ISTA-TAZA TRI2

TP8-1 : Service d’Accès Distant (RAS)

Direct Access (DA)
Objectif : Le but de ce TP est d’installer, et de configurer le service d’Accès distant (RAS): Direct Access (DA) sous
Windows Serveur 2012 R2. (Installation en mode mono serveur).

1. Présentation :
1.1. Définition :
Le protocole Direct Access est l’une des améliorations de Windows Server 2012 pour le service d’accès distant. Apparu sous
Windows 2008 R2, c’était très compliqué à mettre en place. Avec 2012, les prérequis sont beaucoup moins contraignant. On peut
même déployer tout l’environnement sur un seul serveur.

Direct Access est une technologie très intéressante pour les administrateurs système, car cela leur permet de gérer la sécurité des
ordinateurs de votre parc informatique. Même si ceux-ci se trouvent temporairement en dehors du réseau.

1.2. Architecture :
Pour l’architecture, on ne peut pas faire plus simple. On gère un seul serveur Direct Access (pas de redondance, ni de PKI ou quoi
que ce soit).

1.3. Fonctionnement :
Lorsqu'un client Direct Access se connecte au réseau de notre entreprise, celui-ci établit 2 tunnels IPsec.
Ces 2 tunnels IPsec sont bidirectionnels, ce qui signifie qu'il est techniquement possible :
1. de créer une connexion depuis le client Direct Access vers une machine présente dans le réseau de votre entreprise.
2. de créer une connexion depuis une machine présente dans le réseau de votre entreprise vers un client DirectAccess qui est
actuellement connecté à notre serveur Direct Access.

1.4. Problème :
Néanmoins, on va voir que par défaut, l'accès à un client Direct Access depuis un ordinateur présent physiquement dans le réseau de
notre entreprise ne sera pas possible.
En effet, pour que cela soit possible, il faudrait que l'IPv6 soit déployé sur le réseau source, le réseau de destination et les réseaux
intermédiaires (Internet). Bien évidemment, cela n'est pas possible pour le moment.

Pour pallier à ce problème, nous allons donc mettre en place un routeur ISATAP (Intrasite Automatic Tunnel Addressing Protocol)
dans le réseau de notre entreprise. Est un mécanisme permet la transition IPv4 vers IPv6 permettant de faire communiquer 2 réseaux
IPv6 via un réseau IPv4.

2. Installation :
2.1. Prérequis :
Voici les prérequis pour installer Direct Access sur un seul serveur avec une seule carte réseau :
- Un serveur intégré dans un domaine sur lequel on installera le rôle Direct Accès.
- Une adresse IP Public.
- Un enregistrement DNS qu’on fera pointer sur l’adresse IP publique.
- Rediriger le port 443 sur le serveur Direct Access.

2.2. Coté Serveur :

Tout d’abord il faut rajouter le rôle Accès à distance (installe à même temps le rôle serveur Web).
Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM
ISTA-TAZA TRI2

On valide bien l’installation du Service de rôle Direct Access.

Une fois l’installation terminée. Il faut configurer l’accès distant. Dans notre cas nous choisirons de déployer Direct Access et le
VPN.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Il faut alors définir la topologie de déploiement (dans notre cas un seul serveur avec une seule carte réseau).
On définit alors le nom public qui sera utilisé pour l’accès à Direct Access.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Voilà Direct Access est configuré.

La console de gestion se lance et nous pouvons continuer la configuration.
On va d’abord se porter sur les étapes suivantes :

Etape 1 : Configuration des clients.

On choisit quel scénario de déploiement paramétrer. Dans notre cas nous utiliserons Direct Access aussi pour l’accès distant.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

On choisit alors quels clients auront droit d’utiliser Direct Access. Dans ce cas on a créé un groupe AD composé des comptes
ordinateurs qu’on désira paramétrer pour Direct Access.
On a aussi décoché la case pour ne pas activer la fonctionnalité uniquement sur les ordinateurs portables.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Voilà pour l’étape 1 et la configuration des clients.

Etape2 : Configuration du serveur d’accès à distance

Maintenant on passe à la configuration du serveur d’accès à distance.

On confirme la carte réseau utilisée ainsi que le nom utilisé pour la génération du certificat auto signé.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Pour l’authentification, la nouveauté de Windows 8 est la capacité à prendre en compte le Proxy Kerberos, ainsi l’authentification
Direct Access ne nécessite pas de certificat d’ordinateur. Cette fonctionnalité n’est présente que sur Windows 8. Pour Windows 7
il faut gérer des certificats d’ordinateur.

On va paramétrer Direct Access avec Windows 8 dans un premier temps et on verra dans un autre article pour le
fonctionnement avec Windows 7.

- Si vous configurez un serveur d’accès à distance pour l’authentification Windows, les fonctionnalités de sécurité de Windows
Server 2012 vérifient les informations d’authentification, tandis que les propriétés de numérotation du compte d’utilisateur et les
stratégies d’accès à distance stockées localement autorisent la connexion. Si la tentative de connexion est à la fois authentifiée et
autorisée, elle est alors acceptée.

Module : Administration réseaux sous Windows- Direct Access

Mr.LAMKADAM
ISTA-TAZA TRI2
- Si vous configurez le serveur d’accès à distance pour l’authentification RADIUS, les informations d’identification de la tentative de
connexion sont transmises au serveur RADIUS à des fins d’authentification et d’autorisation. Si la tentative de connexion est à la fois
authentifiée et autorisée, le serveur RADIUS renvoie un message d’acceptation au serveur d’accès à distance et la tentative de
connexion est acceptée. Si la tentative de connexion n’est pas authentifiée ou n’est pas autorisée, le serveur RADIUS renvoie un
message de refus au serveur d’accès à distance et la tentative de connexion est refusée.

Etape 3 : Configuration du serveur NLS

Module : Administration réseaux sous Windows- Direct Access

Mr.LAMKADAM
ISTA-TAZA TRI2

Etape 4 : Paramètres de la sécurité

On peut paramétrer la sécurité au niveau de Direct Access pour limiter l’accès à certains serveurs à partir des clients Direct Access.

Une fois tous les paramètres de configuration rentrés, il reste à valider la configuration en cliquant sur le bouton terminé.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Après ces étapes, tout s’est bien déroulé.

2.3. Coté client :

Lors du paramétrage de Direct Access un GPO est créée. Elle est donc appliquée au pc en fonction des paramètres que l’on a choisi.
La connexion Direct Access est directement créée sur le PC, il suffit juste que la GPO soit bien appliquée.

Sur notre pc Windows 8, en se connectant sur la machine on voit donc bien apparaître la nouvelle connexion. En cliquant sur les
propriétés elle indique bien que la connexion Direct Access est effective.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM

ISTA-TAZA TRI2

Attention:
Si on essaie de faire un ping sur un adresse ip ça ne répond pas, car dans le système de Direct Access il y a de l’ipv6 et donc si
on fait un ping sur une adresse IPv4 ça ne marche pas. En revanche en faisant un ping sur un nom DNS cela fonctionne.

3. Créer un service d'accès distant en ligne de commande:

Pour inscrire un serveur d’accès distant dans Active Directory, en ligne de commande procédez comme suit :
1. Ouvrir une session avec un compte d’utilisateur autorisé à inscrire un serveur d’accès distant dans Active Directory.
2. À l’invite de commandes, taper ce qui suit :
C:>netsh ras add registeredserver Nom_Domaine Nom_Ordinateur
Où:
- Nom_Domaine: le nom du domaine dans lequel vous inscrivez le serveur d’accès distant.
- Nom_Ordinateur: le nom d’ordinateur du serveur d’accès distant.

Conclusion:
Voilà on a donc configuré direct Access avec un seul serveur publié sur internet sur le port 443. Et ça marche direct.
Quand on voit tous les composants rentrant en jeux sur Direct Access, Microsoft a bien travaillé sur le sujet. C’est vraiment une
technique intéressante pour la mobilité, le gros intérêt est que l’utilisateur n’a aucune action à effectuer pour se connecter au réseau
de l’entreprise. Il est toujours connecté.

Cette technologie fait encore plus de sens à mon avis pour la mise en place d’applications d’entreprise sur des tablettes mobiles
Windows 8. Plus besoin de gérer de connexion au VPN.

Vraiment un outil à tester et mettre en place pour ceux qui ont besoin de mobilité.

Module : Administration réseaux sous Windows- Direct Access Mr.LAMKADAM