Installation pas à pas d'une plateforme DirectAccess avec utilisation de Forefront UAG - partie 1 : description et installation de la plateforme (hors serveur UAG)
Après la série d’articles et de vidéo sur le montage d’une plateforme DirectAccess avec Windows Server 2008 R2 et Windows 7, voici une nouvelle variante dans laquelle le serveur DirectAccess est remplacé par un Forefront UAG (ici en version RC0) qui va faire office (entre autre) de passerelle DirectAccess.
Cet article a pour objectif de montrer pas à pas le montage de cette plateforme et en particulier l’installation et la configuration de Forefront UAG en temps que passerelle DirectAccess.
L’architecture de cette nouvelle plateforme est la suivante :
Configurations des différentes machines : chaque machine virtuelle dispose de 512 Mo de RAM et d'un bi processeur (virtuel, je rappelle que je suis sur Hyper-V de Windows Server 2008), à l'exception de la machine UAG01 qui elle dispose de 2 Go de RAM (note : en production c'est 8Go mini, 12 Go recommandés).
Pour plus d’informations sur la plateforme physique utilisée,cliquer ici
Et voici les quelques étapes que j'ai suivies pour installer tout cela :
===========================
DC01R2 joue le rôle DC et de serveur de PKI
===========================
Installation du système LH01R2
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4 (10.0.0.11/8)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout du Rôle AD Domain Services
DCPROMO —> création du domaine stan-demo.net
création reverse zone DNS
Installation Role AD CS
Création d’un modèle de certificat DirectAccess IPsec EndPoint
Création d’un modèle de certificat DirectAccess IPsec Tunnel
Création d’un modèle de certificat Web Server exportable
Modification de la GPO Default Domain Policy avec des règles autorisant sur le Pare-feu Windows : Echo Request ICMPv4 et v6
Config du DNS pour supprimer nom ISATAP de la default global block list
Config des CRLs
Modification de la GPO default domain policy pour auto enrollment des certificats ordinateurs
Création d'un groupe de sécurité DA_Clients dans l'Active Directory (Win7DA est membre de ce groupe)
Création d’un groupe de sécurité DA_Servers dans l’Active Directory (UAG01 est membre de ce groupe)
=====================================================
Pour le scénario DirectAccess, WEB01 joue le rôle de NLS (network Location Server)
=====================================================
Installation du système WEB01
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4 (10.0.0.12/8)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Demande de certificat de type Web Server exportable
Installation du rôle Web Server
Binding du certif SSL sur le site web par defaut
=====================================================
Pour le scénario DirectAccess, CRL01 joue le rôle de serveur Web servant la liste des certificats révoqués
=====================================================
Installation du système CRL01
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4 (10.0.0.15/8) (131.107.0.15)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Installation du rôle Web Server
=================================================
Pour le scénario DirectAccess, UAG01 joue le rôle de serveur Forefront UAG avec la fonction de passerelle DirectAccess
=================================================
Installation du système UAG01
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (10.0.0.13/8)
paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Demande de certificat complémentaire de type Web Server (pour IP-HTTPs)
Installation de Forefront UAG (cf. plus bas en détails pas à pas)
L’ensemble de la configuration est visible en vidéo (note : dans les vidéos, le nom de domaine est w2K8R2–demo.net à la place de stan-demo.net) :
Premiers pas avec Windows Server 2008 R2 : Promotion du 1er controleur de domaine Active Directory
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=04dabde5-652b-430c-a3cb-65791cd1e11aPremiers pas avec Windows Server 2008 R2 : Installation d'une CA d'entreprise avec Windows Server 2008 R2
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=a276f92d-51f6-492f-84b3-ed5910746194Premiers pas avec Windows Server 2008 R2 : Publication d'une liste de révocation de certificats (CRL) avec Windows Server 2008 R2
https://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?EID=040a4ca3-20cb-4df4-be09-d8febac262eaPremiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 1 - Les certificats
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=3a3e0a19-0bfa-409e-a57e-06f06f5c4271Premiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 2 - GPO Parefeu Windows
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=b032fc09-7994-411e-b403-26d4531c971cPremiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 3 - configuration DNS interne et externe
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=c14c9118-6935-4341-b33e-37082f6ab40bPremiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 4 - Configuration du NLS
https://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=a152d6bb-5f44-4e44-a0ed-f6f860575fac
===============================================================
Pour le scénario DirectAccess, LH99R2 joue le rôle de serveur DNS publique ainsi que de serveur Web publique
===============================================================
Installation du système LH99R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (131.107.0.99/24)
=====================================================================
WIN7DA est un client Windows 7 Entreprise configuré comme client DirectAccess (il fait parti du groupe DA_Clients)
=====================================================================
Installation de WIN7DA
Ajout dans le domaine W2K8R2-DEMO
3 interfaces réseau (LAN, WAN wifi, WAN 3G)
DHCP Client --> sur LAN (avec activation de Network Access Protection sur le serveur DHCP)
131.107.0.150 --> adresse sur la carte WAN (Wifi simulé)
131.107.0.150 --> adresse sur la carte WAN (3G simulé)
192.168.1.150 --> adresse sur le LAN maison NATé
Note : pour bien simuler Internet sur cette machine, ainsi que sur WIN7DA, j'ai ajouté une zone msftncsi.com dans mon DNS externe sur LH99R2 avec un enregistrement A [DNS 131.107.255.255] et un site Web [www.msftncsi.com] avec un fichier ncsi.txt contenant le texte Microsoft NCSI
La raison du pourquoi est le fonctionnement de la détection d'Internet dans Windows Vista et 7 (Plus de détails ici : https://technet.microsoft.com/en-us/library/cc766017.aspx)
Une fois toute ces machines installées, on passe à la préparation de la machine UAG01 qui va exécuter Forefront Unified Access Gateway.
la suite dans le prochain post :-)