BTSIG option administrateur de réseaux locaux d'entreprise

TP Windows 2000 server

Accès distant
Objectif : Mettre en place un accès distant via les lignes téléphoniques internes du lycée.
Condition : Le Tp est réalisé par groupe de deux étudiants. Noms :___________________________________
Le groupe utilise un poste sous Windows2000 Pro avec un modem externe et un poste sous Windows2000
Server avec une carte intégrée RNIS configurée en mode analogique, la ligne RTC et la ligne RNIS de la salle
avec des liaisons internes au lycée.
N° ligne RTC : 337 N° ligne RNIS : 381

Partie 1 : Introduction
L'accès distant permet aux utilisateurs de se connecter au réseau de l'entreprise à partir d'un site distant (un autre
réseau d'entreprise, une station utilisateur à la maison, à l'hôtel). L'équipement client se connecte au serveur
d'accès distant via une liaison WAN qui peut-être le réseau téléphonique commuté (RTC), un réseau numérique
à intégration de service (RNIS), un support X25 (commutation de paquet), frame-relay (commutation de
trames).
Sur ce support physique, un protocole de communication de liaison WAN va être utilisé, Windows 2000 accepte
notamment le protocole PPP (Point to Point Protocol), celui-ci est un protocole de niveau 2 du modèle OSI, il
permet donc d'encapsuler les protocoles de niveau 3 (IP, IPX, NetBeui). Ce protocole se substitue aux
protocoles de niveau 2 utilisés sur des LAN comme Ethernet, Token Ring, FDDI.

Le serveur d'accès distant jouent le rôle de passerelle entre le client d'accès distant et le réseau local. Avant
qu'une connexion soit établie, on procédera à une authentification du client et éventuellement à un cryptage des
données.

1. Préparation sur le serveur d'accès distant

- Créer trois utilisateurs : Console Gestion de l'ordinateur, Dossier Utilisateurs et groupes locaux,
Dossier Utilisateurs, clic droit, Nouvel utilisateur, Noms :Util1, Util2 et Util3
- L'utilisateur ne doit pas changer son mot de passe à la première ouverture de session, le mot de passe est toto.

- Créer un répertoire f:\data, partager ce répertoire et placer un fichier texte dans ce répertoire : doc.txt
contenant le texte suivant : essai d'accès distant.
- Repérer l'adresse Mac de la carte réseau avec Ipconfig /all :

2. Carte RNIS sur le serveur

- Connecter la carte RNIS à la prise correspondante dans la salle,
- Vérifier la configuration de la carte RNIS : Panneau de configuration, Options de modems et téléphonie,
- Onglet Modems, sélectionner Modem Analogique RNIS Eicon, bouton Propriétés,
- Vérifier que la vitesse du port est 38400 et onglet Diagnostics, bouton Interroger le modem.

Utiliser l'outil fourni par le constructeur pour tester la ligne :

- Menus Programmes, Diva, sélectionner Vérification de la ligne, bouton Démarrer.

3. Modem sur le client

- Vérifier la connexion du modem sur le poste et brancher le sur la prise RTC de la salle,
- Vérifier la configuration du modem : Panneau de configuration, Options de modems et téléphonie,
- Onglet Modems, sélectionner le modem Olitec, bouton Propriétés,
- Vérifier que la vitesse du port est 38400 et onglet Diagnostics, bouton Interroger le modem.
- Débrancher éventuellement la connexion Ethernet du client.

Partie 2 Mise en place de l'accès réseau à distance

Il faut commencer par autoriser les appels entrants sur le serveur d'accès distant.

4. Autoriser les appels entrants sur le serveur

- Clic droit sur Favoris réseau, Propriétés, Double clic sur Établir une nouvelle connexion, bouton Suivant,
- Sélectionner Accepter les connexions entrantes, bouton Suivant,
- Sélectionner le périphérique de connexion : Modem Analogique RNIS Eicon, bouton Suivant
- Sélectionner Ne pas autoriser les connexions privés virtuelles, bouton Suivant,
Daniel Régnier TpW2k-AccesDistant Page 1/4
BTSIG option administrateur de réseaux locaux d'entreprise
- Cocher les cases correspondant aux utilisateurs qui utilisent l'accès distant (Util1 et Util2),
- Util2, bouton Propriétés, Onglet Rappel, sélectionner Toujours rappeler au numéro: 337, boutons OK, Suivant,
- Sélectionner le protocole TCP/IP, bouton Propriétés, sélectionner Spécifier des adresses TCP/IP, définir une
plage d'adresses (5 adresses) compatible avec votre serveur, boutons Suivant et Terminer.
- Vérifier dans la console Gestion de l'ordinateur, les permissions d'appel définies pour chaque utilisateur :
Dossier Utilisateurs, Clic droit sur l'utilisateur, Propriétés, Onglet Appel entrant.

5. Définir la connexion sortante sur le client

- Clic droit sur Favoris réseau, Propriétés, Double clic sur Établir une nouvelle connexion, bouton Suivant,
- Sélectionner Connexion à un réseau privé, bouton Suivant, saisir le numéro de téléphone du serveur : 381,
- Boutons Suivant et garder toutes les options par défaut pour chaque fenêtre,
- Bouton Annuler sur la fenêtre de connexion.

6. Tests à partir du client et capture de trames avec le moniteur réseau sur le serveur
- Pour se connecter à distance : Double-clic sur l'icône représentant la connexion.

6.1 Connexion
- Dans la console moniteur réseau (serveur), lancer la capture de trames sur la carte RNIS,
- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1 (saisir le mot de passe),
- Après la connexion, arrêter et afficher la capture,
- Menu Affichage, sélectionner l'option Filtre, sélectionner Protocol = = Any,
- Bouton Modifier l'expression, bouton Désactiver tout, dans la liste protocoles désactivés, choisir PPPCHAP,
- Bouton Activer et Boutons OK, il ne reste plus que les trames qui transportent le protocole PPPCHAP.

Quel est le protocole qui encapsule PPPCHAP ? PPP (Point to Point Protocol),
En analysant la deuxième trame PPPCHAP, quelle peut-être la fonction de ce protocole ?
CHAP (Challenge Handshake Authentication Protocol), c’est un protocole d’authentification de l’utilisateur.

- Sur le serveur et le client, utiliser la commande Ipconfig /all pour afficher les informations Ip, que trouve-t-on
pour la connexion d'accès à distance : Sur le serveur une carte PPP pour une interface WAN mis en place par le
serveur RAS, avec la première adresse IP de la plage.
Sur le client, une carte PPP pour une interface WAN avec l'adresse IP attribuée par le serveur.

6.2 Transfère de documents

- Vérifier que la connexion est toujours active,
- Dans l'explorateur du client, rechercher le serveur (nom : distant),
- Dans la console moniteur réseau (serveur), lancer la capture de trames sur la carte RNIS,
- Test : A partir du client, copier le fichier f:\data\doc.txt dans un dossier du poste client,
- Après la copie, arrêter et afficher la capture,
- Menu Affichage, sélectionner l'option Filtre, sélectionner Protocol = = Any,
- Onglet Propriété, dans la liste Protocole : propriété, ouvrir le dossier SMB, sélectionner Data,
- Dans la liste Relation, sélectionner 'existe', bouton OK pour chaque fenêtre.

Dans le champ Data, du protocole SMB, le contenu du fichier est-il lisible ? Oui, il n’est pas crypté.

- Sur le client, déconnecter l'accès distant (clic droit sur la connexion, Déconnecter).

6.3 Tests de connexion avec les autres comptes

- Test : A partir du client, ouvrir une connexion à partir des utilisateurs Util2, puis Util3.
Différence avec Util1 : Util2 est rappelé par le serveur, Util3 ne peut pas utiliser l'accès distant.

Partie 3 Mise en place de l'accès réseau à distance à l'aide de la console Routage et accès distant
Cette méthode va nous permettre de définir des protocoles d'authentification et de cryptage.

- Supprimer l'icône de la connexion entrante.

7. Autoriser les appels entrants sur le serveur

- Dans la console Routage et accès distant, clic droit sur le nom du serveur,
- Sélectionner Configurer et activer le routage et l'accès distant, bouton Suivant,
Daniel Régnier TpW2k-AccesDistant Page 2/4
BTSIG option administrateur de réseaux locaux d'entreprise
- Sélectionner Serveur d'accès distant, bouton Suivant, (éventuellement, Serveur d'accès distant avancé),
- Conserver le protocole TCP/IP et bouton Suivant,
- Sélectionner éventuellement la connexion locale assignée aux clients distant pour accéder au réseau, Suivant,
- Sélectionner A partir d'une étendue d'adresse spécifiée, bouton Suivant, bouton Nouveau,
- Entrer une étendue d'adresse (5 adresses compatibles avec votre serveur), boutons OK et Suivant,
- Conserver l'option Non pour le serveur RADIUS, boutons Suivant et Terminer.

Remarque : si cette console est déjà utilisée pour configurer un autre service (Routeur), il faut configurer l'accès
distant de cette manière :
- Clic droit sur le nom du serveur, Propriétés, Onglet Général, cocher la case Serveur d'accès distant.

8. Tests à partir du client

- Refaire un test à partir de l'utilisateur : Util1
- Dans la console Routage et accès distant, sélectionner le dossier Ports, Quel est le port actif (à droite) ?
Modem Analogique RNIS Eicon
- Sélectionner le dossier Clients d'accès distant, vérifier le nom et la durée de connexion (fenêtre de droite, F5),
- Sur le client, déconnecter l'accès distant.

9. Suivi des connexions d'accès distant

- Dans la console Routage et accès distant, sélectionner Connexion par accès à distance,
- Double clic sur Fichier local dans le panneau de droite, Onglet Paramètres,
- Cocher les deux premières cases,
- Onglet Fichier local, quel est le répertoire du fichier journal : F:\WINNT\system32\LogFile
- Dans durée de journalisation, sélectionner Toutes les semaines, bouton OK,
- Relancer le service : clic droit sur le nom du serveur, sélectionner toutes les tâches, Redémarrer.

- Test : A partir du client, ouvrir une connexion à partir des utilisateurs Util1 et Util3,
Vérifier le contenu du fichier journal.

10. Configuration du service Routage et accès distant pour intégrer le protocole DHCP
10.1 Préparation
- Sur le serveur, configurer le service DHCP avec une étendue compatible de 30 adresses Ip.

10.2 Intégration du serveur DHCP avec l'accès distant

- Dans la console Routage et accès distant, clic droit sur le nom du serveur, Propriétés,
- Onglet IP, sélectionner Protocole DHCP, bouton OK
- Attendre 20 secondes, ouvrir la console du serveur DHCP, combien de baux d'adresse ont été retenus par le
serveur d'accès distant (éventuellement, actualiser l'affichage avec F5). 10
- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1, vérifier l'adresse Ip attribuée.

11. Restriction d'accès

11.1 Vérifier l'identité de l'appelant
- Propriétés du compte utilisateur, onglet Appel Entrant, cocher la case Vérifier l'identité de l'appelant et saisir
le numéro de téléphone de l'appelant. Pour l'utilisateur Util1, saisir le numéro 330 et pour l'utilisateur Util2 337
(supprimer l'option de rappel). Faire les tests de connexion avec les deux comptes. Pour Util1, on obtient : le
compte n’a pas l’autorisation de recevoir des appels entrants.
11.2. Stratégie d'accès distant et profil
- Propriétés du compte utilisateur Util1, onglet Appel Entrant, cocher l'option Contrôler l'accès distant via la
stratégie d'accès distant, décocher la case Vérifier l'identité de l'appelant.

- Console Routage et accès distant, sélectionner Stratégies d'accès distant, fenêtre de droite, double-clic sur la
stratégie par défaut, bouton Modifier, définir une plage horaire de 8h00 à 17h00, du Lundi au Vendredi,
- Dans la zone, si l'utilisateur remplit les conditions, cocher Accorder l'autorisation d'accès distant,
- Clic droit sur le nom du serveur, sélectionner Toutes les tâches et Redémarrer.
- Test : A partir du client, ouvrir une connexion à partir de l'utilisateur Util1. (Si l’horaire n’est pas OK, on a le
message : Accès refusé car le nom d'utilisateur et/ou le mot de passe ne sont pas validé sur le domaine)
IMPORTANT : supprimer les utilisateurs (Util1, Util2 et Util3), supprimer l'étendue DHCP et arrêter le
serveur DHCP, arrêter le service Routage et accès distant, supprimer la connexion sortante sur le client,
supprimer le répertoire f:\data.
Daniel Régnier TpW2k-AccesDistant Page 3/4
BTSIG option administrateur de réseaux locaux d'entreprise

Correction sur les captures de trames

6. Tests à partir du client et capture de trames avec le moniteur réseau
6.1 Connexion
- Sur le serveur et le client, utiliser la commande Ipconfig /all pour afficher les informations Ip, que trouve-t-on
pour la connexion d'accès à distance.
Sur le client : Sur le serveur :
PPP carte Connexion d'accès à distance : PPP carte Interface (numérotation entrante) de serveur RAS :

Suffixe DNS spéc. à la connexion. : Suffixe DNS spéc. à la connexion. :

Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Adresse physique. . . . . . . . . : 00-53-45-00-00-00
DHCP activé . . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.200.241
Masque de sous-réseau . . . . . . : 255.255.255.255
Passerelle par défaut . . . . . . : 192.168.200.241
Serveurs DNS. . . . . . . . . . . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Adresse physique. . . . . . . . . : 00-53-45-00-00-00
DHCP activé . . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.200.240
Masque de sous-réseau . . . . . . : 255.255.255.255
Passerelle par défaut . . . . . . :
Serveurs DNS. . . . . . . . . . . : 127.0.0.1

6.2 Transfère de documents

Daniel Régnier TpW2k-AccesDistant Page 4/4