Documente Academic
Documente Profesional
Documente Cultură
Extrait du Idum
http://idum.eu/spip.php?article293
Direct Access
- Systmes - Microsoft -
Description :
Le but de ce cours est de vous apprendre configurer une solution de connexion distance au systme d'information de manire scuris appel Direct Access.
Sommaire :
I) Introduction
V) Configuration du client
I) Introduction
Haut de page
Direct Access est une solution VPN (Virtual Private Network) dveloppe par Microsoft et disponible depuis la
version Windows Server 2008 R2. La particularit de Direct Access est que l'tablissement de la connexion est
automatique et aucune action de l'utilisateur n'est ncessaire. Lorsque le terminal est l'extrieur du rseau de
l'entreprise et qu'une connexion Internet est disponible, Direct Access va initier la connexion auprs du serveur
Direct Access de l'entreprise. Pour dterminer s'il est connect au LAN de l'entreprise ou l'extrieur, le systme va
contacter une ressource disponible seulement en interne, par exemple l'Active Directory. Le systme utilise deux
techniques pour contacter la ressource interne, le ping ou la requte HTTP.
Les paramtres permettant au client de se connecter au serveur Direct Access sont dploys par GPO lorsque le
terminal est connect au rseau interne. La scurit de cette solution est assure par la cration d'un tunnel
SSL/TLS ( travers la carte IPHTTPS) entre le client et le serveur DirectAccess, de plus les informations transiteront
sur un tunnel IPsec. Pour l'authentification, plusieurs mthodes sont possibles, le compte active Directory (Kerberos),
un certificat ou encore un Dongle.
DirectAccess est une solution qui fonctionne en IPV6, la compatibilit avec l'IPV4 est assure automatiquement
grce des tunnels 6to4 et des cartes rseaux virtuelles IPv6.
Le systme exploitation sur le serveur DirectAccess doit tre au minimum Windows Serveur 2008 R2.
Un domaine Active Directory doit tre prsent dans l'entreprise
Dans cette dmonstration, nous allons utiliser trois serveurs virtuels Windows Server 2012 R2 et 1 client Windows
8.1 Enterprise :
Notre labo est hors ligne, c'est dire qu'il n'a pas accs Internet, dans cet article pour que le client initie la
connexion DirectAccess, la dtection de l'accs Internet est ncessaire (Vous savez la petite icone en bas droite
ct de l'heure !) . Nous allons donc mettre en place un petit serveur avec un service DNS et Web qui va simuler
l'accs Internet, c'est un serveur Microsoft NCSI. - Voir Chapitre "IV) Configuration du serveur ISP"
SRV-1 : Ce sera le contrleur du domaine idum.eu son installation est explique dans cet article 286"
class='spip_url'>voir article->286
SRV-DA : Ce sera le serveur DirectAccess, son installation est le but de cet article.Il sera dot de deux cartes
rseaux (LAN et WAN)
SRV-ISP : Ce sera le serveur qui simulera l'accs a Internet et hbergera la zone idum.com
CLIENT : Il simulera l'accs LAN puis WAN pour les tests du DirectAccess.
Pour cette dmonstration, les certificats utiliss seront des certificats auto-signs. Un article est paru le 19 octobre
2015 vous expliquant comment gnrer les certificats avec l'autorit de certification Windows.
Haut de page
Il n'y a rien de plus faire sur ces pages, cliquez sur "suivant".
Haut de page
1) Configuration gnrale
Une fois le rle install, cliquez sur les actions raliser et ouvrez l'Assistant de Mise en route.
Slectionnez "Primtre" : c'est dire que notre serveur possde une interface dans le LAN et une interface
dans le WAN. La seconde option est utilise dans le cas o le serveur Direct Access est situ dans une DMZ et
possde une interface dans le LAN. La dernire est utile quand le serveur Direct Access est situ dans une DMZ
sans accs au LAN.
Le nom public est le nom sur lequel les clients vont connecter leurs VPN, pour nous ce sera "da.idum.com".
Par dfaut, l'assistant de configuration nous propose de dployer DirectAccess sur tous les ordinateurs du
domaine, dans notre exemple, nous allons crer un groupe d'ordinateur spcial pour les clients DirectAccess.
Sur l'ActiveDirectory, crez une OU (Unit organisationnelle) et crez un groupe dans cette OU. Dans l'outil
"Utilisateurs et ordinateurs du domaine", faites un clic droit sur le domaine et slectionnez "nouveau" puis
"Unit d'organisation". Nommez-la comme vous voulez.
Revenons l'assistant de configuration, slectionnez "Ajouter" et entrer le nom de votre groupe. En passant,
dcocher l'option "Activez DirectAccess pour les ordinateurs portables uniquement".
L'assistant de connectivit rseau c'est le protocole de test pour savoir si l'ordinateur se trouve dans le LAN ou bien
s'il est hors du rseau local. Pour notre dmonstration, nous allons faire un ping vers le serveur ActiveDirectory,
savoir srv1.idum.eu.
Faites un clic droit sur la ligne dj propos et cliquez sur "Supprimer". Fate un clic droit sur la ligne vide et
Dans la premire case slectionnez "Ping" et dans la seconde entrez le nom du serveur contacter. Cliquez sur
"Valider" et sur "Ajouter".
Dans "Nom de la connexion" entrer le nom que vous souhaitez voir apparatre sur le client.
Vous retrouvez ici le paramtre dfini avant, ne modifiez rien et cliquez sur "Suivant".
Vrifiez que l'affectation des cartes rseaux est correcte, et cliquez sur "Suivant".
Pour authentifier l'utilisateur, nous utiliserons le login/mot de passe Active Directory, cliquez sur "Terminer".
Le serveur d'emplacement rseau, permet aussi au client de s'assurer qu'il se trouve sur le rseau local.
Le client, une fois connect en DirectAccess au rseau local, va utiliser le serveur DNS du domaine, on va ajouter
le domaine idum.eu et cliquer sur dtecter pour qu'il ajoute automatiquement l'adresse du DNS. L'adresse IPV6 du
serveur doit s'afficher comme ici :
Il est possible d'ajouter des URL de serveur d'administration, dans notre cas, nous n'allons rien ajouter. Cliquez
sur "Suivant".
Voil la configuration est termine, il ne reste plus qu' enregistrer les paramtres et les appliquer.
Fermez la fentre.
Haut de page
Le serveur ISP, en plus d'hberger le service NCSI, va servir de serveur DNS au client nomade sur le rseau
Internet.
Comme nous l'avons dit prcdemment, notre labo est hors ligne, c'est dire qu'il n'a pas accs Internet. Pour
faire fonctionner DirectAccess, le poste client doit dtecter une connexion Internet pour lancer la connexion.
Nous allons faire croire notre machine cliente qu'elle a bien accs Internet en installant un serveur Microsoft
NCSI. NCSI est le systme mis en place par Microsoft pour dtecter l'accs Internet, sur vos machines il se
matrialise par le petit icone en bas gauche. Il existe trois tat :
Une croix rouge, cela signifie que le cble rseau est dconnect ou que la carte est dsactive.
Un petit panneau jaune signifie que le PC accs au rseau mais Internet n'est pas atteignable
Un petit cran d'ordinateur seul signifie que tout est correct.
Nous allons donc mettre en place ce petit serveur NCSI. Pour ce faire, nous allons utiliser un serveur Windows 2012
R2 qui est autonome, c'est dire non connect au domaine.
Nous allons installer le service DNS et le service IIS. Laisser tous les paramtres par dfaut lors de l'installation.
Une fois le service DNS install, allez dans la console de gestion. Dans le gestionnaire de serveur, cliquez sur
"Outils", puis sur "DNS".
Etant donn que le serveur n'est pas dans un domaine, nous n'allons pas autoriser les mises jour dynamiques.
Nous allons maintenant crer deux enregistrements DNS A. Le premier est l'enregistrement dns.msftncsi.com
avec comme valeur "131.107.255.255".
Le second est www.msftncsi.com avec comme valeur l'adresse IP de votre serveur qui simule l'accs Internet,
ici "1.1.1.253".
Voil pour la partie DNS. Pour la partie Web, rien de plus simple, crer un fichier txt nomm ncsi.txt dans le
rpertoire root de votre serveur web IIS, normalement "c :\inetpub\wwwroot".
Maintenant que le serveur NCSI est prt. Pour tester l'accs Internet, le client va d'abord faire une requte DNS sur
dns.msftncsi.com et ensuite il va tlcharger le contenues de la page l'adresse www.msftncsi.com. Toutes les
rponses attendues par ces requtes sont contenu dans la base de registre de Windows.
Dans le gestionnaire DNS, faites un clic droit sur zone de recherche directe et choisissez nouvelle zone.
Cliquez sur suivant pour lancer la cration de la zone.
Etant donn que le serveur n'est pas dans un domaine, nous n'allons pas autoriser les mises jour dynamiques.
Crez maintenant un enregistrement DNS da.idum.com avec l'adresse IP WAN du serveur DirectAccess, pour
nous "1.1.1.1".
V) Configuration du client
Haut de page
Pour fonctionner, notre client doit d'abord tre connect au rseau local pour rejoindre le domaine et appliquer les
GPO lies DirectAccess.
Sur le contrleur de domaine, pensez ajouter votre client dans l'OU DirectAccess et dans le groupe
DirectAccess.
Au niveau des serveurs, tout est correct, il n'y a plus qu' aller voir sur le client ce qu'il se passe. Si tout est
correct, une GPO a t applique et la connexion DirectAccess a t ajoute au gestionnaire de connexion et nous
indique que nous somme connects au LAN donc DirectAccess est dsactiv :
Pour tester la connexion aux ressources interne, nous allons crer un lecteur rseau vers le "sysvol" du
contrleur du domaine idum.eu.
Pour tester maintenant la connexion DirectAccess, il faut dsactiver la carte rseau local et passer sur le rseau
WAN. On voit ici que nous somme connects en DirectAcces et que le lecteur rseau est accessible.
Avec powershell :
Get-DAConnectionStatus
Avec CMD :
Sur le serveur DirectAccess, dans la console, il existe un tableau de bord qui permet de voir rapidement l'tat des
services qui composent DirectAccess.
Des amliorations pourraient tre apport ce service tel que la gnration de certificat par une autorit de
certification, la haute disponibilit des serveurs ou encore la mise en place d'un VPN standard en secours du
DirectAccess.