Vue d’ensemble des services de stratégie et d’accès réseau

Lorsque vous installez des services de stratégie et d’accès réseau, les services de rôle suivants sont disponibles :

• Serveur de stratégie réseau (NPS). Le serveur NPS (Network Policy Server) est l’implémentation Microsoft d’un serveur et d’un proxy RADIUS. Le serveur NPS vous permet de gérer de manière centralisée les accès au réseau à l’aide de différents serveurs d’accès réseau, y compris des points d’accès sans fil, des serveurs VPN, des serveurs d’accès à distance et des commutateurs d’authentification 802.1X. Par ailleurs, le serveur NPS permet de déployer l’authentification par mot de passe sécurisé à l’aide du protocole PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 pour les connexions sans fil. Le serveur NPS contient des éléments clés pour déployer la protection d’accès réseau (NAP) sur votre réseau.
  
  Les technologies suivantes peuvent être déployées après l’installation du service de rôle NPS :
  
  
  • Serveur de stratégie de contrôle d’intégrité NAP. Lorsque vous configurez le serveur NPS en tant que serveur de stratégie de contrôle d’intégrité NAP, il évalue les déclarations d’intégrité (SoH) envoyées par les ordinateurs clients compatibles avec la protection d’accès réseau (NAP) qui souhaitent communiquer sur le réseau. Vous pouvez configurer des stratégies NAP sur le serveur NPS qui permettent à des ordinateurs clients de mettre à jour leur configuration pour devenir compatibles avec la stratégie réseau de votre organisation.
    
    
  • Connexion sans fil IEEE 802.11. Le composant logiciel enfichable MMC NPS vous permet de configurer des stratégies de demande de connexion 802.1X pour l’accès au réseau client sans fil IEEE 802.11. Vous pouvez également configurer des points d’accès sans fil en tant que clients RADIUS (Remote Authentication Dial-In User Service) dans NPS, et utiliser NPS en tant que serveur RADIUS pour traiter les demandes de connexion, ainsi que pour effectuer les processus d’authentification, d’autorisation et de gestion des comptes pour les connexions sans fil 802.11. Vous pouvez entièrement intégrer l’accès sans fil IEEE 802.11 à la protection d’accès réseau (NAP) lorsque vous déployez une infrastructure d’authentification 802.1X sans fil afin que l’état d’intégrité des clients sans fil soit vérifié par rapport à la stratégie de contrôle d’intégrité avant que les clients ne soient autorisés à se connecter au réseau.
    
    
  • Connexion câblée IEEE 802.3. Le composant logiciel enfichable MMC NPS vous permet de configurer des stratégies de demande de connexion 802.1X pour l’accès au réseau Ethernet client câblé IEEE 802.3. Vous pouvez également configurer des commutateurs compatibles 802.1X en tant que clients RADIUS dans NPS, et utiliser NPS en tant que serveur RADIUS pour traiter les demandes de connexion, ainsi que pour effectuer les processus d’authentification, d’autorisation et de gestion des comptes pour les connexions Ethernet 802.3. Vous pouvez entièrement intégrer l’accès client câblé IEEE 802.3 à la protection d’accès réseau (NAP) lorsque vous déployez une infrastructure d’authentification câblée 802.1X.
    
    
  • Serveur RADIUS. Le serveur NPS effectue de façon centralisée les processus d’authentification, d’autorisation et de gestion des comptes pour les connexions sans fil, par commutateur d’authentification, par accès à distance et VPN. Lorsque vous utilisez NPS en tant que serveur RADIUS, vous configurez des serveurs d’accès réseau, tels que des points d’accès sans fil et des serveurs VPN, en tant que clients RADIUS dans NPS. Vous configurez également des stratégies réseau que NPS utilise pour autoriser les demandes de connexion, et vous pouvez configurer la gestion de comptes RADIUS de manière à ce que NPS enregistre les informations de gestion dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft® SQL Server™.
    
    
  • Proxy RADIUS. Lorsque vous utilisez NPS en tant que proxy RADIUS, vous configurez des stratégies de demande de connexion qui indiquent au serveur NPS les demandes de connexion à transmettre et les serveurs RADIUS auxquels vous souhaitez transmettre ces demandes. Vous pouvez également configurer le serveur NPS pour qu’il transfère les données de gestion qui doivent être enregistrées par un ou plusieurs ordinateurs dans un groupe de serveurs RADIUS distants.
    
    
• Routage et accès à distance. Le service Routage et accès à distance vous permet de déployer des services VPN et d’accès réseau à distance et le multi-protocole LAN-to-LAN, LAN-to-WAN, les réseaux privés virtuels (VPN) et les services de routage de traduction d’adresse réseau (NAT).
  
  Les technologies suivantes peuvent être déployées lors de l’installation du service de rôle Routage et accès à distance :
  
  
  • Service d’accès à distance. Le service Routage et accès à distance vous permet de déployer des connexions VPN PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) avec IPsec (Internet Protocol security) pour fournir à l’utilisateur final un accès à distance au réseau de votre organisation. Vous pouvez également créer une connexion VPN de site à site entre deux serveurs situés à différents emplacements. Chaque serveur est configuré à l’aide du service Routage et accès à distance pour envoyer des données privées de manière sécurisée. La connexion entre les deux serveurs peut être permanente (toujours activée) ou sur demande (connexion à la demande).
    
    L’accès à distance fournit également l’accès à distance classique pour prendre en charge les utilisateurs distants ou à domicile qui se connectent aux intranets des organisations. L’équipement d’accès à distance installé sur le serveur exécutant le service Routage et accès à distance répond aux demandes de connexion entrantes des clients d’accès réseau à distance. Le serveur d’accès à distance répond à l’appel, authentifie et autorise l’appelant et transfère les données entre le client d’accès réseau à distance et l’intranet de l’organisation.
    
    
  • Routage. Le routage fournit un routeur logiciel complet et une plateforme ouverte pour le routage et l’interconnexion. Il offre des services de routage aux entreprises situées dans des environnements de réseau local (LAN, Local Area Network) et de réseau étendu (WAN, Wide Area Network).
    
    Lorsque vous déployez le traducteur d’adresses réseau (NAT), le serveur Routage et accès à distance est configuré de façon à partager une connexion Internet avec des ordinateurs sur le réseau privé et à traduire le trafic entre son adresse publique et le réseau privé. La traduction d’adresses réseau procure aux ordinateurs du réseau privé une mesure de protection car le routeur configuré avec NAT ne transfère pas le trafic Internet vers le réseau privé à moins qu’un client du réseau privé ne l’ait demandé ou que le trafic n’ait fait l’objet d’une autorisation explicite.
    
    Si vous déployez VPN et NAT, le serveur Routage et accès à distance est configuré de façon à fournir la traduction NAT au réseau privé et à accepter les connexions VPN. Les ordinateurs sur Internet ne seront pas en mesure de déterminer les adresses IP des ordinateurs sur le réseau privé. Toutefois, les clients VPN pourront se connecter aux ordinateurs du réseau privé comme s’ils étaient connectés physiquement au même réseau.
    
    
• Autorité HRA (Health Registration Authority). L’Autorité HRA (Health Registration Authority) est un composant NAP qui émet des certificats d’intégrité aux clients qui passent la vérification de stratégie de contrôle d’intégrité exécutée par le serveur NPS à l’aide des déclarations d’intégrité (SoH) des clients. L’Autorité HRA (Health Registration Authority) s’utilise uniquement avec la méthode d’application IPsec NAP.
  
  
• HCAP (Host Credential Authorization Protocol). Le protocole HCAP vous permet d’intégrer votre solution NAP Microsoft au serveur de contrôle d’accès réseau Cisco. Lorsque vous déployez le protocole HCAP avec le serveur NPS et la protection d’accès réseau, le serveur NPS peut prendre en charge l’évaluation de l’intégrité des clients et l’autorisation des clients d’accès 802.1X Cisco.
  
  

Les outils suivants sont fournis pour gérer le rôle de serveur Services de stratégie et d’accès réseau :

• Composant logiciel enfichable MMC NPS. Le composant logiciel enfichable MMC NPS permet de configurer un serveur RADIUS, un proxy RADIUS ou la technologie NAP.
  
  
• Commandes Netsh pour NPS. Les commandes Netsh pour NPS fournissent un jeu de commandes en tout point équivalent aux paramètres de configuration disponibles via le composant logiciel enfichable MMC NPS. Les commandes Netsh peuvent être exécutées manuellement à l’invite Netsh ou dans des scripts d’administrateur.
  
  
• Composant logiciel enfichable MMC HRA. Le composant logiciel enfichable MMC HRA permet de désigner l’autorité de certification utilisée par l’autorité HRA pour obtenir des certificats d’intégrité pour les ordinateurs clients et définir le serveur NPS auquel l’autorité HRA envoie les déclarations d’intégrité (SoH) des clients afin qu’elles soient vérifiées par rapport à la stratégie de contrôle d’intégrité.
  
  
• Commandes Netsh pour HRA. Les commandes Netsh pour HRA fournissent un jeu de commandes en tout point équivalent aux paramètres de configuration disponibles via le composant logiciel enfichable MMC HRA. Les commandes Netsh peuvent être exécutées manuellement à l’invite Netsh ou dans des scripts créés par les administrateurs.
  
  
• Composant logiciel enfichable MMC Gestion des clients NAP. Le composant logiciel enfichable MMC Gestion des clients NAP permet de configurer des paramètres de sécurité et des paramètres d’interface utilisateur sur des ordinateurs clients qui prennent en charge l’architecture NAP.
  
  
• Commandes Netsh pour la configuration des paramètres du client NAP. Les commandes Netsh pour les paramètres du client NAP fournissent un jeu de commandes en tout point équivalent aux paramètres de configuration disponibles via le composant logiciel enfichable Gestion des clients NAP. Les commandes Netsh peuvent être exécutées manuellement à l’invite Netsh ou dans des scripts créés par les administrateurs.
  
  
• Composant logiciel enfichable MMC Routage et accès à distance. Ce composant logiciel enfichable MMC permet de configurer un serveur VPN, une serveur d’accès réseau à distance, un routeur, la traduction d’adresses réseau (NAT), des réseaux privés virtuels (VPN) et la traduction d’adresses réseau (NAT) ou une connexion de site à site VPN.
  
  
• Commandes Netsh pour l’accès à distance. Les commandes Netsh pour l’accès à distance fournissent un jeu de commandes en tout point équivalent aux paramètres de configuration d’accès à distance disponibles via le composant logiciel enfichable MMC Routage et accès à distance. Les commandes Netsh peuvent être exécutées manuellement à l’invite Netsh ou dans des scripts d’administrateur.
  
  
• Commandes Netsh pour le routage. Les commandes Netsh pour le routage fournissent un jeu de commandes en tout point équivalent aux paramètres de configuration de routage disponibles via le composant logiciel enfichable MMC Routage et accès à distance. Les commandes Netsh peuvent être exécutées manuellement à l’invite Netsh ou dans des scripts d’administrateur.
  
  
• Stratégies de réseau sans fil (IEEE 802.11) - Console de gestion des stratégies de groupe (GPMC). L’extension Stratégies de réseau sans fil (IEEE 802.11) automatise la configuration des paramètres réseau sans fil sur les ordinateurs dotés de pilotes de carte réseau sans fil qui prennent en charge le service de configuration automatique LAN sans fil (service de configuration automatique WLAN). Vous pouvez utiliser l’extension Stratégies de réseau sans fil (IEEE 802.11) dans la console de gestion des stratégies de groupe pour spécifier les paramètres de configuration des clients sans fil Windows XP et/ou Windows Vista. Les extensions de stratégie de groupe Stratégies de réseau sans fil (IEEE 802.11) incluent des paramètres sans fil globaux, la liste des réseaux favoris, des paramètres WPA (Wi-Fi Protected Access) et des paramètres IEEE 802.1X.
  
  Une fois configurés, les paramètres sont téléchargés sur les clients sans fil Windows membres du domaine. Les paramètres sans fil configurés par cette stratégie font partie de la stratégie de groupe Configuration de l’ordinateur. Par défaut, les stratégies de réseau sans fil (IEEE 802.11) ne sont pas configurées ni activées.
  
  
• Commandes Netsh pour le réseau local sans fil (WLAN). Vous pouvez utiliser la commandes Netsh WLAN au lieu de la stratégie de groupe pour configurer des paramètres de connectivité et de sécurité sans fil Windows Vista. Les commandes Netsh wlan vous permettent de configurer l’ordinateur local ou plusieurs ordinateurs à l’aide d’un script d’ouverture de session. Vous pouvez également utiliser les commandes Netsh wlan pour afficher les paramètres de stratégie de groupe sans fil et administrer les paramètres WISP (Wireless Internet Service Provider) et les paramètres utilisateur sans fil.
  
  L’interface Netsh sans fil offre les avantages suivants :
  
  
  • Prise en charge du mode mixte : Permet aux administrateurs de configurer des clients pour qu’ils prennent en charge plusieurs options de sécurité. Par exemple, un client peut être configuré pour prendre en charge les standards d’authentification WPA2 et WPA. Le client peut ainsi utiliser WPA2 pour se connecter à des réseaux qui prennent en charge le standard WPA2 et WPA pour se connecter à des réseaux qui prennent uniquement en charge le standard WPA.
    
    
  • Blocage des réseaux indésirables : Les administrateurs peuvent bloquer des réseaux sans fil n’appartenant pas à l’entreprise et masquer leur accès en ajoutant des réseaux ou des types de réseaux à la liste des réseaux refusés. De la même manière, les administrateurs peuvent autoriser l’accès à des réseaux sans fil d’entreprise.
    
    
• Stratégies de réseau câblé (IEEE 802.3) - Console de gestion des stratégies de groupe (GPMC). Les stratégies de réseau câblé (IEEE 802.3) permettent de spécifier et de modifier les paramètres de configuration des clients Windows Vista équipés de cartes et de pilotes réseau qui prennent en charge le service de configuration automatique de réseau câblé. Les extensions de stratégie de groupe Stratégies de réseau sans fil (IEEE 802.11) incluent des paramètres de réseau câblé globaux et IEEE 802.1X. Ces paramètres incluent l’ensemble des éléments de configuration câblés associés aux onglets Général et Sécurité.
  
  Une fois configurés, les paramètres sont téléchargés sur les clients sans fil Windows membres du domaine. Les paramètres sans fil configurés par cette stratégie font partie de la stratégie de groupe Configuration de l’ordinateur. Par défaut, les stratégies de réseau câblé (IEEE 802.3) ne sont pas configurées ni activées.
  
  
• Commandes Netsh pour le réseau local (LAN) câblé. Vous pouvez utiliser l’interface Netsh LAN au lieu de la stratégie de groupe dans Windows Server 2008 pour configurer des paramètres de connectivité et de sécurité de réseau câblé Windows Vista. Vous pouvez utiliser la commande Netsh LAN pour configurer l’ordinateur local, ou les commandes dans des scripts d’ouverture de session pour configurer plusieurs ordinateurs. Les commandes Netsh lan permettent également d’afficher les stratégies de réseau câblé (IEEE 802.3) et d’administrer les paramètres de réseau câblé 1x client.
  
  

Pour en savoir plus sur les services de stratégie et d’accès réseau, ouvrez l’un des composants logiciels enfichables MMC suivants, puis appuyez sur F1 pour afficher l’aide :

• Composant logiciel enfichable MMC NPS
  
  
• Composant logiciel enfichable MMC Routage et accès à distance
  
  
• Composant logiciel enfichable MMC HRA