Vous êtes sur la page 1sur 85

- 0 - | Page

2013
Projet DirectAccess
Groupe Newstore
Laurent URRUTIA Cline FOUCAUD
NewStore
- 1 - | Page
Versioning
Auteur
Urrutia Laurent
Cline Foucaud
Version 2.0
Diffusion Restreinte Date 18/06/2013

Historique des versions
Version Date Auteur Commentaire
1.0

18/06/2013
Cline Foucaud -
Laurent Urrutia
Objectif
Spcificits de Direct
Access
1.1 01/07/2013
Cline Foucaud -
Laurent Urrutia
Les technologies
1.2 03/07/2013
Cline Foucaud -
Laurent Urrutia
Architecture de la
maquette
1.3 17/07/2013
Cline Foucaud -
Laurent Urrutia
Installation pas pas
7.1 7.3
1.4 30/07/2013
Cline Foucaud -
Laurent Urrutia
Installation pas pas
7.4 7.5
1.4 31/07/2013
Cline Foucaud -
Laurent Urrutia
Installation pas pas
7.6 et Vrification et
test
1.5 11/09/2013
Cline Foucaud -
Laurent Urrutia
Prsentation - Mise
en page - correction
1.6 16/09/2013
Cline Foucaud -
Laurent Urrutia
Mise en page Direct
Access 2008 + Ajout
Bibliographie et
signet du document +
Terminologie + Ip_Sec


I. Introduction
- 2 - | P a g e
Sommaire
I. Introduction ................................................................................................................................................... - 4 -
1) Objectifs .................................................................................................................................................................. - 5 -
2) Documents lis .................................................................................................................................................. - 6 -
W2008 : ...................................................................................................................................................................... - 6 -
W2012 : ...................................................................................................................................................................... - 6 -
II. Direct Access - Windows Server 2008 R2 ................................................................................. - 7 -
1. Prrequis ................................................................................................................................................................ - 7 -
2. Les Technologies ............................................................................................................................................ - 8 -
- IP-V6 .................................................................................................................................................................... - 8 -
- Ip-Sec .................................................................................................................................................................. - 8 -
- NLS ....................................................................................................................................................................... - 9 -
3. Installation ......................................................................................................................................................... - 10 -
a. Le cadre ............................................................................................................................................................ - 10 -
b. Linstallation pas pas ......................................................................................................................... - 12 -
1. Configuration du contrleur de domaine ...................................................................... - 12 -
a. Configuration des lments de base ........................................................................... - 12 -
Renommer le serveur ................................................................................................................ - 12 -
Modification des cartes rseaux ...................................................................................... - 13 -
b. Configuration du DNS ............................................................................................................... - 15 -
Zone de recherche directe ................................................................................................... - 15 -
Zone de recherche inverse................................................................................................ - 16 -
c. Configuration du DHCP ........................................................................................................... - 20 -
d. Configuration de lActive Directory................................................................................. - 21 -
e. Configuration des certificats ............................................................................................... - 22 -
Cration dun modle : ........................................................................................................... - 22 -
Dlivrer le certificat : ................................................................................................................ - 24 -
Les Extensions: ............................................................................................................................... - 25 -
Stratgie de groupe: .................................................................................................................. - 26 -
f. Configuration de la stratgie de pare-feu ............................................................... - 28 -
2. Configuration du serveur Direct Access ......................................................................... - 29 -
I. Introduction
- 3 - | P a g e
a. Configuration de laspect rseau du serveur ........................................................ - 29 -
b. Intgration du serveur au domaine Newstore ...................................................... - 31 -
c. Publication de la CRDL ........................................................................................................... - 31 -
Le double chappement ......................................................................................................... - 31 -
Rpertoire virtuel .......................................................................................................................... - 33 -
Publication du certificat .......................................................................................................... - 36 -
d. Obtention du certificat ............................................................................................................ - 38 -
3. Configuration du serveur dapplication ............................................................................ - 40 -
4. Paramtrage du serveur simulant Internet.................................................................... - 42 -
5. Configuration de Direct Access ............................................................................................. - 44 -
a. Dploiement de la fonctionnalit .................................................................................... - 44 -
b. Installation de la solution ......................................................................................................... - 45 -
6. Configuration du client ................................................................................................................. - 49 -
a. Sur le LAN ......................................................................................................................................... - 49 -
b. Sur le WAN ....................................................................................................................................... - 52 -
4. Vrification et test ...................................................................................................................................... - 57 -
1. Les pr-requis ...................................................................................................................................... - 57 -
2. Sur le serveur Direct Access ................................................................................................... - 58 -
III. Direct Access - Windows Server 2012 en mono-serveur ...............................................- 61 -
1. Prrequis ............................................................................................................................................................. - 61 -
2. Installation ......................................................................................................................................................... - 62 -
a. Le cadre : ........................................................................................................................................................ - 62 -
b. Linstallation pas pas ......................................................................................................................... - 63 -
1. Configuration du contrleur de domaine .......................................................................... - 64 -
2. Configuration du serveur Direct Access ......................................................................... - 71 -
Conclusion : ....................................................................................................................................................- 79 -
Annexes : ..........................................................................................................................................................- 80 -
Plan de la maquette Windows Serveur 2008 R2......................................................................... - 80 -
Plan de la maquette Windows Serveur 2012 ................................................................................. - 81 -
Index: ...................................................................................................................................................................- 82 -

I. Introduction
- 4 - | P a g e
I. Introduction

Le projet Direct Access rentre dans le cadre du cursus CESI RARE 2012-214. Celui-
ci est ralis par M. Urrutia Laurent tudiant au CESI de Blanquefort, employ de la
socit ALVEA Marmande et par Me Cline Foucaud tudiante au CESI de
Blanquefort, employe de la socit Caisse dEpargne Aquitaine Poitou-Charentes.

Lobjet de ce projet de raliser ltude de la mise en place dune technologie avance
dans lunivers Windows . Cette documentation est donc double usage :
dcouverte dune technologie,
rdaction dune documentation technique permettant la mise en uvre de la
technologie choisie.
Ce projet peut galement sintgrer au Projet Fil rouge qui simule la refonte du
systme dinformation de la socit Newstore, grande chaine de supermarch. Cette
dernire possde 52 magasins rpartis sur les territoires Franais et Portugais.
Pour rpondre aux besoins des commerciaux de travailler lextrieur de lentreprise
nous nous sommes penchs sur diffrentes solutions informatiques de nomadisme.
Nous avons slectionn Direct Access pour son intgration avec les outils Microsoft
et sa simplicit dutilisation vis--vis des utilisateurs.
Ce document abordera, les principes et concepts de Direct Access. Lapprhension de
lIPV6 , linstallation et la configuration de ce dernier et les volutions apportes entre
Windows server 2008 R2 et Windows Server 2012
Direct Access tait une nouveaut de la version 2008 R2, le but de Microsoft tait
de supplanter le classique couple VPN/SSL . Pour contourner les limites des rseaux
VPN, Direct Access tablit automatiquement une connexion bidirectionnelle entre les
ordinateurs clients et le rseau de l'entreprise. Sur la version 2008, Direct Access se
dploie en tant que fonctionnalit, ce qui a volu depuis car la version 2012 permet
de grer ce dernier comme un rle part entire.
Direct Access peut galement tre gr avec Forefront UAG pour profiter
principalement du NAT et DNS64 pour la version 2008.

I. Introduction
- 5 - | P a g e
1) Objectifs

Direct Access tranche compltement avec les technologies actuelles de Nomadisme.
Toutes les solutions proposent gnralement lutilisateur de lancer un systme pour
pouvoir tablir une connexion distance.

Plusieurs problmes sont mis en vidence, pour un utilisateur :
Ergonomie de loutil,
Difficult de connexion,
Mots de passe supplmentaire dans certains cas,
Temps dtablissement de la connexion,
Compatibilit de certaines applications,
Accs aux ressources de lentreprise.

Ces facteurs de dysfonctionnement potentiel ne concernent que lutilisateur, si nous
prenons en compte les avis des services informatiques, il est vident quune solution
VPN/SSL est souvent un casse-tte sur les trois points suivants :
Difficult de mise en place,
Authentification,
Maintenance et dpannage.

Direct Access propose un point de vue diffrent : augmenter lexprience utilisateur.
Lusager dun poste na plus se soucier de lancer une connexion distance (et le
cas chant, ne pas lancer son client VPN en entreprise). Si lauthentification est forte
lutilisateur devra simplement se munir dune carte puce, sinon lauthentification
Active Directory suffira.

La solution se positionne comme une extension du rseau dentreprise et jongle de
faon autonome et automatique entre diffrentes technologies pour assurer la liaison
du poste avec lentreprise.


I. Introduction
- 6 - | P a g e
2) Documents lis

W2008 :
- DirectAccess ; mobilit et nomadisme ; mise en uvre de la solution Microsoft,
Lionel Leperlier, Benoit Sautiere. Editions : Eni - Expert It 2012, collection :
Informatique Rseaux Et Internet.
- http://www.labo-microsoft.org/articles/Direct_Access/
- http://blogs.technet.com/b/stanislas/archive/tags/directaccess/
- Vidos de Stanislas Quastana sur la mise en uvre de Direct Access 2008
- DA_Design_DEP_Guide : Documentation Microsoft
- http://technet.microsoft.com/en-us/library/ee624056(WS.10).aspx : Direct
Access Troubleshoting Guide
W2012 :
- Trs global et trs bien fait pour comprendre la technologie implmente :
DirectAccess avec Windows Server 2012 et Windows8 - les slides de la session
SEC305 des Microsoft TechDays 2013
- Les blogs des deux spcialistes franais et Stanislas Quastana et Arnaud
Lheureux, deux experts Microsoft http://blogs.technet.com/b/stanislas/
http://blogs.technet.com/b/arnaud/


II. Direct Access - Windows Server 2008 R2
- 7 - | P a g e
II. Direct Access - Windows Server 2008 R2

1. Prrequis

Configuration serveur Direct Access :
Windows serveur 2008 ou 2008 R2,
Deux adresses IP publiques conscutives,
Le contrleur de domaine requiert au minimum Windows serveur 2008 SP2 ou
2008 R2,
Une infrastructure PKI doit tre dploye sur le domaine

Configuration du poste client :
Windows 7 Entreprise ou Ultimate,
Le poste client doit obligatoirement tre membre du domaine

II. Direct Access - Windows Server 2008 R2
- 8 - | P a g e

2. Les Technologies

Direct Access se sert de plusieurs technologies pour pouvoir adapter automatiquement
sa configuration en fonction des diffrentes solutions.
- IP-V6

Pour la version 2008, Direct Access sappuie principalement sur ladressage IP-V6. Afin
de grer lIPV4 en interne en entreprise, Direct Access utilise ISATAP pour concatner
une adresse IP-V4 en IP-V6. Par ailleurs, le routage des adresses est assur par les
Protocoles 6to4 ou Teredo selon le mode connexion.

IP-V6 est un protocole dadressage rseau fonctionnant au niveau de la couche 3 du
Modle OSI. Il utilise ( la diffrence du protocole IP-V4 32Bit) 128 bits pour dfinir
son adresse. Il a t cr pour rpondre au manque dadresse IP-V4.

Il y a trois types dadresses en IP-V6 :
Envoie unicast : envoi unique sur une interface
Envoie anycast : envoi sur un groupe dinterface, une par une
Envoie multicast : envoi sur un groupe dinterface, en groupe

IP-V6 dispose dune syntaxe spcifique au format numrique Hexadcimal. Les groupes
doctet ayant pour 0 en valeur peuvent tre rduit sur 4 bits contenant que des
0 les trois premiers bits peuvent tres masqus pour nen garder quun. Par
ailleurs les premiers groupes ayant cette valeur peuvent tre totalement masqu par
des :: (La notation au :: ne peut tre effectu quune seule fois
Exemple, soit une adresse IP-V6 donn:
2002:4321:0:0:8:800:200C:417A
2002:4321::8:800:200C:417A
Pour les protocoles 6to4 et ISATAP ladresse IP-V4 est concatne la fin de la
trame. Lors des tests (Prsents en fin de documentation), il sera courant de voir les
adresses sous la forme : 2002::3211:3201:0:3211:10.133.100.10
- Ip-Sec

II. Direct Access - Windows Server 2008 R2
- 9 - | P a g e
IP SEC (Internet Protocol Security) est un ensemble de protocole utilisant des
algorithmes permettant le transport de donnes scurises sur un rseau IP. Il a pour
but de chiffrer le flux rseau.

Pour Direct Access nous utilisons le Mode Transport dIp-sec qui ne garantit pas
la scurisation des En-Tte (Authentification Header), la diffrence du Mode
Tunnel .

En ralit nous utilisons deux tunnels IP-Sec lors des connexions Client/Serveur :

Tunnel Dinfrastructure : Rserv exclusivement aux clients, ce tunnel sassure
de lidentit de ces derniers.
Tunnel Utilisateur : Ce tunnel est destin lutilisateur, il lui est donc rserver

Enfin dans si nous voulions grer galement le contrle dapplication distance nous
aurions alors un troisime tunnel ddi la couche applicative

- NLS

Le NLS (Network location Server) est intgr directement Direct Access. Il peut
sapparenter un phare pour le pc distant. Selon lemplacement physique du poste
(Externe ou Entreprise), le NLS se trouve accessible ou non. Grce ce systme Direct
Access peut dfinir automatiquement le profil de rseau appliquer et, en fonction,
lancer une connexion scurise ou non.

Allie ce systme, sur le poste, est dploy une GPO (Group Policy Object) pour
mettre jour la NRPT (Name rsolution Policy table) qui contient les DNS des serveurs
de lentreprise.



II. Direct Access - Windows Server 2008 R2
- 10 - | P a g e
3. Installation

a. Le cadre
- Architecture de la maquette :
Cf. Gros plan en annexe A

- Plan dadressage :
Serveur Version Adresse IP Passerelle Rles
NSDC01BX
Windows srv
2008 R2
10.133.100.10/23 10.133.100.10
AD DS / AD CS /
DNS / DHCP
NSDA01BX
Windows srv
2008 R2
10.133.100.20/23
131.107.0.2/24
131.107.0.3/24
131.107.0.1
IIS (Liste de
rvocation CRLD) /
Fonctionnalit
Direct Access
NSAP01BX
Windows srv
2008 R2
10.133.100.30/23 10.133.100.10
IIS (Hbergement
de la NLS)
INTDC001
Windows srv
2008 R2
131.107.0.1/24 131.107.0.1
DNS / DHCP
Simulation Internet
NSCL01BX
Windows 7
Entreprise
DHCP

Client DA
II. Direct Access - Windows Server 2008 R2
- 11 - | P a g e

- Flux de connexion

Ci-dessous sont prsentes les tapes de connexion dun poste nomade lextrieur
de lentreprise.


Suivant le schma ci-dessous, nous pouvons en dduire la mthode de connexion
dun poste en entreprise.


1) Le client se connecte internet
Le client rcupre une adresse via un dhcp pour pouvoir se connecter sur
internet
2) Recherche du NLS
Une fois connect une gpo pousse la tentative de recherche du NLS sous
l'adresse https://nls.newstore.com
3) Activation du profil public
Le serveur NSAP01BX tant accessible uniquement en interne le pare feu du poste nomade active son
profil public.
Le protocole 6to4, Terredo ou IPHTTPS monte une carte virtuelle adresse en IPV6
4) Echange de certificats
Le profil de pare feu tabli, le poste procde un echange de certificat avec
le serveur NSAD01BX
5) Etablissement du tunnel
Aprs validation du certificat, le serveur Direct Access et le client nomade
tablissent un tunnel IpSec, la liaison est prsent fonctionnelle
1) Le client se connecte l'entreprise
Le client rcupre une adresse via un dhcp pour pouvoir se connecter
l'entreprise
2) Recherche du NLS
Une fois connect une gpo pousse la tentative de recherche du nls sous
l'adresse https://nls.newstore.com
3) Activation du profil entreprise
Le serveur NSAP01BX tant accessible le pare feu du poste nomade active
son profil entreprise
4) Montage du protocole ISATAP
Pour assurer la liaison en IP-V6 le poste charge le protocole ISATAP sur une
carte virtuelle afin d'avoir un adressage sur 128 bit
II. Direct Access - Windows Server 2008 R2
- 12 - | P a g e
b. Linstallation pas pas
Vous allez trouver ci-dessous lensemble des dmarches qui permettent de mettre en
uvre la solution.

1. Configuration du contrleur de domaine
a. Configuration des lments de base
Renommer le serveur

Dmarrer -> Ordinateur -> Proprits -> Modifier les paramtres -> Modifier
Renseigner :
Nom de l'ordinateur -> NSDC01BX
Domaine -> Newstore.com

II. Direct Access - Windows Server 2008 R2
- 13 - | P a g e


Modification des cartes rseaux

Dmarrer -> Panneau de configuration -> Centre rseau et partage
Renommer la carte - : Newstore
Protocole internet version 4 (TCP/IPv4) -> Proprits
Renseigner les champs rseaux selon La Plan dadressage voir page - 10 -
Avanc -> DNS
Suffixe DNS pour cette connexion : Newstore.com



Renseigner les champs rseaux selon le tableau
Avanc -> DNS
Suffixe DNS pour cette connexion -> Newstore.com

Protocole internet version 4 (TCP/IPv4) -> Proprits
II. Direct Access - Windows Server 2008 R2
- 14 - | P a g e

II. Direct Access - Windows Server 2008 R2
- 15 - | P a g e
b. Configuration du DNS
Zone de recherche directe

Gestionnaire de serveur -> Rles -> Serveur DNS -> NSDC01BX -> Suivant -> Zone
principale -> Suivant -> "Vers tous les serveurs DNS excuts. -> Suivant
Nom de la zone : Newstore.com
Suivant -> N'autoriser que les mises jour dynamiques scurises. -> Terminer

II. Direct Access - Windows Server 2008 R2
- 16 - | P a g e
Zone de recherche inverse

Zones de recherche inverse -> Nouvelle Zone -> Suivant
Zone Principale
Vers tous les serveurs DNS.
Zone de recherche IPv4 : Id Rseau 10.133.100
N'autoriser que les mises jour dynamiques scurises
II. Direct Access - Windows Server 2008 R2
- 17 - | P a g e
Cration des enregistrements DNS (Zone de recherche directe) :
Sur l'tendue de recherche directe : Clique droit -> Nouvel hte (A ou AAA)
A = Ipv4
AAA = Ipv6

IPV4 Remplir les champs :
Nom d'hte de la machine ici (NSDC01BX)
Adresse ip de l'hte ici (10.133.100.10)
Cocher Crer un pointeur d'enregistrement PTR associ (Permet la mise jour
des recherches inverse).
IPV6 Remplir les champs :
L'adresse ipv6 clairement identifiable de type ISATAP :
2002:836b:2:1:0:5efe:Adresseip
ISATAP de la mme manire.
Nom d'hte : ISATAP
Adresse ip : 10.133.100.20 (Serveur direct access)
Spcifier un enregistrement CNAME pour le nls
Nom de l'alias : nls
Nom de domaine FQDN : nsap01bx.newstore.com
II. Direct Access - Windows Server 2008 R2
- 18 - | P a g e

Cration d'un enregistrement PTR Statique :
Pour enregistrer les serveurs du domaine (Ces derniers n'tant pas encore mis en
place l'enregistrement dynamique n'est pas possible, celui-ci servira pour les clients)
Sur la zone de recherche inverse ipv4 : Nouveau pointeur PTR -> Cliquer sur parcourir
-> recherche ensuite le nom souhait dans la zone de recherche normal

La procdure est la mme pour un enregistrement Ipv6

II. Direct Access - Windows Server 2008 R2
- 19 - | P a g e
A prendre en compte :
Pour viter que le DNS ne bloque le protocole ISATAP (Ce dernier est dploy par
linstallation de Direct Access voir page - 45 -), il faut enlever ce dernier de la Global
query block list . Pour des questions de scurit par dfauts ces deux protocoles
sont bloqus WPAD et ISATAP :
dnscmd /config /globalqueryblocklist wpad


II. Direct Access - Windows Server 2008 R2
- 20 - | P a g e
c. Configuration du DHCP
Aprs installation du Rle DHCP, renseigner Ltendue IPV4 :

Nom : Branche Newstore
Adresse ip de dbut : 10.133.100.100
Adresse ip de fin : 10.133.100.200
Aucune exclusion
Dure du bail : 8 jours
Non je configurerai ces options ultrieurement.
Aprs cration s'assurer que les mises jour dynamiques soient bien valides dans
les options Ipv4. Enfin activer le serveur DHCP :
Serveur DHCP -> nsdc01bx.newstore.com -> Autoriser

II. Direct Access - Windows Server 2008 R2
- 21 - | P a g e
d. Configuration de lActive Directory
Nous allons crer dans lannuaire un groupe qui nous servira dployer nos stratgies
Direct Access est surtout la NLS. En plus de ces groupes, nous allons crer nos
ordinateurs concerns par Direct Access dans une UO (Unit d'organisation) spcifique
afin de sparer les postes nomades des postes fixes.

Schmatiquement notre structure sera la suivante :
Newstore.com
(UO)Newstore
(UO)Groupes
(GRP)DirectAccess_Client
(UO)Ordinateur
(ORD)PosteClient
(UO)Users
(USR)Users_DirectAccess1
(USR)Users_DirectAccess2

Pour ce faire dans :
Gestionnaire de serveur -> Service de domaine Active Directory -> Utilisateurs et
ordinateurs Active Directory -> Newstore.com
Nouveau : Unit d'organisation
II. Direct Access - Windows Server 2008 R2
- 22 - | P a g e
Une fois les groupes crs, se positionner sur l'UO souhait et crer un groupe
"DirectAccess_Client"
e. Configuration des certificats

Le rle "Services de certificats Active Directory" sert publier, crer et diter des
certificats Microsoft. Dans le cadre de Direct Access, ce dernier nous permet de
certifier que le poste nomade fait bien partie de l'entreprise et qu'il est en bonne
sant pour pouvoir se connecter l'entreprise de l'extrieur.

Ce certificat sera stock sur le serveur Direct Access et sera accessible tous les
postes via le partage Crdlist$.
Installer le rle AD CS avec ces valeurs par dfaut.
Dans les grandes lignes, nous crerons un certificat partir d'un modle, ensuite
nous mettrons jour les liens pour grer laccessibilit interne et externe
l'entreprise ; ensuite nous publions cette liste.

Cration dun modle :

Dans Services de certificats Active Directory -> Modles de certificats -> Serveur Web
dupliquer le modle : Windows 2008 entreprise
Nommer le certificat puis cochez "Publier le certificat dans Active Directory"

Dans l'onglet Extension -> Stratgies d'application -> Modifier -> Ajouter ->
II. Direct Access - Windows Server 2008 R2
- 23 - | P a g e
Slectionnez -> Fin du tunnel de scurit IP (Protocol Ip Sec)

Dans l'onglet scurit cochez la case Lecture pour les Utilisateurs Authentifis

II. Direct Access - Windows Server 2008 R2
- 24 - | P a g e
Dlivrer le certificat :

Dans l'infrastructure de certificats ici (Newstore-NSDC01BX_CA)
Modle de certificats -> Nouveau -> Modle de certificat dlivrer
Le certificat nouvellement cr est disponible dans la liste comme ci-dessous :
Le certificat est prsent cr, on peut visualiser ce qui sera dlivr aux clients dans
le PKI d'entreprise


II. Direct Access - Windows Server 2008 R2
- 25 - | P a g e
Les Extensions:
Il reste nanmoins configurer les extensions du serveur de certificat pour que celui-
ci publie sa liste de faon partage. Ce partage sera en place sur le serveur Direct
Access car le client se connectera dabord sur ce-dernier, ainsi la validit du client
sera gr directement en amont.
Proprits -> Extension (Ici il faut ajouter deux emplacements dont les suffixes seront http (pour
l'externe) \\ (pour l'interne)). -> Ajouter
Pour le lien http : http://nsda01bx.newstore.com/crdl/ et avec en variable
<NomAutoritCertification>
<SuffixeNomListeRevocationCertificats>
<ListeRevocationCertificatsDifferentielleAutorisee>
Rajouter ensuite .crl
L'adresse complte sera du type :
http://NSDA01BX.newstore.com/crld/<NomAutoritCertification><SuffixeNomListeRvocationCer
tificats><ListeRvocationCertificatsDiffrentielleAutorise>.crl
Le dossier crdl correspond au partage "Crdlist$" sur le serveur Direct Access celui-
ci est configur plus tard dans la documentation voir page - 31 -.
Cocher les cases :
Inclure dans les listes de rvocation des certificats afin de.
Inclure dans l'extension CDP
II. Direct Access - Windows Server 2008 R2
- 26 - | P a g e
Pour les liens internes : \\nsda01bx\crdlist$\ avec en variable les mmes informations
que le prcdent lien en compltant toujours par .crl
Lien complet :
\\NSDA01BX\crld\<NomAutoritCertification><SuffixeNomListeRvocationCertificats><ListeRvocationCe
rtificatsDiffrentielleAutorise>.crl
Cocher ensuite les cases :
Publier les listes de rvocation des certificats cet emplacement
Publier les listes de rvocation des certificats delta cet emplacement
Aprs validation nous retrouvons 4 liens supplmentaires dans le PKI d'entreprise. Le
serveur Direct Access n'tant pas encore configur nous publieront la liste des
certificats rvoqus aprs installation du partage CRDList
(Cette liste de rvocation permet de tenir jour les certificats qui sont expirs est
non valide)

Stratgie de groupe:
Pour terminer, il faut crer une stratgie de groupe pour que les clients puissent
rcuprer automatiquement le certificat.
En ditant la Default Domain Policy :
Configuration de l'ordinateur -> Paramtres Windows -> Stratgies de cl publique ->
Paramtres de demande automatique de certificats -> Suivant -> Ordinateur -> Terminer
On s'assure ainsi que les clients auront bien un certificat ne faisant pas partie de la
liste de rvocation


II. Direct Access - Windows Server 2008 R2
- 27 - | P a g e

II. Direct Access - Windows Server 2008 R2
- 28 - | P a g e
f. Configuration de la stratgie de pare-feu

Sur le contrleur de domaine afin de laisser passer le Flux Teredo nous allons crer
deux stratgies entrantes et deux stratgies sortantes pour autoriser les requtes Echo
ICMP. Deux requtes pour grer l'ipv4 ainsi que l'ipv6

Cette configuration sera renseigne par les stratgies de groupe :
Default domaine policy :
Configuration de l'ordinateur -> Stratgies -> Paramtres Windows -> Paramtres de
scurit -> Pare-feu Windows avec fonctions avances..

Rgles de trafic entrant -> Rgles personnalises -> Protocole et ports
Action -> Autoriser les connexions
Nom -> IcmpV4

Effectuer cette dmarche sur les protocoles Icmpv4 et Icmpv6 en connexion entrante
et sortante
II. Direct Access - Windows Server 2008 R2
- 29 - | P a g e
2. Configuration du serveur Direct Access

La configuration du serveur Direct Access seffectue en deux temps. Pour commencer
nous allons mettre en place la configuration du rseau et rpondre au prrequis ce
qui consiste avoir deux adresses ip publiques conscutives, toujours dans cette
phase de configuration, il faudra mettre en place un partage crldist dj cit plus
haut afin de publier la liste des certificats.

Enfin dans un deuxime temps nous feront la configuration de la fonctionnalit voir
page - 44 -.

a. Configuration de laspect rseau du serveur

Comme dj abord, le pr-requis le plus contraignant de Direct Access dans sa
version 2008 R2 vient de lobligation de renseigner deux adresse ip publiques
conscutives sur la carte externe.

Le fait quil en faille deux vient du protocole Teredo
Le fait quelles doivent se suivent vient dune restriction de Microsoft.

Pour la mise en place, il faut connecter deux cartes rseaux sur le serveur Direct
Access.
En suivant les procdures de configuration du contrleur de domaine :
Carte Rseau 1 :
Nom de la carte : Newstore.com
Adresse IP : 10.133.100.20
Masque de sous-rseaux : 255.255.254.0
Serveur DNS : 10.133.100.10
Suffixe DNS : newstore.com

Sur cette premire carte rseau, il nest pas possible de renseigner une passerelle par
dfaut, Windows nen nacceptant quune seule au total cette dernire sera en priorit
renseigne sur la carte pointant vers lextrieur du domaine. Pour pallier ce manque
et afin de rediriger les paquets mis, on peut ajouter un enregistrement dans le pare-
II. Direct Access - Windows Server 2008 R2
- 30 - | P a g e
feu qui va consister envoyer les paquets Taggs en 10.133.100.0/23 vers le serveur
DNS en 10.133.100.10.
Pour ce faire en ligne de commande utiliser la commande Route
Route ADD 10.133.100.0 MASK 255.255.255.0 10.133.100.10


Carte Rseau 2 :
Nom de la carte : Externe
Adresse IP 1: 131.107.0.2
Adresse IP 2: 131.107.0.3
Masque de sous-rseaux : 255.255.255.0
Suffixe DNS : ns.ext.com

Pour la deuxime carte, deux adresses ip sont renseignes ainsi que la passerelle en
revanche il nest pas ncessaires de spcifier un serveur DNS la rsolution de nom
ntant pas ncessaire le trafic tant router en 6to4 sur le serveur Direct Access
II. Direct Access - Windows Server 2008 R2
- 31 - | P a g e
b. Intgration du serveur au domaine Newstore

Suite la configuration rseaux, intgrer le serveur Direct Acces au domaine Newstore

Dmarrer -> Ordinateur -> Proprits
Modifier les paramtres -> Modifier
Renseigner le Nom et le domaine

c. Publication de la CRDL

Nous ajoutons le rle IIS, le but tant de rendre accessible les certificats des postes
via un partage HTTPS

Gestionnaire de serveur -> Rles -> Ajouter des rles
Installation du rle par dfaut. Le rle installer, il faut crer un Rpertoire virtuel
nommer CRDL partager sous le nom : CRDList$
Le double chappement

II. Direct Access - Windows Server 2008 R2
- 32 - | P a g e
Suite la cration des certificats sur le contrleur de domaine, une des deux
extensions se distingues par lajout dun + la fin de son url. Dans le PKI dentreprise
il est facile de constater que emplacement de DeltaCRL #2 en ralit le
chemin :
http://nsda01bx.newstore.com/crdl/newtore-NSDC01BX-CA+.crl
Lajout de ce sigle peut rapidement crer des problmes le navigateur narrivant pas
interprter correctement se signe. En consquence sur le serveur ont va configurer
le rle IIS pour accepter le double chappement et empcher la mauvaise interprtation
du sigle.
NSDA01BX -> Filtrage des demandes -> Modifier les paramtres de fonction.
Cocher loption Autoriser le double-chappement


II. Direct Access - Windows Server 2008 R2
- 33 - | P a g e
Rpertoire virtuel

NSDA01BX -> Sites -> Default Web Site -> Afficher les rpertoires virtuels
Ajouter un rpertoire virtuel.



II. Direct Access - Windows Server 2008 R2
- 34 - | P a g e
Partager ensuite le rpertoire via le partage Windows avec un attribut Cacher .
Sur le dossier : Proprits -> Partage -> Partage Avanc -> Ajouter -> CRDList$
Autorisation -> Tous le monde -> Contrle total


II. Direct Access - Windows Server 2008 R2
- 35 - | P a g e
Le chemin est dsormais accessible pour tout le monde via le
chemin (\\NSDA01BX\CRDList$). Pour scuriser laccs ce dossier, on passe par la
mise en place de droits NTFS. La particularit vient des droits accords un
Ordinateur et non pas un Utilisateur . Seul le contrleur de domaine la
ncessit dcrire dans ce dossier au moment de la publication des certificats
rvoqus.

Pour ce faire, toujours dans les proprits du dossier :
Onglet Scurit -> Avanc -> Modifier les autorisations -> Ajouter
Filtrer la vue partir du type objet Ordinateur -> Rechercher
Slection de lordinateur cible
Mise en place dun contrle total pour NSDC01BX
II. Direct Access - Windows Server 2008 R2
- 36 - | P a g e
Publication du certificat

Le serveur NSDA01BX est maintenant prt pour recevoir la publication des certificats
rvoqu du Contrleur de domaine. Pour ce faire, on se reconnecte sur le contrleur
de domaine, Ayant configur plutt sur ce dernier les deux extensions des chemins
NSDA01BX inutile de repartir dans de la configuration. On se contente de publier et
de vrifier le traitement :
Rles -> Services de certificats Active Directory -> newstore-NSDC01BX-CA -> Certificats
rvoqus -> Publier

Pour vrifier que tous ces biens passs,
PKI dentreprise -> newstore-NSDC01BX-CA

On peut constater que :
Emplacement Delta CRL#2 : Est en statut Ok sur le serveur NSDA01BX
Emplacement de CDP #2 : Est en statut Ok sur le serveur NSDA01BX

Cela confirme la mise en place effective du partage, et que les autorisations ncessaire
sont valide.

Il est possible galement daccder au partage via un chemin UNC et de vrifier la
prsence des certificats
II. Direct Access - Windows Server 2008 R2
- 37 - | P a g e



II. Direct Access - Windows Server 2008 R2
- 38 - | P a g e
d. Obtention du certificat

Pour conclure, il suffit de rcuprer les certificats pour le serveur NSDA01BX, noublions
pas que jusqu prsent nous avons configur un partage de certificat pour les
serveurs et clients de lentreprise, cela ne veut pas dire que le serveur Direct Access
est jour. Nous allons passer par une console MMC qui va nous permettre de
rcuprer ce dit certificat.

Dmarrer -> taper MMC -> Fichier -> Ajouter ou supprimer un composant logiciel
enfichable
Certificats -> Ajouter -> Un compte dordinateur -> Lordinateur local -> Terminer :
Sauvegarder la console, dans c:\tmp\.

Lancer ensuite la console nouvellement cre puis :
Certificats -> Personnel -> Certificats -> Toutes les tches -> Demander un nouveau
certificat Des informations sont ncessaires pour complter la configuration
Stratgie dinscription Active Directory
Cochez CertificatDirectAccess
Sur lalerte linscription pour obtenir
Nom du sujet de type commun : newstore.com
Autre nom de type DNS : newstore.com
Cliquez sur Ajouter appliquer et valider
Puis valider en cliquant sur Inscription
Nous arrtons ici la configuration du serveur Direct Access, nous y reviendront plus
tard.

II. Direct Access - Windows Server 2008 R2
- 39 - | P a g e

II. Direct Access - Windows Server 2008 R2
- 40 - | P a g e
3. Configuration du serveur dapplication

Le serveur dapplication va hberger la NLS de Direct Access Ce serveur nous servira
de Phare pour les clients, cest en fonctions de la rponse ou non de ce serveur que
le poste client activera sont profils de rseau et donc la configuration adapter :
ISATAP
6to4
Terredo
IPHTTPS
Dans les faits nous installons un rle IIS sur le serveur, nous protgerons ensuite
laccs de serveur de sorte quil ne rponde de manire scuris quaux requtes
interne de lentreprise. Les clients externes ne pourront pas joindre ce serveur.

Se rfrer aux parties prcdentes (Voir page - 12 -) pour la mise en place de base
du serveur :
Elments rseaux : (Voir page - 29 -)
o Adresse IP : 10.133.100.30
o Suffixe DNS : newstore.com
o Nom dHte : NSAP01BX
Rcupration du certificat : (Voir page - 38 -)
o Nom commun : NSAP01BX
o Nom DNS : nls.newstore.com
o Nom convivial : Network location Server

Une fois le serveur prpar il reste scuriser laccs de celui-ci sur le 443 afin que
IIS soit accessible en HTTPS seulement. Pour commencer nous dclarons un certificat
de serveur.

Dans Rles IIS-> Serveur Web -> Gestionnaire de service
NSAP01BX -> Sites -> Default Web Site -> Liaisons -> Ajouter

Deux connecteurs :
Type : HTTPS
Adresse IP :
o (IPV4) 10.133.100.30443
II. Direct Access - Windows Server 2008 R2
- 41 - | P a g e
o (IPV6) 2002:836b:2:1:0:5efe:10.133.100.30
Certificats SSL : Network location server

Pour valider laccs https du serveur il est prfrable de tester sur le serveur
NSDC01BX par exemple via une attaque sur lurl
Dans le cadre de cette maquette il est possible sur ce mme serveur de crer un
partage qui nous permettra de valider laccs au domaine pour les clients externes
(Ex : Test_partage_DA) (Voir page - 33 -)


II. Direct Access - Windows Server 2008 R2
- 42 - | P a g e
4. Paramtrage du serveur simulant Internet

Pour une mise en production classique, Direct Access serait connect en frontal un
pare-feu ou un routeur directement sur internet. On peut imaginer une DMZ pour des
notions de scurit. Afin de simuler cet accs internet sur une maquette virtuelle, il
faut prvoir un serveur supplmentaire. Ce dernier disposera des rles DNS et DHCP,
il ne sera pas enregistr dans un domaine afin que le serveur Direct Access active le
profil public sur sa carte rseau.

Se rfrer prcdemment pour la configuration de base du serveur. (Voir page - 29 -
Nom dHte : INTDC001
Adresse IP : 131.107.0.1
Masque rseaux : 255.255.255.0

Comme on peut le constater le serveur NSDA01BX se trouve sur la mme plage
dadresse IP que le serveur Internet.

Configuration du DHCP (Voir page - 20 -)
Etendue : 131.107.0.100 131.107.0.200

Configuration du DNS (Voir page - 15 -)
Pas de prise en charge IPv6
Deux zones de recherche directe :
o Ns.ext.com -> 131.107.0.0
o Newstore.com -> 10.133.100.0
Pas de zone de recherche inverse

Configuration IIS
Aprs cette mise en place avant de passer la dernire dinstallation tester la
connectivit entre INTDC001 et NSDA01BX
Ping vers le NSDA01BX via ladresse 131.107.0.2 et 131.107.0.3
La rsolution Nslookup sur NSDA01BX
II. Direct Access - Windows Server 2008 R2
- 43 - | P a g e


II. Direct Access - Windows Server 2008 R2
- 44 - | P a g e
5. Configuration de Direct Access
a. Dploiement de la fonctionnalit

Cette phase de prparation va nous permettre de valider tous les prrequis ncessaire
linstallation des fonctionnalits. Sous Windows 2008 R2, il est nest pas possible de
lancer linstallation sans avoir pass ces tapes, la diffrence de la version 2012
plus permissive.

Gestionnaire de serveur -> Fonctionnalits -> Ajouter des fonctionnalits
Slectionner Console de gestion DirectAccess automatiquement Windows oblige
galement linstallation de la console de Gestion des stratgies de groupes . Cela
sexplique par lobligation de dployer la NLS par GPO


Direct Access se dcompose en deux parties :
Installation : Dcomposer en 4 tapes sert de validation au prrequis.
Analyse : Permet de visualiser les protocoles en cours dutilisation. Cette option
ne sert que trs peu dans sa version 2008, nanmoins sur la partie 2012 celle-
II. Direct Access - Windows Server 2008 R2
- 45 - | P a g e
ci est beaucoup plus dtaille grce la remonte et linteraction sur les
clients connects.


b. Installation de la solution

Etape 1 : Slectionner le groupe cr prcdemment Direct_Access_Client
Etape 2 : Rfrencer les cartes du serveur NSDA01BX pour lexterne et linterne
o Renseigner ensuite les certificats pour scuriser la connexion
Certificat Racine -> Parcourir -> newstore-NSDC01BX-CA
Certificat connectivit HTTPS -> Parcourir -> NSDA01BX.newstore.com
Etape 3 : permet de renseigner le contrleur de domaine afin que Direct Access
redirige directement les connexions vers celui-ci.
o Cochez Le serveur emplacement rseau sexcute sur un serveur
haut niveau de disponibilit
o renseigner le champ : https://nls.newstore.com. (Tester la connexion)
II. Direct Access - Windows Server 2008 R2
- 46 - | P a g e
o Renseigner la NLS qui sera effective dans la stratgie de groupe. Il faut
comprendre que la majorit des problmes de connectivit pour un client
vient justement dune stratgie NLS mal renseigne. Par dfaut, Direct
Access renseigne automatiquement les champs. Il renseigne le contrleur
de domaine avec le nom de nom de domaine et ladresse ipv6 du poste
(ISATAP) ainsi que lenregistrement CNAME pour le NSAP01BX
(nls.newstore.com)
o Enfin si lont souhaitent faire du Remote Access sur les clients distants,
il faut renseigner dans la fentre qui suit ladresse du serveur ayant le
rle Gestionnaire de connexion distante
Etape 4 : Permet de prciser un serveur acceptent les connexions scuriss de
bout en bout. Cette option est laisser par dfaut pour notre infrastructure.

Avant de terminer linstallation de Direct Access on enregistre ce paramtre, suite au
traitement, Direct Access est prsent en place.
II. Direct Access - Windows Server 2008 R2
- 47 - | P a g e

Etape 1
Etape 2.1
Etape 2.2
Etape 3
II. Direct Access - Windows Server 2008 R2
- 48 - | P a g e
Cela se vrifie par un simple ipconfig. Le serveur ayant mis jour ses protocoles de
communication.


On constate la prsence de :
Deux cartes Isatap externe et interne
Un adaptateur : 6to4
Un tunnel : teredo
Une interface : Iphttps
II. Direct Access - Windows Server 2008 R2
- 49 - | P a g e
6. Configuration du client
a. Sur le LAN

Tous les serveurs sont prsent en place. Reste configurer le poste client.

Premire tape :
Aprs installation, configurer le poste nomade en vue de se connecter au domaine.
Normalement lordinateur doit rcuprer automatiquement une adresse via le DHCP
du contrleur de domaine.

Il faut lenregistrer dans le domaine dans lOU spcifier et lintgrer au groupe
DirectAccess_Client
Aprs linscription dans le groupe, effectuer un gpupdate /force sur le poste, cela va
permettre de rcuprer les stratgies et la NLS.
Vrification de la stratgie NLS sur le serveur :
Dmarrer -> gpedit.msc -> Configuration Ordinateur -> Paramtres Windows ->
Stratgies de rsolutions de noms
Sassurer de la prsence des deux entres configures au moment de linstallation de
Direct Access.
.newstore.com + Adresse ip v6 du contrleur de domaine
Nls.newstore.com


Ou avec la commande : netsh namespace show policy
Cette commande permet de voir la stratgie dployer sur le poste on remarque
comme prcdemment les deux connecteurs :
nls.newstore.com
.newstore.com complter de son adresse IPv6
II. Direct Access - Windows Server 2008 R2
- 50 - | P a g e
Vrifier par une commande ipconfig la prsence dun connecteur ISATAP et
lactivation du profil rseaux Domaine : newstore.com

Enfin tant connect et inscrit directement au domaine Newstore le profil du domaine
et directement appliqu.
Dmarrer -> Panneau de configuration -> Rseau et internet -> Centre rseau et
partage
II. Direct Access - Windows Server 2008 R2
- 51 - | P a g e

Pour anticiper la vrification une fois connect lexterne, il est intressant de crer
un lecteur rseau pointant vers le partage Test_partage_DA
Dmarrer -> Ordinateur -> Connecter un lecteur rseau :
Attribuer une lettre au lecteur
Renseigner ladresse suivante : \\NSAP01BX\Test_du_partage_DA

Enfin vrifier la prsence du certificat via une console MMC. Suivre la procdure
prcdente. Il nest pas ncessaire de faire une demande de certificat normalement
celui est dj remont automatiquement
II. Direct Access - Windows Server 2008 R2
- 52 - | P a g e
b. Sur le WAN

Notre poste nomade est prt pour des connexions externes. Nous dconnectons le
poste du domaine pour le basculer sur le serveur INTDC001. La galement le serveur
DHCP doit prendre le relais est attribu automatiquement une adresse IP au poste
nomade. Ds lors pour comprendre le fonctionnement de connexion il suffit de se
rfrer au flux de connexion (Chapitre 6.2).

Le client se voit attribuer une adresse IP. Le poste repre quil est sur une connexion
WAN et non pas sur le rseau Newstore. Ds que la connexion est tablie, il requte
selon sa table NRPT sur ladresse https://nsl.newstore.com. Le site tant injoignable
le client envoie une demande de tunnel vers le NSDA01BX relay par le serveur
internet. Aprs vrifications des certificats par Direct Access celui-ci monte un tunnel
IP-Sec

Pour vrifier cette thorie. Nous lanons un Ipconfig sur en ligne de commande :
II. Direct Access - Windows Server 2008 R2
- 53 - | P a g e


Ici on constate clairement que nous navons pas de connexion ISATAP tablie (Nous
somme hors domaine), cest donc en toute logique que le protocole 6to4 prend le
relai (Si nous tions derrire une connexion en NAT cest Teredo qui sinitialiserait).

Nous pouvons vrifier galement la connexion vers le serveur NSDA01BX via un PING.
Les ping ne seront pas effectus en IPv4 mais bien en IPv6, pour une raison simple
lextrieure de lentreprise, cest bien un protocole IPv6 qui est initialis et le routage
est effectu par Direct Access en IPv6.

II. Direct Access - Windows Server 2008 R2
- 54 - | P a g e

Cette capture dcran nous prouve queffectivement en IPv4 les ping ne rpondent
pas, en revanche via le nom dhte ou lIPv6 (Encapsuler) tout fonctionne.
Cest test de ping sont effectuer sur tous les serveurs Newstore.com

Deux autres mthodes permettent de valider le bon fonctionnement de Direct Access
le Lecteur rseau cr pralablement, en crivant directement dedans.
II. Direct Access - Windows Server 2008 R2
- 55 - | P a g e

Vue poste nomade

Vue serveur NSAP01BX
Enfin il nous pouvons vrifier galement la prsence des tunnels IPSec entre le client
et Direct Access.
Dmarrer -> Panneau de configuration -> Systme est scurit -> Pare-feu Windows -
> Paramtres avancs -> Analyse -> Association de scurit -> Mode principal
On constate la prsence de deux changes de cls :
II. Direct Access - Windows Server 2008 R2
- 56 - | P a g e
ici ladresse local mettrice est 2002:836b:64::836b:64 .

Ensuite sur le serveur NSDA01BX en suivant la mm procdure nous constatons le
retour des deux fichiers correspondant aux cls.
Ici ladresse distante correspond bien notre metteur
2002:836b:64::836b:64 .



II. Direct Access - Windows Server 2008 R2
- 57 - | P a g e
4. Vrification et test

Dans les faits, notre maquette est prsent fonctionnelle. Il faut cependant relativiser
et ce en raison dun grand nombre derreurs potentielles ; nous avons dcids de
consacrer une partie spcifique au dpannage et test de la solution.
Ces tests ne prennent pas en compte une tape ou un problme spcifique, mais un
ordre de vrification effectuer pour sassurer le bon fonctionnement du produit.
Nous anticipons en effectuant cette fois-ci des Test de production

1. Les pr-requis

Pour commencer, on vrifie les prrequis de Microsoft :
Sassurer dau moins un contrleur sur le domaine (Version 2008 ou +)
Sassurer dau moins un serveur de certifications
Sassurer sur le DNS de deux Zone de recherche inverse IPv4 et V6
Sassurer sur le DNS des enregistrements des IPv6
Sassurer de la prsence dun connecteur ISATAP dans le DNS
Sassurer de la prsence dun CNAME nls.newstore.com redirigeant vers le
serveur dapplication Ici NSAP01BX
Vrifier la prsence dun groupe de distribution dans lActive directory pour les
postes clients
Vrifier la prsence dune rgle ICMP Ipv4 et 6 sur le serveur Direct Access
La prsence de deux adresse IP publique qui se suivent (Dans la mme dcimal)
La prise en compte du Double chappement pour le rle IIS de Direct Access
Vrifier que le poste clients est en Windows Seven version entreprise ou ultimate
Vrifier que tous les serveurs ne bloquent pas ISATAP (Global query block liste)

II. Direct Access - Windows Server 2008 R2
- 58 - | P a g e
2. Sur le serveur Direct Access

Par un Ipconfig /all vrifier la prsence de tous les protocoles ncessaires.



Ci-dessus :
Les enregistrements ISATAP Hote A et AAA du DNS doivent correspondre
respectivement aux adresses de la carte tunnel isatap.newstore.com
II. Direct Access - Windows Server 2008 R2
- 59 - | P a g e
Soit : 10.133.100.20 pour le A et 2002:836b:2:1:0:5efe:10.133.100.20 pour le AAA

Vrifier le statut et le Routing Isatap pour le rseau LAN


Pour activer le statut si celui-ci nest pas actif :
netsh interface isatap set state enabled

Vrifier que 6to4 route correctement en vrifiant lattribut transmission

Netsh interface ipv6 show interface 6to4 adapter



Si lattribut est sur disabled, passer la commande :
Netsh interface ipv6 set interface 6to4 adapter forwarding=enabled


II. Direct Access - Windows Server 2008 R2
- 60 - | P a g e
Vrifier le statut du protocole Teredo :
netsh interface teredo show state



Pour activer le statut si celui-ci nest pas actif :
netsh interface teredo set state enabled

Pour vrifier la prsence du tunnel IpHTTPS :
Netsh interface httpstunnel show interfaces

Pour activer linterface :
Set interface https://nls.newtore.com:443/IPHTTPS1 none (Sans
authentification)
III. Direct Access - Windows Server 2012 en mono-serveur
- 61 - | P a g e
III. Direct Access - Windows Server 2012 en mono-serveur

1. Prrequis

Configuration serveur Direct Access :
Contrleur de domaine et un seul serveur Direct Access en Windows server
2012 (inclus version Core),
Un port redirig en 443 vers le serveur DA,
Une seule adresse IP publique,
Un enregistrement DNS vers celle-ci .

Configuration du poste client :
Windows 8 (ou Windows 7 entreprise avec le module : Microsoft DirectAccess
Connectivity Assistant 2.0
Le poste client doit obligatoirement tre membre dun domaine (et membre
dun groupe de scurit Clients Direct Access)

III. Direct Access - Windows Server 2012 en mono-serveur
- 62 - | P a g e
2. Installation

a. Le cadre :

- Architecture de la maquette
Serveur Direct Access
10.133.100.20/23
131.107.0.2/24
IIS / DA
Partage : CRDList$
Serveur Active Directory
10.133.100.10/23
ADDS / DNS / DHCP /
ADCS
Serveur Active Directory
10.133.100.30/23
IIS / Partage de fichier
Partage :
Test_du_partage_DA
Serveur simulation
internet
131.107.0.1/24
DNS / DHCP
Client Nomade
Adresse DHCP

Rseau Newstore
Rseau Externe
Tunnel IpSec
Newstore Externe

- Plan dadressage

Serveur Version Adresse IP Passerelle Rles
NSDC01BX-
2012
Windows Srv 2012 10.133.100.10/23 10.133.100.10
AD DS/AD
CS/
DNS/DHCP
NSDA01BX-
2012
Windows Srv 2012
10.133.100.20/23
131.107.0.2/24

Rle mobilit
Direct Access
INTDC001-
2012
Windows Srv 2012 131.107.0.1/24 DNS/DHCP/IIS
NSCL01BX-
2012
Windows 8 DHCP


III. Direct Access - Windows Server 2012 en mono-serveur
- 63 - | P a g e
b. Linstallation pas pas

Peu de choses en commun apparemment avec la version Windows Server prcdent !
Pourtant, si les prrequis sont beaucoup plus lgers (plus besoin dune deuxime
adresse IP publiques et conscutives, ce qui tait trs gnant pour les PME par
exemple), le dploiement est quasiment le mme avec une assistance beaucoup plus
avance.

Tous les aspects techniques avancs (cration des certificats, des GPO) sont
configurs automatiquement ; ce qui rend plus important encore de bien avoir rflchi
au pralable son infrastructure

Toutes les configurations sont possibles du mono-serveur au dploiement multi-site,
et la gestion est simplifie grce la Console de gestion de laccs distant , via
longlet Configuration :
- Dploiement simplifi et rapide des clients,
- Prise en charge simplifie des diffrents serveurs dinfrastructure et dapplication
de votre entreprise,
- Activation du multi-site,
- Gestion simplifie de la charge entre les diffrents serveurs si votre entreprise
le ncessite (cluster charge quilibre),

Linstallation et la configuration de lensemble des fonctionnalits de ce rle sont
accessibles en PowerShell.




III. Direct Access - Windows Server 2012 en mono-serveur
- 64 - | P a g e

1. Configuration du contrleur de domaine

Windows Server 2012 sinstalle simplement en quelques clics en suivant les crans
suivants :


Installer maintenant.

Suivant


III. Direct Access - Windows Server 2012 en mono-serveur
- 65 - | P a g e
Et en remplissant les champs requis :













C
C
C
III. Direct Access - Windows Server 2012 en mono-serveur
- 66 - | P a g e
Le serveur est prt tre promu Contrleur de domaine.









Malgr un fentrage un peu diffrent voire droutant, la configuration du rseau
(passage en adressage fixe et nommage du serveur), cette tape est strictement
identique celle faite sous Windows Server 2008.
Pour Windows Server 2012, le DCpromo a disparu au profit dune interface
graphique (ou de lutilisation de plusieurs modules powershell (Import-module
servermanager, add-WindowsFeature, AD-Domain-Services,).



III. Direct Access - Windows Server 2012 en mono-serveur
- 67 - | P a g e
Ainsi, il suffit de suivre lassistant en laissant les choix par dfaut : il ralise une
installation du rle et de ses fonctionnalits :


III. Direct Access - Windows Server 2012 en mono-serveur
- 68 - | P a g e
Puis, il sagit de promouvoir le serveur en contrleur de domaine.





III. Direct Access - Windows Server 2012 en mono-serveur
- 69 - | P a g e
Les derniers lments de configuration du domaine sont renseigner :
- Le nom du domaine et de la nouvelle fort :



- Les options : niveau fonctionnel de la fort et du domaine, la vrification du
nom NetBios, les chemins daccs de la base de donnes NTDS, des fichiers
journaux, et du dossier sysvol.











Aprs
lexamen
des options et
la vrification de la
III. Direct Access - Windows Server 2012 en mono-serveur
- 70 - | P a g e
configuration, le script sexcute et installe le DNS et promeut le serveur en contrleur
de domaine. Le serveur redmarre ensuite.


















III. Direct Access - Windows Server 2012 en mono-serveur
- 71 - | P a g e
2. Configuration du serveur Direct Access

Installation du rle
Tout dabord, il faut rajouter le rle accs distance (installation en mme temps
du rle serveur Web).





III. Direct Access - Windows Server 2012 en mono-serveur
- 72 - | P a g e
Bien choisir Accs distance dans la liste des rles, ce qui slectionne par
dfaut les fonctionnalits ncessaires, ainsi que les services lis au rle :




III. Direct Access - Windows Server 2012 en mono-serveur
- 73 - | P a g e


Il suffit de suivre lassistant en laissant les choix par dfaut :



















III. Direct Access - Windows Server 2012 en mono-serveur
- 74 - | P a g e
Le rle et ses fonctionnalistes sinstallent sans aucune intervention.s




III. Direct Access - Windows Server 2012 en mono-serveur
- 75 - | P a g e
Fin de linstallation avec le dmarrage de lassistant de mise en route ; le paramtrage
est ici essentiel.

III. Direct Access - Windows Server 2012 en mono-serveur
- 76 - | P a g e
La console de gestion souvre afin de terminer la configuration du serveur :
- Nom du serveur ou son adresse publique (pour notre configuration :
131.107.0.2

III. Direct Access - Windows Server 2012 en mono-serveur
- 77 - | P a g e

- puis il faut configurer la carte rseau. Il est prfrable de slectionner le certificat
auto sign qui permet dauthentifier les connections en IP-HTTPS.


- La page suivante permet de choisir le type dauthentification, une
authentification par lAD soit une authentification a deux facteurs, et
lutilisation de certificat dordinateur est aussi possible. Tout autre type est
envisageable : RADIUS.
III. Direct Access - Windows Server 2012 en mono-serveur
- 78 - | P a g e
Le rsultat de la configuration apparait dans la console de gestion de lAccs
distant, dans longlet tat des oprations.





Cot client, ds que les stratgies de
groupe sont appliques et le client est
connect lextrieur du rseau de
lentreprise, le tunnel ISATAP se
construit et ainsi il est possible
dinterroger les proprits de
connexion et vrifier la connexion
distance.










Conclusion :
- 79 - | P a g e
Conclusion :

Pour conclure nous constatons prsent les diffrences Majeurs entre les versions
2008 et 2012 de Direct Access.

Si lon considre lambition initiale de Microsoft qui consistait proposer une solution
en passe de devenir un standard ainsi quune alternative au chiffrement disponible
sur le march, clairement la dmarche est Aboutie.

Avec Direct Access nous disposons dune solution qui est certes complexes mettre
en uvre dans les deux versions, mais qui ne ncessite aucune intervention de
lutilisateur. On peut trs facilement imaginer le gain de notre SI pour accompagner
un utilisateur dans sa dmarche de connexion Externe.

Il reste anticiper les futures volutions du service, en imaginant plus doption pour
un administrateur vis--vis de ces utilisateurs. Un management du parc nomade facilit
avec une possibilit dintervention distance simplifi
Annexes :
- 80 - | Page
Annexes :
Plan de la maquette Windows Serveur 2008 R2

Annexes :
- 81 - | P a g e
Plan de la maquette Windows Serveur 2012

Serveur Direct Access
10.133.100.20/23
131.107.0.2/24
IIS / DA
Partage : CRDList$
Serveur Active Directory
10.133.100.10/23
ADDS / DNS / DHCP /
ADCS
Serveur Active Directory
10.133.100.30/23
IIS / Partage de fichier
Partage :
Test_du_partage_DA
Serveur simulation
internet
131.107.0.1/24
DNS / DHCP
Client Nomade
Adresse DHCP

Rseau Newstore
Rseau Externe
Tunnel IpSec
Newstore Externe
Index :
- 82 - | Page
Index:
6
6to4 - 8 -
Service de translation
d'adresse IPV4 vers IPV6
A
Active Directory - 5 -
Annuaire LDAP Microsoft
grant l'identification et
l'authentification
Utilisateur
AD CS - 22 -
Service de rle active
directory pour grer les
certificats de l'entreprise
B
Bit - 8 -
Unit de mesure
informatique, chiffre
binaire de 0 1
C
CNAME - 17 -
Enregistrement DNS
permettant de joindre
un domaine par un Nom
dfinie
Contrleur de domaine
- 36 -
Serveur en charge du
contrle d'un domaine
D
DHCP - 20 -
(Dynamic host
configuraton protocol)
Protocole qui assure le
rle de gestion des
adresse IP sur un
rseau
Direct Access - 4 -
Service Microsoft
dtaill dans cette
documentation
DMZ - 42 -
(Zone dmilitarise)
Zone tanpon qui isole
les services accssible
depuis internet d'une
entreprise par un pare
feux
DNS 64 - 4 -
Protocole de transition
de nom d'hte IPv4 vers
IPv6
E
Encapsuler - 54 -
Inclus les donnes d'un
protocole dans un autre
protocole
F
Forefront UAG - 4 -
Systme de scurit
Microsoft qui cible les
accs nomades
FQDN - 17 -
(Full qualified domain
name) Ou nom
plenement qualifi
G
GPO - 9 -
(Gestion de stratgie de
groupe), fonction de
gestion centralis de
Microsoft
gpupdate - 49 -
Commande permettant
de rafraichir les GPO sur
un poste cible
H
Hexadcimal - 8 -
Systme numrique en
base 16 utilis
notamment en
informatique
HTTPS - 31 -
Evolution du protocole
http avec l'
implmentation d'une
couche SSL
Index:
- 83 - | P a g e
I
ICMP - 28 -
(Internet control
Message Protocol)
Utilis pour diffuser des
messages de contrle
d'erreurs
IIS - 31 -
Service de rle
Microsoft pour
implmenter un serveur
en entreprise
IPHTTPS - 40 -
Protocole Microsoft qui
permet un client de
grer les situations ou il
ne peut se connecter
avec les protocoles 6to4
et teredo
IPSec - 9 -
Voir la dfinition page
10
IPV4 - 8 -
Protocole d'adressage
informatique cod sur
32 bits
IPV6 - 4 -
Protocole d'adressage
informatique cod sur
128 bits
ISATAP - 8 -
Mcanisme de transition
IPv4 vers IPv6
L
LAN - 59 -
Local ara network est
un rseau informatique
sans accs internet
M
Microsoft - 4 -
Socit Internationale
amricaine cratrice des
systme d'exploitation
Windows
MMC - 38 -
Interface graphique de
configuration d'lments
windows
Modle OSI - 8 -
Standard de
communication en
rseau informatique
compos de 7 couches
N
NAT - 4 -
(Network Adresse
Translation) Fait de
correspondre des
adresses IP internet
non-uniques vers une
adresse externe unique
NLS - 9 -
Network location server.
Serveur utilis dans le
cadre de Direct Access
qui permet un client
de repr sur qu'elle
rseau il se situe
Nomadisme - 5 -
Dsigne les utilisateurs
d'une entreprise amens
se dplacer
frquemment
NRPT - 9 -
Table de stratgie de
rsolution de nom
NTFS - 35 -
Systme de fichier
informatique evolution
du Fat 32
O
Octet - 8 -
Unit de mesure
informatique,
correspond un
ensemble de 8 bits
P
Ping - 53 -
Outil informatique
permettant de tester
l'accessibilit d'une
machine client
PKI - 7 -
Public key infrastructure
Systme qui permet de
grer le cycle de vie
d'une cl de scurit
informatique
Protocoles - 8 -
Mthode qui permet la
communication de
diffrent processus
PTR - 17 -
Index:
- 84 - | P a g e
Enregistrement dans un
service DNS qui permet
d'identifier l'adresse IP
d'un hte par son nom
R
Rpertoire virtuel - 31
Dossier virtuel utilis par
le service IIS de
Microsoft
S
SSL - 4 -
Secure Socket Layer
Protocole de
scurisation d'change
sur internet
Suffixe DNS - 13 -
Dsigne le premier
niveau d'un nom de
domaine
T
taggs - 30 -
Permet d'identifier une
trame par l'ajout d'un
tag
TCP - 13 -
Protocole de transport
de donne en mode
connect
Teredo - 8 -
Mcanisme de transition
d'adresse qui permet la
communication derrire
un quipement NAT
U
UO - 21 -
Unit organisationnelle,
systme de classement
d'objet Active Directory
V
VPN - 4 -
Virtual private network
est une extension d'un
rseau local au traver
d'internet
W
WAN - 52 -
Wide ara network
rseau informatique
couvrant une grande
zone d'un pays ou d'un
continent
Windows - 4 -
Systme d'exploitation
dvelopp par Microsoft
WPAD - 19 -
Web proxy Auto-
Discovery protocole de
Microsoft qui permet
une configuration
automatique d'accs
internet de son
navigateur

Vous aimerez peut-être aussi