Déployer VPN Always On

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11

Dans ce tutoriel, vous allez apprendre à déployer des connexions VPN Always On pour les ordinateurs clients Windows joints à un domaine distants.

Si vous souhaitez configurer l’accès conditionnel pour affiner la façon dont les utilisateurs VPN accèdent à vos ressources, consultez Accès conditionnel pour la connectivité VPN à l’aide d’Azure AD. Pour en savoir plus sur l’accès conditionnel pour la connectivité VPN à l’aide d’Azure AD, consultez Accès conditionnel dans Azure Active Directory.

Le diagramme suivant illustre le processus de flux de travail pour les différents scénarios lors du déploiement Always On VPN :

Organigramme du flux de travail de déploiement VPN Always On

Prérequis

Vous avez probablement déployé les technologies que vous pouvez utiliser pour déployer Always On VPN. En dehors de vos serveurs DC/DNS, le déploiement VPN Always On nécessite un serveur NPS (RADIUS), un serveur d’autorité de certification (CA) et un serveur d’accès à distance (routage/VPN). Une fois l’infrastructure configurée, vous devez inscrire des clients, puis les connecter à votre site en toute sécurité via plusieurs modifications réseau.

  • Infrastructure de domaine Active Directory, y compris un ou plusieurs serveurs DNS (Domain Name System). Les zones DNS (Domain Name System) internes et externes sont requises, ce qui suppose que la zone interne est un sous-domaine délégué de la zone externe (par exemple, corp.contoso.com et contoso.com).
  • Infrastructure à clé publique (PKI) basée sur Active Directory et Services de certificats Active Directory (AD CS).
  • Serveur, virtuel ou physique, existant ou nouveau, pour installer le serveur de stratégie réseau (NPS). Si vous avez déjà des serveurs NPS sur votre réseau, vous pouvez modifier une configuration de serveur NPS existante au lieu d’ajouter un nouveau serveur.
  • Accès à distance en tant que serveur VPN de passerelle RAS avec un petit sous-ensemble de fonctionnalités prenant en charge les connexions VPN IKEv2 et le routage LAN.
  • Réseau de périmètre qui comprend deux pare-feu. Assurez-vous que vos pare-feu permettent au trafic nécessaire au bon fonctionnement des communications VPN et RADIUS. Pour plus d’informations, consultez Always On vue d’ensemble de la technologie VPN.
  • Serveur physique ou machine virtuelle sur votre réseau de périmètre avec deux cartes réseau Ethernet physiques pour installer l’accès à distance en tant que serveur VPN de passerelle RAS. Les machines virtuelles nécessitent un réseau local virtuel (VLAN) pour l’hôte.
  • L’appartenance aux administrateurs, ou équivalente, est le minimum requis.
  • Lisez la section de planification de ce guide pour vous assurer que vous êtes prêt pour ce déploiement avant d’effectuer le déploiement.
  • Passez en revue les guides de conception et de déploiement pour chacune des technologies utilisées. Ces guides peuvent vous aider à déterminer si les scénarios de déploiement fournissent les services et la configuration dont vous avez besoin pour le réseau de votre organisation. Pour plus d’informations, consultez Always On vue d’ensemble de la technologie VPN.
  • Plateforme de gestion de votre choix pour le déploiement de la configuration VPN Always On, car le fournisseur de solutions cloud n’est pas propre au fournisseur.

Important

Pour ce déploiement, vous pouvez utiliser toutes les versions de Windows Server pour les serveurs d’infrastructure et pour le serveur qui exécute l’accès à distance.

N’essayez pas de déployer l’accès à distance sur une machine virtuelle dans Microsoft Azure. L’utilisation de l’accès à distance dans Microsoft Azure n’est pas prise en charge, y compris le VPN d’accès à distance et DirectAccess. Pour plus d’informations, consultez Prise en charge logicielle du serveur Microsoft pour les machines virtuelles Microsoft Azure.

À propos de ce déploiement

Les instructions fournies vous guident tout au long du déploiement de l’accès à distance en tant que passerelle RAS VPN à locataire unique pour les connexions VPN point à site, à l’aide de l’un des scénarios mentionnés ci-dessous, pour les ordinateurs clients distants exécutant Windows. Vous trouverez également des instructions pour modifier une partie de votre infrastructure existante pour le déploiement. Tout au long de ce déploiement, vous trouverez également des liens pour vous aider à en savoir plus sur le processus de connexion VPN, les serveurs à configurer, le nœud CSP ProfileXML VPNv2 et d’autres technologies pour déployer Always On VPN.

Always On scénarios de déploiement VPN :

  • Déployez Always On VPN uniquement.
  • Déployez Always On VPN avec accès conditionnel pour la connectivité VPN à l’aide d’Azure AD.

Ce qui n’est pas fourni dans ce déploiement

Ce déploiement ne fournit pas d’instructions pour :

  • Active Directory Domain Services (AD DS).
  • Services de certificats Active Directory (AD CS) et infrastructure à clé publique (PKI).
  • Protocole DHCP (Dynamic Host Configuration Protocol).
  • Matériel réseau, tel que le câblage Ethernet, les pare-feu, les commutateurs et les hubs.
  • Des ressources réseau supplémentaires, telles que des serveurs d’applications et de fichiers, auxquelles les utilisateurs distants peuvent accéder via une connexion VPN Always On.
  • Connectivité Internet ou accès conditionnel pour la connectivité Internet à l’aide d’Azure AD. Pour plus d’informations, consultez Accès conditionnel dans Azure Active Directory.

Étape 1. Planifier le déploiement de VPN Always On

Dans cette étape, vous allez planifier et préparer votre déploiement VPN Always On. Avant de commencer, vous devez installer le rôle serveur d’accès à distance sur l’ordinateur que vous envisagez d’utiliser comme serveur VPN. Après une planification appropriée, vous pouvez déployer Always On VPN et éventuellement configurer l’accès conditionnel pour la connectivité VPN à l’aide d’Azure AD.

Étape 2. Configurer l’infrastructure des serveurs VPN Toujours actif (AlwaysOn)

Dans cette étape, vous installez et configurez les composants côté serveur nécessaires pour prendre en charge le VPN. Les composants côté serveur incluent la configuration de PKI pour distribuer les certificats utilisés par les utilisateurs, le serveur VPN et le serveur NPS. Vous configurez également RRAS pour prendre en charge les connexions IKEv2 et le serveur NPS pour effectuer l’autorisation des connexions VPN.

Pour configurer l’infrastructure du serveur, vous devez effectuer les tâches suivantes :

  • Sur un serveur configuré avec services de domaine Active Directory : activez l’inscription automatique des certificats dans stratégie de groupe pour les ordinateurs et les utilisateurs, créez le groupe d’utilisateurs VPN, le groupe de serveurs VPN et le groupe serveurs NPS, puis ajoutez des membres à chaque groupe.
  • Sur une autorité de certification du serveur de certificats Active Directory : Créez les modèles de certificat Authentification utilisateur, Authentification du serveur VPN et Authentification serveur NPS.
  • Sur les clients Windows joints à un domaine : Inscrivez et validez des certificats utilisateur.

Étape 3. Configurer le serveur d’accès à distance pour VPN Toujours actif (AlwaysOn)

Dans cette étape, vous configurez le VPN d’accès à distance pour autoriser les connexions VPN IKEv2, refuser les connexions d’autres protocoles VPN et affecter un pool d’adresses IP statiques pour l’émission d’adresses IP à des clients VPN autorisés.

Pour configurer RAS, vous devez effectuer les tâches suivantes :

  • Inscrire et valider le certificat de serveur VPN
  • Installer et configurer le VPN d’accès à distance

Étape 4. Installer et configurer le serveur NPS

Dans cette étape, vous installez le serveur NPS (Network Policy Server) à l’aide de Windows PowerShell ou de l’Assistant Ajout de rôles et de fonctionnalités Gestionnaire de serveur. Vous configurez également NPS pour gérer toutes les tâches d’authentification, d’autorisation et de comptabilité pour la demande de connexion qu’il reçoit du serveur VPN.

Pour configurer NPS, vous devez effectuer les tâches suivantes :

  • Inscrire le serveur NPS dans Active Directory
  • Configurer la comptabilité RADIUS pour votre serveur NPS
  • Ajouter le serveur VPN en tant que client RADIUS dans NPS
  • Configurer la stratégie réseau dans NPS
  • Inscrire automatiquement le certificat de serveur NPS

Étape 5. Configurer les paramètres DNS et pare-feu pour Always On VPN

Dans cette étape, vous configurez les paramètres DNS et Pare-feu. Lorsque des clients VPN distants se connectent, ils utilisent les mêmes serveurs DNS que vos clients internes, ce qui leur permet de résoudre les noms de la même manière que les autres stations de travail internes.

Étape 6. Configurer les connexions VPN du client Windows Always On

Dans cette étape, vous configurez les ordinateurs clients Windows pour qu’ils communiquent avec cette infrastructure avec une connexion VPN. Vous pouvez utiliser plusieurs technologies pour configurer des clients VPN Windows, notamment Windows PowerShell, Microsoft Endpoint Configuration Manager et Intune. Les trois nécessitent un profil VPN XML pour configurer les paramètres VPN appropriés.

Étape 7. (Facultatif) Configurer l’accès conditionnel pour la connectivité VPN

Dans cette étape facultative, vous pouvez affiner la façon dont les utilisateurs VPN autorisés accèdent à vos ressources. Avec l’accès conditionnel Azure AD pour la connectivité VPN, vous pouvez protéger les connexions VPN. L’accès conditionnel est un moteur d’évaluation basé sur des stratégies qui vous permet de créer des règles d’accès pour n’importe quelle application connectée Azure AD. Pour plus d’informations, consultez Accès conditionnel Azure Active Directory (Azure AD).

Étape suivante

Planifier le déploiement vpn Always On : cette section vous guidera sur les étapes suivantes à suivre pour préparer votre serveur d’accès à distance.