Citrix Xd7x Poc Fas v1.0

Citrix XD7x POC FAS V1.
Historique des versions
Date Révision Auteur(s) Description Valideur(s)
28/04/2020 1.0 Karim AMZOUJ Version initiale du document.
Page 1 sur 296

Citrix XD7x POC FAS V1.0
Table des matières
Historique des versions ............................................................................ 1

Table des matières ................................................................................... 2
Liste des images ..................................................................................... 10
Liste des tableaux ................................................................................... 11
1. Routeurs et cœurs de réseaux ........................................................ 16
1.1 VMware Virtual Network .............................................................................................. 16
1.1.1 Hyperviseur BOXNUC8I3BEH-1 ......................................................................................................................... 16
1.1.2 Hyperviseur BOXNUC8I3BEH-2 ......................................................................................................................... 17
1.2 Cœur de réseaux KRJ ................................................................................................. 19
1.2.1 Déploiement de la machine virtuelle CORE101.KRJ.LAB .................................................................................. 19
1.2.2 Configuration du routeur CORE101.KRJ.LAB .................................................................................................... 20
1.2.3 Déploiement de la machine virtuelle CORE102.KRJ.LAB .................................................................................. 21
1.2.4 Configuration du routeur CORE102.KRJ.LAB .................................................................................................... 22
1.3 Cœur de réseaux HARMONIE .................................................................................... 23
1.3.1 Déploiement de la machine virtuelle CORE401.HARMONIE.LAB ...................................................................... 23
1.3.2 Configuration du routeur CORE401.MGEN.LAB ................................................................................................ 24
2. Zone KRJ infrastructure ................................................................... 25

2.1 Configuration de la machine virtuelle AD101.KRJ.LAB ............................................... 25
2.1.1 Déploiement de la machine virtuelle ................................................................................................................... 25
2.1.2 Configuration post-déploiement basique ............................................................................................................. 26
2.1.3 Installation des rôles et fonctionnalités ............................................................................................................... 27
2.1.4 Configuration du domaine racine de forêt KRJ.LAB ........................................................................................... 28
2.1.4.1 Création du domaine racine de forêt .................................................................................................28
2.1.4.2 Services et sites Active Directory ......................................................................................................29
2.1.4.3 Structure des unites d’organisation ...................................................................................................30
2.1.4.4 Groupes de sécurité pré-déploiement de FAS ..................................................................................31
2.1.4.5 Stratégies de groupe appliquées .......................................................................................................32
2.1.5 Configuration du service DNS ............................................................................................................................. 33
2.1.5.1 Configuration des paramètres génériques.........................................................................................33
2.1.5.2 Configuration de la zone de recherche directe KRJ.LAB ..................................................................34
2.1.5.3 Configuration de la zone de recherche directe DMZ.KRJ.LAB..........................................................35
2.1.5.4 Configuration de la zone de recherche directe SECURE.DONOTUSE.EU.......................................36
2.1.5.5 Configuration de la zone de recherche inversée 10.1.1.0 .................................................................37
2.1.5.6 Configuration de la zone de recherche inversée 10.1.2.0 .................................................................38
Page 2 sur 296

2.1.5.7 Configuration de la zone de recherche inversée 192.168.101.0 .......................................................39

2.1.6 Configuration du service DHCP .......................................................................................................................... 40
2.1.6.1 Configuration des paramètres génériques.........................................................................................40
2.1.6.2 Configuration du scope DHCP IPV4 10.1.2.0/24 ...............................................................................40
2.1.7 Configuration des partages et du service DFS-N ................................................................................................ 41
2.1.7.1 Création de l’espace de nom MISC ...................................................................................................41
2.1.7.2 Création de l’espace de nom USERDATA ........................................................................................42
2.1.7.3 Création de l’espace de nom HOMEDRIVE ......................................................................................44
2.2 Configuration de la machine virtuelle VDA101.KRJ.LAB ............................................ 46
2.2.4 Installation de l’agent VDA server OS 7.19.12 .................................................................................................... 49
2.2.5 Applications métiers déployées sur le serveur .................................................................................................... 50
2.3 Configuration de la machine virtuelle XD101.KRJ.LAB ............................................... 51
2.3.4 Configuration du serveur de licence RDS ........................................................................................................... 55
2.3.5 Installation du composant Citrix Delivery Controller 7.19.12 ............................................................................... 56
2.3.6 Configuration du site XenDesktop 7.19.12 .......................................................................................................... 57
2.3.6.1 Création du site POCFASBQ01.........................................................................................................57
2.3.6.2 Configuration de la zone « DATACENTER KRJ ».............................................................................58
2.3.6.3 Configuration des administrateurs .....................................................................................................58
2.3.6.4 Création et configuration des stratégies FMA....................................................................................59
2.3.6.5 Création du catalogue CATALOG 1 ..................................................................................................60
2.3.6.6 Création du groupe de mise à disposition DELIVERY GROUP 1 .....................................................61
2.3.6.7 Création du groupe d’applications APP GROUP HARMONIE ..........................................................62
2.3.6.8 Création du groupe d’applications APP GROUP MGEN ...................................................................63
2.3.6.9 Création du groupe d’applications APP GROUP MAEE....................................................................64
2.3.7 Installation du composant Citrix Director 1912 .................................................................................................... 65
2.3.7.1 Configuration avancée des paramètres IIS .......................................................................................65
2.4 Configuration de la machine virtuelle SF101.KRJ.LAB ............................................... 66
2.4.4 Création du certificat de sécurité SSL ................................................................................................................. 70
2.4.5 Liaison du certificat SSL au site IIS par défaut ................................................................................................... 71
Page 3 sur 296

2.4.6 Installation du composant Citrix StoreFront 7.19.12 ........................................................................................... 71

2.4.6.1 Création du déploiement par défaut ..................................................................................................72
2.4.6.2 Optimisation des paramètres globaux de StoreFront ........................................................................73
2.4.6.3 Création et configuration de l’appliance Citrix Gateway ....................................................................73
2.4.6.4 Configuration du magasin interne OutStore ......................................................................................74
2.5 Configuration de la machine virtuelle FAS101.KRJ.LAB ............................................. 75
3. Zone KRJ DMZ ................................................................................ 78

3.1 Configuration de la machine virtuelle FW101.DMZ.KRJ.LAB ..................................... 78
3.1.2 Configuration post-déploiement basique 1/2 (CLI) .............................................................................................. 79
3.1.3 Configuration post-déploiement basique 2/2 (GUI) ............................................................................................. 80
3.1.4 Configuration générale avancée ......................................................................................................................... 81
3.1.5 Configuration de l’interface réseau DMZ ............................................................................................................. 83
3.1.6 Configuration des paramètres de routage (GUI) ................................................................................................. 84
3.1.7 Configuration des objets et alias ......................................................................................................................... 85
3.1.8 Configuration des adresses IP virtuelles ............................................................................................................. 86
3.1.9 Configuration des règles de NAT IN/OUT ........................................................................................................... 87
3.1.10 Configuration des règles firewall d’ouverture ...................................................................................................... 88
3.1.10.1 FLOATING .........................................................................................................................................88
3.1.10.2 LAN ....................................................................................................................................................88
3.1.10.3 DMZ ...................................................................................................................................................90
3.1.10.4 WAN ..................................................................................................................................................92
3.2 Configuration de la machine virtuelle NS101.DMZ.KRJ.LAB ...................................... 93
3.2.2 Configuration complète post-déploiement (SSH) ................................................................................................ 94
4. Zone MGEN infrastructure ............................................................... 96

4.1 Configuration de la machine virtuelle AD201.MGEN.LAB ........................................... 96
4.1.4 Configuration du domaine racine de forêt MGEN.LAB ..................................................................................... 100
4.1.4.1 Création du domaine racine de forêt ...............................................................................................100
4.1.4.2 Services et sites Active Directory ....................................................................................................101
4.1.4.3 Structure des unites d’organisation .................................................................................................102
4.1.4.4 Groupes de sécurité pré-déploiement de FAS ................................................................................103
Page 4 sur 296

4.1.4.5 Stratégies de groupe appliquées .....................................................................................................103

4.1.5 Configuration du service DNS ........................................................................................................................... 104
4.1.5.1 Configuration des paramètres génériques.......................................................................................104
4.1.5.2 Configuration de la zone de recherche directe MGEN.LAB ............................................................105
4.1.5.3 Configuration de la zone de recherche inversée 10.2.1.0 ...............................................................106
4.1.6 Configuration du service AD CS........................................................................................................................ 107
4.1.6.1 Configuration post-installation du service ........................................................................................107
4.1.6.2 Configuration du point de télédistribution AIA/CDP/CRD ................................................................108
4.1.6.3 Configuration de l’enregistrement DNS et du site IIS ......................................................................109
5. Zone MUTSVC-KRJ infrastructure ................................................ 110

5.1 Configuration de la machine virtuelle AD301.MUTSVC-KRJ.LAB ............................ 110
5.1.1 Déploiement de la machine virtuelle ................................................................................................................. 110
5.1.2 Configuration post-déploiement basique ........................................................................................................... 111
5.1.3 Installation des rôles et fonctionnalités ............................................................................................................. 112
5.1.4 Configuration du domaine racine de forêt MUTSVC-KRJ.LAB ......................................................................... 114
5.1.5.2 Configuration de la zone de recherche directe MUTSVC-KRJ.LAB ................................................118
5.1.6 Configuration du service DHCP ........................................................................................................................ 121
5.1.6.2 Configuration du scope DHCP IPV4 10.3.2.0/24 .............................................................................121
5.1.7.3 Configuration de l’enregistrement DNS et du site IIS ......................................................................124
5.2 Configuration de la machine virtuelle THIN301.MUTSVC-KRJ.LAB ......................... 125
5.2.3 Applications métiers déployées sur le terminal léger ........................................................................................ 127
6. Interconnexion des forêts Active Directory .................................... 128
Page 5 sur 296

6.1 Configuration des zones de stub DNS ...................................................................... 128

6.2 Configuration de la relation d’approbation KRJ/MGEN ............................................. 130
6.3 Configuration de la relation d’approbation KRJ/MUTSVC-KRJ ................................. 131
6.4 Imbrication des groupes Active Directory .................................................................. 132
6.5 Configuration de l’authentification sélective sur les ressources KRJ ........................ 133
6.6 Configuration de l’authentification sélective sur les ressources MUTSVC-KRJ ........ 134
7. Zone PUBLIC................................................................................. 135

7.1 Configuration de la machine virtuelle PUBLIC .......................................................... 135
7.1.5.3 Configuration du site IIS ..................................................................................................................141
8. Zone HARMONIE infrastructure .................................................... 142

8.1 Configuration de la machine virtuelle AD401.HARMONIE.IN ................................... 142
8.1.4 Configuration du domaine racine de forêt HARMONIE.IN ................................................................................ 146
8.1.5.2 Configuration de la zone de recherche directe HARMONIE.IN .......................................................151
8.1.5.3 Configuration de la zone de recherche directe HARMONIE.DONOTUSE.EU ................................152
8.1.6 Configuration du service DHCP ........................................................................................................................ 155
8.1.6.2 Configuration du scope DHCP IPV4 10.4.2.0/24 .............................................................................155
Page 6 sur 296

8.2 Configuration de la machine virtuelle ADFS401.HARMONIE.IN ............................... 156

8.2.4 Configuration du domaine du service ADFS ..................................................................................................... 159
8.2.4.1 Création du certificat SSL signé par DONOTUSE-ROOT-CA .........................................................159
8.2.4.2 Import du certificat SSL sur le serveur ADFS401 ............................................................................159
8.2.4.3 Création du compte de service ADFS .............................................................................................160
8.2.4.4 Assistant de configuration du service ADFS....................................................................................160
8.2.4.5 Changement des ports et activation de la page de validation .........................................................161
8.3 Configuration de la machine virtuelle PC401.HARMONIE.IN ................................... 162
8.3.3 Applications métiers déployées sur le client ..................................................................................................... 164
9. Zone HARMONIE DMZ ................................................................. 165

9.1 Configuration de la machine virtuelle FW401.DMZ.HARMONIE.IN .......................... 165
9.1.2 Configuration post-déploiement basique 1/2 (CLI) ............................................................................................ 166
9.1.3 Configuration post-déploiement basique 2/2 (GUI) ........................................................................................... 167
9.1.4 Configuration générale avancée ....................................................................................................................... 168
9.1.5 Configuration des paramètres de routage (GUI) ............................................................................................... 170
9.1.6 Configuration des objets et alias ....................................................................................................................... 171
9.1.7 Configuration des adresses IP virtuelles ........................................................................................................... 172
9.1.8 Configuration des règles de NAT IN/OUT ......................................................................................................... 173
9.1.9 Configuration des règles firewall d’ouverture .................................................................................................... 174
9.1.9.1 LAN ..................................................................................................................................................174
9.1.9.2 DMZ .................................................................................................................................................175
9.1.9.3 WAN ................................................................................................................................................176
10. Préparation du déploiement FAS dans la zone KRJ ................. 177

10.1 Installer le composant FAS sur le serveur FAS101 ................................................... 177
10.2 Déclarer le point d’accès partenaire dédié à FAS sur SF101.................................... 181
10.3 Créer un store dédié à l’authentification FAS sur SF101 .......................................... 184
10.4 Activer l’authentification FAS sur le store FASOutStore............................................ 190
11. Préparation de la forêt MUTSVC-KRJ.LAB ............................... 191

11.1 Désactiver la publication des listes de révocation différentielles ............................... 191
11.2 Mettre à jour le certificat du DC AD301 ..................................................................... 193
11.3 Configurer la fonction LDAP REFERRALS le serveur AD301................................... 197
Page 7 sur 296

11.4 Exporter les modèles de certificat FAS depuis FAS101 ............................................ 198
11.5 Importer les modèles de certificat FAS dans MUTSVC-KRJ..................................... 199
11.6 Configurer et publier les modèles de certificat FAS dans MUTSVC-KRJ ................. 200
12. Préparation de la forêt KRJ.LAB ............................................... 205

12.1 Exporter le certificat de l’autorité racine MUTSVC-ROOT-CA .................................. 205
12.2 Importer le certificat de l’autorité racine MUTSVC-ROOT-CA dans le magasin NTAuthCA du domaine
KRJ.LAB ............................................................................................................................ 206
12.3 Mettre à jour la stratégie de groupe SEC-Configuration des autorités CA-1.0 .......... 208
12.4 Synchroniser les modèles de certificat entre les domaines MUTSVC-KRJ.LAB et KRJ.LAB 210
12.5 Supprimer les modèles et OIDs synchronisés hors FAS........................................... 211
12.6 Ajouter le serveur AD301 au groupe « Cert Publishers ».......................................... 212
12.7 Ajouter le serveur FAS101 au groupe « GG-S-Infrastructure Servers » ................... 214
12.8 Autoriser les contrôleurs de domaine MUTSVC-KRJ.LAB à s’authentifier................ 216
13. Finalisation de l’installation de FAS dans la zone KRJ.............. 218

13.1 Configurer le composant FAS sur le serveur FAS101............................................... 218
13.2 Créer la règle FAS sur serveur FAS101 .................................................................... 222
13.3 Créer et appliquer la stratégie de groupe CTX-Configuration de la règle FAS-1.0 ... 227
14. Configurer du service SAML Auth0 GROUPE VYV .................. 232

14.1 Créer le compte utilisateur de démonstration externe ............................................... 232
14.2 Créer le compte utilisateur de démonstration externe ............................................... 234
15. Configurer le service ADFS dans la zone HARMONIE ............. 240

15.1 Finaliser le composant ADFS sur le serveur ADF401 ............................................... 240
15.2 Créer un compte de domaine HARMONIE................................................................ 250
16. Finalisation de la configuration de MUTSVC-KRJ.LAB ............. 253

16.1 Créer le suffixe UPN alternatif pour les partenaires externes ................................... 253
16.2 Activer les suffixes UPN alternatifs dans la relation d’approbation KRJ/MUTSVC-KRJ255
16.3 Créer le compte fantôme pour la démo HARMONIE................................................. 258
16.4 Créer le compte fantôme pour la démo GROUPE VYV ............................................ 261
17. Configurer le point d’accès https://sso.donotuse.eu:8443 ......... 264

17.1 Créer la policy d’authentification SAML HARMONIE ................................................ 264
17.1.1 Exporter le certificate ADFS à partir du serveur ADFS401 ............................................................................... 264
17.1.2 Importer le certificate ADFS sur l’appliance NS101 .......................................................................................... 266
17.1.3 Créer l’action d’authentification SAML/ADFS HARMONIE ............................................................................... 267
17.1.4 Créer la policy d’authentification SAML/ADFS HARMONIE ............................................................................. 269
17.2 Créer la policy d’authentification SAML GROUPE VYV ............................................ 270
17.2.1 Importer le certificate Auth0 sur l’appliance NS101 .......................................................................................... 270
Page 8 sur 296

17.2.2 Créer l’action d’authentification SAML/ADFS GROUPE VYV ........................................................................... 271

17.2.3 Créer la policy d’authentification SAML/ADFS HARMONIE ............................................................................. 273
17.3 Créer les policies d’authentification ........................................................................... 274
17.3.1 Créer la policy principale d’authentification fictive............................................................................................. 274
17.3.2 Créer la policy d’authentification permettant le routage vers l’IDP HARMONIE ............................................... 275
17.3.3 Créer la policy d’authentification permettant le routage vers l’IDP GROUPE VYV ........................................... 276
17.4 Créer les schémas d’authentification......................................................................... 277
17.4.1 Créer le schéma principal d’authentification mutualisé ..................................................................................... 277
17.4.2 Créer le schéma d’authentification SAML ......................................................................................................... 280
17.5 Créer le flow nFactor d’authentification ..................................................................... 281
17.6 Créer le profil global d’authentification ...................................................................... 288
17.6.1 Créer le vServer AAA non adressable .............................................................................................................. 288
17.6.2 Créer le profil d’authentification AAA ................................................................................................................ 290
17.7 Créer les profils et policies de session dédiés FAS (CLI).......................................... 291
17.8 Créer le vServer Gateway ......................................................................................... 292
Page 9 sur 296

Liste des images

Aucune entrée de table d'illustration n'a été trouvée.
Page 10 sur 296

Liste des tableaux

Tableau 1. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-1 .................................................16
Tableau 2. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-2 .................................................17
Tableau 3. Paramètres de configuration de la machine virtuelle CORE101.KRJ.LAB ............................................19
Tableau 4. Paramètres de configuration de la machine virtuelle CORE102.KRJ.LAB ............................................21
Tableau 5. Paramètres de configuration de la machine virtuelle CORE401.HARMONIE.LAB ................................23
Tableau 6. Paramètres de configuration de la machine virtuelle AD101.KRJ.LAB ..................................................25
Tableau 7. Paramètres de configuration post-déploiement du serveur AD101.KRJ.LAB ........................................26
Tableau 8. Rôles et fonctionnalités installés sur le serveur AD101.KRJ.LAB ..........................................................27
Tableau 9. Paramètres de l’assistant Active Directory Domain Services Configuration Wizard ..............................28
Tableau 10. Paramètres de configuration des services et sites Active Directory KRJ.LAB .....................................29
Tableau 11. Paramètres des unités d’organisation du domaine KRJ.LAB ...............................................................30
Tableau 12. Liste des groupes de sécurité d’administration ....................................................................................31
Tableau 13. Liste des stratégies de groupe appliquées aux OUs KRJ.LAB ............................................................32
Tableau 14. Configuration des paramètres génériques du serveur DNS AD101.KRJ.LAB .....................................33
Tableau 15. Configuration de la zone DNS de recherche directe KRJ.LAB ............................................................34
Tableau 16. Création de la zone DNS de recherche directe DMZ.KRJ.LAB ...........................................................35
Tableau 17. Configuration de la zone DNS de recherche directe DMZ.KRJ.LAB ....................................................35
Tableau 18. Création de la zone DNS de recherche directe SECURE.DONOTUSE.EU ........................................36
Tableau 19. Configuration de la zone DNS de recherche directe SECURE.DONOTUSE.EU .................................36
Tableau 20. Création de la zone DNS de recherche inversée 10.1.1.0 ...................................................................37
Tableau 21. Configuration de la zone DNS de recherche inversée 10.1.1.0 ...........................................................37
Tableau 22. Création de la zone DNS de recherche inversée 10.1.2.0 ...................................................................38
Tableau 23. Configuration de la zone DNS de recherche inversée 10.1.2.0 ...........................................................38
Tableau 24. Création de la zone DNS de recherche inversée 192.168.101.0 .........................................................39
Tableau 25. Configuration de la zone DNS de recherche inversée 192.168.101.0 .................................................39
Tableau 26. Assistant DHCP Post-Install configuration wizard ................................................................................40
Tableau 27. Configuration du scope DHCP IPV4 10.1.2.0/24 .................................................................................40
Tableau 28. Création et configuration de l’espace de nom « MISC » ......................................................................41
Tableau 29. Création et configuration de l’espace de nom « USERDATA » ...........................................................42
Tableau 30. Configuration du partage et permissions NTFS du répertoire « USERDATA » ...................................43
Tableau 31. Création et configuration de l’espace de nom « HOMEDRIVE » .........................................................44
Tableau 32. Configuration du partage et permissions NTFS du répertoire « HOMEDRIVE » .................................45
Tableau 33. Paramètres de configuration de la machine virtuelle VDA101.KRJ.LAB .............................................46
Tableau 34. Paramètres de configuration post-déploiement du serveur AD101.KRJ.LAB ......................................47
Tableau 35. Rôles et fonctionnalités installés sur le serveur VDA101.KRJ.LAB .....................................................48
Tableau 36. Paramètres d’installation de l’agent VDA server OS 7.19.12 sur le serveur VDA101.KRJ.LAB ..........49
Tableau 37. Liste des applications métiers déployées sur le serveur VDA101.KRJ.LAB ........................................50
Tableau 38. Paramètres de configuration de la machine virtuelle XD101.KRJ.LAB ................................................51

Tableau 39. Paramètres de configuration post-déploiement du serveur AD101.KRJ.LAB ......................................52
Tableau 40. Rôles et fonctionnalités installés sur le serveur XD101.KRJ.LAB ........................................................53
Tableau 41. Paramètres du service licence RDS sur le serveur XD101.KRJ.LAB ..................................................55
Tableau 42. Paramètres du service Delivery Controller sur le serveur XD101.KRJ.LAB ........................................56
Tableau 43. Paramètres de configuration du site POCFASBQ01 ............................................................................57
Tableau 44. Paramètres de configuration de la zone DATACENTER KRJ .............................................................58
Tableau 45. Paramètres de configuration des administrateurs ................................................................................58
Tableau 46. Liste des stratégies FMA appliquées au site XenDesktop ...................................................................59
Tableau 47. Paramètres de configuration du catalogue CATALOG 1 .....................................................................60
Tableau 48. Paramètres de configuration du groupe de mise à disposition DELIVERY GROUP 1 ........................61
Tableau 49. Paramètres de configuration du groupe d’application APP GROUP HARMONIE ...............................62
Tableau 50. Paramètres de configuration du groupe d’application APP GROUP MGEN ........................................63
Tableau 51. Paramètres de configuration du groupe d’application APP GROUP MAEE ........................................64
Tableau 52. Paramètres du service Delivery Controller sur le serveur XD101.KRJ.LAB ........................................65
Tableau 53. Paramètres de configuration avancés du site IIS .................................................................................65
Tableau 54. Paramètres de configuration de la machine virtuelle XD101.KRJ.LAB ................................................66
Tableau 55. Paramètres de configuration post-déploiement du serveur SF101.KRJ.LAB ......................................67
Tableau 57. Paramètres de création de la demande de certificat pour le serveur SF101.KRJ.LAB........................70
Tableau 58. Paramètres de liaison du certificat au serveur SF101.KRJ.LAB ..........................................................71
Tableau 59. Paramètres du service Delivery Controller sur le serveur SF101.KRJ.LAB .........................................71
Tableau 60. Paramètres de configuration du déploiement StoreFront .....................................................................72
Tableau 61. Paramètres de configuration avancés de StoreFront ...........................................................................73
Tableau 62. Paramètres de création de l’appliance DMZ INTERNET KRJ..............................................................73
Tableau 63. Paramètres de configuration du magasin OutStore .............................................................................74
Tableau 64. Paramètres de configuration de la machine virtuelle FAS101.KRJ.LAB ..............................................75
Tableau 65. Paramètres de configuration post-déploiement du serveur SF101.KRJ.LAB ......................................76
Tableau 67. Paramètres de configuration de la machine virtuelle FW101.DMZ.KRJ.LAB ......................................78
Tableau 68. Paramètres de configuration post-déploiement du serveur FW101.DMZ.KRJ.LAB .............................79
Tableau 69. Paramètres de configuration post-déploiement du serveur FW101.DMZ.KRJ.LAB .............................80
Tableau 70. Paramètres de configuration générale avancée du serveur FW101.DMZ.KRJ.LAB ............................81
Tableau 71. Paramètres de configuration des interfaces du serveur FW101.DMZ.KRJ.LAB ..................................83
Tableau 72. Paramètres de configuration du routage du serveur FW101.DMZ.KRJ.LAB .......................................84
Tableau 73. Paramètres de configuration du routage du serveur FW101.DMZ.KRJ.LAB .......................................85
Tableau 74. Paramètres de configuration des adresses IP virtuelles du serveur FW101.DMZ.KRJ.LAB ...............86
Tableau 75. Paramètres de configuration du NAT du serveur FW101.DMZ.KRJ.LAB ............................................87
Tableau 76. Règles d’ouverture de flux FLOATING du serveur FW101.DMZ.KRJ.LAB ..........................................88
Tableau 77. Règles d’ouverture de flux LAN du serveur FW101.DMZ.KRJ.LAB .....................................................88
Tableau 78. Règles d’ouverture de flux DMZ du serveur FW101.DMZ.KRJ.LAB ....................................................90

Tableau 79. Règles d’ouverture de flux WAN du serveur FW101.DMZ.KRJ.LAB ...................................................92
Tableau 80. Paramètres de configuration de la machine virtuelle NS101.DMZ.KRJ.LAB .......................................93
Tableau 81. Paramètres de configuration post-déploiement du serveur NS101.DMZ.KRJ.LAB .............................94
Tableau 82. Paramètres de configuration de la machine virtuelle AD201.MGEN.LAB ............................................96
Tableau 83. Paramètres de configuration post-déploiement du serveur AD201.MGEN.LAB ..................................97
Tableau 84. Rôles et fonctionnalités installés sur le serveur AD201.MGEN.LAB ....................................................98
Tableau 85. Paramètres de l’assistant Active Directory Domain Services Configuration Wizard ..........................100
Tableau 86. Paramètres de configuration des services et sites Active Directory MGEN.LAB ...............................101
Tableau 87. Paramètres des unités d’organisation du domaine MGEN.LAB .........................................................102
Tableau 88. Liste des groupes de sécurité d’administration ..................................................................................103
Tableau 89. Liste des stratégies de groupe appliquées aux OUs MGEN.LAB ......................................................103
Tableau 90. Configuration des paramètres génériques du serveur DNS AD201.MGEN.LAB ...............................104
Tableau 91. Configuration de la zone DNS de recherche directe MGEN.LAB ......................................................105
Tableau 92. Création de la zone DNS de recherche inversée 10.2.1.0 .................................................................106
Tableau 93. Configuration de la zone DNS de recherche inversée 10.2.1.0 .........................................................106
Tableau 94. Paramètres de l’assistant AD CS Configuration Wizard.....................................................................107
Tableau 95. Paramètres de configuration des extensions de l’autorité de certification MGEN-ROOT-CA ............108
Tableau 96. Paramètres de configuration de la machine virtuelle AD301.MUTSVC-KRJ.LAB .............................110
Tableau 97. Paramètres de configuration post-déploiement du serveur AD301.MUTSVC-KRJ.LAB ....................111
Tableau 98. Rôles et fonctionnalités installés sur le serveur AD301.MUTSVC-KRJ.LAB .....................................112
Tableau 99. Paramètres de l’assistant Active Directory Domain Services Configuration Wizard ..........................114
Tableau 100. Paramètres de configuration des services et sites Active Directory MUTSVC-KRJ.LAB .................115
Tableau 101. Paramètres des unités d’organisation du domaine MUTSVC-KRJ.LAB ..........................................116
Tableau 102. Liste des groupes de sécurité d’administration ................................................................................117
Tableau 103. Liste des stratégies de groupe appliquées aux OUs MUTSVC-KRJ.LAB ........................................117
Tableau 104. Configuration des paramètres génériques du serveur DNS AD301.MUTSVC-KRJ.LAB .................118
Tableau 105. Configuration de la zone DNS de recherche directe MUTSVC-KRJ.LAB ........................................118
Tableau 106. Création de la zone DNS de recherche inversée 10.3.1.0 ...............................................................119
Tableau 107. Configuration de la zone DNS de recherche inversée 10.3.1.0 .......................................................119
Tableau 110. Assistant DHCP Post-Install configuration wizard ............................................................................121
Tableau 111. Configuration du scope DHCP IPV4 10.3.2.0/24 .............................................................................121
Tableau 112. Paramètres de l’assistant AD CS Configuration Wizard ..................................................................122
Tableau 113. Paramètres de configuration des extensions de l’autorité de certification MGEN-ROOT-CA ..........123
Tableau 114. Paramètres de configuration de la machine virtuelle THIN301.MUTSVC-KRJ.LAB ........................125
Tableau 115. Paramètres de configuration post-déploiement du serveur THIN301.MUTSVC-KRJ.LAB ..............126
Tableau 116. Liste des applications métiers déployées sur le serveur THIN301.MUTSVC-KRJ.LAB ...................127
Tableau 117. Paramètres de configuration des zones de stub DNS sur AD101.KRJ.LAB ....................................128
Tableau 118. Paramètres de configuration des zones de stub DNS sur AD201.MGEN.LAB ................................128
Tableau 119. Paramètres de configuration des zones de stub DNS sur AD301.MUTSVC-KRJ.LAB ...................128
Tableau 120. Paramètres de configuration de la relation d’approbation bidirectionnelle transitive entre les forêts
KRJ.LAB et MGEN.LAB réalisée à partir du serveur AD101.KRJ.LAB ..................................................................130
Tableau 121. Paramètres de configuration de la relation d’approbation bidirectionnelle transitive entre les forêts
KRJ.LAB et MUTSVC-KRJ.LAB réalisée à partir du serveur AD101.KRJ.LAB......................................................131
Tableau 122. Paramètre(s) d’imbrication des groupes Active Directory ................................................................132
Tableau 123. Paramètre(s) de sécurité à appliquer aux ressources KRJ pour l’authentification sélective ............133
Tableau 124. Paramètre(s) de sécurité à appliquer aux ressources MUTSVC-KRJ pour l’authentification sélective
................................................................................................................................................................................134
Tableau 125. Paramètres de configuration de la machine virtuelle PUBLIC .........................................................135
Tableau 126. Paramètres de configuration post-déploiement du serveur PUBLIC ................................................136
Tableau 127. Rôles et fonctionnalités installés sur le serveur PUBLIC .................................................................137
Tableau 128. Configuration des paramètres génériques du serveur DNS PUBLIC ...............................................138
Tableau 129. Paramètres de l’assistant AD CS Configuration Wizard ..................................................................139
Tableau 130. Paramètres de configuration des extensions de l’autorité de certification DONOTUSE-ROOT-CA 140
Tableau 131. Paramètres de configuration de la machine virtuelle AD401.HARMONIE.IN ..................................142
Tableau 132. Paramètres de configuration post-déploiement du serveur AD401.HARMONIE.IN .........................143
Tableau 133. Rôles et fonctionnalités installés sur le serveur AD401.HARMONIE.IN ..........................................144
Tableau 134. Paramètres de l’assistant Active Directory Domain Services Configuration Wizard ........................146
Tableau 135. Paramètres de configuration des services et sites Active Directory HARMONIE.IN ........................147
Tableau 136. Paramètres des unités d’organisation du domaine HARMONIE.IN .................................................148
Tableau 137. Liste des groupes de sécurité d’administration ................................................................................148
Tableau 138. Liste des stratégies de groupe appliquées aux OUs HARMONIE.IN ...............................................149
Tableau 139. Configuration des paramètres génériques du serveur DNS AD401.HARMONIE.IN ........................150
Tableau 140. Configuration de la zone DNS de recherche directe HARMONIE.IN ...............................................151
Tableau 141. Création de la zone DNS de recherche directe HARMONIE.DONOTUSE.EU ................................152
Tableau 142. Configuration de la zone DNS de recherche directe DMZ.KRJ.LAB ................................................152
Tableau 147. Assistant DHCP Post-Install configuration wizard ............................................................................155
Tableau 148. Configuration du scope DHCP IPV4 10.4.2.0/24 .............................................................................155
Tableau 149. Paramètres de configuration de la machine virtuelle ADFS401.HARMONIE.IN ..............................156
Tableau 150. Paramètres de configuration post-déploiement du serveur ADFS401.HARMONIE.IN ....................157
Tableau 151. Rôles et fonctionnalités installés sur le serveur ADFS401.HARMONIE.IN ......................................158
Tableau 152. Paramètres de création du certificat SSL signé par DONOTUSE-ROOT-CA ..................................159
Tableau 153. Paramètres d’import du certificat SSL sur le serveur ADFS401 ......................................................159
Tableau 154. Paramètres du compte de service HARMONIE\adfs-binding ...........................................................160
Tableau 155. Paramètres d’Active Directory Federation Services Configuration Wizard ......................................160
Tableau 156. Paramètres d’activation de la page de contrôle et changement des ports d’écoute ........................161
Tableau 157. Paramètres de configuration de la machine virtuelle PC401.HARMONIE.IN ..................................162
Tableau 158. Paramètres de configuration post-déploiement du serveur PC401.HARMONIE.IN .........................163
Tableau 159. Liste des applications métiers déployées sur le serveur PC401.HARMONIE.IN .............................164
Tableau 160. Paramètres de configuration de la machine virtuelle FW401.DMZ.HARMONIE.IN .........................165
Tableau 161. Paramètres de configuration post-déploiement du serveur FW401.DMZ.HARMONIE.IN ...............166
Tableau 162. Paramètres de configuration post-déploiement du serveur FW401.DMZ.HARMONIE.IN ...............167
Tableau 163. Paramètres de configuration générale avancée du serveur FW401.DMZ.HARMONIE.IN ..............168
Tableau 164. Paramètres de configuration du routage du serveur FW401.DMZ.HARMONIE.IN ..........................170
Tableau 165. Paramètres de configuration du routage du serveur FW401.DMZ.HARMONIE.IN ..........................171
Tableau 166. Paramètres de configuration des adresses IP virtuelles du serveur FW401.DMZ.HARMONIE.IN ..172
Tableau 167. Paramètres de configuration du NAT du serveur FW401.DMZ.HARMONIE.IN ...............................173
Tableau 168. Règles d’ouverture de flux LAN du serveur FW401.DMZ.HARMONIE.IN .......................................174
Tableau 169. Règles d’ouverture de flux DMZ du serveur FW101.DMZ.HARMONIE.IN.......................................175
Tableau 170. Règles d’ouverture de flux WAN du serveur FW401.DMZ.HARMONIE.IN ......................................176
Tableau 171. Paramètres de déclaration du point d’accès dédié à FAS (General Settings) .................................181
Tableau 172. Paramètres de déclaration du point d’accès dédié à FAS (STAs) ...................................................182
Tableau 173. Paramètres de création du store dédié à l’authentification FAS (Store Name) ................................184
Tableau 174. Paramètres de création du store dédié à l’authentification FAS (Delivery Controllers) ....................185
Tableau 175. Paramètres de création du store dédié à l’authentification FAS (Remote Access) ..........................186
Tableau 176. Paramètres de configuration de la stratégie CTX-Configuration de la règle FAS-1.0 ......................230
Tableau 177. Paramètres de création du compte Auth0 de démo David HOUOT .................................................233
Tableau 178. Paramètres de configuration basique de l’application NetScaler Gateway MGEN ..........................235
Tableau 179. Paramètres de configuration d’un endpoint SAML de logout ...........................................................245
Tableau 180. Paramètres de configuration de l’émission des jetons SAML ..........................................................248
Tableau 181. Paramètres de création du compte de démo Stéphane MOUTON ..................................................251
Tableau 182. Paramètres de création du compte fantôme de démo Stéphane MOUTON ....................................259
Tableau 183. Paramètres de création du compte fantôme de démo David HOUOT .............................................262
Tableau 184. Paramètres de création du server d’authentification SAML/ADFS HARMONIE ..............................267
Tableau 185. Paramètres de création de la policy d’authentification SAML/ADFS HARMONIE ...........................269
Tableau 186. Paramètres de création du server d’authentification SAML/ADFS GROUPE VYV ..........................271
Tableau 187. Paramètres de création de la policy d’authentification SAML/ADFS GROUPE VYV .......................273
Tableau 188. Paramètres de création de la policy d’authentification primaire fictive .............................................274
Tableau 189. Paramètres de création de la policy d’authentification de routage vers l’IDP HARMONIE ..............275
Tableau 190. Paramètres de création de la policy d’authentification de routage vers l’IDP GROUPE VYV ..........276
1. Routeurs et cœurs de réseaux

1.1 VMware Virtual Network
1.1.1 Hyperviseur BOXNUC8I3BEH-1
Tableau 1. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-1
Réseaux Paramètres
VMnet0 • Type à Bridged

192.168.1.0/24 • Bridged to à ASIX AX88179 USB 3.0 to Gigabit Ethernet Adapter
VMware KRJ core network
router subnet

1.0.0.0/29 • Bridged to à ASIX AX88179 USB 3.0 to Gigabit Ethernet Adapter #2
VMware KRJ core network • IP à 1.0.0.5
router subnet
VMnet2 • Type à Host Only

10.1.1.0/24 • Connect a host virtual adapter to this network à Yes (.253)
VMware KRJ core • Use local DHCP service to distribute IP addresses to VMs à No
infrastructure subnet
• Subnet IP à 10.1.1.0/24
• Mask à 255.255.255.0

VMware KRJ VDAs subnet • Use local DHCP service to distribute IP addresses to VMs à No
• Subnet IP à 10.1.2.0/24
• Mask à 255.255.255.0

VMware DMZ KRJ subnet • Use local DHCP service to distribute IP addresses to VMs à No
• Subnet IP à 192.168.101.0/24
• Mask à 255.255.255.0
1.1.2 Hyperviseur BOXNUC8I3BEH-2
Tableau 2. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-2

192.168.1.0/24 • Bridged to à ASIX AX88179 USB 3.0 to Gigabit Ethernet Adapter
VMware KRJ core network
router subnet

1.0.0.0/29 • Bridged to à ASIX AX88179 USB 3.0 to Gigabit Ethernet Adapter #2
VMware KRJ core network • IP à 1.0.0.6
router subnet

VMware MGEN infrastructure • Use local DHCP service to distribute IP addresses to VMs à No
subnet
• Subnet IP à 10.2.1.0/24
• Mask à 255.255.255.0

VMware MUTSVC-KRJ • Use local DHCP service to distribute IP addresses to VMs à No
• Subnet IP à 10.3.1.0/24
• Mask à 255.255.255.0

VMware MUTSVC-KRJ client • Use local DHCP service to distribute IP addresses to VMs à No
subnet
• Subnet IP à 10.3.2.0/24
• Mask à 255.255.255.0

VMware HARMONIE core • Use local DHCP service to distribute IP addresses to VMs à No
network router subnet
• Subnet IP à 1.0.0.8/29
• Mask à 255.255.255.248

VMware HARMONIE • Use local DHCP service to distribute IP addresses to VMs à No
• Subnet IP à 10.4.1.0/24
• Mask à 255.255.255.0

VMware HARMONIE client • Use local DHCP service to distribute IP addresses to VMs à No
subnet
• Subnet IP à 10.4.2.0/24
• Mask à 255.255.255.0

VMware DMZ HARMONIE • Use local DHCP service to distribute IP addresses to VMs à No
subnet
• Subnet IP à 192.168.104.0/24
• Mask à 255.255.255.0
1.2 Cœur de réseaux KRJ
1.2.1 Déploiement de la machine virtuelle CORE101.KRJ.LAB
Tableau 3. Paramètres de configuration de la machine virtuelle CORE101.KRJ.LAB
Paramètre(s) Valeur(s)
Hypervisor BOXNUC8I3BEH-1
VMware Workstation folder FAS Proof of Concept à KRJ à Core Networks
OVA template(s) Brocade Vyatta virtual appliance x64 1.1.7.ova
Name of the virtual machine CORE101.KRJ.LAB
Storage path for the new D:\VM(s)\CORE101.KRJ.LAB

virtual machine
Memory 256 MB
Processors • Number of processors à 1

• Number of cores per processor à 1
• Virtualization engine à (none)
Networks • Network adapter 1 à Custom (VMnet1)

• Network adapter 2 à Custom (VMnet2)
1.2.2 Configuration du routeur CORE101.KRJ.LAB
1. configure
2. set interfaces ethernet eth0 address 1.0.0.1/29
5. set service ssh
6. set system host-name CORE101
7. set system domain-name KRJ.LAB
8. set interfaces ethernet eth0 description "Zone core network router"
9. set interfaces ethernet eth1 description "Zone KRJ infrastructure"
10. set interfaces ethernet eth2 description "Zone KRJ virtual delivery agent"
11. set system name-server 10.1.1.2
13. set service dns forwarding listen-on eth1
15. set service dns forwarding name-server 192.168.1.105
16. set service dns forwarding cache-size 1000
17. set service dhcp-relay interface eth1
19. set service dhcp-relay server 10.1.1.2
20. set service dhcp-relay relay-options relay-agents-packets discard
21. set system gateway-address 1.0.0.3
22. set protocols static route 10.2.0.0/16 next-hop 1.0.0.2
24. commit
25. save
1.2.3 Déploiement de la machine virtuelle CORE102.KRJ.LAB
Tableau 4. Paramètres de configuration de la machine virtuelle CORE102.KRJ.LAB
VMware Workstation folder FAS Proof of Concept à KRJ à Core Networks
Name of the virtual machine CORE102.KRJ.LAB
Storage path for the new D:\VM(s)\CORE102.KRJ.LAB

virtual machine
Memory 256 MB


1.2.4 Configuration du routeur CORE102.KRJ.LAB
1. configure
6. set service ssh
8. set system domain-name KRJ.LAB
10. set interfaces ethernet eth1 description "Zone MGEN infrastructure"
11. set interfaces ethernet eth2 description "Zone MUTSVC-KRJ infrastructure"
12. set interfaces ethernet eth3 description "Zone MUTSVC-KRJ end user device"
25. commit
26. save
1.3 Cœur de réseaux HARMONIE
1.3.1 Déploiement de la machine virtuelle CORE401.HARMONIE.LAB
Tableau 5. Paramètres de configuration de la machine virtuelle CORE401.HARMONIE.LAB
VMware Workstation folder FAS Proof of Concept à HARMONIE à Core Networks
Name of the virtual machine CORE401.HARMONIE.LAB
Storage path for the new D:\VM(s)\ CORE401.HARMONIE.LAB

virtual machine
Memory 256 MB


1.3.2 Configuration du routeur CORE401.MGEN.LAB
1. configure
5. set service ssh
7. set system domain-name HARMONIE.LAB
9. set interfaces ethernet eth1 description "Zone HARMONIE infrastructure"
10. set interfaces ethernet eth2 description "Zone HARMONIE end user device"
22. commit
23. save
2. Zone KRJ infrastructure

2.1 Configuration de la machine virtuelle AD101.KRJ.LAB
2.1.1 Déploiement de la machine virtuelle
Tableau 6. Paramètres de configuration de la machine virtuelle AD101.KRJ.LAB
VMware Workstation folder FAS Proof of Concept à KRJ à Infrastructure
Operating System Windows Server 2016 x64 en_US
Name of the virtual machine AD101.KRJ.LAB
Storage path for the new D:\VM(s)\AD101.KRJ.LAB

virtual machine
Memory 2048 MB

Networks • Network adapter à Custom (VMnet2)

2.1.2 Configuration post-déploiement basique
Tableau 7. Paramètres de configuration post-déploiement du serveur AD101.KRJ.LAB
Computer name « AD101 »
Windows Firewall • Private network settings à Turn Off Windows Firewall

• Public network settings à Turn Off Windows Firewall
• Domain network settings à Turn Off Windows Firewall
Remote management Enable remote management of this server from other computers
Remote Desktop Allow remote connections to this computer (Allow connections only from
computers running Remote Desktop with NLA)
Ethernet0 • Internet Protocol Version 4 (TCP/IPv4) :

o IP address à « 10.1.1.2 »
o Subnet mask à « 255.255.255.0 »
o Default gateway à « 10.1.1.1 »
o DNS 1 à « 127.0.0.1 »
o Internet Protocol Version 6 (TCP/IPv6) à Disabled
Windows Defender • Real-time protection à Off

• Cloud-based protection à Off
• Automatic sample submission à Off
• Enhanced notifications à Off
Feedback & Diagnostics • Feedback frequency à Off

• Diagnostic and usage data à Basic
IE Enhanced Security • Administrators à Off

Configuration
• Users à Off
2.1.3 Installation des rôles et fonctionnalités
Tableau 8. Rôles et fonctionnalités installés sur le serveur AD101.KRJ.LAB
Valeur(s)
• Active Directory Domain Services :

o [Tools] Group Policy Management
o Remote Server Administration Tools à Role Administration Tools à AD DS and AD LDS Tools :
§ Active Directory Module for Windows PowerShell
§ AD DS Tools :
• [Tools] Active Directory Administrative Center
• [Tools] AD DS Snap-Ins and Command-Line Tools
• DNS Server :
o Remote Server Administration Tools :
§ [Tools] DNS Server Tools
• DHCP Server :
§ [Tools] DHCP Server Tools
• File and Storage Services à File and iSCSI Services à File Server :
• File and Storage Services à File and iSCSI Services à DFS Namespaces :
§ File Services Tools :
• [Tools] DFS Management Tools
• File and Storage Services à File and iSCSI Services à DFS Replication
• Telnet Client
2.1.4 Configuration du domaine racine de forêt KRJ.LAB
2.1.4.1 Création du domaine racine de forêt
Tableau 9. Paramètres de l’assistant Active Directory Domain Services Configuration Wizard
Deployment Configuration • Select the deployment configuration à Add a new forest

• Root domain name à « KRJ.LAB »
Domain Controller Options • Forest functional level à Windows Server 2016

• Domain functional level à Windows Server 2016
• Specify domain controller capabilities :
o Domain Name System (DNS) server
o Global Catalog (GC)
• Type the Directory Services Restore Mode (DSRM) password à
« P@ssw0rdP@ssw0rd »
Additional Options • The NetBIOS Domain Name à « KRJ »
Path • Database folder à « C:\Windows\NTDS »

• Log files folder à « C:\Windows\NTDS »
• Syslog folder à « C:\Windows\SYSVOL »
2.1.4.2 Services et sites Active Directory
Tableau 10. Paramètres de configuration des services et sites Active Directory KRJ.LAB
Active Directory Sites and Services • Rename « Default-First-Site-Name » à

[AD101.KRJ.LAB] à Sites à « KRJ_INFRASTRUCTURE »
Default-First-Site-Name
Active Directory Sites and Services • Change schedule à « Four time per hour, 24/24, 7/7 »
[AD101.KRJ.LAB] à Sites à
KRJ_INFRASTRUCTURE à NTDS • Enable Universal Group Membership cashing à Enabled, «
Site Settings CN=KRJ_INFRASTRUCTURE »
Active Directory Sites and Services • New Subnet :

[AD101.KRJ.LAB] à Sites à
Subnets o Prefix à 1.0.0.0/29
o Select a site object for this prefix à
KRJ_INFRASTRUCTURE
• New Subnet :
o Prefix à 10.1.1.0/24
KRJ_INFRASTRUCTURE
• New Subnet :
o Prefix à 10.1.2.0/24
KRJ_INFRASTRUCTURE
• New Subnet :
o Prefix à 192.168.101.0/24
KRJ_INFRASTRUCTURE
Active Directory Sites and Services • Rename « DEFAULTIPSITELINK » à « KRJ_SITE_LINK »

[AD101.KRJ.LAB] à Sites à Inter-
Site Transports à IP à • Cost à « 100 »
DEFAULTIPSITELINK • Replicate every à « 15 minutes »
• Change schedule à « 24/24, 7/7 »
2.1.4.3 Structure des unites d’organisation
Tableau 11. Paramètres des unités d’organisation du domaine KRJ.LAB
Valeur(s)
• KRJ.LAB à
o _USERS à
§ ADMIN ACCOUNTS
§ USER ACCOUNTS
§ SERVICE ACCOUNTS
o _SERVERS à
o _GROUPS à
§ ADMIN GROUPS
§ USER GROUPS
o _CITRIX à
§ BUILD
§ DQ à
• INFRASTRUCTURE à
o DELIVERY CONTROLLER
o STOREFRONT
o FEDERATED AUTHENTICATION SERVICES
• VDA à
o SBC à
§ W2K16 à
• CATALOG 1
o VDI à
§ W10 à
• CATALOG 2
• SECURITY GROUPS
2.1.4.4 Groupes de sécurité pré-déploiement de FAS
Tableau 12. Liste des groupes de sécurité d’administration
Global Groups • ADMIN GROUPS :

o KRJ\GG-S-Administrators KRJ
o KRJ\GG-S-Service Accounts
o KRJ\GG-S-Citrix XenDesktop Admins
o KRJ\GG-S-Citrix Infrastructure Servers
Local Domain Groups • ADMIN GROUPS :

o KRJ\DL-S-Direct Access Users
o KRJ\DL-S-Remote Desktop Users
o KRJ\DL-S-Selective Authentication
• SECURITY GROUPS :
o KRJ\DL-S-CTX-Delivery Group 1 Users
o KRJ\DL-S-CTX-Application Group HARMONIE
o KRJ\DL-S-CTX-Application Group MGEN
o KRJ\DL-S-CTX-Application Group MAEE
2.1.4.5 Stratégies de groupe appliquées
Tableau 13. Liste des stratégies de groupe appliquées aux OUs KRJ.LAB
OU(s) Stratégie(s)
KRJ.LAB 1. Default Domain Policy

2. SEC-Configuration des autorités CA-1.0
3. SEC-Protection LOCKY-1.0
BUILD 1. CTX-Groupes restreints-1.0
INFRASTRUCTURE 1. SRV-Configuration des membres KRJ-1.0
VDA 2. CTX-Assistance à distance commune-1.0

3. CTX-Configuration de Citrix Receiver-1.0
4. CTX-Configuration de sécurité-1.0
5. CTX-Enregistrement des VDAs-1.0
6. CTX-Groupes restreints-1.0
1. USR-Configuration Internet Explorer-1.0
7. CTX-LOOPBACK-1.0
SBC 1. CTX-Hôtes de session bureau à distance-1.0
_USERS 1. USR-Configuration de BGInfo-1.0

2. USR-SEC-Désactivation de la vérification des CRLs-1.0
Domain Controllers 1. DC-Configuration des paramètres réseaux-1.0

2. DC-Configuration du service de temps PDC-1.0 à Filtre WMI « DC
PDC »
3. DC-Configuration du service de temps-1.0 à Filtre WMI « DC non-
PDC »
4. Default Domain Controller Policy
2.1.5 Configuration du service DNS
2.1.5.1 Configuration des paramètres génériques
Tableau 14. Configuration des paramètres génériques du serveur DNS AD101.KRJ.LAB
Interfaces • Listen on :
o Only the following IP addresses à 10.1.1.2
Forwarders • 192.168.1.105
• Use root hints if no forwarders are available à No
Advanced • Enable round robin à No

• Enable automatic scavenging of stale records à 7 days
Root Hints (Remove all servers)

2.1.5.2 Configuration de la zone de recherche directe KRJ.LAB
Tableau 15. Configuration de la zone DNS de recherche directe KRJ.LAB
General à Aging • Scavenge stale resource records à Yes :

o No-refresh interval à 7 days
o Refresh interval à 7 days
Start of Authority (SOA) • Refresh interval à 5 minutes

• Retry interval à 1 minute
• Expiry after à 1 day
• Minimum (default) TTL à 5 minutes
• TTL for this record à « 00:01:00:00 »
2.1.5.3 Configuration de la zone de recherche directe DMZ.KRJ.LAB
Tableau 16. Création de la zone DNS de recherche directe DMZ.KRJ.LAB
Zone Type • Select the type of zone you want to create :

o Primary zone
o Store the zone in Active Directory (available only if DNS server
is a writeable domain controller)
Active Directory Zone • Select how you want zone data replicated :
Replication Scope
o To all domain controllers in this domain : KRJ.LAB
Zone Name • Zone Name à « DMZ.KRJ.LAB »
Dynamic Update • Select the type of dynamic updates you want to allow :
o Do not allow dynamic updates
Tableau 17. Configuration de la zone DNS de recherche directe DMZ.KRJ.LAB

2.1.5.4 Configuration de la zone de recherche directe

SECURE.DONOTUSE.EU
Tableau 18. Création de la zone DNS de recherche directe SECURE.DONOTUSE.EU

o Primary zone
Replication Scope
Zone Name • Zone Name à « SECURE.DONOTUSE.EU »
Tableau 19. Configuration de la zone DNS de recherche directe SECURE.DONOTUSE.EU

2.1.5.5 Configuration de la zone de recherche inversée 10.1.1.0
Tableau 20. Création de la zone DNS de recherche inversée 10.1.1.0

o Primary zone
Replication Scope
Reverse Lookup Zone Name • Choose whether you want to create a reverse lookup zone for IPV4
addresses or IPV6 addresses :
o IPV4 Reverse Lookup Zone
• Network ID à « 10.1.1 »
o Allow only secure dynamic updates (recommended for Active
Directory)
Tableau 21. Configuration de la zone DNS de recherche inversée 10.1.1.0



o Primary zone
Replication Scope
Directory)



o Primary zone
Replication Scope
• Network ID à « 192.168.101 »

2.1.6 Configuration du service DHCP
Tableau 26. Assistant DHCP Post-Install configuration wizard
Authorization • Use the following user’s credentials à « KRJ\Administrators »
2.1.6.2 Configuration du scope DHCP IPV4 10.1.2.0/24
Tableau 27. Configuration du scope DHCP IPV4 10.1.2.0/24
Scope Name • Name à « 10.1.2.0/24 »

• Description à (none)
IP Address Range • Start IP Address à « 10.1.2.10 »

• End IP Address à « 10.1.2.250 »
• Length à « 24 »
• Subnet à « 255.255.255.0 »
Add Exclusions and Delay (none)
Lease Duration • Limited to à « 0 days, 1 hour, 0 minutes »
Configure DHCP Options • Do you want to configure these options now à Yes, I want to configure
these options now
Router (Default Gateway) • IP address à « 10.1.2.1 »
Domain Name and DNS • Parent domain à « KRJ.LAB »

Servers
• IP address à « 10.1.1.2 »
WINS Servers (none)
Activate Scope • Do you want to active this scope now ? à Yes, I want to activate this
scope now
2.1.7 Configuration des partages et du service DFS-N
2.1.7.1 Création de l’espace de nom MISC
Tableau 28. Création et configuration de l’espace de nom « MISC »
Namespace Server • Server à « AD101 »
Namespace Name and • Name à « MISC »

Settings
• Edit Settings :
o Namespace server à « AD101 »
o Shared folder à « MISC »
o Shared folder permissions à Use custom permissions :
§ Everyone à Allow read
§ KRJ\Enterprise Admins à Allow full control
§ KRJ\Domain Admins à Allow full control
Namespace Type • Select the type of namespace to create à Domain-based namespace

• Enable Windows Server 2008 mode à Yes
2.1.7.2 Création de l’espace de nom USERDATA
Tableau 29. Création et configuration de l’espace de nom « USERDATA »
Namespace Name and • Name à « USERDATA »

Settings
• Edit Settings :
o Shared folder à « USERDATA »
o Shared folder permissions à All users have read and write
permissions

Tableau 30. Configuration du partage et permissions NTFS du répertoire « USERDATA »
C:\DFSRoot\USERDATA • Security à Advanced :

o Permissions :
§ Disable inheritance
§ Remove all inherited permissions from this object
o Permissions (Add) :
§ Select a principal à « Authenticated Users »
§ Applies to à This folder only
§ Basic permissions à Read & Execute + List folder
contents + Read
§ Select a principal à « CREATOR OWNER »
§ Applies to à This folder, subfolders and files
§ Basic permissions à Full control
§ Select a principal à « KRJ\Domain Admins »
§ Select a principal à « KRJ\Enterprise Admins »
§ Select a principal à « SYSTEM »
2.1.7.3 Création de l’espace de nom HOMEDRIVE
Tableau 31. Création et configuration de l’espace de nom « HOMEDRIVE »
Namespace Name and • Name à « HOMEDRIVE »

Settings
• Edit Settings :
o Shared folder à « HOMEDRIVE »
o Shared folder permissions à All users have read and write
permissions

Tableau 32. Configuration du partage et permissions NTFS du répertoire « HOMEDRIVE »
C:\DFSRoot\USERDATA • Security à Advanced :

o Permissions :
§ Disable inheritance
§ Remove all inherited permissions from this object
§ Select a principal à « Authenticated Users »
§ Applies to à This folder only
§ Basic permissions à Read & Execute + List folder
contents + Read
§ Select a principal à « CREATOR OWNER »
§ Select a principal à « KRJ\Domain Admins »
§ Select a principal à « KRJ\Enterprise Admins »
§ Select a principal à « SYSTEM »
2.2 Configuration de la machine virtuelle VDA101.KRJ.LAB
Tableau 33. Paramètres de configuration de la machine virtuelle VDA101.KRJ.LAB
Name of the virtual machine VDA101.KRJ.LAB
Storage path for the new C:\VM(s)\VDA101.KRJ.LAB

virtual machine
CD/DVD (SATA) • Device status à Connected + Connected at power on

• Connection :
o Use ISO image à « C:\Users\Administrator\Downloads\Citrix
Virtual Apps and Desktops 7 1912.iso »
Memory 2048 MB

Networks • Network adapter à Custom (Vmnet3)

Computer name « VDA101 »
Member of o Domain à « KRJ.LAB »
OU Active Directory KRJ.LAB à _CITRIX à DQ à VDA à SBC à W2K16 à CATALOG 1

Ethernet0 • Internet Protocol Version 4 (TCP/Ipv4) :

o DHCP
• Internet Protocol Version 6 (TCP/Ipv6) à Disabled



Configuration
• Users à Off
Tableau 35. Rôles et fonctionnalités installés sur le serveur VDA101.KRJ.LAB
Valeur(s)
• Remote Assistance
• Remote Desktop Services :

o Remote Desktop Session Host :
§ Remote Server Administration Tools :
• Role Administration Tools :
o Remote Desktop Services Tools :
§ [Tools] Remote Desktop Licensing Diagnoser Tools
• Telnet Client
2.2.4 Installation de l’agent VDA server OS 7.19.12
Tableau 36. Paramètres d’installation de l’agent VDA server OS 7.19.12 sur le serveur VDA101.KRJ.LAB
Environment • I want to à Enable Brokered Connections to a Server
Core Components • Core Components :

o Virtual Delivery Agent
o Citrix Workspace App
Additional Components • Component :

o Citrix Supportability Tools
o Citrix User Profile Manager
o Citrix User Profile Manager WMI Plugin
Delivery Controller • How do you want to enter the locations of your Delivery Controller ? :
o Do it later (advanced)
Features • Features :
o Use Windows Remote Assistance
o Use Real-Time Audio Transport for audio
Firewall • Configure firewall rules à Automatically
Diagnostics • Collect diagnostic information à No

2.2.5 Applications métiers déployées sur le serveur
Tableau 37. Liste des applications métiers déployées sur le serveur VDA101.KRJ.LAB
Éditeur(s) Application(s) Version(s)
IGOR PAVLOV 7-Zip 19.00 (x64) 19.00
CITRIX Citrix Virtual Apps and Desktops 7 1912 LTSR – 1912.0.0.24265

Virtual Delivery Agent
CITRIX Citrix Workspace 1911 19.11.0.50
GOOGLE LLC Google Chrome 77.0.3865.120
THE DOCUMENT FOUNDATION LibreOffice 6.3.2.2 6.3.2.2
MOZILLA Mozilla Firefox 68.1.0 ESR (x64) 68.1.0
NEXT GENERATION SOFTWARE mRemoteNG 1.76.20.24615
NOTEPAD++ TEAM Notepad++ (64-bit x64) 7.8
SIMON TATHAM PuTTY release 0.73 (64-bit) 0.73.0.0
MICROSOFT CORPORATION Remote Desktop Connection Manager 2.7.14060

2.3 Configuration de la machine virtuelle XD101.KRJ.LAB
Tableau 38. Paramètres de configuration de la machine virtuelle XD101.KRJ.LAB
Name of the virtual machine XD101.KRJ.LAB
Storage path for the new C:\VM(s)\XD101.KRJ.LAB

virtual machine

• Connection :
Memory 6144 MB


Computer name « XD101 »
OU Active Directory KRJ.LAB à _CITRIX à DQ à INFRASTRUCTURE à DELIVERY

CONTROLLER


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 10.1.1.2 »



Configuration
• Users à Off
Tableau 40. Rôles et fonctionnalités installés sur le serveur XD101.KRJ.LAB
Valeur(s)
• Web Server (IIS) :

o Web Server :
§ Common HTTP features :
• Default Document
• Directory Browsing
• HTTP Errors
• Static Content
• HTTP Redirection
§ Health and Diagnostics :
• HTTP Logging
• Logging Tools
• Tracing
§ Performance :
• Static Content Compression
• Dynamic Content Compression
§ Security :
• Request Filtering
• Basic Authentication
• Windows Authentication
§ Application Development :
• .NET Extensibility 4.6
• ASP
• ASP.NET 4.6
• CGI
• ISAPI Extensions
• ISAP Filters
• Server side Includes
o Management Tools :
§ [Tools] IIS Management Console
§ IIS 6 Management Console :
• IIS 6 Metabase Compatibility
• IIS 6 Scripting Tools
• IIS 6 WMI Compatibility
§ [Tools] IIS Management Script and Tools
Valeur(s)
• .NET Framework 4.6 Features :

o ASP .NET 4.6
o WCF Services :
§ HTTP Activation
§ TCP Port Sharing
• Windows Process Activation Service :

o Process Model
o Configuration APIs
• Remote Assistance
• Remote Desktop Services :

o Remote Desktop Licensing :
§ Remote Server Administration Tools :
• Role Administration Tools :
o Remote Desktop Services Tools :
§ [Tools] Remote Desktop Licensing Tools
• Telnet Client
2.3.4 Configuration du serveur de licence RDS
Tableau 41. Paramètres du service licence RDS sur le serveur XD101.KRJ.LAB
Review configuration • The license server is not a member of Terminal Server License Servers
à Add to group
2.3.5 Installation du composant Citrix Delivery Controller 7.19.12
Tableau 42. Paramètres du service Delivery Controller sur le serveur XD101.KRJ.LAB
Licensing Agreement • Software License Agreement à I have read, understand, and accept
the terms of the license agreement

o Delivery Controller
o Studio
o License Server
Features • Features :
o Install Microsoft SQL Server 2017 Express CU16

2.3.6 Configuration du site XenDesktop 7.19.12
2.3.6.1 Création du site POCFASBQ01
Tableau 43. Paramètres de configuration du site POCFASBQ01
Welcome to Citrix Studio • Deliver applications and desktops to your users
Introduction • What kind of site do you want to create ? :

o An empty, unconfigured site
o Site name à « POCFASBQ01 »
Database • Create and setup database from Studio

• Provide database details :
o Site :
§ Database name à « POCFASBQ01Site »
§ Location à « localhost\sqlexpress »
o Monitoring :
§ Database name à « POCFASBQ01Monitoring »
o Logging :
§ Database name à « POCFASBQ01Logging »
Licensing • License server address à « localhost:27000 »

• I want to à Use free 30-day trial
2.3.6.2 Configuration de la zone « DATACENTER KRJ »
Tableau 44. Paramètres de configuration de la zone DATACENTER KRJ
Zones à Name and • Zone name à « DATACENTER KRJ »

Description
2.3.6.3 Configuration des administrateurs
Tableau 45. Paramètres de configuration des administrateurs
Administrators à Create • Administrator and Scope :

Administrator
o Select an administrator à « KRJ\GG-S-Citrix XenDesktop
Admins »
o Scope name à All (all objects)
• Select a role à Full Administrator
Administrators • « KRJ\Administrator » à Delete Administrator

2.3.6.4 Création et configuration des stratégies FMA
Tableau 46. Liste des stratégies FMA appliquées au site XenDesktop
Stratégie(s)
1. Hosted VDI & SBC baseline policy – Enable client USB redirection
2. Hosted VDI & SBC baseline policy – Enable client drive and printer redirection for external users
3. Hosted VDI & SBC baseline policy – H.264 enhanced SuperCodec graphic mode
4. Hosted VDI & SBC baseline policy – Disable DCR & Framehawk graphic modes
5. Hosted VDI & SBC baseline policy – Printing settings for internal users
6. Hosted VDI & SBC baseline policy – Enable HDX Flash Redirection
7. Hosted VDI & SBC baseline policy – Enable Audio over UDP and HDX Adaptive Transport
8. Hosted VDI & SBC baseline policy – Session Reliability and Auto Reconnect settings
9. Hosted VDI & SBC baseline policy – ICA & HDX monitoring settings
10. Hosted VDI & SBC baseline policy – Security & Client device redirection settings
11. Unfiltered (disabled)
2.3.6.5 Création du catalogue CATALOG 1
Tableau 47. Paramètres de configuration du catalogue CATALOG 1
Operating System • Select an operating system for this Machine Catalog :

o Multi-session OS
Machine Management • This Machine Catalog will use :

o Machines that are not power managed (for example,
physical machines)
• Deploy machine using :
o Another service or technology
Machines • Computer AD accounts :

o « KRJ\VDA101 »
• Select the minimum functional level for this catalog à 7.9 (or newer)
Summary • Machine Catalog name à « CATALOG 1 »

• Machine Catalog description for administrators à (none)
2.3.6.6 Création du groupe de mise à disposition DELIVERY GROUP 1
Tableau 48. Paramètres de configuration du groupe de mise à disposition DELIVERY GROUP 1
Machines • Select a Machine Catalog à CATALOG 1 :

o Choose the number of machines for this Delivery Group à
«1»
Users • Users à Restrict use of this Delivery Group to the following users :
o KRJ\DL-S-CTX-Delivery Group 1 Users
Desktops à Add • Display name à « PUBLISHED DESKTOP »

• Allow everyone with access to this Delivery Group to use a desktop
à Yes
• Enable desktop à Yes
Summary • Delivery Group name à « DELIVERY GROUP 1 »

• Delivery Group description, used as a label in Workspace App à
(none)
2.3.6.7 Création du groupe d’applications APP GROUP HARMONIE
Tableau 49. Paramètres de configuration du groupe d’application APP GROUP HARMONIE
Delivery Groups • Restrict launch to machines with tag à No

• Name :
o DELIVERY GROUP 1
Users • Restrict use of applications in this Application Group to the following

users :
o KRJ\DL-S-CTX-Application Group HARMONIE
Applications • Applications :
o Google Chrome
o Notepad++
• Place the new applications in folder à Applications\HARMONIE\
Summary • Application Group name à « APP GROUP HARMONIE »

2.3.6.8 Création du groupe d’applications APP GROUP MGEN
Tableau 50. Paramètres de configuration du groupe d’application APP GROUP MGEN

• Name :
o DELIVERY GROUP 1

users :
o KRJ\DL-S-CTX-Application Group MGEN
o Firefox
o LibreOffice Calc
o LibreOffice Writer
o Notepad++
• Place the new applications in folder à Applications\MGEN\
Summary • Application Group name à « APP GROUP MGEN »

2.3.6.9 Création du groupe d’applications APP GROUP MAEE
Tableau 51. Paramètres de configuration du groupe d’application APP GROUP MAEE

• Name :
o DELIVERY GROUP 1

users :
o KRJ\DL-S-CTX-Application Group MAEE
o LibreOffice Base
o LibreOffice Calc
o LibreOffice Draw
o LibreOffice Impress
o LibreOffice Math
o LibreOffice Writer
• Place the new applications in folder à Applications\MAEE\
Summary • Application Group name à « APP GROUP MAEE »

2.3.7 Installation du composant Citrix Director 1912
Tableau 52. Paramètres du service Delivery Controller sur le serveur XD101.KRJ.LAB

o Director
Delivery Controller • Configuration :

o Controller address à « XD101.KRJ.LAB »
2.3.7.1 Configuration avancée des paramètres IIS
Tableau 53. Paramètres de configuration avancés du site IIS
XD101 à Sites à Default • Modify :

Web Site à Director à
Application Settings o UI.EnableSSLCheck à « false »
o Connector.ActiveDirectory.Domains à «
(user),(server),MGEN.LAB,MUTSVC-KRJ.LAB »
2.4 Configuration de la machine virtuelle SF101.KRJ.LAB
Tableau 54. Paramètres de configuration de la machine virtuelle XD101.KRJ.LAB
Name of the virtual machine SF101.KRJ.LAB
Storage path for the new D:\VM(s)\SF101.KRJ.LAB

virtual machine

• Connection :
Memory 3072 MB


Tableau 55. Paramètres de configuration post-déploiement du serveur SF101.KRJ.LAB
Computer name « SF101 »
OU Active Directory KRJ.LAB à _CITRIX à DQ à INFRASTRUCTURE à STOREFRONT


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 10.1.1.2 »



Configuration
• Users à Off
Valeur(s)

o Web Server :
• HTTP Errors
• Static Content
• HTTP Logging
• Logging Tools
• Tracing
§ Performance :
• Dynamic Content Compression
§ Security :
• Basic Authentication
• .NET Extensibility 4.6
• ASP
• ASP.NET 4.6
• CGI
• ISAP Filters
• Server side Includes
• IIS 6 Scripting Tools
• IIS 6 WMI Compatibility
§ [Tools] IIS Management Script and Tools
Valeur(s)
• .NET Framework 4.6 Features :

o ASP .NET 4.6
o WCF Services :
§ HTTP Activation
§ TCP Port Sharing
• Windows Process Activation Service :

o Process Model
o Configuration APIs
• Telnet Client
2.4.4 Création du certificat de sécurité SSL
Tableau 57. Paramètres de création de la demande de certificat pour le serveur SF101.KRJ.LAB
Certificate (Local • Select Certificate Enrollment Policy à Proceed without enrollment policy
Computer) à
Personal à All Tasks • Custom Request :
à Advanced o Template à Web Server
Operations à Create
Custom Request… o Request format à PCKS#10
• Certificate Information à Properties :
o General :
§ Friendly Name à SF101.KRJ.LAB
o Subject :
§ Common name à « sf101.krj.lab »
§ Country à « FR »
§ Locality à « NICE »
§ Organization à « KRJ INFRASTRUCTURE »
§ Organization Unit à « DSI »
§ State à « ALPES MARITIMES »
§ SAN/DNS 1 à « sf101.krj.lab »
§ SAN/DNS 2 à « sf101 »
o Private key :
§ Key options :
• Key size à 2048
• Make private key exportable à Yes
2.4.5 Liaison du certificat SSL au site IIS par défaut
Tableau 58. Paramètres de liaison du certificat au serveur SF101.KRJ.LAB
IIS Manager à • Type à https

SF101 à Sites à
Default Web Site à • IP address à All Unassigned
Bindings… à Add • Port à 443
• SSL certificate à SF101.KRJ.LAB
2.4.6 Installation du composant Citrix StoreFront 7.19.12
Tableau 59. Paramètres du service Delivery Controller sur le serveur SF101.KRJ.LAB

o StoreFront

2.4.6.1 Création du déploiement par défaut
Tableau 60. Paramètres de configuration du déploiement StoreFront
Base URL • Enter a Base URL :

o Base URL à « https://sf101.krj.lab »
Store Name • Store name and access :

o Store name à « InStore »
Delivery Controller à Add • Add Delivery Controller :

o Display name à « POCFASBQ01 »
o Type à Citrix Virtual Apps and Desktops
o Servers à « XD101.KRJ.LAB »
o Servers are load balanced à No
o Port à « 80 » (http)
Authentication Methods • Configure Authentication Methods :

o Username and password
o Domain pass-through
XenApp Services URL • Configure XenApp Services URL :

o Enable XenApp Services URL à No
2.4.6.2 Optimisation des paramètres globaux de StoreFront
Tableau 61. Paramètres de configuration avancés de StoreFront
Citrix StoreFront à Stores à • Manage Beacons :

Manage Beacons
o Internal beacon à Use the service URL
o External beacons à « https://www.microsoft.com » + «
https://www.citrix.com »
Citrix StoreFront à Stores à • Set Default Website :

Set Default Website
o Set a receiver for web site as the default page within the IIS
site à Yes
o Store à « InStore »
o Receiver for Web Sites à « /Citrix/InStoreWeb »
2.4.6.3 Création et configuration de l’appliance Citrix Gateway
Tableau 62. Paramètres de création de l’appliance DMZ INTERNET KRJ
Citrix StoreFront à Stores à • General Settings :

Manage Citrix Gateways à
Add o Display name à « DMZ INTERNET KRJ »
o Citrix Gateway URL à « https://connect.secure.donotuse.eu »
o Usage or role à Authentication and HDX routing
• Secure Ticket Authority à Add :
o STA URL à « http://10.1.1.3/scripts/ctxsta.dll »
• Authentication Settings :
o Logon type à Domain
o Callback URL à « https://connect.secure.donotuse.eu »
2.4.6.4 Configuration du magasin interne OutStore
Tableau 63. Paramètres de configuration du magasin OutStore
Store Name • Store name and access :

o Store name à « OutStore »
Delivery Controller à Add • Add Delivery Controller :

o Display name à « POCFASBQ01 »
o Type à Citrix Virtual Apps and Desktops
o Servers à « XD101.KRJ.LAB »
o Servers are load balanced à No
o Port à « 80 » (http)
Remote Access • Remote Access :

o Enable Remote Access à yes
o Select the permitted level of access to internal resources à
Allow users to access only resources delivered through
StoreFront (No VPN tunnel)
o Citrix gateway appliances à DMZ INTERNET KRJ
o Default appliance à DMZ INTERNET KRJ
Authentication Methods • Configure Authentication Methods :

o Pass-through from Citrix Gateway
XenApp Services URL • Configure XenApp Services URL :

o Enable XenApp Services URL à No
2.5 Configuration de la machine virtuelle FAS101.KRJ.LAB
Tableau 64. Paramètres de configuration de la machine virtuelle FAS101.KRJ.LAB
Name of the virtual machine FAS101.KRJ.LAB
Storage path for the new D:\VM(s)\FAS101.KRJ.LAB

virtual machine

• Connection :
Memory 3072 MB


Tableau 65. Paramètres de configuration post-déploiement du serveur SF101.KRJ.LAB
Computer name « FAS101 »
OU Active Directory KRJ.LAB à _CITRIX à DQ à INFRASTRUCTURE à FEDERATED

AUTHENTICATION SERVICES


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 10.1.1.2 »



Configuration
• Users à Off
Valeur(s)
• Telnet Client
3. Zone KRJ DMZ

3.1 Configuration de la machine virtuelle FW101.DMZ.KRJ.LAB
Tableau 67. Paramètres de configuration de la machine virtuelle FW101.DMZ.KRJ.LAB
VMware Workstation folder FAS Proof of Concept à KRJ à DMZ
OVA template(s) pfSense Virtual Security Gateway Appliance x64 2.3.3.ova
Name of the virtual machine FW101.DMZ.KRJ.LAB
Storage path for the new D:\VM(s)\FW101.DMZ.KRJ.LAB

virtual machine
Memory 1024 MB

Networks • Network adapter 1 à Custom (Vmnet0)

• Network adapter 1 à Custom (Vmnet1)
3.1.2 Configuration post-déploiement basique 1/2 (CLI)
Tableau 68. Paramètres de configuration post-déploiement du serveur FW101.DMZ.KRJ.LAB
(1) Assign Interfaces • Should VLAN be set up now ? à « n »

• Enter the WAN interface name or ‘a’ for auto-detection à « vm0 »
• Enter the LAN interface name or ‘a’ for auto-detection à « vmx1 »
• Enter the Optional 1 interface name or ‘a’ for auto-detection à (enter)
• Do you want to proceed ? à « y »
(2) Set Interfaces IP • Enter the number of the interface you wish to configure à « 1 » (WAN)
address
• Configure Ipv4 address WAN interface via DHCP ? à « n »
• Enter the new WAN Ipv4 address à « 192.168.1.101 »
• Enter the new WAN Ipv4 subnet bit count à « 24 »
• For a WAN, enter the new WAN Ipv4 upstream gateway address à «
192.168.1.254 »
• Enter the new WAN Ipv6 address à (enter)
(2) Set Interfaces IP • Enter the number of the interface you wish to configure à « 2 » (LAN)
address
• Enter the new LAN Ipv4 address à « 1.0.0.3 »
• Enter the new LAN Ipv4 subnet bit count à « 29 »
• For a WAN, enter the new LAN Ipv4 upstream gateway address à (enter)
• Do you want to enable the DHCP server on LAN à « n »
3.1.3 Configuration post-déploiement basique 2/2 (GUI)
Tableau 69. Paramètres de configuration post-déploiement du serveur FW101.DMZ.KRJ.LAB
General Information • Hostname à « FW101 »

• Domain à « DMZ.KRJ.LAB »
• Primary DNS Server à « 192.168.1.105 »
• Override DNS à No
Time Server Information • Time server hostname à « 0.pfsense.pool.ntp.org »

• Time zone à « Europe/Paris »
Block RFC1918 Private • Block private networks from entering via WAN à No
Networks
Block bogon networks • Block non-Internet routed networks from entering via WAN à No
Set Admin WebGUI • Admin Password à « qhtd5CJP »

Password
• Admin Password AGAIN à « qhtd5CJP »
3.1.4 Configuration générale avancée
Tableau 70. Paramètres de configuration générale avancée du serveur FW101.DMZ.KRJ.LAB
System à General Setup • Do not use the DNS Forwarder/DNS Resolver as a DNS server for the
à DNS Server Settings firewall à No
System à General Setup • Top Navigation à Fixed (Remains visible at the top of page)
à webConfigurator
• Hostname in Menu à FQDN
System à Advanced à • Disable webConfigurator redirect rule à Yes

Admin Access à
webConfigurator • Enable webConfigurator login autocomplete à No
• Disable DNS Rebinding Checks à Yes
• Display page name first in browser tab à Yes
System à Advanced à • Threshold à « 10 »

Admin Access à Login
Protection • Blocktime à « 30 »
• Detection time à « 1800 »
• Whitelist à « 1.0.0.0/29 » + « 10.1.0.0/16 »
System à Advanced à • Firewall Optimization Options à Aggressive

Firewall & NAT à Firewall
Advanced • Bypass firewall rules for traffic on the same interface à Yes
• Disable all auto-added VPN rules à Yes
• Aliases Hostnames Resolve Interval à « 30 »
System à Advanced à • NAT Reflection mode for port forwards à Pure NAT
Firewall & NAT à
Network Address • Automatic creation of additional NAT redirect rules from within the internal
Translation networks à Yes
• Automatic create outbound NAT rules that direct traffic back out to the
same subnet it originated from à Yes
System à Advanced à • All Ipv6 traffic will be blocked by the firewall unless this box is checked à
Networking à Ipv6 No
Options
• Prefer to use Ipv4 even if Ipv6 is available à Yes
System à Advanced à • Disable hardware checksum offload à Yes

Networking à Network
Interfaces • Suppress ARP messages à Yes
• Reset all states if WAN IP Address changes à Yes
System à Advanced à • AC Power à Maximum

Miscellaneous à Power
Savings • Battery Power à Maximum
• Unknown Power à Maximum
System à Advanced à • Flush all states when a gateway goes down à Yes
Miscellaneous à
Gateway Monitoring
System à Advanced à • Disable SMTP Notifications à Yes

Notifications à E-Mail
System à Advanced à • Disable the startup/shutdown beep à Yes

Notifications à Sounds
System à Advanced à • Disable Growl Notifications à Yes

Notifications à Growl
3.1.5 Configuration de l’interface réseau DMZ
Tableau 71. Paramètres de configuration des interfaces du serveur FW101.DMZ.KRJ.LAB
Interfaces à OPT1 à • Enable interface à Yes

General Configuration
• Description à « DMZ »
• Ipv4 Configuration Type à Static Ipv4
• Ipv6 Configuration Type à None
Interfaces à OPT1 à • Ipv4 Address à « 192.168.101.1/24 »

Static Ipv4 Configuration
• Ipv4 Upstream gateway à None
3.1.6 Configuration des paramètres de routage (GUI)
Tableau 72. Paramètres de configuration du routage du serveur FW101.DMZ.KRJ.LAB
System à Routing à • Default gateway Ipv6 à None

Gateway à Default
gateway
System à Routing à • Disable Gateway Monitoring Action à Yes

Gateways à GW_WAN
à Edit Gateway • Monitor IP à « 31.33.166.133 »
• Description à « BBOX FAST 5330B-R1 »
System à Routing à • Interface à LAN

Gateways à Add
• Address Family à Ipv4
• Name à « GW_LAN1 »
• Gateway à « 1.0.0.1 »
• Disable Gateway Monitoring à Yes
• Description à « KRJ INFTRASTUCTURE CORE101 »

Gateways à Add
• Name à « GW_LAN2 »
• Gateway à « 1.0.0.2 »
• Description à « KRJ INFTRASTUCTURE CORE102 »
System à Routing à • Destination network à « 10.1.0.0/16 »

Static Routes à Add
• Gateway à « GW_LAN1 – 1.0.0.1 »

• Gateway à « GW_LAN2 – 1.0.0.2 »

• Gateway à « GW_LAN2 – 1.0.0.2 »
3.1.7 Configuration des objets et alias
Tableau 73. Paramètres de configuration du routage du serveur FW101.DMZ.KRJ.LAB
Type(s) Valeur(s)
IP • Name à « NSIP »
• Type à Host(s)
• IP or FQDN à « 192.168.101.2 »
IP • Name à « SNIP »
• Type à Host(s)
• IP or FQDN à « 192.168.101.3 »
IP • Name à « VIP »
• Type à Host(s)
• IP or FQDN à « 192.168.101.4 »
IP • Name à « INFRA_ad_host »
• Type à Hosts(s)
• IP or FQDN à « 10.1.1.2 » + « 10.2.1.2 » + « 10.3.1.2 »
IP • Name à « INFRA_xd_core_host »
• IP or FQDN à « 10.1.1.3 » + « 10.1.1.4 »
IP • Name à « INFRA_net »
• Type à Networks(s)
• IP or FQDN à « 1.0.0.0/29 » + « 10.1.0.0/16 » + « 10.2.0.0/16 » + « 10.3.0.0/16 »
Ports • Name à « NS_management »

• Type à Ports(s)
• IP or FQDN à « 22 » + « 80 » + « 443 »
Ports • Name à « NS_ldap_authentication »

• IP or FQDN à « 389 » + « 636 »
Ports • Name à « NS_ica_traffic »

• IP or FQDN à « 1494 » + « 2598 » + « 16500 à 16509 »
Ports • Name à « NS_web_traffic »

• IP or FQDN à « 80 » + « 443 »
3.1.8 Configuration des adresses IP virtuelles
Tableau 74. Paramètres de configuration des adresses IP virtuelles du serveur FW101.DMZ.KRJ.LAB
Firewall à Virtual IPs à • Type à IP Alias

Add
• Interface à WAN
• Addresse(s) à « 192.168.1.102/24 »
3.1.9 Configuration des règles de NAT IN/OUT
Tableau 75. Paramètres de configuration du NAT du serveur FW101.DMZ.KRJ.LAB
Firewall à NAT à 1:1 à • Interface à WAN

Add
• External subnet IP à « 192.168.1.102 »
• Internal IP :
o Type à Single host
o Address/Mask à « 192.168.101.4 »
• Destination à Any
• NAT reflection à Use system default
Firewall à NAT à • Outbound NAT mode à Manual Outbound NAT rule generation
Outbound
Firewall à NAT à • Edit Advanced Outbound NAT Entry :

Outbound à Add
o Interface à WAN
o Address Family à IPv4
o Protocol à any
o Source :
§ Network à « 10.1.2.0/24 »
o Destination :
§ any
• Translation :
o Address à Interface Address

Outbound à Add
o Interface à WAN
o Protocol à any
o Source :
§ Network à « 10.3.2.0/24 »
o Destination :
§ Network à any
• Translation :
3.1.10 Configuration des règles firewall d’ouverture
3.1.10.1 FLOATING
Tableau 76. Règles d’ouverture de flux FLOATING du serveur FW101.DMZ.KRJ.LAB
Rule 1 • Protocol à Ipv4 TCP

• Source à « * »
• Port à « * »
• Destination à « VIP »
• Port à « 443 »
3.1.10.2 LAN
Tableau 77. Règles d’ouverture de flux LAN du serveur FW101.DMZ.KRJ.LAB
Rule 1 • Protocol à Iv4 TCP

• Source à « INFRA_net »
• Port à « * »
• Destination à « NSIP »
• Port à « NS_management »
Rule 2 • Protocol à Ipv4 UDP

• Source à « INFRA_ad_host »
• Port à « * »
• Destination à « 192.168.1.105 »
• Port à « 53 »

• Source à « 10.1.1.4 »
• Port à « * »
• Port à « 8443 »

• Source à « 10.1.1.4 »
• Port à « * »
• Port à « 8443 »
3.1.10.3 DMZ
Tableau 78. Règles d’ouverture de flux DMZ du serveur FW101.DMZ.KRJ.LAB

• Source à « NSIP »
• Port à « * »
• Destination à « INFRA_ad_host »
• Port à « NS_ldap_authentication »

• Source à « SNIP »
• Port à « * »

• Port à « * »
• Destination à « INFRA_xd_core_host »
• Port à « NS_web_traffic »
Rule 4 • Protocol à Ipv4 (TCP + UDP)

• Port à « * »
• Destination à « 10.1.2.0/24 »
• Port à « NS_ica_traffic »
Rule 5 • Protocol à ICMP

• Source à « DMZ net »
• Port à « * »
• Destination à « * »
• Port à « * »
Rule 6 • Protocol à IPV4 UDP

• Port à « * »
• Destination à «INFRA_ad_host »
• Port à « 53 »
Rule 7 • Protocol à IPV4 UDP

• Port à « * »
• Destination à «INFRA_ad_host »
• Port à « 53 »
3.1.10.4 WAN
Tableau 79. Règles d’ouverture de flux WAN du serveur FW101.DMZ.KRJ.LAB

• Port à « * »
• Destination à « 192.168.1.102 »
• Port à « 443 »
3.2 Configuration de la machine virtuelle NS101.DMZ.KRJ.LAB
Tableau 80. Paramètres de configuration de la machine virtuelle NS101.DMZ.KRJ.LAB
Name of the virtual machine NS101.DMZ.KRJ.LAB
Storage path for the new C:\VM(s)\NS101.DMZ.KRJ.LAB

virtual machine
Memory 2048 MB


3.2.2 Configuration complète post-déploiement (SSH)
Tableau 81. Paramètres de configuration post-déploiement du serveur NS101.DMZ.KRJ.LAB
1. add ns ip 192.168.101.3 255.255.255.0 -vServer DISABLED

2. enable ns feature WL SP CS CMP SSL SSLVPN CH
3. add ssl certKey connect-secure-donotuse-eu -cert CONNECT-SECURE-DONOTUSE-EU.cer -key
CONNECT-SECURE-DONOTUSE-EU.key -passcrypt
a51d9776433034901f20c343b210d12ddbc7ca44d093bc3efb2a8cae4fa03dea4deecb1f5e482f3e4625332b2d6f
49b8 -encrypted -encryptmethod ENCMTHD_3
4. add ssl certKey donotuse-root-ca -cert DONOTUSE-ROOT-CA.cer
5. link ssl certKey connect-secure-donotuse-eu donotuse-root-ca
6. add authentication ldapAction SRV_LDAP_ActiveDirectory_MGEN_LDAP -serverIP 10.2.1.2 -
ldapBase "DC=MGEN,DC=LAB" -ldapBindDn administrator@mgen.lab -ldapBindDnPassword
c9896b41a61644f281d699c6a8a1c98ff6c270a28740929c006341b655dcab09 -encrypted -encryptmethod
ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -
ssoNameAttribute userPrincipalName
7. add authentication ldapAction SRV_LDAP_ActiveDirectory_MUTSVC_LDAP -serverIP 10.3.1.2 -
ldapBase "DC=MUTSVC-KRJ,DC=LAB" -ldapBindDn administrator@mutsvc-krj.lab -ldapBindDnPassword
a2f7d9a76c909fd1795eee2e067f1032692e680305e891492700dbd992c9179c -encrypted -encryptmethod
ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -
ssoNameAttribute userPrincipalName
8. add authentication ldapPolicy PL_SRV_LDAP_ActiveDirectory_MGEN_LDAP ns_true
SRV_LDAP_ActiveDirectory_MGEN_LDAP
9. add authentication ldapPolicy PL_SRV_LDAP_ActiveDirectory_MUTSVC_LDAP ns_true
SRV_LDAP_ActiveDirectory_MUTSVC_LDAP
10. add vpn vserver VS_ICA_connect_secure_donotuse_eu_443 SSL 192.168.101.4 443 -
icaProxySessionMigration ON -loginOnce ON -downStateFlush DISABLED -Listenpolicy NONE -
tcpProfileName nstcp_default_XA_XD_profile
11. add dns nameServer 10.1.1.2
12. add dns nameServer 192.168.1.105
13. add dns suffix krj.lab
14. add dns suffix mutsvc-krj.lab
15. add dns suffix mgen.lab
16. add vpn sessionAction PRF_Std_StoreFront_Web -transparentInterception ON -
defaultAuthorizationAction ALLOW -SSO ON -ssoCredential PRIMARY -icaProxy ON -wihome
"https://sf101.krj.lab/citrix/outstoreweb" -clientlessVpnMode ON -WindowsPluginUpgrade Never
-MacPluginUpgrade Never -LinuxPluginUpgrade Never
17. add vpn sessionAction PRF_Std_StoreFront_SelfService -transparentInterception OFF -
"https://sf101.krj.lab" -clientlessVpnMode ON -storefronturl "https://sf101.krj.lab" -
WindowsPluginUpgrade Never -MacPluginUpgrade Never -LinuxPluginUpgrade Never
18. add vpn sessionPolicy PL_PRF_Std_StoreFront_Web "REQ.HTTP.HEADER User-Agent NOTCONTAINS
CitrixReceiver" PRF_Std_StoreFront_Web
19. add vpn sessionPolicy PL_PRF_Std_StoreFront_SelfService "REQ.HTTP.HEADER User-Agent CONTAINS
CitrixReceiver" PRF_Std_StoreFront_SelfService
20. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -staServer
"http://10.1.1.3/scripts/ctxsta.dll"
21. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -portaltheme RfWebUI
22. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy
PL_SRV_LDAP_ActiveDirectory_MGEN_LDAP -priority 100
PL_SRV_LDAP_ActiveDirectory_MUTSVC_LDAP -priority 110
24. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy PL_PRF_Std_StoreFront_Web -
priority 100
PL_PRF_Std_StoreFront_SelfService -priority 110
26. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _cacheTCVPNStaticObjects -
priority 10 -gotoPriorityExpression END -type REQUEST
27. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _cacheOCVPNStaticObjects -
28. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _cacheVPNStaticObjects -
29. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _mayNoCacheReq -priority 40 -
gotoPriorityExpression END -type REQUEST
30. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _cacheWFStaticObjects -
priority 10 -gotoPriorityExpression END -type RESPONSE
31. bind vpn vserver VS_ICA_connect_secure_donotuse_eu_443 -policy _noCacheRest -priority 20 -
gotoPriorityExpression END -type RESPONSE
32. bind ssl vserver VS_ICA_connect_secure_donotuse_eu_443 -certkeyName connect-secure-donotuse-
eu
33. bind ssl vserver VS_ICA_connect_secure_donotuse_eu_443 -certkeyName donotuse-root-ca -CA -

ocspCheck Optional
34. bind ssl vserver VS_ICA_connect_secure_donotuse_eu_443 -eccCurveName P_256
4. Zone MGEN infrastructure

4.1 Configuration de la machine virtuelle AD201.MGEN.LAB
Tableau 82. Paramètres de configuration de la machine virtuelle AD201.MGEN.LAB
VMware Workstation folder FAS Proof of Concept à MGEN à Infrastructure
Name of the virtual machine AD201.MGEN.LAB
Storage path for the new D:\VM(s)\AD201.MGEN.LAB

virtual machine
Memory 2048 MB


Tableau 83. Paramètres de configuration post-déploiement du serveur AD201.MGEN.LAB


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 127.0.0.1 »
o Internet Protocol Version 6 (TCP/Ipv6) à Disabled



Configuration
• Users à Off
Tableau 84. Rôles et fonctionnalités installés sur le serveur AD201.MGEN.LAB
Valeur(s)

§ AD DS Tools :
• DNS Server :
• File and Storage Services à File and iSCSI Services à DFS Replication
• Active Directory Certificate Services :

§ Active Directory Certificate Services Tools :
• [Tools] Certificate Authority Management Tools
Valeur(s)

o Web Server :
• HTTP Errors
• Static Content
• HTTP Logging
• Logging Tools
• Tracing
• Request Monitor
§ Performance :
§ Security :
• ASP
• Telnet Client
4.1.4 Configuration du domaine racine de forêt MGEN.LAB

• Root domain name à « MGEN.LAB »

Additional Options • The NetBIOS Domain Name à « MGEN »

Tableau 86. Paramètres de configuration des services et sites Active Directory MGEN.LAB

[AD201.MGEN.LAB] à Sites à « MGEN_INFRASTRUCTURE »
[AD201.MGEN.LAB] à Sites à
MGEN_INFRASTRUCTURE à • Enable Universal Group Membership cashing à Enabled,
NTDS Site Settings « CN=MGEN_INFRASTRUCTURE »

MGEN_INFRASTRUCTURE
Active Directory Sites and Services • Rename « DEFAULTIPSITELINK » à « MGEN_SITE_LINK »

Inter-Site Transports à IP à • Cost à « 100 »
DEFAULTIPSITELINK • Replicate every à « 15 minutes »
Tableau 87. Paramètres des unités d’organisation du domaine MGEN.LAB
Valeur(s)
• MGEN.LAB à
o _USERS à
§ ADMIN ACCOUNTS
§ USER ACCOUNTS
§ SERVICE ACCOUNTS
o _SERVERS à
o _GROUPS à
§ ADMIN GROUPS
§ USER GROUPS
Global Groups • USER GROUPS :

o MGEN\GG-S-CTX-Delivery Group 1 Users
o MGEN\GG-S-CTX-Application Group MGEN
• ADMIN GROUPS :
o MGEN\GG-S-Administrators MGEN
o MGEN\GG-S-Service Accounts
Local Domain Groups (none)
Tableau 89. Liste des stratégies de groupe appliquées aux OUs MGEN.LAB
OU(s) Stratégie(s)
MGEN.LAB 1. Default Domain Policy

_SERVERS 1. SRV-Configuration des membres MGEN-1.0

2. USR-SEC-Désactivation de la vérification des CRLs-1.0

PDC »
PDC »
Tableau 90. Configuration des paramètres génériques du serveur DNS AD201.MGEN.LAB
Forwarders • 192.168.1.105


4.1.5.2 Configuration de la zone de recherche directe MGEN.LAB
Tableau 91. Configuration de la zone DNS de recherche directe MGEN.LAB



o Primary zone
Replication Scope
o To all domain controllers in this domain : MGEN.LAB
Directory)


4.1.6 Configuration du service AD CS
4.1.6.1 Configuration post-installation du service
Tableau 94. Paramètres de l’assistant AD CS Configuration Wizard
Credentials • Specify credentials to configure role services :

o Credentials à « MGEN\Administrator »
Role Services • Select Roles Services to configure :

o Certificate Authority
o Certificate Authority Web Enrollment
Setup Type • Specify the setup type of the CA à Enterprise CA
CA Type • Specify the type of the CA à Root CA
Private Key • Specify the type of the private key à Create a new private key
Cryptography • Specify the cryptographic options à RSA#Microsoft Software Key

Storage Provider
• Key length à « 2048 »
• Select the hash algorithm for signing certificates issued by the CA à
SHA256
CA Name • Specify the name of the CA :

o Common name à « MGEN-ROOT-CA »
o Distinguished name suffix à « DC=MGEN,DC=LAB »
o Preview of distinguished name à « CN=MGEN-ROOT-
CA,DC=MGEN,DC=LAB »
Validity Period • Select the validity period for the certificate generated for this
certification authority (CA) à « 10 years »
Certificate Database • Certificate database location à « C:\Windows\system32\CertLog »

• Certificate database log location à « C:\Windows\system32\CertLog »
4.1.6.2 Configuration du point de télédistribution AIA/CDP/CRD
Tableau 95. Paramètres de configuration des extensions de l’autorité de certification MGEN-ROOT-CA
Certificate • Extensions :
Authority
(Local) à o Select extension à CRL Distribution Point (CDP)
MGEN-ROOT- o Specify locations from which users can obtain a certificate revocation list
CA (CRL) :
(properties)
§ Remove à «
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><
DeltaCRLAllowed>.crl »
§ Add à «
http://webcdp.mgen.lab/WebCRLDistributionPoint/<CaName><CRLN
ameSuffix><DeltaCRLAllowed>.crl » :
• Include in CRLs
• Include in the CDP extension of issued certificates
• Include in the IDP extension of issued certificates
Authority
(Local) à o Select extension à Authority Information Access (AIA)
MGEN-ROOT- o Specify locations from which users can obtain a certificate revocation list
CA (CRL) :
(properties)
§ Remove à «
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName
><CertificateName>.crt »
§ Add à «
http://webcdp.mgen.lab/WebCRLDistributionPoint/<ServerDNSName
>_<CaName><CertificateName>.crt » :
• Include in the AIA extension of issued certificates
4.1.6.3 Configuration de l’enregistrement DNS et du site IIS
1. dnscmd ad201.mgen.lab /recordadd MGEN.LAB webcdp cname ad201.mgen.lab

2. cd c:\windows\system32\inetsrv
3. appcmd add vdir /app.name:”Default Web Site/” /path:”/WebCRLDistributionPoint”
/physicalpath:”C:\Windows\system32\CertSrv\CertEnroll”
4. appcmd.exe set config “Default Web Site” -section:system.webServer/directoryBrowse
/enabled:”True” /showFlags:”Date, Time, Size, Extension”
5. iisreset /restart
5. Zone MUTSVC-KRJ infrastructure

5.1 Configuration de la machine virtuelle AD301.MUTSVC-KRJ.LAB
Tableau 96. Paramètres de configuration de la machine virtuelle AD301.MUTSVC-KRJ.LAB
VMware Workstation folder FAS Proof of Concept à MUTSVC-KRJ à Infrastructure
Name of the virtual machine AD301.MUTSVC-KRJ.LAB
Storage path for the new D:\VM(s)\AD301.MUTSVC-KRJ.LAB

virtual machine
Memory 2048 MB


Tableau 97. Paramètres de configuration post-déploiement du serveur AD301.MUTSVC-KRJ.LAB


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 127.0.0.1 »



Configuration
• Users à Off
Tableau 98. Rôles et fonctionnalités installés sur le serveur AD301.MUTSVC-KRJ.LAB
Valeur(s)

§ AD DS Tools :
• DNS Server :
• DHCP Server :
§ [Tools] DHCP Server Tools
Valeur(s)

o Web Server :
• HTTP Errors
• Static Content
• HTTP Logging
• Logging Tools
• Tracing
• Request Monitor
§ Performance :
§ Security :
• ASP
• Telnet Client
5.1.4 Configuration du domaine racine de forêt MUTSVC-KRJ.LAB

• Root domain name à « MUTSVC-KRJ.LAB »


Tableau 100. Paramètres de configuration des services et sites Active Directory MUTSVC-KRJ.LAB
Active Directory Sites and Services • Rename « Default-First-Site-Name » à « MUTSVC-

[AD301.MUTSVC-KRJ.LAB] à Sites KRJ_INFRASTRUCTURE »
à Default-First-Site-Name
[AD301.MUTSVC-KRJ.LAB] à Sites
à MUTSVC- • Enable Universal Group Membership cashing à Enabled,
KRJ_INFRASTRUCTURE à NTDS « CN=MUTSVC-KRJ_INFRASTRUCTURE »
Site Settings

[AD301.MUTSVC-KRJ.LAB] à Sites
à Subnets o Prefix à 10.3.1.0/24
o Select a site object for this prefix à MUTSVC-
KRJ_INFRASTRUCTURE
• New Subnet :
o Prefix à 10.3.2.0/24
o Select a site object for this prefix à MUTSVC-
KRJ_INFRASTRUCTURE
Active Directory Sites and Services • Rename « DEFAULTIPSITELINK » à « MUTSVC-

[AD301.MUTSVC-KRJ.LAB] à Sites KRJ_SITE_LINK »
à Inter-Site Transports à IP à
DEFAULTIPSITELINK • Cost à « 100 »
• Replicate every à « 15 minutes »
Tableau 101. Paramètres des unités d’organisation du domaine MUTSVC-KRJ.LAB
Valeur(s)
• MUTSVC-KRJ.LAB à
o _USERS à
§ ADMIN ACCOUNTS
§ USER ACCOUNTS
§ SERVICE ACCOUNTS
o _SERVERS
o _THIN CLIENTS
o _GROUPS à
§ ADMIN GROUPS
§ USER GROUPS
o _PARTNERS à
§ MAEE à
• USER ACCOUNTS
• USER GROUPS
§ HARMONIE à
• USER ACCOUNTS
• USER GROUPS
Global Groups • MAEE à USER GROUPS :

o MUTSVC-KRJ\Users MAEE
• HARMONIE à USER GROUPS :
o MUTSVC-KRJ\Users HARMONIE
• ADMIN GROUPS :
o MGEN\GG-S-Administrators MUTSVC-KRJ
o MGEN\GG-S-Service Accounts
Tableau 103. Liste des stratégies de groupe appliquées aux OUs MUTSVC-KRJ.LAB
OU(s) Stratégie(s)
MUTSVC-KRJ.LAB 1. Default Domain Policy

_SERVERS 1. SRV-Configuration des membres MUTSVC-KRJ-1.0
MAEE 2. USR-MAEE-Configuration Internet Explorer-1.0

3. USR-Configuration de BGInfo-1.0
_THIN CLIENTS 1. PDT-Configuration de Citrix Receiver-1.0

2. PDT-Configuration de l’alimentation-1.0
3. PDT-Configuration du bureau à distance-1.0
4. PDT-Configuration des membres MUTSVC-KRJ-1.0
5. SEC-LOOPBACK-1.0

PDC »
PDC »
Tableau 104. Configuration des paramètres génériques du serveur DNS AD301.MUTSVC-KRJ.LAB
Forwarders • 192.168.1.105

5.1.5.2 Configuration de la zone de recherche directe MUTSVC-KRJ.LAB
Tableau 105. Configuration de la zone DNS de recherche directe MUTSVC-KRJ.LAB



o Primary zone
Replication Scope
o To all domain controllers in this domain : MUTSVC-KRJ.LAB
Directory)



o Primary zone
Replication Scope
o To all domain controllers in this domain : MUTSVC-KRJ.LAB
Directory)


Authorization • Use the following user’s credentials à « MUTSVC-KRJ\Administrators »


• End IP Address à « 10.3.2.250 »
• Subnet à « 255.255.255.0 »
these options now
Domain Name and DNS • Parent domain à « MUTSVC-KRJ.LAB »

Servers
• IP address à « 10.3.1.2 »
WINS Servers (none)
scope now

o Credentials à « MUTSVC-KRJ\Administrator »

Setup Type • Specify the setup type of the CA à Enterprise CA

Storage Provider
SHA256

o Common name à « MUTSVC-ROOT-CA »
o Distinguished name suffix à « DC=MUTSVC-KRJ,DC=LAB »
o Preview of distinguished name à « CN=MUTSVC-ROOT-
CA,DC=MUTSVC-KRJ,DC=LAB »

Tableau 113. Paramètres de configuration des extensions de l’autorité de certification MGEN-ROOT-CA
Authority
MUTSVC- o Specify locations from which users can obtain a certificate revocation list
ROOT-CA (CRL) :
(properties)
§ Remove à «
§ Add à « http://webcdp.mutsvc-
krj.lab/WebCRLDistributionPoint/<CaName><CRLNameSuffix><Delta
CRLAllowed>.crl » :
• Include in CRLs
Authority
MUTSVC- o Specify locations from which users can obtain a certificate revocation list
ROOT-CA (CRL) :
(properties)
§ Remove à «
§ Add à « http://webcdp.mutsvc-
krj.lab/WebCRLDistributionPoint/<ServerDNSName>_<CaName><C
ertificateName>.crt » :
5.1.7.3 Configuration de l’enregistrement DNS et du site IIS
1. dnscmd ad201.mgen.lab /recordadd MUTSVC-KRJ.LAB webcdp cname ad301.mutsvc-krj.lab

3. appcmd add vdir /app.name:”Default Web Site/” /path:”/WebCRLDistributionPoint”
/physicalpath:”C:\Windows\system32\CertSrv\CertEnroll”
4. appcmd.exe set config “Default Web Site” -section:system.webServer/directoryBrowse
/enabled:”True” /showFlags:”Date, Time, Size, Extension”
5. iisreset
5.2 Configuration de la machine virtuelle THIN301.MUTSVC-KRJ.LAB
Tableau 114. Paramètres de configuration de la machine virtuelle THIN301.MUTSVC-KRJ.LAB
VMware Workstation folder FAS Proof of Concept à MUTSVC-KRJ à Infrastructure
Operating System Windows 10 Enterprise x64 en_US
Name of the virtual machine THIN301.MUTSVC-KRJ.LAB
Storage path for the new D:\VM(s)\THIN301.MUTSVC-KRJ.LAB

virtual machine
Memory 2048 MB


Tableau 115. Paramètres de configuration post-déploiement du serveur THIN301.MUTSVC-KRJ.LAB
Computer name « THIN301 »
Member of o Domain à « MUTSVC-KRJ.LAB »
OU Active Directory MUTSVC-KRJ.LAB à _THIN CLIENTS


o DHCP

5.2.3 Applications métiers déployées sur le terminal léger
Tableau 116. Liste des applications métiers déployées sur le serveur THIN301.MUTSVC-KRJ.LAB

6. Interconnexion des forêts Active Directory

6.1 Configuration des zones de stub DNS
Tableau 117. Paramètres de configuration des zones de stub DNS sur AD101.KRJ.LAB
DNS à AD101 à • New Conditional Forwarders :

Conditional Forwarders à
New Conditional Forwarders o DNS Domain à « MGEN.LAB »
o Store this conditional forwarder in Active Directory, and
replicate it as follows à All DNS servers in this domain

New Conditional Forwarders o DNS Domain à « MUTSVC-KRJ.LAB »
Tableau 118. Paramètres de configuration des zones de stub DNS sur AD201.MGEN.LAB

New Conditional Forwarders o DNS Domain à « KRJ.LAB »

New Conditional Forwarders o DNS Domain à « MUTSVC-KRJ.LAB »
Tableau 119. Paramètres de configuration des zones de stub DNS sur AD301.MUTSVC-KRJ.LAB

New Conditional Forwarders o DNS Domain à « KRJ.LAB »

New Conditional Forwarders o DNS Domain à « MGEN.LAB »
6.2 Configuration de la relation d’approbation KRJ/MGEN
Tableau 120. Paramètres de configuration de la relation d’approbation bidirectionnelle transitive entre les
forêts KRJ.LAB et MGEN.LAB réalisée à partir du serveur AD101.KRJ.LAB
Active Directory Domain and • Trust Name :

Trusts à KRJ.LAB
(properties) à Trusts à New o Name à « MGEN.LAB »
Trust… • Trust Type :
o Select the type of trust you want to create à « Forest trust »
• Direction Trust :
o Select the direction for this trust à Two-way
• Sides of trust :
o Create the trust for the following à Both this domain and the
specified domain
• User Name and Password :
o Type the username and password of an account that has
administrative privileges in the specified domain :
§ Username à « MGEN\Administrator »
§ Password à « qhtd5CJP »
• Outgoing Trust Authentication Level-Local Forest :
o Select the scope of authentication for users from MGEN.LAB
forest à Forest-wide authentication
• Outgoing Trust Authentication Level-Specified Forest :
o Select the scope of authentication for users from the local
forest à Forest-wide authentication
• Confirm Outgoing Trust :
o Do you want to confirm the outgoing trust ? à Yes, confirm the
outgoing trust
• Confirm Incoming Trust :
o Do you want to confirm the incoming trust ? à Yes, confirm the
incoming trust
6.3 Configuration de la relation d’approbation KRJ/MUTSVC-KRJ
Tableau 121. Paramètres de configuration de la relation d’approbation bidirectionnelle transitive entre les
forêts KRJ.LAB et MUTSVC-KRJ.LAB réalisée à partir du serveur AD101.KRJ.LAB
Active Directory Domain and • Trust Name :

Trusts à KRJ.LAB
(properties) à Trusts à New o Name à « MUTSVC-KRJ.LAB »
Trust… • Trust Type :
o Select the type of trust you want to create à « Forest trust »
• Direction Trust :
o Select the direction for this trust à Two-way
• Sides of trust :
o Create the trust for the following à Both this domain and the
specified domain
• User Name and Password :
o Type the username and password of an account that has
administrative privileges in the specified domain :
§ Username à « MUTSVC-KRJ\Administrator »
§ Password à « qhtd5CJP »
• Outgoing Trust Authentication Level-Local Forest :
o Select the scope of authentication for users from MUTSVC-
KRJ.LAB forest à Selective Authentication
• Outgoing Trust Authentication Level-Specified Forest :
o Select the scope of authentication for users from the local
forest à Selective Authentication
• Confirm Outgoing Trust :
o Do you want to confirm the outgoing trust ? à Yes, confirm the
outgoing trust
• Confirm Incoming Trust :
o Do you want to confirm the incoming trust ? à Yes, confirm the
incoming trust
6.4 Imbrication des groupes Active Directory
Tableau 122. Paramètre(s) d’imbrication des groupes Active Directory
Groupe(s) Membre(s)
KRJ\DL-S-CTX-Application Group • MUTSVC-KRJ\Users HARMONIE

HARMONIE
KRJ\DL-S-CTX-Application Group MAEE • MUTSVC-KRJ\Users MAEE
KRJ\DL-S-CTX-Application Group MGEN • MGEN\Domain Users
KRJ\DL-S-CTX-Delivery Group 1 • MUTSVC-KRJ\Users HARMONIE

• MUTSVC-KRJ\Users MAEE
• MGEN\Domain Users
KRJ\DL-S-Selective Authentication • MUTSVC-KRJ\Users HARMONIE

• MUTSVC-KRJ\Users MAEE
KRJ\GG-S-Citrix Infrastructure Servers • KRJ\XD101$

• KRJ\SF101$
• KRJ\VDA101$
6.5 Configuration de l’authentification sélective sur les ressources KRJ
Tableau 123. Paramètre(s) de sécurité à appliquer aux ressources KRJ pour l’authentification sélective
OUs) Membre(s)
INFRASTRUCTURE (proprieties) à • Permission Entry for INFRASTRUCTURE :

Security à Advanced à Add
o Principal à KRJ\DL-S-Selective Authentication
o Type à Allow
o Applies to à Descendant Computer Objects
o Permissions :
§ List contents
§ Read all properties
§ Read permissions
§ Allowed to authenticate
VDA (proprieties) à Security à • Permission Entry for VDA :

Advanced à Add
o Principal à KRJ\DL-S-Selective Authentication
o Type à Allow
o Permissions :
§ List contents
§ Read permissions
6.6 Configuration de l’authentification sélective sur les ressources

MUTSVC-KRJ
Tableau 124. Paramètre(s) de sécurité à appliquer aux ressources MUTSVC-KRJ pour l’authentification
sélective
OUs) Membre(s)
MUTSVC-KRJ.LAB (proprieties) à • Permission Entry for MUTSVC-KRJ.LAB :

o Principal à KRJ\Enterprise Admins
o Type à Allow
o Permissions :
§ List contents
§ Read permissions
• Permission Entry for MUTSVC-KRJ.LAB :
o Principal à KRJ\Domain Admins
o Type à Allow
o Permissions :
§ List contents
§ Read permissions
Domain Controllers (proprieties) à • Permission Entry for Domain Controller :

o Principal à KRJ\GG-S-Citrix Infrastructure Servers
o Type à Allow
o Permissions :
§ List contents
§ Read permissions
o Allowed to authenticate
7. Zone PUBLIC
7.1 Configuration de la machine virtuelle PUBLIC
Tableau 125. Paramètres de configuration de la machine virtuelle PUBLIC
VMware Workstation folder FAS Proof of Concept à INTERNET
Name of the virtual machine PUBLIC.WORKGROUP
Storage path for the new D:\VM(s)\PUBLIC.WORKGROUP

virtual machine
Memory 2048 MB

Networks • Network adapter à Custom (VMnet0)

Tableau 126. Paramètres de configuration post-déploiement du serveur PUBLIC
Computer name « PUBLIC »

Ethernet0 • Internet Protocol Version 4 (TCP/IPv4) :

o IP address à « 192.168.1.105 »
o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 127.0.0.1 »
o Internet Protocol Version 6 (TCP/IPv6) à Disabled



Configuration
• Users à Off
Tableau 127. Rôles et fonctionnalités installés sur le serveur PUBLIC
Valeur(s)
• DNS Server :


o Web Server :
• HTTP Errors
• Static Content
• HTTP Logging
• Logging Tools
• Tracing
• Request Monitor
§ Performance :
§ Security :
• ASP
• Telnet Client
Tableau 128. Configuration des paramètres génériques du serveur DNS PUBLIC


o Credentials à « PUBLIC\Administrator »

Setup Type • Specify the setup type of the CA à Standalone CA

Storage Provider
SHA256

o Common name à « DONOTUSEU-ROOT-CA »
o Distinguished name suffix à « DC=MGEN,DC=LAB »
o Preview of distinguished name à « CN=DONOTUSE-ROOT-
CA »

Tableau 130. Paramètres de configuration des extensions de l’autorité de certification DONOTUSE-ROOT-

CA
Authority
DONOTUSE- o Specify locations from which users can obtain a certificate revocation list
ROOT-CA (CRL) :
(properties)
§ Remove à «
§ Remove à «
ldap://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><
§ Add à «
http://webcdp.donotuse.eu:1080/WebCRLDistributionPoint/<CaName
><CRLNameSuffix><DeltaCRLAllowed>.crl » :
• Include in CRLs
Authority
DONOTUSE- o Specify locations from which users can obtain a certificate revocation list
ROOT-CA (CRL) :
(properties)
§ Remove à «
§ Add à «
http://webcdp.donotuse.eu:1080/WebCRLDistributionPoint/<ServerD
NSName>_<CaName><CertificateName>.crt » :
7.1.5.3 Configuration du site IIS
2. appcmd add vdir /app.name:"Default Web Site/" /path:"/WebCRLDistributionPoint"
/physicalpath:"C:\Windows\system32\CertSrv\CertEnroll"
3. appcmd.exe set config "Default Web Site" -section:system.webServer/directoryBrowse
/enabled:"True" /showFlags:"Date, Time, Size, Extension"
4. iisreset /restart
8. Zone HARMONIE infrastructure

8.1 Configuration de la machine virtuelle AD401.HARMONIE.IN
Tableau 131. Paramètres de configuration de la machine virtuelle AD401.HARMONIE.IN
VMware Workstation folder FAS Proof of Concept à HARMONIE à Infrastructure
Name of the virtual machine AD401.HARMONIE.IN
Storage path for the new D:\VM(s)\AD401.HARMONIE.IN

virtual machine
Memory 2048 MB


Tableau 132. Paramètres de configuration post-déploiement du serveur AD401.HARMONIE.IN


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 127.0.0.1 »



Configuration
• Users à Off
Tableau 133. Rôles et fonctionnalités installés sur le serveur AD401.HARMONIE.IN
Valeur(s)

§ AD DS Tools :
• DNS Server :

Valeur(s)

o Web Server :
• HTTP Errors
• Static Content
• HTTP Logging
• Logging Tools
• Tracing
• Request Monitor
§ Performance :
§ Security :
• ASP
• Telnet Client
8.1.4 Configuration du domaine racine de forêt HARMONIE.IN

• Root domain name à « HARMONIE.IN »


Tableau 135. Paramètres de configuration des services et sites Active Directory HARMONIE.IN

[AD401.HARMONIE.IN] à Sites à « HARMONIE_INFRASTRUCTURE »
[AD401.HARMONIE.IN] à Sites à
HARMONIE_INFRASTRUCTURE à • Enable Universal Group Membership cashing à Enabled,
NTDS Site Settings « CN=HARMONIE_INFRASTRUCTURE »

[AD401.HARMONIE.IN] à Sites à
HARMONIE_INFRASTRUCTURE
• New Subnet :
o Prefix à 10.4.2.0/24
HARMONIE_INFRASTRUCTURE
Active Directory Sites and Services • Rename « DEFAULTIPSITELINK » à

[AD401.HARMONIE.IN] à Sites à « HARMONIE_SITE_LINK »
Inter-Site Transports à IP à
DEFAULTIPSITELINK • Cost à « 100 »
• Replicate every à « 15 minutes »
Tableau 136. Paramètres des unités d’organisation du domaine HARMONIE.IN
Valeur(s)
• HARMONIE.IN à
o _USERS à
§ ADMIN ACCOUNTS
§ USER ACCOUNTS
§ SERVICE ACCOUNTS
o _SERVERS à
§ ADFS SERVERS
o _COMPUTERS
o _GROUPS à
§ ADMIN GROUPS
§ USER GROUPS
Global Groups • ADMIN GROUPS :

o HARMONIE\GG-S-Administrators HARMONIE
o HARMONIE\GG-S-Service Accounts

Tableau 138. Liste des stratégies de groupe appliquées aux OUs HARMONIE.IN
OU(s) Stratégie(s)
HARMONIE.IN 1. Default Domain Policy

_SERVERS 1. SRV-Configuration des membres HARMONIE-1.0
ADFS SERVERS 1. SRV-ADFS-Permission de se loguer en tant que service-1.0
USER ACCOUNTS 1. USR-Configuration Internet Explorer-1.0
_COMPUTERS 1. PDT-Configuration de l’alimentation-1.0

2. PDT-Configuration du bureau à distance-1.0
3. PDT-Configuration des membres HARMONIE-1.0
4. SEC-LOOPBACK-1.0

PDC »
PDC »
Tableau 139. Configuration des paramètres génériques du serveur DNS AD401.HARMONIE.IN
Forwarders • 192.168.1.105


8.1.5.2 Configuration de la zone de recherche directe HARMONIE.IN
Tableau 140. Configuration de la zone DNS de recherche directe HARMONIE.IN


8.1.5.3 Configuration de la zone de recherche directe

HARMONIE.DONOTUSE.EU
Tableau 141. Création de la zone DNS de recherche directe HARMONIE.DONOTUSE.EU

o Primary zone
Replication Scope
o To all domain controllers in this domain : HARMONIE.IN
Zone Name • Zone Name à « HARMONIE.DONOTUSE.EU »
Tableau 142. Configuration de la zone DNS de recherche directe DMZ.KRJ.LAB


o Primary zone
Replication Scope
Directory)



o Primary zone
Replication Scope
Directory)


Authorization • Use the following user’s credentials à « HARMONIE\Administrators »


• End IP Address à « 10.4.2.250 »
• Subnet à « 255.255.255.0 »
these options now
Domain Name and DNS • Parent domain à « HARMONIE.IN »

Servers
• IP address à « 10.4.1.2 »
WINS Servers (none)
scope now
8.2 Configuration de la machine virtuelle ADFS401.HARMONIE.IN
Tableau 149. Paramètres de configuration de la machine virtuelle ADFS401.HARMONIE.IN
Name of the virtual machine ADFS401.HARMONIE.IN
Storage path for the new D:\VM(s)\ADFS401.HARMONIE.IN

virtual machine
Memory 2048 MB


Tableau 150. Paramètres de configuration post-déploiement du serveur ADFS401.HARMONIE.IN
Computer name « ADFS401 »


o Subnet mask à « 255.255.255.0 »
o DNS 1 à « 10.4.1.2 »



Configuration
• Users à Off
Tableau 151. Rôles et fonctionnalités installés sur le serveur ADFS401.HARMONIE.IN
Valeur(s)
• Active Directory Federation Services
• Telnet Client
8.2.4 Configuration du domaine du service ADFS
8.2.4.1 Création du certificat SSL signé par DONOTUSE-ROOT-CA
Tableau 152. Paramètres de création du certificat SSL signé par DONOTUSE-ROOT-CA
Create Custom • Select Certificate Enrollment Policy :

Request…
o Configured by your administrator à Active Directory Enrollment Policy
• Custom Request :
o Template à Web Server
• Certificate Properties :
o Subjetct :
§ Common name à « adfs.harmonie.donotuse.eu »
§ Country à « FR »
§ Locality à « NICE »
§ Organization à « DONOTUSE »
§ Organizational unit à « DSI »
§ State à « ALPES MARITIMES »
§ DNS 1 à « adfs.harmonie.donotuse.eu »
§ DNS 2 à « certauth.adfs.harmonie.donotuse.eu »
§ DNS 3 à « enterpriseregistration.adfs.harmonie.donotuse.eu
»
§ DNS 4 à « adfs.harmonie.in »
§ DNS 5 à « certauth.adfs.harmonie.in »
§ DNS 6 à « enterpriseregistration.adfs.harmonie.in »
o General :
§ Friendly name à « adfs.harmonie.donotuse.eu »
o Private key :
§ Key options à Make private key exportable
8.2.4.2 Import du certificat SSL sur le serveur ADFS401
Tableau 153. Paramètres d’import du certificat SSL sur le serveur ADFS401
Console Root à • File to import :

Certificates (Local
Computer) à o File name à « ADFS-HARMONIE-DONOTUSE-EU.pfx »
Personal à Import… • Private key exportation :
o Password à « qhtd5CJP »
8.2.4.3 Création du compte de service ADFS
Tableau 154. Paramètres du compte de service HARMONIE\adfs-binding
OU(s) Paramètres(s)
SERVICE • First name à « adfs-binding »

ACCOUNTS
• Full name à « adfs-binding »
• User logon name à « adfs-binding »
• Password à « qhtd5CJP »
• User cannot change password à Yes
• Password never expires à Yes
• Member of à « HARMONIE\GG-S-Service Accounts »
8.2.4.4 Assistant de configuration du service ADFS
Tableau 155. Paramètres d’Active Directory Federation Services Configuration Wizard
Paramètres(s) Valeur(s)
Welcome • Select an option below à Create the first federation server in a federation
server farm
Connect to AD DS • Specify an account with Active Directory domain administrator permissions to

perform the federation service configuration à « HARMONIE\Administrator »
Specify Server • SSL Certificate à adfs.harmonie.donotuse.eu

Properties
• Federation Service Name à adfs.harmonie.donotuse.eu
• Federation Service Display Name à « HARMONIE »
Specify Service • Use an existing domain user account or group managed service account :
Account
o Account name à « HARMONIE\adfs-binding »
o Account password à « qhtd5CJP »
Specify Database • Specify a database to store the Active Directory Federation Service
configuration data à Create a database on this server using Windows Internal
Database
8.2.4.5 Changement des ports et activation de la page de validation
Tableau 156. Paramètres d’activation de la page de contrôle et changement des ports d’écoute
1. $CertHash = ( Get-ChildItem -Path Cert:\LocalMachine\My | Where { $_.Subject -like "*adfs*"

} ).Thumbprint
2. netsh http del urlacl https://+:443/adfs/
3. netsh http del urlacl https://+:443/FederationMetadata/2007-06/
4. netsh http add urlacl https://+:9443/adfs/ user=”NT SERVICE\adfssrv” delegate=yes
5. netsh http add urlacl https://+:9443/FederationMetadata/2007-06/ user=”NT SERVICE\adfssrv”
delegate=yes
6. Set-ADFSProperties -HttpsPort 9443
7. Set-AdfsSslCertificate -Thumbprint $CertHash
8. Set-AdfsProperties –EnableIdpInitiatedSignonPage $True
9. Restart-Service -Name adfssrv
8.3 Configuration de la machine virtuelle PC401.HARMONIE.IN
Tableau 157. Paramètres de configuration de la machine virtuelle PC401.HARMONIE.IN
Operating System Windows 10 Enterprise x64 en_US
Name of the virtual machine THIN301.HARMONIE.IN
Storage path for the new C:\VM(s)\PC401.HARMONIE.IN

virtual machine
Memory 2048 MB


Tableau 158. Paramètres de configuration post-déploiement du serveur PC401.HARMONIE.IN
Computer name « PC401 »
Member of o Domain à « HARMONIE.IN »
OU Active Directory HARMONIE.IN à _COMPUTERS


o DHCP

8.3.3 Applications métiers déployées sur le client
Tableau 159. Liste des applications métiers déployées sur le serveur PC401.HARMONIE.IN

9. Zone HARMONIE DMZ

9.1 Configuration de la machine virtuelle FW401.DMZ.HARMONIE.IN
Tableau 160. Paramètres de configuration de la machine virtuelle FW401.DMZ.HARMONIE.IN
Name of the virtual machine FW401.DMZ.HARMONIE.IN
Storage path for the new D:\VM(s)\FW401.DMZ.HARMONIE.IN

virtual machine
Memory 512 MB


9.1.2 Configuration post-déploiement basique 1/2 (CLI)
Tableau 161. Paramètres de configuration post-déploiement du serveur FW401.DMZ.HARMONIE.IN
(1) Assign Interfaces • Should VLAN be set up now ? à « n »

• Enter the WAN interface name or ‘a’ for auto-detection à « vm0 »
• Enter the LAN interface name or ‘a’ for auto-detection à « vmx1 »
• Enter the Optional 1 interface name or ‘a’ for auto-detection à (enter)
• Do you want to proceed ? à « y »
(2) Set Interfaces IP • Enter the number of the interface you wish to configure à « 1 » (WAN)
address
• Enter the new WAN Ipv4 address à « 192.168.1.103 »
• Enter the new WAN Ipv4 subnet bit count à « 24 »
• For a WAN, enter the new WAN Ipv4 upstream gateway address à «
192.168.1.254 »
• Enter the new WAN Ipv6 address à (enter)
(2) Set Interfaces IP • Enter the number of the interface you wish to configure à « 2 » (LAN)
address
• Enter the new LAN Ipv4 address à « 1.0.0.10 »
• Enter the new LAN Ipv4 subnet bit count à « 29 »
• For a WAN, enter the new LAN Ipv4 upstream gateway address à (enter)
• Do you want to enable the DHCP server on LAN à « n »
9.1.3 Configuration post-déploiement basique 2/2 (GUI)
Tableau 162. Paramètres de configuration post-déploiement du serveur FW401.DMZ.HARMONIE.IN
General Information • Hostname à « FW401 »

• Domain à « DMZ.HARMONIE.IN »
• Primary DNS Server à « 192.168.1.105 »
• Override DNS à No
Time Server Information • Time server hostname à « 0.pfsense.pool.ntp.org »

• Time zone à « Europe/Paris »
Block RFC1918 Private • Block private networks from entering via WAN à No
Networks
Block bogon networks • Block non-Internet routed networks from entering via WAN à No
Set Admin WebGUI • Admin Password à « qhtd5CJP »

Password
• Admin Password AGAIN à « qhtd5CJP »
9.1.4 Configuration générale avancée
Tableau 163. Paramètres de configuration générale avancée du serveur FW401.DMZ.HARMONIE.IN
System à General Setup • Do not use the DNS Forwarder/DNS Resolver as a DNS server for the
à DNS Server Settings firewall à No
System à General Setup • Top Navigation à Fixed (Remains visible at the top of page)
à webConfigurator
• Hostname in Menu à FQDN
System à Advanced à • Disable webConfigurator redirect rule à Yes

Admin Access à
webConfigurator • Enable webConfigurator login autocomplete à No
• Disable DNS Rebinding Checks à Yes
• Display page name first in browser tab à Yes
System à Advanced à • Threshold à « 10 »

Admin Access à Login
Protection • Blocktime à « 30 »
• Detection time à « 1800 »
• Whitelist à « 1.0.0.0/29 » + « 10.4.0.0/16 »
System à Advanced à • Firewall Optimization Options à Aggressive

Firewall & NAT à Firewall
Advanced • Bypass firewall rules for traffic on the same interface à Yes
• Disable all auto-added VPN rules à Yes
• Aliases Hostnames Resolve Interval à « 30 »
System à Advanced à • NAT Reflection mode for port forwards à Pure NAT
Firewall & NAT à
Network Address • Automatic creation of additional NAT redirect rules from within the internal
Translation networks à Yes
• Automatic create outbound NAT rules that direct traffic back out to the
same subnet it originated from à Yes
System à Advanced à • All Ipv6 traffic will be blocked by the firewall unless this box is checked à
Networking à Ipv6 No
Options
• Prefer to use Ipv4 even if Ipv6 is available à Yes
System à Advanced à • Disable hardware checksum offload à Yes

Networking à Network
Interfaces • Suppress ARP messages à Yes
• Reset all states if WAN IP Address changes à Yes
System à Advanced à • AC Power à Maximum

Miscellaneous à Power
Savings • Battery Power à Maximum
• Unknown Power à Maximum
System à Advanced à • Flush all states when a gateway goes down à Yes
Miscellaneous à
Gateway Monitoring
System à Advanced à • Disable SMTP Notifications à Yes

Notifications à E-Mail
System à Advanced à • Disable the startup/shutdown beep à Yes

Notifications à Sounds
System à Advanced à • Disable Growl Notifications à Yes

Notifications à Growl
9.1.5 Configuration des paramètres de routage (GUI)
Tableau 164. Paramètres de configuration du routage du serveur FW401.DMZ.HARMONIE.IN
System à Routing à • Default gateway Ipv6 à None

Gateway à Default
gateway
System à Routing à • Disable Gateway Monitoring Action à Yes

Gateways à GW_WAN
à Edit Gateway • Monitor IP à « 31.33.166.133 »
• Description à « BBOX FAST 5330B-R1 »

Gateways à Add
• Name à « GW_LAN »
• Gateway à « 1.0.0.9 »
• Description à « HARMONIE INFTRASTUCTURE CORE401 »

• Gateway à « GW_LAN – 1.0.0.9 »
9.1.6 Configuration des objets et alias
Tableau 165. Paramètres de configuration du routage du serveur FW401.DMZ.HARMONIE.IN
Type(s) Valeur(s)
IP • Name à « INFRA_ad_host »
• IP or FQDN à « 10.4.1.2 »
IP • Name à « INFRA_adfs_host »
• IP or FQDN à « 10.4.1.3 »
IP • Name à « INFRA_net »
• Type à Networks(s)
• IP or FQDN à « 1.0.0.8/29 » + « 10.4.0.0/16 »
9.1.7 Configuration des adresses IP virtuelles
Tableau 166. Paramètres de configuration des adresses IP virtuelles du serveur

FW401.DMZ.HARMONIE.IN
Firewall à Virtual IPs à • Type à IP Alias

Add
• Interface à WAN
• Addresse(s) à « 192.168.1.104/24 »
9.1.8 Configuration des règles de NAT IN/OUT
Tableau 167. Paramètres de configuration du NAT du serveur FW401.DMZ.HARMONIE.IN
Firewall à NAT à 1:1 à • Interface à WAN

Add
• External subnet IP à « 192.168.1.104 »
• Internal IP :
o Type à Single host
o Address/Mask à « 10.4.1.3 »
• Destination à Any
• NAT reflection à Use system default
Firewall à NAT à • Outbound NAT mode à Manual Outbound NAT rule generation
Outbound

Outbound à Add
o Interface à WAN
o Protocol à any
o Source :
§ Network à « 10.4.2.0/24 »
o Destination :
§ any
• Translation :

Outbound à Add
o Interface à WAN
o Protocol à UDP
o Source :
§ Network à « 10.4.1.2/32 »
o Destination :
§ Network à « 192.168.1.105/32 »
§ Port à « 53 »
• Translation :
9.1.9 Configuration des règles firewall d’ouverture
9.1.9.1 LAN
Tableau 168. Règles d’ouverture de flux LAN du serveur FW401.DMZ.HARMONIE.IN
Rule 1 • Protocol à Ipv4 UDP

• Source à « INFRA_ad_host »
• Port à « * »
• Destination à « 192.168.1.105 »
• Port à « 53 »

• Source à « 10.4.2.0/24 »
• Port à « * »
• Destination à any
• Port à « * »
9.1.9.2 DMZ
Tableau 169. Règles d’ouverture de flux DMZ du serveur FW101.DMZ.HARMONIE.IN

• Port à « * »

• Port à « * »

• Port à « * »
• Destination à « INFRA_xd_core_host »
• Port à « NS_web_traffic »
Rule 4 • Protocol à Ipv4 (TCP + UDP)

• Port à « * »
• Destination à « 10.1.2.0/24 »
• Port à « NS_ica_traffic »
Rule 5 • Protocol à ICMP

• Source à « DMZ net »
• Port à « * »
• Destination à « * »
• Port à « * »
9.1.9.3 WAN
Tableau 170. Règles d’ouverture de flux WAN du serveur FW401.DMZ.HARMONIE.IN

• Port à « * »
• Destination à « 10.4.1.3 »
• Port à « 9443 »
10. Préparation du déploiement FAS dans la zone KRJ

10.1 Installer le composant FAS sur le serveur FAS101
1. S’authentifier sur le serveur « FAS101.KRJ.LAB » avec un compte possédant les droits administrateurs.
2. Depuis l’explorateur Windows, accéder au disque D:\ (ce dernier présente les sources d’installation de la
suite Citrix Virtual Apps and Desktops 7.19.12) :
3. Double-cliquer sur le fichier « AutoSelect.exe » :
4. Cliquer sur le bouton « Stat » situé à droite de « Virtual Apps and Desktops (Deliver applications and
desktops) :
5. Dans la section « Extended Deployments », cliquer sur « Federated Authentication Services » :
6. A la page « Licensing Agreement », sélectionner « I have read, understand, and accept the terms of the
license agreement » puis cliquer sur « Next » :
7. A la page « Core Components », cliquer sur « Next ».

8. A la page « Firewall », ne pas modifier la sélection par défaut puis cliquer sur « Next ».
9. A la page « Summary », cliquer sur « Install » puis patienter quelques minutes durant l’installation des
prérequis et du composant Federated Authentication Services.
Attention, un redémarrage durant l’installation est nécessaire, il est impératif de se ré authentifier avec le
même compte utilisé pour lancer l’installation :
10. A la fin de l’installation, cliquer sur « Finish » :

11. Post-installation du composant, redémarrer le serveur.

10.2 Déclarer le point d’accès partenaire dédié à FAS sur SF101
1. S’authentifier sur le serveur « SF101.KRJ.LAB » avec un compte possédant les droits administrateurs.
2. Dans le menu « Démarrer » du serveur, localiser puis lancer la console « Citrix StoreFront » :
3. Cliquer sur « Citrix StoreFront à Stores », dans la section « Actions » cliquer sur « Manage Citrix
Gateways » :
4. A la page « Getting Started », utiliser les informations indiquées dans le tableau ci-dessous, puis cliquer
sur « Next » :
Tableau 171. Paramètres de déclaration du point d’accès dédié à FAS (General Settings)
Display Name « FAS DEDICATED GATEWAY »
Citrix Gateway URL « https://sso.donotuse.eu:8443 »
Usage or role Authentication and HDX routing

5. A la page « Secure Ticket Authority », utiliser les informations indiquées dans le tableau ci-dessous, puis
cliquer sur « Next » :
Tableau 172. Paramètres de déclaration du point d’accès dédié à FAS (STAs)
(Add) STA URL « http://10.1.1.3/scripts/ctxsta.dll »
6. A la page « Authentication Settings », dans le champ « Callback URL » saisir

« https://sso.donotuse.eu:8443 » puis cliquer sur « Create » :
7. Mettre à jour le fichier « C:\Windows\System32\drivers\etc\hosts » du serveur SF101 en ajoutant l’entrée

« 192.168.101.4 sso.donotuse.eu » :
10.3 Créer un store dédié à l’authentification FAS sur SF101
1. S’authentifier sur le serveur « SF101.KRJ.LAB » avec un compte possédant les droits administrateurs.
2. Dans le menu « Démarrer » du serveur, localiser puis lancer la console « Citrix StoreFront » :
3. Cliquer sur « Citrix StoreFront à Stores », dans la section « Actions » cliquer sur « Create Store » :
4. A la page « Getting Started », cliquer sur « Next ».

5. A la page « Store Name », utiliser les informations indiquées dans le tableau ci-dessous, puis cliquer sur
« Next » :
Tableau 173. Paramètres de création du store dédié à l’authentification FAS (Store Name)
Store Name « FASOutStore »

6. A la page « Delivery Controllers » cliquer sur « Add », utiliser les informations indiquées dans le tableau
ci-dessous, puis cliquer sur « OK » et « Next » :
Tableau 174. Paramètres de création du store dédié à l’authentification FAS (Delivery Controllers)
Display Name « POCFASBQ01 »
Servers « XD101.KRJ.LAB »
Servers are load balanced Décocher la case
Transport type HTTP
Port 80
7. A la page « Remote Access », utiliser les informations indiquées dans le tableau ci-dessous, puis cliquer
sur « Next » :
Tableau 175. Paramètres de création du store dédié à l’authentification FAS (Remote Access)
Enable Remote Access Cocher la case
Select the permitted level of Allow users to access only resources delivered through StoreFront (no VPN
access to internal resources tunnel)
Citrix Gateway appliances DMZ INTERNET KRJ 2
Default appliance DMZ INTERNET KRJ 2

8. A la page « Authentication Methods », décocher la case « Username and password » puis cliquer sur
« Next » :
9. A la page « XenApp Services URL », décocher la case « Enable XenApp Services URL » puis cliquer sur
« Create » :
10. Cliquer sur « Citrix StoreFront à Stores à FASOutStore », dans la section « FASOutStore » cliquer sur
« Configure Store Settings » :
11. A la page « User Subscriptions », sélectionner « Disable User Subscriptions » puis cliquer sur « OK » :
12. Cliquer sur « Citrix StoreFront à Stores à FASOutStore », dans la section « FASOutStore » cliquer sur
« Manage Authentication Methods » :
13. Cliquer le symbole d’engrenange à droite de « Pass-through from Citrix Gateway » et choisir « Configure
Delegated Authentication » :
14. Cocher la case « Fully delegate credential validation to Citrix Gateway » puis cliquer sur « OK » 2
reprises :
10.4 Activer l’authentification FAS sur le store FASOutStore
1. S’authentifier sur le serveur « SF101.KRJ.LAB » avec un compte possédant les droits administrateurs
(domain admin, enterprise admins).
2. Dans le menu « Démarrer », rechercher puis exécuter une instance Windows Powershell en tant
qu’administrateur.
3. Dans cette console PowerShell, saisir les commandes ci-dessous :
1. Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

2. $StoreVirtualPath = "/Citrix/FASOutStore"
3. $Store = Get-STFStoreService -VirtualPath $StoreVirtualPath
4. $Auth = Get-STFAuthenticationService -StoreService $Store
5. Set-STFClaimsFactoryNames -AuthenticationService $Auth -ClaimsFactoryName "FASClaimsFactory"
6. Set-STFStoreLaunchOptions -StoreService $Store -VdaLogonDataProvider "FASLogonDataProvider"
4. Redémarrer le serveur.
11. Préparation de la forêt MUTSVC-KRJ.LAB

11.1 Désactiver la publication des listes de révocation différentielles
1. S’authentifier sur le serveur « AD301.MUTSVC-KRJ.LAB » avec un compte possédant les droits

administrateurs (domain admin, enterprise admins).
2. Dans le menu « Démarrer », cliquer sur « Server Manager » :
3. Cliquer sur « Tools à Certification Authority » :
4. Sélectionner « Certification Authority à MUTSVC-ROOT-CA à Revoked Certificats », faire un clique-droit

puis choisir « Properties » :
5. Sélectionner l’onglet « CRL Publishing Parameters ». Dans le menu déroulant « CRL publication interval »
sélectionner « 1 hours ». Décocher la case « Publish delta CRLs » puis cliquer sur « OK » :
6. Faire un clique-droit sur « Revoked Certificates », puis choisir « All Tasks à Publish » :
11.2 Mettre à jour le certificat du DC AD301

2. Depuis l’explorateur Windows, saisir « mmc.exe ». Appuyer sur les touches « CTRL + M », sélectionner le
composant enfichable « Certificates » :
3. A la page « Certificates snap-in », sélectionner « Computer Account » puis « Local computer », cliquer sur
« Finish » puis sur « OK » :
4. Naviguez jusqu’à « Console Root à Certificates (Local Computer) à Personal à Certificates ». Faire un
clique-droit sur le certificat « AD301.MUTSVC-KRJ.LAB », et choisir « All Tasks à Renew Certificate with
New Key… » :
5. A la page « Before you begin », cliquer sur « Next ».

6. A la page « Request Certificates », cliquer sur « Details » puis sur « Properties » :
7. Sélectionner l’onglet « Extensions » et dérouler la section « Extended Key Usage ». Dans la colonne
« Available options », sélectionner « Smart Card Logons » et cliquer sur « Add ». Idem avec « KDC
Authentication ». Cliquer en suite sur « OK » :
8. Cliquer sur « Enroll » :
9. Cliquer sur « Finish » :

10. Redémarrer le serveur AD301.MUTSVC-KRJ.LAB.

11.3 Configurer la fonction LDAP REFERRALS le serveur AD301

2. Ouvrir un invité de commande MS-DOS (cmd) en mode administrateur :
3. Dans cet invité de commande, saisir les commandes ci-dessous :
1. certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS

2. net stop certsvc
3. net start certsvc
11.4 Exporter les modèles de certificat FAS depuis FAS101
12. Depuis l’explorateur Windows, naviguer jusqu’au répertoire « C:\Program Files\Citrix\Federated
Authentication Service » :
13. Copier le répertoire « CertificateTemplates » et coller ce dernier sur la partition D:\ du serveur
« AD301.MUTSVC-KRJ.LAB » (il vous faudra un compte administrateur du domaine MUTSVC-KRJ.LAB) :
14. Vérifier que le répertoire a correctement été copié, ce dernier devrait contenir 3 modèles de certificat :
11.5 Importer les modèles de certificat FAS dans MUTSVC-KRJ

1. cd C:\CertificateTemplates
2. ForEach ($CertTemplate in (Get-ChildItem .)) {
3. $template = [System.IO.File]::ReadAllBytes("$Pwd\$CertTemplate")
4. $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
5. $CertEnrol.InitializeImport($template)
6. $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
7. $writabletemplate = New-Object -ComObject
X509Enrollment.CX509CertificateTemplateADWritable
8. $writabletemplate.Initialize($comtemplate)
9. $writabletemplate.Commit(1, $NULL)
10. }
11.6 Configurer et publier les modèles de certificat FAS dans MUTSVC-KRJ

10. Sélectionner « Certification Authority à MUTSVC-ROOT-CA à Certificate Templates », faire un clique-

droit puis choisir « Manage » :
11. Sélectionner le modèle de certificat « Citrix_RegistrationAuthority », faire un clique-droit puis choisir

« Properties » :
12. Sélectionner l’onglet « Security », puis retirer la permissions « Enroll » à tous les utilisateurs présents :
13. Cliquer sur « Add », puis saisir le compte d’ordinateur du serveur FAS « KRJ\FAS101$ ». Attribuer la
permission « Enroll » au compte ajouté :
14. Réaliser à nouveau les étapes 5 à 7, mais cette fois-ci les effectuer sur le modèle de certificat
« Citrix_RegistrationAuthority_ManualAuthorization ».
17. Sélectionner « Certification Authority à MUTSVC-ROOT-CA à Certificate Templates », faire un clique-

droit puis choisir « Manage » :
18. Sélectionner « New à Certificate Template to Issue » :
19. Sélectionner les 3 modèles Citrix puis cliquer sur « OK » :

12. Préparation de la forêt KRJ.LAB

12.1 Exporter le certificat de l’autorité racine MUTSVC-ROOT-CA

3. Dans cet invité de commande, saisir la commande ci-dessous :
1. certutil -ca.cert "C:\MUTSVC-ROOT-CA.cer"

12.2 Importer le certificat de l’autorité racine MUTSVC-ROOT-CA dans le

magasin NTAuthCA du domaine KRJ.LAB
1. S’authentifier sur le serveur « AD101.KRJ.LAB » avec un compte possédant les droits administrateurs
2. Depuis l’explorateur Windows, naviguer jusqu’à « \\AD301.MUTSVC-KRJ.LAB\c$ » (il vous faudra un
compte administrateur du domaine MUTSVC-KRJ.LAB) :
3. Copier le fichier « MUTSVC-ROOT-CA » à la racine de la partition « C:\ » du serveur :

5. Dans cet invité de commande, saisir la commande ci-dessous :
1. certutil -dspublish -f "C:\MUTSVC-ROOT-CA.cer" NTAuthCA

12.3 Mettre à jour la stratégie de groupe SEC-Configuration des autorités

CA-1.0
3. Cliquer sur « Tools à Group Policy Management » :
4. Naviguer jusqu’à « Group Policy Management à Forest : KRJ.LAB à Domains à KRJ.LAB »,

sélectionner la stratégie de groupe « SEC-Configuration des autorités CA-1.0 », faire un clique-droit puis
choisir « Edit… » :
5. Naviguer jusqu’à « Computer Configuration à Windows Settings à Security Settings à Public Key
Policies à Trusted Root Certification Authorities », faire un clique-droit sur un espace vide puis choisir
« Import… » :
6. A la page « Welcome to the Certificate Import Wizard », cliquer sur « Next ».

7. A la page « File to import », dans la section « File name » saisir « C:\MUTSVC-ROOT-CA.cer » puis
8. A la page « Certificate Store », cliquer sur « Next ».

9. Vérifier que le certificat « MUTSVC-ROOT-CA » a correctement été importé :
10. Mettre à jour les GPOs appliquées sur tous les serveurs du domaine KRJ.LAB.
12.4 Synchroniser les modèles de certificat entre les domaines MUTSVC-

KRJ.LAB et KRJ.LAB
1. cd C:\DFSRoots\MISC
2. powershell -executionpolicy bypass -file ".\PKISync.ps1" -sourceforest MUTSVC-KRJ.LAB -
targetforest KRJ.LAB -type Template -cn "Citrix_SmartcardLogon" -f
targetforest KRJ.LAB -type Template -cn "Citrix_RegistrationAuthority" -f
targetforest KRJ.LAB -type Template -cn "Citrix_RegistrationAuthority_ManualAuthorization" -
f
12.5 Supprimer les modèles et OIDs synchronisés hors FAS
1. cd C:\DFSRoots\MISC
targetforest KRJ.LAB -type CA -f
targetforest KRJ.LAB -type OID -f
4. $ADSISearcher = [ADSISearcher]'(&(objectclass=msPKI-Enterprise-
Oid)(!displayname=Citrix*)(!name=OID))'
5. $ADSISearcher.SearchRoot = [ADSI]"LDAP://CN=Configuration,DC=KRJ,DC=LAB"
6. $UnnecessaryOid = $ADSISearcher.FindAll()
7. ForEach ($ObjectToDelete in $UnnecessaryOid) {
8. Remove-ADObject $ObjectToDelete.Path.Split('/')[2] -confirm:$false
9. }
12.6 Ajouter le serveur AD301 au groupe « Cert Publishers »
3. Cliquer sur « Tools à Active Directory Users and Computers » :
4. Naviguer jusqu’à « KRJ.LAB à Users » et double-cliquer sur le groupe Active Directory « Cert
Publishers » :
5. Cliquer sur l’onglet « Members », et ajouter le compte d’ordinateur « MUTSVC-KRJ\AD301$ » :

12.7 Ajouter le serveur FAS101 au groupe « GG-S-Infrastructure Servers »
4. Naviguer jusqu’à « KRJ.LAB à _GROUPS à ADMIN GROUPS » et double-cliquer sur le groupe Active
Directory « GG-S-Infrastructure Servers » :
5. Cliquer sur l’onglet « Members », et ajouter le compte d’ordinateur « KRJ\FAS101$ » :

12.8 Autoriser les contrôleurs de domaine MUTSVC-KRJ.LAB à

s’authentifier
4. Naviguer jusqu’à « KRJ.LAB à Domain Controller », faire un clique-droit puis choisir « Properties » :
5. Sélectionner l’onglet « Security », cliquer sur « Advanced » puis « Add » :

6. Cliquer sur « Select a principal » et saisir « MUTSVC-KRJ\domain controllers ». Dans le menu déroulant
« Applies to », sélectionner « Descendant Computer Objects ». Dans la section « Permissions », cocher la
case « Allowed to authenticate » puis cliquer sur « OK » à 3 reprises :
7.
13. Finalisation de l’installation de FAS dans la zone KRJ

13.1 Configurer le composant FAS sur le serveur FAS101
2. Depuis le menu « Démarrer », naviguer jusqu’à « Citrix » puis faire un clique-droit sur l’icône « Citrix
Federated Authentication Services » et choisir « Run as administrator » :
3. Cliquer sur le bouton « Authorize » situé à la droite. Il n’est pas nécessaire de prendre en compte le
message d’erreur affiché, il est tout à fait normal que nous ne possédions pas les droits de déployer les
templates (ce qui est d’ailleurs déjà fait) :
4. A l’ouverture du pop-up « Authorize Service », cliquer sur « OK » :
5. Une fois la requête soumise, le message suivant apparaît dans la console de configuration du composant
FAS :
6. Conserver votre session ouverte sur le serveur FAS101, et simultanément vous authentifier sur le serveur
« AD301.MUTSVC-KRJ.LAB » avec un compte possédant les droits administrateurs (domain admin,
enterprise admins).
9. Naviguer jusqu’à « Certification Authority à MUTSVC-ROOT-CA à Pending Requests ». Sélectionner la

requête émise par le serveur « KRJ\FAS101$ », faire un clique-droit puis choisir « All Tasks à Issue » :
10. La console FAS affiche désormais le message suivant :

13.2 Créer la règle FAS sur serveur FAS101
2. Depuis le menu « Démarrer », naviguer jusqu’à « Citrix » puis faire un clique-droit sur l’icône « Citrix
Federated Authentication Services » et choisir « Run as administrator » :
3. Sélectionner l’onglet « Rules », puis cliquer sur « Create rule » :

4. A la page « Rule name », sélectionner « Enter a custom rule name ». Dans le champ débloqué, saisir
« MUTSVC-ROOT-CA » puis cliquer sur Next » :
5. A la page « Template », sélectionner « Citrix_SmartcardLogon » puis cliquer sur « Next » :

6. A la page « Certificate authority », décocher la case « Only show CAs publishing

Citrix_SmartcardLogon ». Sélectionner l’autorité de certification « AD301.MUTSVC-KRJ.LAB\MUTSVC-
ROOT-CA » puis cliquer sur « Next » :
7. A la page « In-session use », cocher la case « Allow in-session use » puis cliquer sur « Next » :
8. A la page « Access control », cliquer sur « Manage StoreFront access permissions ». Ajouter le compte
d’ordinateur « KRJ\SF101$ » et cocher la case « Assert Identity ». Supprimer l’entrée « Domain
Computers ». Cliquer ensuite sur « OK » puis sur « Next » :
9. A la page « Restrictions », cliquer sur « Manage user permissions ». Supprimer l’entrée « KRJ\Domain
Users ». Cliquer sur « Add » puis ajouter les groupes « MUTSVC-KRJ\GG-S-Users HARMONIE » et
« MUTSVC-KRJ\GG-S-Users VYV ». Pour ces entrées, cocher la case « Allow ». Cliquer enfin sur « OK »
puis « Next » :
10. A la page « Summary », cliquer sur « Create » :

13.3 Créer et appliquer la stratégie de groupe CTX-Configuration de la

règle FAS-1.0
2. Depuis l’explorateur Windows, naviguer jusqu’à « \\FAS101.KRJ.LAB\c$\Program Files\Citrix\Federated
Authentication Service\PolicyDefinitions » :
3. Copier l’ensemble des fichiers et répertoires s’y trouvant, et coller ces derniers à l’emplacement
« \\KRJ.LAB\sysvol\KRJ.LAB\Policies\PolicyDefinitions ». Remplacer la destination si nécessaire :

5. Cliquer sur « Tools à Group Policy Management » :
6. Naviguer jusqu’à « Group Policy Management à Forest : KRJ.LAB à Domains à KRJ.LAB à Groupe
Policy Objects ». Faire un clique-droit et choisir « New… » :
7. Dans le champ « Name », saisir « CTX-Configuration de la règle FAS-1.0 » puis cliquer sur « OK » :
8. Faire un clique-droit sur la stratégie nouvellement créée, puis choisir « Edit… » :
9. Naviguer jusqu’à « Computer Configuration à Administrative Templates à Citrix Components à

Authentication » :
8. Configuration la stratégie de groupe en utilisant les informations indiquées dans le tableau ci-dessous,
puis cliquer sur fermer cette dernière :
Tableau 176. Paramètres de configuration de la stratégie CTX-Configuration de la règle FAS-1.0
Federated Authentication • Status à Enabled

Services
• DNS addresses à « FAS101.KRJ.LAB »
StoreFront FAS RULE • Status à Enabled

• Request rule à « MUTSVC-ROOT-CA »
Usage or role • Status à Enabled

• Prompt scope à Per-session
• Timeout à « 43200 »
• Disconnect on lock à Ne pas cocher la case
9. Lier la stratégie de groupe créée aux OUs « StoreFront » et « VDA » :
10. Mettre à jour les GPOs sur le serveur StoreFront et les VDAs déployés. Sélectionner l’OU « _CITRIX »,
faire un clique-droit puis choisir « Group Policy Update… » :
11. A la page « Force Group Policy Update », cliquer sur « Yes » :

14. Configurer du service SAML Auth0 GROUPE VYV

14.1 Créer le compte utilisateur de démonstration externe
1. Depuis votre poste de travail (hors POC), accéder à l’URL https://auth0.com puis cliquer sur « Login » et
vous authentifier avec le compte « amzouj.karim@gmail.com » :
2. Une fois authentifié, cliquer sur « Users & Roles à Users à Create User » dans la section de gauche :
3. A la page « Create user », saisir les informations comme indiquées dans le tableau ci-dessous, puis
cliquer sur « Create »
Tableau 177. Paramètres de création du compte Auth0 de démo David HOUOT
Email dhouot@groupe-vyv.demo
Password « qhtd5CJPqhtd5CJP »
Confirm password « qhtd5CJPqhtd5CJP »
Connection Username-Password-Authentication
14.2 Créer le compte utilisateur de démonstration externe
1. Depuis votre poste de travail (hors POC), accéder à l’URL https://auth0.com puis cliquer sur « Login » et
vous authentifier avec le compte « amzouj.karim@gmail.com » :
2. Une fois authentifié, cliquer sur « Applications à Create Application » dans la section de gauche :
3. Dans le champ « Name », saisir « NetScaler Gateway MGEN », sélectionner « Regular Web
Applications » puis cliquer sur « Create » :
4. Sélectionner l’onglet « Settings » :

4. Saisir les informations comme indiquées dans le tableau ci-dessous (seuls les paramètres à modifier sont
présentés) puis cliquer sur « Save Changes » :
Tableau 178. Paramètres de configuration basique de l’application NetScaler Gateway MGEN
Application Properties à « https://upload.wikimedia.org/wikipedia/commons/2/2e/Citrix.svg »

Application Logo
Application URIs à Allowed « https://sso.donotuse.eu:8443/cgi/samlauth »

Callback URLs
5. Naviguer jusqu’en bas de la page et cliquer sur « Show Advanced Settings » :

6. Cliquer sur « Applications à NetScaler Gateway MGEN » puis sélectionner l’onglet « Addons ». Activer
l’addon « SAML2 WEB APP » et passer à l’étape suivante pour le configurer :
7. Remplacer le contenu du champ « Settings » par les lignes de code ci-dessous :
1. {
2. "mappings": {
3. "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"
4. }
5. }
8. Naviguer jusqu’en bas de la page et cliquer sur « Enable » et/ou « Save » :
9. Remonter en haut de la page et cliquer sur l’onglet « Usage » :

10. Cliquer sur « Download Auth0 certificate ». Le certificat sera par la suite installé sur l’appliance NetScaler
Gateway pour permettre la communication avec le service Auth0. Sauvegarder également l’URL « Identity
Provider Login URL », cette dernière sera déclarée dans l’action d’authentification SAML.
15. Configurer le service ADFS dans la zone HARMONIE

15.1 Finaliser le composant ADFS sur le serveur ADF401
12. S’authentifier sur le serveur « ADFS401.HARMOIE.IN » avec un compte possédant les droits
administrateurs.
14. Cliquer sur « Tools à AD FS Management » :
15. Naviguer jusqu’à « AD FS à Relying Party Trust ». Dans la section « Actions » située à droite, cliquer sur
« Add Relying Party Trust » :
16. A la page « Welcome », sélectionner « Claims aware » puis cliquer sur « Start » :
17. A la page « Select Data Source », sélectionner « Enter data about the relying party manually » puis
18. A la page « Specity Display Name », dans le champ « Display name » saisir «
https://sso.donotuse.eu:8443 » et cliquer sur « Next » :
19. A la page « Configure Certificate », ne rien saisir et cliquer directement sur « Next » :
20. A la page « Configure URL », sélectionner « Enable support for the SAML 2.0 Web SSO protocol ». Dans
le champ débloqué, saisir « https://sso.donotuse.eu:8443/cgi/samlauth » et cliquer sur « Next » :
21. A la page « Configure Identifiers », dans le champ « Relying party trust identifier » saisir «
https://sso.donotuse.eu:8443 », cliquer sur « Add » puis sur « Next » :
22. A la page « Choose Access Control Policy », ne rien saisir et cliquer directement sur « Next » :
23. A la page « Ready to Add Trust », cliquer sur « Next ».

24. A la page « Finish », décocher la case « Configure claims issuance policy for this application » :
25. Naviguer jusqu’à « AD FS à Relying Party Trust », sélectionner « https://sso.donotuse.eu:8443 » puis

faire un clique-droit et choisir « Properties » :
26. Sélectionner l’onglet « Endpoints » puis cliquer sur « Add SAML… » :
27. A la page « Add Endpoint », saisir les informations comme indiquées dans le tableau ci-dessous, puis
cliquer sur « OK » :
Tableau 179. Paramètres de configuration d’un endpoint SAML de logout
Endpoint Type SAML Logout
Binding POST
Trusted URL https://adfs.harmonie.donotuse.eu:9443/adfs/ls/?wa=wsignout1.0

28. Une fois la saisie terminée, cliquer sur « OK » à 2 reprises :
29. Naviguer jusqu’à « AD FS à Relying Party Trust », sélectionner « https://sso.donotuse.eu:8443 » puis

faire un clique-droit et choisir « Edit Claim issuance Policy… » :
30. Cliquer sur « Add Rule… » :
31. A la page « Choose Rule Type », sélectionner « Send LDAP Attributes as claim » puis cliquer sur
« Next » :
32. A la page « Configure Claim Rule », saisir les informations comme indiquées dans le tableau ci-dessous,
puis cliquer sur « Finish » et enfin sur « OK » pour terminer :
Tableau 180. Paramètres de configuration de l’émission des jetons SAML
Claim rule name Send e-mail attribute as Name-ID
Attribute store Active Directory
LDAP Attribute E-Mail-Addresses
Outgoing Claim Type Name ID

15.2 Créer un compte de domaine HARMONIE
1. S’authentifier sur le serveur « AD401.HARMOIE.IN » avec un compte possédant les droits

administrateurs.
4. Naviguer jusqu’à « HARMONIE.IN à _USERS à USER ACCOUNTS ». Faire un clique-droit sur l’OU
puis choisir « New à User » :
5. A la page première page de l’assistant de création du compte, saisir les informations comme indiquées
dans le tableau ci-dessous, puis cliquer sur « Next » :
Tableau 181. Paramètres de création du compte de démo Stéphane MOUTON
First Name Stéphane
Last Name MOUTON - HARMONIE
User logon name smouton (@HARMONIE.IN)
Password « qhtd5CJP »
Confirm password « qhtd5CJP »
Options • User must change password at next logon à Décocher la case

• User cannot change password à Cocher la case
• Password never expires à Cocher la case
6. Faire un clique-droit sur le compte créé, puis sélectionner « Properties » :
7. Dans le champ « E-mail », saisir « smouton@harmonie.demo » puis cliquer sur « OK » :

16. Finalisation de la configuration de MUTSVC-KRJ.LAB

16.1 Créer le suffixe UPN alternatif pour les partenaires externes

3. Cliquer sur « Tools à Active Directory Domains and Trusts » :
4. Faire un clique-droit sur « Active Directory Domains and Trusts » puis choisir « Properties » :
5. Dans le champ « Alternative UPN suffixes », saisir « harmonie.demo » et cliquer sur « Add ». Réaliser la
même opération pour « groupe-vyv.demo ». Cliquer sur « OK » :
16.2 Activer les suffixes UPN alternatifs dans la relation d’approbation

KRJ/MUTSVC-KRJ
3. Cliquer sur « Tools à Active Directory Domains and Trusts » :
4. Faire un clique-droit sur « KRJ.GIE » puis choisir « Properties » :
5. Sélectionner l’onglet « Trusts » puis « MUTSVC-KRJ.LAB » et cliquer sur « Properties » :

6. Sélectionner l’onglet « Name Suffix Routing », puis cliquer sur « Refresh ». Les suffixes UPN alternatifs
ajoutés sont affichés :
7. Sélectionner les suffixes alternatifs « *.groupe-vyv.demo » et « *.harmonie.demo » et cliquer sur

« Enable » :
16.3 Créer le compte fantôme pour la démo HARMONIE

administrateurs.
4. Naviguer jusqu’à « MUTSVC-KRJ.LAB à _PARTNERS à HARMONIE à USER ACCOUNTS ». Faire un

clique-droit sur l’OU puis choisir « New à User » :
Tableau 182. Paramètres de création du compte fantôme de démo Stéphane MOUTON
First Name Stéphane
Last Name MOUTON - SHADOW
User logon name smouton (@harmonie.demo)

6. Faire un clique-droit sur le compté créé, puis choisir « Properties ». Dans l’onglet « Member Of », cliquer
sur « Add ». Saisir « MUTSVC-KRJ\GG-S-Users HARMONIE » puis cliquer sur « OK » :
16.4 Créer le compte fantôme pour la démo GROUPE VYV

administrateurs.
4. Naviguer jusqu’à « MUTSVC-KRJ.LAB à _PARTNERS à VYV à USER ACCOUNTS ». Faire un clique-

droit sur l’OU puis choisir « New à User » :
Tableau 183. Paramètres de création du compte fantôme de démo David HOUOT
First Name David
Last Name HOUOT - SHADOW
User logon name dhouot (@groupe-vyv.demo)

6. Faire un clique-droit sur le compté créé, puis choisir « Properties ». Dans l’onglet « Member Of », cliquer
sur « Add ». Saisir « MUTSVC-KRJ\GG-S-Users VYV » puis cliquer sur « OK » :
17. Configurer le point d’accès https://sso.donotuse.eu:8443

17.1 Créer la policy d’authentification SAML HARMONIE
17.1.1 Exporter le certificate ADFS à partir du serveur ADFS401
1. S’authentifier sur le serveur « ADFS401.HARMOIE.IN » avec un compte possédant les droits

administrateurs.
3. Cliquer sur « Tools à AD FS Management » :
4. Naviguer jusqu’à « AD FS à Service à Certificate ». Sélectionner le certificat « Token-signing », faire un

clique-droit puis choisir « View certificate » :
5. Sélectionner l’onglet « Details », puis cliquer sur « Copy to file » et sauvegarder le certificat sur le
bureau au format base 64 :
17.1.2 Importer le certificate ADFS sur l’appliance NS101
1. S’authentifier sur l’appliance NS101, via l’URL http://192.168.101.2 (nsroot/nsroot).

2. Naviguer jusqu’à « Configuration à Traffic Management à SSL à Certificates à CA Certificates » :
3. Cliquer sur « Install ». Dans le champ « Certificate-key-pair-name » saisir « ADFS-HARMONIE-TOKEN-

SIGNING ». Cliquer sur « Choose File à Local » et sélectionner le certificat exporté au chapitre
précédent. Terminer en cliquant sur « Install » :
17.1.3 Créer l’action d’authentification SAML/ADFS HARMONIE

2. Naviguer jusqu’à « Configuration à Security à AAA à Policies à Authentication à Advanced Policies à
Actions à SAML », sélectionner l’onglet « Servers » puis cliquer sur « Add » :
3. A la page « Create Authentication SAML Server », saisir les informations comme indiquées dans le
tableau ci-dessous, puis cliquer sur « Create » :
Tableau 184. Paramètres de création du server d’authentification SAML/ADFS HARMONIE
Name « SRV_SAML_ADFS_harmonie_donotuse_eu_9443 »
Import Metadata Décocher la case
Redirect URL « https://adfs.harmonie.donotuse.eu:9443/adfs/ls »
Single Logout URL « https://adfs.harmonie.donotuse.eu:9443/adfs/ls/?wa=wsignout1.0 »
SAML Binding POST
Logout Binding POST
IDP Certificate Name ADFS-HARMONIE-TOKEN-SIGNING
User Field « Name ID »
Issuer Name « https://sso.donotuse.eu:8443 »
Signature Algorithm SHA-256
Digest Method SHA-256

17.1.4 Créer la policy d’authentification SAML/ADFS HARMONIE

Policy », puis cliquer sur « Add » :
3. A la page « Create Authentication Policy », saisir les informations comme indiquées dans le tableau ci-
dessous, puis cliquer sur « Create » :
Tableau 185. Paramètres de création de la policy d’authentification SAML/ADFS HARMONIE
Name « PL_SRV_ SAML_ADFS_harmonie_donotuse_eu_9443 »
Action Type DAMS
Action SRV_ SAML_ADFS_harmonie_donotuse_eu_9443
Expression « true »
17.2 Créer la policy d’authentification SAML GROUPE VYV
17.2.1 Importer le certificate Auth0 sur l’appliance NS101

2. Naviguer jusqu’à « Configuration à Traffic Management à SSL à Certificates à CA Certificates » :
3. Cliquer sur « Install ». Dans le champ « Certificate-key-pair-name » saisir « dev-t2u4xdc8». Cliquer sur
« Choose File à Local » et sélectionner le certificat exporté lors de la configuration du service Auth0.
Terminer en cliquant sur « Install » :
17.2.2 Créer l’action d’authentification SAML/ADFS GROUPE VYV

Actions à SAML », sélectionner l’onglet « Servers » puis cliquer sur « Add » :
3. A la page « Create Authentication SAML Server », saisir les informations comme indiquées dans le
tableau ci-dessous, puis cliquer sur « Create » :
Tableau 186. Paramètres de création du server d’authentification SAML/ADFS GROUPE VYV
Name « SRV_SAML_t2u4xdc8_eu_auth0_com »
Import Metadata Décocher la case
Redirect URL URL sauvegardée à l’étape de configuration du service Auth0
Single Logout URL URL sauvegardée à l’étape de configuration du service Auth0 + « /logout »
SAML Binding POST
Logout Binding POST
IDP Certificate Name dev-t2u4xdc8
User Field « Name ID »
Issuer Name « https://sso.donotuse.eu:8443 »
Signature Algorithm SHA-256
Digest Method SHA-256

17.2.3 Créer la policy d’authentification SAML/ADFS HARMONIE

Tableau 187. Paramètres de création de la policy d’authentification SAML/ADFS GROUPE VYV
Name « PL_SRV_ SAML_t2u4xdc8_eu_auth0_com »
Action Type DAMS
Action SRV_SAML_t2u4xdc8_eu_auth0_com
17.3 Créer les policies d’authentification
17.3.1 Créer la policy principale d’authentification fictive

Tableau 188. Paramètres de création de la policy d’authentification primaire fictive
Name « PL_no_auth »
Action Type NO_AUTHN
17.3.2 Créer la policy d’authentification permettant le routage vers l’IDP

HARMONIE

Tableau 189. Paramètres de création de la policy d’authentification de routage vers l’IDP

HARMONIE
Name « PL_HARMONIE_email_domain_no_auth »
Expression « AAA.USER.ATTRIBUTE(1).SET_TEXT_MODE(IGNORECASE)
.AFTER_STR("@").EQ("harmonie.demo") »
17.3.3 Créer la policy d’authentification permettant le routage vers l’IDP

GROUPE VYV

Tableau 190. Paramètres de création de la policy d’authentification de routage vers l’IDP GROUPE
VYV
Name « PL_GROUPEVYV_email_domain_no_auth »
Expression « AAA.USER.ATTRIBUTE(1).SET_TEXT_MODE(IGNORECASE)
.AFTER_STR("@").EQ("groupe-vyv.demo") »
17.4 Créer les schémas d’authentification
17.4.1 Créer le schéma principal d’authentification mutualisé

2. Naviguer jusqu’à « Configuration à Security à AAA à Login Schema à Profiles », puis cliquer sur
« Add » :
3. Dans le champ « Name », saisir « lschema_read_email_address ». Dans le champ « Authentication

Schema », cliquer sur l’icône représentant un crayon :
4. Cliquer sur « LoginSchema », sélectionner « OnlyUsername.xml ». Cliquer sur l’onglet « French » puis sur
clique sur « Edit » à droite :
5. Saisir les informations telles qu’elles sont présentées dans la capture d’écran ci-dessous puis cliquer sur
« Save » :
6. Cliquer sur « More », dans le champ « User Credential Index », saisir « 1 » puis cliquer sur « Create » :
17.4.2 Créer le schéma d’authentification SAML

2. Naviguer jusqu’à « Configuration à Security à AAA à Login Schema à Profiles », puis cliquer sur
« Add » :
3. Dans le champ « Name », saisir « lschema_noschema », puis cliquer sur « Create » :

17.5 Créer le flow nFactor d’authentification

2. Naviguer jusqu’à « Configuration à Security à AAA à nFactor Visualizer à nFactor Flows », puis cliquer
sur « Add » :
3. Cliquer sur le symbole « + », puis dans le champ « Factor Name » saisir

« NF_SSO_donotuse_eu_9443_authentication » et cliquer sur « Create » :
4. Cliquer sur « Add schema ». Dans le menu déroulant « Authentication Login Schema » sélectionner
« lschema_read_email_address » puis cliquer sur « OK » :
5. Cliquer sur « Add Policy ». Dans le menu déroulant « Select Policy » sélectionner « PL_no_auth » puis
cliquer sur « Add » :
6. Au niveau du bloc « NF_SSO_donotuse_eu_9443_authentication », à droite du sous-bloc

« PL_no_auth », cliquer sur le symbole « + » vert :
7. Sélectionner « Create decision block », dans le champ « Decision block name » saisir
« READ_email_domain » puis cliquer sur « Create » :
8. Au niveau du bloc « READ_email_domain », cliquer sur « Add Policy ». Dans le menu déroulant « Select
Policy », choisir « PL_HARMONIE_email_domain_no_auth » et cliquer sur « Add » :
9. Au niveau du bloc « READ_email_domain », en dessous du sous-bloc

« PL_HARMONIE_email_domain_no_auth », cliquer sur le symbole « + » bleu :
10. Dans le menu déroulant « Select Policy », choisir « PL_GROUPEVYV_email_domain_no_auth » puis

11. Au niveau du bloc « READ_email_domain », à droite du sous-bloc

« PL_HARMONIE_email_domain_no_auth », cliquer sur le symbole « + » vert :
12. Sélectionner « Create Factor », dans le champ « Factor Name » saisir

« SAML_ADFS_harmonie_donotuse_eu_9443 » puis cliquer sur « Create » :
13. Au niveau du bloc « SAML_ADFS_harmonie_donotuse_eu_9443 », cliquer sur « Add Schema ». Dans le

menu déroulant « Authentication Login Schema » sélectionner « lschema_noschema » puis cliquer sur
« OK » :
14. Au niveau du bloc « SAML_ADFS_harmonie_donotuse_eu_9443 », cliquer sur « Add Policy ». Dans le

menu déroulant « Select Policy », choisir « PL_SRV_ SAML_ADFS_harmonie_donotuse_eu_9443 » et
15. Au niveau du bloc « READ_email_domain », à droite du sous-bloc

« PL_GROUPEVYV_email_domain_no_auth », cliquer sur le symbole « + » vert :
16. Sélectionner « Create Factor », dans le champ « Factor Name » saisir « SAML_t2u4xdc8_eu_auth0_com
» puis cliquer sur « Create » :
17. Au niveau du bloc « SAML_t2u4xdc8_eu_auth0_com », cliquer sur « Add Schema ». Dans le menu
déroulant « Authentication Login Schema » sélectionner « lschema_noschema » puis cliquer sur « OK » :
18. Au niveau du bloc « SAML_t2u4xdc8_eu_auth0_com », cliquer sur « Add Policy ». Dans le menu
déroulant « Select Policy », choisir « PL_SRV_SAML_t2u4xdc8_eu_auth0_com» et cliquer sur « Add » :
17.6 Créer le profil global d’authentification
17.6.1 Créer le vServer AAA non adressable

2. Naviguer jusqu’à « Configuration à Security à AAA à Virtual Servers », puis cliquer sur « Add » :
3. A la page « Authentification Virtual Server à Basic Settings », dans le champ « Name » saisir
« VS_AAA_non_addressable », dans le menu déroulant « IP Address Type » choisir « Non Addressable »
puis cliquer sur « OK » :
4. Cliquer sur « Certificate à Server Certificate ». Sélectionner un certificat SSL valide (le choix n’a aucune
importance, le vServer n’étant pas accessible depuis l’extérieur cela n’a aucune importance) puis clique
sur « Select » et « Continue » :
5. Cliquer sur « Advanced Authentication Policies à nFactor Flow ». Dans le champ « Select nFactor
Flow », choisir le flow « NF_SSO_donotuse_eu_9443_authentication » puis cliquer sur « Bind » puis
« Continue » :
6. Dans la section de droite, cliquer sur « Portal Theme ». Dans le menu déroulant « Portal Theme »
sélectionner « RfWebUI » puis cliquer sur « OK » et « Done » :
17.6.2 Créer le profil d’authentification AAA

2. Naviguer jusqu’à « Configuration à Security à AAA à Authentication Profile », puis cliquer sur « Add » :
3. Dans le champ « Name », saisir « PL_AP_multiple_SAML_IDP ». Dans le menu déroulant

« Authentication Virtual Server » choisir « VS_AAA_non_adressable » puis cliquer sur « Create » :
17.7 Créer les profils et policies de session dédiés FAS (CLI)
1. S’authentifier sur l’appliance NS101 avec PuTTY en vous connectant à l’adresse « 192.168.101.2 »
(nsroot/nsroot) :
2. Dans la console SSH, saisir les lignes de commande ci-dessous :
1. add vpn sessionAction PRF_FAS_StoreFront_Web -transparentInterception ON -

"https://sf101.krj.lab/citrix/fasoutstoreweb" -clientlessVpnMode ON -WindowsPluginUpgrade
Never -MacPluginUpgrade Never -LinuxPluginUpgrade Never
2. add vpn sessionAction PRF_FAS_StoreFront_SelfService -transparentInterception OFF -
"https://sf101.krj.lab" -clientlessVpnMode ON -storefronturl "https://sf101.krj.lab" -
WindowsPluginUpgrade Never -MacPluginUpgrade Never -LinuxPluginUpgrade Never
3. add vpn sessionPolicy PL_PRF_FAS_StoreFront_Web "REQ.HTTP.HEADER User-Agent NOTCONTAINS
CitrixReceiver" PRF_FAS_StoreFront_Web
4. add vpn sessionPolicy PL_PRF_FAS_StoreFront_SelfService "REQ.HTTP.HEADER User-Agent CONTAINS
CitrixReceiver" PRF_FAS_StoreFront_SelfService
17.8 Créer le vServer Gateway

2. Naviguer jusqu’à « Configuration à Citrix Gateway à Virtual Servers », puis cliquer sur « Add » :
3. A la page « VPN Virtual Server à Basic Settings », dans le champ « Name » saisir
« VS_GW_sso_donotuse_eu_8443 ». Dans le menu déroulant « IP Address Type » choisir « IP
Address ». Dans le champ « IP Address » saisir « 192.168.101.4 ». Dans le champ « Port » saisir
« 8443 » puis cliquer sur « OK » :
4. Cliquer sur « Certificate à Server Certificate ». Sélectionner le certificat « sso-donotuse-eu » puis cliquer
sur « Select » et « Continue » :
5. A la section « Basic Authentication », cliquer directement sur « Continue » :
6. A la section « Advanced Authentication Policy », cliquer directement sur « Continue » :
7. Dans la section « Advanced Settings » située à droite, cliquer sur « Authentication Profile ». Dans le menu
déroulant sélectionner « PL_AP_multiple_SAML_IDP » puis cliquer sur « OK » :
8. Dans la section « Advanced Settings » située à droite, cliquer sur « Published Applications », cliquer
ensuite sur « No STA Server ». Dans le champ « STA Server » saisir « http://10.1.1.3/scripts/ctxsta.dll »,
dans le menu déroulant « Type » saisir « IPv4 » puis cliquer sur « OK » :
9. Dans la section « Policies », cliquer sur le symbole « + » bleu. Dans le menu déroulant « Choose Policy »
choisir « Session » et cliquer sur « Continue » :
10. Cliquer sur « Select Policy » et choisir « PL_PRF_FAS_StoreFront_Web » puis cliquer sur « Bind » :
11. Effectuer la même opération pour la policy « PL_PRF_FAS_StoreFront_SelfService » :
12. Dans la section « Profile », cliquer sur le symbole de crayon situé à droite. Dans le menu déroulant « TCP
Profile » choisir « nstcp_default_XA_XD_profile » puis cliquer sur « OK » :
13. Terminer la configuration du point d’accès en cliquant sur « Done » en bas de page :

Citrix Xd7x Poc Fas v1.0

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Citrix Xd7x Poc Fas v1.0

Transféré par

Droits d'auteur :

Formats disponibles

Citrix XD7x POC FAS V1.

Historique des versions

Date Révision Auteur(s) Description Valideur(s)

28/04/2020 1.0 Karim AMZOUJ Version initiale du document.

Page 1 sur 296

Table des matières

Historique des versions ............................................................................ 1

2. Zone KRJ infrastructure ................................................................... 25

Page 2 sur 296

2.1.5.7 Configuration de la zone de recherche inversée 192.168.101.0 .......................................................39

Page 3 sur 296

2.4.6 Installation du composant Citrix StoreFront 7.19.12 ........................................................................................... 71

3. Zone KRJ DMZ ................................................................................ 78

4. Zone MGEN infrastructure ............................................................... 96

Page 4 sur 296

4.1.4.5 Stratégies de groupe appliquées .....................................................................................................103

5. Zone MUTSVC-KRJ infrastructure ................................................ 110

6. Interconnexion des forêts Active Directory .................................... 128

Page 5 sur 296

6.1 Configuration des zones de stub DNS ...................................................................... 128

7. Zone PUBLIC................................................................................. 135

8. Zone HARMONIE infrastructure .................................................... 142

Page 6 sur 296

8.2 Configuration de la machine virtuelle ADFS401.HARMONIE.IN ............................... 156

9. Zone HARMONIE DMZ ................................................................. 165

10. Préparation du déploiement FAS dans la zone KRJ ................. 177

11. Préparation de la forêt MUTSVC-KRJ.LAB ............................... 191

Page 7 sur 296

12. Préparation de la forêt KRJ.LAB ............................................... 205

13. Finalisation de l’installation de FAS dans la zone KRJ.............. 218

14. Configurer du service SAML Auth0 GROUPE VYV .................. 232

15. Configurer le service ADFS dans la zone HARMONIE ............. 240

16. Finalisation de la configuration de MUTSVC-KRJ.LAB ............. 253

17. Configurer le point d’accès https://sso.donotuse.eu:8443 ......... 264

Page 8 sur 296

17.2.2 Créer l’action d’authentification SAML/ADFS GROUPE VYV ........................................................................... 271

Page 9 sur 296

Liste des images

Page 10 sur 296

Liste des tableaux

Tableau 38. Paramètres de configuration de la machine virtuelle XD101.KRJ.LAB ................................................51

Tableau 78. Règles d’ouverture de flux DMZ du serveur FW101.DMZ.KRJ.LAB ....................................................90

1. Routeurs et cœurs de réseaux

1.1.1 Hyperviseur BOXNUC8I3BEH-1

Tableau 1. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-1

VMnet0 • Type à Bridged

VMnet1 • Type à Bridged

VMnet2 • Type à Host Only

VMnet3 • Type à Host Only

VMnet11 • Type à Host Only

1.1.2 Hyperviseur BOXNUC8I3BEH-2

Tableau 2. Paramètres de configuration des réseaux virtuels BOXNUC8I3BEH-2

VMnet0 • Type à Bridged

VMnet1 • Type à Bridged

VMnet4 • Type à Host Only

VMnet5 • Type à Host Only

VMnet6 • Type à Host Only

VMnet7 • Type à Host Only

VMnet8 • Type à Host Only

VMnet9 • Type à Host Only

VMnet12 • Type à Host Only

1.2 Cœur de réseaux KRJ

1.2.1 Déploiement de la machine virtuelle CORE101.KRJ.LAB

Tableau 3. Paramètres de configuration de la machine virtuelle CORE101.KRJ.LAB