Esercitazione: Implementare la VPN Always On - Configurare l'infrastruttura per la VPN Always On

• Successivo: 2 - Configurare i modelli di autorità di certificazione

In questa esercitazione si apprenderà come distribuire le connessioni VPN Always On per computer client Windows uniti a un dominio remoto. Si creerà un'infrastruttura di esempio che illustra come implementare un processo di connessione di VPN Always On. Questo processo prevede i passaggi seguenti:

1. Il client VPN Windows usa un server DNS pubblico per eseguire una query di risoluzione dei nomi per l'indirizzo IP del gateway VPN.

2. Il client VPN usa l'indirizzo IP restituito da DNS per inviare una richiesta di connessione al gateway VPN.

3. Il server VPN è configurato anche come client Remote Authentication Dial-In User Service (RADIUS); Il client RADIUS VPN invia la richiesta di connessione al server NPS per l'elaborazione delle richieste di connessione.

4. Il server NPS elabora la richiesta di connessione, inclusa l'esecuzione dell'autorizzazione e dell'autenticazione, e determina se consentire o rifiutare la richiesta di connessione.

5. Il server dei criteri di rete inoltra una risposta Access-Accept o Access-Deny al server VPN.

6. La connessione viene avviata o terminata in base alla risposta che il server VPN ha ricevuto dal server NPS.

Prerequisiti

Per completare i passaggi di questa esercitazione

• Sarà necessario accedere a quattro computer fisici o macchine virtuali.

• Assicurati che l'account utente in tutti i computer faccia parte di Amministratori, o equivalente.

Importante

L'uso dell'accesso remoto in Microsoft Azure, tra cui VPN di accesso remoto e DirectAccess, non è supportato. Per altre informazioni, vedere Supporto del software server Microsoft per le macchine virtuali di Microsoft Azure.

Creare il controller di dominio

1. Installare Windows Server nel computer che eseguirà il controller di dominio.

2. Installare Active Directory Domain Services (AD DS). Per informazioni dettagliate su come installare AD DS, vedere Installare Active Directory Domain Services.

3. Promuovere Windows Server a controller di dominio. Per questa esercitazione, creerai una nuova foresta e il dominio per tale nuova foresta. Per informazioni dettagliate su come installare il controller di dominio, vedere Installazione di AD DS.

4. Installare e configurare l'autorità di certificazione (CA) nel controller di dominio. Per informazioni dettagliate su come installare la CA, vedere Installare l'autorità di certificazione.

Creare criteri di gruppo Active Directory

In questa sezione si creeranno criteri di gruppo nel controller di dominio in modo che i membri del dominio richiedano automaticamente i certificati utente e computer. Questa configurazione consente agli utenti VPN di richiedere e recuperare i certificati utente che autenticano automaticamente le connessioni VPN. Inoltre, questo criterio consente al server dei criteri di rete (NPS) di richiedere automaticamente i certificati di autenticazione del server.

1. Nel controller di dominio aprire Gestione Criteri di gruppo.

2. Nel riquadro sinistro fare clic con il pulsante destro del mouse sul dominio, ad esempio corp.contoso.com. Seleziona Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.

3. Nella finestra di dialogo Nuovo GPO per Nome, immettere Criteri di registrazione automatica. Selezionare OK.

4. Nel riquadro sinistro fare clic con il pulsante destro del mouse su Criteri per la registrazione automatica. Selezionare Modifica per aprire Editor Gestione Criteri di gruppo.

5. Nell'Editor Gestione Criteri di gruppo completare i passaggi seguenti per configurare la registrazione automatica dei certificati del computer:

   1. Nel pannello sinistro andare su Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri chiave pubblica.

   2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client Servizi certificati - Registrazione automatica. Selezionare Proprietà.

   3. Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica, in Modello di configurazione, selezionare Abilitato.

   4. Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.

   5. Selezionare OK.

6. Nell'editor gestione criteri di gruppo, completare i passaggi seguenti per configurare la registrazione automatica dei certificati utente:

   1. Nel pannello sinistro andare su Configurazione utente>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri chiave pubblica.

   2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Servizi certificato Client - Registrazione automatica e selezionare Proprietà.

   3. Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica in Modello di configurazione selezionare Abilitato.

   4. Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.

   5. Selezionare OK.

   6. Chiudere l'Editor di Gestione delle Criteri di Gruppo.

7. Chiudere Gestione Criteri di gruppo.

Creare il server dei criteri di rete

1. Installare Windows Server nel computer che eseguirà il server dei criteri di rete (NPS).

2. Nel server NPS installare il ruolo Criteri di rete e Servizi di accesso (server dei criteri di rete). Per informazioni dettagliate su come installare il server dei criteri di rete, vedere Installare il server dei criteri di rete.

3. Registrare il Server NPS in Active Directory. Per informazioni su come registrare il server dei criteri di rete in Active Directory, vedere Registrare un server dei criteri di rete in un dominio di Active Directory.

4. Assicurarsi che i firewall consentano il corretto funzionamento del traffico necessario per le comunicazioni VPN e RADIUS. Per altre informazioni consultare Configurare i firewall per il traffico RADIUS.

5. Creare il gruppo di server dei criteri di rete:

   1. Nel controller di dominio aprire Utenti e computer di Active Directory.

   2. All'interno del dominio, fare clic con il tasto destro del mouse su Computer. Selezionare Nuovo, quindi Gruppo.

   3. In Nome gruppo immettere Server NPS, quindi selezionare OK.

   4. Fare clic con il pulsante destro del mouse su Server NPS e selezionare Proprietà.

   5. Nella scheda Membri della finestra di dialogo Proprietà dei server NPS selezionare Aggiungi.

   6. Selezionare Tipi di oggetto, quindi la casella di controllo Computer e infine OK.

   7. Nella casella Immettere i nomi degli oggetti da selezionare, immettere il nome del computer del server NPS. Selezionare OK.

   8. Chiudere Utenti e computer di Active Directory.

Creare il server VPN

1. Installare Windows Server nella macchina che eseguirà il server VPN. Assicurarsi che nel computer siano installate due schede di rete fisiche: una per connettersi a Internet e una per connettersi alla rete in cui si trova il controller di dominio.

2. Identificare quale scheda di rete si connette a Internet e quale si connette al dominio. Configurare la scheda di rete con connessione Internet con un indirizzo IP pubblico, mentre la scheda con connessione Intranet può usare un indirizzo IP dalla rete locale.

3. Per la scheda di rete che si connette al dominio, impostare l'indirizzo IP preferito DNS all'indirizzo IP del controller di dominio.

4. Aggiungere il server VPN al dominio. Per informazioni su come aggiungere un server a un dominio, vedere Per aggiungere un server a un dominio.

5. Configura le regole del firewall per consentire il traffico in ingresso alle porte UDP 500 e 4500 all'indirizzo IP esterno associato all'interfaccia pubblica del server VPN.

6. Nella scheda di rete che si connette al dominio abilitare le porte seguenti: UDP1812, UDP1813, UDP1645 e UDP1646.

7. Creare il gruppo di server VPN:

   1. Nel controller di dominio aprire Utenti e computer di Active Directory.

   2. Nel tuo dominio, fai clic con il pulsante destro del mouse su Computer. Selezionare Nuovo, quindi Gruppo.

   3. In Nome gruppo immettere Server VPN, quindi selezionare OK.

   4. Fare clic con il pulsante destro del mouse su Server VPN e selezionare Proprietà.

   5. Nella scheda Membri della finestra di dialogo Proprietà server VPN selezionare Aggiungi.

   6. Selezionare Tipi di oggetto, quindi la casella di controllo Computer e infine OK.

   7. Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome del server VPN. Selezionare OK.

   8. Chiudi Active Directory Utenti e Computer.

8. Seguire la procedura descritta in Installare Accesso remoto come server VPN per installare il server VPN.

9. Aprire lo strumento Routing e Accesso remoto da Server Manager.

10. Fare clic con il pulsante destro del mouse sul server VPN e selezionare Proprietà.

11. In Proprietà selezionare la scheda Sicurezza e quindi:

    1. Selezionare Provider di autenticazione e Autenticazione RADIUS.

    2. Selezionare Configura per aprire la finestra di dialogo Autenticazione RADIUS.

    3. Selezionare Aggiungi per aprire la finestra di dialogo Aggiungi server RADIUS.

       1. In Nome del server immettere il nome di dominio completo del server dei criteri di rete. In questo tutorial, il server NPS è il server del controller di dominio. Ad esempio, se il nome NetBIOS del server NPS e del controller di dominio è dc1 e il nome di dominio è corp.contoso.com, immettere dc1.corp.contoso.com.

       2. In Segreto condiviso selezionare Cambia per aprire la finestra di dialogo Cambia segreto.

       3. In Nuovo segreto immettere una stringa di testo.

       4. In Conferma nuovo segreto immettere la stessa stringa di testo, quindi selezionare OK.

       5. Salvare il segreto. Sarà necessario quando si aggiungerà questo server VPN come client RADIUS più avanti in questa esercitazione.

    4. Selezionare OK per chiudere la finestra di dialogo Aggiungi server RADIUS.

    5. Selezionare OK per chiudere la finestra di dialogo Autenticazione RADIUS.

12. Nella finestra di dialogo Proprietà server VPN selezionare Metodi di autenticazione....

13. Selezionare Consenti l'autenticazione del certificato del computer per IKEv2.

14. Selezionare OK.

15. Per Provider di accounting, selezionare Accounting di Windows.

16. Selezionare OK per chiudere la finestra di dialogo Proprietà.

17. Verrà visualizzata una finestra di dialogo in cui verrà richiesto di riavviare il server. Selezionare Sì.

Creare un client Windows VPN

1. Installare Windows 10 o versione successiva nel computer che sarà il client VPN.

2. Aggiungere il client VPN al dominio. Per informazioni su come aggiungere un computer a un dominio, vedere Per aggiungere un computer a un dominio.

Creare un utente e un gruppo VPN

1. Creare un utente VPN seguendo questa procedura:

   1. Sul controller di dominio, aprire l'applicazione "Utenti e Computer di Active Directory".

   2. Nel dominio fare clic con il pulsante destro del mouse su Utenti. Selezionare Nuovo. Per Nome accesso utente, immettere qualsiasi nome di accesso. Selezionare Avanti.

   3. Scegliere una password per l'utente.

   4. Deselezionare Cambiamento obbligatorio password all'accesso successivo. Selezionare Password senza scadenza.

   5. Selezionare Fine. Tenere aperti Utenti e Computer di Active Directory.

2. Creare un gruppo di utenti VPN seguendo questa procedura:

   1. Nel dominio fare clic con il pulsante destro del mouse su Utenti. Selezionare Nuovo, quindi Gruppo.

   2. In Nome gruppo immettere Utenti VPN, quindi selezionare OK.

   3. Fare clic con il pulsante destro del mouse su Utenti VPN e selezionare Proprietà.

   4. Nella scheda Membri della finestra di dialogo Proprietà utenti VPN selezionare Aggiungi.

   5. Nella finestra di dialogo Seleziona utenti aggiungere l'utente VPN creato e selezionare OK.

Configurare il server VPN come client RADIUS

1. Nel server NPS aprire le regole del firewall per consentire le porte UDP 1812, 1813, 1645 e 1646 in ingresso.

2. Nella console Server dei criteri di rete, fare doppio clic su Client e server RADIUS.

3. Fare clic con il pulsante destro del mouse Client RADIUS e selezionare Nuovo per aprire la finestra di dialogo Nuovo client RADIUS.

4. Verificare che sia selezionata la casella di controllo Abilita questo client RADIUS.

5. In Nome descrittivo, inserire un nome visualizzato per il server VPN.

6. In Indirizzo (IP o DNS) immettere l'indirizzo IP o il nome di dominio completo del server VPN.

   Se si immette il nome di dominio completo, selezionare Verifica se si vuole verificare che il nome sia corretto e che sia mappato a un indirizzo IP valido.

7. In Segreto condiviso:

   1. Assicurarsi che sia selezionata l'opzione Manuale.

   2. Immettere il segreto creato nella sezione Creare il server VPN.

   3. In Conferma segreto condiviso immettere di nuovo il segreto condiviso.

8. Selezionare OK. Il server VPN dovrebbe essere visualizzato nell'elenco dei client RADIUS configurati nel server NPS.

Configurare il server NPS come server RADIUS

Nota

In questa esercitazione il server NPS viene installato nel controller di dominio con il ruolo CA e non è necessario registrare un certificato separato per il server NPS. Tuttavia, in un ambiente in cui è installato il server NPS su un server separato, è necessario che un certificato del server NPS sia acquisito prima di poter eseguire questi passaggi.

1. Nella console NPS, selezionare NPS (locale).

2. In Configurazione standard assicurarsi che sia selezionato Server RADIUS per connessioni remote o VPN.

3. Selezionare Configura VPN o connessione remota per aprire la procedura guidata di configurazione di VPN o connessione remota.

4. Selezionare Connessioni di rete privata virtuale (VPN), quindi Avanti.

5. In Specifica il server VPN o la connessione Dial-Up, nei client RADIUS, seleziona il nome del server VPN.

6. Selezionare Avanti.

7. In Configura metodi di autenticazione completare la procedura seguente:

   1. Deselezionare Microsoft Encrypted Authentication versione 2 (MS-CHAPv2) .

   2. Selezionare Extensible Authentication Protocol.

   3. Per Tipo selezionare Microsoft: Protected EAP (PEAP). Selezionare quindi Configura per aprire la finestra di dialogo Modifica proprietà Protected EAP.

   4. Selezionare Rimuovi per rimuovere il tipo Secured Password (EAP-MSCHAP v2) EAP.

   5. Selezionare Aggiungi. Si apre la finestra di dialogo Aggiungi EAP.

   6. Selezionare Smart card o altro certificato, quindi OK.

   7. Selezionare OK per chiudere Modifica Proprietà EAP Protetto.

8. Selezionare Avanti.

9. Nella sezione Specifica gruppi di utenti, completa i seguenti passaggi:

   1. Selezionare Aggiungi. Verrà visualizzata la finestra di dialogo Seleziona utenti, Computer, Account di servizio o Gruppi.

   2. Immettere Utenti VPN, quindi selezionare OK.

   3. Selezionare Avanti.

10. In Specifica filtri IP selezionare Avanti.

11. In Specifica impostazioni di crittografia selezionare Avanti. Non apportare modifiche.

12. In Specifica un nome dell'area di autenticazione selezionare Avanti.

13. Per chiudere la procedura guidata, seleziona Fine.

Passaggi successivi

Ora che è stata creata l'infrastruttura di esempio, si è pronti per iniziare a configurare l'autorità di certificazione.

• Esercitazione Distribuire VPN Always On: Configurare i modelli di autorità di certificazione

• Risolvere i problemi di VPN Always On