers journaux texte stockés sur l’ordinateur local ou dans une base de données SQL Server sur l’ordinateur local ou sur un ordinateur distant.

Pour plus d’informations, consultez Configurer la comptabilité du serveur de stratégie réseau.