Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le VPN Always On est une solution d’accès à distance dans Windows Server qui fournit une connectivité transparente et sécurisée pour les utilisateurs distants aux réseaux d’entreprise. Il prend en charge les méthodes d’authentification avancées et s’intègre à l’infrastructure existante, offrant une alternative moderne aux solutions VPN traditionnelles. Ce tutoriel commence la série pour déployer un VPN Always On dans un exemple d’environnement.
Dans ce tutoriel, vous allez apprendre à déployer un exemple d’infrastructure pour les connexions VPN Always On pour les ordinateurs clients Windows joints à un domaine distant. Pour créer un exemple d’infrastructure, vous devez :
- Créez un contrôleur de domaine Active Directory.
- Configurez la stratégie de groupe pour l’inscription automatique des certificats.
- Créez un serveur NPS (Network Policy Server).
- Créez un serveur VPN.
- Créez un utilisateur et un groupe VPN.
- Configurez le serveur VPN en tant que client RADIUS.
- Configurez le serveur NPS en tant que serveur RADIUS.
Pour en savoir plus sur le VPN Always On, notamment les intégrations prises en charge, la sécurité et les fonctionnalités de connectivité, consultez Vue d’ensemble du VPN Always On.
Prerequisites
Pour suivre les étapes décrites dans ce tutoriel, vous devez respecter les conditions préalables suivantes :
Trois serveurs (physiques ou virtuels) exécutant une version prise en charge de Windows Server. Ces serveurs sont le contrôleur de domaine, le serveur NPS et le serveur VPN.
Le serveur que vous utilisez pour le serveur NPS a besoin de deux cartes réseau physiques installées : l’une pour se connecter à Internet et l’autre pour se connecter au réseau où se trouve le contrôleur de domaine.
A user account on all machines that is a member of the local Administrators security group, or equivalent.
Important
L’utilisation de l’accès à distance dans Microsoft Azure n’est pas prise en charge. Pour plus d’informations, consultez Prise en charge des logiciels serveur Microsoft pour les machines virtuelles Microsoft Azure.
Créer le contrôleur de domaine
Sur le serveur que vous souhaitez être le contrôleur de domaine, installez Active Directory Domain Services (AD DS). Pour plus d’informations sur l’installation des AD DS, consultez Installer des Active Directory Domain Services.
Promouvoir Windows Server en contrôleur de domaine. Pour ce tutoriel, vous créez une nouvelle forêt et le domaine pour cette nouvelle forêt. Pour plus d’informations sur l’installation du contrôleur de domaine, consultez Installation des AD DS.
Installez et configurez l’autorité de certification sur le contrôleur de domaine. Pour plus d’informations sur l’installation de l’autorité de certification, consultez Installer l’autorité de certification.
Configurer la stratégie de groupe pour l’inscription automatique des certificats
Dans cette section, vous allez créer une stratégie de groupe sur le contrôleur de domaine afin que les membres du domaine demandent automatiquement des certificats utilisateur et ordinateur. Cette configuration permet aux utilisateurs VPN de demander et de récupérer des certificats utilisateur qui authentifient automatiquement les connexions VPN. Cette stratégie permet également au serveur NPS de demander automatiquement des certificats d’authentification serveur.
Sur le contrôleur de domaine, ouvrez la console de gestion des stratégies de groupe.
Dans le volet gauche, cliquez avec le bouton droit sur votre domaine (par exemple).
corp.contoso.comCliquez avec le bouton droit sur Créer un objet GPO dans ce domaine, et le lier ici.On the New GPO dialog box, for Name, enter Autoenrollment Policy. Select OK.
In the left pane, right-click Autoenrollment Policy. Select Edit to open the Group Policy Management Editor.
Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit pour configurer l’inscription automatique des certificats d’ordinateur :
Navigate to Computer Configuration>Policies>Windows Settings>Security Settings>Public Key Policies.
Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. Select Properties.
Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, pour Modèle de configuration, sélectionnez Activé.
Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.
Select OK.
Dans l’Éditeur de gestion des stratégies de groupe, procédez comme suit pour configurer l’inscription automatique des certificats utilisateur :
Navigate to User Configuration>Policies>Windows Settings>Security Settings>Public Key Policies.
Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique et sélectionnez Propriétés.
Dans la boîte de dialogue Client des services de certificats – Propriétés d’inscription automatique, dans Modèle de configuration, sélectionnez Activé.
Sélectionnez Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats.
Select OK.
Fermez l’Éditeur de gestion des stratégies de groupe.
Appliquez la stratégie de groupe aux utilisateurs et aux ordinateurs du domaine.
Fermez la console de gestion des stratégies de groupe.
Créer le serveur NPS
Sur le serveur que vous souhaitez être le serveur NPS, installez le rôle NpS (Network Policy and Access Services). Pour plus d’informations sur l’installation du serveur NPS, consultez Installer le serveur de stratégie réseau.
Inscrire le serveur NPS dans Active Directory. Pour plus d’informations sur l’inscription d’un serveur NPS dans Active Directory, consultez Inscrire un serveur NPS dans un domaine Active Directory.
Vérifiez que vos pare-feux autorisent le trafic nécessaire au bon fonctionnement des communications VPN et RADIUS. Pour plus d’informations, consultez Configurer des pare-feux pour le trafic RADIUS.
Créer le groupe Serveurs NPS :
Sur le contrôleur de domaine, ouvrez le composant Utilisateurs et ordinateurs Active Directory.
Under your domain, right-click Computers. Select New, then select Group.
In Group name, enter NPS Servers, then select OK.
Right-click NPS Servers and select Properties.
On the Members tab of the NPS Servers Properties dialog box, select Add.
Select Object Types, select the Computers check box, then select OK.
Dans Entrer les noms d’objets à sélectionner, entrez le nom d’hôte du serveur NPS. Select OK.
Fermez Utilisateurs et ordinateurs Active Directory.
Créer le serveur VPN
Pour le serveur qui exécute le serveur VPN, vérifiez que la machine dispose de deux cartes réseau physiques installées : une pour se connecter à Internet et une pour se connecter au réseau où se trouve le contrôleur de domaine.
Identifiez la carte réseau qui se connecte à Internet et la carte réseau qui se connecte au domaine. Configurez la carte réseau côté Internet avec une adresse IP publique, tandis que la carte côté intranet peut utiliser une adresse IP du réseau local.
Pour la carte réseau qui se connecte au domaine, définissez l’adresse IP DNS préférée sur l’adresse IP du contrôleur de domaine.
Joignez le serveur VPN au domaine. Pour plus d’informations sur la méthode pour joindre un serveur à un domaine, consultez Pour joindre un serveur à un domaine.
Ouvrez vos règles de pare-feu pour autoriser les ports UDP 500 et 4500 entrants vers l'adresse IP externe appliquée à l'interface publique sur le serveur VPN. Pour la carte réseau qui se connecte au domaine, autorisez les ports UDP suivants : 1812, 1813, 1645 et 1646.
Créer le groupe Serveurs VPN :
Sur le contrôleur de domaine, ouvrez Utilisateurs et ordinateurs Active Directory.
Under your domain, right-click Computers. Select New, then select Group.
In Group name, enter VPN Servers, then select OK.
Right-click VPN Servers and select Properties.
On the Members tab of the VPN Servers Properties dialog box, select Add.
Select Object Types, select the Computers check box, then select OK.
Dans Entrer les noms d’objets à sélectionner, entrez le nom d’hôte du serveur VPN. Select OK.
Fermez Utilisateurs et ordinateurs Active Directory.
Suivez les étapes décrites dans Installer l’accès à distance en tant que serveur VPN pour installer le serveur VPN.
Ouvrez le routage et l’accès à distance à partir du Gestionnaire de serveur.
Right-click the name of the VPN server, and then select Properties.
In Properties, select the Security tab and then:
Select Authentication provider and select RADIUS Authentication.
Select Configure to open the RADIUS Authentication dialog.
Select Add to open the Add RADIUS Server dialog.
In Server name, enter the Fully Qualified Domain Name (FQDN) of the NPS server, which is also a RADIUS server. Par exemple, si le nom NetBIOS de votre serveur NPS et contrôleur de domaine est
nps1et que votre nom de domaine estcorp.contoso.com, entreznps1.corp.contoso.com.In Shared secret, select Change to open the Change Secret dialog box.
In New secret, enter a text string.
Dans Confirmer le nouveau secret, entrez la même chaîne de texte, puis sélectionnez OK.
Enregistrez ce secret. Vous en avez besoin lorsque vous ajoutez ce serveur VPN en tant que client RADIUS plus loin dans ce tutoriel.
Select OK to close the Add RADIUS Server dialog.
Select OK to close the RADIUS Authentication dialog.
On the VPN server Properties dialog, select Authentication Methods....
Sélectionnez Autoriser l’authentification par certificat d’ordinateur pour IKEv2.
Select OK.
For Accounting provider, select Windows Accounting.
Select OK to close the Properties dialog.
Une boîte de dialogue vous invite à redémarrer le serveur. Select Yes.
Créer un utilisateur et un groupe VPN
Créez un utilisateur VPN en procédant comme suit :
- Sur le contrôleur de domaine, ouvrez la console Utilisateurs et ordinateurs Active Directory .
- Under your domain, right-click Users. Select New. Pour le nom de l’ouverture de session utilisateur, entrez n’importe quel nom. Select Next.
- Choisissez un mot de passe pour le nom d'utilisateur.
- Désélectionnez L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Sélectionnez Le mot de passe n’expire jamais.
- Select Finish. Gardez le composant Utilisateurs et ordinateurs Active Directory ouvert.
Créez un groupe d’utilisateurs VPN en procédant comme suit :
- Under your domain, right-click Users. Select New, then select Group.
- In Group name, enter VPN Users, then select OK.
- Right-click VPN Users and select Properties.
- On the Members tab of the VPN Users Properties dialog box, select Add.
- On the Select Users dialog box, add the VPN user that you created and select OK.
Configurer un serveur VPN comme client RADIUS
Sur le serveur NPS, ouvrez vos règles de pare-feu pour autoriser les ports UDP 1812, 1813, 1645 et 1646 entrants, y compris le Pare-feu Windows.
Ouvrez la console du serveur de stratégie réseau .
Dans la console NPS, double-cliquez sur Clients et serveurs RADIUS.
Right-click RADIUS Clients and select New to open the New RADIUS Client dialog box.
Vérifiez que la case Activer cette source de données est cochée.
In Friendly name, enter a display name for the VPN server.
Dans Adresse (IP ou DNS), entrez l’adresse IP ou le nom de domaine complet du serveur VPN.
If you enter the FQDN, select Verify if you want to verify that the name is correct and maps to a valid IP address.
In Shared secret:
- Ensure that Manual is selected.
- Entrez le secret que vous avez créé dans la section Créer le serveur VPN.
- Pour confirmer le secret partagé, réentez le secret partagé.
Select OK. Le serveur VPN doit apparaître dans la liste des clients RADIUS configurés sur le serveur NPS.
Configurer le serveur NPS en tant que serveur RADIUS
Inscrivez un certificat de serveur pour le serveur NPS, avec un certificat qui répond aux exigences de configuration des modèles de certificat pour les exigences PEAP et EAP. Pour vérifier que vos serveurs NPS (Network Policy Server) sont inscrits auprès d’un certificat de serveur auprès de l’autorité de certification, consultez Vérifier l’inscription du serveur d’un certificat de serveur.
In the NPS console, select NPS (Local).
In Standard Configuration, ensure that RADIUS server for Dial-Up or VPN Connections is selected.
Sélectionnez Configurer VPN ou accès commuté pour ouvrir l’Assistant Configurer VPN ou accès commuté.
Sélectionnez Connexions de réseau privé virtuel (VPN), puis sélectionnez Suivant.
Dans Spécifier le serveur d'accès commuté ou VPN, dans les clients RADIUS, sélectionnez le nom du serveur VPN.
Select Next.
Dans Configurer les méthodes d’authentification, procédez comme suit :
Effacer l’authentification chiffrée Microsoft version 2 (MS-CHAPv2).
Sélectionnez Protocole EAP (Extensible Authentication Protocol).
For Type, select Microsoft: Protected EAP (PEAP). Then select Configure to open the Edit Protected EAP Properties dialog box.
Select Remove to remove the Secured Password (EAP-MSCHAP v2) EAP type.
Select Add. La boîte de dialogue Ajouter un EAP s’ouvre.
Sélectionnez Carte à puce ou autre certificat, puis OK.
Select OK to close Edit Protected EAP Properties.
Select Next.
Dans Spécifier des groupes d’utilisateurs, procédez comme suit :
Select Add. La boîte de dialogue Sélectionner des utilisateurs, ordinateurs, comptes de service ou groupes s’ouvre.
Enter VPN Users, then select OK.
Select Next.
Dans Spécifier des filtres IP, sélectionnez Suivant.
Dans Spécifier les paramètres de chiffrement, sélectionnez Suivant. N’apportez aucune modification.
Dans Spécifier un nom de domaine, sélectionnez Suivant.
Select Finish to close the wizard.
Next step
Maintenant que vous avez créé votre exemple d’infrastructure, vous êtes prêt à commencer à configurer votre autorité de certification.