Vous êtes sur la page 1sur 37

Module 6 :

Configuration et
dépannage du service
de routage et
d'accès à distance
Vue d'ensemble du module
• Configuration de l'accès réseau

• Configuration de l'accès VPN

• Vue d'ensemble des stratégies réseau

• Vue d'ensemble du Kit d'administration de Connection Manager

• Dépannage du service de routage et d'accès à distance


Leçon 1 : Configuration de l'accès réseau
• Composants d'une infrastructure de services d'accès réseau

• Qu'est-ce que le rôle Services de stratégie et d'accès réseau ?

• Qu'est-ce que le service de routage et d'accès à distance ?

• Considérations relatives à la configuration et à l'activation


du service de routage et d'accès à distance
• Démonstration : Comment installer le service de routage
et d'accès à distance ?
• Authentification réseau et autorisation

• Types de méthodes d'authentification

• Intégration de serveurs DHCP au service de routage et d'accès à


distance
Composants d'une infrastructure de services
d'accès réseau
Serveur VPN
Active Périphériques
Directory IEEE 802.1X

Autorité HRA

Internet
Serveur
Serveur DHCP
Réseau Intranet de stratégie
de périmètre de contrôle
d'intégrité NAP

Réseau
restreint
Serveurs
de mise à jour Client NAP
avec accès limité
Qu'est-ce que le rôle Services de stratégie
et d'accès réseau ?

Composant Description
Implémentation Microsoft du serveur
Serveur NPS
et du proxy RADIUS
Fournit des solutions VPN et d'accès
à distance pour les utilisateurs,
Routage et accès
déploie des routeurs logiciels
à distance
complets et partage des connexions
Internet sur l'intranet
Délivre des certificats d'intégrité
aux clients lors de l'utilisation
Autorité HRA
de la contrainte de mise
en conformité NAP IPsec
Protocole HCAP
(Host Credential S'intègre au serveur de contrôle
Authorization d'accès réseau de Cisco
Protocol)
Qu'est-ce que le service de routage et
d'accès à distance ?

• Fournit aux utilisateurs distants un accès aux ressources


d'un réseau privé par le biais de services d'accès à distance
ou de services VPN

• Peut être utilisé pour fournir des services de traduction


d'adresses réseau (NAT)

• Peut fournir des services de routage local et étendu pour


connecter des segments réseau
Démonstration : Comment installer le service
de routage et d'accès à distance ?
Dans cette démonstration, vous allez apprendre
à installer le rôle serveur Routage et accès à distance
dans Windows Server 2008
Authentification réseau et autorisation

L'authentification :
• Vérifie les informations d'identification
d'une tentative de connexion

• Utilise un protocole d'authentification pour envoyer


les informations d'identification du client d'accès
à distance au serveur d'accès à distance sous la forme
de texte en clair ou sous forme chiffrée

L'autorisation :

• Vérifie que la tentative de connexion est autorisée

• Se produit une fois que l'authentification a réussi


Types de méthodes d'authentification
Protocole Description Niveau de sécurité

Protocole d'authentification le moins


Mots de passe en clair. Généralement utilisé
sécurisé. N'offre aucune protection contre
si le client d'accès à distance et le serveur
PAP les attaques par relecture, l'emprunt
d'accès à distance ne peuvent pas négocier
d'identité du client distant et l'emprunt
une forme de validation plus sécurisée
d'identité du serveur distant

Sécurité accrue par rapport au protocole PAP


dans le sens où le mot de passe n'est pas
Protocole d'authentification de type envoyé sur la liaison PPP
demande/réponse qui utilise le schéma Une version en clair du mot de passe
CHAP
de hachage MD5 standard pour chiffrer est requise pour valider la réponse
la réponse à la demande d'accès. N'offre aucune
protection contre l'emprunt d'identité
du serveur distant

Mise à niveau du protocole MS-CHAP.


Propose une authentification bidirectionnelle,
également appelée authentification mutuelle.
Assure une plus forte sécurité que
MS-CHAPv2 Le client d'accès à distance reçoit
le protocole CHAP
confirmation que le serveur d'accès
à distance auquel il tente d'accéder
a accès au mot de passe de l'utilisateur

Permet l'authentification arbitraire d'une


Offre la plus forte sécurité en proposant
connexion d'accès à distance par le biais
EAP la plus grande flexibilité en termes
de l'utilisation de modèles d'authentification,
de solutions d'authentification
appelés types de protocole EAP
Intégration de serveurs DHCP au service
de routage et d'accès à distance

Vous pouvez fournir des configurations IP aux clients


distants en utilisant l'un des deux moyens suivants :

• Un pool statique créé sur le serveur de routage et


d'accès à distance à utiliser avec les clients distants

• Le serveur DHCP d'entreprise qui se trouve sur


le réseau local d'entreprise

Les serveurs DHCP exécutant Windows Server 2008 :

• Fournissent une classe d'utilisateur prédéfinie appelée


Classe de routage et d'accès distant par défaut

• Sont utiles pour affecter des options fournies


uniquement aux clients de routage et d'accès à distance
Leçon 2 : Configuration de l'accès VPN
• Qu'est-ce qu'une connexion VPN ?

• Composants d'une connexion VPN

• Protocoles de tunneling pour une connexion VPN

• Configuration requise

• Démonstration : Configuration de l'accès VPN

• Tâches supplémentaires

• Composants d'une connexion d'accès à distance


Qu'est-ce qu'une connexion VPN ?

Siège social
Grande succursale

Petite succursale

Serveur
Serveur VPN
VPN
Serveur
Moyenne succursale VPN

VPN Bureau
à domicile avec
client VPN

Serveur
VPN
Utilisateur distant avec
client VPN
Composants d'une connexion VPN

Système
Tunnel VPN d'exploitation client
Routage et
accès à distance

Serveur VPN Client VPN

Réseau virtuel
Authentification

Configuration IP

Contrôleur
de domaine
Serveur DHCP
Protocoles de tunneling pour une connexion VPN
Données

PPTP :
Code
En-tête En-tête Charge utile PPP
de fin
IP GRE (paquet IPv4)
PPP

Trame
PPP
L2TP :
Charge utile PPP
En-tête En-tête En-tête En-tête
(diagramme IP, datagramme
IP UDP L2TP PPP
IPX, trame NetBEUI)

Trame PPP

Trame L2TP

Message UDP

SSTP :
• Encapsule les trames PPP dans des datagrammes IP et utilise
le port 443 (TCP) pour la gestion des tunnels et les trames
de données PPP
• Le chiffrement est réalisé par le canal SSL du protocole HTTPS
Configuration requise

La configuration requise du serveur VPN comprend


les éléments suivants :

• Deux interfaces réseau (publique et privée)

• Allocation d'adresses IP
(pool statique ou serveur DHCP)

• Fournisseur d'authentification
(serveur NPS/RADIUS ou le serveur VPN)

• Considérations relatives à l'agent de relais DHCP

• Appartenance au groupe Administrateurs local


ou équivalent
Démonstration : Configuration de l'accès VPN
Dans cette démonstration, vous allez apprendre à :
• Configurer les paramètres de numérotation de l'utilisateur

• Configurer le service de routage et d'accès à distance


en tant que serveur VPN
• Configurer un client VPN
Tâches supplémentaires

 Configurer des filtres de paquets statiques

 Configurer des services et des ports


Ajuster les niveaux d'enregistrement pour
 les protocoles de routage

 Configurer le nombre de ports VPN


Créer un profil Connection Manager pour
 les utilisateurs

 Ajouter les services de certificats

 Renforcer la sécurité de l'accès à distance

 Renforcer la sécurité VPN


Composants d'une connexion d'accès à distance

Accès à distance Protocoles de réseau local


Serveur et d'accès à distance

Options de réseau
étendu (WAN) :
Téléphone, RNIS,
Domaine X.25 ou ATM Client d'accès
de domaine à distance

Authentification

DHCP
Serveur Attribution de l'adresse
et du nom par le serveur
Leçon 3 : Vue d'ensemble des stratégies réseau
• Qu'est-ce qu'une stratégie réseau ?

• Processus de création et de configuration


d'une stratégie réseau
• Comment les stratégies réseau sont-elles traitées ?
Qu'est-ce qu'une stratégie réseau ?

Une stratégie réseau comporte


les éléments suivants :

• Conditions
• Contraintes
• Paramètres
Processus de création et de configuration
d'une stratégie réseau

 Déterminer l'autorisation par utilisateur ou groupe

Déterminer les paramètres appropriés pour


 les autorisations d'accès réseau du compte d'utilisateur

Configurer l'Assistant Nouvelle stratégie réseau :



• Configurer les conditions de la stratégie réseau
• Configurer les contraintes de la stratégie réseau
• Configurer les paramètres de la stratégie réseau
Comment les stratégies réseau sont-elles traitées ?

DÉBUT

Oui Non
Passer à la stratégie suivante
Y a-t-il des stratégies La tentative de connexion
Non à traiter ? Oui correspond-elle aux
conditions de la stratégie ?
Oui L'autorisation d'accès à distance pour
le compte d'utilisateur est-elle définie
sur Refuser l'accès ?
Non
Refuser
Non Oui la tentative
de connexion
L'autorisation d'accès
Refuser la tentative à distance pour L'autorisation d'accès à distance
Oui Non de la stratégie est-elle définie
de connexion le compte d'utilisateur
est-elle définie sur sur Refuser l'autorisation
Autoriser l'accès ? d'accès distant ?
Accepter
Oui la tentative
de connexion
Non La tentative de connexion
correspond-elle aux paramètres
de l'objet utilisateur et du profil ?
Leçon 4 : Vue d'ensemble du Kit d'administration
de Connection Manager
• Qu'est-ce que le Kit d'administration de Connection Manager ?

• Démonstration : Installation du Kit d'administration


de Connection Manager
• Processus de configuration d'un profil de connexion

• Démonstration : Création d'un profil de connexion

• Distribution du profil de connexion aux utilisateurs


Qu'est-ce que le Kit d'administration
de Connection Manager ?

Le Kit d'administration de Connection Manager :

• Vous permet de personnaliser l'expérience de connexion


à distance des utilisateurs en créant des connexions
prédéfinies sur les serveurs et les réseaux à distance
• Crée un fichier exécutable qui peut être exécuté
sur un ordinateur client pour établir une connexion
réseau que vous avez définie
• Réduit les demandes adressées à l'assistance technique
concernant la configuration des connexions RAS
• Facilite la résolution des problèmes dans la mesure
où la configuration est connue
• Réduit les risques d'erreur des utilisateurs lorsqu'ils
configurent leurs propres objets de connexion
Démonstration : Installation du Kit d'administration
de Connection Manager

Dans cette démonstration, vous allez apprendre


à utiliser l'outil Gestionnaire de serveur pour installer
le Kit d'administration de Connection Manager
Processus de configuration d'un profil de connexion
L'Assistant Profils de connexion du Kit d'administration
de Connection Manager facilite le processus de
création de profils de connexion personnalisés pour
les utilisateurs

Utilisez l'Assistant Profils de connexion du Kit d'administration


de Connection Manager pour configurer :

• Le système d'exploitation cible


• La prise en charge des connexions VPN
• La prise en charge des connexions d'accès à distance,
notamment l'annuaire téléphonique personnalisé
• Le proxy
• Le fichier d'aide personnalisé
• Les informations de support personnalisées
Démonstration : Création d'un profil de connexion

Dans cette démonstration, vous allez apprendre


à utiliser le Kit d'administration de Connection
Manager pour créer un profil de connexion
Distribution du profil de connexion aux utilisateurs

Le profil de connexion peut être distribué aux utilisateurs


de différentes manières :

• Au sein d'une image pour les nouveaux ordinateurs


• Sur un média amovible afin que l'utilisateur
l'installe manuellement
• Avec des outils de distribution de logiciels,
tels que Systems Management Server ou
System Center Configuration Manager 2007
Leçon 5 : Dépannage du service de routage
et d'accès à distance
• Outils de dépannage TCP/IP

• Enregistrement de l'authentification et des informations


de gestion de comptes
• Configuration de l'enregistrement des connexions d'accès
à distance
• Configuration du suivi de l'accès à distance

• Résolution des problèmes courants


Outils de dépannage TCP/IP

Commande Description
Affiche les valeurs, mises à jour ou versions
de la configuration réseau TCP/IP actuelle,
Ipconfig les baux alloués par le serveur DHCP et est utilisé
pour afficher, enregistrer ou vider les noms DNS
(Domain Name System)
Envoie des messages ICMP de demande d'écho
pour vérifier que le protocole TCP/IP est
Ping
correctement configuré et qu'un hôte TCP/IP
est disponible
Affiche le chemin d'accès d'un hôte TCP/IP,
Pathping ainsi que les pertes de paquets au niveau
de chaque routeur

Tracert Affiche le chemin d'accès à un hôte TCP/IP


Enregistrement de l'authentification et
des informations de gestion de comptes

Il existe trois types d'enregistrement pour le serveur NPS :

• Enregistrement des événements en vue de l'audit


et du dépannage des tentatives de connexion
• Enregistrement des demandes d'authentification
et de gestion dans un fichier local
• Enregistrement des demandes d'authentification
et de gestion dans une base de données SQL Server
Configuration de l'enregistrement des connexions
d'accès à distance

Vous pouvez configurer l'enregistrement des connexions


à distance de manière à :

• Enregistrer uniquement les erreurs dans le journal


• Enregistrer les erreurs et les avertissements
• Enregistrer tous les événements
• Ne pas enregistrer d'événements
• Enregistrer les informations d'Accès à distance et
routage supplémentaires
Configuration du suivi de l'accès à distance

Vous pouvez configurer le suivi de l'accès à distance


en utilisant :

• La commande Netsh :
• Netsh ras diagnostics set rastracing * enabled
(active le suivi sur tous les composants dans RAS)
• Le Registre :
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing

Le suivi utilise des ressources, vous devez donc l'utiliser


uniquement pour le dépannage, puis le désactiver
Résolution des problèmes courants

Exemples de problèmes communs concernant l'accès


à distance :
• Erreur 800 : Le serveur VPN est inaccessible
• Erreur 721 : L'ordinateur distant ne répond pas
• Erreur 741/742 : Erreur d'incompatibilité de chiffrement
• Impossible d'établir une connexion VPN
• Problèmes L2TP/IPsec
• Problèmes EAP-TLS
Atelier pratique : Configuration et gestion
de l'accès réseau
• Exercice 1 : Configuration du service de routage et d'accès
à distance en tant que solution d'accès à distance au réseau
privé virtuel
• Exercice 2 : Configuration d'une stratégie réseau personnalisée

• Exercice 3 : Configuration de l'enregistrement

• Exercice 4 : Configuration d'un profil de connexion

Informations d'ouverture de session


6741A-NYC-DC1,
Ordinateur virtuel 6741A-NYC-SVR1
et 6741A-NYC-CL1
Nom d'utilisateur Administrateur
Mot de passe Pa$$w0rd
Durée approximative : 60 minutes
Révision de l'atelier pratique
• Quelle fonctionnalité de Windows Server 2008 peut aider
à ne pas faire augmenter les appels au support technique
relatifs à la création d'objets de connexion ?
• Lorsque le serveur DHCP est utilisé pour allouer des adresses
aux clients distants, combien d'adresses IP le serveur RRAS
acquiert-il à la fois auprès du serveur DHCP d'entreprise ?
• Vous devez créer une solution d'accès à distance pour
une société qui a besoin de plusieurs serveurs VPN
dans différents bureaux dispersés dans tout le pays.
Quel service de Windows Server 2008 peut vous aider
à simplifier l'administration en configurant plusieurs serveurs
exécutant le service de routage et d'accès à distance ?
Révision du module et éléments à retenir
• Questions de révision

• Méthodes conseillées

• Outils

Vous aimerez peut-être aussi