Microsoft.com
Bienvenue Connexion
TechCenter Windows
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Windows
Windows Server
Windows Server 2003
Windows Server 2003 ...
Bienvenue
Services réseau
Concepts IAS
Déploiement du service IAS
 Accès réseau à distance et VPN

  Passer à l'affichage pour faible bande passante
Accès réseau à distance et VPN

Accès réseau à distance et VPN

Cette rubrique explique comment le service IAS est utilisé pour prendre en charge l'authentification, l'autorisation et la gestion de comptes pour les connexions d'accès à distance et VPN (Virtual Private Network) avec une organisation. Cette rubrique décrit une configuration type pour une entreprise qui utilise :

  • deux serveurs IAS.
    Deux serveurs IAS (un serveur principal et un serveur secondaire) sont utilisés pour fournir la tolérance de panne pour l'authentification RADIUS. Si un seul serveur RADIUS est configuré et qu'il devient indisponible, les clients d'accès distant et VPN ne pourront plus se connecter. Lorsque vous utilisez deux serveurs IAS et vous configurez tous les serveurs d'accès à distance et VPN (clients RADIUS) pour les serveurs IAS principal et secondaire, les clients RADIUS peuvent détecter toute indisponibilité du serveur RADIUS principal et effectuer un basculement automatique vers le serveur IAS secondaire ;
  • des domaines Active Directory.
    Les domaines Active Directory contiennent les comptes d'utilisateurs, les mots de passe et les propriétés d'accès à distance nécessaires à chaque serveur IAS pour authentifier les informations d'identification des utilisateurs et évaluer les contraintes d'autorisation et de connexion. Pour optimiser les temps de réponse relatifs à l'authentification et à l'autorisation du service IAS et minimiser le trafic réseau, le service IAS est installé sur des contrôleurs de domaine ;
  • une infrastructure de certificats à cartes à puce.
    Le protocole d'authentification EAP-TLS (Extensible Authentication Protocol-Transport Level Security) est utilisé avec des cartes à puce pour authentifier les connexions des employés et fournir le niveau de sécurité le plus élevé pour l'authentification ;
  • des stratégies d'accès distant personnalisées.
    Les stratégies d'accès distant sont configurées pour spécifier, en fonction de l'appartenance au groupe, les différentes exigences pour différents types de connexions et d'utilisateurs ;
  • plusieurs serveurs VPN et d'accès à distance.
    Les serveurs VPN et d'accès à distance sont constitués d'ordinateurs exécutant différentes versions de Windows et le service de routage et d'accès distant, et de périphériques serveur d'accès réseau tiers.

L'illustration suivante montre la configuration courante d'accès distant par VPN et par connexion d'accès à distance.

Composants d'une infrastructure RADIUS

Remarque

  • Cette rubrique traite uniquement de la configuration du service IAS. Elle ne décrit pas la configuration d'Active Directory, l'infrastructure de certificats avec cartes à puce, ni les serveurs VPN et d'accès à distance. Pour plus d'informations sur la procédure à suivre pour déployer ces composants, voir les rubriques d'aide appropriées.

Pour configurer le service IAS pour cet exemple, procédez comme suit :

  • Configurez Active Directory pour les comptes d'utilisateurs et les groupes.
  • Configurez le serveur IAS principal sur un contrôleur de domaine.
  • Configurez le serveur IAS secondaire sur un autre contrôleur de domaine.
  • Configurez l'authentification et la gestion de comptes RADIUS sur les serveurs VPN et d'accès à distance.

Configuration des comptes d'utilisateurs et des groupes

Pour configurer les comptes d'utilisateurs et les groupes, procédez comme suit :

  1. Assurez-vous que tous les utilisateurs établissant des connexions d'accès distant disposent d'un compte d'utilisateur correspondant. Cela inclut les employés, les sous-traitants, les fournisseurs et les partenaires professionnels.
  2. Définissez l'autorisation d'accès distant sur les comptes d'utilisateurs sur Autoriser l'accès ou Refuser l'accès afin de gérer l'accès réseau des utilisateurs. Ou bien, pour gérer l'accès réseau par groupe, définissez l'autorisation d'accès distant sur les comptes d'utilisateurs sur Contrôler l'accès via la Stratégie d'accès distant. Pour plus d'informations, voir Configurer une autorisation d'accès distant pour un utilisateur.
  3. Organisez les utilisateurs d'accès distant dans les groupes universels et imbriqués appropriés afin de pouvoir bénéficier des stratégies d'accès distant de groupe. Pour plus d'informations, voir Étendue du groupe.
  4. Si vous utilisez le protocole CHAP (Challenge-Handshake Authentication Protocol), activez la prise en charge des mots de passe cryptés réversibles dans les domaines appropriés. Pour plus d'informations, voir Activer les mots de passe à cryptage réversible dans un domaine.
  5. Si vous utilisez une authentification par certificats, configurez le domaine dont les ordinateurs serveurs IAS seront membres pour l'inscription automatique des certificats d'ordinateurs. Pour plus d'informations, voir Configurer l'allocation automatique de certificats à partir d'une Autorité de certification d'entreprise.

Configuration du serveur IAS principal sur un contrôleur de domaine

Pour configurer le serveur IAS principal sur un contrôleur de domaine, procédez comme suit :

  1. Sur le contrôleur de domaine, installez le service IAS en tant que composant de gestion de réseau optionnel. Pour plus d'informations, voir Installer le service IAS.
  2. Configurez l'ordinateur serveur IAS (le contrôleur de domaine) pour lire les propriétés des comptes d'utilisateurs dans le domaine. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory.
  3. Si le serveur IAS authentifie les tentatives de connexion pour les comptes d'utilisateurs dans d'autres domaines, vérifiez que ces domaines disposent d'une relation d'approbation bidirectionnelle avec le domaine auquel appartient l'ordinateur serveur IAS. Ensuite, configurez l'ordinateur serveur IAS pour lire les propriétés des comptes d'utilisateurs dans les autres domaines. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory. Pour plus d'informations sur les relations d'approbation, voir Direction de l'approbation. Si le serveur IAS authentifie les tentatives de connexion pour les comptes d'utilisateurs dans d'autres domaines, et que ces domaines ne disposent pas d'une relation d'approbation bidirectionnelle avec le domaine auquel appartient l'ordinateur serveur IAS, voir Authentification entre forêts.
  4. Activez l'enregistrement des événements de gestion de comptes et d'authentification dans un fichier. Pour plus d'informations, voir Configurer les propriétés du fichier journal.
  5. Si nécessaire, configurez des ports UDP supplémentaires pour les messages d'authentification et de gestion de comptes envoyés par les clients RADIUS. Pour plus d'informations, voir Configurer les informations de port IAS. Par défaut, le service IAS utilise les ports UDP 1812 et 1645 pour l'authentification et les ports 1813 et 1646 pour la gestion de comptes.
  6. Ajoutez les serveurs VPN et d'accès à distance en tant que clients RADIUS du serveur IAS. Pour plus d'informations, voir Ajouter des clients RADIUS. Assurez-vous de configurer correctement le nom ou l'adresse IP et les secrets partagés. Pour plus d'informations, voir Secrets partagés. Activez l'utilisation de l'attribut de l'authentificateur de message, mais uniquement lorsqu'il est aussi pris en charge par le client RADIUS.
  7. Créez des stratégies d'accès distant qui reflètent vos scénarios d'utilisation de l'accès distant.
    Par exemple, pour configurer une stratégie d'accès distant de façon à autoriser les membres du groupe Sous-traitants à se connecter à distance de 8 heures à 17 heures du lundi au vendredi, créez une stratégie d'accès distant personnalisée avec les paramètres suivants :
    • Nom de la stratégie : Connexions des sous-traitants
    • Conditions : Windows-Groups correspond à Sous-traitants
    • Autorisation : Accorder l'autorisation d'accès distant
    • Paramètres du profil, onglet Contraintes pour les appels entrants : Autoriser l'accès les jours suivants et à ces horaires uniquement est défini de 8:00 à 17:00, du lundi au vendredi. Autoriser l'accès uniquement via ces médias est défini sur Asynchrone (modem).
    Tous les autres paramètres sont réglés sur leur valeur par défaut.
  8. En guise d'autre exemple, pour configurer une stratégie d'accès distant qui exige des membres du groupe Employés qu'ils utilisent l'authentification par cartes à puce et le cryptage 128 bits, utilisez l'Assistant Nouvelle stratégie d'accès distant pour créer une stratégie VPN commune avec les paramètres suivants :
    • Nom de la stratégie : Connexions VPN
    • Méthode d'accès : Accès VPN
    • Utilisateur ou groupe : Sélectionnez Groupe, puis spécifiez le groupe Employés (exemple).
    • Méthodes d'authentification : Sélectionnez Carte à puce ou autre certificat, puis désactivez toutes les autres cases à cocher.
    • Niveau de cryptage de la stratégie : Activez la case à cocher Cryptage maximal, puis désactivez toutes les autres cases à cocher.
      Pour obtenir d'autres exemples de stratégies d'accès distant, voir Exemples de stratégies d'accès distant.
      Si vous avez créé des stratégies d'accès distant, supprimez la stratégie d'accès distant par défaut nommée Permet l'accès si l'autorisation d'entrée est activée ou déplacez-la de sorte qu'elle soit la dernière stratégie évaluée. Pour plus d'informations, voir Supprimer une stratégie d'accès distant et Modifier l'ordre d'évaluation de la stratégie.

Configuration du serveur IAS secondaire sur un autre contrôleur de domaine

Pour configurer le serveur IAS secondaire sur un autre contrôleur de domaine, procédez comme suit :

  1. Sur l'autre contrôleur de domaine, installez le service IAS en tant que composant de gestion de réseau optionnel. Pour plus d'informations, voir Installer le service IAS.
  2. Configurez l'ordinateur serveur IAS secondaire (l'autre contrôleur de domaine) pour lire les propriétés des comptes d'utilisateurs dans le domaine. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory.
  3. Si le serveur IAS secondaire authentifie les tentatives de connexion pour les comptes d'utilisateurs dans d'autres domaines, vérifiez que les autres domaines disposent d'une relation d'approbation bidirectionnelle avec le domaine auquel appartient l'ordinateur serveur IAS secondaire. Ensuite, configurez l'ordinateur serveur IAS secondaire pour lire les propriétés des comptes d'utilisateurs dans les autres domaines. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory. Pour plus d'informations sur les relations d'approbation, voir Direction de l'approbation.
    Si le serveur IAS secondaire authentifie les tentatives de connexion pour les comptes d'utilisateurs dans d'autres domaines, et que ces domaines ne disposent pas d'une relation d'approbation bidirectionnelle avec le domaine auquel appartient l'ordinateur serveur IAS secondaire, voir Authentification entre forêts.
    Pour obtenir d'autres exemples de stratégies d'accès distant, voir Exemples de stratégies d'accès distant.
    Si vous avez créé des stratégies d'accès distant, supprimez la stratégie d'accès distant par défaut nommée Permet l'accès si l'autorisation d'entrée est activée ou déplacez-la de sorte qu'elle soit la dernière stratégie évaluée. Pour plus d'informations, voir Supprimer une stratégie d'accès distant et Modifier l'ordre d'évaluation de la stratégie.
  4. Copiez la configuration du serveur IAS principal sur le serveur IAS secondaire. Pour plus d'informations, voir Copier la configuration IAS sur un autre serveur.

Configuration de l'authentification et de la gestion de comptes RADIUS sur les serveurs VPN et d'accès à distance

Pour configurer chaque serveur d'accès distant ou VPN de manière à utiliser les serveurs IAS principal et secondaire pour l'authentification, l'autorisation et la gestion de comptes des connexions d'accès distant, procédez comme suit :

  1. Si le serveur d'accès distant ou VPN est un ordinateur exécutant Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou Windows 2000 et le service de routage et d'accès distant, configurez les serveurs IAS principal et secondaire en tant que serveurs RADIUS pour l'authentification et la gestion de comptes RADIUS. Pour plus d'informations, voir Utiliser l'authentification RADIUS et Utiliser la gestion de comptes RADIUS.
  2. Si le serveur d'accès distant ou VPN est un ordinateur exécutant Windows NT Server 4.0 et le service de routage et d'accès distant (RRAS, Routing and Remote Access Service), voir l'aide en ligne de Windows NT Server 4.0 pour obtenir des informations sur la configuration des serveurs IAS principal et secondaire en tant que serveurs RADIUS pour l'authentification RADIUS.
  3. Si le serveur VPN ou d'accès à distance est un serveur d'accès réseau tiers, voir la documentation de ce dernier pour déterminer la procédure à suivre pour le configurer en tant que client RADIUS avec deux serveurs RADIUS (serveurs IAS principal et secondaire).
Contenu de la communauté   Qu'est-ce que le Contenu de la communauté ?
Ajouter du contenu RSS  Annotations
© 2009 Microsoft Corporation. Tous droits réservés. Conditions d'utilisation  |  Marques  |  Confidentialité
Page view tracker