Vous êtes sur la page 1sur 16

Installation, configuration et

résolution des problèmes du


rôle de serveur NPS
Serveur NPS

• NPS (Network Policy Server) est un rôle serveur qui permet de configurer

et gérer de manière centralisée l’authentification d’accès réseau,

l’autorisation et les stratégies de contrôle d’intégrité des clients .

• il peut être configuré comme:

– serveur RADIUS ;

– proxy RADIUS ;

– serveur de stratégie NAP.


Serveur NPS
• NPS en tant que serveur RADIUS
– Le serveur NPS est l’implémentation Microsoft d’un serveur RADIUS.
– Il gère de manière centralisée, des opérations d’authentification, d’autorisation et de
gestion des comptes pour :
o les connexions d’accès à distance et VPN,
o les connexions sans fil et reposant sur des commutateurs d’authentification.
– Lorsque le service NPS est utilisé en tant que serveur RADIUS, vous devez :
o Configurer des serveurs d’accès réseau (tels que des points d’accès sans fil et des
serveurs VPN) en tant que clients RADIUS dans le service NPS.
o Configurer des stratégies réseau dont le serveur NPS se sert pour autoriser les
demandes de connexion.
– Quand un serveur NPS est membre d’un domaine des services de domaine Active
Directory® (AD DS), NPS utilise AD DS comme base de données de comptes d’utilisateurs
Serveur NPS
• NPS en tant que proxy RADIUS
– Dans ce cas le serveur NPS transmet les demandes de connexion à un serveur NPS
ou à d’autres serveurs RADIUS que vous configurez dans des groupes de serveurs
RADIUS distants.
– Un proxy RADIUS est requis pour :

o Authentifier et autoriser les comptes d'utilisateurs


qui ne sont pas des membres Active Directory,
o Authentifier et autoriser les utilisateurs en utilisant
une base de données qui n'est pas une base de données de comptes Windows
o Équilibrer la charge des demandes de connexion entre
plusieurs serveurs RADIUS
o …
Serveur NPS

• NPS en tant que serveur de stratégie NAP

– Dans ce cas le serveur NPS évalue les déclarations d’intégrité envoyées par les ordinateurs clients afin de

leur permettre ou non l’accès au réseau selon leur état de santé.

– les stratégies NAP peuvent contenir :

o les programmes de validation d’intégrité système,

o la stratégie de contrôle d’intégrité

o les groupes de serveurs de mise à jour.

– Les stratégies de contrôle d’intégrité peuvent inclure les logiciels requis, les mises à jour de sécurité

requises et les paramètres de configuration requis.


Outils de configuration d'un serveur NPS

La gestion d'un serveur NPS peut se faire en utilisant :

– Composant logiciel enfichable MMS (Microsoft Management Console)

Serveur NPS

– Outil en ligne de commande netsh :

– Windows PowerShell
Les clients RADIUS

• Les clients RADIUS sont des serveurs d'accès réseau, par exemple :

– Points d'accès sans fil

– Commutateurs d'authentification 802.1x

– Serveurs VPN

– Serveurs d'accès à distance

• Les clients RADIUS envoient des demandes de connexion et des messages de

comptes aux serveurs RADIUS pour l'authentification, l'autorisation et la gestion

de comptes
Stratégies de demande de connexion
• Les stratégies de demande de connexion permettent de spécifeir si les demandes

d’authentification et d’autorisation seront traitées en local ( NPS en tant que


serveur RADIUS) ou par un autre serveur (NPS en tant que proxy RADIUS) , selon un
grand choix de facteurs, notamment :
o le nom de domaine dans la
demande de connexion ;
o le type de connexion que vous
demandez ;
o L’adresse IP du client RADIUS.

• La stratégie de demande de connexion

par défaut utilise le serveur NPS en tant


que serveur RADIUS.
Configuration du traitement des demandes
de connexion
Lorsque vous configurez le traitement des demandes de connexion, prenez en compte les éléments
suivants :
• Pour configurer un serveur NPS pour agir en tant que proxy RADIUS :
o Configurer un groupe de serveurs RADIUS distants,

o Ajouter une nouvelle stratégie de demande de connexion qui spécifie les conditions et les
paramètres auxquels doivent satisfaire les demandes de connexion.
• Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS et en tant que proxy
RADIUS (pour certaines demandes de connexion) :
o Ajoutez une nouvelle stratégie,

o Vérifiez que la stratégie de demande de connexion par défaut est la dernière stratégie
traitée.
• Par défaut, le serveur NPS écoute le trafic RADIUS sur les ports 1812, 1813, 1645 et 1646 pour le
protocole IPv6 et IPv4 sur toutes les cartes réseau installées.
Méthodes d’authentification NPS

• Lorsque des utilisateurs tentent de se connecter à votre réseau par l’intermédiaire

de serveurs d’accès réseau (aussi appelés clients RADIUS), tels que des points

d’accès sans fil, des commutateurs d’authentification 802.1X, des serveurs d’accès

à distance et des serveurs VPN, le serveur NPS authentifie et autorise la demande

de connexion avant d’autoriser ou de refuser l’accès.

• L’authentification est le processus permettant de vérifier l’identité de l’utilisateur

ou de l’ordinateur qui essaie de se connecter au réseau. Elle peut se basé soit sur :

– des mots de passe

– Des certificat
Méthodes d’authentification NPS

– L’authentification par mot passe utilise les protocoles :

1. EAP (Extensible Authentification Protocol)


2. MS-CHAP v2
3. MS-CHAP
4. CHAP (Challenge Handshake Authentication Protocol)
5. SPAP (Shiva Password Authentication Protocol)
6. PAP (Password Authentication Protocol)
– Des certificats : ils fournissent une sécurité forte pour authentifier les
utilisateurs et les ordinateurs, et vous évitent d’avoir recours à des méthodes
d’authentification basées sur un mot de passe moins sécurisées.
les stratégies réseau
les stratégies réseau

• Les stratégies réseau déterminent si une tentative de connexion aboutit

ou non.

• Si la tentative de connexion aboutit, la stratégie réseau définit également

des caractéristiques de connexion :

– les restrictions de jour et d’heure,

– les déconnexions de session en cas d’inactivité

– …
les stratégies réseau

Une stratégie réseau est ensemble de :

• Conditions

• Contraintes

• Paramètres

Permettent de désigner les personnes autorisées à se connecter au réseau et

les circonstances dans lesquelles elles peuvent, ou non, se connecter.


Propriétés des stratégies réseau
• Les stratégies réseau sont définies au niveau du serveur NPS
• Chaque stratégie réseau possède quatre catégories de propriétés :
– Vue d’ensemble :
o spécifier si la stratégie est activée ou non
o Si la stratégie accorde ou refuse l’accès
o si les propriétés de numérotation des comptes d’utilisateurs dans AD DS doivent être
ignorées.
– Conditions :
o spécifier les conditions que la demande de connexion doit réunir pour être conforme à la
stratégie réseau
– Contraintes :
o paramètres supplémentaires auxquels les demandes de connexion doivent se conformer.
Si une demande de connexion ne répond pas à une contrainte, le serveur NPS rejette
automatiquement cette demande
– Paramètres :
o spécifier les paramètres que le serveur NPS applique à la demande de connexion dès lors
que toutes les conditions de la stratégie réseau sont réunies et que la demande est
acceptée.
Traitement des stratégies réseau
• Lorsque vous configurez plusieurs stratégies réseau sur le serveur NPS, elles

constituent un jeu ordonné de règles. Le serveur NPS vérifie chaque demande de

connexion par rapport à la première règle de la liste, puis à la deuxième, et ainsi

de suite, jusqu’à ce qu’une correspondance soit trouvée.

• Une fois qu’une règle de correspondance est trouvée, les autres règles sont

ignorées.

Remarque : Les stratégies par défaut du serveur NPS bloquent l’accès au réseau. Une

fois vos propres stratégies créées, vous devez modifier la priorité, désactiver ou

supprimer ces stratégies par défaut.

Vous aimerez peut-être aussi