Étape 1 Configurer l’infrastructure DirectAccess avancée
Cette rubrique décrit comment configurer l'infrastructure requise pour un déploiement avancé de l'accès à distance qui utilise un serveur DirectAccess unique dans un environnement mixte IPv4 et IPv6. Avant de commencer la procédure de déploiement, vérifiez que vous avez effectué les étapes de planification décrites. dans Planifier un déploiement avancé de DirectAccess.
| Tâche | Description |
|---|---|
| 1.1 Configurer les paramètres réseau serveur | Configurez les paramètres réseau serveur sur le serveur DirectAccess. |
| 1.2 Configurer le tunneling forcé | Configurez le tunneling forcé. |
| 1.3 Configurer le routage dans le réseau d'entreprise | Configurez le routage dans le réseau d'entreprise. |
| 1.4 Configurer les pare-feu | Configurer des pare-feu supplémentaires, si nécessaire. |
| 1.5 Configurer les autorités de certification et les certificats | Configurez une autorité de certification, si nécessaire, et tout autre modèle de certificat requis dans le déploiement. |
| 1.6 Configurer le serveur DNS | Configurez les paramètres DNS (Domain Name System) pour le serveur DirectAccess. |
| 1.7 Configurer Active Directory | Joignez les ordinateurs clients et le serveur DirectAccess au domaine Active Directory. |
| 1.8 Configurer les objets de stratégie de groupe | Configurez les objets de stratégie de groupe pour le déploiement, le cas échéant. |
| 1.9 Configurer les groupes de sécurité | Configurez les groupes de sécurité qui contiendront les ordinateurs clients DirectAccess, ainsi que tous les autres groupes de sécurité requis dans le déploiement. |
| 1.10 Configurer le serveur Emplacement réseau | Configurez le serveur Emplacement réseau, y compris l'installation du certificat de site web du serveur Emplacement réseau. |
Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.
1.1 Configurer les paramètres réseau serveur
Les paramètres d'interface réseau suivants sont requis pour un déploiement à un seul serveur dans un environnement utilisant IPv4 et IPv6. Toutes les adresses IP sont configurées à l'aide de l'option Modifier les paramètres de la carte du Centre Réseau et partage Windows.
Topologie de périmètre
Deux adresses IPv4 ou IPv6 statiques publiques, consécutives côté Internet
Remarque
Deux adresses publiques sont requises pour Teredo. Si vous n'utilisez pas Teredo, vous pouvez configurer une seule adresse IPv4 statique publique.
Une seule adresse IPv4 ou IPv6 statique interne
Derrière un périphérique NAT (avec deux cartes réseau)
Une seule adresse IPv4 ou IPv6 statique côté Internet
Une seule adresse IPv4 ou IPv6 statique interne côté réseau
Derrière un périphérique NAT (avec une seule carte réseau)
- Une seule adresse IPv4 ou IPv6 statique interne côté réseau
Remarque
Si un serveur DirectAccess avec deux cartes réseau ou plus (une classée dans le profil de domaine et l'autre dans un profil public ou privé) est configuré avec une topologie à une seule carte réseau, nous vous conseillons de procéder comme suit :
Assurez-vous que la seconde carte réseau et toutes les éventuelles cartes réseau supplémentaires sont classées dans le profil de domaine.
Si la seconde carte réseau ne peut pas être configurée pour le profil de domaine, la stratégie IPsec DirectAccess doit être limitée manuellement à tous les profils en utilisant la commande Windows PowerShell suivante après la configuration de DirectAccess :
$gposession = Open-NetGPO "PolicyStore <Name of the server GPO> Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any Save-NetGPO "GPOSession $gposession
1.2 Configurer le tunneling forcé
Le tunneling forcé peut être configuré à l'aide de l'Assistant Configuration de l'accès à distance. Il est présenté sous la forme d'une case à cocher dans l'Assistant Configuration des clients distants. Ce paramètre affecte uniquement les clients DirectAccess. Si le réseau VPN est activé, les clients VPN utilisent par défaut le tunneling forcé. Les administrateurs peuvent modifier ce paramètre pour les clients VPN à partir du profil client.
Cocher la case pour le tunneling forcé a les conséquences suivantes :
cela active le tunneling forcé sur les clients DirectAccess ;
cela ajoute une entrée Any dans la table de stratégie de résolution de noms (NRPT) pour les clients DirectAccess, ce qui signifie que tout le trafic DNS sera dirigé vers les serveurs DNS du réseau interne ;
cela configure les clients DirectAccess de sorte qu'ils utilisent toujours la technologie de transition IP-HTTPS.
Pour mettre des ressources Internet à la disposition des clients DirectAccess qui utilisent le tunneling forcé, vous pouvez utiliser un serveur proxy susceptible de recevoir les demandes IPv6 pour des ressources Internet et les traduire en demandes pour des ressources Internet IPv4. Pour configurer un serveur proxy pour les ressources Internet, vous devez modifier l'entrée par défaut dans la table NRPT pour ajouter le serveur proxy. Pour cela, vous pouvez utiliser les applets de commande PowerShell pour l'accès à distance ou les applets de commande PowerShell pour DNS. Par exemple, utilisez l'applet de commande PowerShell pour l'accès à distance comme suit :
Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>
Remarque
Si DirectAccess et le réseau VPN sont activés sur un même serveur, que le réseau VPN est en mode de tunneling forcé et que le serveur est déployé dans une topologie de périmètre ou une topologie Derrière NAT (avec deux cartes réseau, l'une connectée au domaine et l'autre à un réseau privé), le trafic Internet VPN ne peut pas être transféré via l'interface externe du serveur DirectAccess. Pour implémenter ce scénario, les organisations doivent déployer l'accès à distance sur le serveur derrière un pare-feu dans une topologie à une seule carte réseau. Les organisations peuvent également utiliser un serveur proxy distinct dans le réseau interne pour transférer le trafic Internet provenant des clients VPN.
Remarque
Si une organisation utilise un proxy web pour que les clients DirectAccess accèdent aux ressources Internet et que le proxy d'entreprise n'est pas capable de traiter les ressources réseau internes, les clients DirectAccess ne sont pas en mesure d'accéder aux ressources internes s'ils sont à l'extérieur de l'intranet. Dans un tel scénario, pour permettre aux clients DirectAccess d'accéder aux ressources internes, créez manuellement des entrées NRPT pour les suffixes du réseau interne en utilisant la page DNS de l'Assistant d'infrastructure. N'appliquez pas les paramètres de proxy sur ces suffixes NRPT. Ces suffixes doivent être remplis avec les entrées du serveur DNS par défaut.
1.3 Configurer le routage dans le réseau d'entreprise
Procédez comme suit pour configurer le routage dans le réseau d'entreprise :
Lorsque le protocole IPv6 natif est déployé dans l'organisation, ajoutez un itinéraire afin que les routeurs du réseau interne redirigent le trafic IPv6 via le serveur DirectAccess.
Configurez manuellement les itinéraires IPv4 et IPv6 de l'organisation sur les serveurs DirectAccess. Ajoutez un itinéraire publié afin que tout le trafic ayant un préfixe IPv6 (/48) d'organisation soit transféré au réseau interne. Pour le trafic IPv4, ajoutez des itinéraires explicites afin que le trafic IPv4 soit transféré au réseau interne.
1.4 Configurer les pare-feu
Lorsque vous utilisez des pare-feu supplémentaires dans votre déploiement, appliquez les exceptions de pare-feu côté Internet suivantes pour le trafic d'accès à distance lorsque le serveur DirectAccess est sur le réseau Internet IPv4 :
Trafic Teredo : port UDP de destination 3544 entrant et port UDP source 3544 sortant.
Trafic 6to4 : protocole IP 41 entrant et sortant.
IP-HTTPS : port TCP de destination 443 et port TCP source 443 sortant. Lorsque le serveur DirectAccess dispose d'une seule carte réseau et que le serveur Emplacement réseau se trouve sur le serveur DirectAccess, le port TCP 62000 est également requis.
Remarque
Cette exemption doit être configurée sur le serveur DirectAccess, alors que toutes les autres exemptions doivent être configurées sur le pare-feu de périmètre.
Remarque
Pour le trafic Teredo et 6to4, ces exceptions doivent être appliquées pour les deux adresses IPv4 publiques consécutives côté Internet sur le serveur DirectAccess. Pour IP-HTTPS, les exceptions ne doivent être appliquées qu’à l’adresse de résolution du nom public du serveur.
Lorsque vous utilisez des pare-feu supplémentaires, appliquez les exceptions de pare-feu côté Internet suivantes pour le trafic d'accès à distance lorsque le serveur DirectAccess est sur le réseau Internet IPv6 :
Protocole IP 50
Port UDP de destination 500 entrant et port UDP source 500 sortant.
Protocole ICMP (Internet Control Message Protocol) pour le trafic IPv6 (ICMPv6) entrant et sortant, pour les implémentations Teredo uniquement.
Lorsque vous utilisez des pare-feu supplémentaires, appliquez les exceptions de pare-feu de réseau interne suivantes pour le trafic d’accès à distance :
ISATAP : protocole 41 entrant et sortant
TCP/UDP pour tout le trafic IPv4/IPv6
ICMP pour tout le trafic IPv4/IPv6
1.5 Configurer les autorités de certification et les certificats
L'accès à distance dans Windows Server 2012 vous permet de choisir entre l'utilisation de certificats pour l'authentification des ordinateurs et l'utilisation d'un proxy Kerberos intégré qui effectue l'authentification à l'aide de noms d'utilisateurs et de mots de passe. Vous devez également configurer un certificat IP-HTTPS sur le serveur DirectAccess.
Pour plus d’informations, voir Services de certificat Active Directory.
1.5.1 Configurer l'authentification IPsec
Un certificat d'ordinateur est requis sur le serveur DirectAccess et sur tous les clients DirectAccess pour pouvoir utiliser l'authentification IPsec. Ce certificat doit être émis par une autorité de certification interne et les serveurs et clients DirectAccess doivent faire confiance à la chaîne d'autorité de certification qui émet les certificats racines et intermédiaires.
Pour configurer l'authentification IPsec
Dans l’autorité de certification interne, décidez si vous utiliserez le modèle de certificat Ordinateur ou si vous créerez un modèle de certificat comme cela est décrit dans Création de modèles de certificats.
Remarque
Si vous créez un nouveau modèle, vous devez le configurer pour l'authentification client.
Déployez le modèle de certificat, si nécessaire. Pour plus d’informations, voir Déploiement de modèles de certificat.
Configurez le modèle de certificat pour l'inscription automatique, si nécessaire. Pour plus d’informations, voir Configurer l’inscription automatique de certificat.
1.5.2 Configurer des modèles de certificats
Lorsque vous utilisez une autorité de certification interne pour émettre des certificats, vous devez configurer un modèle de certificat pour le certificat IP-HTTPS et le certificat de site web du serveur Emplacement réseau.
Pour configurer un modèle de certificat
Sur l’autorité de certification interne, créez un modèle de certificat comme décrit dans Création de modèles de certificat.
Déployez le modèle de certificat selon la procédure décrite dans Déploiement de modèles de certificat.
1.5.3 Configurer le certificat IP-HTTPS
L'accès à distance nécessite un certificat IP-HTTPS pour authentifier les connexions IP-HTTPS auprès du serveur DirectAccess. Il existe trois options de certificat disponibles pour l'authentification IP-HTTPS :
Certificat public
Un certificat public est fourni par un tiers. Si le nom du sujet du certificat ne contient pas de caractère générique, il doit s'agir de l'URL de nom de domaine complet (FQDN) pouvant être résolue en externe, qui est utilisée uniquement pour les connexions IP-HTTPS du serveur DirectAccess.
Certificat privé
Si vous utilisez un certificat privé, les éléments suivants sont requis, s'ils n'existent pas encore :
Un certificat de site web utilisé pour l'authentification IP-HTTPS. L’objet du certificat doit être un nom complet FQDN pouvant être résolu en externe accessible à partir d’Internet. Le certificat est basé sur le modèle de certificat que vous avez créé en suivant les instructions fournies dans 1.5.2 Configurer les modèles de certificats.
Un point de distribution de liste de révocation de certificats accessible à partir d’un nom FQDN pouvant être résolu publiquement.
Certificat auto-signé
Si vous utilisez un certificat auto-signé, les éléments suivants sont requis, s'ils n'existent pas encore :
Un certificat de site web utilisé pour l'authentification IP-HTTPS. L’objet du certificat doit être un nom complet FQDN pouvant être résolu en externe accessible à partir d’Internet.
Un point de distribution de liste de révocation de certificats accessible à partir d'un nom FQDN pouvant être résolu publiquement.
Notes
Les certificats auto-signés ne sont pas utilisables dans des déploiements multisites.
Assurez-vous que le certificat de site web utilisé pour l'authentification IP-HTTPS est conforme aux exigences suivantes :
Le nom commun du certificat doit correspondre au nom du site IP-HTTPS.
Dans le champ Objet, spécifiez le nom de domaine complet de l’URL IP-HTTPS.
Pour le champ Utilisation améliorée de la clé, utilisez l'identificateur d'objet (OID) d'authentification du serveur.
Pour le champ Points de distribution de la liste de révocation de certificats, indiquez un point de distribution de liste de révocation de certificats accessible par les clients DirectAccess connectés à Internet
Le certificat IP-HTTPS doit avoir une clé privée.
Le certificat IP-HTTPS doit être importé directement dans le magasin personnel.
Les certificats IP-HTTPS peuvent utiliser des caractères génériques dans le nom.
Pour installer le certificat IP-HTTPS à partir d'une autorité de certification interne
Sur le serveur DirectAccess : dans l’écran Démarrer, entrez mmc.exe, puis appuyez sur Entrée.
Dans la console MMC, dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, sur Ajouter, sur Le compte de l'ordinateur, sur Suivant, sur Ordinateur local, sur Terminer, puis sur OK.
Dans l'arborescence de la console du composant logiciel enfichable Certificats, ouvrez Certificats (ordinateur local)\Personnel\Certificats.
Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.
Cliquez deux fois sur Suivant.
Dans la page Demander des certificats, cochez la case correspondant au modèle de certificat que vous avez créé précédemment (pour plus d'informations, voir 1.5.2 Configurer les modèles de certificats). Si nécessaire, cliquez sur L'inscription pour obtenir ce certificat nécessite des informations supplémentaires.
Dans la boîte de dialogue Propriétés du certificat, sous l'onglet Sujet, dans la zone Nom du sujet, dans Type, sélectionnez Nom commun.
Dans Valeur, spécifiez l'adresse IPv4 de la carte côté externe du serveur DirectAccess ou le nom de domaine complet (FQDN) de l'URL IP-HTTPS, puis cliquez sur Ajouter.
Dans la zone Autre nom, dans Type, sélectionnez DNS.
Dans Valeur, spécifiez l'adresse IPv4 de la carte côté externe du serveur DirectAccess ou le nom de domaine complet (FQDN) de l'URL IP-HTTPS, puis cliquez sur Ajouter.
Sous l'onglet Général, dans Nom convivial, vous pouvez entrer un nom qui vous permettra d'identifier le certificat.
Sous l'onglet Extensions, cliquez sur la flèche en regard de l'option Utilisation améliorée de la clé et assurez-vous qu'Authentification du serveur apparaît dans la liste Expressions sélectionnées.
Cliquez sur OK, sur Inscrire, puis sur Terminer.
Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez que le nouveau certificat a été inscrit avec Rôles prévus égal à Authentification du serveur.
1.6 Configurer le serveur DNS
Vous devez configurer manuellement une entrée DNS pour le site web du serveur d'emplacement réseau du réseau interne de votre déploiement.
Pour créer le serveur Emplacement réseau
Sur le serveur DNS du réseau interne : dans l’écran d’accueil, entrez dnsmgmt.msc, puis appuyez sur Entrée.
Dans le volet gauche de la console Gestionnaire DNS, développez la zone de recherche directe de votre domaine. Cliquez avec le bouton droit sur le domaine et cliquez sur Nouvel hôte (A ou AAAA).
Dans la boîte de dialogue Nouvel hôte, dans la zone Adresse IP :
Dans la zone Nom (utilise le domaine parent si ce champ est vide), entrez le nom DNS du site web du serveur Emplacement réseau (il s'agit du nom que les clients DirectAccess utilisent pour se connecter au serveur Emplacement réseau).
Entrez l'adresse IPv4 ou IPv6 du serveur Emplacement réseau, puis cliquez sur Ajouter un hôte et sur OK.
Dans la boîte de dialogue Nouvel hôte :
Dans la zone Nom (utilise le domaine parent si ce champ est vide), entrez le nom DNS de la sonde web (le nom de la sonde web par défaut est directaccess-webprobehost).
Dans la zone Adresse IP, entrez l'adresse IPv4 ou IPv6 de la sonde web, puis cliquez sur Ajouter un hôte.
Répétez ce processus pour directaccess-corpconnectivityhost et tout vérificateur de connectivité créé manuellement.
Dans la boîte de dialogue DNS, cliquez sur OK, puis sur Terminé.
Commandes équivalentes Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Vous devez également configurer les entrées DNS pour les éléments suivants :
Serveur IP-HTTPS
Les clients DirectAccess doivent être en mesure de résoudre le nom DNS du serveur DirectAccess à partir d'Internet.
Vérification de la révocation des certificats
DirectAccess utilise la vérification de la révocation des certificats pour la connexion IP-HTTPS entre les clients DirectAccess et le serveur DirectAccess, ainsi que pour la connexion HTTPS entre le client DirectAccess et le serveur Emplacement réseau. Dans les deux cas, les clients DirectAccess doivent être en mesure de résoudre le point de distribution de liste de révocation de certificats et d'y accéder.
ISATAP
Le protocole ISATAP (IntraSite Automatic Tunnel Addressing Protocol) utilise le tunneling pour permettre aux clients DirectAccess de se connecter au serveur DirectAccess sur le réseau Internet IPv4, en encapsulant les paquets IPv6 au sein d'un en-tête IPv4. Il est utilisé par l'accès à distance pour fournir la connectivité IPv6 aux hôtes ISATAP sur un intranet. Dans un environnement réseau IPv6 non natif, le serveur DirectAccess se configure lui-même automatiquement en tant que routeur ISATAP. La prise en charge de la résolution pour le nom ISATAP est requise.
1.7 Configurer Active Directory
Le serveur DirectAccess et tous les ordinateurs clients DirectAccess doivent être joints à un domaine Active Directory. Les ordinateurs clients DirectAccess doivent être membres de l'un des types de domaines suivants :
Domaines qui appartiennent à la même forêt que le serveur DirectAccess
Domaines qui appartiennent à des forêts dotées d'une relation d'approbation bidirectionnelle avec la forêt du serveur DirectAccess
Domaines dotés d'une approbation bidirectionnelle avec le domaine du serveur DirectAccess
Pour joindre le serveur DirectAccess à un domaine
Dans le Gestionnaire de serveur, cliquez sur Serveur local. Dans le volet d’informations, cliquez sur le lien en regard de Nom de l’ordinateur.
Dans la boîte de dialogue Propriétés système, cliquez sur l'onglet Nom de l'ordinateur, puis sur Changer.
Dans Nom de l’ordinateur, tapez le nom de l’ordinateur si vous modifiez également le nom de l’ordinateur lors de la jonction du serveur au domaine. Sous Membre de, cliquez sur Domaine, et tapez le nom du domaine auquel vous voulez joindre le serveur (par exemple, corp.contoso.com), puis cliquez sur OK.
Lorsque vous êtes invités à entrer un nom d’utilisateur et un mot de passe, tapez le nom d’utilisateur et le mot de passe d’un utilisateur qui dispose des droits pour joindre des ordinateurs au domaine, puis cliquez sur OK.
Lorsqu'une boîte de dialogue de bienvenue s'affiche dans le domaine, cliquez sur OK.
Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur OK.
Dans la boîte de dialogue Propriétés système, cliquez sur Fermer.
Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.
Pour joindre des ordinateurs clients au domaine
Dans l’écran Démarrer, entrez explorer.exe, puis appuyez sur Entrée.
Cliquez avec le bouton droit sur l'icône Ordinateur, puis cliquez sur Propriétés.
Dans la page Système, cliquez sur Paramètres système avancés.
Dans la boîte de dialogue Propriétés système, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.
Dans Nom de l'ordinateur, tapez le nom de l'ordinateur si vous modifiez également le nom de l'ordinateur lors de la jonction du serveur au domaine. Sous Membre de, cliquez sur Domaine, et tapez le nom du domaine auquel vous voulez joindre le serveur (par exemple, corp.contoso.com), puis cliquez sur OK.
Lorsque vous êtes invités à entrer un nom d’utilisateur et un mot de passe, tapez le nom d’utilisateur et le mot de passe d’un utilisateur qui dispose des droits pour joindre des ordinateurs au domaine, puis cliquez sur OK.
Lorsqu'une boîte de dialogue de bienvenue s'affiche dans le domaine, cliquez sur OK.
Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur OK.
Dans la boîte de dialogue Propriétés système, cliquez sur Fermer.
Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.
Commandes équivalentes Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Notes
Vous devez fournir des informations d'identification de domaine quand vous entrez la commande Add-Computer suivante.
Add-Computer -DomainName <domain_name>
Restart-Computer
1.8 Configurer les objets de stratégie de groupe
Un minimum de deux GPO (objets de stratégie de groupe) sont requis pour déployer l'accès à distance :
l'un contient les paramètres pour le serveur DirectAccess ;
l'autre contient les paramètres pour les ordinateurs clients DirectAccess.
Quand vous configurez l’accès à distance, l’Assistant crée automatiquement les objets de stratégie de groupe nécessaires. Toutefois, si votre organisation impose une convention d'affectation des noms, vous pouvez taper un nom dans la boîte de dialogue d'objet de stratégie de groupe dans la console de gestion de l'accès à distance. Pour plus d'informations, voir 2.7. Résumé de la configuration et autres objets de stratégie de groupe. Si vous avez créé des autorisations, l'objet de stratégie de groupe sera créé. Si vous ne disposez pas des autorisations requises pour créer des objets de stratégie de groupe, ceux-ci doivent être créés avant la configuration de l'accès à distance.
Pour créer des objets de stratégie de groupe, consultez Créer et modifier un objet de stratégie de groupe.
Important
Les administrateurs peuvent lier manuellement les GPO DirectAccess à une unité d'organisation en procédant comme suit :
- Avant de configurer DirectAccess, liez les objets de stratégie de groupe créés aux unités d'organisation respectives.
- Configurez DirectAccess en spécifiant un groupe de sécurité pour les ordinateurs clients.
- L’administrateur d’accès à distance peut ou non avoir l’autorisation de lier les objets de stratégie de groupe au domaine. Dans l’un ou l’autre cas, les objets de stratégie de groupe seront automatiquement configurés. Si les objets de stratégie de groupe sont déjà liés à une unité d'organisation, les liens ne seront pas supprimés, et les objets de stratégie de groupe ne seront pas liés au domaine. Pour un objet de stratégie de groupe serveur, l'unité d'organisation doit contenir l'objet ordinateur serveur, ou l'objet de stratégie de groupe sera lié à la racine du domaine.
- Si vous n'avez pas effectué la liaison avec l'unité d'organisation avant d'exécuter l'Assistant DirectAccess, l'administrateur de domaine peut, une fois la configuration terminée, lier les GPO DirectAccess aux unités d'organisation requises. Il est possible de supprimer le lien au domaine. Pour plus d’informations, voir Lier un objet de stratégie de groupe.
Remarque
Si un objet de stratégie de groupe a été créé manuellement, il est possible que le GPO ne soit pas disponible pendant la configuration de DirectAccess. L’objet de stratégie de groupe n’a peut-être pas été répliqué sur le contrôleur de domaine le plus proche de l’ordinateur de gestion. Dans ce cas, l'administrateur peut attendre la fin de la réplication ou forcer la réplication.
1.8.1 Configurer les objets de stratégie de groupe d'accès à distance avec des autorisations limitées
Dans un déploiement qui utilise des objets de stratégie de groupe intermédiaires et de production, l’administrateur du domaine doit effectuer les opérations suivantes :
Obtenir la liste des objets de stratégie de groupe requis pour le déploiement de l'accès à distance à partir de l'administrateur de l'accès à distance. Pour plus d'informations, voir 1.8 Planifier les objets de stratégie de groupe.
Pour chaque objet de stratégie de groupe demandé par l'administrateur de l'accès à distance, créer une paire d'objets de stratégie de groupe avec des noms différents. Le premier sera utilisé comme objet de stratégie de groupe intermédiaire et le second comme objet de stratégie de groupe de production.
Pour créer des objets de stratégie de groupe, consultez Créer et modifier un objet de stratégie de groupe.
Pour lier les objets de stratégie de groupe de production, voir Lier un objet de stratégie de groupe.
Accordez à l'administrateur de l'accès à distance les autorisations Modifier les paramètres, supprimer, modifier la sécurité sur tous les objets de stratégie de groupe intermédiaires. Pour plus d’informations, voir Déléguer des autorisations pour un groupe ou un utilisateur sur un objet de stratégie de groupe.
Refusez à l'administrateur de l'accès à distance les autorisations de lier des objets de stratégie de groupe dans tous les domaines (ou vérifiez que l'administrateur de l'accès à distance ne possède pas de telles autorisations). Pour plus d’informations, voir Déléguer des autorisations pour lier des objets de stratégie de groupe.
Quand les administrateurs de l'accès à distance configurent l'accès à distance, ils doivent toujours spécifier uniquement les objets de stratégie de groupe intermédiaires (pas les objets de stratégie de groupe de production). Ceci est vrai dans la configuration initiale de l'accès à distance et lors de l'exécution d'opérations de configuration supplémentaires nécessitant des objets de stratégie de groupe supplémentaires. Par exemple, lors de l'ajout de points d'entrée dans un déploiement multisite ou de l'activation d'ordinateurs clients dans des domaines supplémentaires.
Une fois que l'administrateur de l'accès à distance a terminé toutes les modifications de la configuration de l'accès à distance, l'administrateur de domaine doit passer en revue les paramètres figurant dans les objets de stratégie de groupe intermédiaires, et utiliser la procédure suivante pour copier les paramètres dans les objets de stratégie de groupe de production.
Conseil
Effectuez la procédure suivante après chaque modification de la configuration de l'accès à distance.
Pour copier les paramètres dans les objets de stratégie de groupe de production
Vérifiez que tous les objets de stratégie de groupe intermédiaires dans le déploiement de l'accès à distance ont été répliqués sur tous les contrôleurs de domaine figurant dans le domaine. Ceci est requis pour garantir que la configuration la plus à jour est importée dans les objets de stratégie de groupe de production. Pour plus d'informations, voir Vérifier l'état de l'infrastructure des stratégies de groupe.
Exportez les paramètres en sauvegardant tous les objets de stratégie de groupe intermédiaires dans le déploiement de l'accès à distance. Pour plus d’informations, voir Sauvegarder un objet de stratégie de groupe.
Pour chaque objet de stratégie de groupe de production, modifiez les filtres de sécurité pour qu'ils correspondent aux filtres de sécurité de l'objet de stratégie de groupe intermédiaire correspondant. Pour plus d’informations, voir Filtrer à l’aide de groupes de sécurité.
Remarque
Ceci est nécessaire car l'option Importer les paramètres ne copie pas le filtre de sécurité de l'objet de stratégie de groupe source.
Pour chaque objet de stratégie de groupe de production, importez les paramètres à partir de la sauvegarde de l'objet de stratégie de groupe intermédiaire correspondant, comme suit :
Dans la console de gestion stratégie de groupe (GPMC), développez le nœud objets stratégie de groupe dans la forêt et le domaine qui contient l’objet stratégie de groupe de production dans lequel les paramètres seront importés.
Cliquez avec le bouton droit sur l'objet de stratégie de groupe et cliquez sur Importer les paramètres.
Dans l'Assistant Importation des paramètres, dans la page Bienvenue, cliquez sur Suivant.
Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Sauvegarde.
Dans la boîte de dialogue Objet de stratégie de groupe de sauvegarde, dans la zone Emplacement, entrez le chemin de l'emplacement où vous voulez stocker les sauvegardes des objets de stratégie de groupe, ou cliquez sur Parcourir pour localiser le dossier.
Dans la zone Description, tapez une description de l'objet de stratégie de groupe de production, puis cliquez sur Sauvegarder.
Une fois la sauvegarde terminée, cliquez sur OK, puis, dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Suivant.
Dans la page Emplacement de sauvegarde, dans la zone Dossier de sauvegarde, entrez le chemin d'accès de l'emplacement dans lequel la sauvegarde de l'objet de stratégie de groupe intermédiaire correspondant a été stockée à l'étape 2, ou cliquez sur Parcourir pour localiser le dossier, puis cliquez sur Suivant.
Dans la page Objet de stratégie de groupe (GPO) source, cochez la case N'afficher que la dernière version des objets GPO pour masquer les sauvegardes plus anciennes, et sélectionnez l'objet de stratégie de groupe intermédiaire correspondant. Cliquez sur Afficher les paramètres pour passer en revue les paramètres de l'accès à distance avant de les appliquer à l'objet de stratégie de groupe de production, puis cliquez sur Suivant.
Dans la page Analyse de la sauvegarde, cliquez sur Suivant, puis sur Terminer.
Commandes équivalentes Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Pour sauvegarder l'objet de stratégie de groupe de client intermédiaire « Paramètres du client DirectAccess - Intermédiaire » dans le domaine « corp.contoso.com » dans le dossier de sauvegarde « C:\Backups\ » :
$backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'Pour voir le filtrage de sécurité de l'objet de stratégie de groupe de client intermédiaire « Paramètres du client DirectAccess - Intermédiaire » dans le domaine « corp.contoso.com » :
Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}Pour ajouter le groupe de sécurité « corp.contoso.com\DirectAccess clients » au filtre de sécurité de l'objet de stratégie de groupe de client de production « Paramètres du client DirectAccess – Production » dans le domaine « corp.contoso.com » :
Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType GroupPour importer les paramètres à partir de la sauvegarde dans l'objet de stratégie de groupe de client de production « Paramètres du client DirectAccess – Production » dans le domaine « corp.contoso.com » :
Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'
1.9 Configurer les groupes de sécurité
Les paramètres DirectAccess contenus dans l’objet de stratégie de groupe de l'ordinateur client sont appliqués uniquement aux ordinateurs qui sont membres des groupes de sécurité que vous spécifiez lors de la configuration de l'accès à distance. De plus, si vous utilisez des groupes de sécurité pour gérer vos serveurs d'applications, créez un groupe de sécurité pour ces serveurs.
Pour créer un groupe de sécurité pour les clients DirectAccess
Dans l’écran Démarrer, entrez dsa.msc, puis appuyez sur Entrée. Dans la console Utilisateurs et ordinateurs Active Directory, dans le volet gauche, développez le domaine contenant le groupe de sécurité, cliquez avec le bouton droit sur Utilisateurs, pointez sur Nouveau, puis cliquez sur Groupe.
Dans la boîte de dialogue Nouvel objet - Groupe, sous Nom du groupe, entrez le nom du groupe de sécurité.
Sous Étendue du groupe, cliquez sur Globale. Sous Type de groupe, cliquez sur Sécurité, puis cliquez sur OK.
Double-cliquez sur le groupe de sécurité des ordinateurs clients DirectAccess, puis, dans la boîte de dialogue des propriétés, cliquez sur l'onglet Membres.
Sous l'onglet Membres, cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner Utilisateurs, contacts, ordinateurs ou comptes de service, sélectionnez les ordinateurs clients que vous voulez activer pour DirectAccess, puis cliquez sur OK.
Commandes équivalentes Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
1.10 Configurer le serveur Emplacement réseau
Le serveur Emplacement réseau doit être un serveur avec une haute disponibilité et il doit posséder un certificat SSL valide approuvé par les clients DirectAccess. Il existe deux options de certificat pour le certificat de serveur Emplacement réseau :
Certificat privé
Le certificat est basé sur le modèle de certificat que vous avez créé en suivant les instructions fournies dans 1.5.2 Configurer les modèles de certificats.
Certificat auto-signé
Remarque
Les certificats auto-signés ne sont pas utilisables dans des déploiements multisites.
Les éléments suivants sont requis pour les deux types de certificats, s'ils n'existent pas encore :
Un certificat de site web utilisé pour le serveur Emplacement réseau. Le sujet de certificat doit être l'URL du serveur Emplacement réseau.
Un point de distribution de liste de révocation de certificats à haute disponibilité à partir du réseau interne.
Remarque
Si le site web du serveur Emplacement réseau se trouve sur le serveur DirectAccess, un site web est créé automatiquement quand vous configurez l'accès à distance. Ce site est lié au certificat de serveur que vous fournissez.
Pour installer le certificat du serveur d'emplacement réseau à partir d'une autorité de certification interne
Sur le serveur qui doit héberger le site web du serveur d’emplacement réseau : dans l’écran Démarrer, tapez mmc.exe, puis appuyez sur Entrée.
Dans la console MMC, dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, sur Ajouter, sur Le compte de l'ordinateur, sur Suivant, sur Ordinateur local, sur Terminer, puis sur OK.
Dans l'arborescence de la console du composant logiciel enfichable Certificats, ouvrez Certificats (ordinateur local)\Personnel\Certificats.
Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.
Cliquez deux fois sur Suivant.
Dans la page Demander des certificats, cochez la case correspondant au modèle de certificat que vous avez créé en suivant les instructions fournies dans 1.5.2 Configuration de modèles de certificats. Si nécessaire, cliquez sur L'inscription pour obtenir ce certificat nécessite des informations supplémentaires.
Dans la boîte de dialogue Propriétés du certificat, sous l'onglet Sujet, dans la zone Nom du sujet, dans Type, sélectionnez Nom commun.
Dans le champ Valeur, entrez le nom de domaine complet (FQDN) du site web du serveur d'emplacement réseau, puis cliquez sur Ajouter.
Dans la zone Autre nom, dans Type, sélectionnez DNS.
Dans le champ Valeur, entrez le nom de domaine complet (FQDN) du site web du serveur d'emplacement réseau, puis cliquez sur Ajouter.
Sous l'onglet Général, dans Nom convivial, vous pouvez entrer un nom qui vous permettra d'identifier le certificat.
Cliquez sur OK, sur Inscrire, puis sur Terminer.
Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat a été inscrit avec Rôles prévus égal à Authentification du serveur.
Pour configurer le serveur Emplacement réseau
Configurez un site web sur un serveur à haute disponibilité. Le site web ne nécessite aucun contenu, mais quand vous le testez, vous pouvez définir une page par défaut qui fournit un message lorsque les clients se connectent.
Notes
Cette étape n'est pas nécessaire si le site web du serveur Emplacement réseau est hébergé sur le serveur DirectAccess.
Liez un certificat de serveur HTTPS au site web. Le nom commun du certificat doit correspondre au nom du site du serveur Emplacement réseau. Assurez-vous que les clients DirectAccess font confiance à l'autorité de certification émettrice.
Notes
Cette étape n'est pas nécessaire si le site web du serveur Emplacement réseau est hébergé sur le serveur DirectAccess.
Configurez un site de liste de révocation de certificats à haute disponibilité à partir du réseau interne.
Les points de distribution de listes de révocation de certificat sont accessibles via :
Les serveurs Web en utilisant une URL basée sur le protocole HTTP, telle que : https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
les serveurs de fichiers accessibles via un chemin UNC (Universal Naming Convention), tel que \\crl.corp.contoso.com\crld\corp-APP1-CA.crl.
Si le point de distribution de liste de révocation de certificats interne est accessible uniquement via IPv6, vous devez configurer une règle de sécurité de connexion de Pare-feu Windows avec fonctions avancées de sécurité pour exempter la protection IPsec de l'adresse IPv6 de votre intranet jusqu'aux adresses IPv6 de vos points de distribution de liste de révocation de certificats.
Assurez-vous que les clients DirectAccess figurant sur le réseau interne peuvent résoudre le nom du serveur Emplacement réseau. Assurez-vous que le nom ne peut pas être résolu par les clients DirectAccess sur Internet.