Module 8 : Prise en

charge de l'accès
distant à un réseau
Table des matières

Vue d'ensemble 1
Examen des stratégies d'accès distant 2
Examen de l'évaluation des stratégies
d'accès distant 4
Création d'une stratégie et d'un profil
d'accès distant 9
Atelier A : Création d'une stratégie et
d'un profil d'accès distant 14
Dépannage du service Routage et accès
distant 21
Atelier B : Dépannage du service
Routage et accès distant 32
Contrôle des acquis 34
Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis.
Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son
pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par
quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de
Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent
document vous autorise une et une seule copie.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.

 2000 Microsoft Corporation. Tous droits réservés.

Active Directory, BackOffice, FrontPage, IntelliMirror, NetShow, Microsoft, MS-DOS, Outlook,

PowerPoint, Visual Studio, Windows, Windows Media et Windows NT sont soit des marques
déposées de Microsoft Corporation, soit des marques de Microsoft Corporation, aux États-Unis
d'Amérique et/ou dans d'autres pays.

Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.

Chef de projet : Rick Selby

Concepteurs pédagogiques : Victoria Fodale (ComputerPREP), Jose Mathews (NIIT),
Barbara Pelletier (S&T OnSite),
Directeurs de programme : Rodney Miller, Joern Wettern (Wettern Network Solutions)
Responsable de programme : Thomas Willingham (Infotec)
Graphistes : Kimberly Jackson (indépendante), Julie Stone (indépendante)
Responsable d'édition : Lynette Skinner
Éditrice : Jennifer Kerns (S&T OnSite)
Correctrice : Shawn Jackson (S&T Consulting)
Responsable de programme en ligne : Debbi Conger
Responsable des publications en ligne : Arlo Emerson (Aditi)
Assistance en ligne : David Myka (S&T OnSite)
Responsables des tests : Jeff Clark, Jim Toland (ComputerPREP)
Développeur des tests : Greg Stemp (S&T OnSite)
Test du cours : Data Dimensions, Inc.
Assistance à la production : Ed Casper (S&T Consulting)
Responsable de la fabrication : Bo Galford
Assistance à la fabrication : Rick Terek
Responsable produit : Gerry Lang
Directeur de l'unité produit : Robert Stewart

Les simulations et les exercices interactifs ont été créés à l'aide de Macromedia Authorware.
 Module 8 : Prise en charge de l'accès distant à un réseau 1

Vue d'ensemble

! Examen des stratégies d'accès distant

! Examen de l'évaluation des stratégies d'accès
distant
! Création d'une stratégie et d'un profil d'accès
distant
! Dépannage du service Routage et accès distant

Dans Microsoft® Windows® 2000, vous pouvez définir et créer des stratégies
d'accès distant pour déterminer le type d'accès au réseau accordé à un utilisateur
ou groupe d'utilisateurs. Les stratégies d'accès distant sont un ensemble de
conditions et de paramètres de connexion qui confère aux administrateurs
réseau davantage de souplesse lors de l'octroi et de l'utilisation des autorisations
d'accès distant. Le service Routage et accès distant et le service
d'authentification Internet (IAS, Internet Authentication Service) de
Windows 2000 ont tous deux recours à des stratégies d'accès distant pour
accepter ou refuser des tentatives de connexion. En tant qu'administrateur, vous
devez également dépanner et maintenir le serveur d'accès distant afin d'offrir un
niveau de performance optimal.
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
! expliquer les concepts des stratégies et des profils d'accès distant ;
! décrire le processus d'évaluation d'une stratégie d'accès distant ;
! créer une stratégie d'accès distant et configurer un profil d'accès distant ;
! effectuer la maintenance d'un serveur d'accès distant et le dépanner.
2 Module 8 : Prise en charge de l'accès distant à un réseau

Examen des stratégies d'accès distant

Stratégie
Stratégie d'accès
d'accès distant
distant ::

! Stockée localement et non dans

Active Directory
! Comprend trois composants :
# Conditions
# Autorisations
# Profil

Vous pouvez utiliser des stratégies d'accès distant pour affecter des paramètres
à une connexion, en fonction de l'utilisateur qui se connecte et des propriétés de
la connexion. Pour fournir un accès personnalisé aux différents utilisateurs et
groupes de votre entreprise, il est utile de comprendre comment les stratégies
sont appliquées. Il se peut que les paramètres par défaut des stratégies soient
adaptés à vos besoins d'accès distant. Toutefois, il est essentiel de vous
familiariser avec les stratégies d'accès distant, car une utilisation efficace de ces
dernières vous offre plus de souplesse lors de l'octroi et de l'utilisation des
autorisations d'accès distant.

Stockage local des stratégies

Les stratégies d'accès distant de Windows 2000 sont stockées sur le serveur
d'accès distant, et non dans le service d'annuaire Active Directory™. Les
stratégies peuvent donc varier selon les capacités du serveur d'accès distant.

Remarque Vous pouvez centraliser les stratégies d'accès distant en utilisant le

service IAS. Pour plus d'informations sur le service IAS, consultez le module 9,
« Extension des fonctionnalités d'accès distant à l'aide du service IAS », du
cours 2172A, Implémentation d'une infrastructure réseau Microsoft
Windows 2000.
 Module 8 : Prise en charge de l'accès distant à un réseau 3

Composants d'une stratégie

Une stratégie d'accès distant comprend trois composants associés à Active
Directory pour fournir un accès sécurisé aux serveurs d'accès distant. Ces trois
composants sont ses conditions, ses autorisations et son profil.

Conditions
Les conditions des stratégies d'accès distant consistent en une liste de
paramètres, tels que l'heure, les noms des groupes utilisateurs, l'identité des
appelants ou les adresses IP (Internet Protocol). Ces paramètres sont comparés
à ceux du client qui se connecte au serveur. Le premier ensemble de conditions
de stratégie qui correspond aux paramètres de la demande de connexion
entrante est traité afin de vérifier les autorisations d'accès et la configuration.

Autorisations
Les connexions d'accès distant sont autorisées d'après une combinaison des
propriétés d'appel entrant du compte de l'utilisateur et des stratégies d'accès
distant. Le paramètre d'autorisation de la stratégie d'accès distant fonctionne en
relation avec les autorisations d'appel entrant de l'utilisateur dans Active
Directory.
Une stratégie peut, par exemple, accorder un accès à tous les utilisateurs du
groupe A de 08:00 à 17:00. Toutefois, les autorisations pour l'utilisateur X du
groupe A peuvent être définies de façon à lui refuser l'accès à Active Directory,
alors que celles de l'utilisateur Y du groupe A peuvent permettre un accès à
toute heure. Ainsi, la plupart des utilisateurs du groupe A sont contrôlés par les
paramètres de stratégie, et leur accès n'est autorisé que de 08:00 à 17:00.
Toutefois, tout accès est refusé à l'utilisateur X, et l'utilisateur Y se voit
accorder un accès permanent.

Profil
Chaque stratégie comprend un profil de paramètres, tels que les protocoles
d'authentification et de cryptage, qui sont appliqués à la connexion. Les
paramètres du profil sont immédiatement appliqués et peuvent entraîner le refus
de la connexion. Par exemple, si les paramètres du profil d'une connexion
indiquent que l'utilisateur ne peut se connecter que par tranche de 30 minutes,
celui-ci sera déconnecté du serveur d'accès distant au bout de 30 minutes.
4 Module 8 : Prise en charge de l'accès distant à un réseau

$ Examen de l'évaluation des stratégies d'accès distant

! Suivi de la logique d'évaluation d'une stratégie

! Examen des stratégies par défaut et des
stratégies multiples

Il est important de comprendre comment sont évaluées les stratégies d'accès

distant afin de définir les paramètres des appels entrants et planifier
correctement vos stratégies. Les stratégies d'accès distant sont évaluées selon un
flux logique qui varie suivant le mode de fonctionnement, mixte ou natif, du
domaine Windows 2000. (Un domaine en mode mixte permet aux contrôleurs
de domaine d'utiliser Windows 2000 ou Microsoft Windows NT® version 4.0.
Avec un domaine en mode natif, tous les contrôleurs de domaine doivent être
exécutés sur Windows 2000.) Pour concevoir des stratégies d'accès distant
efficaces, il est nécessaire de bien maîtriser la logique d'évaluation d'une
stratégie d'accès distant, les fonctionnalités de la stratégie par défaut et
l'interaction entre des stratégies multiples.
 Module 8 : Prise en charge de l'accès distant à un réseau 5

Suivi de la logique d'évaluation d'une stratégie

Le
Le service
service Routage
routage
routage et
Routage et accès
etaccès
et accès
accès
Oui
Oui distant
distant applique
compare
contrôle
contrôle les
applique
compare àlesla
àles connexion
lacondition
connexion
condition
de
de la
la stratégie
entrante les
stratégie
entrante
autorisations d'accès
les paramètres
autorisations d'appel dsitant
d'accèsentrant
paramètres
d'appel du
dsitant
du
entrant
à
à
ducelles
compte
celles
compte
compte
du comptede la
detentative
de l'utilisateur
la
de tentative
l'utilisateur
l'utilisateur
l'utilisateurde
et
et du
de dans
du
dans
Non
Non connexion
connexion
profil
Activede
Active
profil de souhaitée
souhaitée
stratégie
Directory
stratégie
Directory
Refuser
Refuser Autoriser
Autoriser
Autoriser

Utilisation
Utilisation de
de la
la
stratégie
stratégie d'accès
d'accès
Connexion distant
distant
Connexion Connexion
Connexion

Refuser
Refuser Autoriser
Autoriser

Évaluation
Évaluation
Non
Non Oui
Oui
du
du profil
profil
Conditions
Profil
Autorisations

Windows 2000 évalue une tentative de connexion selon une logique qui prend
en compte les autorisations utilisateur et d'accès distant, les conditions des
stratégies et les paramètres des profils.
Les stratégies d'accès distant sont évaluées de la manière décrite ci-dessous.
1. Le service Routage et accès distant compare les conditions de la stratégie
d'accès distant à celles de la tentative de connexion souhaitée.
• Si aucune stratégie ne correspond, l'accès est refusé.
• Si une stratégie correspond, elle est utilisée pour déterminer l'accès.
2. Le service Routage et accès distant contrôle les autorisations d'appel entrant
du compte de l'utilisateur.
• Si l'option d'autorisation indique Refuser l'accès, l'accès est refusé à
l'utilisateur.
• Si l'option d'autorisation indique Permettre l'accès, l'accès est accordé à
l'utilisateur et le profil de la stratégie est appliqué.
• Si l'option d'autorisation indique Contrôler l'accès via la Stratégie
d'accès distant, le paramètre d'autorisation de la stratégie détermine
l'accès de l'utilisateur.
3. Le service Routage et accès distant applique à la connexion entrante les
paramètres du profil de la stratégie.
• La connexion peut être refusée si un paramètre essentiel du profil ne
correspond pas à un paramètre sur le serveur d'accès distant. Par
exemple, le profil d'une connexion entrante peut spécifier qu'un groupe
peut uniquement se connecter la nuit. Si un utilisateur de ce groupe
essaie de se connecter pendant la journée, la demande de connexion sera
refusée.
• La connexion peut être coupée à un stade ultérieur à cause d'un
paramètre du profil, tel qu'une restriction du temps de connexion.
6 Module 8 : Prise en charge de l'accès distant à un réseau

Examen des stratégies par défaut et des stratégies multiples

! Stratégie d'accès distant par défaut

# Mode natif (la stratégie par défaut refuse toutes les
tentatives de connexion sauf si l'autorisation
d'appel entrant Permettre l'accès de l'utilisateur
est activée)
# Mode mixte (stratégie par défaut toujours ignorée)
! Stratégies multiples
# Les stratégies sont vérifiées dans un certain ordre
jusqu'à ce qu'une d'entre elles corresponde à la
tentative de connexion
# Les paramètres du profil et du compte d'utilisateur
sont comparés à la première stratégie d'accès
distant uniquement

La stratégie d'accès distant par défaut n'influera pas sur les connexions entrantes
si le domaine fonctionne en mode mixte et s'il n'existe aucun paramètre de
profil associé. La stratégie par défaut s'appliquera à toutes les tentatives de
connexion qui ne correspondent à aucune autre stratégie. Vous devez connaître
les paramètres de cette stratégie et les conséquences de son utilisation dans des
domaines fonctionnant en mode mixte et natif. Vous devez également
comprendre de quelle façon les stratégies multiples interagissent.

Stratégie d'accès distant par défaut

La stratégie par défaut, intitulée Permet l'accès si l'autorisation d'entrée est
activée, est créée lors de l'installation du service Routage et accès distant. Cette
stratégie contrôle l'accès via l'autorisation d'entrée de l'utilisateur. Le tableau
suivant décrit les paramètres de la stratégie par défaut :
Paramètre Valeur
Conditions Date/heure courante = n'importe quel jour, n'importe
quelle heure
Autorisations Refuser l'accès
Profil Aucun

Mode natif et serveurs autonomes

Si vous réglez l'autorisation d'appel entrant de chaque compte d'utilisateur sur
Contrôler l'accès via la Stratégie d'accès distant lorsque votre réseau
fonctionne en mode natif, ou si votre serveur d'accès distant est un serveur
autonome, toutes les tentatives de connexion seront refusées si vous ne
modifiez pas la stratégie par défaut. Toutefois, si vous activez l'autorisation
d'appel entrant Permettre l'accès pour un utilisateur, les tentatives de
connexion de cet utilisateur seront acceptées. Si vous modifiez les paramètres
d'autorisation de la stratégie par défaut en activant l'option Accorder
l'autorisation d'accès distant, toutes les tentatives de connexion seront
acceptées.
 Module 8 : Prise en charge de l'accès distant à un réseau 7

Mode mixte
La stratégie par défaut est toujours ignorée dans un domaine fonctionnant en
mode mixte, car, dans ce mode, l'option d'autorisation d'appel entrant
Contrôler l'accès via la Stratégie d'accès distant de l'utilisateur n'est pas
disponible. Toutefois, le serveur applique des stratégies d'accès distant aux
utilisateurs dans un domaine fonctionnant en mode mixte. Si vous activez
l'autorisation d'appel entrant Permettre l'accès pour l'utilisateur, celui-ci doit
remplir les conditions d'une stratégie pour se voir autoriser l'accès.

Important Lors de la conversion du mode mixte en mode natif, les

autorisations de tous les utilisateurs passent du paramètre d'appel entrant
Refuser l'accès à Contrôler l'accès via la Stratégie d'accès distant. En
revanche, les autorisations pour les utilisateurs avec le paramètre d'appel entrant
Permettre l'accès restent telles quelles. Ainsi, si la stratégie d'accès distant par
défaut reste inchangée et qu'il n'existe aucune autre stratégie, la conversion en
mode natif n'aura aucune incidence sur les autorisations d'accès distant de
l'utilisateur.

Stratégies multiples
De nombreuses entreprises nécessiteront plusieurs types d'accès distant pour
différents groupes de l'entreprise. Elles auront donc besoin de plusieurs
stratégies d'accès distant. Ces stratégies doivent être créées avec prudence. Si
une tentative de connexion ne correspond à aucune stratégie d'accès distant, elle
échouera, même si l'autorisation d'appel entrant d'un utilisateur indique
Permettre l'accès.
Lorsqu'un utilisateur tente de se connecter, la première stratégie d'accès distant
de la liste est vérifiée. Si toutes les conditions de la stratégie ne correspondent
pas à la tentative de connexion, la stratégie suivante de la liste est alors vérifiée,
et ainsi de suite, jusqu'à ce qu'une stratégie corresponde à la tentative de
connexion.
Ensuite, la tentative de connexion est évaluée par rapport aux paramètres du
profil et du compte d'utilisateur. Si la tentative de connexion ne correspond pas
aux paramètres du profil ou du compte d'utilisateur de la première stratégie
d'accès distant valide, elle échoue. Aucune autre stratégie n'est vérifiée.
Vous pouvez modifier l'ordre des stratégies d'accès distant. Par exemple, vous
pouvez très bien vérifier d'abord la stratégie d'accès distant qui s'applique à la
plupart de vos utilisateurs, afin de diminuer le nombre de tentatives de
connexion à évaluer avec plusieurs stratégies.
8 Module 8 : Prise en charge de l'accès distant à un réseau

Pour modifier l'ordre des stratégies d'accès distant, exécutez la procédure

ci-dessous.
1. Dans l'arborescence de la console du service Routage et accès distant,
cliquez sur Stratégies d'accès distant.
2. Dans le volet de détails, cliquez avec le bouton droit sur la stratégie à
déplacer, puis cliquez sur Monter pour déplacer la stratégie d'un niveau
vers le haut, ou sur Descendre pour la déplacer d'un niveau vers le bas.

Important Étant donné que le service Routage et accès distant requiert une
correspondance avec les conditions d'au moins une stratégie, si la stratégie par
défaut est supprimée et qu'il n'y a pas d'autres stratégies, toutes les tentatives de
connexion seront refusées. Dans la plupart des situations, vous devrez laisser la
stratégie par défaut inchangée afin que les utilisateurs dont l'accès est
explicitement accordé par le biais de leur autorisation utilisateur puissent se
connecter.
 Module 8 : Prise en charge de l'accès distant à un réseau 9

$ Création d'une stratégie et d'un profil d'accès distant

! Configuration des conditions d'une stratégie

d'accès distant
! Configuration des paramètres d'un profil d'accès
distant

Vous pouvez mettre en place des règles détaillées d'accès distant plus ou moins
complexes selon les besoins de votre entreprise. Une stratégie d'accès distant
comprend des paramètres d'appel entrant utilisateur, des conditions et des
paramètres de la stratégie d'accès distant. Ces composants n'exigent aucun ordre
particulier, mais il est important de les inclure tous les trois dans votre
programmation.

Remarque Pour plus d'informations sur les paramètres d'appel entrant

utilisateur, consultez le module 7, « Configuration de l'accès distant », du cours
2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000.
10 Module 8 : Prise en charge de l'accès distant à un réseau

Configuration des conditions d'une stratégie d'accès distant

Exemples
Exemples de
de conditions
conditions d'une
d'une tentative
tentative de
de connexion
connexion

! Entre 08:00 et 17:00, du lundi au

vendredi
ET
! À partir de n'importe quelle adresse IP
correspondant à 192.168.*.*
ET
! De n'importe quel utilisateur du groupe
des ventes

Les conditions des stratégies d'accès distant sont des attributs qui sont comparés
aux paramètres d'une tentative de connexion. Si une stratégie présente plusieurs
conditions, toutes ces conditions doivent correspondre aux paramètres de la
tentative de connexion, sinon c'est la stratégie suivante qui est évaluée.
Le tableau ci-contre montre les conditions que vous pouvez attribuer à une
stratégie d'accès distant.

Remarque Certaines de ces conditions s'appliquent au service

d'authentification des utilisateurs d'accès à distance (RADIUS, Remote
Authentication Dial-In User Service). Pour plus d'informations sur le service
RADIUS, consultez le module 9, « Extension des fonctionnalités d'accès distant
à l'aide du service IAS », du cours 2172A, Implémentation d'une infrastructure
réseau Microsoft Windows 2000.
 Module 8 : Prise en charge de l'accès distant à un réseau 11

Caractère
générique Utilisé
Nom de la condition Description accepté (*) par IAS
NAS-IP-Address Chaîne de caractères identifiant l'adresse IP du serveur Oui Oui
d'accès réseau (NAS, Network Access Server).
Service-Type Type de service RADIUS demandé. Exemples : les Non Oui
connexions tramées (telles que les connexions au protocole
PPP [Point-to-Point]) et les ouvertures de session (tels que
les connexions Telnet). Pour plus d'informations sur les
types de services RADIUS, consultez la RFC (Request For
Comments) 2138 sous Lectures complémentaires dans la
page Web du CD-ROM du stagiaire.
Framed-Protocol Type de trame des paquets entrants. Exemples : PPP, Non Oui
AppleTalk, SLIP (Serial Line Internet Protocol), relais de
trame et X.25.
Calling-Station-Id Chaîne de caractères identifiant le numéro de téléphone du Oui Non
serveur d'accès réseau.
Called-Station-Id Chaîne de caractères identifiant le numéro de téléphone de Oui Non
l'appelant. La ligne téléphonique, le matériel et le pilote de
ce dernier doivent prendre en charge la réception des
données d'identification de l'appelant.
NAS-Identifier Chaîne de caractères identifiant le serveur d'accès réseau à Oui Non
l'origine de la requête.
NAS-Port-Type Type de support utilisé par l'appelant. Exemples : lignes Non Non
téléphoniques analogiques (ou async), RNIS et réseaux
privés virtuels.
Day-And-Time-Restriction Jour et heure de la tentative de connexion. Non Non
Client-IP-Address Chaîne de caractères identifiant l'adresse IP du client Oui Oui
RADIUS.
Client Vendor Fabricant du serveur NAS demandant une authentification. Non Oui
Client-Friendly-Name Chaîne de caractères identifiant le nom du client RADIUS Oui Oui
demandant une authentification.
Windows-Group Noms des groupes Windows 2000 auxquels appartient Non Non
l'utilisateur qui tente de se connecter. Pour un serveur
d'accès distant dans un domaine fonctionnant en mode natif
ou un serveur IAS, utilisez des groupes universels. Il
n'existe pas de condition pour un nom d'utilisateur
particulier.
Tunnel Type Protocoles de tunnel pour paquets entrants, tels que le Non Non
protocole L2TP (Layer Two Tunneling Protocol).
12 Module 8 : Prise en charge de l'accès distant à un réseau

Vous pouvez créer une stratégie d'accès distant et un profil associé sous
Stratégies d'accès distant dans l'arborescence de la console Routage et accès
distant.
Pour ajouter une stratégie d'accès distant, exécutez la procédure ci-dessous.
1. À partir du menu Outils d'administration, ouvrez le service Routage et
accès distant.
2. Cliquez avec le bouton droit sur Stratégies d'accès distant, puis cliquez sur
Nouvelle stratégie d'accès distant.
3. Dans l'Assistant Ajouter une stratégie d'accès distant, tapez le nom du profil
dans la zone Nom convivial de la stratégie, puis cliquez sur Suivant.
4. Pour configurer une nouvelle condition, cliquez sur Ajouter.
5. Dans la boîte de dialogue Sélection d'un attribut, cliquez sur l'attribut à
ajouter, puis sur Ajouter.
6. Dans la boîte de dialogue attribut (le nom de cette boîte de dialogue change
en fonction de l'attribut sélectionné), tapez les informations requises par
l'attribut, puis cliquez sur OK.
7. Cliquez sur Ajouter pour ajouter une autre condition ou sur Suivant pour
continuer à utiliser l'Assistant.
8. Pour accorder un accès aux appelants répondant à ces conditions, cliquez
sur Accorder l'autorisation d'accès distant. Pour refuser cet accès, cliquez
sur Refuser l'autorisation d'accès distant. Puis cliquez sur Suivant.
9. Vous pouvez ensuite créer un profil ou cliquer sur Terminer pour créer une
stratégie sans profil. Vous pouvez ajouter un profil après avoir créé la
stratégie.
 Module 8 : Prise en charge de l'accès distant à un réseau 13

Configuration des paramètres d'un profil d'accès distant

Exemples
Exemples de
de paramètres
paramètres de
de profil
profil

! Temps de connexion : 90 minutes

ET
! Quatre liaisons multiples
(déconnexion de la ligne si 50 %
d'utilisation pendant dix minutes)
ET
! Cryptage IPSec requis

Le profil d'accès distant détermine le type d'accès qui sera attribué à l'utilisateur
si les conditions correspondent. Cet accès n'est accordé que si la tentative de
connexion n'entre pas en conflit avec les paramètres du compte d'utilisateur ou
du profil. Vous pouvez configurer un profil dans la boîte de dialogue Modifier
un profil d'appel entrant à laquelle vous accédez en cliquant sur Modifier le
profil dans la boîte de dialogue Propriétés d'une stratégie. Dans cette boîte de
dialogue, vous pouvez configurer les paramètres ci-dessous.
! Contraintes pour les appels entrants. Utilisez ces paramètres pour définir
le délai d'attente avant déconnexion, la durée maximum de la session, les
jours, les heures, les numéros de téléphone et les types de supports (RNIS
[Réseau numérique à intégration de services], VPN [Virtual Private
Network], etc.) autorisés.
! Protocole IP. Dans cet onglet, vous pouvez configurer l'attribution
d'adresses IP du client et le filtrage des paquets TCP/IP (Transmission
Control Protocol/Internet Protocol). Vous pouvez définir des filtres
distincts pour les paquets entrants ou sortants.
! Liaisons multiples. Dans cet onglet, vous pouvez configurer les protocoles
de liaisons multiples et BAP (Bandwidth Allocation Protocol). Utilisez ces
paramètres pour déconnecter une ligne si la bande passante tombe au-
dessous d'un certain niveau pendant une période donnée. Les liaisons
multiples peuvent également être définies pour requérir l'utilisation du
protocole BAP.
! Authentification. Vous pouvez utiliser ces paramètres pour définir les
protocoles d'authentification permis pour les connexions qui utilisent cette
stratégie. Vérifiez que les protocoles que vous sélectionnez ici sont aussi
activés dans la boîte de dialogue Propriétés du serveur.
! Cryptage. Vous pouvez utiliser cet onglet pour déterminer les types de
cryptages interdits, permis ou requis.
! Avancé. Vous pouvez utiliser cet onglet pour configurer des paramètres
réseau supplémentaires qui pourraient être envoyés à partir de serveurs
RADIUS exécutant des systèmes d'exploitation non-Microsoft.
14 Module 8 : Prise en charge de l'accès distant à un réseau

Atelier A : Création d'une stratégie et d'un profil d'accès

distant

Objectifs
À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :
! créer une stratégie d'accès distant ;
! créer un profil d'accès distant ;
! tester une stratégie et un profil.

Conditions préalables
Avant de poursuivre, vous devez vous familiariser avec les concepts de
stratégie et de profil d'accès distant.

Mise en place de l'atelier

Pour réaliser cet atelier, les conditions ci-dessous doivent être remplies.
! Vous devez réaliser l'atelier A, « Configuration d'une connexion VPN », du
module 7, « Configuration de l'accès distant », du cours 2172A,
Implémentation d'une infrastructure réseau Microsoft Windows 2000.
! Vous devez disposer d'un ordinateur exécutant Windows 2000 Advanced
Server configuré en tant que contrôleur de domaine en mode natif.
! Votre partenaire doit disposer d'un ordinateur de configuration similaire.

Les informations ci-dessous vous seront également nécessaires. Si vous avez

des questions sur ces valeurs, n'hésitez pas à interroger votre instructeur.
Numéro Notez les valeurs ici
Votre numéro de stagiaire x=
Le numéro de stagiaire de votre partenaire y=
 Module 8 : Prise en charge de l'accès distant à un réseau 15

Scénario
Votre entreprise veut savoir exactement quels sont les employés ayant un accès
à distance à son réseau, et souhaite contrôler ces accès. Pour ce faire, vous allez
configurer les stratégies d'accès distant afin de contrôler les accès à votre
réseau.
Dans cet atelier, vous aller travailler avec un partenaire à la configuration des
stratégies d'accès distant. Vous allez créer un compte d'utilisateur, configurer
ses propriétés d'appel entrant et son appartenance de groupe. Ensuite, vous allez
créer une stratégie d'accès distant pour ce groupe et configurer l'accès à l'aide de
cette stratégie. Votre partenaire utilisera ensuite le compte d'utilisateur que vous
aurez créé pour appeler votre ordinateur via une connexion VPN, et testera ainsi
l'utilisation de la stratégie.

Durée approximative de cet atelier : 30 minutes

16 Module 8 : Prise en charge de l'accès distant à un réseau

Exercice 1
Configuration et test des stratégies d'accès distant

Scénario
Northwind Traders a implémenté des serveurs d'accès distant afin de permettre à sa force de vente
de disposer d'accès sécurisés au réseau de la société par Internet. En tant qu'administrateur des
serveurs d'accès distant de votre réseau, vous avez besoin d'implémenter une stratégie d'accès
distant qui accorde l'accès aux groupes des ventes et le refuse à toute autre personne. Avant
d'installer la véritable stratégie d'accès distant, vous allez créer un utilisateur test et un groupe test.

Objectif
Dans cet exercice, vous allez créer un utilisateur test dans un groupe test, vérifier que la stratégie
par défaut refuse l'accès à l'utilisateur test, puis créer et tester une stratégie d'accès distant qui
accorde l'accès aux membres du groupe test.

Tâche Détails

Exécutez la procédure suivante sur les deux ordinateurs.

1. Créez un utilisateur appelé
UtilisateurDistantx ( où x
représente votre numéro de
stagiaire), avec le mot de
passe password. Configurez
les paramètres utilisateur
pour permettre l'accès à
distance.
a. Ouvrez une session en tant
qu'administrateur@domaine.nwtraders.msft (où domaine représente
le nom de votre domaine), avec le mot de passe password.
b. À partir du menu Outils d'administration, ouvrez la console
Utilisateurs et ordinateurs Active Directory.
c. Dans l'arborescence de la console, sous domaine, cliquez avec le
bouton droit sur Users, pointez sur Nouveau, puis cliquez sur User.
d. Dans la boîte de dialogue Nouvel objet - User, dans la zone Nom,
tapez Utilisateur Distantx (où x représente votre numéro de stagiaire).
e. Dans la zone Nom d'ouverture de session de l'utilisateur, tapez
UtilisateurDistantx
f. Développez domaine.nwtraders.msft, puis cliquez sur Suivant.
g. Utilisez le mot de passe password pour le nouveau compte
d'utilisateur, cliquez sur Suivant, puis sur Terminer.
h. Dans le volet de détails, cliquez avec le bouton droit sur
UtilisateurDistantx, puis cliquez sur Propriétés.
i. Dans l'onglet Appel entrant, cliquez sur Permettre l'accès, puis sur
OK.

(suite)
Tâche
2. Créez un groupe global
nommé GroupeDistantx.
Ajoutez au groupe l'utilisateur
que vous venez de créer.
Important : Avant de commencer cette procédure, attendez que votre partenaire ait terminé celle qui
précède.
3. Testez votre configuration
d'appel entrant en vous
connectant à l'ordinateur de
votre partenaire en utilisant
le compte créé par ce
dernier, puis fermez la
connexion.
Important : Les tâches 4 et 5 doivent être réalisées simultanément par vous-même et votre partenaire.
4. Configurez les autorisations
d'appel entrant pour que
l'accès d'UtilisateurDistantx
soit contrôlé via la stratégie
d'accès distant.
Remarque : Les contrôleurs de domaine doivent fonctionner en mode natif pour que l'option Contrôler
l'accès via la Stratégie d'accès distant soit disponible dans l'onglet Appel entrant.
4. (suite)
Module 8 : Prise en charge de l'accès distant à un réseau 17
Détails
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Users, pointez sur Nouveau, puis cliquez sur Group.
b. Dans la boîte de dialogue Nouvel objet - Group, dans la zone Nom de
groupe, tapez GroupeDistantx (où x représente votre numéro de
stagiaire).
c. Assurez-vous que l'étendue globale est définie sur Globale et que le
type de groupe est défini sur Sécurité, puis cliquez sur OK.
d. Ouvrez la boîte de dialogue Propriétés de GroupeDistantx.
e. Dans l'onglet Membres, cliquez sur Ajouter.
f. Dans la boîte de dialogue Sélectionnez Utilisateurs, Contacts,
Ordinateurs ou Groupes, vérifiez que votre domaine s'affiche dans la
zone Regarder dans.
g. Dans la liste d'objets, cliquez successivement sur UtilisateurDistantx,
Ajouter, puis sur OK.
h. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de
GroupeDistantx.
i. Réduisez la console Utilisateurs et ordinateurs Active Directory.
a. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur
Propriétés.
b. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez
sur Connexion privée virtuelle.
c. Connectez-vous en tant qu'UtilisateurDistanty (où y représente le
numéro de stagiaire de votre partenaire) avec le mot de passe
password.
d. Cliquez sur OK pour fermer le message Connexion établie, puis
fermez la connexion VPN.
a. Restaurez la console Utilisateurs et ordinateurs Active Directory, puis
ouvrez la boîte de dialogue Propriétés de UtilisateurDistantx.
b. Dans l'onglet Appel entrant, cliquez sur Contrôler l'accès via la
Stratégie d'accès distant, puis cliquez sur OK.
c. Réduisez la console Utilisateurs et ordinateurs Active Directory.
18 Module 8 : Prise en charge de l'accès distant à un réseau
(suite)
Tâche
5. Testez votre configuration
d'appel entrant en vous
connectant à distance à
l'ordinateur de votre
partenaire en tant
qu'UtilisateurDistanty.
6. Utilisez le service Routage
et accès distant pour ajouter
une nouvelle stratégie
nommée Permettre l'accès à
GroupeDistantx, qui permet
l'accès aux utilisateurs du
groupe GroupeDistantx.
Assurez-vous que cette
stratégie est évaluée avant
la stratégie par défaut.
Important : Avant de commencer cette procédure, attendez que votre partenaire ait terminé celle qui
précède.
Détails
a. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez
sur Connexion privée virtuelle, puis connectez-vous en tant
qu'UtilisateurDistanty (où y représente le numéro de stagiaire de votre
partenaire) avec le mot de passe password.
La tentative de connexion a échoué car la stratégie d'accès
distant par défaut refuse l'accès à tous les utilisateurs. En
mode natif, si vous sélectionnez l'option Contrôler l'accès via la
Stratégie d'accès distant, vous devez configurer une stratégie qui
autorise l'accès à vos utilisateurs.
b. Dans le message Erreur lors de la connexion à Connexion privée
virtuelle, cliquez sur Annuler.
c. Réduisez la fenêtre Connexions réseau et accès à distance.
a. À partir du menu Outils d'administration, ouvrez le service Routage
et accès distant.
b. Dans l'arborescence de la console, développez serveur (où serveur
représente le nom de votre ordinateur), cliquez avec le bouton droit sur
Stratégies d'accès distant, puis sur Nouvelle stratégie d'accès
distant.
c. Dans la page Nom de la stratégie, tapez Permettre l'accès à
GroupeDistantx (où x représente votre numéro de stagiaire), puis
cliquez sur Suivant.
d. Dans la page Conditions, cliquez sur Ajouter et, dans la boîte de
dialogue Sélection d'un attribut, cliquez sur Windows-Group, puis
sur Ajouter.
e. Dans la boîte de dialogue Groupes, cliquez sur Ajouter.
f. Dans la boîte de dialogue Sélection de:Groupes, dans la liste
Regarder dans, cliquez sur votre domaine.
g. Dans la boîte de dialogue Sélection de:Groupes, sous Nom, cliquez
sur GroupeDistantx, puis sur Ajouter, et enfin sur OK.
h. Dans la boîte de dialogue Groupes, cliquez sur OK.
i. Dans la page Conditions, cliquez sur Suivant.
j. Dans la page Autorisations, cliquez sur Accorder l'autorisation
d'accès distant, puis sur Suivant.
k. Dans la page Profil utilisateur, cliquez sur Terminer.
l. Dans l'arborescence de la console Routage et accès distant, cliquez sur
Stratégies d'accès distant, et, dans le volet de détails, cliquez avec le
bouton droit sur Permettre l'accès à GroupeDistantx, puis cliquez
sur Monter.
m. Réduisez le service Routage et accès distant.

(suite)
Tâche
7. Configurez l'ordre des
stratégies d'accès distant
pour que la stratégie par
défaut soit évaluée en
premier.
8. Testez votre configuration
d'appel entrant en appelant
l'ordinateur de votre
partenaire.
Important : Les tâches 10 et 11 doivent être réalisées simultanément par vous-même et votre partenaire.
9. Configurez les propriétés
d'appel entrant
d'UtilisateurDistantx pour
permettre l'accès.
10. Testez votre configuration
d'appel entrant en appelant
l'ordinateur de votre
partenaire.
Module 8 : Prise en charge de l'accès distant à un réseau 19
Détails
a. Restaurez le service Routage et accès distant.
b. Dans l'arborescence de la console, cliquez sur Stratégies d'accès
distant, et dans le volet de détails, cliquez avec le bouton droit sur
Permettre l'accès à GroupeDistantx, puis cliquez sur Descendre.
c. Réduisez la fenêtre Routage et accès distant.
a. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez
sur Connexion privée virtuelle, puis connectez-vous en tant
qu'UtilisateurDistantx avec le mot de passe password.
Notez que cette tentative de connexion échoue car la stratégie
refuse l'autorisation d'entrée.
b. Dans le message Erreur lors de la connexion à Connexion privée
virtuelle, cliquez sur Annuler.
a. Restaurez la console Utilisateurs et ordinateurs Active Directory.
b. Ouvrez la boîte de dialogue Propriétés de UtilisateurDistantx.
c. Dans l'onglet Appel entrant, cliquez sur Permettre l'accès, puis sur
OK.
d. Fermez la console Utilisateurs et ordinateurs Active Directory.
a. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez
sur Connexion privée virtuelle, puis connectez-vous en tant
qu'UtilisateurDistanty avec le mot de passe password.
b. Cliquez sur OK pour fermer le message Connexion établie, puis
fermez la connexion VPN.
20 Module 8 : Prise en charge de l'accès distant à un réseau

Exercice 2
Désactivation du service Routage et accès distant

Scénario
L'un de vos serveurs d'accès distant doit être remplacé. Vous devez désactiver le service Routage et
accès distant de ce serveur avant de le déconnecter.

Objectif
Dans cet exercice, vous allez désactiver le service Routage et accès distant sur votre serveur puis
fermer la session.

Tâche Détails

1. Supprimez la stratégie a. Restaurez le service Routage et accès distant.

d'accès distant que vous
avez ajoutée dans l'exercice
précédent.
2. Utilisez le service Routage
et accès distant pour
désactiver le service sur
votre ordinateur, puis
fermez toutes les fenêtres et
la session.
b. Dans l'arborescence de la console, cliquez sur Stratégies d'accès
distant.
c. Dans le volet de détails, cliquez avec le bouton droit sur Permettre
l'accès à GroupeDistantx, puis cliquez sur Supprimer.
d. Dans la boîte de dialogue Supprimer la stratégie, cliquez sur Oui.
a. Cliquez avec le bouton droit sur serveur (où serveur représente le nom
de votre ordinateur), puis cliquez sur Désactiver le routage et l'accès
distant.
b. Dans la boîte de dialogue Routage et accès distant, cliquez sur Oui.
c. Fermez toutes les fenêtres, puis la session.
 Module 8 : Prise en charge de l'accès distant à un réseau 21

$ Dépannage du service Routage et accès distant

! Contrôle de l'accès distant

! Traçage des connexions d'accès distant
! Dépannage des composants matériels de
communication
! Dépannage des lignes de communication
! Résolution des problèmes de configuration des
paramètres

Pour être en mesure d'accéder à votre entreprise à distance, un certain nombre

de composants doivent fonctionner correctement, parmi lesquels les
ordinateurs, le matériel et les lignes de communication et, dans certains cas,
l'Internet. Le bon fonctionnement de l'accès distant repose sur tant de
composants que certains problèmes peuvent parfois survenir. La faculté de
diagnostiquer, puis résoudre les problèmes joue un rôle important dans le
fonctionnement des connexions locales et à distance des utilisateurs de votre
réseau.
22 Module 8 : Prise en charge de l'accès distant à un réseau

Contrôle de l'accès distant

! Journaux des événements

! Journal du modem

Le meilleur moyen d'identifier l'origine des problèmes survenant sur le serveur

d'accès distant est de contrôler ce dernier. Plusieurs outils et journaux servent à
contrôler et dépanner l'accès distant.

Journaux des événements

Le journal des événements de Windows 2000 contient des informations sur les
composants système de Windows 2000 et, en cas de problème, c'est l'une des
premières sources d'informations à explorer. Pour ouvrir le journal des
événements, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur
Gérer. Sous Gestion de l'ordinateur, développez Observateur
d'événements, puis cliquez sur Système. Les entrées faisant apparaître Accès
distant dans la colonne source correspondent aux journaux des événements de
l'accès distant.

Journal du modem
Lors d'une connexion, Windows 2000 Professionnel enregistre
automatiquement un journal de communication entre l'ordinateur et le modem.
Normalement, à chaque nouvelle connexion, un nouveau journal écrase
l'ancien, mais il est possible de configurer le système de façon à conserver le
fichier journal. Dans Windows 2000 Server et Advanced Server, il faut activer
manuellement le fichier journal.
 Module 8 : Prise en charge de l'accès distant à un réseau 23

Pour activer le journal du modem sur Windows 2000 Server, exécutez la

procédure ci-dessous.
1. Dans le Panneau de configuration, double-cliquez sur Options de modems
et téléphonie.
2. Dans la boîte de dialogue Options de modems et téléphonie, dans l'onglet
Modems, cliquez sur le modem que vous configurez, puis sur Propriétés.
3. Dans la boîte de dialogue Propriétés du modem, dans l'onglet Diagnostics,
activez la case à cocher Enregistrer dans un journal, puis cliquez sur OK.
(Dans Windows 2000 Professionnel, cette option s'intitule Ajouter au
journal. Cela signifie que le fichier journal ne sera pas écrasé à chaque
nouvelle connexion.)

Pour afficher le fichier journal, dans l'onglet Diagnostics, cliquez sur Afficher
le journal.
24 Module 8 : Prise en charge de l'accès distant à un réseau

Traçage des connexions d'accès distant

Windows 2000 dispose d'une fonctionnalité de traçage avancée que vous

pouvez utiliser pour résoudre les problèmes complexes de réseau. Vous pouvez
activer les composants dans Windows 2000 Server pour enregistrer dans des
fichiers les informations de traçage. La fonction de traçage s'active en modifiant
les paramètres dans le Registre Windows 2000 sous :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing

Attention Une modification incorrecte du Registre peut endommager

gravement votre système. Avant d'apporter des modifications au Registre, il est
conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.

Vous activez le traçage pour chaque composant d'accès distant en définissant

les valeurs du Registre décrites dans le tableau suivant :
Valeur Type de données Description
EnableFileTracing REG_DWORD Vous pouvez envoyer les
informations de traçage du journal
dans un fichier en attribuant la valeur
1 à EnableFileTracing. La valeur par
défaut est 0.
FileDirectory REG_EXPAND_SZ Vous pouvez modifier l'emplacement
par défaut des fichiers de traçage en
indiquant le chemin d'accès de votre
choix à FileDirectory. Le nom de
fichier du fichier journal est le nom
du composant faisant l'objet du
traçage. Par défaut, les fichiers
journaux sont placés dans le dossier
racine_système\Traçage.
 Module 8 : Prise en charge de l'accès distant à un réseau 25

(suite)
Valeur Type de données Description
FileTracingMask REG_DWORD FileTracingMask détermine le
volume d'informations de traçage
stockées dans le fichier journal. La
valeur par défaut est FFFF0000, ce
qui correspond au niveau maximum
de traçage.
MaxFileSize REG_DWORD Vous pouvez modifier la taille du
fichier journal en attribuant des
valeurs à MaxFileSize. La valeur par
défaut est de 65 536 octets (64 Ko).

Dans la mesure où le traçage consomme des ressources système, utilisez-le

uniquement si vous avez besoin d'identifier des problèmes de réseau. Une fois
le suivi enregistré ou le problème identifié, désactivez immédiatement le
traçage. Ne laissez pas le traçage activé sur des ordinateurs multiprocesseurs.
Les informations de traçage peuvent être complexes et très détaillées. La
plupart du temps, ces informations ne sont utiles qu'aux ingénieurs des Services
de support technique de Microsoft ou aux administrateurs de réseau connaissant
parfaitement le routeur Windows 2000.
26 Module 8 : Prise en charge de l'accès distant à un réseau

Dépannage des composants matériels de communication

! Composants matériels de communication de

l'utilisateur
# Testez le matériel à l'aide du manuel d'utilisation
fourni par le fabricant
# Interrogez le modem à l'aide de l'onglet
Diagnostics
# Visualisez le journal de session du modem
! Composants matériels de communication du
serveur d'accès distant
# Vérifiez le matériel comme vous le feriez sur
l'ordinateur d'un utilisateur
# Visualisez les journaux des événements

Pour résoudre un problème, il faut d'abord en identifier la source. Une fois

celle-ci identifiée, la solution va souvent de soi. Les problèmes de connexion
d'accès distant peuvent venir des composants matériels sur l'ordinateur de
l'utilisateur ou sur le serveur d'accès distant.

Composants matériels de communication de l'utilisateur

Les composants matériels de communication employés par l'utilisateur sont l'un
des premiers éléments d'accès distant à vérifier. Il peut s'agir d'un modem, d'une
carte réseau ou d'un autre périphérique. Dans la mesure où la plupart des
matériels ont leurs propres procédures de test automatique, vous trouverez des
informations sur la vérification du matériel dans le manuel d'utilisation fourni
par le fabricant.
Si la connexion s'effectue par modem, assurez-vous que ce dernier est
correctement configuré dans Windows 2000, et que son test automatique
fonctionne normalement.
Pour vérifier le modem, exécutez la procédure ci-dessous.
1. Dans le Panneau de configuration, double-cliquez sur Options de modems
et téléphonie.
2. Dans l'onglet Modems, cliquez sur votre modem, puis sur Propriétés.
3. Cliquez sur l'onglet Diagnostics, puis sur Interroger le modem.

Si le modem fonctionne correctement, vous devez recevoir une série de

réponses sur le diagnostic établi. Si le modem ne fonctionne pas correctement,
essayez de le réinstaller ou adressez-vous au fabricant.
Pour savoir ce que fait le modem pendant une tentative de connexion, vous
pouvez visualiser les informations de son journal de session. Cela vous
permettra d'identifier l'origine de l'erreur.
 Module 8 : Prise en charge de l'accès distant à un réseau 27

Composants matériels de communication du serveur

d'accès distant
Il existe une autre source possible de problèmes avec les connexions d'accès
distant : les composants matériels de communication du serveur d'accès distant
proprement dit. Pour savoir si les composants matériels de communication
fonctionnent, vérifiez si les journaux des événements système comportent des
messages d'erreurs, puis utilisez les méthodes de test fournis par le fabricant.
Si vous soupçonnez un problème de modem, suivez la même procédure de
dépannage que pour l'ordinateur client. Mais vous pouvez également identifier
un problème avec les modems du serveur d'accès distant en appelant le modem
avec un téléphone classique, afin de vérifier si le modem prend la ligne et tente
de se connecter. Si le modem du serveur d'accès distant ne tente pas de se
connecter, cela signifie qu'il a un problème.

Attention Le bruit émis pendant une tentative de connexion peut être très fort.
Pour éviter toute lésion, tenez le combiné loin de votre oreille, lorsque vous
appelez depuis un poste téléphonique classique.
28 Module 8 : Prise en charge de l'accès distant à un réseau

Dépannage des lignes de communication

! Panne de
la ligne
de communication

! Échec de la connexion intermittente

# Vérifiez les journaux des événements système
# Vérifiez les ports utilisés
! Échec de la connexion VPN
# Vérifiez le fonctionnement du système DNS
# Vérifiez les ports au niveau du pare-feu

Si les composants matériels de communication fonctionnent correctement, il

faut alors vérifier l'état des lignes de communication.

Panne de la ligne de communication

Si la ligne de communication ne fonctionne pas pour une raison quelconque, ou
n'est pas correctement branchée, toute tentative de connexion d'accès distant
sera vouée à l'échec. Cela peut provenir d'un câble mal branché ou d'une
installation téléphonique débranchée.
Dans les installations plus étendues, de nombreuses lignes téléphoniques
servent souvent aux connexions d'accès distant. Avant de relier une ligne
téléphonique à un modem, assurez-vous toujours que la ligne fonctionne
correctement, à l'aide d'un poste téléphonique classique.

Échec de la connexion intermittente

Dans les grandes installations d'accès distant, un seul numéro de téléphone est
souvent utilisé pour recevoir les appels, ensuite réparti sur un certain nombre de
lignes téléphoniques séparées grâce à un matériel appelé distributeur rotatif. Les
modems sont ensuite connectés sur chaque ligne. Dans ces cas-là, il peut arriver
qu'un modem ne fonctionne pas ou soit mal configuré. L'utilisateur final aura
alors l'impression que la connexion au serveur d'accès distant connaît des
échecs intermittents car la tentative de connexion n'échoue que lorsque le
distributeur essaie de connecter l'utilisateur en utilisant la ligne reliée au modem
défectueux.
Pour identifier le problème de connexion intermittent, utilisez les journaux des
événements système. Mais si le problème provient d'un composant matériel
d'accès distant, vérifiez quels sont les ports utilisés par le service Routage et
accès distant. Le port du modem qui ne fonctionne pas devrait apparaître
comme non utilisé même pendant les temps d'occupation.
 Module 8 : Prise en charge de l'accès distant à un réseau 29

Échec de la connexion VPN

Lorsque vous réparez une connexion VPN, la ligne de communication est
remplacée par l'Internet, ce qui provoque différentes erreurs. Si la connexion à
un serveur VPN pose problème, vérifiez que le nom DNS (Domain Name
System) du serveur est correct et que la résolution de noms DNS fonctionne
correctement. En outre, si vous vous connectez à travers un pare-feu, vérifiez
que les bons ports sont ouverts au niveau du pare-feu afin de permettre à la
connexion VPN de le traverser.
30 Module 8 : Prise en charge de l'accès distant à un réseau

Résolution des problèmes de configuration des paramètres

! Configuration réseau
# Vérifiez la configuration TCP/IP, et les adresses IP
du serveur DNS et du service WINS
# Utilisez la commande ping sur l'ordinateur de
l'utilisateur
! Paramètres du serveur d'accès distant
# Vérifiez le journal des événements système
# Activez le traçage
! Paramètres de l'ordinateur de l'utilisateur
# Vérifiez la configuration
# Créez de nouveaux paramètres

Une fois établi que les composants matériels et les lignes de communication ne
sont pas à l'origine du problème, vérifiez les paramètres de configuration.

Configuration réseau
Une erreur de configuration réseau se produit lorsque l'utilisateur parvient à
établir une connexion valide mais ne parvient pas à accéder aux ressources du
réseau. Elle est généralement due à un problème au niveau du réseau
sous-jacent. Ce peut être le cas si la résolution de noms ne fonctionne pas
correctement, ou si une autre fonction vitale du réseau, telle que le routage, n'est
pas convenablement configurée.
Lorsqu'une erreur de configuration réseau se produit, confirmez que vous
pouvez accéder aux ressources lorsque vous êtes connecté directement au
réseau, puis vérifiez les propriétés de configuration TCP/IP en utilisant la
commande ipconfig /all sur le poste client. Vérifiez que les adresses IP du
serveur DNS et/ou du service de nom Internet Windows (WINS, Windows
Internet Name Service) sont configurées et fonctionnent. Essayez également de
diagnostiquer le problème comme si l'ordinateur de l'utilisateur était
directement connecté au réseau local. Utilisez la commande ping sur
l'ordinateur de l'utilisateur pour localiser le problème de connexion réseau.

Paramètres du serveur d'accès distant

Les paramètres que vous configurez sur votre serveur d'accès distant, s'ils sont
erronés, peuvent empêcher les utilisateurs de se connecter. Pour savoir si un
paramètre sur le serveur d'accès distant fait échouer une connexion, l'utilisateur
doit tout d'abord parvenir à se connecter au serveur, puis subir une déconnexion
à cause d'un des paramètres de configuration.
Pour identifier le paramètre fautif, vérifiez le journal des événements système
sur le serveur d'accès distant et sur l'ordinateur à partir duquel l'utilisateur
appelle. Dans certains cas, il n'est pas nécessaire d'activer le traçage sur le
serveur d'accès distant pour trouver la cause du problème.
 Module 8 : Prise en charge de l'accès distant à un réseau 31

Paramètres de l'ordinateur de l'utilisateur

Certaines valeurs de paramétrage de l'ordinateur et des propriétés de connexion
sont susceptibles de faire échouer une connexion d'accès distant. Par exemple,
si l'ordinateur à partir duquel l'utilisateur appelle n'utilise que le protocole de
transport compatible NWLink IPX/SPX/NetBIOS et si le serveur d'accès distant
n'utilise que TCP/IP, la connexion ne pourra être établie.
En cas d'échec de la connexion, si le serveur d'accès distant et les lignes de
communication sont testées et s'avèrent fonctionner correctement, le problème
vient probablement des paramètres de l'ordinateur de l'utilisateur. Étudiez les
messages d'erreur qui s'affichent ; s'ils ne donnent aucune indication sur la
cause, vérifiez le journal des événements système et le journal du modem, s'il
s'agit d'une connexion par modem.
Les paramètres de l'ordinateur client sont souvent à l'origine de problèmes
lorsqu'un utilisateur a modifié les propriétés de connexion, faisant ainsi échouer
la tentative de connexion. Pour savoir tout de suite si c'est le cas, il faut recréer
la connexion sortante à l'aide de l'Assistant Création d'une nouvelle connexion.
Créez une nouvelle connexion ou indiquez à l'utilisateur comment en créer une,
puis tentez de nouveau de vous connecter au serveur d'accès distant. Si cette
nouvelle connexion fonctionne, cela signifie que la configuration de la
connexion originale était la source du problème.
32 Module 8 : Prise en charge de l'accès distant à un réseau

Atelier B : Dépannage du service Routage et accès

distant

Objectifs
À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :
! lire les journaux des événements pour identifier la cause d'une erreur ;
! résoudre des problèmes d'accès distant.

Conditions préalables
Avant de poursuivre, vous devez disposer de connaissances dans les domaines
suivants :
! configuration d'une connexion d'accès distant ;
! fonctionnement des connexions VPN.

Mise en place de l'atelier

Cet atelier est une simulation. Pour réaliser cet atelier, vous devez disposer des
éléments suivants :
! un ordinateur exécutant Microsoft Windows 2000, Microsoft
Windows NT 4.0, Microsoft Windows 98 ou Microsoft Windows 95 ;
! un écran d'une résolution minimale de 800 x 600 avec 256 couleurs.
 Module 8 : Prise en charge de l'accès distant à un réseau 33

! Pour démarrer l'atelier

1. Insérez le CD-ROM du stagiaire dans votre lecteur.
2. À la racine du CD-ROM, double-cliquez sur Default.htm.
3. Dans la page Web du stagiaire, cliquez sur Simulations d'atelier (en
anglais), puis sur Troubleshooting Remote Access.
4. Lisez les informations de présentation, puis cliquez sur le lien permettant de
démarrer l'atelier.

Durée approximative de cet atelier : 15 minutes

34 Module 8 : Prise en charge de l'accès distant à un réseau

Contrôle des acquis

! Examen des stratégies d'accès distant

! Examen de l'évaluation des stratégies d'accès
distant
! Création d'une stratégie et d'un profil d'accès
distant
! Dépannage du service Routage et accès distant

1. Votre Support technique reçoit depuis peu de nombreux appels d'utilisateurs

qui ne parviennent pas à se connecter à votre serveur d'accès distant parce
que toutes les lignes sont occupées. Vous contrôlez les lignes entrantes et
remarquez que nombreux sont ceux qui se connectent des heures durant,
même s'ils ne transmettent ou ne reçoivent aucune donnée. Comment
réduire le temps d'inactivité des utilisateurs connectés ?

2. Vous souhaitez attribuer différents créneaux et paramètres de liaisons

multiples à plusieurs groupes d'utilisateurs qui se connectent à votre serveur
d'accès distant. Quelle est la procédure à employer ?
 Module 8 : Prise en charge de l'accès distant à un réseau 35

3. Vous souhaitez contrôler complètement, grâce à des stratégies, les

connexions à distance à votre serveur d'accès, mais lorsque vous tentez
d'effectuer la configuration en utilisant Utilisateurs et ordinateurs Active
Directory, l'option Contrôler l'accès via la Stratégie d'accès distant n'est
pas disponible. Pourquoi ?

4. Les utilisateurs tentent de se connecter à votre serveur d'accès distant mais

reçoivent un message leur indiquant qu'ils ne disposent pas des autorisations
d'entrée. Vous vérifiez leurs comptes dans Utilisateurs et ordinateurs Active
Directory, et il s'avère qu'ils ont bien les autorisations d'entrée nécessaires.
D'où vient le problème ?

5. Un utilisateur appelle le Support technique car il ne parvient pas à se

connecter aux serveurs d'accès distant de l'entreprise. Vous cherchez les
entrées d'accès distant dans les journaux des événements du serveur d'accès
distant, mais n'en trouvez aucune. Quels composants de la connexion
d'accès distant peuvent être à l'origine du problème ?
This page is left page