Étape 2 : Configurez des serveurs DirectAccess avancés
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique décrit comment configurer les paramètres de client et de serveur requis pour un déploiement avancé de l'accès à distance qui utilise un serveur d'accès à distance unique dans un environnement mixte IPv4 et IPv6. Avant de commencer la procédure de déploiement, vérifiez que vous avez effectué les étapes de planification décrites. dans Planifier un déploiement avancé de DirectAccess.
| Tâche | Description |
|---|---|
| 2.1. Installer le rôle Accès à distance | Installez le rôle Accès à distance. |
| 2.2. Configurer le type de déploiement | Configurez le type de déploiement comme DirectAccess et VPN, DirectAccess uniquement ou VPN uniquement. |
| Planifier un déploiement avancé de DirectAccess | Configurez le serveur d'accès à distance avec les groupes de sécurité contenant les clients DirectAccess. |
| 2.4. Configurer le serveur d'accès à distance | Configurez les paramètres du serveur d'accès à distance |
| 2.5. Configurer les serveurs d'infrastructure | Configurez les serveurs d'infrastructure utilisés dans l'organisation. |
| 2.6. Configurer les serveurs d'applications | Configurez les serveurs d'applications afin qu'ils exigent une authentification et un chiffrement. |
| 2.7. Résumé de la configuration et autres objets de stratégie de groupe | Consultez le résumé de la configuration de l'accès à distance et modifiez les objets de stratégie de groupe, si vous le souhaitez. |
| 2.8. Comment configurer le serveur d'accès à distance au moyen de Windows PowerShell | Configurez l’Accès à distance à l’aide de Windows PowerShell. |
Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.
2.1. Installer le rôle Accès à distance
Pour déployer l'accès à distance, vous devez installer le rôle Accès à distance sur un serveur de votre organisation qui agira en tant que serveur d'accès à distance.
Pour installer le rôle Accès à distance
Sur le serveur d’Accès à distance, dans la console Gestionnaire de serveur, dans le Tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités.
Cliquez sur Suivant trois fois pour accéder à l'écran Sélectionner des rôles de serveurs.
Dans la page Sélectionner des rôles de serveurs, sélectionnez Accès à distance, cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.
Cliquez sur Suivant cinq fois.
Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
Dans la page Progression de l'installation, vérifiez que l'installation s'est correctement déroulée et cliquez sur Fermer.
Commandes Windows PowerShell équivalentes
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Configurer le type de déploiement
L'accès à distance peut être déployé à l'aide de la console de gestion de l'accès à distance de trois façons différentes :
DirectAccess et VPN
DirectAccess uniquement
VPN uniquement
Ce guide utilise un déploiement DirectAccess uniquement dans les procédures d'exemple.
Pour configurer le type de déploiement
Sur le serveur d’Accès à distance, ouvrez la console Gestion de l’accès à distance : dans l’écran Démarrage, tapezRAMgmtUI.exe, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.
Dans la console de gestion de l'accès à distance, dans le volet du milieu, cliquez sur Exécuter l'Assistant Configuration de l'accès à distance.
Dans la boîte de dialogue Configurer l'accès à distance, cliquez pour choisir de déployer DirectAccess et VPN, DirectAccess uniquement ou VPN uniquement.
2.3. Configurer les clients DirectAccess
Pour configurer l'utilisation de DirectAccess sur un ordinateur client, ce dernier doit appartenir au groupe de sécurité sélectionné. Une fois DirectAccess configuré, les ordinateurs clients du groupe de sécurité sont configurés pour recevoir l'objet de stratégie de groupe DirectAccess. Vous pouvez également configurer le scénario de déploiement, qui vous autorise à configurer DirectAccess pour l'accès client et l'administration à distance, ou seulement pour l'administration à distance.
Pour configurer les clients DirectAccess
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 1 : Clients distants, cliquez sur Modifier.
Dans l'Assistant Installation du client DirectAccess, dans la page Scénario de déploiement, cliquez sur le scénario de déploiement que vous voulez utiliser dans votre organisation (DirectAccess complet ou Administration à distance uniquement), puis cliquez sur Suivant.
Dans la page Sélectionner des groupes, cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner des groupes, sélectionnez les groupes de sécurité qui contiennent vos ordinateurs clients DirectAccess.
Notes
Si le groupe de sécurité se trouve dans une autre forêt que le serveur d'Accès à distance, une fois que vous avez terminé l'Assistant Configuration de l'Accès à distance, cliquez sur Actualiser les serveurs d'administration dans le volet Tâches pour découvrir les contrôleurs de domaine et les serveurs Configuration Manager dans la nouvelle forêt.
Cochez la case Activer DirectAccess pour les ordinateurs portables uniquement pour autoriser uniquement les ordinateurs portables à accéder au réseau interne, si nécessaire.
Cochez la case Utiliser le tunneling forcé pour acheminer tout le trafic client (vers le réseau interne et vers Internet) via le serveur d'accès à distance, si nécessaire.
Cliquez sur Suivant.
Dans la page Assistant Connectivité réseau :
Dans la table, ajoutez les ressources qui seront utilisées pour déterminer la connectivité au réseau interne. Une sonde web par défaut est créée automatiquement si aucune autre ressource n'est configurée.
Attention
Quand vous configurez les emplacements de sonde web pour déterminer la connectivité au réseau d'entreprise, assurez-vous de disposer d'au moins une sonde HTTP configurée. La seule configuration d'une sonde ping n'est pas suffisante et pourrait conduire à une détermination inexacte de l'état de la connectivité. Ceci est dû au fait que la sonde ping est exemptée d'IPsec et, par conséquent, qu'elle ne garantit pas que les tunnels IPsec sont établis correctement.
Ajouter une adresse de messagerie du support technique pour permettre aux utilisateurs d'envoyer des informations s'ils rencontrent des problèmes de connectivité.
Fournissez un nom convivial pour la connexion à DirectAccess. Ce nom apparaît dans la liste des réseaux quand les utilisateurs cliquent sur l'icône de réseau dans la zone de notification.
Cochez la case Permettre aux clients DirectAccess d'utiliser la résolution de noms locale, si nécessaire.
Notes
Quand la résolution de noms locale est activée, les utilisateurs qui exécutent l'Assistant Connectivité réseau peuvent choisir de résoudre les noms en utilisant les serveurs DNS configurés sur l'ordinateur client DirectAccess.
Cliquez sur Terminer.
2.4. Configurer le serveur d'accès à distance
Pour déployer l'accès à distance, vous devez configurer le serveur d'accès à distance avec les cartes réseau appropriées, une URL publique pour le serveur d'accès à distance auquel les ordinateurs clients peuvent se connecter (adresse ConnectTo), un certificat IP-HTTPS dont le sujet correspond à l'adresse ConnectTo, les paramètres IPv6 et l'authentification des ordinateurs clients.
Pour configurer le serveur d'accès à distance
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 2 : Serveur d'accès à distance, cliquez sur Configurer.
Dans l'Assistant Installation du serveur d'accès à distance, dans la page Topologie du réseau, cliquez sur la topologie de déploiement qui sera utilisée dans votre organisation. Dans Tapez le nom public ou l'adresse IPv4 utilisé par les clients pour se connecter au serveur d'accès à distance, entrez le nom public du déploiement (ce nom correspond au nom de sujet du certificat IP-HTTPS, par exemple edge1.contoso.com), puis cliquez sur Suivant.
Dans la page Cartes réseau, l'Assistant détecte automatiquement les cartes réseau pour les réseaux présents dans votre déploiement. Si l'Assistant ne détecte pas les cartes réseau appropriées, sélectionnez manuellement les cartes correctes. L'Assistant détecte aussi automatiquement le certificat IP-HTTPS, basé sur le nom public du déploiement défini dans l'étape précédente de l'Assistant. Si l'Assistant ne détecte pas le certificat IP-HTTPS approprié, cliquez sur Parcourir pour sélectionner manuellement le certificat correct, puis cliquez sur Suivant.
Dans la page Configuration du préfixe (apparaît uniquement si IPv6 est déployé dans le réseau interne), l'Assistant détecte automatiquement les paramètres IPv6 utilisés dans le réseau interne. Si votre déploiement nécessite des préfixes supplémentaires, configurez les préfixes IPv6 pour le réseau interne, un préfixe IPv6 à attribuer aux ordinateurs clients DirectAccess et un préfixe IPv6 à attribuer aux ordinateurs clients du réseau VPN.
Notes
Vous pouvez spécifier plusieurs préfixes IPv6 internes en utilisant une liste séparée par des points-virgules, telle que 2001:db8:1::/48;2001:db8:2::/48.
Dans la page Authentification :
Dans Authentification utilisateur, cliquez sur Informations d'identification Active Directory. Pour configurer un déploiement en utilisant l'authentification à deux facteurs, cliquez sur Authentification à 2 facteurs. Pour plus d'informations, voir Déployer l'accès à distance avec l'authentification par mot de passe à usage unique.
Pour les déploiements multisites et à authentification à 2 facteurs, vous devez utiliser l'authentification par certificat d'ordinateur. Cochez la case Utiliser les certificats d'ordinateur pour utiliser l'authentification par certificat d'ordinateur, et sélectionnez le certificat racine IPsec.
Pour permettre aux ordinateurs clients Windows 7 de se connecter via DirectAccess, cochez la case Autoriser les ordinateurs clients Windows 7 à se connecter par le biais de DirectAccess.
Notes
Vous devez également utiliser l'authentification par certificat d'ordinateur dans ce type de déploiement.
Cliquez sur Terminer.
2.5. Configurer les serveurs d'infrastructure
Pour configurer les serveurs d'infrastructure dans un déploiement de l'accès à distance, vous devez configurer le serveur Emplacement réseau, les paramètres DNS (y compris la liste de recherche de suffixes DNS) et les serveurs d'administration qui ne sont pas détectés automatiquement par l'accès à distance.
Pour configurer les serveurs d'infrastructure
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 3 : Serveurs d'infrastructure, cliquez sur Configurer.
Dans l'Assistant Installation du serveur d'infrastructure, dans la page Serveur Emplacement réseau, cliquez sur l'option correspondant à l'emplacement du serveur Emplacement réseau dans votre déploiement. Si le serveur Emplacement réseau figure sur un serveur web distant, entrez l'URL et cliquez sur Valider avant de continuer. Si le serveur Emplacement réseau se trouve sur le serveur d'accès à distance, cliquez sur Parcourir pour localiser le certificat approprié, puis cliquez sur Suivant.
Dans la page DNS, dans la table, entrez tous les suffixes de noms supplémentaires qui seront appliqués en tant qu'exemptions de table de stratégie de résolution de noms. Sélectionnez une option de résolution de noms locale, puis cliquez sur Suivant.
Dans la page Liste de recherche de suffixes DNS, le serveur d'accès à distance détecte automatiquement tous les suffixes de domaine dans le déploiement. Utilisez les boutons Ajouter et Supprimer pour ajouter et supprimer des suffixes de domaine dans la liste des suffixes de domaine à utiliser. Pour ajouter un nouveau suffixe de domaine, dans Nouveau suffixe, entrez le suffixe, puis cliquez sur Ajouter. Cliquez sur Suivant.
Dans la page Gestion, ajoutez tous les serveurs d'administration qui ne sont pas détectés automatiquement, puis cliquez sur Suivant. L’accès à distance ajoute automatiquement des contrôleurs de domaine et des serveurs Configuration Manager.
Notes
Les serveurs sont ajoutés automatiquement, mais ils n'apparaissent pas dans la liste. Après que vous avez appliqué la configuration pour la première fois, les serveurs Configuration Manager apparaissent dans la liste.
Cliquez sur Terminer.
2.6. Configurer les serveurs d'applications
Dans un déploiement de l'accès à distance, la configuration de serveurs d'applications est une tâche facultative. L'accès à distance vous permet d'exiger une authentification pour les serveurs d'applications sélectionnés, laquelle est déterminée par leur appartenance à un groupe de sécurité de serveurs d'applications. Par défaut, le trafic destiné aux serveurs d'applications qui exigent une authentification est également chiffré. Toutefois, vous pouvez choisir de ne pas chiffrer le trafic destiné aux serveurs d'applications et d'utiliser l'authentification uniquement.
Notes
L’authentification sans chiffrement est prise en charge uniquement sur les serveurs d’applications exécutant Windows Server 2012 R2 , Windows Server 2012 ou Windows Server 2008 R2 .
Pour configurer les serveurs d'applications
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 4 : Serveurs d'applications, cliquez sur Configurer.
Dans l'Assistant Installation des serveurs d'applications DirectAccess, pour exiger l'authentification auprès des serveurs d'applications sélectionnés, cliquez sur Étendre l'authentification aux serveurs d'applications sélectionnés. Cliquez sur Ajouter pour sélectionner le groupe de sécurité des serveurs d'applications.
Pour limiter l'accès aux seuls serveurs figurant dans le groupe de sécurité des serveurs d'applications, cochez la case Autoriser l'accès uniquement aux serveurs inclus dans les groupes de sécurité.
Pour utiliser l’authentification sans chiffrement, cochez la case Ne pas chiffrer le trafic. Utiliser l’authentification uniquement.
Cliquez sur Terminer.
2.7. Résumé de la configuration et autres objets de stratégie de groupe
Une fois la configuration de l'accès à distance terminée, la Vérification de l'accès DirectAccess est affichée. Vous pouvez passer en revue tous les paramètres que vous avez sélectionnés auparavant, y compris :
Paramètres des objets Stratégie de groupe : Le nom d’objet de stratégie de groupe du serveur DirectAccess et le nom d’objet de stratégie de groupe du client sont répertoriés. De plus, vous pouvez cliquer sur le lien Modifier en regard du titre Paramètres de l'objet de stratégie de groupe pour modifier les paramètres des objets de stratégie de groupe.
Clients distants : La configuration du client DirectAccess est affichée, notamment le groupe de sécurité, l'état de tunneling forcé, les vérificateurs de connectivité et le nom de la connexion à DirectAccess.
Serveur d’accès à distance : La configuration de DirectAccess est affichée avec le nom public/l’adresse, la configuration des cartes réseau, les informations de certificat et les informations de mot de passe à usage unique, le cas échéant.
Serveurs d’infrastructure : Cette liste inclut l'URL du serveur d’emplacement réseau, les suffixes DNS utilisés par les clients DirectAccess et des informations sur les serveurs d'administration.
Serveurs d’application : L'état de l’administration à distance DirectAccess est affiché, en plus de l’état de l’authentification de bout en bout auprès des serveurs d’applications spécifiques.
2.8. Comment configurer le serveur d'accès à distance au moyen de Windows PowerShell
Commandes Windows PowerShell équivalentes
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Pour effectuer une installation complète dans une topologie de périmètre de l’Accès à distance pour DirectAccess uniquement dans un domaine avec la racine corp.contoso.com et les paramètres suivants : objet de stratégie de groupe serveur : Paramètres du serveur DirectAccess, objet de stratégie de groupe client : Paramètres du client DirectAccess, carte réseau interne : Corpnet, carte réseau externe : Internet, adresse ConnectTto : edge1.contoso.com et serveur Emplacement réseau : nls.corp.contoso.com :
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
Pour configurer le serveur d'accès à distance afin qu'il utilise l'authentification par certificat d'ordinateur, avec un certificat racine IPsec émis par l'autorité de certification nommée CORP-APP1-CA :
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
Pour ajouter le groupe de sécurité contenant les clients DirectAccess nommés DirectAccessClients et pour supprimer le groupe de sécurité par défaut Ordinateurs du domaine :
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
Pour activer l’Accès à distance pour tous les ordinateurs (pas seulement les ordinateurs portables) et pour activer l’Accès à distance pour les clients Windows 7 :
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
Pour configurer l'expérience client DirectAccess, y compris le nom convivial de connexion et l'URL de sonde web :
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')
Étape précédente
Étape suivante
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour