Serveur d'impression

Compréhension et configuration des services de stratégie et d'accès réseau dans Server 2012 (Partie 2) – Serveur d’impression

Le 15 octobre 2019 - 15 minutes de lecture

Si vous souhaitez lire les autres parties de cette série d'articles, rendez-vous à l'adresse suivante:

introduction

Dans la première partie de cette série, nous avons examiné comment la stratégie de réseau et les services d'accès de Windows 2012, et en particulier comment la protection d'accès réseau (NAP) peut vous aider à protéger votre réseau lorsque des clients VPN s'y connectent en validant les exigences d'intégrité que vous avez définies. institut dans le cadre d’un plan d’application des lois sur la santé. Dans la deuxième partie, nous donnerons quelques conseils sur le déploiement effectif de NAP sur Windows Server 2012. Toutefois, gardez à l’esprit que NPAS et NAP sont des sujets complexes et nous ne couvrons ici que quelques notions de base. La bibliothèque TechNet contient des instructions beaucoup plus détaillées qui traitent de nombreux scénarios de réseau différents.

Installation du service de rôle NPS sur Windows Server 2012

Pour déployer NAP sur Windows Server 2012, vous devez installer le rôle de stratégie de réseau et d'accès avec le service de rôle de serveur de stratégie réseau. Vous pouvez le faire de deux manières: en utilisant le Gestionnaire de serveur pour installer NPS via l'interface utilisateur graphique ou en utilisant PowerShell pour installer NPS via la ligne de commande.

Avant de tenter l'installation, vous devez savoir que, s'il existe une adresse IPv6toIPv4 configurée manuellement sur l'ordinateur, l'installation de NPS peut échouer. Vous devez désactiver la configuration IPv6 avant d'essayer d'installer NPS. Voici comment:

  1. Sur l'écran de démarrage de Windows Server 2012, tapez réseau.
  2. Dans le volet de recherche de droite, sélectionnez Paramètres.
  3. Cliquez sur l'option Afficher les connexions réseau dans la liste.
  4. Cliquez avec le bouton droit sur la connexion réseau de votre réseau local et sélectionnez Propriétés.
  5. Dans l'onglet Réseau, décochez la case correspondant à Internet Protocol Version 6 (TCP / IPv6).
  6. Cliquez sur OK.

Installation du service de rôle NPS à l'aide du Gestionnaire de serveur

Pour installer le service de rôle NPS dans Windows Server 2012 via l'interface graphique, ouvrez tout d'abord le Gestionnaire de serveur à partir de la barre des tâches du bureau ou de la vignette Gestionnaire de serveur de l'écran de démarrage, puis procédez comme suit:

  1. Dans le Gestionnaire de serveur, cliquez sur Gérer et cliquez Ajouter des rôles et des fonctionnalités.
  2. Sur le Avant que tu commences page, cliquez Prochain.
  3. Sur le Sélectionnez le type d'installation page, cliquez Basé sur les rôles / fonctionnalités Installer puis cliquez sur Prochain.
  4. Sur le Sélectionnez le serveur de destination page, cliquez Sélectionnez un serveur dans le pool de serveurs, cliquez sur les noms des serveurs sur lesquels vous voulez installer NPS, puis cliquez sur Prochain.
  5. Sur le Sélectionnez les rôles de serveur page, cliquez Stratégie de réseau et services d'accès, puis cliquez sur Prochain trois fois.
  6. Sur le Sélectionner les services de rôle page, cliquez Serveur de stratégie réseauet dans le Assistant Ajout de rôles et de fonctionnalités boîte de dialogue, vérifiez que Inclure des outils de gestion (le cas échéant)) est sélectionné.
  7. Cliquez sur Ajouter des fonctionnalités, puis cliquez sur Prochain.
  8. Sur le Confirmer les sélections d'installation page, cliquez Installer.
  9. Sur le Résultats d'installation page, vérifiez que l'installation a réussi, puis cliquez sur proche.

Installation du service de rôle NPS à l'aide de PowerShell

Pour installer le service de rôle NPS dans Windows Server 2012 à l'aide de PowerShell, vous devez d'abord cliquer avec le bouton droit de la souris sur l'icône PowerShell dans la barre des tâches et sélectionner: Exécuter en tant qu'administrateur afin d’ouvrir une session PowerShell avec des privilèges d’administrateur. Puis procédez comme suit:

  1. Chargez le module Gestionnaire de serveur en tapant: Import-Module Servermanager
  2. Ensuite, installez le service de rôle NPS en tapant: Install-WindowsFeature –name napas-policy-server –includemanagementtools
    Remarque: Cela installera également le rôle de serveur DHCP
  3. Lorsque le service de rôle a été installé avec succès, PowerShell signalera Success = True et le résultat de la fonctionnalité affichera la stratégie de réseau et les services d'accès, comme illustré à la figure 1.

Image
Figure 1: Le rôle NPS a été installé avec succès

Configuration du serveur NAP

Vous pouvez configurer le serveur NAP avec trois types de stratégies différents:

  • Stratégies de demande de connexion qui utilisent des connexions et des paramètres pour authentifier les demandes des clients d'accéder au réseau. Ces stratégies contrôlent également le lieu d'exécution de l'authentification. Vous devez disposer d'une stratégie de demande de connexion pour chaque méthode d'application NAP.
  • Stratégies réseau qui utilisent des conditions, des paramètres et des contraintes pour déterminer le niveau d'accès autorisé pour un client tentant de se connecter au réseau. Pour déployer NAP, vous avez besoin d'au moins deux stratégies de réseau: une pour les ordinateurs clients jugés conformes à vos stratégies d'intégrité et l'autre pour les clients non conformes.
  • Politiques de santé qui spécifient quels validateurs de santé du système (SHV) doivent être évalués et comment ils doivent être utilisés pour évaluer l'état de santé. Vous devez activer au moins un SHV pour chaque stratégie de santé.

Lors de la création de stratégies réseau, vous devez garder à l'esprit qu'une requête client peut correspondre à une stratégie de connexion et à une stratégie réseau. Il ne peut pas correspondre à plusieurs stratégies d'un type. Ainsi, lorsqu'une correspondance est établie, aucune des autres stratégies ne sera appliquée. Cela signifie que l'ordre des stratégies de traitement est important. La source de la demande est également utilisée pour déterminer l'ordre d'évaluation.

S'il existe des stratégies spécifiant une source, les demandes envoyées à partir d'une source correspondante sont uniquement évaluées par rapport à ces stratégies. Si aucune des stratégies ne spécifie une source correspondant, les clients tentent de faire correspondre les stratégies à la Non spécifié la source. Si plusieurs stratégies avec la même source correspondent à la source du client, la stratégie la plus élevée dans l'ordre de traitement est utilisée (et en cas d'échec, le NPS réduit la liste des stratégies de l'ordre de traitement jusqu'à ce qu'il trouve une stratégie correspondant. ).

Pour configurer NSP avec une stratégie réseau, utilisez l'assistant Nouvelle stratégie réseau sur le serveur NPS. Sur le serveur NPS, ouvrez l'outil d'administration Network Policy Server à partir du menu Outils d'administration. Dans le volet de gauche, développez le Stratégies noeud et cliquez Stratégies de réseau. Faites un clic droit et sélectionnez Nouveau pour démarrer l’assistant Nouvelle stratégie réseau, comme illustré à la figure 2.

Image
Figure 2: Création d'une nouvelle stratégie réseau

Vous pouvez créer une nouvelle stratégie de demande de connexion ou une nouvelle stratégie d'intégrité en cliquant avec le bouton droit de la souris sur la souris. Politique de demande de connexion ou Politiques de santé noeud et en sélectionnant Nouveau.

Configuration des serveurs VPN avec NPS

Les étapes nécessaires à la configuration de serveurs VPN avec NPS sont les suivantes:

  1. Installez et configurez vos serveurs VPN comme indiqué dans la première partie de ce chapitre.
  2. Décidez quelle méthode d'authentification doit être utilisée.
  3. Installez le rôle NPS sur le serveur NPS.
  4. Inscrire automatiquement un certificat de serveur sur le (s) serveur (s) NPS ou acheter un certificat de serveur (pour l'authentification PEAP-MS-CHAP v2).
  5. Pour EAP-TLS ou PEAP-TLS sans carte à puce, inscrivez automatiquement les certificats d'utilisateur et / ou d'ordinateur aux utilisateurs du domaine et aux ordinateurs clients membres du domaine.
  6. Configurez vos serveurs VPN en tant que clients RADIUS dans NPS.
  7. Créez un groupe d'utilisateurs Active Directory pour les utilisateurs qui seront autorisés à se connecter via les serveurs VPN.
  8. Configurez les stratégies réseau pour les services VPN dans NPS.

Pour créer la demande de connexion et les stratégies réseau nécessaires pour déployer des serveurs VPN en tant que clients RADIUS sur le serveur NPS, vous pouvez utiliser le Nouvelles connexions par réseau commuté ou virtuel privé sorcier. Ouvrez la console NPS à partir du menu Outils d'administration du serveur sur lequel vous avez installé le service de rôle Serveur de stratégie réseau. Clique le NPS (local) noeud de niveau supérieur dans le volet de gauche et procédez comme suit:

  1. Sous Configuration standard, dans la liste déroulante, sélectionnez Serveur RADIUS pour les connexions d'accès à distance ou VPN, comme illustré à la figure 3.

Image
Figure 3:
Création des stratégies requises pour déployer des serveurs VPN en tant que clients RADIUS sur le serveur NPS

  1. Cliquez sur Configurer un VPN ou une connexion à distance.
  2. Dans l'assistant, sélectionnez Connexions réseau privé virtuel (VPN) dans la section Type de connexion, comme illustré à la figure 4.

Image
Figure 4:
Sélection du type de connexion (VPN)

Fournissez un texte faisant partie du nom de chacune des stratégies que l'Assistant crée ou accepte par défaut, puis cliquez sur Prochain.

  1. Sur la page Spécifier un serveur d'accès distant ou VPN, l'ordinateur local sera automatiquement ajouté en tant que client RADIUS au serveur NPS s'il exécute le service RRAS en tant que serveur VPN. Vous pouvez ajouter des serveurs VPN distants en cliquant sur le bouton Ajouter.
  2. Sur la page Configurer les méthodes d'authentification, sélectionnez le (s) protocole (s) à utiliser pour l'authentification, comme illustré à la figure 5.

Image
Figure 5:
Configuration de la ou des méthodes d'authentification

  1. Sur la page Spécifier les groupes d'utilisateurs, vous pouvez sélectionner les groupes auxquels la stratégie s'appliquera en cliquant sur le bouton Ajouter. Si vous ne sélectionnez aucun groupe, la stratégie s'appliquera à tous les utilisateurs.
  2. Sur la page Spécifier les filtres IP, vous pouvez configurer les filtres d'entrée et de sortie IPv4 et IPv6 pour le serveur VPN RRAS.
  3. Sur la page Spécifier les paramètres de cryptage, vous pouvez sélectionner le niveau de cryptage à utiliser pour MPPE (40 bits, 56 bits et / ou 128 bits). Par défaut, les trois sont sélectionnés, comme illustré à la figure 6.

Image
Figure 6:
Spécifier les paramètres de cryptage

  1. Sur la page Spécifier le nom du domaine, vous pouvez spécifier un nom de domaine pour remplacer le nom de domaine dans les informations d'identification de l'utilisateur. C'est le nom que votre FAI utilise pour transférer les demandes. Ce champ n'est pas obligatoire.
  2. Sur la page Achèvement de nouvelles connexions réseau privé virtuel ou d'accès à distance et de clients RADIUS (la dernière page de l'Assistant), vous pouvez cliquer sur Détails de la configuration pour vérifier vos choix de configuration. Cela ouvrira les détails de la configuration dans votre navigateur Web par défaut, comme illustré à la figure 7.

Image
Figure 7:
Affichage des détails de la configuration dans le navigateur

  1. Cliquez sur Terminer dans l'assistant pour créer les stratégies. Ils apparaîtront maintenant dans les nœuds Stratégies de demande de connexion et Stratégies réseau de la console Network Policy Server.

Configuration du HRA

Vous pouvez configurer les exigences d'authentification, les autorités de certification et la stratégie de demande pour le HRA.

  • Conditions d'authentification: vous pouvez limiter l'émission de certificats d'intégrité aux utilisateurs de domaine authentifiés ou autoriser des utilisateurs anonymes à obtenir des certificats d'intégrité. Si vous autorisez les deux, deux sites Web distincts seront créés, l'un pour les demandes d'utilisateurs de domaine et l'autre pour les demandes d'utilisateurs anonymes. Vous pouvez activer SSL pour que les clients qui communiquent avec les sites Web doivent utiliser une URL sécurisée (https: //). Le serveur IIS nécessite un certificat SSL dans le magasin de certificats de l'ordinateur local ou le magasin de certificats de l'utilisateur actuel, à utiliser pour l'authentification du serveur.
  • Autorité de certification: vous devez configurer le HRA avec au moins une autorité de certification NAP. Vous pouvez ajouter ou supprimer des autorités de certification et modifier leur ordre à partir du nœud Autorité de certification de la console HRA. Vous pouvez utiliser une autorité de certification autonome ou une autorité de certification d'entreprise.
  • Stratégie de requête: les paramètres de stratégie de requête définissent la façon dont le HRA communique avec les clients, en particulier les éléments de stratégie cryptographique comprenant des algorithmes de clé asymétrique, des algorithmes de clé de hachage, des fournisseurs de services cryptographiques et une stratégie de transport. Vous pouvez utiliser le paramètre de stratégie de demande par défaut qui négocie un mécanisme de cryptage mutuellement acceptable. Cette méthode est généralement recommandée sauf si vous êtes certain que vos paramètres modifiés fonctionneront correctement.

Configuration des ordinateurs clients

Microsoft recommande, dans le cadre de ses meilleures pratiques, que les ordinateurs clients soient configurés automatiquement. Les ordinateurs clients compatibles NAP (systèmes Windows XP SP3 et versions ultérieures sur lesquels le logiciel NAP Agent est installé et en cours d'exécution) peuvent être configurés automatiquement en important des fichiers de configuration NAP dans la stratégie de groupe. Vous pouvez configurer les paramètres du client NAP de trois manières différentes:

  • La console de configuration du client NAP vous fournit une interface utilisateur graphique pour la configuration des paramètres du client NAP.
  • Netsh vous permet de configurer les paramètres du client NAP à partir de la ligne de commande.
  • La console de gestion des stratégies de groupe vous permet de configurer les paramètres du client NAP dans la stratégie de groupe sur les clients membres du domaine.

Vous pouvez enregistrer les paramètres du client NAP dans un fichier de configuration que vous pouvez ensuite appliquer à d'autres ordinateurs. Vous devez être membre du groupe Administrateurs local sur l'ordinateur pour importer un fichier de configuration. Pour importer un fichier de configuration, tapez NAPCLCFG.MSC sur la ligne de commande ou dans la zone Exécuter pour ouvrir la console de configuration du client NAP. Faites un clic droit sur le noeud de niveau supérieur, Configuration du client NAP (ordinateur local) dans le volet de gauche et sélectionnez Importation. Accédez à l'emplacement où le fichier est stocké, tapez le nom du fichier de configuration et sélectionnez Ouvert.

Alternativement, vous pouvez taper netsh nap client import filename =

Vous devez activer au moins un client d'application de NAP sur les ordinateurs clients. Les six types de clients d'application de NAP sont:

  • DCHP
  • IPsec
  • Passerelle de bureau à distance
  • PAE
  • Accès à distance
  • EAP sur LAN sans fil

Vos clients VPN doivent être activés en tant que clients d'accès à distance afin que les stratégies d'intégrité soient appliquées lorsqu'ils tentent d'accéder au réseau via le serveur VPN compatible NAP. Les clients d’application NAP sont activés et désactivés via la console de configuration du client NAP ou le Netsh commander. Vous devez être un administrateur local pour activer ou désactiver les clients d'application. Pour activer le client de mise en application d'accès à distance via la console, cliquez sur le bouton Clients d'application de la loi noeud dans le volet de gauche. Dans le volet du milieu, clic droit Client de mise en quarantaine d'accès à distance et cliquez Activer.

Pour activer le client d'application de l'accès à distance sur la ligne de commande, tapez:
ensemble d'application du client netsh nap = 79618 ADMIN – «ENABLE»

Sommaire

Dans les parties 1 et 2 de cette série sur la compréhension et la configuration des services de stratégie et d'accès réseau dans Windows Server 2012, nous avons examiné le déploiement de NAP. Dans la troisième partie, nous allons passer au processus de configuration des serveurs RADIUS.

Si vous souhaitez lire les autres parties de cette série d'articles, rendez-vous à l'adresse suivante:


Publier des vues:
17 497




signaler cette annonce



Lire la suite


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.