Partager via

Étape 3 : Configurer le déploiement multisite

Après avoir configuré l’infrastructure multisite, suivez ces étapes pour configurer le déploiement multisite de l’accès à distance.

Tâche Description
3.1. Configurer des serveurs d’accès à distance Configurez des serveurs d’accès à distance supplémentaires en configurant des adresses IP, en les joignant au domaine et en installant le rôle Accès à distance.
3.2. Accorder l’accès administrateur Accordez des privilèges sur les serveurs d’accès à distance supplémentaires à l’administrateur DirectAccess.
3.3. Configurer IP-HTTPS pour un déploiement multisite Configurez le certificat IP-HTTPS utilisé dans un déploiement multisite.
3.4. Configurer le serveur d’emplacement réseau pour un déploiement multisite Configurez le certificat de serveur d’emplacement réseau utilisé dans un déploiement multisite.
3.5. Configurer des clients DirectAccess pour un déploiement multisite Supprimez les ordinateurs clients Windows 7 de Windows 8 groupes de sécurité.
3.6. Activer le déploiement multisite Activez le déploiement multisite sur le premier serveur d’accès à distance.
3.7. Ajouter des points d’entrée au déploiement multisite Ajoutez des points d’entrée supplémentaires au déploiement multisite.

Notes

Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.

3.1. Configurer des serveurs d’accès à distance

Pour installer le rôle Accès à distance

  1. Assurez-vous que chaque serveur d’accès à distance est configuré avec la topologie de déploiement appropriée (Edge, derrière un NAT, interface réseau unique) et les itinéraires correspondants.

  2. Configurez les adresses IP sur chaque serveur d’accès à distance en fonction de la topologie de site et du schéma d’adressage IP de votre organisation.

  3. Joignez chaque serveur d’accès à distance à un domaine Active Directory.

  4. Dans la console Gestionnaire de serveur, dans Tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités.

  5. Cliquez sur Suivant trois fois pour accéder à l’écran de sélection du rôle de serveur.

  6. Dans la boîte de dialogue Sélectionner des rôles de serveurs, sélectionnez Accès à distance, puis cliquez sur Suivant.

  7. Cliquez sur Suivant trois fois de suite.

  8. Dans la boîte de dialogue Sélectionner les services de rôle, sélectionnez DirectAccess et VPN (RAS), puis cliquez sur Ajouter des fonctionnalités.

  9. Sélectionnez Routage, sélectionnez Proxy d'application web, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

  10. Cliquez sur Suivant, puis sur Installer.

  11. Dans la boîte de dialogue Progression de l’installation, vérifiez que l’installation s’est correctement déroulée et cliquez sur Fermer.

Windows PowerShellCommandes équivalentes Windows PowerShell

Les étapes 1 à 3 doivent être effectuées manuellement et ne sont pas effectuées à l’aide de cette applet de commande Windows PowerShell.

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Install-WindowsFeature RemoteAccess -IncludeManagementTools

3.2. Accorder l’accès administrateur

Pour accorder des autorisations d’administrateur

  1. Sur le serveur d’accès à distance dans le point d’entrée supplémentaire : dans l’écran d’accueil, tapez Gestion de l’ordinateur, puis appuyez sur Entrée.

  2. Dans le panneau gauche, cliquez sur Utilisateurs et groupes locaux.

  3. Double-cliquez sur Groupes, puis double-cliquez sur Administrateurs.

  4. Dans la boîte de dialogue Propriétés des administrateurs, cliquez sur Ajouter, puis dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes, cliquez sur Emplacements.

  5. Dans la boîte de dialogue Emplacements, dans l’arborescence Emplacement, cliquez sur l’emplacement qui contient le compte d’utilisateur de l’administrateur DirectAccess, puis cliquez sur OK.

  6. Dans la zone Entrez les noms d’objets à sélectionner, entrez le nom d’utilisateur de l’administrateur DirectAccess, puis cliquez deux fois sur OK.

  7. Dans la boîte de dialogue Propriétés administrateur, cliquez sur OK.

  8. Fermez la fenêtre Gestion de l'ordinateur.

  9. Répétez cette procédure sur tous les serveurs d’accès à distance qui feront partie du déploiement multisite.

3.3. Configurer IP-HTTPS pour un déploiement multisite

Sur chaque serveur d’accès à distance qui sera ajouté au déploiement multisite, un certificat SSL est requis pour vérifier la connexion HTTPS au serveur web IP-HTTPS. L'appartenance au groupe local Administrateurs, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour obtenir un certificat IP-HTTPS

  1. Sur chaque serveur d’accès à distance : dans l’écran d’accueil, tapez mmc, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Cliquez sur Fichier, puis sur Ajouter ou supprimer des composants logiciels enfichables.

  3. Cliquez sur Certificats, sur Ajouter, sur Un compte d'ordinateur, sur Suivant, sélectionnez L'ordinateur local, cliquez sur Terminer, puis sur OK.

  4. Dans l'arborescence de la console du composant logiciel enfichable Certificats, ouvrez Certificats (ordinateur local)\Personnel\Certificats.

  5. Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

  6. Cliquez deux fois sur Suivant.

  7. Dans la page Demander des certificats, cliquez sur le serveur Web de votre modèle de certificat, puis cliquez L'inscription pour obtenir ce certificat nécessite des informations supplémentaires.

    Si le modèle de certificat de serveur web n’apparaît pas, vérifiez que le compte d’ordinateur du serveur d’accès à distance dispose des autorisations d’inscription pour le modèle de certificat de serveur Web. Pour plus d’informations, consultez Configurer des autorisations sur le modèle de certificat de serveur web.

  8. Sous l'onglet Objet de la boîte de dialogue Propriétés du certificat, dans Nom du sujet, pour Type, sélectionnez Nom commun.

  9. Dans Valeur, tapez le nom de domaine complet (FQDN) du nom Internet du serveur d'accès à distance (par exemple, Europe.contoso.com), puis cliquez sur Ajouter.

  10. Cliquez sur OK, sur Inscrire, puis sur Terminer.

  11. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat avec le nom de domaine complet a été inscrit avec Rôles prévus égal à Authentification du serveur.

  12. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Propriétés.

  13. Dans Nom convivial, tapez Certificat IP-HTTPS, puis cliquez sur OK.

    Conseil

    Les étapes 12 et 13 sont facultatives, mais facilitent la sélection du certificat pour IP-HTTPS lors de la configuration de l’accès à distance.

  14. Répétez cette procédure sur tous les serveurs d’accès à distance de votre déploiement.

3.4. Configurer le serveur d’emplacement réseau pour un déploiement multisite

Si vous avez choisi de configurer le site web du serveur d’emplacement réseau sur le serveur d’accès à distance lorsque vous configurez votre premier serveur, chaque nouveau serveur d’accès à distance que vous ajoutez doit être configuré avec un certificat de serveur web qui a le même nom d’objet que celui sélectionné pour le serveur d’emplacement réseau pour le premier serveur. Chaque serveur a besoin d’un certificat pour authentifier la connexion auprès du serveur d’emplacement réseau, et les ordinateurs clients situés dans le réseau interne doivent être en mesure de résoudre le nom du site web dans DNS.

Pour installer un certificat pour l’emplacement réseau

  1. Sur le serveur d’accès à distance : dans l’écran d’accueil, tapez mmc, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Cliquez sur Fichier, puis sur Ajouter ou supprimer des composants logiciels enfichables.

  3. Cliquez sur Certificats, sur Ajouter, sur Un compte d'ordinateur, sur Suivant, sélectionnez L'ordinateur local, cliquez sur Terminer, puis sur OK.

  4. Dans l'arborescence de la console du composant logiciel enfichable Certificats, ouvrez Certificats (ordinateur local)\Personnel\Certificats.

  5. Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

    Notes

    Vous pouvez également importer le même certificat que celui utilisé pour le serveur d’emplacement réseau pour le premier serveur d’accès à distance.

  6. Cliquez deux fois sur Suivant.

  7. Dans la page Demander des certificats, cliquez sur le serveur Web de votre modèle de certificat, puis cliquez L'inscription pour obtenir ce certificat nécessite des informations supplémentaires.

    Si le modèle de certificat de serveur web n’apparaît pas, vérifiez que le compte d’ordinateur du serveur d’accès à distance dispose des autorisations d’inscription pour le modèle de certificat de serveur Web. Pour plus d’informations, consultez Configurer des autorisations sur le modèle de certificat de serveur web.

  8. Sous l'onglet Objet de la boîte de dialogue Propriétés du certificat, dans Nom du sujet, pour Type, sélectionnez Nom commun.

  9. Dans Valeur, tapez le nom de domaine complet (FQDN) configuré pour le certificat de serveur d’emplacement réseau du premier serveur d’accès à distance (par exemple, nls.corp.contoso.com), puis cliquez sur Ajouter.

  10. Cliquez sur OK, sur Inscrire, puis sur Terminer.

  11. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat avec le nom de domaine complet a été inscrit avec Rôles prévus égal à Authentification du serveur.

  12. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Propriétés.

  13. Dans Nom convivial, tapez Certificat Emplacement réseau, puis cliquez sur OK.

    Conseil

    Les étapes 12 et 13 sont facultatives, mais facilitent la sélection du certificat pour l’emplacement réseau lors de la configuration de l’accès à distance.

  14. Répétez cette procédure sur tous les serveurs d’accès à distance de votre déploiement.

Pour créer les enregistrements DNS du serveur d’emplacement réseau

  1. Sur le serveur DNS : dans l’écran d’accueil, tapez dnsmgmt.msc, puis appuyez sur Entrée.

  2. Dans le volet gauche de la console Gestionnaire DNS, développez la zone de recherche directe du réseau interne. Cliquez avec le bouton droit sur la zone concernée et cliquez sur Nouvel hôte (A ou AAAA).

  3. Dans la boîte de dialogue Nouvel hôte, dans la zone Nom (utilise le nom de domaine parent si vide), entrez le nom utilisé pour le serveur d’emplacement réseau pour le premier serveur d’accès à distance. Dans la zone Adresse IP, tapez l'adresse IPv4 du serveur d'accès à distance orientée vers l'intranet, puis cliquez sur Ajouter un hôte. Dans la boîte de dialogue DNS, cliquez sur OK.

  4. Dans la boîte de dialogue Nouvel hôte, dans la zone Nom (utilise le nom de domaine parent si vide), entrez le nom utilisé pour le serveur d’emplacement réseau pour le premier serveur d’accès à distance. Dans la zone Adresse IP, tapez l'adresse IPv6 du serveur d'accès à distance orientée vers l'intranet, puis cliquez sur Ajouter un hôte. Dans la boîte de dialogue DNS, cliquez sur OK.

  5. Répétez les étapes 3 et 4 pour chaque serveur d’accès à distance dans votre déploiement.

  6. Cliquez sur Done.

  7. Répétez cette procédure avant d’ajouter des serveurs en tant que points d’entrée supplémentaires dans le déploiement.

3.5. Configurer des clients DirectAccess pour un déploiement multisite

Les ordinateurs clients Windows DirectAccess doivent être membres de groupes de sécurité qui définissent leur association DirectAccess. Avant l’activation du multisite, ces groupes de sécurité peuvent contenir à la fois des clients Windows 8 et des clients Windows 7 (si le mode « bas niveau » approprié a été sélectionné). Une fois le multisite activé, le ou les groupes de sécurité clients existants, en mode serveur unique, sont convertis en groupes de sécurité pour Windows 8 uniquement. Une fois le multisite activé, les ordinateurs clients DirectAccess Windows 7 doivent être déplacés vers les groupes de sécurité clients Windows 7 dédiés correspondants (qui sont associés à des points d’entrée spécifiques), sans quoi ils ne pourront pas se connecter via DirectAccess. Les clients Windows 7 doivent d’abord être supprimés des groupes de sécurité existants qui sont maintenant Windows 8 groupes de sécurité. Attention : les ordinateurs clients Windows 7 qui sont membres à la fois des groupes de sécurité Windows 7 et Windows 8 clients perdent la connectivité à distance, et les clients Windows 7 sans SP1 installés perdent également la connectivité d’entreprise. Par conséquent, tous les ordinateurs clients Windows 7 doivent être supprimés de Windows 8 groupes de sécurité.

Supprimer des clients Windows 7 des groupes de sécurité Windows 8

  1. Sur le contrôleur de domaine principal, cliquez sur Démarrer, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

  2. Pour supprimer des ordinateurs du groupe de sécurité, double-cliquez sur le groupe de sécurité, puis, dans la boîte de dialogue Propriétés <Group_Name>, cliquez sur l’onglet Membres.

  3. Sélectionnez l’ordinateur client Windows 7, puis cliquez sur Supprimer.

  4. Répétez cette procédure pour supprimer les ordinateurs clients Windows 7 des groupes de sécurité Windows 8.

Important

Lors de l’activation d’une configuration multisite d’accès à distance, tous les ordinateurs clients (Windows 7 et Windows 8) perdent la connectivité à distance jusqu’à ce qu’ils soient en mesure de se connecter directement au réseau d’entreprise ou par VPN pour mettre à jour leurs stratégies de groupe. Cela est vrai lors de l’activation de la fonctionnalité multisite pour la première fois, ainsi que lors de la désactivation de multisite.

3.6. Activer le déploiement multisite

Pour configurer un déploiement multisite, activez la fonctionnalité multisite sur votre serveur d’accès à distance existant. Avant d’activer le multisite dans votre déploiement, vérifiez que vous disposez des informations suivantes :

  1. Paramètres de l’équilibreur de charge global et adresses IP si vous souhaitez équilibrer la charge des connexions clientes DirectAccess sur tous les points d’entrée de votre déploiement.

  2. Groupe(s) de sécurité contenant les ordinateurs clients Windows 7 pour le premier point d’entrée de votre déploiement, si vous souhaitez activer l’accès à distance pour les ordinateurs clients Windows 7.

  3. Stratégie de groupe noms d’objets, si vous devez utiliser des objets stratégie de groupe autres que les objets par défaut, qui sont appliqués sur les ordinateurs clients Windows 7 pour le premier point d’entrée de votre déploiement, si vous avez besoin d’une prise en charge des ordinateurs clients Windows 7.

Pour activer une configuration multisite

  1. Sur votre serveur d’accès à distance existant : dans l’écran d’accueil, tapez RAMgmtUI.exe, puis appuyez sur Entrée. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la console Gestion de l’accès à distance, cliquez sur Configuration, puis dans le volet Tâches, cliquez sur Activer multisite.

  3. Dans l’Assistant Activer le déploiement multisite, dans la page Avant de commencer, cliquez sur Suivant.

  4. Dans la page Nom du déploiement, dans Nom du déploiement multisite, entrez un nom pour votre déploiement. Dans Nom du premier point d’entrée, entrez un nom pour identifier le premier point d’entrée qui est le serveur d’accès à distance actuel, puis cliquez sur Suivant.

  5. Sur la page Sélection du point d'entrée, effectuez l'une des opérations suivantes :

    • Cliquez sur Attribuer automatiquement des points d’entrée et autorisez les clients à sélectionner manuellement pour acheminer automatiquement les ordinateurs clients vers le point d’entrée le plus approprié, tout en permettant aux ordinateurs clients de sélectionner un point d’entrée manuellement. La sélection manuelle du point d’entrée est disponible uniquement pour Windows 8 ordinateurs. Cliquez sur Suivant.

    • Cliquez sur Attribuer automatiquement des points d’entrée pour acheminer automatiquement les ordinateurs clients vers le point d’entrée le plus approprié, puis cliquez sur Suivant.

  6. Sur la page Équilibrage de charge global, effectuez l'une des opérations suivantes :

    • Cliquez sur Non, n’utilisez pas l’équilibrage de charge global si vous ne souhaitez pas utiliser un équilibrage de charge global, puis cliquez sur Suivant.

      Notes

      Lorsque vous sélectionnez cette option, les ordinateurs clients se connectent automatiquement à leur point d’entrée le plus proche.

    • Cliquez sur Oui, utilisez l’équilibrage de charge global si vous souhaitez équilibrer la charge du trafic globalement entre tous les points d’entrée. Dans Tapez le nom de domaine complet d’équilibrage de charge global à utiliser par tous les points d’entrée, entrez le nom de domaine complet d’équilibrage de charge global et, dans Tapez l’adresse IP d’équilibrage de charge globale pour ce point d’entrée qui contient le premier serveur d’accès à distance, entrez l’adresse IP d’équilibrage de charge globale pour ce point d’entrée, puis cliquez sur Suivant.

  7. Dans la page Support client, effectuez l’une des actions suivantes :

    • Pour limiter l’accès aux ordinateurs clients exécutant des systèmes d’exploitation Windows 8 ou ultérieurs, cliquez sur Limiter l’accès aux ordinateurs clients exécutant Windows 8 ou un système d’exploitation ultérieur, puis cliquez sur Suivant.

    • Pour autoriser les ordinateurs clients exécutant Windows 7 à accéder à ce point d’entrée, cliquez sur Autoriser les ordinateurs clients exécutant Windows 7 à accéder à ce point d’entrée, puis cliquez sur Ajouter. Dans la boîte de dialogue Sélectionner des groupes, sélectionnez le ou les groupes de sécurité qui contiennent les ordinateurs clients Windows 7, cliquez sur OK, puis sur Suivant.

  8. Dans la page Paramètres de l’objet de stratégie de groupe client, acceptez l’objet de stratégie de groupe par défaut pour les ordinateurs clients Windows 7 pour ce point d’entrée, tapez le nom de l’objet de stratégie de groupe qui souhaite que l’accès à distance soit créé automatiquement, ou cliquez sur Parcourir pour localiser l’objet de stratégie de groupe pour les ordinateurs clients Windows 7, puis cliquez sur Suivant.

    Notes

    • La page Paramètres de l’objet de stratégie de groupe client s’affiche uniquement lorsque vous configurez le point d’entrée pour autoriser les ordinateurs clients Windows 7 à accéder au point d’entrée.
    • Vous pouvez éventuellement cliquer sur Valider les objets de stratégie de groupe pour vous assurer que vous disposez des autorisations appropriées pour l’objet de stratégie de groupe ou les objets de stratégie de groupe sélectionnés pour ce point d’entrée. Si l’objet de stratégie de groupe n’existe pas et est créé automatiquement, les autorisations de création et de liaison sont requises. Dans le cas où les objets de stratégie de groupe ont été créés manuellement, les autorisations de modification, de modification de la sécurité et de suppression sont requises.

  9. Dans la page Résumé, cliquez sur Valider.

  10. Dans la boîte de dialogue Activation du déploiement multisite, cliquez sur Fermer, puis, dans l’Assistant Activer le déploiement multisite, cliquez sur Fermer.

Windows PowerShellCommandes équivalentes Windows PowerShell

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Pour activer un déploiement multisite nommé « Contoso » sur le premier point d’entrée nommé « Edge1-US ». Le déploiement permet aux clients de sélectionner manuellement le point d’entrée et n’utilise pas d’équilibreur de charge global.

Enable-DAMultiSite -Name 'Contoso' -EntryPointName 'Edge1-US' -ManualEntryPointSelectionAllowed 'Enabled'

Pour autoriser l’accès des ordinateurs clients Windows 7 via le premier point d’entrée via le groupe de sécurité DA_Clients_US et à l’aide de l’DA_W7_Clients_GPO_US d’objet de stratégie de groupe.

Add-DAClient -EntrypointName 'Edge1-US' -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_US') -DownlevelGpoName @('corp.contoso.com\DA_W7_Clients_GPO_US)

3.7. Ajouter des points d’entrée au déploiement multisite

Après avoir activé le multisite dans votre déploiement, vous pouvez ajouter des points d’entrée supplémentaires à l’aide de l’Assistant Ajout d’un point d’entrée. Avant d’ajouter des points d’entrée, vérifiez que vous disposez des informations suivantes :

  • Adresses IP de l’équilibreur de charge global pour chaque nouveau point d’entrée si vous utilisez l’équilibrage de charge global.

  • Groupe(s) de sécurité contenant les ordinateurs clients Windows 7 pour chaque point d’entrée qui sera ajouté si vous souhaitez activer l’accès à distance pour les ordinateurs clients Windows 7.

  • Stratégie de groupe noms d’objets, si vous devez utiliser des objets stratégie de groupe autres que les objets par défaut, qui sont appliqués sur les ordinateurs clients Windows 7 pour chaque point d’entrée qui sera ajouté, si vous avez besoin d’une prise en charge des ordinateurs clients Windows 7.

  • Dans le cas où IPv6 est déployé dans le réseau de l’organisation, vous devez préparer le préfixe IP-HTTPS pour le nouveau point d’entrée.

Pour ajouter des points d’entrée à votre déploiement multisite

  1. Sur votre serveur d’accès à distance existant : dans l’écran d’accueil, tapez RAMgmtUI.exe, puis appuyez sur Entrée. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la console Gestion de l’accès à distance, cliquez sur Configuration, puis dans le volet Tâches, cliquez sur Ajouter un point d’entrée.

  3. Dans l’Assistant Ajout d’un point d’entrée, dans la page Détails du point d’entrée, dans Serveur d’accès à distance, entrez le nom de domaine complet (FQDN) du serveur à ajouter. Dans Nom du point d’entrée, entrez le nom du point d’entrée, puis cliquez sur Suivant.

  4. Dans la page Paramètres d’équilibrage de charge global, entrez l’adresse IP d’équilibrage de charge globale de ce point d’entrée, puis cliquez sur Suivant.

    Notes

    La page Paramètres d’équilibrage de charge global s’affiche uniquement lorsque la configuration multisite utilise un équilibreur de charge global.

  5. Dans la page Topologie réseau, cliquez sur la topologie qui correspond à la topologie réseau du serveur d’accès à distance que vous ajoutez, puis cliquez sur Suivant.

  6. Dans la page Nom réseau ou Adresse IP, dans Tapez dans le nom public ou l’adresse IP utilisé par les clients pour se connecter au serveur d’accès à distance, entrez le nom public ou l’adresse IP utilisé par les clients pour se connecter au serveur d’accès à distance. Le nom public correspond au nom d’objet du certificat IP-HTTPS. Dans le cas où la topologie de réseau Edge a été implémentée, l’adresse IP est celle de la carte externe du serveur d’accès à distance. Cliquez sur Suivant.

  7. Sur la page Cartes réseau, effectuez l'une des opérations suivantes :

    • Si vous déployez une topologie avec deux cartes réseau, dans Carte externe, sélectionnez la carte connectée au réseau externe. Dans Carte interne, sélectionnez la carte connectée au réseau interne.

    • Si vous déployez une topologie avec une carte réseau, dans Carte réseau, sélectionnez la carte connectée au réseau interne.

  8. Dans la page Cartes réseau, dans Sélectionner le certificat utilisé pour authentifier les connexions IP-HTTPS, cliquez sur Parcourir pour localiser et sélectionnez le certificat IP-HTTPS. Cliquez sur Suivant.

  9. Si IPv6 est configuré sur le réseau d’entreprise, dans la page Configuration du préfixe, dans Préfixe IPv6 affecté aux ordinateurs clients, entrez un préfixe IP-HTTPS pour affecter des adresses IPv6 aux ordinateurs clients DirectAccess, puis cliquez sur Suivant.

  10. Dans la page Support client, effectuez l’une des actions suivantes :

    • Pour limiter l’accès aux ordinateurs clients exécutant des systèmes d’exploitation Windows 8 ou ultérieurs, cliquez sur Limiter l’accès aux ordinateurs clients exécutant Windows 8 ou un système d’exploitation ultérieur, puis cliquez sur Suivant.

    • Pour autoriser les ordinateurs clients exécutant Windows 7 à accéder à ce point d’entrée, cliquez sur Autoriser les ordinateurs clients exécutant Windows 7 à accéder à ce point d’entrée, puis cliquez sur Ajouter. Dans la boîte de dialogue Sélectionner des groupes, sélectionnez le ou les groupes de sécurité qui contiennent les ordinateurs clients Windows 7 qui se connecteront à ce point d’entrée, cliquez sur OK, puis cliquez sur Suivant.

  11. Dans la page Paramètres de l’objet de stratégie de groupe client, acceptez l’objet de stratégie de groupe par défaut pour les ordinateurs clients Windows 7 pour ce point d’entrée, tapez le nom de l’objet de stratégie de groupe qui souhaite que l’accès à distance soit créé automatiquement, ou cliquez sur Parcourir pour localiser l’objet de stratégie de groupe pour les ordinateurs clients Windows 7, puis cliquez sur Suivant.

    Notes

    • La page Paramètres de l’objet de stratégie de groupe client s’affiche uniquement lorsque vous configurez le point d’entrée pour autoriser les ordinateurs clients Windows 7 à accéder au point d’entrée.
    • Vous pouvez éventuellement cliquer sur Valider les objets de stratégie de groupe pour vous assurer que vous disposez des autorisations appropriées pour l’objet de stratégie de groupe ou les objets de stratégie de groupe sélectionnés pour ce point d’entrée. Si l’objet de stratégie de groupe n’existe pas et est créé automatiquement, les autorisations de création et de liaison sont requises. Dans le cas où les objets de stratégie de groupe ont été créés manuellement, les autorisations de modification, de modification de la sécurité et de suppression sont requises.

  12. Dans la page Paramètres de l’objet de stratégie de groupe de serveur, acceptez l’objet de stratégie de groupe par défaut pour ce serveur d’accès à distance, tapez le nom de l’objet de stratégie de groupe que vous souhaitez créer automatiquement ou cliquez sur Parcourir pour localiser l’objet de stratégie de groupe pour ce serveur, puis cliquez sur Suivant.

  13. Dans la page Serveur d’emplacement réseau, cliquez sur Parcourir pour sélectionner le certificat du site web du serveur d’emplacement réseau en cours d’exécution sur le serveur d’accès à distance, puis cliquez sur Suivant.

    Notes

    La page Serveur d’emplacement réseau s’affiche uniquement lorsque le site web du serveur d’emplacement réseau s’exécute sur le serveur d’accès à distance.

  14. Sur la page Résumé, examinez les paramètres du point d’entrée et cliquez sur Valider.

  15. Dans la boîte de dialogue Ajout d’un point d’entrée, cliquez sur Fermer, puis sur l’Assistant Ajouter un point d’entrée, cliquez sur Fermer.

    Notes

    Si le point d’entrée ajouté se trouve dans une forêt différente des points d’entrée existants ou des ordinateurs clients, il est nécessaire de cliquer sur Actualiser les serveurs d’administration dans le volet Tâches pour découvrir les contrôleurs de domaine et les Configuration Manager dans la nouvelle forêt.

  16. Répétez cette procédure de l’étape 2 pour chaque point d’entrée que vous souhaitez ajouter à votre déploiement multisite.

Windows PowerShellCommandes équivalentes Windows PowerShell

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Pour ajouter l’ordinateur edge2 à partir du domaine corp2 en tant que deuxième point d’entrée nommé Edge2-Europe. La configuration du point d’entrée est la suivante : un préfixe IPv6 client « 2001:db8:2:2000::/64 », une connexion à l’adresse (le certificat IP-HTTPS sur l’ordinateur Edge2) « edge2.contoso.com », un objet de stratégie de groupe de serveur nommé « DirectAccess Server Settings - Edge2-Europe » et les interfaces internes et externes nommées Respectivement Internet et Corpnet2 :

Add-DAEntryPoint -RemoteAccessServer 'edge2.corp2.corp.contoso.com' -Name 'Edge2-Europe' -ClientIPv6Prefix '2001:db8:2:2000::/64' -ConnectToAddress 'Europe.contoso.com' -ServerGpoName 'corp2.corp.contoso.com\DirectAccess Server Settings - Edge2-Europe' -InternetInterface 'Internet' -InternalInterface 'Corpnet2'

Pour autoriser l’accès des ordinateurs clients Windows 7 via le deuxième point d’entrée via le groupe de sécurité DA_Clients_Europe et à l’aide du DA_W7_Clients_GPO_Europe d’objet de stratégie de groupe.

Add-DAClient -EntrypointName 'Edge2-Europe' -DownlevelGpoName @('corp.contoso.com\ DA_W7_Clients_GPO_Europe') -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_Europe')