Déployer VPN Always On

s’applique à : Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

dans cette section, vous allez découvrir le flux de travail pour le déploiement de Always On connexions VPN pour des ordinateurs clients Windows 10 joints à un domaine distant. Si vous souhaitez configurer l’accès conditionnel pour ajuster l’accès des utilisateurs VPN à vos ressources, consultez accès conditionnel pour la connectivité VPN à l’aide de Azure ad. Pour en savoir plus sur l’accès conditionnel pour la connectivité VPN à l’aide de Azure AD, consultez accès conditionnel dans Azure Active Directory.

Le diagramme suivant illustre le processus de flux de travail pour les différents scénarios lors du déploiement d’Always On VPN :

Flow graphique du flux de travail de déploiement VPN Always On

Important

Pour ce déploiement, il n’est pas nécessaire que vos serveurs d’infrastructure, tels que les ordinateurs exécutant Active Directory Domain Services, Active Directory les services de certificats et le serveur de stratégie réseau, exécutent Windows Server 2016. vous pouvez utiliser des versions antérieures de Windows Server, comme Windows Server 2012 R2, pour les serveurs d’infrastructure et pour le serveur qui exécute l’accès à distance.

Étape 1. Planifier le déploiement de VPN Toujours actif (AlwaysOn)

Au cours de cette étape, vous allez commencer à planifier et à préparer votre déploiement Always On VPN. Avant d’installer le rôle serveur d’accès à distance sur l’ordinateur sur lequel vous envisagez d’utiliser en tant que serveur VPN. Après une planification appropriée, vous pouvez déployer Always On VPN et, éventuellement, configurer l’accès conditionnel pour la connectivité VPN à l’aide de Azure AD.

Étape 2. Configurer l’infrastructure des serveurs VPN Toujours actif (AlwaysOn)

Dans cette étape, vous installez et configurez les composants côté serveur nécessaires pour prendre en charge le VPN. Les composants côté serveur incluent la configuration de l’infrastructure à clé publique pour distribuer les certificats utilisés par les utilisateurs, le serveur VPN et le serveur NPS. Vous configurez également RRAS pour prendre en charge les connexions IKEv2 et le serveur NPS pour effectuer l’autorisation pour les connexions VPN.

Pour configurer l’infrastructure de serveur, vous devez effectuer les tâches suivantes :

  • Sur un serveur configuré avec Active Directory Domain Services : Activez l’inscription automatique des certificats dans stratégie de groupe pour les ordinateurs et les utilisateurs, créez le groupe utilisateurs VPN, le groupe serveurs VPN et le groupe serveurs NPS, puis ajoutez des membres à chaque groupe.
  • Sur une autorité de certification Active Directory Certificate Server : Créez les modèles authentification de l’utilisateur, authentification du serveur VPN et certificat d’authentification du serveur NPS.
  • sur les clients Windows 10 joints à un domaine : Inscrire et valider des certificats utilisateur.

Étape 3. Configurer le serveur d’accès à distance pour VPN Toujours actif (AlwaysOn)

Dans cette étape, vous configurez le VPN d’accès à distance pour autoriser les connexions VPN IKEv2, refuser les connexions à partir d’autres protocoles VPN et affecter un pool d’adresses IP statiques pour l’émission d’adresses IP à la connexion de clients VPN autorisés.

Pour configurer RAS, vous devez effectuer les tâches suivantes :

  • Inscrire et valider le certificat de serveur VPN
  • Installer et configurer le VPN d’accès à distance

Étape 4. Installer et configurer le serveur NPS

dans cette étape, vous installez le serveur NPS (network Policy Server) à l’aide de Windows PowerShell ou de l’assistant Gestionnaire de serveur ajouter des rôles et des fonctionnalités. Vous configurez également NPS pour gérer toutes les tâches d’authentification, d’autorisation et de comptabilité pour la demande de connexion qu’il reçoit du serveur VPN.

Pour configurer NPS, vous devez effectuer les tâches suivantes :

  • Inscrire le serveur NPS dans Active Directory
  • Configurer la gestion des comptes RADIUS pour votre serveur NPS
  • Ajouter le serveur VPN en tant que client RADIUS dans NPS
  • Configurer la stratégie réseau dans NPS
  • Inscrire automatiquement le certificat de serveur NPS

Étape 5. configurer des Paramètres DNS et de pare-feu pour Always On VPN

Dans cette étape, vous configurez les paramètres DNS et de pare-feu. Lorsque les clients VPN distants se connectent, ils utilisent les mêmes serveurs DNS que ceux utilisés par vos clients internes, ce qui leur permet de résoudre les noms de la même manière que les autres postes de travail internes.

Étape 6. Configurer les connexions VPN Toujours actif (AlwaysOn) du client Windows 10

au cours de cette étape, vous allez configurer les ordinateurs clients Windows 10 pour qu’ils communiquent avec cette infrastructure avec une connexion VPN. vous pouvez utiliser plusieurs technologies pour configurer Windows 10 clients VPN, y compris Windows PowerShell, Microsoft Endpoint Configuration Manager et Intune. Les trois nécessitent un profil VPN XML pour configurer les paramètres VPN appropriés.

Étape 7. Facultatif Configurer l’accès conditionnel pour la connectivité VPN

Dans cette étape facultative, vous pouvez ajuster la façon dont les utilisateurs VPN autorisés accèdent à vos ressources. Avec Azure AD accès conditionnel pour la connectivité VPN, vous pouvez protéger les connexions VPN. L’accès conditionnel est un moteur d’évaluation basé sur des stratégies qui vous permet de créer des règles d’accès pour toutes les Azure AD application connectée. pour plus d’informations, consultez Azure Active Directory (Azure AD) accès conditionnel.

Étape suivante

Étape 1. Planifier le déploiement VPN Always On: avant d’installer le rôle serveur d’accès à distance sur l’ordinateur sur lequel vous envisagez d’utiliser en tant que serveur VPN. Après une planification appropriée, vous pouvez déployer Always On VPN et, éventuellement, configurer l’accès conditionnel pour la connectivité VPN à l’aide de Azure AD.