Configurare i criteri di rete

È possibile usare questo argomento per configurare i criteri di rete in NPS.

Aggiungere un criterio di rete

Server dei criteri di rete (NPS) utilizza i criteri di rete e le proprietà di accesso remoto degli account utente per stabilire se una richiesta di connessione è autorizzata a connettersi alla rete.

È possibile usare questa procedura per configurare un nuovo criterio di rete nella console nps o nella console di Accesso remoto.

Esecuzione dell'autorizzazione

Se il server NPS esegue l'autorizzazione di una richiesta di connessione, confronta la richiesta con tutti i criteri di rete presenti nell'elenco ordinato dei criteri, a partire dal primo e passando via via ai criteri configurati successivi. Se il server NPS rileva dei criteri alle cui condizioni corrisponde la richiesta di connessione, NPS usa i criteri di corrispondenza e le proprietà di connessione dell'account utente per eseguire l'autorizzazione. Se le proprietà di accesso remoto dell'account utente sono configurate per concedere o controllare l'accesso tramite i criteri di rete e la richiesta di connessione è autorizzata, il server NPS applica le impostazioni configurate nei criteri di rete alla connessione.

Se NPS non trova un criterio di rete corrispondente alla richiesta di connessione, la richiesta viene rifiutata, a meno che le proprietà di accesso remoto nell'account utente non siano impostate per concedere l'accesso.

Se le proprietà di connessione dell'account utente sono impostate in modo da negare l'accesso, la richiesta di connessione viene rifiutata da NPS.

Impostazioni chiave

Quando si utilizza la Creazione guidata per i criteri di rete per creare un criterio di rete, il valore che specifichi in Metodo di connessione di rete viene usato per configurare automaticamente la condizione Tipo di criterio.

• Se si mantiene il valore predefinito "Unspecified", i criteri di rete creati vengono valutati dal NPS (Network Policy Server) per tutti i tipi di connessione di rete che usano qualsiasi tipo di server di accesso alla rete (NAS).
• Se si specifica un metodo di connessione di rete, NPS (Server dei criteri di rete) valuta i criteri di rete solo se la richiesta di connessione proviene dal tipo di server di accesso alla rete specificato.

Nella pagina Autorizzazione di accesso è necessario selezionare Accesso concesso se si desidera che i criteri consentano agli utenti di connettersi alla rete. Se si vuole che il criterio impedisca agli utenti di connettersi alla rete, selezionare Accesso negato.

Se si desidera determinare l'autorizzazione di accesso in base alle proprietà di accesso esterno dell'account utente in Active Directory® Domain Services (AD DS), è possibile selezionare la casella di controllo Accesso determinato dalle proprietà accesso esterno utente.

L'appartenenza a Domain Admins o equivalente è il requisito minimo necessario per completare questa procedura.

Per aggiungere un criterio di rete

1. Aprire la console NPS e fare doppio clic su Criteri.

2. Nell'albero della console fare clic con il pulsante destro del mouse su Criteri di rete e scegliere Nuovo. Verrà visualizzata la procedura guidata nuovo criterio di rete.

3. Utilizzare la procedura guidata Nuovi criteri di rete per creare un criterio.

Creare criteri di rete per la connessione remota o VPN con una procedura guidata

È possibile utilizzare questa procedura per creare criteri di richiesta di connessione e criteri di rete necessari per distribuire i server di connessione remota o i server di rete privata virtuale (VPN) come client Remote Authentication Dial-In User Service (RADIUS) al server RADIUS NPS.

Nota

I computer client, ad esempio computer laptop e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori 802.1X per l'autenticazione, server di rete privata virtuale (VPN) e i server di accesso remoto, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, come i server dei criteri di rete (NPS).

Questa procedura illustra come aprire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

• Un criterio di richiesta di connessione
• Un criterio di rete

È possibile eseguire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale ogni volta che si necessita di creare nuovi criteri per server di connessione remota e server VPN.

L'esecuzione della procedura guidata Nuova connessione remota o della rete privata virtuale non è l'unico passaggio necessario per distribuire i server VPN o i server di connessione remota come client RADIUS al NPS. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare criteri per connessione remota o VPN con procedura guidata

1. Aprire la console NPS. Se non è già selezionato, fare clic su NPS (locale).. Se si desidera creare criteri in un NPS remoto, selezionare il server.

2. In Introduzione e Configurazione standard selezionare Server RADIUS per Connessioni remote o VPN. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

3. Fare clic su Configura VPN o Connessione remota con una procedura guidata. Si aprirà la procedura guidata Nuova connessione remota o Connessioni rete privata virtuale.

4. Seguire le istruzioni della procedura guidata per completare la creazione delle nuove politiche.

Creare criteri di rete per 802.1X cablata o wireless con una procedura guidata

È possibile utilizzare questa procedura per creare i criteri di richiesta di connessione e i criteri di rete necessari per distribuire switch di autenticazione 802.1X o punti di accesso wireless 802.1X come client RADIUS (Remote Authentication Dial-In User Service) al server RADIUS NPS.

Questa procedura illustra come avviare la procedura guidata Nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

• Un criterio di richiesta di connessione
• Un criterio di rete

È possibile eseguire la procedura guidata per le nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless ogni volta che è necessario creare nuovi criteri per l'accesso 802.1X.

Eseguire la nuova procedura guidata Connessioni sicure IEEE 802.1X cablate e wireless non è l'unico passaggio necessario per distribuire i commutatori di autenticazione 802.1X e i punti di accesso wireless come client RADIUS per il NPS. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare i criteri per 802.1X cablato o wireless con procedura guidata

1. Nel Server Manager, fare clic su Strumenti e quindi su Server dei criteri di rete. Si apre la NPS console.

2. Se non è già selezionato, fare clic su NPS (locale).. Se si desidera creare criteri in un NPS remoto, selezionare il server.

3. In Introduzione e configurazione standard selezionare Server RADIUS per connessioni wireless 802.1X o cablate. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

4. Fare clic su Configura 802.1X usando una procedura guidata. Verrà visualizzata la procedura guidata per nuove connessioni IEEE 802.1X cablate e wireless sicure.

5. Seguire le istruzioni della procedura guidata per completare la creazione delle nuove politiche.

Configurare i Servizi di criteri di rete per ignorare le proprietà di accesso remoto dell'account utente

Utilizzare questa procedura per configurare criteri di rete NPS per ignorare le proprietà di accesso esterno degli account utente in Active Directory durante il processo di autorizzazione. Gli account utente in Utenti e computer di Active Directory dispongono di proprietà di accesso esterno valutate durante il processo di autorizzazione, a meno che la proprietà Permesso di accesso alla rete dell'account utente non sia impostata su Controllo dell'accesso tramite Criteri di rete NPS.

Esistono due circostanze in cui potrebbe essere opportuno configurare NPS per ignorare le proprietà di accesso remoto degli account utente in Active Directory:

• Quando si vuole semplificare l'autorizzazione nps tramite criteri di rete, ma non tutti gli account utente hanno la proprietà Autorizzazione di accesso alla rete impostata su Controllare l'accesso tramite criteri di rete NPS. Ad esempio, alcuni account utente potrebbero avere la proprietà Autorizzazione di accesso alla rete dell'account utente impostata su Nega accesso o Consenti accesso.

• Quando altre proprietà di accesso esterno degli account utente non sono applicabili al tipo di connessione configurato nei criteri di rete. Ad esempio, le proprietà diverse dall'impostazione Autorizzazione accesso alla rete sono applicabili solo alle connessioni con accesso esterno o VPN, ma i criteri di rete creati sono per connessioni wireless o autenticate.

È possibile utilizzare questa procedura per configurare NPS in modo che ignori le proprietà di connessione dell'account utente. Se una richiesta di connessione corrisponde ai criteri di rete in cui è selezionata questa casella di controllo, NPS non utilizza le proprietà di accesso esterno dell'account utente per determinare se l'utente o il computer è autorizzato ad accedere alla rete; vengono utilizzate solo le impostazioni nei criteri di rete per stabilire l'autorizzazione.

L'appartenenza a Administrators o equivalente è il requisito minimo necessario per completare questa procedura.

1. Nel Server Manager, fare clic su Strumenti e quindi su Server dei criteri di rete. Si apre la NPS console.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi nel riquadro dei dettagli fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo Proprietà del criterio, nella scheda Panoramica, in Autorizzazione di accesso, selezionare la casella di controllo Ignora le proprietà di accesso remoto dell'account utente e quindi fare clic su OK.

Per configurare NPS per ignorare le proprietà di accesso remoto dell'account utente

Configurare NPS per VLAN

Usando server di accesso alla rete compatibile con VLAN e NPS in Windows Server 2016, è possibile fornire ai gruppi di utenti l'accesso solo alle risorse di rete appropriate per le autorizzazioni di sicurezza. Ad esempio, è possibile fornire ai visitatori l'accesso wireless a Internet senza consentire loro l'accesso alla rete dell'organizzazione.

Inoltre, le VLAN consentono di raggruppare logicamente le risorse di rete presenti in posizioni fisiche diverse o in subnet fisiche diverse. Ad esempio, i membri del reparto vendite e le relative risorse di rete, ad esempio computer client, server e stampanti, potrebbero trovarsi in diversi edifici dell'organizzazione, ma è possibile inserire tutte queste risorse in una VLAN che usa lo stesso intervallo di indirizzi IP. La VLAN funziona quindi, dal punto di vista dell'utente finale, come una singola subnet.

È inoltre possibile usare la VLAN quando si desidera separare una rete tra gruppi diversi di utenti. Una volta determinato come definire i gruppi, è possibile creare gruppi di sicurezza nello snap-in Utenti e computer di Active Directory e aggiungere membri ai gruppi.

Configurare criteri di rete per le VLAN

È possibile usare questa procedura per configurare un criterio di rete che assegna gli utenti a una VLAN. Quando si usano hardware di rete compatibili con le VLAN, ad esempio router, commutatori e controller di accesso, è possibile configurare i criteri di rete per indicare ai server di accesso di posizionare i membri di gruppi di Active Directory specifici in VLAN specifiche. Questa possibilità di raggruppare le risorse di rete in modo logico con le VLAN offre flessibilità durante la progettazione e l'implementazione di soluzioni di rete.

Quando si configurano le impostazioni di un criterio di rete NPS da usare con VLAN, è necessario configurare gli attributi Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type e Tunnel-Tag.

Questa procedura viene fornita come linea guida; la configurazione di rete potrebbe richiedere impostazioni diverse rispetto a quelle descritte di seguito.

L'appartenenza a Administrators o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare un criterio di rete per le VLAN

1. Nel Server Manager, fare clic su Strumenti e quindi su Server dei criteri di rete. Si apre la NPS console.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi nel riquadro dei dettagli fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo Proprietà criteri fare clic sulla scheda Impostazioni .

4. Nelle Proprietà dei criteri, in Impostazioni, in Attributi RADIUS, assicurarsi che Standard sia selezionato.

5. Nel riquadro dei dettagli, in Attributi, l'attributo Service-Type è configurato con un valore predefinito Framed. Per impostazione predefinita, per i criteri con metodi di accesso VPN e connessione remota, l'attributo Framed-Protocol viene configurato con un valore PPP. Per specificare attributi di connessione aggiuntivi necessari per le VLAN, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard .

6. In Aggiungi attributo RADIUS standard, in Attributi scorrere verso il basso e aggiungere gli attributi seguenti:

   • Tunnel-Medium-Tipo. Selezionare un valore appropriato in base alle selezioni precedenti effettuate per la politica. Ad esempio, se i criteri di rete che si sta configurando sono criteri wireless, selezionare Valore: 802 (Include tutti i supporti 802 e il formato canonico Ethernet) .

   • ID del gruppo Pvt del tunnel. Immettere l'intero che rappresenta il numero VLAN a cui verranno assegnati i membri del gruppo.

   • Tipo di tunnel. Selezionare Reti LAN virtuali (VLAN).

7. In Aggiungi attributo RADIUS standard fare clic su Chiudi.

8. Se il server di accesso alla rete (NAS) richiede l'uso dell'attributo Tunnel-Tag , seguire questa procedura per aggiungere l'attributo Tunnel-Tag ai criteri di rete. Se la documentazione NAS non menziona questo attributo, non aggiungerlo ai criteri. Se necessario, aggiungere gli attributi come indicato di seguito:

   • In Proprietà dei criteri, in Impostazioni, in Attributi RADIUS, fare clic su Specifico del fornitore.

   • Nel riquadro dei dettagli fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo specifico fornitore .

   • In Attributi scorrere verso il basso fino a selezionare Tunnel-Tag e quindi fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Informazioni attributo .

   • In Valore attributo digitare il valore ottenuto dalla documentazione hardware.

Configurare la dimensione del payload EAP

In alcuni casi, i router o i firewall eliminano i pacchetti perché sono configurati per eliminare i pacchetti che richiedono la frammentazione.

Quando si distribuisce NPS (Server dei criteri di rete) con criteri di rete che utilizzano il Protocollo di Autenticazione Estensibile (EAP, Extensible Authentication Protocol) con la Sicurezza del Livello di Trasporto (TLS, Transport Layer Security) o EAP-TLS come metodo di autenticazione, l'unità di trasmissione massima predefinita (MTU) utilizzata dal NPS per i payload EAP è di 1500 byte.

Questa dimensione massima per il payload EAP può creare messaggi RADIUS che richiedono la frammentazione da parte di un router o firewall tra l'NPS (Server dei criteri di rete) e un client RADIUS. In questo caso, un router o un firewall posizionato tra il client RADIUS e NPS potrebbero rimuovere automaticamente alcuni frammenti, causando un errore di autenticazione e l'impossibilità del client di accesso di connettersi alla rete.

Utilizzare la procedura seguente per ridurre le dimensioni massime che NPS utilizza per i payload EAP modificando l'attributo Framed-MTU in un criterio di rete a un valore non superiore a 1344.

L'appartenenza a Administrators o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare l'attributo Framed-MTU

1. Nel Server Manager, fare clic su Strumenti e quindi su Server dei criteri di rete. Si apre la NPS console.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi nel riquadro dei dettagli fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo Proprietà criteri fare clic sulla scheda Impostazioni .

4. In Impostazioni, in Attributi RADIUS, fare clic su Standard. Nel riquadro dei dettagli fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard .

5. In Attributi scorrere verso il basso e fare clic su Framed-MTU e quindi fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Informazioni attributo .

6. In Valore attributo digitare un valore uguale o minore di 1344. Fare clic su OK, fare clic su Chiudi e quindi su OK.

Per altre informazioni sui criteri di rete, vedere Criteri di rete.

Per esempi di sintassi di corrispondenza dei modelli per specificare gli attributi dei criteri di rete, vedere Usa espressioni regolari in NPS.

Per ulteriori informazioni su NPS, vedere Server dei criteri di rete (NPS).