Vous êtes sur la page 1sur 4

BTSIG option administrateur de réseaux locaux d'entreprise

TP Windows 2000 server Accès distant

Objectif : Mettre en place un accès distant via les lignes téléphoniques internes du lycée. Condition : Le Tp est réalisé par groupe de deux étudiants. Noms :

Le groupe utilise un poste sous Windows2000 Pro avec un modem externe et un poste sous Windows2000

Server avec une carte intégrée RNIS configurée en mode analogique, la ligne RTC et la ligne RNIS de la salle avec des liaisons internes au lycée.

N° ligne RTC : 337

N° ligne RNIS : 381

Partie 1 : Introduction L'accès distant permet aux utilisateurs de se connecter au réseau de l'entreprise à partir d'un site distant (un autre réseau d'entreprise, une station utilisateur à la maison, à l'hôtel). L'équipement client se connecte au serveur d'accès distant via une liaison WAN qui peut-être le réseau téléphonique commuté (RTC), un réseau numérique à intégration de service (RNIS), un support X25 (commutation de paquet), frame-relay (commutation de trames). Sur ce support physique, un protocole de communication de liaison WAN va être utilisé, Windows 2000 accepte notamment le protocole PPP (Point to Point Protocol), celui-ci est un protocole de niveau 2 du modèle OSI, il permet donc d'encapsuler les protocoles de niveau 3 (IP, IPX, NetBeui). Ce protocole se substitue aux protocoles de niveau 2 utilisés sur des LAN comme Ethernet, Token Ring, FDDI.

Le serveur d'accès distant jouent le rôle de passerelle entre le client d'accès distant et le réseau local. Avant qu'une connexion soit établie, on procédera à une authentification du client et éventuellement à un cryptage des données.

1. Préparation sur le serveur d'accès distant

- Créer trois utilisateurs : Console Gestion de l'ordinateur, Dossier Utilisateurs et groupes locaux,

Dossier Utilisateurs, clic droit, Nouvel utilisateur, Noms :Util1, Util2 et Util3 - L'utilisateur ne doit pas changer son mot de passe à la première ouverture de session, le mot de passe est toto.

- Créer un répertoire f:\data, partager ce répertoire et placer un fichier texte dans ce répertoire : doc.txt contenant le texte suivant : essai d'accès distant.

- Repérer l'adresse Mac de la carte réseau avec Ipconfig /all :

2. Carte RNIS sur le serveur

- Connecter la carte RNIS à la prise correspondante dans la salle,

- Vérifier la configuration de la carte RNIS : Panneau de configuration, Options de modems et téléphonie,

- Onglet Modems, sélectionner Modem Analogique RNIS Eicon, bouton Propriétés,

- Vérifier que la vitesse du port est 38400 et onglet Diagnostics, bouton Interroger le modem.

Utiliser l'outil fourni par le constructeur pour tester la ligne :

- Menus Programmes, Diva, sélectionner Vérification de la ligne, bouton Démarrer.

3. Modem sur le client

- Vérifier la connexion du modem sur le poste et brancher le sur la prise RTC de la salle,

- Vérifier la configuration du modem : Panneau de configuration, Options de modems et téléphonie,

- Onglet Modems, sélectionner le modem Olitec, bouton Propriétés,

- Vérifier que la vitesse du port est 38400 et onglet Diagnostics, bouton Interroger le modem.

- Débrancher éventuellement la connexion Ethernet du client.

Partie 2 Mise en place de l'accès réseau à distance Il faut commencer par autoriser les appels entrants sur le serveur d'accès distant.

4. Autoriser les appels entrants sur le serveur

- Clic droit sur Favoris réseau, Propriétés, Double clic sur Établir une nouvelle connexion, bouton Suivant,

- Sélectionner Accepter les connexions entrantes, bouton Suivant,

- Sélectionner le périphérique de connexion : Modem Analogique RNIS Eicon, bouton Suivant

- Sélectionner Ne pas autoriser les connexions privés virtuelles, bouton Suivant,

BTSIG option administrateur de réseaux locaux d'entreprise

- Cocher les cases correspondant aux utilisateurs qui utilisent l'accès distant (Util1 et Util2),

- Util2, bouton Propriétés, Onglet Rappel, sélectionner Toujours rappeler au numéro: 337, boutons OK, Suivant,

- Sélectionner le protocole TCP/IP, bouton Propriétés, sélectionner Spécifier des adresses TCP/IP, définir une plage d'adresses (5 adresses) compatible avec votre serveur, boutons Suivant et Terminer.

- Vérifier dans la console Gestion de l'ordinateur, les permissions d'appel définies pour chaque utilisateur :

Dossier Utilisateurs, Clic droit sur l'utilisateur, Propriétés, Onglet Appel entrant.

5. Définir la connexion sortante sur le client

- Clic droit sur Favoris réseau, Propriétés, Double clic sur Établir une nouvelle connexion, bouton Suivant,

- Sélectionner Connexion à un réseau privé, bouton Suivant, saisir le numéro de téléphone du serveur : 381,

- Boutons Suivant et garder toutes les options par défaut pour chaque fenêtre,

- Bouton Annuler sur la fenêtre de connexion.

6. Tests à partir du client et capture de trames avec le moniteur réseau sur le serveur

- Pour se connecter à distance : Double-clic sur l'icône représentant la connexion.

6.1 Connexion

- Dans la console moniteur réseau (serveur), lancer la capture de trames sur la carte RNIS,

- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1 (saisir le mot de passe),

- Après la connexion, arrêter et afficher la capture,

- Menu Affichage, sélectionner l'option Filtre, sélectionner Protocol = = Any,

- Bouton Modifier l'expression, bouton Désactiver tout, dans la liste protocoles désactivés, choisir PPPCHAP,

- Bouton Activer et Boutons OK, il ne reste plus que les trames qui transportent le protocole PPPCHAP.

Quel est le protocole qui encapsule PPPCHAP ? PPP (Point to Point Protocol), En analysant la deuxième trame PPPCHAP, quelle peut-être la fonction de ce protocole ? CHAP (Challenge Handshake Authentication Protocol), c’est un protocole d’authentification de l’utilisateur.

- Sur le serveur et le client, utiliser la commande Ipconfig /all pour afficher les informations Ip, que trouve-t-on pour la connexion d'accès à distance : Sur le serveur une carte PPP pour une interface WAN mis en place par le serveur RAS, avec la première adresse IP de la plage. Sur le client, une carte PPP pour une interface WAN avec l'adresse IP attribuée par le serveur.

6.2 Transfère de documents

- Vérifier que la connexion est toujours active,

- Dans l'explorateur du client, rechercher le serveur (nom : distant),

- Dans la console moniteur réseau (serveur), lancer la capture de trames sur la carte RNIS,

- Test : A partir du client, copier le fichier f:\data\doc.txt dans un dossier du poste client,

- Après la copie, arrêter et afficher la capture,

- Menu Affichage, sélectionner l'option Filtre, sélectionner Protocol = = Any,

- Onglet Propriété, dans la liste Protocole : propriété, ouvrir le dossier SMB, sélectionner Data,

- Dans la liste Relation, sélectionner 'existe', bouton OK pour chaque fenêtre.

Dans le champ Data, du protocole SMB, le contenu du fichier est-il lisible ? Oui, il n’est pas crypté.

- Sur le client, déconnecter l'accès distant (clic droit sur la connexion, Déconnecter).

6.3 Tests de connexion avec les autres comptes

- Test : A partir du client, ouvrir une connexion à partir des utilisateurs Util2, puis Util3.

Différence avec Util1 : Util2 est rappelé par le serveur, Util3 ne peut pas utiliser l'accès distant.

Partie 3 Mise en place de l'accès réseau à distance à l'aide de la console Routage et accès distant Cette méthode va nous permettre de définir des protocoles d'authentification et de cryptage.

- Supprimer l'icône de la connexion entrante.

7. Autoriser les appels entrants sur le serveur

- Dans la console Routage et accès distant, clic droit sur le nom du serveur,

- Sélectionner Configurer et activer le routage et l'accès distant, bouton Suivant,

BTSIG option administrateur de réseaux locaux d'entreprise

- Sélectionner Serveur d'accès distant, bouton Suivant, (éventuellement, Serveur d'accès distant avancé),

- Conserver le protocole TCP/IP et bouton Suivant,

- Sélectionner éventuellement la connexion locale assignée aux clients distant pour accéder au réseau, Suivant,

- Sélectionner A partir d'une étendue d'adresse spécifiée, bouton Suivant, bouton Nouveau,

- Entrer une étendue d'adresse (5 adresses compatibles avec votre serveur), boutons OK et Suivant,

- Conserver l'option Non pour le serveur RADIUS, boutons Suivant et Terminer.

Remarque : si cette console est déjà utilisée pour configurer un autre service (Routeur), il faut configurer l'accès distant de cette manière :

- Clic droit sur le nom du serveur, Propriétés, Onglet Général, cocher la case Serveur d'accès distant.

8. Tests à partir du client

- Refaire un test à partir de l'utilisateur : Util1

- Dans la console Routage et accès distant, sélectionner le dossier Ports, Quel est le port actif (à droite) ? Modem Analogique RNIS Eicon

- Sélectionner le dossier Clients d'accès distant, vérifier le nom et la durée de connexion (fenêtre de droite, F5),

- Sur le client, déconnecter l'accès distant.

9. Suivi des connexions d'accès distant

- Dans la console Routage et accès distant, sélectionner Connexion par accès à distance,

- Double clic sur Fichier local dans le panneau de droite, Onglet Paramètres,

- Cocher les deux premières cases,

- Onglet Fichier local, quel est le répertoire du fichier journal : F:\WINNT\system32\LogFile

- Dans durée de journalisation, sélectionner Toutes les semaines, bouton OK,

- Relancer le service : clic droit sur le nom du serveur, sélectionner toutes les tâches, Redémarrer.

- Test : A partir du client, ouvrir une connexion à partir des utilisateurs Util1 et Util3, Vérifier le contenu du fichier journal.

10. Configuration du service Routage et accès distant pour intégrer le protocole DHCP

10.1 Préparation

- Sur le serveur, configurer le service DHCP avec une étendue compatible de 30 adresses Ip.

10.2 Intégration du serveur DHCP avec l'accès distant

- Dans la console Routage et accès distant, clic droit sur le nom du serveur, Propriétés,

- Onglet IP, sélectionner Protocole DHCP, bouton OK

- Attendre 20 secondes, ouvrir la console du serveur DHCP, combien de baux d'adresse ont été retenus par le

serveur d'accès distant (éventuellement, actualiser l'affichage avec F5). 10

- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1, vérifier l'adresse Ip attribuée.

11. Restriction d'accès

11.1 Vérifier l'identité de l'appelant

- Propriétés du compte utilisateur, onglet Appel Entrant, cocher la case Vérifier l'identité de l'appelant et saisir

le numéro de téléphone de l'appelant. Pour l'utilisateur Util1, saisir le numéro 330 et pour l'utilisateur Util2 337 (supprimer l'option de rappel). Faire les tests de connexion avec les deux comptes. Pour Util1, on obtient : le compte n’a pas l’autorisation de recevoir des appels entrants. 11.2. Stratégie d'accès distant et profil

- Propriétés du compte utilisateur Util1, onglet Appel Entrant, cocher l'option Contrôler l'accès distant via la stratégie d'accès distant, décocher la case Vérifier l'identité de l'appelant.

- Console Routage et accès distant, sélectionner Stratégies d'accès distant, fenêtre de droite, double-clic sur la

stratégie par défaut, bouton Modifier, définir une plage horaire de 8h00 à 17h00, du Lundi au Vendredi,

- Dans la zone, si l'utilisateur remplit les conditions, cocher Accorder l'autorisation d'accès distant,

- Clic droit sur le nom du serveur, sélectionner Toutes les tâches et Redémarrer.

- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1. (Si l’horaire n’est pas OK, on a le message : Accès refusé car le nom d'utilisateur et/ou le mot de passe ne sont pas validé sur le domaine) IMPORTANT : supprimer les utilisateurs (Util1, Util2 et Util3), supprimer l'étendue DHCP et arrêter le serveur DHCP, arrêter le service Routage et accès distant, supprimer la connexion sortante sur le client, supprimer le répertoire f:\data.

BTSIG option administrateur de réseaux locaux d'entreprise

Correction sur les captures de trames

6. Tests à partir du client et capture de trames avec le moniteur réseau

6.1 Connexion

- Sur le serveur et le client, utiliser la commande Ipconfig /all pour afficher les informations Ip, que trouve-t-on pour la connexion d'accès à distance.

Sur le client :

Sur le serveur :

PPP carte Connexion d'accès à distance :

PPP carte Interface (numérotation entrante) de serveur RAS :

Suffixe DNS spéc. à la connexion. :

Suffixe DNS spéc. à la connexion. :

Description Adresse DHCP activé Adresse Masque de sous-réseau Passerelle par défaut Serveurs

: WAN (PPP/SLIP) Interface : 00-53-45-00-00-00 : Non : 192.168.200.241 : 255.255.255.255 : 192.168.200.241

Description Adresse DHCP activé Adresse Masque de sous-réseau Passerelle par défaut Serveurs

: WAN (PPP/SLIP) Interface : 00-53-45-00-00-00 : Non : 192.168.200.240 : 255.255.255.255

:

:

: 127.0.0.1

192.168.200.240 : 255.255.255.255 : : : 127.0.0.1 6.2 Transfère de documents Daniel Régnier

6.2 Transfère de documents

: 255.255.255.255 : : : 127.0.0.1 6.2 Transfère de documents Daniel Régnier TpW2k-AccesDistant Page 4/4