Exporter (0) Imprimer
Développer tout

Serveur NPS

Mis à jour: janvier 2008

S'applique à: Windows Server 2008

Le serveur NPS (Network Policy Server) vous permet de créer et d’appliquer des stratégies d’accès réseau à l’échelle de l’organisation pour l’intégrité des clients et pour l’authentification et l’autorisation des demandes de connexion.

À quoi sert le serveur NPS ?

  • Le serveur NPS est l’implémentation Microsoft d’un serveur et d’un proxy RADIUS (Remote Authentication Dial-In User Service). Le serveur NPS vous permet de gérer de façon centralisée les accès au réseau à l’aide de différents serveurs d’accès réseau, y compris des points d’accès sans fil, des serveurs VPN, des serveurs d’accès à distance et des commutateurs d’authentification 802.1X. Par ailleurs, vous pouvez utiliser le serveur NPS pour déployer l’authentification par mot de passe sécurisé à l’aide du protocole PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 pour les connexions sans fil. Le serveur NPS contient aussi des composants clés pour déployer la protection d’accès réseau (NAP) sur votre réseau.

    Les technologies suivantes peuvent être déployées après l’installation du service de rôle NPS :

    • Serveur de stratégie NAP. Lorsque vous configurez le serveur NPS en tant que serveur de stratégie NAP, il évalue les déclarations d’intégrité (SoH) envoyées par les ordinateurs clients compatibles avec la protection d’accès réseau (NAP) qui souhaitent communiquer sur le réseau. Vous pouvez créer sur le serveur NPS des stratégies NAP qui permettent aux ordinateurs clients de mettre à jour leur configuration pour être conformes à la stratégie réseau de votre organisation.

    • Connexion sans fil IEEE 802.11. Le composant logiciel enfichable MMC (Microsoft Management Console) NPS vous permet de configurer des stratégies de demande de connexion 802.1X pour l’accès au réseau client sans fil IEEE 802.11. Vous pouvez également configurer des points d’accès sans fil en tant que clients RADIUS sur le serveur NPS et utiliser ce dernier comme serveur RADIUS pour traiter les demandes de connexion, ainsi que pour effectuer les processus d’authentification, d’autorisation et de gestion pour les connexions sans fil 802.11. Vous pouvez entièrement intégrer l’accès sans fil IEEE 802.11 à la protection d’accès réseau (NAP) lorsque vous déployez une infrastructure d’authentification 802.1X sans fil afin que l’état d’intégrité des clients sans fil soit vérifié par rapport à la stratégie de contrôle d’intégrité avant que les clients ne soient autorisés à se connecter au réseau.

    • Connexion câblée IEEE 802.3. Le composant logiciel enfichable MMC NPS vous permet de configurer des stratégies de demande de connexion 802.1X pour l’accès au réseau Ethernet client câblé IEEE 802.3. Vous pouvez également configurer des commutateurs compatibles 802.1X en tant que clients RADIUS sur le serveur NPS et utiliser ce dernier comme serveur RADIUS pour traiter les demandes de connexion, ainsi que pour effectuer les processus d’authentification, d’autorisation et de gestion pour les connexions Ethernet 802.3. Vous pouvez entièrement intégrer l’accès client câblé IEEE 802.3 à la protection d’accès réseau (NAP) lorsque vous déployez une infrastructure d’authentification 802.1X câblée.

    • Serveur RADIUS. Le serveur NPS effectue de manière centralisée l’authentification, l’autorisation et la gestion des connexions pour les connexions sans fil, les connexions de commutateurs d’authentification, les connexions d’accès à distance et les connexions VPN, ainsi que pour les connexions aux ordinateurs exécutant la passerelle des services Terminal Services (Passerelle TS). Lorsque vous utilisez le serveur NPS comme serveur RADIUS, vous devez configurer les serveurs d’accès réseau, tels que les points d’accès sans fil et les serveurs VPN, en tant que clients RADIUS sur le serveur NPS. Vous devez également configurer les stratégies réseau que le serveur NPS utilise pour autoriser les demandes de connexion. Vous pouvez configurer la gestion RADIUS de manière à ce que le serveur NPS enregistre les informations de gestion dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft® SQL Server™.

    • Proxy RADIUS. Lorsque vous utilisez le serveur NPS comme proxy RADIUS, vous devez configurer des stratégies de demande de connexion qui indiquent au serveur NPS les demandes de connexion à transférer à d’autres serveurs RADIUS et les serveurs RADIUS auxquels vous souhaitez transférer ces demandes. Vous pouvez également configurer le serveur NPS pour transférer les données de gestion afin qu’elles soient journalisées par un ou plusieurs ordinateurs d’un groupe de serveurs RADIUS distants.

Qui ce composant peut-il intéresser ?

Les administrateurs réseau et système qui souhaitent gérer l’accès réseau de façon centralisée, notamment l’authentification (vérification d’identité), l’autorisation (vérification du droit d’accéder au réseau) et la gestion (journalisation de l’état du serveur NPS et des données de processus de connexion réseau), peuvent avoir intérêt à déployer le serveur NPS (Network Policy Server).

Existe-t-il des considérations particulières ?

Lorsqu’un serveur NPS est membre d’un domaine Active Directory®, il utilise le service d’annuaire comme base de données de comptes d’utilisateurs et s’intègre à une solution d’authentification unique. Dans ce cas, le même ensemble d’informations d’identification est utilisé pour le contrôle d’accès réseau (authentification et autorisation de l’accès à un réseau) et l’ouverture de session dans un domaine Active Directory. Pour cette raison, il est recommandé d’utiliser le serveur NPS avec les services de domaine Active Directory (AD DS).

Les considérations supplémentaires suivantes s’appliquent lors de l’utilisation du serveur NPS.

  • Pour déployer le serveur NPS avec un accès IEEE 802.1X câblé ou sans fil sécurisé, vous devez inscrire un certificat de serveur auprès du serveur NPS à l’aide des services de certificats Active Directory (AD CS) ou d’une autorité de certification publique non-Microsoft. Pour déployer EAP-TLS ou PEAP-TLS, vous devez également inscrire des certificats d’ordinateur ou d’utilisateur, ce qui vous demande de concevoir et de déployer une infrastructure à clé publique (PKI) à l’aide des services AD CS. En outre, vous devez acheter et déployer des serveurs d’accès réseau (points d’accès sans fil ou commutateurs d’authentification 802.1X) qui sont compatibles avec le protocole RADIUS et le protocole EAP.

  • Pour déployer le serveur NPS avec la passerelle TS, vous devez déployer la passerelle TS sur l’ordinateur local ou un ordinateur distant qui exécute le système d’exploitation Windows Server® 2008.

  • Pour déployer le serveur NPS avec le service Routage et accès à distance qui a été configuré en tant que serveur VPN, membre d’une configuration VPN de site à site ou serveur d’accès à distance, vous devez déployer le service Routage et accès à distance sur l’ordinateur local ou un ordinateur distant qui exécute Windows Server 2008.

  • Pour déployer le serveur NPS avec la protection d’accès réseau (NAP), vous devez déployer des composants NAP supplémentaires, comme cela est décrit dans l’aide du produit NPS et autre documentation relative à la protection d’accès réseau.

  • Pour déployer le serveur NPS avec la journalisation SQL Server, vous devez déployer Microsoft SQL Server 2000 ou Microsoft SQL Server 2005 sur l’ordinateur local ou un ordinateur distant.

Quelles sont les nouvelles fonctionnalités offertes par ce composant ?

Le serveur NPS offre les nouvelles fonctionnalités suivantes dans Windows Server 2008.

  • Protection d’accès réseau (NAP). Il s’agit d’une technologie de création, d’application et de mise à jour de stratégies de contrôle d’intégrité des clients qui est fournie avec le système d’exploitation Windows Vista® et avec Windows Server 2008. Avec la protection d’accès réseau, vous pouvez établir des stratégies de contrôle d’intégrité qui définissent des contraintes, par exemple en matière de logiciels, de mises à jour de sécurité et de configuration requise, pour les ordinateurs qui se connectent à votre réseau.

  • Commandes d’environnement réseau (Netsh) pour le serveur NPS. Il s’agit d’un ensemble de commandes complet qui vous permet de gérer tous les aspects du serveur NPS en utilisant des commandes à l’invite de commandes Netsh et dans des scripts et des fichiers de commandes.

  • Nouvelle interface Windows. L’interface de Windows a été améliorée, avec entre autres des Assistants de création de stratégie pour la protection d’accès réseau, la stratégie réseau et la stratégie de demande de connexion, ainsi que des Assistants conçus spécialement pour les déploiements de connexions 802.1X câblées et sans fil, de connexions VPN et de connexions d’accès à distance.

  • Prise en charge du protocole IPv6. Le serveur NPS peut être déployé dans des environnements IPv6, dans des environnements IPv4 et dans des environnements mixtes où sont utilisés les deux protocoles.

  • Intégration au contrôle d’admission réseau Cisco (NAC). Avec le protocole HCAP (Host Credential Authorization Protocol) et le serveur NPS, vous pouvez intégrer la protection d’accès réseau au contrôle d’admission réseau Cisco. Le serveur NPS fournit les attributs État étendu et Expiration de la stratégie figurant dans la stratégie réseau pour l’intégration Cisco.

  • Attributs pour identifier les clients d’accès. Les conditions de système d’exploitation et de client d’accès vous permettent de créer des stratégies d’accès réseau qui s’appliquent aux clients que vous spécifiez et aux clients exécutant les versions de système d’exploitation que vous spécifiez.

  • Intégration au Gestionnaire de serveur. Le serveur NPS est intégré au Gestionnaire de serveur, ce qui vous permet de gérer plusieurs technologies à partir d’un seul emplacement de l’interface Windows.

  • Stratégies réseau correspondant à la méthode de connexion réseau. Vous pouvez créer des stratégies réseau qui ne sont appliquées que si la méthode de connexion réseau (par exemple VPN, passerelle TS ou DHCP) correspond à la stratégie. Cela permet au serveur NPS de ne traiter que les stratégies qui correspondent au type de client RADIUS utilisé pour la connexion.

  • Prise en charge de la norme Common Criteria (critères communs). Le serveur NPS peut être déployé dans les environnements requérant la prise en charge de la norme Common Criteria. Pour plus d’informations, voir le portail Common Criteria à l’adresse http://go.microsoft.com/fwlink/?LinkId=95567 (éventuellement en anglais).

  • Bibliothèque d’extension NPS. Le serveur NPS fournit une extensibilité qui permet aux organisations et aux sociétés tierces d’implémenter des solutions RADIUS personnalisées en créant des bibliothèques de liens dynamiques (DLL) d’extension NPS. NPS est désormais résistant aux défaillances dans les DLL d’extension non-Microsoft.

  • Importation et exportation de configurations NPS au format XML. Vous pouvez exporter la configuration d’un serveur NPS vers un fichier XML et importer des configurations de serveur NPS à l’aide de fichiers XML et des commandes Netsh du serveur NPS.

  • Prise en charge d’EAPHost et des stratégies EAP. Le serveur NPS prend en charge EAPHost qui est également disponible dans Windows Vista. EAPHost est un service Windows qui implémente le document RFC 3748 et prend en charge toutes les méthodes EAP conforme au document RFC, y compris les types EAP étendus. EAPHost prend aussi en charge plusieurs implémentations de la même méthode EAP. Les administrateurs de serveur NPS peuvent configurer la stratégie réseau et la stratégie de demande de connexion d’après les méthodes EAP d’EAPHost.

Références supplémentaires

Pour plus d’informations sur d’autres fonctionnalités des services de stratégie et d’accès réseau, voir la rubrique Rôle Services de stratégie et d’accès réseau.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft