Configurer des stratégies réseau
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Vous pouvez utiliser cette rubrique pour configurer des stratégies réseau dans le serveur NPS (Network Policy Server).
Ajouter une stratégie réseau
Le serveur NPS (Network Policy Server) utilise des stratégies réseau et les propriétés de numérotation des comptes d’utilisateur pour déterminer si une demande de connexion est autorisée à se connecter au réseau.
Vous pouvez utiliser cette procédure pour configurer une nouvelle stratégie réseau dans la console du serveur NPS ou dans la console d’accès à distance.
Exécution de l’autorisation
Quand le serveur NPS autorise une demande de connexion, il compare la demande à chaque stratégie réseau de la liste triée des stratégies, en commençant par la première stratégie, puis en descendant dans la liste des stratégies configurées. Si le serveur NPS trouve une stratégie dont les conditions correspondent à la demande de connexion, le serveur NPS utilise la stratégie de correspondance et les propriétés de numérotation du compte d’utilisateur pour effectuer l’autorisation. Si les propriétés de numérotation du compte d’utilisateur sont configurées pour accorder ou contrôler l’accès via une stratégie réseau et que la demande de connexion est autorisée, le serveur NPS applique les paramètres configurés dans la stratégie réseau à la connexion.
Si le serveur NPS ne trouve pas de stratégie réseau qui correspond à la demande de connexion, la demande de connexion est rejetée, sauf si les propriétés de numérotation du compte d’utilisateur sont définies pour accorder l’accès.
Si les propriétés de numérotation du compte d’utilisateur sont définies pour refuser l’accès, la demande de connexion est refusée par le serveur NPS.
Paramètres de clé
Lorsque vous utilisez l’Assistant Nouvelle stratégie réseau pour créer une stratégie réseau, la valeur que vous spécifiez dans la Méthode de connexion réseau est utilisée pour configurer automatiquement la condition du Type de stratégie :
- Si vous conservez la valeur par défaut Unspecified, la stratégie réseau que vous créez est évaluée par le serveur NPS pour tous les types de connexions réseau qui utilisent n’importe quel type de serveur d’accès réseau (NAS).
- Si vous spécifiez une méthode de connexion réseau, le serveur NPS évalue la stratégie réseau uniquement si la demande de connexion provient du type de serveur d’accès réseau que vous spécifiez.
Dans la page Autorisation d’accès, vous devez sélectionner Accès accordé si vous souhaitez que la stratégie autorise les utilisateurs à se connecter à votre réseau. Si vous souhaitez que la stratégie empêche les utilisateurs de se connecter à votre réseau, sélectionnez Accès refusé.
Si vous souhaitez que l’autorisation d’accès soit déterminée par les propriétés de numérotation du compte d’utilisateur dans Active Directory® Domain Services (AD DS), vous pouvez cocher la case Accès déterminé par les propriétés de numérotation de l’utilisateur.
L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Pour ajouter une stratégie réseau
Ouvrez la console du serveur NPS, puis double-cliquez sur Stratégies.
Dans l’arborescence de la console, faites un clic droit sur Stratégies réseau, puis cliquez sur Nouveau. L’Assistant Nouvelle stratégie réseau s’ouvre.
Utilisez l’Assistant Nouvelle stratégie réseau pour créer une stratégie.
Créer à l’aide d’un Assistant des stratégies réseau pour l’accès è distance ou le VPN
Vous pouvez utiliser cette procédure pour créer des stratégies de demande de connexion et des stratégies réseau qui nécessitent le déploiement de serveur de numérotation ou de serveurs de réseau virtuel privé (VPN) en tant que client RADIUS (Remote Authentication Dial-In User Service) sur le serveur NPS RADIUS.
Notes
Les ordinateurs clients, comme les ordinateurs portables et autres ordinateurs exécutant des systèmes d’exploitation clients, ne sont pas des clients RADIUS. Les clients RADIUS sont des serveurs d’accès réseau (par exemple, des points d’accès sans fil, des commutateurs d’authentification 802.1X, des serveurs de réseau privé virtuel (VPN) et des serveurs d’accès à distance), car ces périphériques utilisent le protocole RADIUS pour communiquer avec des serveurs RADIUS, comme les serveurs NPS (Network Policy Server).
Cette procédure explique comment ouvrir l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel dans le serveur NPS.
Après avoir exécuté l’Assistant, les stratégies suivantes sont créées :
- Une stratégie de demande de connexion
- Une stratégie réseau
Vous pouvez exécuter l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel chaque fois que vous avez besoin de créer de nouvelles stratégies pour les serveurs d’accès à distance et les serveurs VPN.
L’exécution de l’Assistant Nouvelle connexion d’accès à distance ou de réseau privé virtuel n’est pas la seule étape nécessaire pour déployer des serveurs d’accès à distance ou VPN en tant que clients RADIUS sur le serveur NPS. Les deux méthodes d’accès réseau nécessitent le déploiement de composants matériels et logiciels supplémentaires.
L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Pour créer à l’aide d’un Assistant des stratégies pour accès à distance ou le VPN
Ouvrez la console du serveur NPS. S’il n’est pas déjà sélectionné, cliquez sur Serveur NPS (local). Si vous souhaitez créer des stratégies sur un serveur NPS distant, sélectionnez le serveur.
Dans Prise en main et configuration standard, sélectionnez Serveur RADIUS pour les connexions d’accès à distance ou VPN. Le texte et les liens situés sous le texte changent pour refléter votre sélection.
Cliquez sur Configurer un VPN ou un accès à distance à l’aide d’un Assistant. L’Assistant Nouvelles connexions d’accès à distance ou de réseau privé virtuel s’ouvre.
Suivez les instructions de l’Assistant pour terminer la création de vos nouvelles stratégies.
Créer des stratégies réseau pour le réseau 802.1X câblé ou sans fil à l’aide d’un Assistant
Vous pouvez utiliser cette procédure pour créer la stratégie de demande de connexion et la stratégie réseau nécessaires pour déployer des commutateurs d’identification 802.1X ou des points d’accès sans fil 802.1X en tant que clients RADIUS (Remote Authentication Dial-In User Service) sur le serveur NPS RADIUS.
Cette procédure explique comment démarrer l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X dans le serveur NPS.
Après avoir exécuté l’Assistant, les stratégies suivantes sont créées :
- Une stratégie de demande de connexion
- Une stratégie réseau
Vous pouvez exécuter l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X chaque fois que vous devez créer de nouvelles stratégies pour l’accès 802.1X.
L’exécution de l’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X n’est pas la seule étape requise pour déployer des commutateurs d’authentification et des points d’accès sans fil 802.1X en tant que clients RADIUS sur le serveur NPS. Les deux méthodes d’accès réseau nécessitent le déploiement de composants matériels et logiciels supplémentaires.
L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Pour créer des stratégies pour le réseau 802.1X câblé ou sans fil à l’aide d’un Assistant
Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
S’il n’est pas déjà sélectionné, cliquez sur Serveur NPS (local). Si vous souhaitez créer des stratégies sur un serveur NPS distant, sélectionnez le serveur.
Dans Prise en main et Configuration standard, sélectionnez Serveur RADIUS pour les connexions sans fil ou câblées 802.1X. Le texte et les liens situés sous le texte changent pour refléter votre sélection.
Cliquez sur Configurer 802.1X à l’aide d’un Assistant. L’Assistant Nouvelles connexions câblées et sans fil sécurisées IEEE 802.1X s’ouvre.
Suivez les instructions de l’Assistant pour terminer la création de vos nouvelles stratégies.
Configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur
Utilisez cette procédure pour configurer une stratégie réseau NPS afin d’ignorer les propriétés de numérotation des comptes d’utilisateur dans Active Directory pendant le processus d’autorisation. Les comptes d’utilisateurs dans Utilisateurs et ordinateurs Active Directory ont des propriétés de numérotation qui sont évaluées par le serveur NPS pendant le processus d’autorisation, sauf si la propriété Autorisation d’accès au réseau du compte d’utilisateur est définie sur Contrôler l’accès via la Stratégie d’accès à distance.
Vous pouvez configurer le serveur NPS pour ignorer les propriétés de numérotation des comptes d’utilisateur dans Active Directory dans deux circonstances :
Lorsque vous souhaitez simplifier l’autorisation du serveur NPS à l’aide d’une stratégie réseau, mais que la propriété Autorisation d’accès réseau n’est pas définie pour tous vos comptes d’utilisateur sur Contrôler l’accès via la stratégie réseau du serveur NPS. Par exemple, la propriété Autorisation d’accès réseau du compte d’utilisateur peut être définie sur Refuser l’accès ou Autoriser l’accès dans certains comptes d’utilisateur.
Lorsque d’autres propriétés de numérotation de comptes d’utilisateur ne s’appliquent pas au type de connexion configuré dans la stratégie réseau. Par exemple, les propriétés autres que le paramètre Autorisation d’accès réseau s’appliquent uniquement aux connexions d’accès à distance ou VPN, mais la stratégie réseau que vous créez concerne les connexions sans fil ou l’authentification des connexions de commutateur.
Vous pouvez utiliser cette procédure pour configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur. Si une demande de connexion correspond à la stratégie réseau où cette case à cocher est cochée, le serveur NPS n’utilise pas les propriétés de numérotation du compte d’utilisateur pour déterminer si l’utilisateur ou l’ordinateur est autorisé à accéder au réseau. Seuls les paramètres de la stratégie réseau sont utilisés pour déterminer l’autorisation.
Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à un groupe équivalent.
Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie à configurer.
Dans la boîte de dialogue Propriétés de la stratégie, sous l’onglet Vue d’ensemble, dans Autorisation d’accès, sélectionnez la case à cocher Ignorer les propriétés de numérotation du compte d’utilisateur, puis cliquez sur OK.
Pour configurer le serveur NPS afin d’ignorer les propriétés de numérotation du compte d’utilisateur
Configurer le serveur NPS pour les VLAN (réseaux locaux virtuels)
Lorsque vous utilisez des serveurs d’accès réseau prenant en charge le VLAN et le serveur NPS dans Windows Server 2016, vous pouvez fournir à des groupes d’utilisateurs un accès uniquement aux ressources réseau correspondant à leurs autorisations de sécurité. Par exemple, vous pouvez fournir aux visiteurs un accès sans fil à Internet sans leur permettre d’accéder au réseau de votre organisation.
En outre, les VLAN vous permettent de regrouper logiquement des ressources réseau existants dans différents emplacements physiques ou sur différents sous-réseaux physiques. Par exemple, les membres de votre service commercial et les ressources de leur réseau, telles que les ordinateurs clients, les serveurs et les imprimantes, peuvent se trouver dans plusieurs bâtiments différents de votre organisation, mais vous pouvez placer toutes ces ressources sur un seul VLAN qui utilise la même plage d’adresses IP. Le VLAN fonctionne ensuite comme un seul sous-réseau, par rapport à l’utilisateur final.
Vous pouvez également utiliser des VLAN lorsque vous souhaitez séparer un réseau entre différents groupes d’utilisateurs. Une fois que vous avez déterminé comment définir vos groupes, vous pouvez créer des groupes de sécurité dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis ajouter des membres aux groupes.
Configurer une stratégie réseau pour les VLAN
Vous pouvez utiliser cette procédure pour configurer une stratégie réseau qui affecte des utilisateurs à un VLAN. Lorsque vous utilisez du matériel réseau prenant en charge les VLAN, tels que des routeurs, des commutateurs et des contrôleurs d’accès, vous pouvez configurer une stratégie réseau pour indiquer aux serveurs d’accès de placer des membres de groupes Active Directory spécifiques sur des VLAN spécifiques. Cette possibilité de regrouper logiquement des ressources réseau avec des VLAN permet de faire preuve de flexibilité lors de la conception et de l’implémentation de solutions réseau.
Lorsque vous configurez les paramètres d’une stratégie réseau de serveur NPS à utiliser avec des VLAN, vous devez configurer les attributs Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type et Tunnel-Tag.
Cette procédure est fournie à titre indicatif; car votre configuration réseau peut nécessiter des paramètres différents de ceux qui sont décrits ci-dessous.
Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à un groupe équivalent.
Pour configurer une stratégie réseau pour les VLAN
Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie à configurer.
Dans la boîte de dialogue Propriétés de la stratégie, cliquez sur l’onglet Paramètres.
Dans Propriétés de la stratégie, dans Paramètres, dans Attributs RADIUS, vérifiez que l’option Standard est sélectionnée.
Dans le volet d’informations, dans Attributs, l’attribut Service-Type est configuré avec la valeur par défaut Framed. Par défaut, pour les stratégies avec des méthodes d’accès VPN et d’accès à distance, l’attribut Framed-Protocol est configuré avec la valeur PPP. Pour spécifier des attributs de connexion supplémentaires requis pour les VLAN, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut RADIUS standard s’ouvre.
Dans Ajouter un attribut RADIUS standard, dans Attributs, faites défiler vers le bas jusqu’aux attributs suivants et ajoutez-les :
Tunnel-Medium-Type. Sélectionnez une valeur appropriée aux sélections précédentes que vous avez effectuées pour la stratégie. Par exemple, si la stratégie réseau que vous configurez est une stratégie sans fil, sélectionnez Valeur : 802 (inclut tous les médias 802 en plus du format canonique Ethernet).
Tunnel-Pvt-Group-ID. Entrez l’entier qui représente le numéro de VLAN auquel les membres du groupe seront affectés.
Tunnel-Type. Sélectionnez Réseaux locaux virtuels (VLAN).
Dans Ajouter un attribut RADIUS standard, cliquez sur Fermer.
Si votre serveur d’accès réseau (NAS) nécessite l’utilisation de l’attribut Tunnel-Tag, procédez comme suit pour ajouter l’attribut Tunnel-Tag à la stratégie réseau. Si votre documentation NAS ne mentionne pas cet attribut, ne l’ajoutez pas à la stratégie. Si nécessaire, ajoutez les attributs comme suit :
Dans Propriétés de la stratégie, dans Paramètres, dans Attributs RADIUS, cliquez sur Spécifique au fournisseur.
Dans le volet d’informations, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut spécifique au fournisseur s’ouvre.
Dans Attributs, faites défiler jusqu’à Tunnel-Tag, sélectionnez-le, puis cliquez sur Ajouter. La boîte de dialogue Informations sur l’attribut s’ouvre.
Dans Valeur d’attribut, tapez la valeur que vous avez obtenue à partir de la documentation de votre matériel.
Configurer la taille de charge utile EAP
Dans certains cas, les routeurs ou les pare-feu suppriment des paquets, car ils sont configurés pour abandonner les paquets qui nécessitent une fragmentation.
Lorsque vous déployez le serveur NPS avec des stratégies réseau qui utilisent le protocole EAP (Extensible Authentication Protocol) avec le protocole TLS (Transport Layer Security) ou EAP-TLS, comme méthode d’authentification, l’unité de transmission maximale (MTU) par défaut utilisée par le serveur NPS pour les charges utiles EAP est de 1 500 octets.
Cette taille maximale pour la charge utile EAP peut créer des messages RADIUS qui nécessitent une fragmentation par un routeur ou un pare-feu entre le serveur NPS et un client RADIUS. Si tel est le cas, un routeur ou un pare-feu positionné entre le client RADIUS et le serveur NPS peut abandonner en mode silencieux certains fragments, ce qui entraîne l’échec de l’authentification et l’incapacité du client d’accès à se connecter au réseau.
Utilisez la procédure suivante pour réduire la taille maximale utilisée par le serveur NPS pour les charges utiles EAP en ajustant l’attribut Framed-MTU dans une stratégie réseau à une valeur ne dépassant pas 1 344.
Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à un groupe équivalent.
Pour configurer l’attribut Framed-MTU
Sur le serveur NPS, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Serveur NPS (Network Policy Server). La console NPS s’ouvre.
Double-cliquez sur Stratégies, cliquez sur Stratégies réseau, puis dans le volet d’informations, double-cliquez sur la stratégie à configurer.
Dans la boîte de dialogue Propriétés de la stratégie, cliquez sur l’onglet Paramètres.
Dans Paramètres, dans Attributs RADIUS, cliquez sur Standard. Dans le volet d’informations, cliquez sur Ajouter. La boîte de dialogue Ajouter un attribut RADIUS standard s’ouvre.
Dans Attributs, faites défiler jusqu’à Framed-MTU, cliquez dessus, puis cliquez sur Ajouter. La boîte de dialogue Informations sur l’attribut s’ouvre.
Dans Valeur d’attribut, tapez une valeur égale ou inférieure à 1 344. Cliquez sur OK, sur Fermer, puis sur OK.
Pour plus d’informations sur les stratégies réseau, consultez la section Stratégies réseau.
Pour obtenir des exemples de syntaxe de correspondance de modèle, afin de spécifier des attributs de stratégie réseau, consultez la section Utiliser des expressions régulières dans le serveur NPS.
Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).