Esercitazione: Distribuire l'infrastruttura VPN Always On

2025-07-14
Si applica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Vpn Always On è una soluzione di accesso remoto in Windows Server che offre connettività facile e sicura per gli utenti remoti alle reti aziendali. Supporta metodi di autenticazione avanzati e si integra con l'infrastruttura esistente, offrendo un'alternativa moderna alle soluzioni VPN tradizionali. Questa esercitazione inizia la serie per distribuire vpn Always On in un ambiente di esempio.

Questa esercitazione illustra come distribuire un'infrastruttura di esempio per le connessioni VPN Always On per computer client Windows aggiunti a un dominio remoto. Per creare un'infrastruttura di esempio, è possibile:

Creare un controller di dominio Active Directory.
Configurare Criteri di gruppo per la registrazione automatica dei certificati.
Creare un server dei criteri di rete (NPS).
Creare un server VPN.
Creare un utente e un gruppo VPN.
Configurare il server VPN come client RADIUS.
Configurare il server NPS come server RADIUS.

Per altre informazioni sulla VPN Always On, incluse le integrazioni supportate, le funzionalità di sicurezza e connettività, vedere Panoramica della VPN Always On.

Prerequisites

Per completare i passaggi di questa esercitazione, è necessario soddisfare i prerequisiti seguenti:

Tre server (fisici o virtuali) che eseguono una versione supportata di Windows Server. Questi server sono il controller di dominio, il server NPS e il server VPN.
Il server NPS richiede due schede di rete fisiche installate: una per connettersi a Internet e una per connettersi alla rete in cui si trova il controller di dominio.
A user account on all machines that is a member of the local Administrators security group, or equivalent.

Important

L'uso di Accesso remoto in Microsoft Azure non è supportato. Per altre informazioni, vedere Supporto del software server Microsoft per le macchine virtuali di Microsoft Azure.

Creare il controller di dominio

Sul server che si desidera sia il controller di dominio, installare Active Directory Domain Services (AD DS). Per informazioni dettagliate su come installare AD DS, vedere Installare Active Directory Domain Services.
Promuovere Windows Server a controller di dominio. Per questa esercitazione creerai una nuova foresta e il dominio per tale nuova foresta. Per informazioni dettagliate su come installare il controller di dominio, vedere Installazione di AD DS.
Installare e configurare l'autorità di certificazione (CA) nel controller di dominio. Per informazioni dettagliate su come installare la CA, vedere Installare l'autorità di certificazione.

Configurare Criteri di gruppo per la registrazione automatica dei certificati

In questa sezione vengono creati criteri di gruppo nel controller di dominio in modo che i membri del dominio richiedano automaticamente i certificati utente e computer. Questa configurazione consente agli utenti VPN di richiedere e recuperare i certificati utente che autenticano automaticamente le connessioni VPN. Inoltre, questo criterio consente al server dei criteri di rete (NPS) di richiedere automaticamente i certificati di autenticazione del server.

Sul controller di dominio, aprire la console Gestione Criteri di Gruppo.
Nel riquadro sinistro fare clic con il pulsante destro del mouse sul dominio, ad esempio corp.contoso.com. Seleziona Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.
On the New GPO dialog box, for Name, enter Autoenrollment Policy. Select OK.
In the left pane, right-click Autoenrollment Policy. Select Edit to open the Group Policy Management Editor.
In Editor Gestione Criteri di gruppo completare la procedura seguente per configurare la registrazione automatica del certificato del computer:
1. Navigate to Computer Configuration>Policies>Windows Settings>Security Settings>Public Key Policies.
2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client Servizi certificati - Registrazione automatica. Select Properties.
3. Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica, in Modello di configurazione, selezionare Abilitato.
4. Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.
5. Select OK.
Nel Editor Gestione dei Criteri di Gruppo, completare la procedura seguente per configurare l'autoiscrizione del certificato utente:
1. Navigate to User Configuration>Policies>Windows Settings>Security Settings>Public Key Policies.
2. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su Servizi certificato Client - Registrazione automatica e selezionare Proprietà.
3. Nella finestra di dialogo Client Servizi certificati - Proprietà registrazione automatica in Modello di configurazione selezionare Abilitato.
4. Selezionare Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati e Aggiorna i certificati che utilizzano modelli di certificato.
5. Select OK.
6. Chiudere l'Editor di Gestione Criteri di gruppo.
Applicare i Criteri di gruppo a utenti e computer nel dominio.
Chiudere la console Gestione dei criteri di gruppo.

Creare il server dei criteri di rete

Sul server che desideri configurare come server NPS, installa il ruolo Criteri di rete e servizi di accesso. Per informazioni dettagliate su come installare Server dei criteri di rete, vedere la sezione Installare Server dei criteri di rete.
Registrare il Server NPS in Active Directory. Per informazioni su come registrare il server dei criteri di rete in Active Directory, vedere Registrare un server dei criteri di rete in un dominio di Active Directory.
Assicurarsi che i firewall consentano il corretto funzionamento del traffico necessario per le comunicazioni VPN e RADIUS. Per altre informazioni consultare Configurare i firewall per il traffico RADIUS.
Creare il gruppo di server dei criteri di rete:
1. Nel controller di dominio aprire Utenti e computer di Active Directory.
2. Under your domain, right-click Computers. Select New, then select Group.
3. In Group name, enter NPS Servers, then select OK.
4. Right-click NPS Servers and select Properties.
5. On the Members tab of the NPS Servers Properties dialog box, select Add.
6. Select Object Types, select the Computers check box, then select OK.
7. In Immettere i nomi degli oggetti da selezionare, immettere il nome host del server NPS (Network Policy Server). Select OK.
8. Chiudere Utenti e computer di Active Directory.

Creare il server VPN

Per il server che esegue il server VPN, assicurarsi che nel computer siano installate due schede di rete fisiche: una per connettersi a Internet e una per connettersi alla rete in cui si trova il controller di dominio.
Identificare quale scheda di rete si connette a Internet e quale si connette al dominio. Configurare la scheda di rete con connessione Internet con un indirizzo IP pubblico, mentre la scheda con connessione Intranet può usare un indirizzo IP dalla rete locale.
Per la scheda di rete che si connette al dominio, impostare l'indirizzo IP preferito DNS all'indirizzo IP del controller di dominio.
Aggiungere il server VPN al dominio. Per informazioni su come aggiungere un server a un dominio, vedere Per aggiungere un server a un dominio.
Configura le regole del firewall per consentire il traffico in ingresso alle porte UDP 500 e 4500 all'indirizzo IP esterno associato all'interfaccia pubblica del server VPN. Per la scheda di rete che si connette al dominio, consentire le porte UDP seguenti: 1812, 1813, 1645 e 1646.
Creare il gruppo di server VPN:
1. Nel controller di dominio aprire Utenti e computer di Active Directory.
2. Under your domain, right-click Computers. Select New, then select Group.
3. In Group name, enter VPN Servers, then select OK.
4. Right-click VPN Servers and select Properties.
5. On the Members tab of the VPN Servers Properties dialog box, select Add.
6. Select Object Types, select the Computers check box, then select OK.
7. In Immettere i nomi degli oggetti da selezionare immettere il nome host del server VPN. Select OK.
8. Chiudere Utenti e computer di Active Directory.
Seguire la procedura descritta in Installare Accesso remoto come server VPN per installare il server VPN.
Aprire Routing e accesso remoto da Server Manager.
Right-click the name of the VPN server, and then select Properties.
In Properties, select the Security tab and then:
1. Select Authentication provider and select RADIUS Authentication.
2. Select Configure to open the RADIUS Authentication dialog.
3. Select Add to open the Add RADIUS Server dialog.
  1. In Server name, enter the Fully Qualified Domain Name (FQDN) of the NPS server, which is also a RADIUS server. Ad esempio, se il nome NetBIOS del server NPS e del controller di dominio è nps1 e il nome di dominio è corp.contoso.com, inserire nps1.corp.contoso.com.
  2. In Shared secret, select Change to open the Change Secret dialog box.
  3. In New secret, enter a text string.
  4. In Conferma nuovo segreto immettere la stessa stringa di testo, quindi selezionare OK.
  5. Salvare il segreto. È necessario quando si aggiunge questo server VPN come client RADIUS più avanti in questa esercitazione.
4. Select OK to close the Add RADIUS Server dialog.
5. Select OK to close the RADIUS Authentication dialog.
On the VPN server Properties dialog, select Authentication Methods....
Selezionare Consenti l'autenticazione del certificato del computer per IKEv2.
Select OK.
For Accounting provider, select Windows Accounting.
Select OK to close the Properties dialog.
Una finestra di dialogo richiede di riavviare il server. Select Yes.

Creare un utente e un gruppo VPN

Creare un utente VPN seguendo questa procedura:
1. Nel controller di dominio aprire la console Utenti e computer di Active Directory .
2. Under your domain, right-click Users. Select New. In Nome accesso utente immettere qualsiasi nome. Select Next.
3. Scegliere una password per l'utente.
4. Deselezionare Cambiamento obbligatorio password all'accesso successivo. Selezionare Password senza scadenza.
5. Select Finish. Tenere aperti Utenti e Computer di Active Directory.
Creare un gruppo di utenti VPN seguendo questa procedura:
1. Under your domain, right-click Users. Select New, then select Group.
2. In Group name, enter VPN Users, then select OK.
3. Right-click VPN Users and select Properties.
4. On the Members tab of the VPN Users Properties dialog box, select Add.
5. On the Select Users dialog box, add the VPN user that you created and select OK.

Configurare il server VPN come client RADIUS

Nel server NPS, aprire le regole del firewall per consentire in ingresso le porte UDP 1812, 1813, 1645 e 1646, inclusi i firewall di Windows.
Aprire la console server dei criteri di rete .
Nella console Server dei criteri di rete, fare doppio clic su Client e server RADIUS.
Right-click RADIUS Clients and select New to open the New RADIUS Client dialog box.
Verificare che sia selezionata la casella di controllo Abilita questo client RADIUS.
In Friendly name, enter a display name for the VPN server.
In Indirizzo (IP o DNS) immettere l'indirizzo IP o il nome di dominio completo del server VPN.

If you enter the FQDN, select Verify if you want to verify that the name is correct and maps to a valid IP address.
In Shared secret:
1. Ensure that Manual is selected.
2. Immettere il segreto creato nella sezione Creare il server VPN.
3. Per Confirm shared secret (Conferma segreto condiviso) immettere nuovamente il segreto condiviso.
Select OK. Il server VPN dovrebbe essere visualizzato nell'elenco dei client RADIUS configurati nel server NPS.

Configurare il server NPS come server RADIUS

Registrare un certificato del server per il server NPS, con un certificato che soddisfi i requisiti descritti in Configurare i modelli di certificato per i requisiti PEAP e EAP. Per verificare che i server dei criteri di rete (NPS) siano iscritti con un certificato del server dall'autorità di certificazione (CA), consultare Verificare l'iscrizione del certificato del server.
In the NPS console, select NPS (Local).
In Standard Configuration, ensure that RADIUS server for Dial-Up or VPN Connections is selected.
Selezionare Configura VPN o Connessione remota per aprire la procedura guidata Configura VPN o Connessione remota.
Selezionare Connessioni di rete privata virtuale (VPN) e quindi selezionare Avanti.
In Specificare la connessione remota o il server VPN, in client RADIUS selezionare il nome del server VPN.
Select Next.
In Configura metodi di autenticazione completare la procedura seguente:
1. Deselezionare Microsoft Encrypted Authentication versione 2 (MS-CHAPv2).
2. Selezionare Extensible Authentication Protocol.
3. For Type, select Microsoft: Protected EAP (PEAP). Then select Configure to open the Edit Protected EAP Properties dialog box.
4. Select Remove to remove the Secured Password (EAP-MSCHAP v2) EAP type.
5. Select Add. Si apre la finestra di dialogo Aggiungi EAP.
6. Selezionare Smart card o altro certificato, quindi OK.
7. Select OK to close Edit Protected EAP Properties.
Select Next.
In Specificare gruppi di utenti completare la procedura seguente:
1. Select Add. Verrà visualizzata la finestra di dialogo Seleziona utenti, computer, account di servizio o gruppi .
2. Enter VPN Users, then select OK.
3. Select Next.
In Specifica filtri IP selezionare Avanti.
In Specifica impostazioni di crittografia selezionare Avanti. Non apportare modifiche.
In Specifica un nome dell'area di autenticazione selezionare Avanti.
Select Finish to close the wizard.

Next step

Dopo aver creato l'infrastruttura di esempio, è possibile iniziare a configurare l'autorità di certificazione.

Esercitazione: Configurare i modelli di autorità di certificazione per Always On VPN