Tutoriel : Déployer une infrastructure VPN Always On

Le VPN Always On est une solution d’accès à distance dans Windows Server qui fournit une connectivité transparente et sécurisée pour les utilisateurs distants aux réseaux d’entreprise. Il prend en charge les méthodes d’authentification avancées et s’intègre à l’infrastructure existante, offrant une alternative moderne aux solutions VPN traditionnelles. Ce tutoriel commence la série pour déployer un VPN Always On dans un exemple d’environnement.

Dans ce tutoriel, vous allez apprendre à déployer un exemple d’infrastructure pour les connexions VPN Always On pour les ordinateurs clients Windows joints à un domaine distant. Pour créer un exemple d’infrastructure, vous devez :

• Créez un contrôleur de domaine Active Directory.
• Configurez la stratégie de groupe pour l’inscription automatique des certificats.
• Créez un serveur NPS (Network Policy Server).
• Créez un serveur VPN.
• Créez un utilisateur et un groupe VPN.
• Configurez le serveur VPN en tant que client RADIUS.
• Configurez le serveur NPS en tant que serveur RADIUS.

Pour en savoir plus sur le VPN Always On, notamment les intégrations prises en charge, la sécurité et les fonctionnalités de connectivité, consultez Vue d’ensemble du VPN Always On.

Prérequis

Pour suivre les étapes décrites dans ce tutoriel, vous devez respecter les conditions préalables suivantes :

• Trois serveurs (physiques ou virtuels) exécutant une version prise en charge de Windows Server. Ces serveurs sont le contrôleur de domaine, le serveur NPS et le serveur VPN.

• Le serveur que vous utilisez pour le serveur NPS a besoin de deux cartes réseau physiques installées : l’une pour se connecter à Internet et l’autre pour se connecter au réseau où se trouve le contrôleur de domaine.

• Un compte d’utilisateur sur tous les ordinateurs membres du groupe de sécurité Administrateurs local ou équivalent.

Important

L’utilisation de l’accès à distance dans Microsoft Azure n’est pas prise en charge. Pour plus d’informations, consultez Prise en charge des logiciels serveur Microsoft pour les machines virtuelles Microsoft Azure.

Créer le contrôleur de domaine

1. Sur le serveur que vous souhaitez être le contrôleur de domaine, installez Active Directory Domain Services (AD DS). Pour plus d’informations sur l’installation des AD DS, consultez Installer des Active Directory Domain Services.

2. Promouvoir Windows Server en contrôleur de domaine. Pour ce tutoriel, vous créez une nouvelle forêt et le domaine de cette nouvelle forêt. Pour plus d’informations sur l’installation du contrôleur de domaine, consultez Installation des AD DS.

3. Installez et configurez l’autorité de certification sur le contrôleur de domaine. Pour plus d’informations sur l’installation de l’autorité de certification, consultez Installer l’autorité de certification.

Configurer la stratégie de groupe pour l’inscription automatique des certificats

Dans cette section, vous allez créer une stratégie de groupe sur le contrôleur de domaine afin que les membres du domaine demandent automatiquement des certificats utilisateur et ordinateur. Cette configuration permet aux utilisateurs VPN de demander et de récupérer des certificats utilisateur qui authentifient automatiquement les connexions VPN. Cette stratégie permet également au serveur NPS de demander automatiquement des certificats d’authentification serveur.

1. Sur le contrôleur de domaine, ouvrez la console de gestion des stratégies de groupe.

2. Dans le volet gauche, cliquez avec le bouton droit sur votre domaine (par exemple). corp.contoso.com Cliquez avec le bouton droit sur Créer un objet GPO dans ce domaine, et le lier ici.

3. Dans la boîte de dialogue Nouvel GPO, pour Nom, entrez Stratégie d’inscription automatique. Sélectionnez OK.

4. Dans le volet gauche, cliquez avec le bouton droit sur Stratégie d’inscription automatique. Sélectionnez Modifier pour ouvrir l’Éditeur de gestion des stratégies de groupe.

5. Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit pour configurer l’inscription automatique des certificats d’ordinateur :

   1. Accédez à Configuration de l'ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.

   2. Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. Sélectionner Propriétés.

   3. Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, pour Modèle de configuration, sélectionnez Activé.

   4. Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.

   5. Sélectionnez OK.

6. Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit pour configurer l’inscription automatique des certificats utilisateur :

   1. Accédez à Configuration utilisateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.

   2. Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique et sélectionnez Propriétés.

   3. Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, dans Modèle de configuration, sélectionnez Activé.

   4. Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.

   5. Sélectionnez OK.

   6. Fermez l’Éditeur de gestion des stratégies de groupe.

7. Appliquez la stratégie de groupe aux utilisateurs et aux ordinateurs du domaine.

8. Fermez la console de gestion des stratégies de groupe.

Créer le serveur NPS

1. Sur le serveur que vous souhaitez être le serveur NPS, installez le rôle NpS (Network Policy and Access Services). Pour plus d’informations sur l’installation du serveur NPS, consultez Installer le serveur de stratégie réseau.

2. Inscrire le serveur NPS dans Active Directory. Pour plus d’informations sur l’inscription d’un serveur NPS dans Active Directory, consultez Inscrire un serveur NPS dans un domaine Active Directory.

3. Vérifiez que vos pare-feux autorisent le trafic nécessaire au bon fonctionnement des communications VPN et RADIUS. Pour plus d’informations, consultez Configurer des pare-feux pour le trafic RADIUS.

4. Créer le groupe Serveurs NPS :

   1. Sur le contrôleur de domaine, ouvrez le composant Utilisateurs et ordinateurs Active Directory.

   2. Sous votre domaine, cliquez avec le bouton droit sur Ordinateurs. Sélectionnez Nouveau, puis Groupe.

   3. Dans Nom du groupe, entrez Serveurs NPS, puis sélectionnez OK.

   4. Cliquez avec le bouton droit sur Serveurs NPS et sélectionnez Propriétés.

   5. Sous l’onglet Membres de la boîte de dialogue Propriétés des serveurs NPS, sélectionnez Ajouter.

   6. Sélectionnez Types d’objets, cochez la case Ordinateurs , puis sélectionnez OK.

   7. Dans Entrer les noms d’objets à sélectionner, entrez le nom d’hôte du serveur NPS. Sélectionnez OK.

   8. Fermez Utilisateurs et ordinateurs Active Directory.

Créer le serveur VPN

1. Pour le serveur qui exécute le serveur VPN, vérifiez que la machine dispose de deux cartes réseau physiques installées : une pour se connecter à Internet et une pour se connecter au réseau où se trouve le contrôleur de domaine.

2. Identifiez la carte réseau qui se connecte à Internet et la carte réseau qui se connecte au domaine. Configurez la carte réseau côté Internet avec une adresse IP publique, tandis que la carte côté intranet peut utiliser une adresse IP du réseau local.

3. Pour la carte réseau qui se connecte au domaine, définissez l’adresse IP DNS préférée sur l’adresse IP du contrôleur de domaine.

4. Joignez le serveur VPN au domaine. Pour plus d’informations sur la méthode pour joindre un serveur à un domaine, consultez Pour joindre un serveur à un domaine.

5. Ouvrez vos règles de pare-feu pour autoriser les ports UDP 500 et 4500 entrants vers l'adresse IP externe appliquée à l'interface publique sur le serveur VPN. Pour la carte réseau se connectant au domaine, autorisez les ports UDP suivants : 1812, 1813, 1645 et 1646.

6. Créer le groupe Serveurs VPN :

   1. Sur le contrôleur de domaine, ouvrez Utilisateurs et ordinateurs Active Directory.

   2. Sous votre domaine, cliquez avec le bouton droit sur Ordinateurs. Sélectionnez Nouveau, puis Groupe.

   3. Dans Nom du groupe, entrez Serveurs VPN, puis sélectionnez OK.

   4. Cliquez avec le bouton droit sur Serveurs VPN, puis sélectionnez Propriétés.

   5. Sous l’onglet Membres de la boîte de dialogue Propriétés des serveurs VPN, sélectionnez Ajouter.

   6. Sélectionnez Types d’objets, cochez la case Ordinateurs , puis sélectionnez OK.

   7. Dans Entrer les noms d’objets à sélectionner, entrez le nom d’hôte du serveur VPN. Sélectionnez OK.

   8. Fermez Utilisateurs et ordinateurs Active Directory.

7. Suivez les étapes décrites dans Installer l’accès à distance en tant que serveur VPN pour installer le serveur VPN.

8. Ouvrez le routage et l’accès à distance à partir du Gestionnaire de serveur.

9. Cliquez avec le bouton droit sur le nom du serveur VPN, puis sélectionnez Propriétés.

10. Dans Propriétés, sélectionnez l’onglet Sécurité , puis :

    1. Sélectionnez Fournisseur d’authentification, puis Authentification RADIUS.

    2. Sélectionnez Configurer pour ouvrir la boîte de dialogue Authentification RADIUS.

    3. Sélectionnez Ajouter pour ouvrir la boîte de dialogue Ajouter un serveur RADIUS.

       1. Dans le nom du serveur, entrez le nom de domaine complet (FQDN) du serveur NPS, qui est également un serveur RADIUS. Par exemple, si le nom NetBIOS de votre serveur NPS et contrôleur de domaine est nps1 et que votre nom de domaine est corp.contoso.com, entrez nps1.corp.contoso.com.

       2. Dans Secret partagé, sélectionnez Modifier pour ouvrir la boîte de dialogue Modifier le secret.

       3. Dans Nouveau secret, entrez une chaîne de texte.

       4. Dans Confirmer le nouveau secret, entrez la même chaîne de texte, puis sélectionnez OK.

       5. Enregistrez ce secret. Vous en avez besoin lorsque vous ajoutez ce serveur VPN en tant que client RADIUS plus loin dans ce tutoriel.

    4. Sélectionnez OK pour fermer la boîte de dialogue Ajouter un serveur RADIUS .

    5. Sélectionnez OK pour fermer la boîte de dialogue Authentification RADIUS .

11. Dans la boîte de dialogue Propriétés du serveur VPN, sélectionnez Méthodes d’authentification....

12. Sélectionnez Autoriser l’authentification par certificat d’ordinateur pour IKEv2.

13. Sélectionnez OK.

14. Pour Fournisseur de gestion de comptes, sélectionnez Gestion des comptes Windows.

15. Sélectionnez OK pour fermer la boîte de dialogue Propriétés.

16. Une boîte de dialogue vous invite à redémarrer le serveur. Sélectionnez Oui.

Créer un utilisateur et un groupe VPN

1. Créez un utilisateur VPN en procédant comme suit :

   1. Sur le contrôleur de domaine, ouvrez la console Utilisateurs et ordinateurs Active Directory .
   2. Sous votre domaine, cliquez avec le bouton droit sur Utilisateurs. Sélectionnez Nouveau. Pour le nom de l’ouverture de session utilisateur, entrez n’importe quel nom. Sélectionnez Suivant.
   3. Choisissez un mot de passe pour le nom d'utilisateur.
   4. Désélectionnez L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Sélectionnez Le mot de passe n’expire jamais.
   5. Sélectionnez Terminer. Gardez le composant Utilisateurs et ordinateurs Active Directory ouvert.

2. Créez un groupe d’utilisateurs VPN en procédant comme suit :

   1. Sous votre domaine, cliquez avec le bouton droit sur Utilisateurs. Sélectionnez Nouveau, puis Groupe.
   2. Dans Nom du groupe, entrez Utilisateurs VPN, puis sélectionnez OK.
   3. Cliquez avec le bouton droit sur Utilisateurs VPN, puis sélectionnez Propriétés.
   4. Sous l’onglet Membres de la boîte de dialogue Propriétés des utilisateurs VPN, sélectionnez Ajouter.
   5. Dans la boîte de dialogue Sélectionner des utilisateurs, ajoutez l’utilisateur VPN que vous avez créé et sélectionnez OK.

Configurer un serveur VPN comme client RADIUS

1. Sur le serveur NPS, ouvrez vos règles de pare-feu pour autoriser les ports UDP 1812, 1813, 1645 et 1646 entrants, y compris le Pare-feu Windows.

2. Ouvrez la console du serveur de stratégie réseau .

3. Dans la console NPS, double-cliquez sur Clients et serveurs RADIUS.

4. Cliquez avec le bouton droit sur Clients RADIUS et sélectionnez Nouveau pour ouvrir la boîte de dialogue Nouveau client RADIUS .

5. Vérifiez que la case Activer cette source de données est cochée.

6. Dans Nom convivial, entrez un nom d’affichage pour le serveur VPN.

7. Dans Adresse (IP ou DNS), entrez l’adresse IP ou le nom de domaine complet du serveur VPN.

   Si vous entrez le FQDN, sélectionnez Vérifier si vous souhaitez vérifier que le nom est correct et correspond à une adresse IP valide.

8. Dans Secret partagé :

   1. Vérifiez que Manuel est sélectionné.
   2. Entrez le secret que vous avez créé dans la section Créer le serveur VPN.
   3. Pour confirmer le secret partagé, réentez le secret partagé.

9. Sélectionnez OK. Le serveur VPN doit apparaître dans la liste des clients RADIUS configurés sur le serveur NPS.

Configurer le serveur NPS en tant que serveur RADIUS

1. Inscrivez un certificat de serveur pour le serveur NPS, avec un certificat qui répond aux exigences de configuration des modèles de certificat pour les exigences PEAP et EAP. Pour vérifier que vos serveurs NPS (Network Policy Server) sont inscrits auprès d’un certificat de serveur auprès de l’autorité de certification, consultez Vérifier l’inscription du serveur d’un certificat de serveur.

2. Dans la console NPS, sélectionnez NPS (local).

3. Dans Configuration standard, vérifiez que le serveur RADIUS pour les connexions par accès commuté ou VPN est sélectionné.

4. Sélectionnez Configurer VPN ou accès commuté pour ouvrir l’Assistant Configurer VPN ou accès commuté.

5. Sélectionnez Connexions de réseau privé virtuel (VPN), puis sélectionnez Suivant.

6. Dans Spécifier le serveur d'accès commuté ou VPN, dans les clients RADIUS, sélectionnez le nom du serveur VPN.

7. Sélectionnez Suivant.

8. Dans Configurer les méthodes d’authentification, procédez comme suit :

   1. Effacer l’authentification chiffrée Microsoft version 2 (MS-CHAPv2).

   2. Sélectionnez Protocole EAP (Extensible Authentication Protocol).

   3. Pour le Type, sélectionnez Microsoft: Protected EAP (PEAP). Sélectionnez Configurer pour ouvrir la boîte de dialogue Modifier les propriétés EAP protégées .

   4. Sélectionnez Supprimer pour supprimer le type Mot de passe sécurisé EAP (EAP-MSCHAP v2).

   5. Sélectionnez Ajouter. La boîte de dialogue Ajouter un EAP s’ouvre.

   6. Sélectionnez Carte à puce ou autre certificat, puis OK.

   7. Sélectionnez OK pour fermer Modifier les propriétés EAP protégées.

9. Sélectionnez Suivant.

10. Dans Spécifier des groupes d’utilisateurs, procédez comme suit :

    1. Sélectionnez Ajouter. La boîte de dialogue Sélectionner des utilisateurs, ordinateurs, comptes de service ou groupes s’ouvre.

    2. Entrez Utilisateurs VPN, puis sélectionnez OK.

    3. Sélectionnez Suivant.

11. Dans Spécifier des filtres IP, sélectionnez Suivant.

12. Dans Spécifier les paramètres de chiffrement, sélectionnez Suivant. N’apportez aucune modification.

13. Dans Spécifier un nom de domaine, sélectionnez Suivant.

14. Sélectionnez Terminer pour fermer l’Assistant.

Étape suivante

Maintenant que vous avez créé votre exemple d’infrastructure, vous êtes prêt à commencer à configurer votre autorité de certification.

Tutoriel : Configurer des modèles d’autorité de certification pour un VPN Always On