L'imposizione di Protezione accesso alla rete per reti private virtuali (VPN) viene distribuita mediante un componente server di imposizione VPN e un componente client di imposizione VPN. Utilizzando questo metodo di imposizione, i server VPN possono imporre il criterio di integrità quando i computer client tentano di connettersi alla rete utilizzando una connessione VPN. L'imposizione VPN garantisce un accesso alla rete sicuro con restrizioni per tutti i computer che accedono alla rete tramite una connessione VPN.

Nota

L'imposizione VPN si differenzia da Controllo quarantena accesso alla rete, una funzionalità di Windows Server® 2003 e Internet Security and Acceleration (ISA) Server 2004.

Requisiti

Per distribuire Protezione accesso alla rete con VPN, è necessario configurare gli elementi seguenti:

  • Installare e configurare il servizio Routing e Accesso remoto come server VPN. Configurare il server che esegue Server dei criteri di rete come server RADIUS (Remote Authentication Dial-In User Service) primario in Routing e Accesso remoto.

  • In Server dei criteri di rete configurare i server VPN come client RADIUS. Configurare inoltre il criterio di richiesta di connessione, i criteri di rete e il criterio di integrità di Protezione accesso alla rete. È possibile configurare questi criteri singolarmente, utilizzando la console Server dei criteri di rete, oppure utilizzare la procedura guidata Nuovi criteri di Protezione accesso alla rete.

  • Abilitare i client di accesso remoto e di imposizione EAP di Protezione accesso alla rete in computer client idonei per Protezione accesso alla rete.

  • Abilitare il servizio Protezione accesso alla rete in computer client idonei per Protezione accesso alla rete.

  • Configurare Convalida integrità sicurezza di Windows o installare e configurare altre istanze di Agente integrità sistema e Convalida integrità sistema in base alla distribuzione di Protezione accesso alla rete eseguita.

  • Se si utilizza PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) o EAP-TLS con smart card o certificati, distribuire un'infrastruttura a chiave pubblica (PKI) con Servizi certificati Active Directory®.

  • Se si utilizza PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), emettere i certificati server con Servizi certificati Active Directory oppure acquistare certificati server da un'Autorità di certificazione (CA) radice attendibile.

Ulteriori considerazioni

Se si distribuisce il metodo di imposizione di Protezione accesso alla rete VPN e l'imposizione di Protezione accesso alla rete è stata configurata con l'opzione Consenti accesso completo alla rete per un periodo di tempo limitato, i client VPN connessi alla rete quando viene raggiunta l'ora di scadenza verranno disconnessi automaticamente, indipendentemente dal fatto che siano conformi o non conformi al criterio di integrità.

Dopo la data e l'ora di scadenza, i client VPN non conformi al criterio di integrità che tenteranno di connettersi alla rete verranno inseriti in una rete con restrizioni, mentre ai client conformi verrà concesso l'accesso completo alla rete.

Argomenti della Guida