Ma configuration DirectAccess pas à pas sous Windows Server 2012 R2. – Serveur d’impression
Windows Server DirectAccess est une fonctionnalité impressionnante et passionnante. C’est un service de rôle Windows Server qui permet aux machines jointes à un domaine Windows d’avoir une connexion permanente et transparente à l’infrastructure de l’entreprise en toute sécurité via Internet, sans recourir à un réseau privé virtuel (VPN) traditionnel. L'infrastructure DirectAccess comporte de nombreuses pièces mobiles. Tout dysfonctionnement ou mauvaise configuration de l’un de ses composants peut interrompre et perturber l’ensemble du déploiement de DirectAccess. Certains points clés:
a) Cela facilite énormément le processus de mise en œuvre de l'expiration du mot de passe et de la modification de la stratégie de groupe pour les utilisateurs de télétravailleurs.
b) Cela élimine le besoin de connexions VPN (ou autres) initiées par l'utilisateur final. (Rendre l'expérience de l'utilisateur final encore plus simple)
c) Les administrateurs du centre d’assistance peuvent gérer plus facilement les problèmes de ticket d’utilisateur final du télétravail (capacités de gestion).
d) Extension sécurisée et transparente de mon I.T. Environnement d'infrastructure via Internet. IPSec et HTTPS (certificat SSL) chiffrent le trafic entre le client et le serveur DirectAccess pour empêcher toute interception. En outre, le Pare-feu Windows doit être activé de bout en bout pour pouvoir établir une connexion DirectAccess.
e) DirectAccess utilise IPv6. Depuis Windows Server 2012, DirectAccess peut désormais être configuré avec un pare-feu utilisant la traduction d'adresses de réseau (NAT) avec une seule carte réseau. Ce modèle de déploiement nécessite la technologie de transition IP-HTTPS.
Les sections suivantes décrivent mes étapes de configuration et de déploiement.
1) Construisez une machine virtuelle Windows Server 2012 R2:
Commencez par provisionner un ordinateur virtuel Server 2012 R2 sur un hôte Hyper-V (tout hôte hyperviseur le fera). La machine virtuelle est configurée avec l'option d'une seule carte réseau. Joignez le serveur au domaine et configurez-le avec une adresse IP statique correspondant à votre sous-réseau interne. Téléchargez et installez les mises à jour du système d'exploitation. Cette machine sera configurée ultérieurement en tant que serveur d'accès direct.
2) Configurer un enregistrement DNS externe:
Créez un enregistrement DNS public avec votre fournisseur DNS ou votre serveur DNS public. Dans mon cas, j'ai créé une da.labcompany.com. Cet enregistrement DNS sera configuré ultérieurement sur le pare-feu de la société pour qu'il pointe vers le serveur DirectAccess.
3) Configurez les règles de pare-feu pour DirectAccess:
Le service DirectAccess nécessite principalement la configuration du port 443 sur le pare-feu de périmètre. Configurez une règle NAT et une règle d’accès au pare-feu pour que le port 443 pointe vers l’adresse IP de la machine virtuelle DirectAccess interne.
4) Préparez les exigences de certificat et installez le certificat sur le serveur DirectAccess:
Le modèle de sécurité DirectAccess dépend énormément des services de certificats. J'ai commencé par essayer de déployer les services de certificat Active Directory et de configurer les points de distribution CRL (liste de révocation de certificats). C’est un processus compliqué sur lequel j’espère bloguer bientôt. Mais pour ce poste, j'ai utilisé un certificat SSL générique public acquis auprès de Godaddy. Assurez-vous que le nom d'objet du certificat correspond au nom de domaine de l'enregistrement DNS à l'étape 2 ci-dessus «da.labcompany.com». Mon certificat SSL générique est «* .labcompany.com». Téléchargez le certificat et importez-le dans le magasin de certificats personnel du serveur DirectAccess à l'aide de la console Certificats mmc. Il est recommandé d’utiliser un certificat délivré par une autorité de certification publique telle que Godaddy. Cela vous épargne la tâche longue et compliquée de configurer un point de distribution interne de la liste de révocation de certificats pour un accès à partir d'Internet.
5) Créer un groupe de sécurité Active Directory:
Le service de rôle DirectAccess offre la possibilité d'activer DirectAccess pour tous les ordinateurs mobiles joints à un domaine ou pour un sous-ensemble d'ordinateurs mobiles définis dans un groupe Active Directory. J'ai créé un groupe de sécurité Active Directory pour tous les ordinateurs mobiles sous licence pour DirectAccess. Dans la capture d'écran suivante, j'ai utilisé PowerShell pour créer un groupe AD «DirectAccessComputers». Le premier script utilisait le paramètre «-WhatIf» pour confirmer que la syntaxe était correcte:
Utilisez la cmdlet suivante pour ajouter un ou plusieurs ordinateurs (plusieurs objets d'ordinateur doivent être séparés par une virgule) au groupe de sécurité Active Directory:
Add-ADGroupMember -Identity DirectAccessComputers -Members "CN = W10LAPTOP, OU = IT, OU = Matériel, DC = labcompany, DC = net"
6) Vérifiez la configuration système requise pour le client Windows:
DirectAccess est activé uniquement sur les versions Enterprise des systèmes d'exploitation clients Windows. Windows 7 Entreprise et Édition Intégrale, Windows 8.1 Entreprise et Windows 10 Entreprise. Dans mon environnement, nous sommes en train de déployer Windows 10 pour tous les clients. Pour cette raison, ma configuration DirectAccess est destinée aux clients Windows 10 Enterprise. Cela évite de configurer des certificats d'authentification de poste de travail pour les clients Windows 7 Enterprise.
7) Installer et configurer DirectAccess:
Installez le service de rôle DirectAccess en démarrant le Gestionnaire de serveur, en cliquant sur l'onglet Gérer et en sélectionnant la commande «Ajouter des rôles et des fonctionnalités». Cliquez trois fois sur la page "Assistant Ajout de rôles et de fonctionnalités" jusqu'à la page "Sélectionner les rôles du serveur et cochez la case Accès distant:
Cliquez sur les trois prochaines fois et cochez la case «DirectAccess and VPN (RAS)» dans la page «Select Role Services»:
Cliquez pour ajouter des fonctionnalités, puis cliquez sur "Installer" pour installer le service de rôle DirectAccess.Un redémarrage n'est pas nécessaire après l'installation. Ouvrez la console de gestion d'accès distant sous l'onglet Outils du Gestionnaire de serveur pour démarrer la configuration de DirectAccess.
Dans la console de gestion de l'accès à distance, sélectionnez le service de rôle DirectAccess et VPN, puis cliquez sur «Exécuter l'assistant de configuration de l'accès à distance».
Sur la page «Configurer l'accès distant», sélectionnez Déployer DirectAccess uniquement:
a) Après la vérification des conditions préalables, dans la page Configuration, cliquez sur Configurer dans la tâche Étape 1 pour configurer les paramètres du client distant. Sur la page Installation du client DirectAccess, sélectionnez Déployer DirectAccess complet pour l'accès au client et la gestion à distance. Cliquez sur Suivant.
Sur la page Sélectionner des groupes, j'ai choisi de ne pas «Activer DirectAccess pour les ordinateurs mobiles uniquement», car je veux contrôler les périphériques sur lesquels DirectAccess est activé. J'ai aussi choisi de ne pas activer le «tunneling forcé». Utilisez le bouton Ajouter pour ajouter le groupe Active Directory aux ordinateurs devant être activés pour DirectAccess. Ce groupe a été créé et peuplé à l'étape 6 ci-dessus. Cliquez sur Suivant:
Sur la page "Assistant de connectivité réseau", entrez une adresse électronique de centre d'assistance et renommez le nom de la connexion DirectAccess si nécessaire.Sélectionnez l'option "Autoriser les clients DirectAccess à utiliser la résolution de nom local". Dans la table, ajoutez une ressource qui sera utilisée pour déterminer la connectivité au réseau interne. Une sonde Web par défaut est créée automatiquement si aucune autre ressource n'est configurée. Vous pouvez configurer cette tâche avec le nom de domaine complet d'une ressource de domaine accessible via ping ou le port 80 http. J'ai laissé le tableau vide pour laisser DirectAccess configurer une sonde Web par défaut sur le serveur DirectAccess. Cliquez sur Terminer.
b) Cliquez sur Configurer dans la tâche Étape 2 «Serveur d'accès distant». Sur la page «Topologie du réseau», tapez le nom du nom de domaine public du serveur DirectAccess configuré à l'étape 2 ci-dessus (ce nom correspond au nom de sujet du certificat IP-HTTPS à l'étape 2 ci-dessus). Dans mon environnement, j'ai sélectionné la topologie de déploiement «Derrière un périphérique périphérique (avec une seule carte réseau)». Cliquez sur Suivant:
c) Sur la page «Carte réseau», confirmez les détails de la carte Ethernet sur le serveur DirectAccess. Utilisez le bouton Parcourir pour sélectionner le certificat IP-HTTPS installé à l’étape 4 ci-dessus. Cliquez sur Suivant:
d) Sur la page ‘Authentification’, choisissez d’utiliser «Informations d’authentification Active Directory» pour l’authentification de l’utilisateur. Je n'ai pas besoin d'activer DirectAccess sur les clients Windows 7, car ceux-ci exécutent Windows 10 Entreprise. Je n'ai pas besoin de faire respecter la conformité pour NAP pour le moment. Cliquez sur Terminer.
e) Cliquez sur Configurer sur la tâche Serveur d'infrastructure pour l'étape 3. Sur la page "Serveur d'emplacement réseau", j'ai choisi d'utiliser le serveur d'accès distant en tant que serveur d'emplacement réseau et sélectionnez l'option permettant d'utiliser un certificat auto-signé. Le serveur d'emplacement réseau est utilisé par les clients DirectAccess pour déterminer s’ils se trouvent à l’intérieur ou à l’extérieur du réseau d’entreprise. Sur la base de l'accessibilité NLS, le client DirectAccess décidera s'il doit tenter d'établir la connectivité DirectAccess aux points de terminaison du tunnel spécifiés par la configuration DirectAccess. Si le client DirectAccess peut se connecter au NLS, il suppose qu'il se trouve à l'intérieur du réseau d'entreprise et n'établit pas la connectivité DirectAccess. S'il ne peut pas se connecter au NLS, le client DirectAccess suppose qu'il se trouve en dehors du réseau d'entreprise et tente d'établir la connectivité DirectAccess. Pour cette raison, il est essentiel que le serveur NLS soit exempté de la table de résolution des problèmes de noms (NRPT) et que son nom d'hôte ne puisse être résolu que sur le réseau interne. Le nom d'hôte du NLS ne doit jamais être configuré dans un DNS public. En outre, le NLS ne doit pas être accessible via l’Internet public. Cliquez sur Suivant:
f) Sur la page DNS, l'assistant DirectAccess renseigne automatiquement la «table de stratégie de résolution de noms» (Nrpt) avec votre suffixe de domaine DNS interne et l'adresse IPv4 du serveur DirectAccess. Il crée également un enregistrement DNS interne DirectAccess-NLS par défaut, comme indiqué dans la capture d'écran suivante:
Cependant, après la configuration initiale de DirectAccess, j'ai remarqué que l'état des opérations pour DNS était indiqué comme critique. Après quelques recherches, j'ai trouvé une solution à cette erreur. L’adresse IPv4 du serveur DNS spécifiée dans le tableau est l’adresse attribuée à l’interface réseau interne du serveur DirectAccess. Mais cette adresse doit être l'adresse IPv6 et non l'adresse IPv4. Pour résoudre ce problème, cliquez avec le bouton droit sur le suffixe DNS actuel et sélectionnez Supprimer pour supprimer le suffixe DNS actuel et la configuration IPv4:
Cliquez avec le bouton droit sur un champ vide et sélectionnez «Nouveau» pour créer une nouvelle entrée de serveur DNS.
Sur la page «Adresses du serveur DNS», entrez le nom du suffixe DNS de votre réseau interne, cliquez sur Détecter, puis sur Valider. L'adresse IPv6 sera ajoutée automatiquement. Cliquez sur Appliquer pour continuer. Il s'agit de l'adresse IPv6 du service DNS64 exécuté sur le serveur DirectAccess, indiquant comment le serveur DNS doit être configuré pour le fonctionnement correct de DirectAccess.
Pour l'option de résolution de nom local, sélectionnez l'option «Utiliser la résolution de nom local si le nom n'existe pas dans DNS ou si les serveurs DNS sont inaccessibles lorsque l'ordinateur client est sur un réseau privé», puis cliquez sur suivant.
g) La page «Liste de recherche de suffixe DNS» peut être laissée telle quelle avec la configuration par défaut du suffixe DNS et cliquez sur suivant:
h) Sur la page de gestion, ajoutez le nom de domaine de toutes les machines SCOM 2012R2 ou SCCM 2012 R2 disponibles sur votre réseau. DirectAccess peut détecter automatiquement tous les serveurs de gestion de votre réseau et les renseigner automatiquement après la configuration initiale. Cliquez sur Terminer:
Cliquez sur Terminer sur la page Configuration de l'accès à distance, enregistrez une copie des paramètres sur le bureau pour une visualisation ultérieure, puis cliquez sur Appliquer.
L'assistant crée automatiquement deux stratégies de stratégie de groupe clés, les paramètres du serveur DirectAccess et les paramètres du client DirectAccess. Redémarrez le serveur après avoir appliqué les paramètres. Dans le déploiement d'accès à distance, la configuration des serveurs d'applications est une tâche facultative. J'ai donc choisi d'ignorer les tâches à cette étape. La page Statut des opérations doit ressembler à la capture d'écran une fois toutes les tâches terminées. Toute erreur sera signalée sur cette page:
Avant de tester avec succès le déploiement de DirectAccess, la configuration correcte de la configuration du pare-feu sur le serveur et le client est une condition préalable. J'ai créé deux stratégies de groupe de pare-feu:
1) «Pare-feu-Paramètres-Serveur DirectAccess» est lié à l'UO du serveur DirectAccess et le filtrage de sécurité a été appliqué spécifiquement au serveur DirectAccess.
2) «Firewall-Settings-DirectAccess-Clients» est lié à l'unité d'organisation des clients DirectAccess. Le filtrage de sécurité a été appliqué au groupe de sécurité Active Directory «DirectAccessComputers».
Dans chaque stratégie de groupe, les profils de pare-feu de domaine, privé et public doivent être activés avec les connexions entrantes et sortantes définies sur «Autorisé» en fonction de vos règles définies. Les règles DirectAccess ont déjà été créées automatiquement sur le serveur en fonction de la génération automatique effectuée lors de la configuration de DirectAccess. Vous trouverez ci-dessous des captures d'écran des paramètres du GPO:
J'ajouterais que les stratégies de groupe de pare-feu doivent être configurées correctement pour que les connexions DirectAccess aboutissent. De plus, les stratégies de groupe du pare-feu de domaine doivent être correctement configurées pour garantir que la console «État du client distant» sur le serveur DirectAccess affiche l'état actuel de tous les clients connectés IPHTTPS. D'après mon expérience, les paramètres d'objet de stratégie de groupe de pare-feu ne doivent pas être confondus avec les paramètres de pare-feu du magasin de l'ordinateur local des clients et du serveur. Les paramètres du magasin local peuvent être consultés et modifiés à l'aide de:
1) Netsh advfirewall show
et Netsh advfirewall set
cmds.
2) Get-NetFirewallProfile
et Set-NetFirewallProfile
applets de commande.
Bien que des connexions DirectAccess réussies puissent être établies si les paramètres du magasin local du pare-feu sur le client et sur le serveur correspondent, l'état «Clients connectés» ne sera pas affiché dans la console «État du client distant». Ce n'est qu'après avoir configuré les stratégies de groupe du pare-feu, comme expliqué ci-dessus, que j'ai pu faire rapport sur les connexions IPHTTPS. Le script PowerShell suivant affiche les données historiques de ConnectionType DirectAccess pour le dernier jour:
Get-RemoteAccessConnectionStatistics -StartDateTime (Get-Date) .AddDays (-2) -EndDateTime (Get-Date) | ? $ _. ConnectionType -eq 'DirectAccess' | ft ClientIPAddress, Nom d'utilisateur, ConnectionDuration, ConnectionType, ConnectionStartTime
Vous pouvez tester le déploiement à l'aide d'un client Windows 10 Enterprise DirectAccess. Débranchez-le du réseau interne et connectez-vous à un réseau externe via wifi ou tout moyen disponible. Sur le client, l'onglet DirectAccess indique le statut d'une connexion réussie:
La cmdlet PowerShell Get-DAConnectionStatus
affiche l'état d'une connexion réussie:
le Get-RemoteAccessConnectionStatistics
La cmdlet PowerShell affiche les statistiques des connexions DirectAccess (DA) et VPN actives et en temps réel, ainsi que les statistiques des connexions historiques DA et VPN pour une durée spécifiée. Voici une capture d'écran du résultat de la cmdlet:
Je peux cingler des ressources réseau internes avec succès. Etant donné que DirectAccess fonctionne principalement avec IPv6, la commande ping renvoie les adresses ipv6 des ressources réseau internes. IPv6 doit être activé sur les clients pour que DirectAccess fonctionne. J’ajouterai rapidement que DirectAccess utilise la technologie de transition IP-HTTPS IPv6 pour lui permettre de fonctionner dans les environnements IPv4:
le Get-DAClientExperienceConfiguration
La cmdlet renvoie la configuration pour l'expérience utilisateur du client DirectAccess:
Commentaires
Laisser un commentaire