Configurare i criteri di rete

È possibile usare questo argomento per configurare i criteri di rete in Server dei criteri di rete.

Aggiungere un criterio di rete

Server dei criteri di rete usa criteri di rete e le proprietà di accesso esterno degli account utente per determinare se una richiesta di connessione è autorizzata a connettersi alla rete.

È possibile usare questa procedura per configurare un nuovo criterio di rete nella console nps o nella console di Accesso remoto.

Esecuzione dell'autorizzazione

Se il server NPS esegue l'autorizzazione di una richiesta di connessione, confronta la richiesta con tutti i criteri di rete presenti nell'elenco ordinato dei criteri, a partire dal primo e passando via via ai criteri configurati successivi. Se il server NPS rileva dei criteri alle cui condizioni corrisponde la richiesta di connessione, NPS usa i criteri di corrispondenza e le proprietà di connessione dell'account utente per eseguire l'autorizzazione. Se si configurano le proprietà di connessione remota dell'account utente per concedere o controllare l'accesso tramite criteri di rete e la richiesta di connessione è autorizzata, il server NPS applica alla connessione le impostazioni configurate nei criteri di rete alla connessione.

Se server dei criteri di rete non trova un criterio di rete corrispondente alla richiesta di connessione, la richiesta di connessione viene rifiutata a meno che le proprietà di accesso esterno nell'account utente non siano impostate per concedere l'accesso.

Se le proprietà di connessione dell'account utente sono impostate in modo da negare l'accesso, la richiesta di connessione viene rifiutata da NPS.

Impostazioni chiave

Quando si usa la Creazione guidata criteri di rete per creare un criterio di rete, il valore specificato in Metodo di connessione di rete viene usato per configurare automaticamente la condizione Tipo di criterio:

  • Se si mantiene il valore predefinito Unspecified, i criteri di rete creati vengono valutati dal server dei criteri di rete per tutti i tipi di connessione di rete che usano qualsiasi tipo di server di accesso alla rete (NAS).
  • Se si specifica un metodo di connessione di rete, Server dei criteri di rete valuta i criteri di rete solo se la richiesta di connessione ha origine dal tipo di server di accesso alla rete specificato.

Nella pagina Autorizzazione di accesso, è necessario selezionare Accesso concesso se si desidera che i criteri consentano agli utenti di connettersi alla rete. Se si desidera che il criterio impedisca agli utenti di connettersi alla rete, selezionare Accesso negato.

Se si desidera determinare l'autorizzazione di accesso in base alle proprietà di accesso esterno dell'account utente in Active Directory® Domain Services (AD DS), è possibile selezionare la casella di controllo Accesso determinato dalle proprietà di connessione remota utente.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per aggiungere un criterio di rete

  1. Aprire la console dei criteri di rete e quindi fare doppio clic su Criteri.

  2. Nell'albero della console, fare clic con il pulsante destro del mouse su Criteri di rete e fare clic su Nuovo. Verrà visualizzata la procedura guidata nuovo criterio di rete.

  3. Utilizzare la procedura guidata Nuovi criteri di rete per creare un criterio.

Creare criteri di rete per la connessione remota o VPN con una procedura guidata

È possibile utilizzare questa procedura per creare criteri di richiesta di connessione e criteri di rete necessari per distribuire i server di connessione remota o i server di rete privata virtuale (VPN) come client Remote Authentication Dial-In User Service (RADIUS) al server RADIUS NPS.

Nota

I computer client, ad esempio computer laptop e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio, punti di accesso wireless, commutatori di autenticazione che supportano 802.1 X, server di rete privata virtuale (VPN) e server di connessione remota, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, come ad esempio i server dei criteri di rete.

Questa procedura illustra come aprire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

  • Un criterio di richiesta di connessione
  • In criterio di rete

È possibile eseguire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale ogni volta che si necessita di creare nuovi criteri per server di connessione remota e server VPN.

L'esecuzione della procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale non è l'unico passaggio necessario per distribuire server VPN o di connessione remota come client RADIUS al server dei criteri di rete. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare criteri di nuova connessione o VPN con procedura guidata

  1. Aprire la console NPS. Se non è già selezionato, fare clic su Server dei criteri di rete (locale). Se si desidera creare criteri in un NPS remoto, selezionare il server.

  2. In Introduzione e Configurazione Standard, selezionare Server RADIUS per connessioni remote o VPN. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

  3. Fare clic su Configura VPN o Connessione remota con procedura guidata. Si aprirà la procedura guidata Nuova connessione remota o Connessioni rete privata virtuale.

  4. Seguire le istruzioni della procedura guidata per completare la creazione dei nuovi criteri.

Creare criteri di rete per 802.1X cablata o wireless con una procedura guidata

È possibile utilizzare questa procedura per creare i criteri di richiesta di connessione e i criteri di rete necessari per distribuire i commutatori di autenticazione 802.1X o i punti di accesso wireless 802.1X come client RADIUS (Remote Authentication Dial-In User Service) nel server RADIUS Server dei criteri di rete.

Questa procedura illustra come avviare la procedura guidata Nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

  • Un criterio di richiesta di connessione
  • In criterio di rete

È possibile eseguire la procedura guidata per le nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless ogni volta che è necessario creare nuovi criteri per l'accesso 802.1X.

L'esecuzione della procedura guidata Nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless non è l'unico passaggio necessario per distribuire i commutatori di autenticazione 802.1X e i punti di accesso wireless come client RADIUS al server dei criteri di rete. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare i criteri per 802.1X cablato o wireless con procedura guidata

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .

  2. Se non è già selezionato, fare clic su Server dei criteri di rete (locale). Se si desidera creare criteri in un NPS remoto, selezionare il server.

  3. In Introduzione e Configurazione Standard, selezionare server RADIUS per connessioni cablate o Wireless 802.1 X. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

  4. Fare clic su Configura 802.1X con procedura guidata. Verrà visualizzata la procedura guidata Nuove connessioni IEEE 802.1X cablaggio sicuro e wireless.

  5. Seguire le istruzioni della procedura guidata per completare la creazione dei nuovi criteri.

Configurare Server dei criteri di rete per ignorare le proprietà di accesso esterno dell'account utente

Utilizzare questa procedura per configurare criteri di rete NPS per ignorare le proprietà di accesso esterno degli account utente in Active Directory durante il processo di autorizzazione. Gli account utente in Utenti e computer di Active Directory dispongono di proprietà di accesso esterno valutate da NPS durante il processo di autorizzazione, a meno che la proprietà Autorizzazione accesso alla rete dell'account utente non sia impostata su Controllare accesso tramite Criteri di rete NPS.

Esistono due circostanze in cui è possibile configurare Server dei criteri di rete per ignorare le proprietà di accesso esterno degli account utente in Active Directory:

  • Quando si desidera semplificare l'autorizzazione NPS tramite criteri di rete, ma non tutti gli account utente hanno la proprietà Autorizzazione di accesso alla rete impostata su Controllare l'accesso tramite criteri di rete NPS. Ad esempio, alcuni account utente potrebbero avere la proprietà Autorizzazione accesso rete dell'account utente impostata su Nega accesso o Concedi accesso.

  • Quando altre proprietà di accesso esterno degli account utente non sono applicabili al tipo di connessione configurato nei criteri di rete. Ad esempio, le proprietà diverse dall'impostazione Autorizzazione accesso rete sono applicabili solo alle connessioni con accesso esterno o VPN, ma i criteri di rete creati sono per connessioni wireless o autenticate.

È possibile utilizzare questa procedura per configurare Server dei criteri di rete per ignorare le proprietà di accesso esterno dell'account utente. Se una richiesta di connessione corrisponde ai criteri di rete in cui è selezionata questa casella di controllo, Server dei criteri di rete non utilizza le proprietà di accesso esterno dell'account utente per determinare se l'utente o il computer è autorizzato ad accedere alla rete; vengono usate solo le impostazioni nei criteri di rete per determinare l'autorizzazione.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .

  2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

  3. Nella finestra di dialogo dei criteri Proprietà, nella scheda Panoramica, in Autorizzazione accesso, selezionare la casella Ignora proprietà connessione remota account utente e fare clic su OK.

Per configurare NPS per ignorare le proprietà di connessione remota account utente

Configurare NPS per VLAN

Usando server di accesso alla rete compatibile con VLAN e NPS in Windows Server 2016, è possibile fornire ai gruppi di utenti l'accesso solo alle risorse di rete appropriate per le autorizzazioni di sicurezza. Ad esempio, è possibile fornire ai visitatori l'accesso wireless a Internet senza consentire loro l'accesso alla rete dell'organizzazione.

Inoltre, le VLAN consentono di raggruppare logicamente le risorse di rete presenti in posizioni fisiche diverse o in subnet fisiche diverse. Ad esempio, i membri del reparto vendite e le relative risorse di rete, ad esempio computer client, server e stampanti, potrebbero trovarsi in diversi edifici dell'organizzazione, ma è possibile inserire tutte queste risorse in una VLAN che usa lo stesso intervallo di indirizzi IP. La VLAN funziona quindi, dal punto di vista dell'utente finale, come una singola subnet.

È inoltre possibile usare la VLAN quando si desidera separare una rete tra gruppi diversi di utenti. Una volta determinato come definire i gruppi, è possibile creare gruppi di sicurezza nello snap-in Utenti e computer di Active Directory e aggiungere membri ai gruppi.

Configurare criteri di rete per le VLAN

È possibile usare questa procedura per configurare un criterio di rete che assegna gli utenti a una VLAN. Quando si usano hardware di rete compatibili con le VLAN, ad esempio router, commutatori e controller di accesso, è possibile configurare i criteri di rete per indicare ai server di accesso di posizionare i membri di gruppi di Active Directory specifici in VLAN specifiche. Questa possibilità di raggruppare le risorse di rete in modo logico con le VLAN offre flessibilità durante la progettazione e l'implementazione di soluzioni di rete.

Quando si configurano le impostazioni di un criterio di rete NPS da usare con VLAN, è necessario configurare gli attributi Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type e Tunnel-Tag.

Questa procedura viene fornita come linea guida; la configurazione di rete potrebbe richiedere impostazioni diverse rispetto a quelle descritte di seguito.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare un criterio di rete per le VLAN

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .

  2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

  3. Nella finestra di dialogo Proprietà, fare clic sulla scheda Accesso remoto via Internet.

  4. Nel criterio Proprietà, in Impostazioni, in Attributi RADIUS, assicurarsi che sia selezionato Standard.

  5. Nel riquadro dei dettagli, in Attributi, l'attributo Service-Type è configurato con un valore predefinito Framed. Per impostazione predefinita, per i criteri con metodi di accesso VPN e connessione remota, l'attributo Framed-Protocol viene configurato con un valore PPP. Per specificare attributi di connessione aggiuntivi necessari per le VLAN, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard.

  6. In Aggiungi attributo RADIUS standard, in Attributi, scorrere verso il basso e aggiungere gli attributi seguenti:

    • Tunnel-Medium-Type. Selezionare un valore appropriato per le selezioni precedenti effettuate per il criterio. Ad esempio, se i criteri di rete che si sta configurando sono criteri wireless, selezionare Valore: 802 (Include tutti i supporti 802 e il formato canonico Ethernet).

    • Tunnel-Pvt-Group-ID. Immettere l'intero che rappresenta il numero VLAN a cui verranno assegnati i membri del gruppo.

    • Tunnel-Type. Selezionare LAN virtuali (VLAN).

  7. In Aggiungi attributo RADIUS standard, fare clic su Chiudi.

  8. Se il server di accesso alla rete (NAS) richiede l'uso dell'attributo Tunnel-Tag, seguire questa procedura per aggiungere l'attributo Tunnel-Tag ai criteri di rete. Se la documentazione NAS non menziona questo attributo, non aggiungerlo ai criteri. Se necessario, aggiungere gli attributi come indicato di seguito:

    • Nel criterio Proprietà, in Impostazioni, in Attributi RADIUS, fare clic su Fornitore specifico.

    • Nel riquadro dei dettagli, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo specifico fornitore.

    • In Attributi, scorrere verso il basso e selezionare Tunnel-Tag, quindi fare clic su Aggiungi. Si aprirà la finestra di dialogo Informazioni attributo.

    • In Valore attributo, digitare il valore ottenuto dalla documentazione hardware.

Configurare le dimensioni payload EAP

In alcuni casi, i router o i firewall eliminano i pacchetti perché sono configurati per eliminare i pacchetti che richiedono la frammentazione.

Quando si distribuisce Server dei criteri di rete con criteri di rete che usano il protocollo EAP (Extensible Authentication Protocol) con Transport Layer Security (TLS) o EAP-TLS, come metodo di autenticazione, l'unità di trasmissione massima predefinita (MTU) usata dal server dei criteri di rete per i payload EAP è di 1500 byte.

Questa dimensione massima per il payload EAP può creare messaggi RADIUS che richiedono frammentazione da un router o un firewall tra server dei criteri di rete e un client RADIUS. In questo caso, un router o un firewall posizionato tra il client RADIUS e NPS potrebbero rimuovere automaticamente alcuni frammenti, causando un errore di autenticazione e l'impossibilità del client di accesso di connettersi alla rete.

Utilizzare la procedura seguente per ridurre le dimensioni massime usate da NPS per i payload EAP modificando l'attributo Framed-MTU in un criterio di rete su un valore diverso da 1344.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare l'attributo Framed-MTU

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .

  2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

  3. Nella finestra di dialogo Proprietà, fare clic sulla scheda Accesso remoto via Internet.

  4. In Impostazioni, in Attributi RADIUS, fare clic su Standard. Nel riquadro dei dettagli, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard.

  5. In Attributi, scorrere verso il basso e fare clic su Framed-MTU, fare clic su Aggiungi. Si aprirà la finestra di dialogo Informazioni attributo.

  6. In Valore attributo, digitare un valore pari a o minore di 1344. Fare clic su OK, poi su Chiudi e poi fare clic su OK.

Per maggiori informazioni sui criteri di rete, consultare la sezione Criteri di rete.

Per esempi di sintassi di criteri di ricerca per specificare gli attributi dei criteri di rete, consultare la sezione Usare espressioni regolari in NPS.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).