La mise en conformité NAP (Network Access Protection) pour les connexions VPN (Virtual Private Network) est déployée avec un composant serveur de contrainte VPN et un composant client de contrainte VPN. Grâce à cette méthode de contrainte, les serveurs VPN peuvent appliquer une stratégie de contrôle d’intégrité lorsque des ordinateurs clients tentent de se connecter au réseau par le biais d’une connexion VPN. La contrainte VPN fournit un accès réseau fortement limité pour tous les ordinateurs qui accèdent au réseau à l’aide d’une connexion VPN.

Remarques

La contrainte VPN est différente du contrôle de quarantaine d’accès réseau, qui est une fonctionnalité de Windows Server® 2003 et d’Internet Security and Acceleration (ISA) Server 2004.

Configuration requise

Pour déployer NAP avec VPN, vous devez configurer les éléments suivants :

  • Installez et configurez le service Routage et accès à distance en tant que serveur VPN. Configurez le serveur exécutant NPS (Network Policy Server) comme serveur RADIUS (Remote Authentication Dial-In User Service) principal dans Routage et accès à distance.

  • Dans NPS, configurez les serveurs VPN comme clients RADIUS. Configurez également la stratégie de demande de connexion, la stratégie réseau et la stratégie de contrôle d’intégrité NAP. Vous pouvez configurer ces stratégies individuellement à l’aide de la console NPS, ou utiliser l’Assistant Nouvelles stratégies de protection d’accès réseau.

  • Activez les clients de contrainte de mise en conformité NAP pour EAP et accès à distance sur les ordinateurs clients compatibles avec la protection d’accès réseau (NAP).

  • Activez le service NAP sur les ordinateurs clients compatibles avec la protection d’accès réseau (NAP).

  • Configurez le Validateur d’intégrité de la sécurité Windows ou installez et configurez d’autres agents d’intégrité système et programmes de validation d’intégrité système, en fonction de votre déploiement NAP.

  • Si vous utilisez PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) ou EAP-TLS avec des cartes à puce ou des certificats, déployez une infrastructure à clé publique (PKI) avec les services de certificats Active Directory® (AD CS).

  • Si vous utilisez PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), émettez des certificats de serveurs avec services de certificats Active Directory ou achetez des certificats de serveurs auprès d’une autorité de certification racine de confiance.

Considérations supplémentaires

Si vous déployez la méthode de contrainte de mise en conformité NAP pour VPN après avoir configuré la contrainte de mise en conformité NAP avec l’option Autoriser un accès complet au réseau pour une durée limitée, tous les clients VPN encore connectés au réseau quand l’heure d’expiration est atteinte sont déconnectés même s’ils sont conformes à la stratégie de contrôle d’intégrité.

Une fois la date et l’heure d’expiration passées, les clients VPN qui tentent de se connecter au réseau sont placés dans un réseau restreint s’ils ne sont pas conformes à la stratégie de contrôle d’intégrité, tandis que les clients conformes bénéficient d’un accès complet au réseau.

Table des matières