Direct Access

Direct Access
Extrait du Idum
http://idum.eu/spip.php?article293
Direct Access
- Systmes - Microsoft -
Date de mise en ligne : lundi 16 novembre 2015
Description :
Le but de ce cours est de vous apprendre configurer une solution de connexion distance au systme d'information de manire scuris appel Direct Access.
Copyright Idum - Tous droits rservs
Copyright Idum Page 1/45

Direct Access
Sommaire :
I) Introduction
II) Installation du Rle DirectAccess
III) Configuration de DirectAccess

1) Configuration gnrale
2) Configuration des paramtres des clients distant
3)Configuration du serveur d'accs distance
4)Configuration des ressources internet disponible distance
IV) Configuration du serveur ISP
V) Configuration du client
I) Introduction
Haut de page
Microsoft Direct Access
Direct Access est une solution VPN (Virtual Private Network) dveloppe par Microsoft et disponible depuis la
version Windows Server 2008 R2. La particularit de Direct Access est que l'tablissement de la connexion est
automatique et aucune action de l'utilisateur n'est ncessaire. Lorsque le terminal est l'extrieur du rseau de
l'entreprise et qu'une connexion Internet est disponible, Direct Access va initier la connexion auprs du serveur
Direct Access de l'entreprise. Pour dterminer s'il est connect au LAN de l'entreprise ou l'extrieur, le systme va
contacter une ressource disponible seulement en interne, par exemple l'Active Directory. Le systme utilise deux
techniques pour contacter la ressource interne, le ping ou la requte HTTP.
Les paramtres permettant au client de se connecter au serveur Direct Access sont dploys par GPO lorsque le
terminal est connect au rseau interne. La scurit de cette solution est assure par la cration d'un tunnel
SSL/TLS ( travers la carte IPHTTPS) entre le client et le serveur DirectAccess, de plus les informations transiteront
sur un tunnel IPsec. Pour l'authentification, plusieurs mthodes sont possibles, le compte active Directory (Kerberos),
un certificat ou encore un Dongle.
DirectAccess est une solution qui fonctionne en IPV6, la compatibilit avec l'IPV4 est assure automatiquement
grce des tunnels 6to4 et des cartes rseaux virtuelles IPv6.
Plusieurs pr-requis sont ncessaire la mise en place d'une telle infrastructure :
Le systme exploitation sur le serveur DirectAccess doit tre au minimum Windows Serveur 2008 R2.
Un domaine Active Directory doit tre prsent dans l'entreprise

Direct Access
La fort et le domaine doivent avoir un niveau fonctionnelle minimum Windows 2003.
L'OS client doit tre Windows 8 Enterprise, possible avec Windows 7 Enterprise ou Ultimate avec ajout d'un
Addon.
Dans cette dmonstration, nous allons utiliser trois serveurs virtuels Windows Server 2012 R2 et 1 client Windows
8.1 Enterprise :
Notre labo est hors ligne, c'est dire qu'il n'a pas accs Internet, dans cet article pour que le client initie la
connexion DirectAccess, la dtection de l'accs Internet est ncessaire (Vous savez la petite icone en bas droite
ct de l'heure !) . Nous allons donc mettre en place un petit serveur avec un service DNS et Web qui va simuler
l'accs Internet, c'est un serveur Microsoft NCSI. - Voir Chapitre "IV) Configuration du serveur ISP"
Description des serveurs utiliss :
SRV-1 : Ce sera le contrleur du domaine idum.eu son installation est explique dans cet article 286"
class='spip_url'>voir article->286
SRV-DA : Ce sera le serveur DirectAccess, son installation est le but de cet article.Il sera dot de deux cartes
rseaux (LAN et WAN)
SRV-ISP : Ce sera le serveur qui simulera l'accs a Internet et hbergera la zone idum.com
CLIENT : Il simulera l'accs LAN puis WAN pour les tests du DirectAccess.
Pour cette dmonstration, les certificats utiliss seront des certificats auto-signs. Un article est paru le 19 octobre
2015 vous expliquant comment gnrer les certificats avec l'autorit de certification Windows.
Voici le schma du labo mis en place :
II) Installation du Rle DirectAccess
Haut de page

Direct Access
Sur le serveur SRV-DA.
Ouvrez le gestionnaire de serveur, puis cliquez sur "Ajouter des rles et des fonctionnalits".
Cliquez sur "Suivant".

Direct Access
Vrifiez que le serveur SRV-DA soit slectionn et cliquez sur "Suivant".

Direct Access
Cochez "Accs distance" et Cliquez sur "Suivant".

Direct Access
Cliquez sur "Ajouter des fonctionnalits".
Il n'y a rien de plus faire sur ces pages, cliquez sur "suivant".

Direct Access

Direct Access

Direct Access

Direct Access
Cliquez sur "Installer" et patientez jusqu' la fin de l'opration.

Direct Access
Une fois termine, cliquez sur "Fermer".

Direct Access
III) Configuration de DirectAccess
Haut de page
1) Configuration gnrale
Une fois le rle install, cliquez sur les actions raliser et ouvrez l'Assistant de Mise en route.
Slectionnez "Dployez DirectAccess uniquement".

Direct Access
Patientez durant les tests de faisabilit du service.

Direct Access
Slectionnez "Primtre" : c'est dire que notre serveur possde une interface dans le LAN et une interface
dans le WAN. La seconde option est utilise dans le cas o le serveur Direct Access est situ dans une DMZ et
possde une interface dans le LAN. La dernire est utile quand le serveur Direct Access est situ dans une DMZ
sans accs au LAN.
Le nom public est le nom sur lequel les clients vont connecter leurs VPN, pour nous ce sera "da.idum.com".

Direct Access
Cliquez sur "Terminer" pour lancer la configuration.

Direct Access
Patientez jusqu' la fin de la configuration, puis cliquez sur "Fermer".
2) Configuration des paramtres des clients

distant
Nous allons maintenant configurer la partie qui sera dploy sur les postes clients.

Direct Access
Cliquez sur "Modifier".
Slectionnez la premire option et cliquer sur "Suivant".
Par dfaut, l'assistant de configuration nous propose de dployer DirectAccess sur tous les ordinateurs du
domaine, dans notre exemple, nous allons crer un groupe d'ordinateur spcial pour les clients DirectAccess.

Direct Access
Sur l'ActiveDirectory, crez une OU (Unit organisationnelle) et crez un groupe dans cette OU. Dans l'outil
"Utilisateurs et ordinateurs du domaine", faites un clic droit sur le domaine et slectionnez "nouveau" puis
"Unit d'organisation". Nommez-la comme vous voulez.

Direct Access
A l'intrieur de cette OU, crez un groupe et nommez le comme vous voulez.
Revenons l'assistant de configuration, slectionnez "Ajouter" et entrer le nom de votre groupe. En passant,
dcocher l'option "Activez DirectAccess pour les ordinateurs portables uniquement".
L'assistant de connectivit rseau c'est le protocole de test pour savoir si l'ordinateur se trouve dans le LAN ou bien
s'il est hors du rseau local. Pour notre dmonstration, nous allons faire un ping vers le serveur ActiveDirectory,
savoir srv1.idum.eu.
Faites un clic droit sur la ligne dj propos et cliquez sur "Supprimer". Fate un clic droit sur la ligne vide et

Direct Access
cliquez sur "Nouveau".
Dans la premire case slectionnez "Ping" et dans la seconde entrez le nom du serveur contacter. Cliquez sur
"Valider" et sur "Ajouter".
Dans "Nom de la connexion" entrer le nom que vous souhaitez voir apparatre sur le client.

Direct Access
3) Configuration du serveur d'accs

distance
Nous allons passez l'tape 2, cliquez sur "Modifier".
Vous retrouvez ici le paramtre dfini avant, ne modifiez rien et cliquez sur "Suivant".

Direct Access
Vrifiez que l'affectation des cartes rseaux est correcte, et cliquez sur "Suivant".

Direct Access
Pour authentifier l'utilisateur, nous utiliserons le login/mot de passe Active Directory, cliquez sur "Terminer".

Direct Access
4)Configuration des ressources internet

disponible distance
Passons la dernire tape de la configuration de DirectAccess :
Le serveur d'emplacement rseau, permet aussi au client de s'assurer qu'il se trouve sur le rseau local.

Direct Access
Le client, une fois connect en DirectAccess au rseau local, va utiliser le serveur DNS du domaine, on va ajouter
le domaine idum.eu et cliquer sur dtecter pour qu'il ajoute automatiquement l'adresse du DNS. L'adresse IPV6 du
serveur doit s'afficher comme ici :

Direct Access
Par dfaut, on va signifier au client, que le DNS local va rsoudre la zone idum.eu.
Il est possible d'ajouter des URL de serveur d'administration, dans notre cas, nous n'allons rien ajouter. Cliquez
sur "Suivant".

Direct Access
Voil la configuration est termine, il ne reste plus qu' enregistrer les paramtres et les appliquer.

Direct Access
Cliquez sur "Terminer".
Fermez la fentre.

Direct Access
IV) Configuration du serveur ISP
Haut de page
Le serveur ISP, en plus d'hberger le service NCSI, va servir de serveur DNS au client nomade sur le rseau
Internet.
Comme nous l'avons dit prcdemment, notre labo est hors ligne, c'est dire qu'il n'a pas accs Internet. Pour
faire fonctionner DirectAccess, le poste client doit dtecter une connexion Internet pour lancer la connexion.
Nous allons faire croire notre machine cliente qu'elle a bien accs Internet en installant un serveur Microsoft
NCSI. NCSI est le systme mis en place par Microsoft pour dtecter l'accs Internet, sur vos machines il se
matrialise par le petit icone en bas gauche. Il existe trois tat :
Une croix rouge, cela signifie que le cble rseau est dconnect ou que la carte est dsactive.
Un petit panneau jaune signifie que le PC accs au rseau mais Internet n'est pas atteignable
Un petit cran d'ordinateur seul signifie que tout est correct.
Nous allons donc mettre en place ce petit serveur NCSI. Pour ce faire, nous allons utiliser un serveur Windows 2012
R2 qui est autonome, c'est dire non connect au domaine.
Nous allons installer le service DNS et le service IIS. Laisser tous les paramtres par dfaut lors de l'installation.

Direct Access
Une fois le service DNS install, allez dans la console de gestion. Dans le gestionnaire de serveur, cliquez sur
"Outils", puis sur "DNS".
Crez une nouvelle zone de recherche directe.

Direct Access
Cliquez sur suivant pour lancer la cration de la zone.

Direct Access
Nous allons crer une zone principale.
Nommez cette zone msftncsi.com.
Laissez tel quel le nom du fichier de zone.

Direct Access
Etant donn que le serveur n'est pas dans un domaine, nous n'allons pas autoriser les mises jour dynamiques.
Cliquez sur "Terminer". Et voil, la zone msftncsi.com est maintenant active.

Direct Access
Nous allons maintenant crer deux enregistrements DNS A. Le premier est l'enregistrement dns.msftncsi.com
avec comme valeur "131.107.255.255".
Le second est www.msftncsi.com avec comme valeur l'adresse IP de votre serveur qui simule l'accs Internet,
ici "1.1.1.253".

Direct Access
Voil pour la partie DNS. Pour la partie Web, rien de plus simple, crer un fichier txt nomm ncsi.txt dans le
rpertoire root de votre serveur web IIS, normalement "c :\inetpub\wwwroot".
A l'intrieur de ce fichier, entrer le texte "Microsft NCSI" sans retour la ligne.

Direct Access
Maintenant que le serveur NCSI est prt. Pour tester l'accs Internet, le client va d'abord faire une requte DNS sur
dns.msftncsi.com et ensuite il va tlcharger le contenues de la page l'adresse www.msftncsi.com. Toutes les
rponses attendues par ces requtes sont contenu dans la base de registre de Windows.
Il nous reste crer la zone Idum.com et crer l'enregistrement da.idum.com.
Dans le gestionnaire DNS, faites un clic droit sur zone de recherche directe et choisissez nouvelle zone.
Cliquez sur suivant pour lancer la cration de la zone.

Direct Access
Nous allons crer une zone principale.
Nommez cette zone idum.com.

Direct Access
Laissez le nom de fichier de zone par dfaut.
Etant donn que le serveur n'est pas dans un domaine, nous n'allons pas autoriser les mises jour dynamiques.

Direct Access
La zone idum.com est maintenant active.
Crez maintenant un enregistrement DNS da.idum.com avec l'adresse IP WAN du serveur DirectAccess, pour
nous "1.1.1.1".

Direct Access
V) Configuration du client
Haut de page
Pour fonctionner, notre client doit d'abord tre connect au rseau local pour rejoindre le domaine et appliquer les
GPO lies DirectAccess.
Ajouter le client au domaine :
Sur le contrleur de domaine, pensez ajouter votre client dans l'OU DirectAccess et dans le groupe
DirectAccess.

Direct Access
Pour ajouter un membre au groupe DirectAccess, cliquez sur ajouter et types d'objet pour rechercher aussi les
ordinateurs.
Tapez le nom de votre client et validez le tout.
Au niveau des serveurs, tout est correct, il n'y a plus qu' aller voir sur le client ce qu'il se passe. Si tout est
correct, une GPO a t applique et la connexion DirectAccess a t ajoute au gestionnaire de connexion et nous
indique que nous somme connects au LAN donc DirectAccess est dsactiv :

Direct Access
Pour tester la connexion aux ressources interne, nous allons crer un lecteur rseau vers le "sysvol" du
contrleur du domaine idum.eu.
Pour tester maintenant la connexion DirectAccess, il faut dsactiver la carte rseau local et passer sur le rseau
WAN. On voit ici que nous somme connects en DirectAcces et que le lecteur rseau est accessible.

Direct Access
Quelques commandes pour le debugging Directaccess :
Avec powershell :
Get-DAConnectionStatus
Avec CMD :
Utilisez "netsh" pour grer les cartes rseaux ipv4/v6.
Notre serveur DirectAcces est en place et fonctionne.
Sur le serveur DirectAccess, dans la console, il existe un tableau de bord qui permet de voir rapidement l'tat des
services qui composent DirectAccess.

Direct Access
Des amliorations pourraient tre apport ce service tel que la gnration de certificat par une autorit de
certification, la haute disponibilit des serveurs ou encore la mise en place d'un VPN standard en secours du
DirectAccess.

Direct Access

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Direct Access

Diunggah oleh

Hak Cipta:

Format Tersedia

Direct Access

Date de mise en ligne : lundi 16 novembre 2015

Copyright Idum - Tous droits rservs

Copyright Idum Page 1/45

II) Installation du Rle DirectAccess

III) Configuration de DirectAccess

IV) Configuration du serveur ISP

Microsoft Direct Access

Plusieurs pr-requis sont ncessaire la mise en place d'une telle infrastructure :

Copyright Idum Page 2/45

Description des serveurs utiliss :

Voici le schma du labo mis en place :

II) Installation du Rle DirectAccess

Copyright Idum Page 3/45

Cliquez sur "Suivant".

Cliquez sur "Suivant".

Copyright Idum Page 4/45

Vrifiez que le serveur SRV-DA soit slectionn et cliquez sur "Suivant".

Copyright Idum Page 5/45

Cochez "Accs distance" et Cliquez sur "Suivant".

Copyright Idum Page 6/45

Cliquez sur "Ajouter des fonctionnalits".

Copyright Idum Page 7/45

Cliquez sur "Suivant".

Copyright Idum Page 8/45

Cliquez sur "Suivant".

Copyright Idum Page 9/45

Cliquez sur "Suivant".

Copyright Idum Page 10/45

Cliquez sur "Installer" et patientez jusqu' la fin de l'opration.

Copyright Idum Page 11/45

Une fois termine, cliquez sur "Fermer".

Copyright Idum Page 12/45

III) Configuration de DirectAccess

Slectionnez "Dployez DirectAccess uniquement".

Copyright Idum Page 13/45

Patientez durant les tests de faisabilit du service.

Copyright Idum Page 14/45

Copyright Idum Page 15/45

Cliquez sur "Terminer" pour lancer la configuration.

Copyright Idum Page 16/45

Patientez jusqu' la fin de la configuration, puis cliquez sur "Fermer".

2) Configuration des paramtres des clients

Copyright Idum Page 17/45

Slectionnez la premire option et cliquer sur "Suivant".

Copyright Idum Page 18/45

Copyright Idum Page 19/45

Copyright Idum Page 20/45

Copyright Idum Page 21/45

3) Configuration du serveur d'accs

Copyright Idum Page 22/45

Copyright Idum Page 23/45

Copyright Idum Page 24/45

4)Configuration des ressources internet

Copyright Idum Page 25/45

Copyright Idum Page 26/45

Copyright Idum Page 27/45

Copyright Idum Page 28/45

Cliquez sur "Terminer".

Copyright Idum Page 29/45

IV) Configuration du serveur ISP

Copyright Idum Page 30/45

Crez une nouvelle zone de recherche directe.

Copyright Idum Page 31/45