WINDOWS 2012 : ACCÈS DISTANT

1. Configuration d’un serveur VPN

But : installation et configuration du serveur VPN.

Machines virtuelles : AD1, SRV-RT et CL8-02.

Sur AD1, lancez la console Gestionnaire de serveur.

Cliquez sur Ajouter des rôles et des fonctionnalités puis cliquez sur Suivant dans la fenêtre Avant de commencer.

Dans la fenêtre Sélectionner le type d’installation, laissez le choix par défaut puis cliquez deux fois sur Suivant.

Cochez la case Services de certificats Active Directory puis cliquez sur le bouton Ajouter des fonctionnalités dans la fenêtre qui s’affiche.

images/09CE01N.png

Cliquez trois fois sur Suivant puis, dans la fenêtre Services de rôle, cochez Inscription de l’autorité de certification via le Web.

images/09CE02N.png

Validez le choix en cliquant trois fois sur Suivant, puis lancez l’installation à l’aide du bouton Installer.

Cliquez sur Fermer puis, dans la console Gestionnaire du serveur, cliquez sur Notifications puis sur Configurer les services de certificats Active Directory.

images/09CE03N.png

Cliquez sur Suivant dans la fenêtre Informations d’identification puis cochez les deux services de rôle.

images/09CE04N.png

Dans les fenêtres Type d’installation et Type d’AC, laissez le choix par défaut (Autorité de certification d’entrepriseAutorité de certification racine) puis cliquez sur Suivant.

Cochez Créer une clé privée puis cliquez sur Suivant.

images/09CE05N.png

Laissez les choix par défaut dans la fenêtre Chiffrement pour l’autorité de certification.

Le nom de l’autorité de certification est configuré automatiquement, il peut être nécessaire de le modifier (accès depuis l’extérieur…).

Laissez les choix par défaut puis cliquez sur Suivant.

images/09CE06N.png

Configurez une période de validité de 2 ans dans la fenêtre Période de validité.

Cliquez trois fois sur Suivant puis sur Configurer.

Cliquez sur Fermer pour fermer l’assistant.

Dans les Outils d’administration, lancez la console Autorité de certification.

Développez le nœud Formation-AD1-CA puis effectuez un clic droit sur Modèles de certificats et sélectionnez Gérer.

images/09CE07N.png

Effectuez un clic droit sur Ordinateur puis cliquez sur Propriétés.

Dans la boîte de dialogue Propriétés de : Ordinateur, cliquez sur l’onglet Sécurité puis sélectionnez Utilisateurs authentifiés.

Cochez Autoriser pour l’autorisation Inscrire puis cliquez sur OK.

images/09CE08N.png

Fermez la fenêtre Console des modèles de certificats puis effectuez un clic droit sur Formation-AD1-CA, sélectionnez Toutes les tâches puis Arrêter le service.

Recommencez l’opération en sélectionnant cette fois-ci l’option Démarrer le service.

Fermez la console certsrv (console permettant la gestion de l’autorité de certification) puis lancez la console Gestion de stratégie de groupe.

Développez le nœud Forêt : Formation.localDomaines et enfin Formation.local.

Effectuez un clic droit sur Objets de stratégie de groupe puis sélectionnez l’option Nouveau dans le menu contextuel.

Saisissez Déploiement certificat dans le champ Nom puis cliquez sur OK.

images/09CE09N.png

Effectuez un clic droit sur la stratégie précédemment créée puis cliquez sur Modifier.

Dans la console Éditeur de gestion des stratégies de groupe développez les nœuds Configuration ordinateurStratégiesParamètres WindowsParamètres de sécurité puis Stratégies de clé publique.

images/09CE10N.png

Effectuez un clic droit sur le dossier Paramètres de demande automatique de certificat puis, dans le menu contextuel, sélectionnez Nouveau et enfin Demande automatique de certificat.

L’assistant se lance, cliquez sur Suivant.

Dans la fenêtre Modèle de certificat, sélectionnez Ordinateur puis cliquez sur Suivant.

images/09CE11N.png

Cliquez sur le bouton Terminer afin de fermer l’assistant.

Fermez la console Éditeur de gestion des stratégies de groupe puis, dans la console Gestion de stratégie de groupe, effectuez un clic droit à la racine du domaine Formation.local.

Dans le menu contextuel, sélectionnez l’option Nouvelle unité d’organisation puis saisissez VPNdans le champ Nom.

Liez la stratégie de groupe Déploiement certificat à l’unité d’organisation VPN.

images/09CE12N.png

Si ce n’est pas déjà fait, joignez SRV-RT au domaine Formation.local.

Ouvrez une session en tant que administrateur@formation.local (ou en tant que FORMATION\administrateur) sur le serveur SRV-RT.

Placez la souris en bas à gauche afin d’afficher la vignette de l’interface Windows, effectuez un clic droit puis sélectionnez dans le menu contextuel l’option Exécuter.

Saisissez mmc puis appuyez sur la touche [Entrée].

Cliquez sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.

Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats puis cliquez sur Ajouter.

Un assistant se lance, cochez Un compte d’ordinateur puis cliquez sur Suivant.

images/09CE13.png

Laissez le choix par défaut dans la fenêtre Sélectionner un ordinateur puis cliquez sur Terminer.

Cliquez sur OK pour fermer la fenêtre de sélection des composants logiciels enfichables.

Développez le nœud Certificats puis effectuez un clic droit sur Personnel.

Dans le menu contextuel, sélectionnez Toutes les tâches puis Demander un nouveau certificat.

Cliquez sur Suivant dans la fenêtre Avant de commencer.

Cliquez sur Stratégie d’inscription à Active Directory puis cliquez sur Suivant.

images/09CE13N.png

Dans la fenêtre Demander des certificats, cochez Ordinateur puis cliquez sur Inscription.

Vérifiez que le statut est égal à Opération réussie puis cliquez sur Terminer.

Si ce n’est pas déjà fait, joignez CL8-02 au domaine Formation.local.

Le commutateur virtuel doit être identique à celui utilisé par AD1.

Sur AD1, lancez la console Utilisateurs et ordinateurs Active Directory puis déplacez le compte ordinateur de CL8-02 dans l’OU VPN.

Ouvrez une session en tant que administrateur@formation.local (ou en tant que FORMATION\administrateur) sur le serveur CL8-02.

Lancez une invite de commandes DOS puis saisissez gpupdate /force.

Fermez l’invite de commandes puis ouvrez une console MMC.

Ajoutez le composant logiciel enfichable Certificats.

Un assistant se lance, cochez Un compte d’ordinateur puis cliquez sur Suivant.

Laissez le choix par défaut dans la fenêtre Sélectionner un ordinateur puis cliquez sur Terminer.

Développez les nœuds Certificats puis Personnel.

Vérifiez la présence du certificat émis par Formation-AD1-CA.

images/09CE14N.png

Sur SRV-RT, lancez la console Gestionnaire de serveur.

Cliquez sur le lien Ajouter des rôles et des fonctionnalités puis, dans la fenêtre Avant de commencer, cliquez sur Suivant.

Laissez le choix par défaut dans la fenêtre Sélectionner le type d’installation puis cliquez deux fois sur Suivant.

Dans la fenêtre Sélectionner des rôles de serveurs, cochez Services de stratégie et d’accès réseau puis cliquez sur le bouton Ajouter des fonctionnalités.

Cliquez trois fois sur Suivant puis, dans la fenêtre Sélectionner des services de rôle, vérifiez que Serveur NPS (Network Policy Server) est bien coché.

Cliquez sur Suivant puis sur Installer.

Une fois l’installation terminée, lancez la console Serveur NPS depuis les Outils d’administration.

images/09CE15N.png

Effectuez un clic droit sur NPS (Local) puis sélectionnez Inscrire un serveur dans Active Directory dans le menu contextuel.

Un message s’affiche, cliquez sur OK.

images/09CE17.png

Lancez la console Gestionnaire de serveur.

Cliquez sur le lien Ajouter des rôles et des fonctionnalités puis, dans la fenêtre Avant de commencer, cliquez sur Suivant.

Laissez le choix par défaut dans la fenêtre Sélectionner le type d’installation puis cliquez deux fois sur Suivant.

Dans la fenêtre Sélectionner des rôles de serveurs, cochez Accès à distance puis cliquez sur le bouton Ajouter des fonctionnalités.

Cliquez trois fois sur Suivant puis, dans la fenêtre Sélectionner des services de rôle, cochez Routage et cliquez sur Suivant.

Cliquez deux fois sur Suivant (les services de rôle IIS doivent être laissés par défaut) puis cliquez sur Installer.

Une fois l’installation terminée, lancez la console Routage et accès distant depuis les Outils d’administration.

Effectuez un clic droit sur SRV-RT puis, dans le menu contextuel, cliquez sur Configurer et activer le routage et l’accès à distance.

Dans la fenêtre Bienvenue, cliquez sur Suivant puis cochez Configuration personnalisée.

images/09CE16N.png

Cliquez sur Suivant pour valider le choix.

Dans la fenêtre Configuration personnalisée, cochez Accès VPN puis cliquez sur Suivant.

Cliquez sur Terminer afin de fermer l’assistant puis sur Démarrer le service dans la fenêtre qui apparaît.

Effectuez un clic droit sur SRV-RT (local) puis, dans le menu contextuel, sélectionnez Propriétés.

Sélectionnez l’onglet IPv4 puis cochez le bouton radio Pool d’adresses statique.

Cliquez sur Ajouter puis saisissez 192.168.1.201 dans le champ Adresse IP de début et 192.168.1.250 dans Adresse IP de fin.

images/09CE17N.png

Cliquez sur OK.

Il est maintenant nécessaire de créer une stratégie réseau pour les clients qui se connectent en VPN.

Depuis AD1, lancez la console Utilisateurs et ordinateurs Active Directory puis, dans l’unité d’organisation VPN, créez un groupe nommé G_Accès_VPN.

Le groupe de sécurité a une étendue globale. Les utilisateurs seront ajoutés par la suite.

Ajoutez Stéphanie THED (sthed) en tant que membre du groupe.

Dans la console Serveur NPS (Network Policy Server), sur le serveur SRV-RT, développez Stratégies puis cliquez sur Stratégies réseau.

Effectuez un clic droit sur la première stratégie réseau puis sélectionnez Désactiver dans le menu contextuel.

Recommencez la même opération pour la deuxième stratégie.

Effectuez un clic droit sur le dossier Stratégies réseau puis sélectionnez Nouveau.

Dans le champ Nom, saisissez Stratégie VPN – Poste Client puis dans la liste déroulante Type de serveur d’accès réseau sélectionnez Serveur d’accès à distance (VPN-Dial up).

images/09CE18N.png

Cliquez sur Suivant pour valider les modifications.

Dans la page Spécifier les conditions, cliquez sur Ajouter puis sélectionnez Groupes Windowsdans la fenêtre qui s’affiche.

Cliquez sur Ajouter puis Ajouter des groupes. Dans la fenêtre qui s’affiche, saisissez G_Accès_VPN puis cliquez sur Vérifier les noms.

Cliquez sur Suivant puis spécifiez l’autorisation Accès accordé. Validez à l’aide du bouton Suivant.

images/09CE21.png

Dans la fenêtre Configurer les méthodes d’authentification, décochez Authentification chiffrée Microsoft (MS-CHAP) puis cliquez sur Suivant.

Cliquez sur Suivant jusqu’à la dernière fenêtre puis sur le bouton Terminer afin de fermer l’assistant.

Le serveur VPN est maintenant configuré.

2. Configuration du client VPN

But : configuration du client VPN puis test de connexion.

Machines virtuelles : AD1, SRV-RT et CL8-02.

Sur CL8-02, connectez-vous en tant qu’administrateur du domaine.

Placez la souris en bas à gauche afin d’afficher la vignette du menu démarrer. Effectuez un clic droit sur la vignette puis, dans le menu contextuel, sélectionnez Panneau de configuration.

Cliquez sur Programmes puis sur Activer ou désactiver des fonctionnalités Windows.

Cochez la case Kit d’administration du Gestionnaire des connexions Microsoft (CMAK) RAS, puis cliquez sur OK.

images/09CE19N.png

Cliquez sur Fermer.

Changez l’affichage du panneau de configuration en mode Grandes icônes.

Cliquez sur Outils d’administration puis double cliquez sur Kit d’administration du Gestionnaire des connexions.

Dans la fenêtre Bienvenue, cliquez sur Suivant.

Laissez l’option Windows Vista ou version ultérieure cochée puis cliquez sur Suivant.

images/09CE20N.png

Dans la fenêtre Créer ou modifier un profil Gestionnaire des connexions, laissez l’option Nouveau profil cochée puis cliquez sur Suivant.

Saisissez Connexion VPN Formation.local dans le champ Nom du service puis VPN dans Nom du fichier. Cliquez sur Suivant pour valider la saisie.

Sur la page Spécifier un nom de domaine, cliquez sur Ne pas ajouter de nom de domaine Kerberos au nom d’utilisateur, puis deux fois sur Suivant.

Sur la page Ajouter une prise en charge des connexions VPN, cochez Annuaire de ce profilpuis, dans le champ Toujours utiliser le même serveur VPN, saisissez 172.16.1.254 et cliquez sur Suivant.

Cliquez sur Modifier dans la page Créer ou modifier une entrée VPN puis sélectionnez l’onglet Sécurité.

Dans la liste déroulante Stratégie VPN, sélectionnez Utiliser uniquement le protocole L2TP (Protocole Layer two Tunneling Protocol).

images/09CE21N.png

Validez votre choix en cliquant sur OK.

Cliquez sur Suivant puis décochez l’option Téléchargement automatique des mises à jour de l’annuaire téléphonique dans la page Ajouter un annuaire téléphonique personnalisé.

Cliquez sur Suivant jusqu’à la fin de l’assistant puis sur Terminer.

Accédez au dossier C:\Program Files\CMAK\Profiles\Windows Vista and above\VPN puis double cliquez sur VPN.exe.

Cliquez sur Oui au niveau du message d’avertissement puis cochez Tous les utilisateurs et Créer un raccourci sur le Bureau.

images/09CE22N.png

Fermez toutes les fenêtres puis ouvrez une session en tant que sthed.

Modifiez l’adressage IP de la carte réseau comme ci-dessous (il est nécessaire de saisir les identifiants de l’administrateur du domaine) :

  • Adresse IP : 172.16.1.1

  • Masque de sous-réseau : 255.255.0.0

  • Passerelle par défaut : 172.16.1.254

images/09CE23N.png

Modifiez le commutateur virtuel de la machine CL8-02 afin d’utiliser le deuxième commutateur utilisé par SRV-RT (celui différent d’AD1).

Dans la fenêtre Connexions réseau, double cliquez sur l’icône Connexion VPN Formation.localpuis, dans le bandeau Réseaux, cliquez une fois de plus sur Connexion VPN Formation.local puis sur Connexion.

images/09CE25N.png

Saisissez formation\sthed dans le champ Nom d’utilisateur puis Pa$$w0rd dans Mot de passe.

images/09CE24N.png

Cliquez sur Connexion pour initier la connexion VPN.

En cas d’échec de la connexion, désactivez le pare-feu et renouvelez la connexion.

La machine cliente est maintenant raccordée au réseau de l’entreprise par l’intermédiaire du tunnel VPN.

3. Configuration de DirectAccess

But : configuration de la fonctionnalité DirectAccess

Machines virtuelles : AD1, SRV-RT et CL8-02.

Si vous avez suivi les deux ateliers précédents, effectuez les trois manipulations suivantes. Sinon, vous pouvez les ignorer.

Sur SRV-RT, lancez la console Routage et accès distant puis effectuez un clic droit sur SRV-RT (local). Sélectionnez l’option Désactiver le routage et l’accès distant pour arrêter le service.

Sur AD1, lancez la console Gestion de stratégie de groupe puis désactivez la stratégie de groupe Déploiement certificat liée à l’unité d’organisation VPN.

Modifiez le commutateur virtuel de la station CL8-02 afin qu’elle utilise celui configuré sur AD1. Modifiez la configuration réseau de sorte que celle-ci soit attribuée par un serveur DHCP. Si vous n’avez pas effectué l’atelier précédent, il est nécessaire de créer une unité d’organisation VPN à la racine du domaine Formation.local. Cette création est effectuée par l’intermédiaire de la console Utilisateurs et ordinateurs Active Directory. Ensuite, créez un groupe global de sécurité nommé G_Accès_VPN (ce dernier est présent dans l’unité d’organisation précédemment créée).

Sur AD1, lancez la console Utilisateurs et ordinateurs Active Directory puis développez Formation.local et cliquez sur l’unité d’organisation VPN.

Double cliquez sur le groupe G_Accès_VPN, sélectionnez le compte utilisateur ajouté dans l’atelier précédent et cliquez sur Supprimer. Ajoutez le compte ordinateur CL8-02 dans le groupe.

Lancez la console Gestion de stratégie de groupe, effectuez un clic droit sur la stratégie de groupe Default Domain Policy puis sélectionnez l’option Modifier.

La console Éditeur de gestion des stratégies de groupe se lance, développez les nœuds Configuration ordinateurStratégiesParamètres WindowsParamètres de sécuritéPare-feu Windows avec fonctions avancées de sécurité.

Effectuez un clic droit sur Règles de trafic entrant puis cliquez sur Nouvelle règle.

images/09CE27N.png

Dans la page Type de règle, sélectionnez Personnalisée puis cliquez deux fois sur le bouton Suivant.

Dans la liste déroulante Type de protocole, sélectionnez ICMPv6 puis cliquez sur le bouton Perso.

Cochez le bouton radio Certains types ICMP puis requête d’écho.

Cliquez sur OK puis Suivant.

images/09CE28N.png

Cliquez sur Suivant au niveau des fenêtres ÉtendueAction et Profil.

Saisissez Autoriser – ICMPv6 – Entrant dans le champ Nom puis cliquez sur Terminer.

Effectuez un clic droit sur Règles de trafic sortant puis cliquez sur Nouvelle règle.

Dans la page Type de règle, sélectionnez Personnalisée puis cliquez deux fois sur le bouton Suivant.

Dans la liste déroulante Type de protocole, sélectionnez ICMPv6 puis cliquez sur le bouton Perso.

Cochez le bouton radio Certains types ICMP puis requête d’écho.

Cliquez sur OK puis deux fois Suivant.

Sélectionnez l’action Autoriser la connexion puis cliquez deux fois sur Suivant.

Saisissez Autoriser – ICMPv6 – Sortant dans le champ Nom puis cliquez sur Terminer.

Fermez les consoles Éditeur de gestion des stratégies de groupe et Gestion de stratégie de groupe.

Lancez la console Gestionnaire de serveur et cliquez sur Outils puis DNS.

Développez les nœuds AD1Zones de recherche directes et Formation.local.

Effectuez un clic droit sur Formation.local puis sélectionnez Nouvel hôte (A ou AAAA).

Saisissez CRL dans le champ Nom et 192.168.1.254 dans le champ Adresse IP.

images/09CE29N.png

Cliquez sur le bouton Ajouter un hôte.

Effectuez la même opération pour le nom NLS et l’adresse IP 192.168.1.254.

Cliquez sur OK afin de valider le message d’information.

Fermez la console DNS et lancez une invite de commandes DOS.

Saisissez la commande dnscmd /config /globalqueryblocklist wpad.

Cette commande permet de supprimer le nom ISATAP de la liste rouge de requêtes globales DNS.

Le message La commande s’est terminée correctement apparaît.

Sur SRV-RT, accédez au panneau de configuration puis à la console Centre Réseau et partage.

Cliquez sur Modifier les paramètres de la carte puis accédez aux propriétés de la carte Ethernet qui est connectée au réseau 192.168.1.0.

Sélectionnez Protocole Internet version 4 (TCP/IPv4) puis cliquez sur Propriétés et Avancé.

images/09CE30N.png

Sélectionnez l’onglet DNS puis saisissez Formation.local dans le champ Suffixe DNS pour cette connexion.

Cliquez sur OK pour valider toutes les fenêtres.

Il est maintenant nécessaire de s’occuper de la partie certificats numériques.

Si cela n’est pas déjà fait, installez une autorité de certification sur AD1.

Sur AD1, lancez la console Gestionnaire de serveur, cliquez sur Outils puis sélectionnez Autorité de certification.

Effectuez un clic droit sur Formation-AD1-CA puis sélectionnez Propriétés.

Sélectionnez l’onglet Extensions puis cliquez sur le bouton Ajouter.

Saisissez http://crl.Formation.local/crld/ dans le champ Emplacement puis sélectionnez <NomAutoritéCertification> dans la liste déroulante Variable.

Cliquez sur Insérer.

Sélectionnez <SuffixeNomListeRévocationCertificats> dans la liste déroulante Variable puis cliquez sur Insérer.

Sélectionnez <ListeRévocationCertificatsDeltaAutorisée> dans la liste déroulante Variable puis cliquez sur Insérer.

Saisissez .crl à la fin du champ Emplacement.

Cliquez sur OK puis cochez Inclure dans les listes de révocation de certificats afin de pouvoir rechercher les listes de révocation des certificats delta et Inclure dans l’extension CDP des certificats émis.

Cliquez sur Appliquer puis sur Non dans la boîte de dialogue demandant de redémarrer les services de certificats Active Directory.

Cliquez sur le bouton Ajouter puis, dans le champ Emplacement, saisissez \\SRV-RT\crldist$\.

Sélectionnez <NomAutoritéCertification> dans la liste déroulante Variable puis cliquez sur Insérer.

Sélectionnez <SuffixeNomListeRévocationCertificats> dans la liste déroulante Variable puis cliquez sur Insérer.

Sélectionnez <ListeRévocationCertificatsDeltaAutorisée> dans la liste déroulante Variable puis cliquez sur Insérer.

Saisissez .crl à la fin du champ Emplacement puis cliquez sur OK.

Cochez Publier les listes de révocation des certificats à cet emplacement et Publier les listes de révocation des certificats delta à cet emplacement, puis cliquez sur OK.

Cliquez sur Oui pour redémarrer les services de certificats Active Directory.

Développez Formation-AD1-CA puis effectuez un clic droit sur Modèles de certificats. Sélectionnez Gérer dans le menu contextuel.

Effectuez un clic droit sur Serveur Web puis cliquez sur Dupliquer le modèle.

images/09CE31N.png

Sélectionnez l’onglet Général puis saisissez Certificat SRV Web Formation.

Cliquez sur l’onglet Traitement de la demande puis cochez Autoriser l’exportation de la clé privée.

Cliquez sur l’onglet Sécurité, sélectionnez Utilisateurs authentifiés puis dans Autorisationssélectionnez Inscrire.

Cliquez sur OK puis fermez la Console des modèles de certificat.

Dans la console Autorité de certification, effectuez un clic droit sur Modèles de certificats puis sélectionnez les options Nouveau – Modèle de certificat à délivrer dans le menu contextuel.

Sélectionnez le modèle précédemment créé puis cliquez sur OK.

images/09CE32N.png

Effectuez un clic droit sur Formation-AD1-CA puis, dans le menu contextuel, sélectionnez Toutes les tâches puis Arrêter le service.

Recommencez l’opération en sélectionnant cette fois Démarrer le service.

Fermez la console Autorité de certification puis lancez la console Gestion de stratégie de groupe.

Développez les nœuds Forêt : Formation.localDomaines puis Formation.local.

Effectuez un clic droit sur Default Domain Policy puis cliquez sur Modifier.

Développez les nœuds Configuration ordinateurStratégiesParamètres WindowsParamètres de sécurité et Stratégies de clé publique.

Effectuez un clic droit sur Paramètres de demande automatique de certificat, puis sélectionnez Nouveau – Demande automatique de certificat.

Un assistant se lance, cliquez sur Suivant.

Dans la Page de certificat, sélectionnez Ordinateur puis cliquez sur Suivant et Terminer.

Un certificat peut maintenant être demandé pour SRV-RT.

Sur SRV-RT, lancez une invite de commandes DOS puis saisissez la commande gpupdate /force.

Saisissez par la suite mmc puis, à l’aide de l’option Ajouter/Supprimer un composant logiciel enfichable (menu Fichier), ajoutez Certificats.

Un assistant se lance, sélectionnez Un compte d’ordinateur puis cliquez successivement sur SuivantTerminer puis OK.

Développez les nœuds Certificats (ordinateur local)Personnel et enfin Certificats.

Effectuez un clic droit sur Certificats puis, dans le menu contextuel, sélectionnez Toutes les tâchespuis Demander un nouveau certificat.

Cliquez deux fois sur Suivant. Sur la page Demander des certificats, cliquez sur Certificat SRV Web Formation.

Cliquez sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaires.

Sélectionnez l’onglet Objet, puis sélectionnez Nom commun dans la liste déroulante Type.

Dans le champ Valeur, saisissez NLS.Formation.local puis cliquez sur Ajouter.

Cliquez sur OK puis sur Inscription et enfin sur Terminer.

Un nouveau certificat est maintenant présent dans la console MMC.

Si cela n’est pas déjà fait, installez le rôle IIS sur SRV-RT.

Sur SRV-RT, lancez la console Gestionnaire des services Internet (IIS).

Cliquez sur Sites puis sur Default Web Site.

Dans le volet Actions, cliquez sur Liaisons puis sur Ajouter.

images/09CE33N.png

Dans la liste déroulante Type, sélectionnez HTTPS puis dans Certificat SSL sélectionnez NLS.Formation.local.

Cliquez sur OK puis sur Fermer.

Fermez la console Gestionnaire des services Internet (IIS).

DirectAccess peut désormais être configuré.

Lancez une console MMC puis ajoutez le composant logiciel enfichable Certificats.

Un assistant se lance, cochez Un compte d’ordinateur puis cliquez sur SuivantTerminer puis OK.

Dans l’arborescence de la console, développez les nœuds Certificats (ordinateur local)Personnel et enfin Certificats.

Effectuez un clic droit sur Certificats puis sélectionnez Toutes les tâches – Demander un nouveau certificat.

Cliquez deux fois sur Suivant, cochez Certificat Srv Web Formation puis cliquez sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaires.

Sélectionnez Nom commun dans la liste déroulante Type puis saisissez 192.168.1.254 dans le champ Valeur.

Cliquez sur les boutons AjouterOK puis Inscription.

Cliquez sur Terminer pour mettre fin à l’assistant.

Un nouveau certificat est présent dans la console MMC.

images/09CE34N.png

Effectuez un clic droit sur le certificat nouvellement créé puis dans le menu contextuel sélectionnez Propriétés.

Dans le champ Nom convivial, saisissez Certificat IP-HTTPS puis cliquez sur OK.

images/09CE35N.png

Fermez la console Certificats.

Le point de distribution de liste de révocation de certificats peut désormais être créé.

Sur SRV-RT, lancez la console Gestionnaire des services Internet (IIS).

Développez le nœud Sites puis effectuez un clic droit sur Default Web Site. Dans le menu contextuel, cliquez sur Ajouter un répertoire virtuel.

Dans la fenêtre Ajouter un répertoire virtuel, saisissez CRLD dans le champ Alias puis cliquez sur le bouton images/point.PNG à droite du champ Chemin d’accès physique.

Double cliquez sur Disque local (C:) puis cliquez sur le bouton Créer un nouveau dossier.

Saisissez CRLDist puis appuyez sur la touche [Entrée].

images/09CE40.png

Cliquez deux fois sur OK pour fermer les fenêtres.

Double cliquez sur Exploration de répertoire dans le bandeau central de la console Gestionnaire des services Internet (IIS) puis sélectionnez Activer dans le bandeau Actions.

Sélectionnez le dossier CRLD puis, dans le volet central de la console, double cliquez sur l’icône Éditeur de configuration.

Dans la liste déroulante Section, développez system.webServersecurity, puis cliquez sur requestFiltering.

Dans la liste déroulante allowDoubleEscaping, sélectionnez la valeur True.

Cliquez sur Appliquer dans le volet Actions.

images/09CE36N.png

Il est nécessaire de partager le point de distribution de la liste de révocation.

Lancez l’explorateur Windows puis double cliquez sur Disque local (C:).

Effectuez un clic droit sur le dossier CRLDist puis cliquez sur Propriétés.

Sélectionnez l’onglet Partage puis cliquez sur Partage avancé.

 Cochez la case Partager ce dossier puis ajoutez un $ à la fin du chemin.

images/09CE42.png

Cliquez sur Autorisations puis sur Ajouter.

Cliquez sur le bouton Types d’objet puis sélectionnez des ordinateurs.

Cliquez sur OK puis saisissez AD1 dans le champ Entrer les noms des objets à sélectionner.

Cliquez sur Vérifier les noms puis sur OK.

Sélectionnez AD1 (FORMATION\AD1$) puis cochez Contrôle total dans la colonne Autoriser.

images/09CE43.png

Cliquez deux fois sur OK puis sélectionnez l’onglet Sécurité.

Cliquez sur le bouton Modifier puis sur Ajouter.

Cliquez sur le bouton Types d’objet puis sélectionnez des ordinateurs.

Cliquez sur OK puis saisissez AD1 dans le champ Entrer les noms des objets à sélectionner.

Cliquez sur Vérifier les noms puis sur OK.

Sélectionnez AD1 (FORMATION\AD1$) puis cochez Contrôle total dans la colonne Autoriser.

Il est maintenant temps de publier la liste de révocation de certificats.

Sur AD1, accédez à la console Autorité de certification.

Développez le nœud Formation-AD1-CA puis effectuez un clic droit sur Certificats révoqués.

Dans le menu contextuel, sélectionnez Toutes les tâches puis Publier.

Cochez le bouton radio Nouvelle liste de révocation des certificats dans la boîte de dialogue Publier la liste de révocation des certificats.

images/09CE37N.png

Validez le choix à l’aide du bouton OK.

Accédez au partage \\SRV-RT\CRLDist$ et vérifiez la présence de fichiers.

images/09CE38N.png

DirectAccess peut désormais être configuré.

Si cela n’est pas déjà fait, installez le rôle Accès à distance sur SRV-RT.

Configurez la deuxième carte réseau sur le serveur SRV-RT (celle ayant l’IP 172.16.1.254) afin qu’elle possède l’IP 131.0.0.1 et le masque de sous-réseau 255.255.0.0.

La carte réseau doit être connectée à un commutateur différent de celui utilisé pour la première carte réseau (un commutateur de type privé par exemple).

Sur SRV-RT, lancez la console Routage et accès distant.

Vérifiez que SRV-RT est bien désactivé, sinon effectuez un clic droit sur SRV-RT (local) et sélectionnez Désactiver le routage et l’accès distant.

Lancez la console Gestion de l’accès à distance puis cliquez sur Configuration dans le bandeau de gauche puis sur Exécuter l’Assistant Mise en route dans le bandeau central.

Un assistant se lance, exécutez Déployer DirectAccess uniquement.

Vérifiez que l’option Derrière un périphérique de périmètre (avec deux cartes réseau) est cochée puis saisissez 131.0.0.1 dans la zone de texte.

Cliquez sur Suivant puis sur Terminer.

Dans la console Gestion de l’accès à distance, sous Étape 1, cliquez sur Modifier, puis sur Suivant.

Dans la fenêtre de sélection des groupes, cliquez sur Ajouter.

Saisissez G_Accès_VPN puis cliquez sur OK.

Décochez la case Activer DirectAccess pour les ordinateurs portables uniquement puis supprimez le groupe Ordinateurs du domaine.

images/09CE39N.png

Cliquez sur Suivant puis sur Terminer.

Dans la console Gestion de l’accès à distance, sous Étape 2, cliquez sur Modifier.

Cliquez sur Suivant puis vérifiez l’utilisation de la bonne carte Ethernet.

Validez votre choix en cliquant sur Suivant.

Cliquez sur le bouton Parcourir présent dans la zone Utiliser les certificats d’ordinateur.

Sélectionnez Formation-AD1-CA puis cliquez sur OK.

images/09CE40N.png

Cliquez sur Terminer.

Dans la console Configuration de l’accès à distance, cliquez sur le lien Modifier présent sous Étape 3.

Dans la fenêtre Server Emplacement réseau, cochez le bouton radio Le serveur Emplacement réseau est déployé sur le serveur d’accès à distance. À l’aide du bouton Parcourir, sélectionnez le certificat SRV-RT.

images/09CE41N.png

Cliquez trois fois sur Suivant puis sur Terminer.

Dans la console Configuration de l’accès à distance, cliquez sur le lien Modifier présent sous Étape 4.

Dans la page Installation du serveur d’applications DirectAccess, cliquez sur Terminer.

Appliquez les modifications en cliquant sur Terminer dans la console Gestion de l’accès distantpuis sur Appliquer dans la fenêtre qui apparaît.

À la fin de l’opération, cliquez sur Fermer.

Sur SRV-RT, lancez une invite de commandes DOS puis exécutez la commande gpupdate /force.

Cliquez sur Tableau de bord dans la Console de gestion de l’accès distant.

images/09CE42N.png

Vérifiez que l’ensemble des points listés dans État des opérations sont validés.

4. Configuration du client DirectAccess

But : configuration de la fonctionnalité DirectAccess

Machines virtuelles : AD1, SRV-RT et CL8-02.

Sur CL8-02, ouvrez une session en tant qu’administrateur (administrateur@formation.local).

Lancez une invite de commandes DOS puis exécutez la commande gpupdate /force.

Vérifiez que CL8-02 est bien en adressage dynamique et sur le même commutateur virtuel que AD1.

Vérifiez l’application de la stratégie de groupe Paramètres du client DirectAccess.

Cette GPO a été créée automatiquement.

images/09CE43N.png

Sur CL8-02, ouvrez une console MMC puis ajoutez le composant logiciel enfichable Certificats.

Dans l’assistant, sélectionnez Un compte d’ordinateur, cliquez sur Suivant et sur Terminer.

Développez les nœuds CertificatsPersonnel et enfin Certificats.

Vérifiez la présence d’un certificat portant le nom CL8-02.Formation.local et ayant pour rôle Garantit l’identité d’un ordinateur distant.

images/09CE44N.png

Le certificat nécessaire pour l’identification de la machine est installé.

Ouvrez un navigateur Internet puis accédez à l’URL http://SRV-RT.Formation.local.

Cette opération permet de tester la connexion au serveur de l’entreprise. La station CL8-02 doit utiliser le même commutateur que SRV-RT, ceci afin d’être connectée au réseau 131.0.0.0. Pour cela, configurez le même commutateur virtuel que pour SRV-RT.

Modifiez la configuration de la carte réseau de CL8-02 afin qu’elle soit configurée comme ci-dessous puis changez le commutateur virtuel.

  • Adresse IP : 131.0.0.2

  • Masque de sous-réseau : 255.255.0.0

  • Passerelle par défaut : 131.0.0.1

  • Serveur DNS préféré : 131.0.0.1

Dans Internet Explorer, supprimez toutes les informations mises en cache (fichiers temporaires, etc.).

Cela permet de s’assurer que l’accès fonctionne et que la page ne s’affiche pas à l’aide du cache présent sur le poste.

Ouvrez un navigateur Internet puis accédez à l’URL http://SRV-RT.Formation.local.

La page s’affiche.

Lancez une invite de commandes DOS puis saisissez la commande : ping SRV-RT.formation.local

Une réponse est apportée.

Saisissez la commande netsh name show effectivepolicy afin de voir les paramètres de la table de stratégie de résolution de noms DNS.

Lancez une console PowerShell puis saisissez la commande Get-DAClientExperienceConfiguration.