Esercitazione: Distribuire una VPN Always On - Configurare l'infrastruttura per la VPN Always On
In questa esercitazione si apprenderà come distribuire connessioni delle VPN Always On per computer client Windows aggiunti a un dominio remoto. Si creerà un'infrastruttura di esempio che illustra come implementare un processo di connessione di VPN Always On. Questo processo prevede i passaggi seguenti:
Il client VPN Windows usa un server DNS pubblico per eseguire una query di risoluzione dei nomi per l'indirizzo IP del gateway VPN.
Il client VPN usa l'indirizzo IP restituito da DNS per inviare una richiesta di connessione al gateway VPN.
Il server VPN è configurato anche come client Remote Authentication Dial-In User Service (RADIUS); Il client RADIUS VPN invia la richiesta di connessione al server dei criteri di rete per l'elaborazione delle richieste di connessione.
Il server dei criteri di rete elabora la richiesta di connessione, inclusa l'esecuzione dell'autorizzazione e dell'autenticazione, e determina se consentire o rifiutare la richiesta di connessione.
Il server dei criteri di rete inoltra una risposta Access-Accept o Access-Deny al server VPN.
La connessione viene avviata o terminata in base alla risposta che il server VPN ha ricevuto dal server NPS.
Prerequisiti
Per completare i passaggi di questa esercitazione
Sarà necessario accedere a quattro computer fisici o macchine virtuali.
Assicurarsi che l'account utente in tutti i computer faccia parte di Amministratorio equivalente.
Importante
L'uso dell'accesso remoto in Microsoft Azure, tra cui VPN di accesso remoto e DirectAccess, non è supportato. Per altre informazioni, vedere Supporto del software server Microsoft per le macchine virtuali di Microsoft Azure.
Creare il controller di dominio
Installare Windows Server nel computer che eseguirà il controller di dominio.
Installare Active Directory Domain Services (AD DS). Per informazioni dettagliate su come installare AD DS, vedere Installare Active Directory Domain Services.
Alzare di livello Windows Server a controller di dominio. Per questa esercitazione si creeranno una nuova foresta e il dominio in tale nuova foresta. Per informazioni dettagliate su come installare il controller di dominio, vedere Installazione di AD DS.
Installare e configurare l'autorità di certificazione (CA) nel controller di dominio. Per informazioni dettagliate su come installare la CA, vedere Installare l'autorità di certificazione.
Creare criteri di gruppo Active Directory
In questa sezione si creeranno criteri di gruppo nel controller di dominio in modo che i membri del dominio richiedano automaticamente i certificati utente e computer. Questa configurazione consente agli utenti VPN di richiedere e recuperare i certificati utente che autenticano automaticamente le connessioni VPN. Inoltre questo criterio consente al server dei criteri di rete di richiedere automaticamente i certificati di autenticazione del server.
Nel controller di dominio aprire Gestione Criteri di gruppo.
Nel riquadro sinistro fare clic con il pulsante destro del mouse sul dominio, ad esempio corp.contoso.com. Selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.
Nella finestra di dialogo Nuovo oggetto Criteri di gruppo per Nome immettere Criteri per la registrazione automatica. Selezionare OK.
Nel riquadro sinistro fare clic con il pulsante destro del mouse su Criteri per la registrazione automatica. Selezionare Modifica per aprire Editor Gestione Criteri di gruppo.
Nell'Editor Gestione Criteri di gruppo completare i passaggi seguenti per configurare la registrazione automatica dei certificati del computer:
Nel pannello sinistro andare su Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri chiave pubblica.
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client Servizi certificati - Registrazione automatica. Selezionare Proprietà.
Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica per Modello di configurazione selezionare Abilitato.
Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.
Selezionare OK.
Nell'Editor Gestione Criteri di gruppo completare i passaggi seguenti per configurare la registrazione automatica dei certificati dell'utente:
Nel pannello sinistro andare su Configurazione utente>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri chiave pubblica.
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client servizi certificati - Registrazione automatica e selezionare Proprietà.
Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica in Modello di configurazione selezionare Abilitato.
Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.
Selezionare OK.
Chiudere Editor Gestione Criteri di gruppo.
Chiudere Gestione Criteri di gruppo.
Creare il server dei criteri di rete
Installare Windows Server nel computer che eseguirà il server dei criteri di rete.
Nel server NPS installare il ruolo Criteri di rete e Servizi di accesso (server dei criteri di rete). Per informazioni dettagliate su come installare il server dei criteri di rete, vedere Installare il server dei criteri di rete.
Registrare il server dei criteri di rete in Active Directory. Per informazioni su come registrare il server dei criteri di rete in Active Directory, vedere Registrare un server dei criteri di rete in un dominio di Active Directory.
Assicurarsi che i firewall consentano il corretto funzionamento del traffico necessario per le comunicazioni VPN e RADIUS. Per altre informazioni consultare Configurare i firewall per il traffico RADIUS.
Creare il gruppo di server dei criteri di rete:
Nel controller di dominio aprire Utenti e computer di Active Directory.
Nel dominio fare clic con il pulsante destro del mouse su Computer. Selezionare Nuovo, quindi Gruppo.
In Nome gruppo immettere Server dei criteri di rete, quindi selezionare OK.
Fare clic con il pulsante destro del mouse su Server dei criteri di rete e selezionare Proprietà.
Nella scheda Membri della finestra di dialogo Proprietà server dei criteri di rete selezionare Aggiungi.
Selezionare Tipi di oggetto, quindi la casella di controllo Computer e infine OK.
Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome del server dei criteri di rete. Selezionare OK.
Chiudere Utenti e computer di Active Directory.
Creare il server VPN
Installare Windows Server nel computer che eseguirà il server dei criteri di rete. Assicurarsi che nel computer siano installate due schede di rete fisiche: una per connettersi a Internet e una per connettersi alla rete in cui si trova il controller di dominio.
Identificare quale scheda di rete si connette a Internet e quale si connette al dominio. Configurare la scheda di rete con connessione Internet con un indirizzo IP pubblico, mentre la scheda con connessione Intranet può usare un indirizzo IP dalla rete locale.
Per la scheda di rete che si connette al dominio, impostare l'indirizzo IP preferito DNS all'indirizzo IP del controller di dominio.
Aggiungere il server VPN al dominio. Per informazioni su come aggiungere un server a un dominio, vedere Per aggiungere un server a un dominio.
Aprire le regole del firewall per consentire alle porte UDP 500 e 4500 in ingresso all'indirizzo IP esterno applicato all'interfaccia pubblica nel server VPN.
Nella scheda di rete che si connette al dominio abilitare le porte seguenti: UDP1812, UDP1813, UDP1645 e UDP1646.
Creare il gruppo di server VPN:
Nel controller di dominio aprire Utenti e computer di Active Directory.
Nel dominio fare clic con il pulsante destro del mouse su Computer. Selezionare Nuovo, quindi Gruppo.
In Nome gruppo immettere Server VPN, quindi selezionare OK.
Fare clic con il pulsante destro del mouse su Server VPN e selezionare Proprietà.
Nella scheda Membri della finestra di dialogo Proprietà server VPN selezionare Aggiungi.
Selezionare Tipi di oggetto, quindi la casella di controllo Computer e infine OK.
Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome del server VPN. Selezionare OK.
Chiudere Utenti e computer di Active Directory.
Seguire la procedura descritta in Installare Accesso remoto come server VPN per installare il server VPN.
Aprire lo strumento Routing e Accesso remoto da Server Manager.
Fare clic con il pulsante destro del mouse sul server VPN e selezionare Proprietà.
In Proprietà selezionare la scheda Sicurezza e quindi:
Selezionare Provider di autenticazione, quindi Autenticazione RADIUS.
Selezionare Configura per aprire la finestra di dialogo Autenticazione RADIUS.
Selezionare Aggiungi per aprire la finestra di dialogo Aggiungi server RADIUS.
In Nome del server immettere il nome di dominio completo del server dei criteri di rete. In questa esercitazione il server dei criteri di rete è il server del controller di dominio. Ad esempio, se il nome NetBIOS del server dei criteri di rete e del controller di dominio è dc1 e il nome di dominio è corp.contoso.com, immettere dc1.corp.contoso.com.
In Segreto condiviso selezionare Cambia per aprire la finestra di dialogo Cambia segreto.
In Nuovo segreto immettere una stringa di testo.
In Conferma nuovo segreto immettere la stessa stringa di testo, quindi selezionare OK.
Salvare il segreto. Sarà necessario quando si aggiungerà questo server VPN come client RADIUS più avanti in questa esercitazione.
Selezionare OK per chiudere la finestra di dialogo Aggiungi server RADIUS.
Selezionare OK per chiudere la finestra di dialogo Autenticazione RADIUS.
Nella finestra di dialogo Proprietà server VPN selezionare Metodi di autenticazione....
Selezionare Consenti l'autenticazione del certificato del computer per IKEv2.
Selezionare OK.
Per Provider accounting selezionare Accounting Windows.
Selezionare OK per chiudere la finestra di dialogo Proprietà.
Verrà visualizzata una finestra di dialogo in cui verrà richiesto di riavviare il server. Selezionare Sì.
Creare un client Windows VPN
Installare Windows 10 o versione successiva nel computer che sarà il client VPN.
Aggiungere il client VPN al dominio. Per informazioni su come aggiungere un computer a un dominio, vedere Per aggiungere un computer a un dominio.
Creare un utente e un gruppo VPN
Creare un utente VPN seguendo questa procedura:
Nel controller di dominio aprire Utenti e computer di Active Directory.
Nel dominio fare clic con il pulsante destro del mouse su Utenti. Selezionare Nuovo. Per Nome accesso utente, immettere qualsiasi nome di accesso. Selezionare Avanti.
Scegliere una password per l'utente.
Deselezionare Cambiamento obbligatorio password all'accesso successivo. Selezionare Nessuna scadenza password.
Selezionare Fine. Tenere aperto Utenti e computer di Active Directory.
Creare un gruppo di utenti VPN seguendo questa procedura:
Nel dominio fare clic con il pulsante destro del mouse su Utenti. Selezionare Nuovo, quindi Gruppo.
In Nome gruppo immettere Utenti VPN, quindi selezionare OK.
Fare clic con il pulsante destro del mouse su Utenti VPN e selezionare Proprietà.
Nella scheda Membri della finestra di dialogo Proprietà utenti VPN selezionare Aggiungi.
Nella finestra di dialogo Seleziona utenti aggiungere l'utente VPN creato e selezionare OK.
Configurare il server VPN come client RADIUS
Nel server NPS aprire le regole del firewall per consentire le porte UDP 1812, 1813, 1645 e 1646 in ingresso.
Nella console Server dei criteri di rete, fare doppio clic su Client e server RADIUS.
Fare clic con il pulsante destro del mouse Client RADIUS e selezionare Nuovo per aprire la finestra di dialogo Nuovo client RADIUS.
Verificare che sia selezionata la casella di controllo Abilita questo client RADIUS.
In Nome descrittivo immettere un nome visualizzato per il server VPN.
In Indirizzo (IP o DNS) immettere l'indirizzo IP o il nome di dominio completo del server VPN.
Se si immette il nome di dominio completo, selezionare Verifica se si vuole verificare che il nome sia corretto e che sia mappato a un indirizzo IP valido.
In Segreto condiviso:
Assicurarsi che sia selezionata l'opzione Manuale.
Immettere il segreto creato nella sezione Creare il server VPN.
In Conferma segreto condiviso immettere di nuovo il segreto condiviso.
Selezionare OK. Il server VPN dovrebbe essere visualizzato nell'elenco dei client RADIUS configurati nel server dei criteri di rete.
Configurare il server dei criteri di rete come server RADIUS
Nota
In questa esercitazione il server NPS viene installato nel controller di dominio con il ruolo CA e non è necessario registrare un certificato server dei criteri di rete separato. Tuttavia, in un ambiente in cui è installato il server dei criteri di rete in un server separato, prima di poter eseguire questi passaggi è necessario che sia registrato un certificato del server dei criteri di rete.
Nella console Server dei criteri di rete selezionare Server dei criteri di rete (locale).
In Configurazione standard assicurarsi che sia selezionato Server RADIUS per connessioni remote o VPN.
Selezionare Configura VPN o connessione remota per aprire la procedura guidata di configurazione di VPN o connessione remota.
Selezionare Connessioni di rete privata virtuale (VPN), quindi Avanti.
In Specifica il server VPN o la connessione remota, nei client RADIUS, selezionare il nome del server VPN.
Selezionare Avanti.
In Configura metodi di autenticazione completare la procedura seguente:
Deselezionare Microsoft Encrypted Authentication versione 2 (MS-CHAPv2) .
Selezionare Extensible Authentication Protocol.
Per Tipo selezionare Microsoft: Protected EAP (PEAP). Selezionare quindi Configura per aprire la finestra di dialogo Modifica proprietà Protected EAP.
Selezionare Rimuovi per rimuovere il tipo Secured Password (EAP-MSCHAP v2) EAP.
Selezionare Aggiungi. Si apre la finestra di dialogo Aggiungi EAP.
Selezionare Smart card o altro certificato, quindi OK.
Selezionare OK per chiudere Modifica proprietà Protected EAP.
Selezionare Avanti.
In Specifica gruppi di utenti completare la procedura seguente:
Selezionare Aggiungi. Verrà visualizzata la finestra di dialogo Seleziona utenti, Computer, Account di servizio o Gruppi.
Immettere Utenti VPN, quindi selezionare OK.
Selezionare Avanti.
In Specifica filtri IP selezionare Avanti.
In Specifica impostazioni di crittografia selezionare Avanti. Non apportare modifiche.
In Specifica un nome dell'area di autenticazioneselezionare Avanti.
Per chiudere la procedura guidata, seleziona Fine.
Passaggi successivi
Ora che è stata creata l'infrastruttura di esempio, si è pronti per iniziare a configurare l'autorità di certificazione.