Module 9 : Extension

des fonctionnalités
d'accès distant à l'aide
Table des matières
du service IAS
Vue d'ensemble 1
Présentation du service IAS 2
Installation et configuration du
service IAS 6
Atelier A : Configuration du
service IAS 15
Contrôle des acquis 25
Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis.
Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son
pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par
quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de
Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent
document vous autorise une et une seule copie.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.

 2000 Microsoft Corporation. Tous droits réservés.

Active Directory, BackOffice, FrontPage, IntelliMirror, NetShow, Microsoft, MS-DOS, Outlook,

PowerPoint, Visual Studio, Windows, Windows Media et Windows NT sont soit des marques
déposées de Microsoft Corporation, soit des marques de Microsoft Corporation, aux États-Unis
d'Amérique et/ou dans d'autres pays.

Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.

Chef de projet : Rick Selby

Concepteurs pédagogiques : Victoria Fodale (ComputerPREP), Jose Mathews (NIIT),
Barbara Pelletier (S&T OnSite)
Directeurs de programme : Rodney Miller, Joern Wettern (Wettern Network Solutions)
Responsable de programme : Thomas Willingham (Infotec)
Graphistes : Kimberly Jackson (indépendante), Julie Stone (indépendante)
Responsable d'édition : Lynette Skinner
Éditrice : Jennifer Kerns (S&T OnSite)
Correctrice : Shawn Jackson (S&T Consulting)
Responsable de programme en ligne : Debbi Conger
Responsable des publications en ligne : Arlo Emerson (Aditi)
Assistance en ligne : David Myka (S&T OnSite)
Responsables des tests : Jeff Clark, Jim Toland (ComputerPREP)
Développeur des tests : Greg Stemp (S&T OnSite)
Test du cours : Data Dimensions, Inc.
Assistance à la production : Ed Casper (S&T Consulting)
Responsable de la fabrication : Bo Galford
Assistance à la fabrication : Rick Terek
Responsable produit : Gerry Lang
Directeur de l'unité produit : Robert Stewart

Les simulations et les exercices interactifs ont été créés à l'aide de Macromedia Authorware.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 1

Vue d'ensemble

! Présentation du service IAS

! Installation et configuration du service IAS

Les entreprises qui délocalisent leur accès réseau à distance, ou qui réalisent des
opérations en association avec d'autres entreprises, doivent authentifier les
comptes d'utilisateur en dehors de leur réseau privé. En outre, les entreprises qui
fournissent des services de délocalisation, tels les fournisseurs de services
Internet (ISP, Internet Service Provider), doivent établir la comptabilisation des
connexions des utilisateurs distants afin de pouvoir facturer leurs abonnés.
Le service d'authentification à distance des utilisateurs d'accès à distance
(RADIUS, Remote Authentication Dial-In User Service) est un protocole aux
standards de l'industrie qui permet de gérer les besoins en matière
d'authentification et de gestion des comptes des utilisateurs distants. Dans
Microsoft® Windows® 2000, c'est l'association du service Routage et accès
distant et du service IAS (Internet Authentication Service) qui permet de
prendre en charge le protocole RADIUS.
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
!" décrire l'utilisation du service IAS sur un réseau ;
!" installer et configurer le service IAS.
2 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

# Présentation du service IAS

! Services IAS et RADIUS sur un réseau

Windows 2000
! Rôle et utilisation du service IAS

Les sociétés et les ISP qui assurent la maintenance du service d'accès distant
des salariés et des clients sont confrontées à l'enjeu croissant de la gestion de
l'intégralité des accès distants à partir d'un point d'administration unique. Le
service IAS réalise, de manière centralisée, l'authentification, l'autorisation,
l'audit et la comptabilisation des connexions d'accès à distance, des connexions
sur réseau privé virtuel (VPN, Virtual Private Network) et des connexions
d'accès à la demande. Il permet aux entreprises de gérer et de contrôler
centralement l'accès distant à leurs réseaux, et d'effectuer le suivi centralisé des
données du réseau. Il permet également aux administrateurs réseau de gérer de
manière centralisée les autorisations d'accès distant et les propriétés de
connexion.

Remarque Pour plus d'informations sur le service RADIUS, consultez les RFC
2138 et 2139 situées sous Lectures complémentaires dans la page Web du
CD-ROM du stagiaire.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 3

Services IAS et RADIUS sur un réseau Windows 2000

Serveur Windows 2000
Serveur exécutant le service IAS
Serveur RADIUS
RADIUS

Contrôleur de
domaine
Client
Client RADIUS
RADIUS Windows 2000
Serveur Windows 2000
exécutant le service Routage
et accès distant

Internet

RADIUS est un protocole client-serveur qui permet aux clients RADIUS de

soumettre à un serveur RADIUS des demandes d'authentification et de
comptabilisation. Un client RADIUS peut être un serveur d'accès réseau
(NAS, Network Access Server) qui accepte les connexions basées sur le
protocole PPP (Point-to-Point Protocol) et qui place les clients sur le réseau ; il
peut également s'agir d'un serveur d'accès distant, par exemple un serveur
Windows 2000 qui exécute le service Routage et accès distant. Dans une
infrastructure réseau Windows 2000, le serveur RADIUS est un serveur
Windows 2000 qui exécute le service IAS.

Processus d'authentification RADIUS

La procédure ci-dessous décrit le processus utilisé par des serveurs distants, un
serveur RADIUS et des clients RADIUS pour réaliser l'authentification et
l'autorisation.
1. Un utilisateur se connecte à un ordinateur Windows 2000 qui exécute le
service Routage et accès distant en utilisant une connexion d'accès à
distance ou une connexion VPN.
2. L'ordinateur Windows 2000 qui exécute le service Routage et accès distant
transmet les demandes d'authentification à un serveur IAS. Il agit alors en
tant que client RADIUS.
4 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

3. Le serveur IAS accède aux informations des comptes d'utilisateur sur un

contrôleur de domaine et vérifie les informations d'authentification de
l'accès à distance. Il assume alors les fonctions d'un serveur RADIUS.
4. Si les informations d'identification de l'utilisateur sont authentifiées et si la
tentative de connexion est autorisée, le serveur IAS autorise alors l'accès et
enregistre les connexions d'accès à distance sous forme d'événements de
comptabilisation.
Des paquets de comptabilisation par intérim sont envoyés pendant la
session. Quand l'utilisateur se déconnecte, un paquet d'arrêt de
comptabilisation indiquant la fin de la session utilisateur est envoyé au
serveur IAS. Pendant qu'il enregistre les informations de comptabilisation,
l'ordinateur qui exécute le service Routage et accès distant agit en tant que
client RADIUS et le serveur IAS en tant que serveur RADIUS.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 5

Rôle et utilisation du service IAS

! Accès au réseau de l'entreprise au moyen de

connexions à distance
! Accès extranet pour les partenaires de l'entreprise
! Accès Internet
! Accès au réseau d'entreprise sous-traité par
l'intermédiaire de fournisseurs de services

Le principal avantage représenté par l'utilisation du service RADIUS pour

authentifier et gérer les comptes réside dans le fait qu'il s'agit d'un protocole
conforme aux standards permettant de gérer l'interopérabilité avec les solutions
d'autres fournisseurs.
Vous pouvez configurer le service IAS pour prendre en charge plusieurs
scénarios, notamment ceux indiqués ci-dessous.
!" Accès au réseau de l'entreprise au moyen de connexions à distance. Vous
pouvez paramétrer le service IAS pour qu'il prenne en charge des salariés
distants avec des connexions d'accès à distance authentifiées. Par exemple,
le serveur IAS peut autoriser l'accès aux employés en fonction du groupe
auquel ils appartiennent.
!" Accès extranet pour les partenaires de l'entreprise. Vous pouvez paramétrer
le service IAS pour mettre vos ressources réseau à la disposition d'autres
sociétés avec lesquelles votre entreprise a des accords de partenariat. Par
exemple, le serveur IAS peut limiter l'accès d'un partenaire aux ressources
réseau de l'entreprise.
!" Accès Internet. Vous pouvez paramétrer le service IAS pour qu'il prenne en
charge des connexions d'accès à distance authentifiées par le client vers un
fournisseur ISP. Par exemple, le serveur IAS peut autoriser l'accès à des
clients en fonction du plan de service auquel ils ont adhéré.
!" Accès au réseau d'entreprise sous-traité par l'intermédiaire de fournisseurs
de services. Vous pouvez paramétrer le service IAS pour prendre en charge
une société qui sous-traite des infrastructures d'accès distant auprès de
fournisseurs ISP, mais qui conserve le contrôle de l'authentification
utilisateur, de l'autorisation et de la gestion des comptes. Par exemple,
quand un employé se connecte au serveur d'accès distant du fournisseur ISP,
les rapports d'authentification et d'utilisation sont transmis au serveur IAS
de l'entreprise. Celui-ci permet à la société de contrôler l'authentification
utilisateur, de réaliser le suivi de l'utilisation et de surveiller quels sont les
employés autorisés à accéder au réseau.
6 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

# Installation et configuration du service IAS

! Installation d'un serveur IAS

! Configuration d'un serveur IAS
! Configuration d'un serveur d'accès distant pour
utiliser l'authentification RADIUS
! Configuration d'un serveur d'accès distant pour
utiliser la gestion de comptes RADIUS
! Configuration de journaux pour les informations
de gestion des comptes

Avant d'utiliser le service IAS, vous devez l'installer et le configurer sur un

ordinateur qui exécute Windows 2000 Server. Vous devez également configurer
les serveurs sur lesquels le service Routage et accès distant est installé pour les
intégrer aux serveurs IAS. Vous pouvez configurer le serveur d'accès distant
pour qu'il utilise le serveur IAS pour authentifier les utilisateurs d'accès distant.
En effet, bien que les serveurs d'accès distant puissent également authentifier
les utilisateurs, chaque serveur a sa propre stratégie d'accès distant pour
l'autorisation d'accès utilisateur au réseau. L'intégration de ces serveurs au
service IAS fournit une authentification et une autorisation centralisées. Vous
pouvez également configurer le service IAS pour enregistrer la durée de la
connexion et le volume de données transférées par un utilisateur.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 7

Installation d'un serveur IAS

Pour qu'un client RADIUS puisse accéder à un serveur IAS, vous devez
commencer par installer le composant réseau IAS sur le serveur.
Pour installer le service IAS, exécutez la procédure ci-dessous.
1. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression
de programmes.
2. Cliquez sur Ajouter/Supprimer des composants Windows.
3. Dans la page Composants Windows, sous Composants, cliquez sur
Services de mise en réseau (sans activer ni désactiver la case à cocher
correspondante), puis cliquez sur Détails.
4. Activez la case à cocher Service authentification Internet, puis cliquez sur
OK.
5. Cliquez sur Suivant, puis sur Terminer.
Quand vous installez le composant réseau IAS, le service IAS est ajouté au
menu Outils d'administration.
8 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

Configuration d'un serveur IAS

Utilisez
Utilisez une
une
adresse
adresse IP,
IP,
si
si possible
possible
Sélectionnez
Sélectionnez Microsoft
Microsoft en
en
cas
cas d'utilisation
d'utilisation du
du service
service
Routage
Routage et et accès
accès distant
distant

Avant de configurer le serveur IAS pour qu'il authentifie les utilisateurs à l'aide
du service d'annuaire Active Directory™, vous devez autoriser ce serveur à
vérifier l'exactitude des autorisations dont le service IAS dispose pour accéder
aux informations de compte fournies par Active Directory.
Vous devez également ajouter les clients RADIUS au serveur IAS. Les clients
RADIUS sont en fait les serveurs d'accès distant qui seront utilisés par le
serveur IAS pour les opérations d'authentification et d'autorisation. Enfin, vous
pouvez configurer la taille et l'emplacement des journaux qui stockent les
informations de comptabilisation collectées par un serveur IAS.

Autorisation d'un serveur IAS

Si un serveur IAS doit accéder à Active Directory pour authentifier des
utilisateurs, vous devez autoriser ce serveur dans le service IAS de la console
MMC (Microsoft Management Console).
Pour autoriser un serveur IAS dans Active Directory, exécutez la procédure
ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service IAS.
2. Cliquez avec le bouton droit sur Service d'authentification Internet
(local), puis cliquez sur Inscrire le service dans Active Directory.
3. Dans la boîte de dialogue Inscrire le Service d'authentification Internet
dans Active Directory, cliquez sur OK.

Remarque Quand vous authentifiez un serveur IAS, Windows 2000 ajoute le

compte d'ordinateur du serveur au groupe de sécurité des serveurs RAS et IAS,
celui-ci disposant des autorisations nécessaires pour accéder aux données
utilisateurs d'Active Directory.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 9

Configuration des clients RADIUS

Une fois le serveur IAS autorisé, vous devez le configurer pour que les clients
RADIUS puissent l'utiliser.
Pour configurer le serveur IAS pour les clients RADIUS, exécutez la procédure
ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service IAS.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Clients,
puis cliquez sur Nouveau client pour démarrer l'Assistant Ajout de client.
3. Dans la page Ajouter un client, dans la zone de texte Nom convivial, tapez
le nom du client RADIUS que vous configurez, puis cliquez sur Suivant.
4. Dans la page Informations sur le client, indiquez les informations
ci-dessous.
• Adresse du client (IP ou DNS). Tapez l'adresse IP (Internet Protocol)
ou le nom DNS (Domain Name System) du client RADIUS. En principe,
il est préférable d'indiquer une adresse IP afin que le service IAS n'ait
pas à convertir le nom de tous les hôtes au démarrage. Si vous
connaissez uniquement le nom DNS d'un client, cliquez sur Vérifier
pour le convertir en adresse IP.
• Client-Fournisseur. Sélectionnez Microsoft si vous ajoutez un serveur
de routage et d'accès distant. Si vous ajoutez un client RADIUS d'un
fournisseur qui n'apparaît pas dans la liste, sélectionnez RADIUS
Standard.

Remarque Le paramètre Client-Fournisseur n'est demandé que si vous

utilisez des stratégies d'accès distant basées sur un attribut
client-fournisseur.

• Le client doit toujours envoyer l'attribut de signature dans la

requête. Activez cette case à cocher si le client RADIUS doit envoyer
un attribut de signature dans le paquet Demande d'accès. Vous devez
indiquer un attribut de signature si vous utilisez le protocole EAP
(Extensible Authentication Protocol) pour l'authentification.
10 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

• Secret partagé. Tapez le secret, puis retapez-le dans la zone Confirmer

le secret partagé.
Un secret partagé est une chaîne de texte qui sert de mot de passe entre
un serveur IAS et les serveurs d'accès distant qui lui transmettent les
demandes. Les secrets partagés présentent les caractéristiques
ci-dessous.
• Ils doivent être exactement identiques sur les deux serveurs.
• Ils respectent la casse.
• Ils peuvent utiliser tous les caractères alphanumériques standard et
les caractères spéciaux. L'utilisation d'une combinaison de lettres
majuscules et minuscules, de nombres et de caractères spéciaux
permet de renforcer la sécurité du secret partagé.
• Ils peuvent avoir une longueur maximale de 255 caractères. Les
secrets partagés longs sont plus sécurisés que les secrets partagés
courts.
5. Cliquez sur Terminer.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 11

Configuration d'un serveur d'accès distant pour utiliser

l'authentification RADIUS

Sélectionnez
Sélectionnez
l'authentification
l'authentification RADIUS
RADIUS

Entrez
Entrez le
le nom
nom
du
du serveur
serveur

Pour configurer un serveur d'accès distant en tant que client RADIUS, vous
devez le configurer pour qu'il transmette les demandes d'authentification à un
serveur IAS.
Pour configurer l'authentification RADIUS, exécutez la procédure ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service Routage et
accès distant.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur serveur
(où serveur représente le nom de votre ordinateur), puis cliquez sur
Propriétés.
3. Dans l'onglet Sécurité de la boîte de dialogue Propriétés du serveur, dans
la zone Fournisseur d'authentifications, cliquez sur Authentification
RADIUS, puis sur Configurer.
4. Dans la boîte de dialogue Authentification RADIUS, cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajouter un serveur RADIUS, dans la zone de
texte Nom du serveur, tapez le nom du serveur IAS que vous utilisez pour
l'authentification RADIUS.
6. Si vous disposez d'un secret partagé configuré sur le serveur IAS, cliquez
sur Modifier pour définir le secret partagé sur le serveur d'accès distant.
7. Si vous utilisez des signatures numériques, activez la case à cocher
Toujours utiliser les signatures numériques.
Vous devez activer cette option si le serveur RADIUS est un serveur IAS et
si vous avez sélectionné l'option Le client doit toujours envoyer l'attribut
de signature dans la requête quand vous avez ajouté le client au serveur
IAS.
8. Cliquez sur OK pour fermer toutes les boîtes de dialogue, puis redémarrez
le service Routage et accès distant.
12 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

Configuration d'un serveur d'accès distant pour utiliser la gestion

de comptes RADIUS

Entrez
Entrez le
le nom
nom
du
du serveur
serveur

Sélectionnez
Sélectionnez la
la
gestion
gestion de
de
comptes
comptes RADIUS
RADIUS

Pour utiliser la gestion des comptes RADIUS sur un serveur d'accès distant,
vous devez configurer ce serveur pour qu'il transmette les requêtes de
comptabilisation à un serveur IAS.
Pour utiliser la gestion des comptes RADIUS, exécutez la procédure ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service Routage et
accès distant.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur serveur
(où serveur représente le nom de votre ordinateur), puis cliquez sur
Propriétés.
3. Dans l'onglet Sécurité de la boîte de dialogue Propriétés du serveur, dans
la zone Fournisseur de comptes, cliquez sur Gestion de comptes
RADIUS, puis cliquez sur Configurer.
4. Dans la boîte de dialogue Gestion de comptes RADIUS, cliquez sur
Ajouter.
5. Dans la zone de texte Nom du serveur de la boîte de dialogue Ajouter un
serveur RADIUS, tapez le nom du serveur IAS que vous avez configuré
pour la gestion des comptes RADIUS.
6. Si vous disposez d'un secret partagé configuré sur le serveur IAS, cliquez
sur Modifier pour définir le secret partagé sur le serveur d'accès distant.
7. Activez la case à cocher Envoyer des messages de comptes RADIUS
actifs et inactifs pour envoyer des messages au serveur IAS quand vous
démarrez ou quand vous arrêtez le service Routage et accès distant.
8. Cliquez sur OK pour fermer toutes les boîtes de dialogue, puis redémarrez
le service Routage et accès distant.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 13

Configuration de journaux pour les informations de gestion des

comptes

Configuration des paramètres des journaux

de gestion des comptes :
! Choix des événements à enregistrer
$ Enregistrer les requêtes de gestion des comptes
$ Enregistrer les requêtes d'authentification
$ Inscrire l'état périodique
! Choix du format du fichier journal
$ Format de fichier compatible base de données
$ Format IAS
! Nouvelle durée de journalisation
! Répertoire du fichier journal

Vous pouvez configurer les paramètres des journaux d'informations de gestion

des comptes, y compris les événements à enregistrer, les formats de fichier, les
durées de journalisation et l'emplacement des fichiers. Vous pouvez configurer
le service IAS pour créer des journaux de gestion des comptes ; toutefois, vous
devez importer ces journaux dans un programme de base de données.

Remarque Pour plus d'informations sur l'importation de journaux IAS dans

une base de données, consultez la rubrique « Importation de fichiers journaux
IAS dans une base de données » dans l'aide de Windows 2000.

Pour configurer les paramètres des journaux de gestion des comptes, exécutez
la procédure ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service IAS.
2. Dans l'arborescence de la console, cliquez sur Connexion par accès à
distance.
3. Dans le volet de détails, cliquez avec le bouton droit sur Fichier local, puis
cliquez sur Propriétés.
14 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

4. Dans l'onglet Paramètres, sélectionnez les événements à enregistrer parmi

les événements ci-dessous.
• Enregistrer les requêtes de gestion des comptes. Indique si les paquets
de compte (par exemple, ouverture ou fermeture de compte) sont
enregistrés dans le fichier journal IAS.
• Enregistrer les requêtes d'authentification. Indique si les requêtes
d'authentification (par exemple, accès accepté ou accès refusé) sont
enregistrées dans le fichier journal IAS.
• Inscrire l'état périodique. Indique si les paquets de comptabilisation
par intérim sont enregistrés dans le fichier journal IAS. En règle
générale, cette option n'est pas recommandée car elle peut occuper
rapidement tout l'espace du disque dur.
5. Dans l'onglet Fichier local, indiquez les informations ci-dessous.
• Format du fichier journal. Cliquez sur Format de fichier compatible
base de données pour enregistrer des informations dans un format
délimité par des virgules que vous pouvez importer dans la plupart des
programmes de base de données. Cliquez sur Format IAS pour
enregistrer les données dans un format compatible avec les serveurs IAS
exécutant Microsoft Windows NT® version 4.0. Ne cliquez sur cette
option que si cela est nécessaire à la migration et la compatibilité.
• Nouvelle durée de journalisation. Indiquez à quel moment le service
IAS doit créer un nouveau fichier journal : tous les jours, toutes les
semaines, tous les mois ou quand le fichier atteint une taille déterminée.
• Répertoire du fichier journal. Sélectionnez l'emplacement de vos
journaux.
6. Cliquez sur OK.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 15

Atelier A : Configuration du service IAS

Objectifs
À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :
!" installer le service IAS ;
!" configurer Windows 2000 en tant que client RADIUS ;
!" configurer l'authentification et la gestion de comptes RADIUS.

Conditions préalables
Avant de poursuivre, vous devez disposer de connaissances dans les domaines
suivants :
!" installation et configuration du service Routage et accès distant ;
!" mode d'authentification des comptes d'utilisateur.

Mise en place de l'atelier

Pour réaliser cet atelier, vous devez disposer des éléments suivants :
!" un ordinateur exécutant Windows 2000 Advanced Server configuré en tant
que contrôleur de domaine en mode natif ;
!" un partenaire disposant d'un ordinateur de configuration similaire.
16 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

Scénario
Votre entreprise augmente le nombre de ses serveurs d'accès distant. Vous
souhaitez à présent établir un contrôle central de l'accès aux serveurs distants en
utilisant RADIUS. Vous souhaitez également mettre en place un enregistrement
centralisé des informations de comptabilisation d'accès distant, ainsi qu'une
authentification centralisée.
Pour cela, vous allez configurer un serveur exécutant le service IAS, puis
configurer vos serveurs d'accès distant pour qu'ils utilisent le serveur IAS pour
des stratégies d'authentification, de comptabilisation et d'accès distant.

Durée approximative de cet atelier : 30 minutes

 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 17

Exercice 1
Installation et configuration du service IAS

Scénario
On vous a demandé de centraliser l'administration et l'accès des utilisateurs distants au sein de votre
entreprise. Pour cela, vous avez décidé d'utiliser le service IAS pour authentifier les utilisateurs qui
se connectent à distance, mais également pour gérer les comptes afin de surveiller l'utilisation de
l'accès distant dans toute l'entreprise.

Objectif
Dans cet exercice, vous allez installer le service IAS, configurer un client RADIUS pour ce service,
puis configurer des secrets partagés pour ce serveur.

Tâche Détails

1. Installez le service IAS. a. Ouvrez une session en tant

qu'administrateur@domaine.nwtraders.msft (où domaine représente
le nom de votre domaine), avec le mot de passe password.
b. Dans le Panneau de configuration, double-cliquez sur
Ajout/Suppression de programmes.
c. Dans la boîte de dialogue Ajout/Suppression de programmes,
cliquez sur Ajouter/supprimer des composants Windows.
Remarque : Dans la tâche détaillée ci-dessous, cliquez sur Services de mise en réseau au lieu d'activer la
case à cocher correspondante. Ainsi, vous ne sélectionnerez pas toutes les options disponibles sous Services
de mise en réseau.
1. (suite) d. Dans l'Assistant Composants de Windows, dans la page Composants
Windows, cliquez sur Services de mise en réseau, puis sur Détails.
e. Dans la boîte de dialogue Services de mise en réseau, activez la case
à cocher Service authentification Internet, puis cliquez sur OK.
f. Dans la page Composants de Windows, cliquez sur Suivant.
g. Si la boîte de dialogue Fichiers nécessaires s'affiche, tapez
\\London\Setup\Winsrc et cliquez sur OK.
h. Une fois la configuration achevée, cliquez sur Terminer, puis fermez
toutes les fenêtres ouvertes.
18 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS
(suite)
Tâche
2. Inscrivez le service IAS
dans Active Directory, puis
indiquez votre serveur en
tant que nouveau client
RADIUS. Utilisez password
comme secret partagé.
3. Configurez le service IAS
pour enregistrer toutes les
requêtes de gestion de
comptes.
Détails
a. À partir du menu Outils d'administration, ouvrez le service IAS.
b. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Service d'authentification Internet (local), puis cliquez sur
Enregistrer le service dans Active Directory.
c. Cliquez sur OK pour fermer la boîte de dialogue Inscrire le Service
d'authentification Internet dans l'annuaire Active Directory.
d. Cliquez sur OK pour fermer le message Service inscrit.
e. Dans l'arborescence de la console, sous Service d'authentification
Internet (local), cliquez sur Clients.
f. Cliquez avec le bouton droit sur Clients, puis cliquez sur Nouveau
client.
g. Dans la page Nom et protocole, dans la zone Nom convivial, tapez
serveur (où serveur représente le nom de votre ordinateur), puis
cliquez sur Suivant.
h. Dans la page Informations sur le client, dans la zone Adresse du
client (IP ou DNS), tapez l'adresse IP de la carte réseau de votre
ordinateur.
i. Dans la zone Client-Fournisseur, cliquez sur Microsoft.
j. Dans les zones Secret partagé et Confirmer le secret partagé, tapez
password et cliquez sur Terminer.
a. Dans l'arborescence de la console, cliquez sur Connexion par accès à
distance, puis dans le volet de détails, cliquez sur Fichier local.
b. Cliquez avec le bouton droit sur Fichier local, puis cliquez sur
Propriétés.
c. Dans l'onglet Paramètres, activez toutes les cases à cocher.
d. Dans l'onglet Fichier local, sous Répertoire du fichier journal, tapez
C:\Moc\Win2172a et cliquez sur OK.
e. Fermez le service IAS.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 19

Exercice 2
Configuration d'un client RADIUS Windows 2000

Scénario
Vous avez installé le service IAS sur un ordinateur exécutant Windows 2000, et vous devez
configurer les serveurs d'accès distant afin qu'ils deviennent des clients RADIUS pour ce serveur.

Objectif
Dans cet exercice, vous allez configurer votre ordinateur pour le transformer en client RADIUS.

Tâche Détails

1. Activez le service Routage
et accès distant. Utilisez
l'Assistant de configuration
pour configurer le serveur
d'accès distant avec les
valeurs ci-dessous.
Adresse IP : 10.x.0.10 (où x
représente votre numéro de
stagiaire).
Plage d'adresses : cinq
adresses.
a. À partir du menu Outils d'administration, ouvrez le service Routage
et accès distant.
b. Dans l'arborescence de la console, cliquez avec le bouton droit sur
serveur (où serveur représente le nom de votre ordinateur), puis
cliquez sur Configurer et activer le routage et l'accès distant.
c. Dans l'Assistant Installation du serveur de routage et d'accès distant,
cliquez sur Suivant.
d. Dans la page Configurations communes, cliquez sur Serveur d'accès
distant, puis sur Suivant.
e. Dans la page Protocoles du client distant, cliquez sur Suivant.
f. Dans la page Sélection du réseau, sous Nom, vérifiez que Connexion
au réseau local est sélectionné, puis cliquez sur Suivant.
g. Dans la page Attribution d'adresses IP, cliquez sur À partir d'une
plage d'adresses spécifiée, puis cliquez sur Suivant.
h. Dans la page Assignation de plage d'adresses, cliquez sur Nouveau.
i. Dans la zone Adresse IP de début, tapez 10.x.0.10 (où x représente
votre numéro de stagiaire), puis dans la zone Nombre d'adresses,
tapez 5
j. Cliquez sur OK, puis sur Suivant.
k. Dans la page Gestion des serveurs d'accès à distance multiples,
vérifiez que l'option Non, je ne veux pas configurer ce serveur pour
utiliser RADIUS maintenant est sélectionnée, cliquez sur Suivant,
puis sur Terminer.
l. Cliquez sur OK pour fermer le message Routage et accès distant.
20 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS
(suite)
Tâche
2. Configurez votre serveur
d'accès distant pour utiliser
l'authentification RADIUS.
Spécifiez votre serveur en
tant que votre propre
serveur RADIUS, et utilisez
password comme secret.
Remarque : Le secret est configuré sur le serveur RADIUS pour un client, et sur le client RADIUS
lui-même. Il est utilisé dans l'installation d'un canal sécurisé et authentifié entre le client RADIUS et le
serveur RADIUS.
2. (suite)
Important : Ne redémarrez pas le service Routage et accès distant à ce stade.
3. Configurez votre serveur
d'accès distant pour utiliser
la gestion de comptes
RADIUS. Spécifiez votre
serveur en tant que votre
propre serveur RADIUS, et
utilisez le secret password.
Détails
a. Dans la console Routage et accès distant, cliquez avec le bouton droit
sur serveur, puis cliquez sur Propriétés.
b. Dans la boîte de dialogue Propriétés de serveur, dans l'onglet
Sécurité, dans la zone Fournisseur d'authentifications, cliquez sur
Authentification RADIUS, puis sur Configurer.
c. Dans la boîte de dialogue Authentification RADIUS, cliquez sur
Ajouter.
d. Dans la boîte de dialogue Ajouter un serveur RADIUS, tapez serveur
dans la zone Nom du serveur.
e. À droite de la zone Secret, cliquez sur Modifier.
f. Dans la boîte de dialogue Modifier le secret, dans les zones Nouveau
secret et Confirmez le nouveau secret, tapez password et cliquez sur
OK.
g. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un serveur
RADIUS, puis cliquez sur OK pour fermer la boîte de dialogue
Authentification RADIUS.
h. Cliquez sur OK pour fermer la boîte de dialogue Routage et accès
distant.
a. Dans la boîte de dialogue Propriétés de serveur, dans l'onglet
Sécurité, dans la boîte Fournisseur de comptes, cliquez sur Gestion
de comptes RADIUS, puis sur Configurer.
b. Dans la boîte de dialogue Gestion de comptes RADIUS, cliquez sur
Ajouter.
c. Dans la boîte de dialogue Ajouter un serveur RADIUS, dans la zone
Nom du serveur, tapez serveur
d. À droite de la zone Secret, cliquez sur Modifier.
e. Dans la boîte de dialogue Modifier le secret, dans les zones Nouveau
secret et Confirmez le nouveau secret, tapez password et cliquez sur
OK.
f. Dans la boîte de dialogue Ajouter un serveur RADIUS, activez la
case à cocher Envoyer des messages de comptes RADIUS actifs et
inactifs, puis cliquez sur OK.
g. Cliquez sur OK pour fermer la boîte de dialogue Gestion de comptes
RADIUS.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 21

(suite)

Tâche Détails

3. (suite) h. Cliquez sur OK pour fermer le message Routage et accès distant,

puis cliquez sur OK pour fermer la boîte de dialogue Propriétés de
serveur.
i. Cliquez sur Oui pour fermer la boîte de dialogue Routage et accès
distant.
j. Cliquez sur Oui pour fermer la boîte de dialogue Routage et accès
distant.
4. Arrêtez, puis redémarrez le a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
service Routage et accès serveur, pointez sur Toutes les tâches, puis cliquez sur Redémarrer.
distant. b. Réduisez la fenêtre Routage et accès distant.
22 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

Exercice 3
Contrôle de l'accès à distance avec RADIUS

Scénario
Vous devez effectuer la vérification des statistiques d'utilisation de votre serveur d'accès distant.

Objectif
Dans cet exercice, vous allez vous connecter à votre serveur d'accès distant, puis vérifier les
statistiques d'utilisation en affichant le fichier journal de la gestion des comptes RADIUS.

Tâche Détails

1. Créez une connexion VPN a. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur
appelée Test RADIUS sur Propriétés.
votre serveur. b. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez
sur Établir une nouvelle connexion.
c. Cliquez sur Suivant.
d. Dans la page Type de connexion réseau, cliquez sur Connexion à un
réseau privé via Internet, puis sur Suivant.
e. Dans la page Réseau public, vérifiez que la case à cocher Ne pas
composer automatiquement la connexion initiale est activée, puis
cliquez sur Suivant.
f. Dans la page Adresse de destination, tapez l'adresse IP de la carte
réseau de votre ordinateur, puis cliquez sur Suivant.
g. Dans la page Disponibilité de connexion, vérifiez que la case à cocher
Pour tous les utilisateurs est activée, puis cliquez sur Suivant.
h. Dans la page Partage de connexion Internet, cliquez sur Suivant.
i. Dans la page Fin de l'Assistant Connexion réseau, tapez Test
RADIUS dans la zone de texte, puis cliquez sur Terminer.
2. Utilisez la connexion VPN a. Dans la boîte de dialogue Connexion à test radius, vérifiez que
que vous venez de créer, Administrateur s'affiche dans la zone Nom d'utilisateur.
connectez-vous à votre b. Dans la zone Mot de passe, tapez password, puis cliquez sur Se
ordinateur, puis Connecter.
déconnectez-vous.
Remarque : Attendez que la connexion VPN soit établie. Cette dernière génère en effet un journal de
gestion de comptes RADIUS que vous examinerez lors de la prochaine tâche.
2. (suite) c. Cliquez sur OK pour fermer le message Connexion établie, puis
fermez la connexion VPN.
d. Fermez la fenêtre Connexions réseau et accès à distance.
3. Ouvrez le journal de gestion a. Cliquez sur Démarrer, puis sur Exécuter.
de comptes RADIUS situé à b. Dans la zone Ouvrir, tapez C:\moc\win2172a\iaslog.log et cliquez
l'emplacement sur OK.
C:\MOC\Win2172A
\Iaslog.log.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 23

(suite)

Tâche Détails

À quoi les informations du journal de gestion de comptes RADIUS peuvent-elles vous servir ? Sélectionnez
toutes les réponses appropriées.
A. Effectuer le suivi de la durée pendant laquelle les utilisateurs restent connectés à un serveur d'accès
distant.
B. Analyser les problèmes relatifs aux requêtes récursives DNS.
C. Calculer les durées d'utilisation des connexions distantes pour un utilisateur donné.
D. Analyser les performances des connexions à distance.
E. Détecter les erreurs avec un serveur d'accès distant.

3. (suite) c. Fermez le Bloc-notes.

24 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

Exercice 4
Suppression du service IAS

Scénario
Vous voulez maintenant utiliser ce serveur à d'autres fins. Pour ce faire, vous devez supprimer le
service IAS et le service Routage et accès distant.

Objectif
Dans cet exercice, vous allez supprimer le service IAS et le service Routage et accès distant.

Tâche Détails

1. Supprimez le service IAS. a. Dans le Panneau de configuration, double-cliquez sur

Remarque : Dans la tâche détaillée ci-dessous, cliquez sur Services de mise en réseau au lieu d'activer la
case à cocher correspondante. Ainsi, vous ne sélectionnerez pas toutes les options disponibles sous Services
de mise en réseau.
1. (suite)
2. Désactivez le service
Routage et accès distant sur
votre ordinateur, fermez
toutes les fenêtres, puis
fermez la session.
Ajout/Suppression de programmes.
b. Dans la boîte de dialogue Ajout/Suppression de programmes,
cliquez sur Ajouter/supprimer des composants Windows.
c. Dans l'Assistant Composants de Windows, dans la page Composants
Windows, cliquez sur Services de mise en réseau, puis sur Détails.
d. Dans la boîte de dialogue Services de mise en réseau, désactivez la
case à cocher Service authentification Internet, puis cliquez sur OK.
e. Dans la page Composants de Windows, cliquez sur Suivant.
f. Une fois le processus de configuration achevé, cliquez sur Terminer,
puis fermez toutes les fenêtres ouvertes.
a. Restaurez le service Routage et accès distant.
b. Cliquez avec le bouton droit sur serveur (où serveur représente le nom
de votre ordinateur), puis cliquez sur Désactiver le routage et l'accès
distant.
c. Dans la boîte de dialogue Routage et accès distant, cliquez sur Oui.
d. Fermez le service Routage et accès distant, puis fermez votre session.
 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS 25

Contrôle des acquis

! Présentation du service IAS

! Installation et configuration du service IAS

1. Vous devez configurer un serveur d'accès distant pour utiliser

l'authentification RADIUS. Quelle procédure devez-vous appliquer ?

2. Votre entreprise dispose d'une infrastructure d'accès à distance d'envergure

internationale, et vous souhaitez pouvoir effectuer le suivi des données
concernant les connexions sur tous les serveurs disponibles. Vous souhaitez
également être à même de contrôler les propriétés des connexions à partir
d'un emplacement local, et non plus sur un serveur d'accès distant. Que
devez-vous faire pour y parvenir ?
26 Module 9 : Extension des fonctionnalités d'accès distant à l'aide du service IAS

3. Vous devez créer des rapports sur l'utilisation des connexions distantes dans
votre entreprise. Vous avez configuré tous les serveurs d'accès distant en
tant que clients RADIUS d'un serveur IAS. Que devez-vous faire d'autre
pour créer ces rapports ?