Étape 2 Configurer le serveur DirectAccess-VPN

  • 08/07/2020
  • 5 minutes à lire
    • J
    • e
    • j
    • n
    • m
    • +2

S’Applique À : Windows Server (Canal Semestriel), Windows Server 2016

Cette rubrique décrit comment configurer les paramètres client et serveur requis pour un déploiement d’accès distant de base à l’aide de l’assistant Activer DirectAccess.

Le tableau suivant donne un aperçu des étapes que vous pouvez suivre en utilisant cette rubrique.

Tâche Description
Configurez les clients DirectAccess Configurez le serveur d’accès distant avec les groupes de sécurité contenant les clients DirectAccess.
Configurez la topologie réseau Configurez les paramètres du serveur d’accès distant.
Configurez la liste de recherche de suffixes DNS Modifiez la liste de recherche de suffixes si vous le souhaitez.
Configuration GPO Modifiez les GPO si vous le souhaitez.

Pour démarrer l’assistant Activer DirectAcces

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Accès à distance.L’assistant Activer l’accès direct démarre automatiquement, sauf si vous avez sélectionné Ne plus afficher cet écran.

  2. Si l’assistant ne démarre pas automatiquement, cliquez avec le bouton droit sur le nœud serveur dans l’arborescence Routage et Accès distant, puis cliquez sur Activer l’accès direct.

  3. Cliquez sur Suivant.

Configurez les clients DirectAccess

Pour qu’un ordinateur client soit provisionné pour utiliser DirectAccess, il doit appartenir au groupe de sécurité sélectionné. Une fois que DirectAccess est configuré, les ordinateurs clients du groupe de sécurité sont provisionnés pour recevoir la stratégie de groupe DirectAccess.

  1. Sur la page Sélectionner des groupes, cliquez sur Ajouter.

  2. Dans la boîte de dialogue Sélectionner des groupes, sélectionnez les groupes de sécurité contenant les ordinateurs clients DirectAccess.

  3. Cochez la case Activer l’accès direct pour les ordinateurs mobiles uniquement pour autoriser uniquement les ordinateurs mobiles à accéder au réseau interne.

  4. Cochez la case Utiliser la force de tunneling pour acheminer tout le trafic client (vers le réseau interne et vers Internet) via le serveur d’accès distant.

  5. Cliquez sur Suivant.

Configurez la Topologie réseau

Pour déployer l’accès distant, vous devez configurer le serveur d’accès distant avec les cartes réseau appropriées, une URL publique pour le serveur d’accès distant auquel les ordinateurs clients peuvent se connecter (l’adresse de connexion) et un certificat IP-HTTPS dont le sujet correspond à l’adresse de connexion.

  1. Sur la page Topologie réseau, cliquez sur la topologie de déploiement qui sera utilisée dans votre organisation. Dans Tapez le nom public ou l’adresse IPv4 utilisée par les clients pour se connecter au serveur d’accès distant, entrez le nom public du déploiement (ce nom correspond au nom d’objet du certificat IP-HTTPS, par exemple, edge1.contoso.com ), puis cliquez sur Suivant.

Configurer la liste de recherche de suffixes DNS

Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixes de domaine DNS qui étend ou révise leurs capacités de recherche DNS. En ajoutant des suffixes supplémentaires à la liste, vous pouvez rechercher des noms d’ordinateurs courts et non qualifiés dans plus d’un domaine DNS spécifié. Ensuite, si une requête DNS échoue, le service client DNS peut utiliser cette liste pour ajouter d’autres terminaisons de suffixe de nom à votre nom d’origine et répéter les requêtes DNS au serveur DNS pour ces autres FQDN.

  1. Sélectionnez Configurer les clients DirectAccess avec la liste de recherche de suffixes de client DNS pour spécifier des suffixes supplémentaires pour les recherches de noms de client.

  2. Tapez un nouveau nom de suffixe dans Nouveau suffixe, puis cliquez sur Ajouter. De plus, vous pouvez modifier l’ordre de recherche et supprimer les suffixes des suffixes de domaine à utiliser.

Dans un scénario d’espace de noms disjoints (où un ou plusieurs ordinateurs de domaine ont un suffixe DNS qui ne correspond pas au domaine Active Directory auquel appartiennent les ordinateurs), vous devez vous assurer que la liste de recherche est personnalisée pour inclure tous les suffixes requis. L’assistant d’accès à distance configurera par défaut le nom DNS Active Directory en tant que suffixe DNS principal sur le client. L’administrateur doit s’assurer qu’il ajoute le suffixe DNS utilisé par les clients pour la résolution des noms.

Pour les ordinateurs et les serveurs, le comportement de recherche DNS par défaut suivant est prédéterminé et utilisé lors de la saisie et de la résolution de noms courts et non qualifiés.Lorsque la liste de recherche de suffixes est vide ou non spécifiée, le suffixe DNS principal de l’ordinateur est ajouté aux noms courts non qualifiés et une requête DNS est utilisée pour résoudre le nom de domaine complet résultant.

Si cette requête échoue, l’ordinateur peut essayer des requêtes supplémentaires pour d’autres FQDN en ajoutant un suffixe DNS spécifique à la connexion configuré pour les connexions réseau.Si aucun suffixe spécifique à la connexion n’est configuré ou si les requêtes pour ces FQDN spécifiques à la connexion résultantes échouent, le client peut alors commencer à réessayer les requêtes en fonction de la réduction systématique du suffixe principal (également connu sous le nom de dévolution).

Par exemple, si le suffixe principal est « example.microsoft.com , « le processus de dévolution peut réessayer les requêtes pour le nom court en le recherchant dans le « microsoft.com domaines  » et « com « .

Lorsque la liste de recherche de suffixes n’est pas vide et qu’au moins un suffixe DNS est spécifié, les tentatives de qualification et de résolution des noms DNS courts se limitent à rechercher uniquement les noms de domaine complets rendus possibles par la liste de suffixes spécifiée.

Si les requêtes pour tous les FQDN formés à la suite de l’ajout et de l’essai de chaque suffixe dans la liste ne sont pas résolues, le processus de requête échoue, produisant un résultat « nom introuvable ».

Avertissement

Si la liste des suffixes de domaine est utilisée, les clients continuent d’envoyer des requêtes alternatives supplémentaires basées sur différents noms de domaine DNS lorsqu’une requête n’est pas répondue ou résolue. Une fois qu’un nom est résolu à l’aide d’une entrée dans la liste des suffixes, les entrées de liste inutilisées ne sont pas essayées. Pour cette raison, il est plus efficace de commander d’abord la liste avec les suffixes de domaine les plus utilisés.

Les recherches de suffixe de nom de domaine ne sont utilisées que lorsqu’une entrée de nom DNS n’est pas entièrement qualifiée. Pour qualifier complètement un nom DNS, une période de fin (.) est entré à la fin du nom.

Configuration GPO

Lorsque vous configurez l’accès distant, les paramètres DirectAccess sont collectés dans des objets de stratégie de groupe (GPO).

Dans les Paramètres GPO, le nom du GPO du serveur DirectAccess et le nom du GPO du client sont répertoriés. De plus, vous pouvez modifier les paramètres de sélection des GPO.

Deux GPO sont remplis automatiquement avec les paramètres DirectAccess et distribués de cette manière:

  1. GPO client DirectAccess. Cet objet de stratégie de groupe contient les paramètres du client, y compris les paramètres de la technologie de transition IPv6, les entrées NRPT et le pare-feu Windows avec des règles de sécurité de connexion de sécurité avancées. Le GPO est appliqué aux groupes de sécurité spécifiés pour les ordinateurs clients.

  2. GPO du serveur DirectAccess. Ce GPO contient les paramètres de configuration DirectAccess qui sont appliqués à tout serveur configuré en tant que serveur d’accès distant dans votre déploiement. Il contient également un pare-feu Windows avec des règles de sécurité de connexion de sécurité avancées.

Résumé

Une fois la configuration de l’accès à distance terminée, le résumé s’affiche. Vous pouvez modifier les paramètres configurés ou cliquer sur Terminer pour appliquer la configuration.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.