Vous êtes sur la page 1sur 22

MettreenplaceunaccsscuristraversInternet

Danscettepartievousverrezcommentconfigurervotreserveurentantqueserveurdaccsdistant.Dansunpremier
temps, les mthodes pour configurer les diffrents types de VPN offerts par Windows Server 2008/2008 R2 (PPTP,
L2TP,SSTP)serontdcrites.Puislesaspectsdescurisationserontabords.LaconfigurationdunserveurRASavec
modemneserapasvoque,latechnologientantquasimentplusutilise.

1.MiseenplaceduneliaisonVPN
Prrequis matriel : le serveur doit tre muni de deux cartes rseaux. Une connecte Internet et lautre
connecteaurseaulocal(LAN).LapremiresechargedaccepterlesconnexionsVPNentrantesetncessiteuneIP
fixe (dansnotreexempleconfigureen192.168.250.123).Lasecondeinterfacerseaufaitsuivreletraficentreles
connexionsVPNetlesressourcesrseauxduLAN.
IlesttechniquementpossibledanslecasdunVPNPPTPouL2TPdenavoirquuneseulecarterseau.Cela
sortparcontreducadredesbonnespratiquesMicrosoftetlesperformancespeuventsenressentir.
Prrequislogiciel :pourconfigurerlesVPNL2TP/IPSec etSSTPvousdevezavoirinstalluncertificatordinateur
surleserveur.
Un certificat autosign peut nanmoins tre gnr la fin de la procdure dinstallation du service. Attention
cependant,cescertificatsnesontpasreconnuspardesautoritspubliquesetvontgnrerdesalertesdescurit.
Ilsnedoiventtreutilissqudesfinsdetests.
Ilfautdoncleurprfreruneautoritdecertificatinterne(appelaussiPKIpourPublicKeyInfrastructure)oumieux
encoreuncertificatsignparuneautoritpublique.Lavantageduncertificatsignparuneautoritpubliqueestque
ce certificat ne ncessite pas le dploiement du certificat de lautorit de certificats sur les postes clients
contrairementlutilisationduncertificatgnrparunePKI.
Ciaprs un lien vers le TechNet de Microsoft traitant de la mise en place dune PKI Microsoft :
http://technet.microsoft.com/enus/library/cc872789.aspx

a.InstallationdurleServicesdestratgieetdaccsrseau
LinstallationdurlesefaitdepuislaconsoleGestionnairedeServeur,danslesousdossierRles,encliquantsur
Ajouterdesrles.
Voicilesdiffrentestapes :

Ouvrez la console Gestionnaire de serveur en cliquant sur le bouton Dmarrer, Outils dadministration puis
Gestionnairedeserveur.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 1-

CliquezsurSuivant.

AuniveaudeRsumdesrles,cliquezsurAjouterdesrles.

Slectionnezlerle :Servicesdestratgieetdaccsrseau.

- 2-

ENI Editions - All rigths reserved - Guillaume DUBOIS

SurlapagedIntroductionauservicedestratgieetdaccsrseau,cliquezsurSuivant.

CochezlescasesServicedaccsdistanceetRoutagecommeillustresurlcrancidessous :

lapagedeconfirmation,cliquezsurInstaller.

SurlapagedeRsultats,vrifiezquelinstallationsestbiendrouleetcliquezsurFermer.

Pour crer un certificat auto sign pour L2TP/IPSec ou SSTP : ouvrez la console IIS et dans le volet de
droite double cliquez sur Certificats de Serveur. Dans le panneau doutils droite cliquez sur crez un
certificatautosignpuissaisissezunnomconvivial.

b.ConfigurationdesfonctionnalitsVPN
Maintenantquevousavezinstalllerledeserveurdaccsdistant,vousallezconfigurerlesparamtresassocis.
La procdure de configuration pour les trois technologies VPN est identique. Cependant pour pouvoir
utiliserSSTPilfautaupralableavoirsatisfaitleprrequissuivant :InstallationdurledeserveurWEB
IISabordedanslechapitreApplicationInternetMettreenplaceunserveurIntranet/Internet.

DanslaconsoleGestionnairedeServeur,dveloppezlarborescence :RlesServicesdestratgieetdaccs
rseau.
FaitesunclicdroitsurRoutage et Accs DistantpuiscliquezsurConfigurer et activer le routage et laccs
distance.
LassistantdInstallationselance,cliquezsurSuivant.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 3-

SlectionnezAccsdistanceetcliquezsurSuivant.

SlectionnezVPNetcliquezsurSuivant.

Slectionnezvotreinterfacepublique(icipourplusdesimplicitlesconnexionsonttrenommesenfonctionde
leurutilisation).

- 4-

ENI Editions - All rigths reserved - Guillaume DUBOIS

CliquezsurSuivant.
Dans la page Attribution dadresses IP, slectionnez Automatiquement si vous disposez dun serveur DHCP.
Autrement,slectionnezApartirduneplagedadressesspcifie.

CliquezsurSuivant.

SivouschoisissezdefaireattribuerlesadressesparleserveurVPNvousobtiendrezlapagesuivante.

Cliquezsur Nouveau puis spcifiez une plage contenant suffisamment dadresses rseaux. Validez puis cliquez
surSuivant.
Attentionbienspcifieruneplagecorrespondantvotrerseaulocal.Sanscelalacommunicationnepeutpas
fonctionner.

lapageGestiondeserveursdaccsdistancemultiples,sivousdisposezdunserveurRADIUScochezOui,
sinoncochezNon.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 5-

IcivousallezcocherNoncarlascuritavecRADIUSestabordeplustarddanscechapitre.

CliquezsurSuivant.
la page Rsum, vrifiez que les informations de configuration sont bien celles dsires puis cliquez sur
TerminerpuisOK.

Unefoiscetassistanttermin,WindowsServer2008/2008R2creautomatiquement128portspourchacunedes
troistechnologiesdeVPNquilconnat.Chaqueconnexionrequiertunportunique.Pourplusdescuritilconvient
dailleursdedsactiverlesportsinutiles.

VPN.

Une fois configur pour accepter les connexions VPN entrantes, Windows Server 2008/2008 R2 va
automatiquementbloquertoutletraficentrantsurlinterfacepubliquequinecorrespondraitpasdutrafic

Pour modifier les paquets autoriss (ex : pour pouvoir prendre la main sur le serveur en bureau distant), il vous
faut :

- 6-

Depuislaconsole Gestionnairedeserveur,dveloppezServicesdestratgieetdaccsrseau Routageet


accsdistantIPV4(ouIPV6selonvotreutilisation)Gnral.
FaitesunclicdroitsurvotreinterfacepubliquepuisslectionnezProprits.

ENI Editions - All rigths reserved - Guillaume DUBOIS

CliquezsurFiltresdentre.

Ilnevousresteensuiteplusquautoriserletraficvoulu(3389enTCPparexemplepourlebureaudistance).

2.Gestiondelascuritdesaccs

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 7-

MaintenantquevoussavezconfigurervotreWindowsServer2008/2008R2entantqueserveurdaccsdistant,vous
voudrezsansdoutepouvoircontrlerlamaniredontseconnectentlesutilisateurs.Comptesdutilisateurs,plages
horaires,groupesetbiendautresparamtresencoresontconfigurables.
DanslesversionsprcdentesdeWindows,cesparamtrestaientgrsvialaconsolestratgiesdaccsdistant.
DsormaisvouspourrezutiliserlaconsoleServeurNPS(NetworkPolicyServer).
Pourmodifierunestratgieexistante :

AllezdansDmarrerOutilsdadministrationServeurNPS(NetworkPolicyServer)puiscliquezsurledossier
Stratgiesrseau.

La capture dcran cidessus montre une des spcificits de Windows Server 2008 R2 : la gestion de
modles. En effet, vous pourrez faciliter la configuration de vos stratgies en important des modles
existantsdepuisunautreserveurouencoreenrutilisantdesmodlesduserveurlocal.
VousytrouverezdeuxstratgiespardfautavecdesvaleursmaximalespourlacolonneOrdredetraitement.Vous
devezfaireattentioncetordre.Eneffet,lesstratgiesrseauxsonttraitesdanslordrecroissant.Leserveurva
parcourir les stratgies en partant de la plus petite valeur. Sil en trouve une qui correspond aux critres de la
demandedeconnexion,ilautoriseounonletrafic.Aussi,siunestratgieestconfigurepourrefuserlaccs,lorsde
la vrification des stratgies, laccs sera automatiquement refus mme si une stratgie venant plus tard laurait
autoris.
Lemieuxrestedecrervousmmevosstratgiesdaccsrseaudefaonmatriserleurcontenu.Voicilamarche
suivrepourcrerunestratgieautorisantlegroupeCommerciauxseconnecterensemainede9h18h :

- 8-

DanslaconsoleServeurNPS,allezdansStratgiesrseaux.
Faites un clic droit sur le dossier Stratgies rseaux puis cliquez sur Nouveau. Spcifiez un nom pour votre
stratgie. Attention mettre des noms explicites, si vos stratgies doivent se multiplier vous gagnerez ainsi en
lisibilit.

ENI Editions - All rigths reserved - Guillaume DUBOIS

La liste droulante Type de serveur daccs rseau rfre la technologie NAP (Network Access Protection)
abordeprcdemmentdanslechapitreMiseenplacedesservicesrseauxdentreprise.Icineseragrequela
scuritdeceserveurVPN,vouslaisserezdonclechoixNonspcifi.

CliquezsurSuivant.

Vousarrivezensuitelapagedeconditions,cliquezsurAjouter.

Vousavezalorslapossibilitdechoisirparmiunemultitudedecritresregroupsdansseptgroupesdistincts :

Groupe(groupesdordinateurs,dutilisateurs,etc.)

HCAP(groupescorrespondantdesserveursdaccsrseauxtiers)

Restrictionshoraires(joursdelasemaine,plagehoraire,etc.)

Protectiondaccs(systmedexploitation,compatibilitNAP,etc.)
ENI Editions - All rigths reserved - Guillaume DUBOIS

- 9-

Propritsdelaconnexion(adresseIPduclient,typedauthentification,etc.)

Propritsduclient(nomduclientRADIUS,IPduclientRADIUS,etc.)

Passerelle(numrodetlphoneduserveurDialUp,nomdupriphriquerseauquitransmetlademande).

Laprsentationdetouteslesconditionsneserapasfaitedanscelivrecomptetenudeleurgrandnombre.
Vous pourrez cependant trouver plus de dtails sur le TechNet de Microsoft ladresse :
http://technet.microsoft.com/enus/library/cc731220.aspx
Lesconditionssontcumulables,vouspouvezparexemplefaireensortedautoriserlaccsuniquementungroupe
dutilisateursetsuruneplagehorairebienprcise.

SlectionnezGroupesdutilisateurspuiscliquezsurAjouter.
DanslabotededialoguequivientdapparatrecliquezsurAjouterdesgroupespuissaisissezlenomdugroupe
(Commerciauxdansnotreexemple)puisvalidezparOK.

ValidezparOKpuiscliquezsurSuivant.
Unefoisvosconditionsajoutes,vousavezlechoixDaccorderlaccs,deRefuserlaccsouencoredefaireen
sortequecesoientlespropritsdenumrotationdesutilisateursquidterminentlaccs(danscecascesont
les proprits dfinies dans le compte de lutilisateur qui sont prises en compte). Dans cet exemple, choisissez
DaccorderlaccspuiscliquezsurSuivant.
VousavezensuitelechoixentrelesdiffrentesMthodesdauthentification.
Vous devez en choisir au moins une. Attention cependant, les cases non coches dans limage cidessous
reprsententdesauthentificationspeuscurisesetnesontdoncpascocherdanslamesuredupossible.

- 10 -

Icilaissezlescasescochespardfaut.

ENI Editions - All rigths reserved - Guillaume DUBOIS

CliquezsurSuivant.

Lapagedecontraintespermetdappliquerdesrestrictionssupplmentairescommelaplagehoraireautorise(casde
notreexemple).

CliquezsurRestrictionsrelativesauxjoursetauxpuiscochezlacaseAutoriserlaccslesjourssuivantset
ceshorairesuniquement.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 11 -

CliquezsurModifierpuisremplissezcommeciaprspourautoriserlesjoursdesemaineentre9het18h.

- 12 -

ValidezencliquantOKpuiscliquezsurSuivant.
Danscettefentrevouspouvezconfigurerdesparamtressupplmentairespourscuriserlaconnexion.Eneffet,
si la connexion rpond aux critres prcdents, savoir conditions et contraintes, elle se voit appliquer des
paramtressupplmentaires.CelavadelamiseenconformitviaNAPunchiffrementdelaconnexionouencore
unerestrictionsurlesprotocolesutilisspendantlaconnexion.Pourcetexemple,nespcifiezpasdeparamtres
etcliquezsurSuivant.

ENI Editions - All rigths reserved - Guillaume DUBOIS

Surladernirepagedelassistant,vrifiezbienlesinformationssaisiespuiscliquezsurTerminer.
Votre nouvelle stratgie apparat avec un chiffre appliqu automatiquement pour lordre de traitement. Vous
pouvez ensuite, loisir, modifier cet ordre en faisant un clic droit sur la stratgie. Puis en choisissant une des
optionsMonterouDescendre.Celavouspermetdedfinirsaprioritetdonclordredanslequelelleestvrifie
lorsdunedemandedeconnexion.

3.Gestiondelauthentification(IAS/Radius)
DanslapartieprcdentevousavezvucommentconfigurerunestratgiedeconnexionpourlaccsviaVPNgrce
laconsoleNPS.Bienquetechniquementfaisable,celadevientrapidementingrabledelefairelorsquevousdisposez
deplusieursserveursdaccsrseaux(serveursVPN,bornesWiFi,etc.).
PourcentraliserlagestiondesrglesdaccsetdelauthentificationvousavezbesoinducomposantdeserviceNPS
(Network Policy Server). Ce rle tait connu dans les versions prcdentes de Windows Server sous le nom dIAS
(InternetAuthenticationService).
Pour centraliser lauthentification, utilisez le rle de serveur RADIUS. Lintrt de la technologie RADIUS est de
pouvoircentraliserlagestiondelascuritdquipementsinformatiquesautresqueMicrosoft.Eneffet,vouspouvez
parexempleconfigurerunpointdaccsWiFipourutiliserleserveurNPSWindowsServer2008/2008R2pourgrer
lauthentification.
VoicilesfonctionsquevousoffrelerledeServeurNPS enmatiredescurisation :

NetworkPolicyServer(NPS) :authentification,autorisation,servicespourserveursdaccsdistants,VPN,
pointsdaccsWiFi,PasserelleTS.
NPS Accounting (ou journalisation) : audit et enregistrement des authentifications et des requtes de
compte dans une base SQL ou un fichier local. Windows Server 2008 R2 intgre un nouvel assistant
permettant de faciliter la configuration de cette journalisation en crant automatiquement les bases de
donnesassocies.
ENI Editions - All rigths reserved - Guillaume DUBOIS

- 13 -

NPSRadiusProxy :permetlacheminementdesmessagesentrelesclientsRADIUS(serveursdaccsetles
serveursRADIUSquisoccupentdelauthentification).
NPSNAP :reportezvousauchapitreMiseenplacedesservicesrseauxdentreprise Miseenplacedela
quarantainerseau.
NPS Radius serveur : gre lauthentification, lautorisation et lenregistrement des demandes des clients
RADIUS.
NPSRadiusClient :serveurdaccsdistantutilisantunserveurRADIUSpourlauthentification.

LesordinateursclientsnesontpasdesclientsRADIUS.Cesontlesquipementsauxquelsilsseconnectent
(serveurVPN,pointdaccsWiFi)quilesont.
Danslesrubriquesprcdentesdecechapitrevousavezvucommentajouterlerledeserveurdaccsdistant.Pour
pouvoirinstallerlecomposantNPS,procdezcommesuit :

DanslaconsoleGestionnairedeServeur,naviguezjusqu :RlesServicesdestratgiesdaccsdistant.

Danslafentrededroite,cliquezsurAjouterdesservicesderle.

- 14 -

Cochez la case Serveur NPS (Network Policy Server) comme figur dans limage ciaprs puis cliquez sur
Suivant.
CliquezensuitesurInstaller.

ENI Editions - All rigths reserved - Guillaume DUBOIS

Unefoislinstallationtermine,cliquezsurFermer.

Vouspouvezdsormaisgrerlascuritdesaccsvotrerseaudemanirecentraliseetcedepuisvotreconsole
NetworkPolicyServer.
Laconfigurationdesstratgiesdaccs(horaires,utilisateurs,etc.)sefaitdelammefaonquepourunserveurVPN
(vuprcdemmentdanscemmechapitre).VouspouvezcependantdsormaisconfigurervotreserveurNPSdesorte
agirentempsqueserveurRADIUSouencoreentempsqueProxyRADIUS.
Pour permettre un priphrique daccs dutiliser votre serveur en temps que serveur RADIUS il vous faut au
pralablelavoirautoris.Pourcefairevoicicommentprocder :

DansvotreconsoleNPS,naviguezjusquClientsetServeursRADIUS.

FaitesunclicavecleboutondroitdelasourissurClientsRADIUSpuisNouveau.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 15 -

IlvoussuffitalorsdedclarerlepriphriquedaccsenluidonnantunNomconvivialetsonAdresseIP.
LeNomdufournisseur(lalistedroulantefournitdenombreuxacteursimportantsdumondeinformatiquecomme
Cisco,etc.).
Unecldescuritquevousconfigurerezaussisurlepriphriquedaccs.
Vous pourrez galement choisir les protocoles dauthentification ainsi que spcifier si le client RADIUS est
compatibleNAPounon.

Unefoisunpriphriquedclar,vouspouvezlactiverouledsactiverparunsimpleclicdroitetunecase
cocher. Pour ce faire, il suffit dans la rubrique ClientsRADIUS, daller dans les proprits du priphrique
nouvellementcr.IlnevousrestealorsquchoisirentreActivouDsactiv.
Cidessous,unexempledutilisationdeserveurRadius.

- 16 -

ENI Editions - All rigths reserved - Guillaume DUBOIS


IlpeuttreintressantdutiliserunserveurProxyRADIUSdanslescassuivants :

Vous voulez fournir une authentification pour des comptes non membres du domaine dont fait partie le
serveurNPS.
VousvoulezfourniruneauthentificationdepuisunebasedecomptesautrequeWindows.
Vous voulez pouvoir traiter un grand nombre de requtes de connexion. Le Proxy RADIUS agira comme un
quilibreurdecharge.
VousvoulezscuriserlaccsvotrebasedutilisateursenplaantunproxyRADIUSenDMZ.

Dclarer votre serveur en temps que Serveur proxy RADIUS est galement trs simple. Il vous suffit dans votre
consoleNPSde :

NaviguerjusquClientsetserveursRADIUS.

FaireunclicdroitsurGroupesdeserveursRADIUSdistantspuisNouveau.

SpcifierunnomdegroupepuiscliquezsurAjouter.

EntrerlenomouladresseIPdunserveurRADIUS.

Vous pourrez galement spcifier si le proxy RADIUS doit sauthentifier via une cl partage auprs du
serveurRADIUS,ouencoreconfigurerlquilibragedecharge.
IlvousestpossibledansunmmegroupedajouterplusieursserveursRADIUSafindassurerunetolrance
depannes.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 17 -

4.ImplmentationdeDirectAccess
Les prrequis limplmentation de Direct Access sont nombreux, aussi nous ne dtaillerons pas leur installation
danscechapitre.Voicilalistedesprrequisrespecter:

Une infrastructure de cl publique (PKI) : elle servira distribuer des certificats aux ordinateurs (elle peut
galementservirfournirdescertificatsSSLpourlessitesWebdevotreplateformedetests).

UncontrleurdedomaineexcutantWindowsServer2008SP2ouWindowsServer2008R2.

UnordinateurclientexcutantlesystmedexploitationWindows7.

DesstratgiesIPSecpourprotgerletraficentrelesclientsetleserveur.

LeserveurDirectAccessdoitpossder2interfacesrseaux.

Pourplusdedtailssurlimplmentationdesprrequis,reportezvousauguidepaspasqueMicrosofta
publi et qui est disponible (uniquement en anglais au moment de lcriture de ce livre) ladresse :
http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=8D47ED5FD2174D84B698
F39360D82FAC&displaylang=en
Lexempleprsentciaprsprendencompteleslmentssuivants:

Lesprrequisdenvironnementsontprsents.
Le domaine interne se nomme masociete.lan et le serveur Direct Access (nomm DA1) est intgr au
domaine.

LeserveurDirectAccesspossdeuneinterfacepubliquepossdantlesadresses131.107.0.2et131.107.0.3.

LeserveurDirectAccesspossdeuneinterfaceprivepossdantladresse192.168.0.2.

UncertificatdetypeWebatinstallsurleserveurDirectAccessavecunnomconvivial:IPHTTPS.

UngroupeDA_ClientsatcrsurledomaineetlamachineclienteDirectAccessenestmembre.Cegroupe
serviradfinirlesmachinesautorisesseconnectergrceDirectAccess.

VoicilestapessuivrepourinstallerDirectAccess:

DanslaconsoleGestionnairedeServeur,slectionnezRlespuisdanslevoletdroitcliquezsurAjouterdesrles
etsurSuivant.

CochezlacaseServeurWeb(IIS)puiscliquezsurSuivanttroisfoisetenfinsurInstaller.

Unefoislinstallationfinalise,cliquezsurFermer.

Toujours dans la consoleGestionnaire de Serveur, slectionnez Fonctionnalits puis dans le volet droit cliquez
surAjouterdesfonctionnalits.

SlectionnezConsoledegestionDirectAccesspuiscliquezsurSuivant.

CliquezsurInstalleretunefoislinstallationfinalise,cliquezsurFermer.

IlestmaintenanttempsdeconfigurerlafonctionnalitDirectAccess:

- 18 -

DanslesOutilsdadministration,cliquezsurGestionDirectAccess.

ENI Editions - All rigths reserved - Guillaume DUBOIS

Slectionnezlen udInstallationdanslevoletgauche.

Danslevoletcentral,cliquezsurleboutonModifierdeltape1.

AjoutezlegroupeDA_ClientspuiscliquezsurTerminer.

Danslevoletcentral,cliquezsurleboutonModifierdeltape2.

Slectionnezlesinterfacesenfonctiondurseauauquelellessontconnectes(InternetetInterne).

CliquezsurSuivant.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 19 -

CliquezsurlepremierboutonParcourirpourslectionnerlecertificatdelautoritdecertificationInterne.
Cliquez sur le second boutonParcourirpourslectionnerlecertificatutilispourscuriserlaconnexionavecles
clientsdistants(IPHTTPS).

CliquezsurTerminer.

Danslevoletcentral,cliquezsurleboutonModifierdeltape3.

SaisissezlURLcorrespondantunserveurIntranet(cestcetteURLquipermettraauclientdedterminersilse
trouveounonauseindurseauinterneetsildoittabliroupaslaconnexionDirectAccess).
VouspouvezvoirquilestgalementpossiblequeleserveurDirectAccessjouecerle.

- 20 -

ENI Editions - All rigths reserved - Guillaume DUBOIS

CliquezsurSuivant.

Choisissezlemodedersolutiondenomsenfonctiondevosbesoins,icilaissezlechoixpardfaut.

CliquezsurSuivant.
Saisissez les adresses IP des serveurs pouvant grer distance le composant Direct Access puis cliquez sur
Terminer.
Danslevoletcentral,cliquezsurleboutonModifierdeltape4.
Spcifiezlesserveursaveclesquelsvoussouhaitezquelechiffrementdutraficsoiteffectudeboutenbout(par
dfautlechiffrementesteffectuentreleclientetleserveurDirectAccessuniquement).
VouspouvezgalementrestreindrelesaccsDirectAccessuniquementauxserveursspcifispluttqutousles
serveursinternes.
Pourplusdeprcisions,lechapitreScuriservotrearchitecturerevientsurlesdiffrentstypesdetunnelIPsec.

CliquezsurTerminer.

ENI Editions - All rigths reserved - Guillaume DUBOIS

- 21 -

CliquezensuitesurEnregistrerpuissurTerminerenbasduvoletcentral.

IlneresteplusqutesterdepuisunposteclientenaccdantunserveurWebinterneouencoretoutsimplement
audossierSYSVOLdudomaine(\\masociete.lan\sysvol).
Un guide de dbogage est disponible (uniquement en anglais au moment de lcriture de ce livre) sur le site de
Microsoftladresse:http://technet.microsoft.com/enus/library/ee624056(WS.10).aspx

flux.

Attention, si vous souhaitez raliser cette maquette sur un serveur HyperV, il vous faudra positionner les
cartesrseauxduserveurDirectAccessencartehrite(ouLegacy)sivousrencontrezdesproblmesde

Vousvenezdevoirdanscechapitrequepourfournirunaccsdistancevosutilisateurs,ilvousfautconfigurerun
serveur daccs distant. Quand vos utilisateurs se trouvent en dehors de lentreprise ils peuvent accder aux
ressourcesinternesenutilisantsoituneconnexiondetypeDialup,soituneconnexionVPN,soitDirectAccess.
Windows Server 2008/2008 R2 savent grer les deux premires solutions. Ils apportent galement avec SSTP une
mobilitaccrue.GrcelencapsulationdutraficVPNdansdelHTTPSvousvitezlescontraintesdeconnexionlies
delascuritsortantesurlesparefeudesrseauxdanslesquelsvousvoussituez.
Avec le couple Windows Server 2008 R2/Windows 7, vous fournirez vos utilisateurs ce que nombre dentre eux
rclament:travaillerhorsdubureaucommeaubureau.
WindowsServer2008/2008R2vouspermettentgalementavecsesnouvellesstratgiesdaccs,dedfinirdefaon
trsprcisequiseconnecte,quandetdequellefaon.
Sivoussouhaitezcentraliserlascuritdesconnexionsdevosquipementsrseaux,WindowsServer2008/2008R2
assurerontlerledeconcentrateurgrceleursfonctionsRADIUS.

- 22 -

ENI Editions - All rigths reserved - Guillaume DUBOIS