Création d'une connexion réseau privé virtuel de site à site dans Windows Server 2003 Active Directory

  • Article

Ce guide pas à pas fournit des directives pour la création d'une infrastructure RRAS prenant en charge le réseau privé virtuel (VPN, Virtual Private Network) de site à site via des connexions d'accès à la demande.

Sommaire,Sur cette page

Introduction
Présentation
Configuration du service Routage et accès à distance
Configuration des interfaces de connexion à la demande
Extension de la sécurité de site à site via des stratégies d'accès distant
Configuration de la clé partagée IPSec et test de la connexion
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

De nombreuses organisations possèdent des bureaux dans différents lieux géographiques et nécessitent donc une connectivité de site distant. Vous pouvez utiliser le service Routage et accès à distance (RRAS, Routing and Remote Access Service) de Windows Server 2003 pour déployer une solution de site à site économique et sûre.

Jusqu'à présent, les organisations utilisaient généralement des technologies de connexion de réseau étendu (WAN, Wide Area Network) de site à site, telles que T-Carrier ou Frame Relay (relais de trames), pour connecter des sites distants au sein d'un réseau de données privées, mais ces lignes privées sont onéreuses. Par exemple, le coût des services T-Carrier se base sur la bande passante et la distance, ce qui rend les connexions relativement chères. En outre, les services T-Carrier requièrent généralement une infrastructure dédiée, notamment des unités CSU/DSU (Channel Service Unit/Data Service Unit) et des routeurs de lignes spécifiques à chaque bout de la connexion.

Par contre, vous pouvez intégrer la solution RRAS de Windows Server 2003 au réseau actuel de votre organisation en utilisant les serveurs existants. Grâce aux connexions de site à site fournies par le service RRAS, vous disposez de deux alternatives aux liaisons WAN traditionnelles : une connexion d'accès à distance de site à site ou une connexion réseau privé virtuel de site à site. Si vous déployez une solution RRAS pour remplacer une connexion WAN existante ou implémenter une nouvelle connexion, vous pouvez maximiser vos économies en adaptant le type de connexion au volume de trafic. Vous pouvez également personnaliser la sécurité en fonction des besoins de votre organisation.

Dans un déploiement de site à site, le service RRAS permet un routage d'accès à la demande. Grâce à une interface de connexion à la demande, le routeur peut établir une connexion avec un site distant lorsqu'il reçoit le paquet de données à router. La connexion ne devient active que lorsque les données sont envoyées au site distant. Lorsque aucune donnée n'est envoyée pendant une période déterminée, la liaison est interrompue.

Le service RRAS prend également en charge les filtres d'accès à la demande et les heures d'appels sortants. Vous pouvez utiliser ces filtres pour spécifier les types de trafic autorisés pour établir la connexion. Les filtres d'accès à la demande sont distincts des filtres de paquets IP (Internet Protocol) que vous configurez pour indiquer le trafic entrant et sortant autorisé d'une interface une fois que la connexion est établie. Vous pouvez définir des heures d'appels sortants pour préciser les heures pendant lesquelles un routeur est autorisé à passer un appel sortant afin d'établir des connexions d'accès à la demande. Vous pouvez également configurer les périodes pendant lesquelles le routeur accepte les connexions entrantes via des stratégies d'accès distant.

Remarque :  Le service RRAS prend en charge les connexions de site à site entre des bureaux distants et les connexions d'accès à distance pour les ordinateurs individuels. Ce guide pas à pas met l'accent sur le déploiement d'une connexion VPN de site à site à l'aide d'IPSec (Internet Protocol Security) et d'une clé partagée.

Conditions préalables

Conditions

  • Pour configurer une solution VPN de site à site, vous devez configurer les routeurs appelant et récepteur en tant que serveurs multi-résidents. Par conséquent, chaque serveur doit disposer d'une carte d'interface réseau (NIC, Network Interface Card) secondaire disponible. Les paramètres suivants sont appliqués pour la NIC secondaire utilisée dans les procédures de ce guide.

    • HQ-CON-DC-01 - Adresse IP : 20.0.0.1, Masque IP : 255.0.0.0, Passerelle par défaut : vide, Serveur DNS : 127.0.0.1

    • HQ-CON-DC-02 - Adresse IP : 20.0.0.2, Masque IP : 255.0.0.0, Passerelle par défaut : vide, Serveur DNS : 127.0.0.1

  • Pour simuler correctement une connexion d'accès à la demande de site à site, tous les ordinateurs du domaine enfant vancouver doivent être placés sur un réseau distinct ou disposer d'une troisième interface réseau disponible. Dans les sections ci-après, chaque ordinateur du domaine enfant vancouver a été configuré avec une troisième interface réseau, chaque interface étant configurée avec une adresse réseau 30.0.0.0. Si vous décidez de segmenter physiquement le domaine Vancouver, vous devez installer et configurer le service DNS sur HQ-CON-DC-02.

Avertissement :  La procédure présentée dans ce guide offre une présentation générale des configurations nécessaires à l'établissement d'une connexion VPN d'accès à la demande de site à site à l'aide d'une clé partagée IPSec. Par conséquent, ce guide ne doit être implémenté que dans un environnement de test. Pour plus d'informations sur la planification et le déploiement des VPN Windows Server 2003, consultez la page Web Réseaux privés virtuels pour Windows Server 2003 Site en anglais.

Configuration du service Routage et accès à distance

Lorsque vous exécutez l'Assistant Installation du serveur de routage et d'accès distant, il vous demande de choisir le chemin de configuration le plus proche de la solution d'accès distant que vous souhaitez déployer. Si aucun des chemins de configuration proposés par l'Assistant ne répond exactement à vos besoins, vous pouvez compléter la configuration du serveur après l'exécution de l'Assistant ou choisir le chemin de configuration personnalisé.

Bien que le premier objectif soit la configuration d'une connexion sécurisée entre deux réseaux privés, d'autres guides de cette série abordent les fonctionnalités principales du service RRAS via l'utilisation de l'accès à distance. Par conséquent, dans les sections ci-après, le service RRAS sera configuré en tant que serveur VPN, et le VPN site à site sera configuré manuellement.

Remarque :  L'installation de base de Windows Server 2003 installe par défaut les composants du service RRAS, mais ne les active pas et ne les configure pas.

Pour activer et configurer le service Routage et accès à distance sur HQ-CON-DC-01

  1. Cliquez sur le bouton Démarrer, pointez sur Programmes, sélectionnez Outils d'administration, puis cliquez sur Routage et accès à distance.

  2. Dans la console Routage et accès à distance, cliquez avec le bouton droit sur HQ-CON-DC-01, puis cliquez sur Configurer et activer le routage et l'accès distant.

  3. Dans la fenêtre Assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant.

  4. Cliquez sur le bouton radio Accès à distance (connexion à distance ou VPN) (paramètre par défaut), puis sur Suivant.

  5. Activez la case à cocher VPN, comme indiqué dans la figure 1, puis cliquez sur Suivant.

    Figure 1.  Sélection d'une méthode d'accès à distance

    Figure 1.  Sélection d'une méthode d'accès à distance

  6. Sous Interfaces réseau, sélectionnez la carte correspondant à la connexion Internet de ce VPN site à site. Laissez l'option Activer la sécurité activée, puis cliquez sur Suivant.

  7. Dans la fenêtre Attribution d'adresses IP, conservez le paramètre par défaut Automatiquement, puis cliquez sur Suivant pour continuer.

    Remarque :  Lorsque vous configurez un serveur RRAS, vous devez déterminer si le serveur d'accès distant doit utiliser DHCP (Dynamic Host Configuration Protocol) ou un pool d'adresses IP statiques pour obtenir les adresses des clients d'accès distant. Si vous utilisez un pool d'adresses IP statiques, déterminez si ce pool doit être des plages d'adresses correspondant au sous-réseau d'adresses du réseau IP auquel le serveur est rattaché, ou un sous-réseau distinct. Si les plages d'adresses du pool d'adresses IP statiques représentent un sous-réseau différent, assurez-vous que les itinéraires vers les plages d'adresses existent dans les routeurs de votre intranet, de sorte que le trafic à destination des clients d'accès distant connectés soit transféré vers le serveur d'accès distant.

  8. Dans la fenêtre Gestion des serveurs d'accès distant multiples, conservez le paramètre par défaut Non, utiliser Routage et accès à distance pour authentifier les requêtes de connexion, puis cliquez sur Suivant.

    Remarque :  Si vous avez plusieurs serveurs d'accès distant, au lieu d'administrer séparément les stratégies d'accès distant de chacun d'eux, vous pouvez configurer un seul serveur avec le service IAS (Internet Authentication Service) en tant que serveur RADIUS (Remote Authentication Dial-In User Service) et configurer les serveurs d'accès distant en tant que clients RADIUS. Le serveur IAS centralise l'authentification, l'autorisation, la gestion des comptes et l'audit des accès distants.

  9. Dans la fenêtre Fin de l'Assistant Installation du serveur du routage et de l'accès distant, cliquez sur Terminer pour achever la configuration du service RRAS.

  10. Dans la boîte de dialogue Routage et accès à distance, présentée dans la figure 2, cliquez sur OK pour accepter les exigences de relais DHCP.

    Remarque :  Par défaut, les services DHCP fournis par le service RRAS traitent automatiquement toutes les exigences de relais DHCP. Dans un scénario impliquant un serveur DHCP différent, vous devez vous assurer que ce serveur est configuré pour relayer les requêtes DHCP.

    Dd379342.vpnc9402(fr-fr,TechNet.10).gif

    Figure 2.  Relais DHCP

Pour activer et configurer le service Routage et accès à distance sur HQ-CON-DC-02

  1. Cliquez sur le bouton Démarrer, pointez sur Programmes, sélectionnez Outils d'administration, puis cliquez sur Routage et accès à distance.

  2. Dans la console Routage et accès à distance, cliquez avec le bouton droit sur HQ-CON-DC-02, puis cliquez sur Configurer et activer le routage et l'accès distant.

  3. Dans la fenêtre Assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant.

  4. Cliquez sur le bouton radio Configuration personnalisée, puis sur Suivant.

  5. Cliquez sur le bouton radio Connexions à la demande (utilisé pour le routage au niveau d'une agence), puis sur Suivant.

  6. Dans la fenêtre Fin de l'Assistant Installation du serveur du routage et de l'accès distant, cliquez sur Terminer pour achever la configuration du service RRAS.

  7. Dans la boîte de dialogue Routage et accès à distance, cliquez sur Oui pour démarrer le service RRAS.

Configuration des interfaces de connexion à la demande

Les interfaces réseau permettent à un serveur exécutant le service RRAS de communiquer avec d'autres ordinateurs sur des réseaux privés ou publics. Les interfaces réseau présentent deux aspects en relation avec le routage et l'accès à distance : le matériel physique (comme une carte réseau) et la configuration de l'interface réseau.

Dans le routage et l'accès à distance, les interfaces réseau sont réparties en plusieurs catégories :

  • Interface privée  Une interface privée est une carte réseau qui est connectée physiquement à un réseau privé. La plupart des réseaux privés sont configurés avec une plage d'adresses IP de réseau privé, et l'interface privée est également configurée avec une adresse privée. Dans la mesure où un réseau privé est, en théorie, composé d'utilisateurs et d'ordinateurs connus, les considérations de sécurité sont généralement moins nombreuses pour une interface privée que pour une interface publique.

  • Interface publique  Une interface publique est une carte réseau qui est connectée physiquement à un réseau public, par exemple, Internet. L'interface publique est configurée avec une adresse IP publique. Vous pouvez configurer une interface publique pour assurer la traduction d'adresses réseau (NAT, Network Address Translation). Dans la mesure où une interface publique est théoriquement accessible à tout le monde sur le réseau public, les considérations de sécurité sont généralement plus importantes que pour une interface privée.

  • Interface de connexion à la demande  Les interfaces de connexion à la demande connectent des routeurs spécifiques sur des réseaux publics ou privés. Une interface de connexion à la demande peut être activée ponctuellement (uniquement lorsqu'elle est nécessaire) ou en permanence (toujours connectée).

En plus de leur configuration comme interface publique, interface privée ou interface de connexion à la demande, vous pouvez configurer des filtres de paquets, des adresses et d'autres options pour les interfaces réseau. Certaines options destinées aux interfaces publiques ne sont pas disponibles pour les interfaces privées, notamment le pare-feu de base.

Pour configurer une interface de connexion à la demande sur le serveur récepteur (HQ-CON-DC-01)

  1. Dans la console Routage et accès à distance, cliquez sur le signe plus (+) en regard de HQ-CON-DC-01 pour développer l'arborescence.

  2. Sous l'arborescence HQ-CON-DC-01, cliquez avec le bouton droit sur Interfaces réseau, puis cliquez sur Nouvelle interface de numérotation à la demande.

  3. Dans l'Assistant Interface de numérotation à la demande, cliquez sur Suivant pour commencer la configuration.

  4. Tapez VPN_Vancouver dans Nom del'interface, puis cliquez sur Suivant.

  5. Dans Type de connexion, conservez le paramètre par défaut Se connecter en utilisant un réseau privé virtuel, puis cliquez sur Suivant.

  6. Dans la fenêtre Type de VPN, sélectionnez Protocole L2TP (Layer 2 Tunneling Protocol), comme indiqué dans la figure 3, puis cliquez sur Suivant.

    Figure 3.  Sélection du type de VPN

    Figure 3.  Sélection du type de VPN

  7. Dans la fenêtre Adresse de destination, tapez 20.0.0.2 dans Nom d'hôte ou adresse IP, puis cliquez sur Suivant.

  8. Dans la fenêtre Protocoles et sécurité, sélectionnez Router les paquets IP sur cette interface et Ajouter un compte d'utilisateur pour qu'un routeur distant puisse effectuer un appel entrant, puis cliquez sur Suivant.

  9. Dans la fenêtre Itinéraires statiques pour les réseaux distants, cliquez sur Ajouter. Tapez 30.0.0.0 dans Destination et 255.0.0.0 dans Masque de réseau. Cliquez ensuite sur OK, puis sur Suivant.

    Remarque :  L'étape précédente suppose que le domaine vancouver a été reconfiguré pour résider sur un réseau 30.0.0.0.

  10. Dans la fenêtre Informations d'identification des appels entrants, tapez un mot de passe dans les zones Mot de passe et Confirmerle mot de passe, puis cliquez sur Suivant.

  11. Dans la fenêtre Informations d'identification des appels sortants, tapez VPN_Siège dans Nom d'utilisateur, VANCOUVER dans Domaine et un mot de passe dans Mot de passe et Confirmerle mot de passe. À la fin de la procédure, votre configuration doit être similaire à celle de la figure 4. Cliquez sur Suivant pour continuer.

    Figure 4.  Configuration des informations d'identification des appels sortants sur HQ-CON-DC-01

    Figure 4.  Configuration des informations d'identification des appels sortants sur HQ-CON-DC-01

  12. Dans la fenêtre Fin de l'Assistant Interface de numérotation à la demande, cliquez sur Terminer.

Pour configurer une interface de connexion à la demande sur le serveur appelant (HQ-CON-DC-02)

  1. Dans la console Routage et accès à distance, cliquez sur le signe plus (+) en regard de HQ-CON-DC-02 pour développer l'arborescence.

  2. Sous l'arborescence HQ-CON-DC-02, cliquez avec le bouton droit sur Interfaces réseau, puis cliquez sur Nouvelle interface de numérotation à la demande.

  3. Dans l'Assistant Interface de numérotation à la demande, cliquez sur Suivant pour commencer la configuration.

  4. Tapez VPN_Siège dans Nom del'interface, puis cliquez sur Suivant.

  5. Dans Type de connexion, conservez le paramètre par défaut Se connecter en utilisant un réseau privé virtuel, puis cliquez sur Suivant.

  6. Dans la fenêtre Type de VPN, sélectionnez Protocole L2TP (Layer 2 Tunneling Protocol), comme indiqué dans la figure 3, puis cliquez sur Suivant.

  7. Dans la fenêtre Adresse de destination, tapez 20.0.0.1 dans Nom d'hôte ou adresse IP, puis cliquez sur Suivant.

  8. Dans la fenêtre Protocoles et sécurité, sélectionnez Router les paquets IP sur cette interface et Ajouter un compte d'utilisateur pour qu'un routeur distant puisse effectuer un appel entrant, puis cliquez sur Suivant.

  9. Dans la fenêtre Itinéraires statiques pour les réseaux distants, cliquez sur Ajouter. Tapez 10.0.0.0 dans Destination et 255.0.0.0 dans Masque de réseau. Cliquez ensuite sur OK, puis sur Suivant.

    Remarque :  L'étape précédente suppose que le domaine racine de contoso réside sur le réseau 10.0.0.0.

  10. Dans la fenêtre Informations d'identification des appels entrants, tapez un mot de passe dans les zones Mot de passe et Confirmerle mot de passe, puis cliquez sur Suivant.

  11. Dans la fenêtre Informations d'identification des appels sortants, tapez VPN_Vancouver dans Nom d'utilisateur, CONTOSO dans Domaine et un mot de passe dans Mot de passe et Confirmerle mot de passe. À la fin de la procédure, votre configuration doit être similaire à celle de la figure 5.

    Figure 5.  Configuration des informations d'identification des appels sortants sur HQ-CON-DC-02

    Figure 5.  Configuration des informations d'identification des appels sortants sur HQ-CON-DC-02

  12. Cliquez sur Suivant pour continuer.

  13. Dans la fenêtre Fin de l'Assistant Interface de numérotation à la demande, cliquez sur Terminer.

Extension de la sécurité de site à site via des stratégies d'accès distant

Pour le service RRAS, dans Windows Server 2003, l'octroi d'autorisations d'accès au réseau est basé sur les propriétés des appels entrants du compte d'utilisateur et les stratégies d'accès distant.

Les stratégies d'accès distant sont un ensemble de règles ordonnées qui définissent la façon dont les connexions sont autorisées ou rejetées. Chaque règle comporte une ou plusieurs conditions, un ensemble de paramètres de profil et un paramètre d'autorisation d'accès distant. Lorsqu'une connexion est autorisée, le profil de la stratégie d'accès distant désigne un ensemble de restrictions applicables à la connexion. Les propriétés d'appels entrants du compte d'utilisateur fournissent également un ensemble de restrictions. Le cas échéant, les restrictions sur la connexion définies par le compte d'utilisateur remplacent celles définies par le profil de la stratégie d'accès distant.

Deux méthodes permettent d'utiliser les stratégies d'accès distant pour accorder une autorisation.

  • Par utilisateur  Si vous gérez les autorisations par utilisateur, définissez l'autorisation d'accès distant du compte d'utilisateur ou d'ordinateur sur Autoriser l'accès ou Refuser l'accès et, éventuellement, créez plusieurs stratégies d'accès distant basées sur différents types de connexions. Vous pouvez, par exemple, définir une stratégie d'accès distant pour les connexions d'accès à distance et une autre portant sur les connexions sans fil. La gestion des autorisations par utilisateur est recommandée seulement lorsque le nombre de comptes d'utilisateurs ou d'ordinateurs à gérer est réduit.

  • Par groupe  Si vous gérez les autorisations par groupe, définissez les autorisations d'accès distant du compte d'utilisateur sur Contrôler l'accès via la Stratégie d'accès distant et créez des stratégies d'accès distant basées sur différents types de connexions et sur l'appartenance à des groupes. Par exemple, vous pouvez définir une stratégie d'accès distant pour les connexions d'accès à distance s'appliquant aux employés de l'entreprise (les membres du groupe Employés) et une autre s'appliquant aux sous-traitants (les membres du groupe Sous-traitants).

Les conditions de la stratégie d'accès distant font référence à un ou plusieurs attributs qui sont comparés aux paramètres utilisés pour la tentative de connexion. S'il existe plusieurs conditions, elles doivent toutes concorder avec les paramètres de la tentative de connexion pour que cette dernière corresponde à la stratégie. Si toutes les conditions d'une stratégie d'accès distant sont remplies, l'autorisation d'accès distant peut être accordée ou refusée. Vous pouvez utiliser l'option Accorder l'autorisation d'accès distant ou Refuser l'autorisation d'accès distant pour définir l'autorisation d'accès distant pour une stratégie.

Dans les sections suivantes, les stratégies d'accès distant seront configurées pour accorder l'autorisation par groupe.

Pour préparer les stratégies d'accès distant afin qu'elles accordent l'autorisation par groupe

  1. Sur le serveur HQ-CON-DC-01, ouvrez la console Utilisateurs et ordinateurs Active Directory.

  2. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur le signe plus (+) en regard de contoso.com pour développer l'arborescence.

  3. Sous l'arborescence contoso.com, cliquez sur l'unité d'organisation Utilisateurs. Dans le volet de résultats, double-cliquez sur VPN_Vancouver.

  4. Dans la fenêtre Propriétés de VPN_Vancouver, cliquez sur l'onglet Appel entrant.

  5. Dans la section Autorisations d'accès distant, cliquez sur Contrôler l'accès via la Stratégie d'accès distant, comme indiqué dans la figure 6.

    Figure 6.  Octroi forcé des autorisations d'accès distant via des stratégies RRAS

    Figure 6.  Octroi forcé des autorisations d'accès distant via des stratégies RRAS

  6. Dans la fenêtre Propriétés de VPN_Vancouver, cliquez sur OK.

  7. Sous l'arborescence contoso.com, cliquez sur l'unité d'organisation Groupes, cliquez avec le bouton droit sur l'unité d'organisation Groupes, sélectionnez Nouveau, puis cliquez sur Groupe.

  8. Dans la fenêtre Nouvel objet – Groupe, tapez VPN agence dans Nomdu groupe, puis cliquez sur OK.

  9. Dans le volet de résultats, double-cliquez sur VPN agence. Dans la fenêtre Propriétés de VPN agence, cliquez sur l'onglet Membres. Cliquez sur Ajouter, tapez VPN_Vancouver, puis cliquez deux fois sur OK.

  10. Fermez la console Utilisateurs et ordinateurs Active Directory.

Pour configurer une stratégie d'accès distant afin qu'elle accorde l'autorisation par groupe

  1. Dans la console Routage et accès à distance, cliquez sur Stratégies d'accès distant.

  2. Dans le volet de résultats, double-cliquez sur Connexions au serveur d'accès à distance et de routage Microsoft.

  3. Sous Conditions de la stratégie, cliquez sur Ajouter. Double-cliquez sur Windows-Groups, cliquez sur Ajouter, tapez VPN agence, puis cliquez deux fois sur OK.

  4. Au bas de la fenêtre Propriétés, cliquez sur Accorder l'autorisation d'accès distant, puis sur OK.

Configuration de la clé partagée IPSec et test de la connexion

Par défaut, le client et le serveur L2TP pour Windows Server 2003 sont pré-configurés pour une authentification IPSec par certificat. Lorsque vous établissez une connexion L2TP sur IPSec, une stratégie IPSec est automatiquement créée pour spécifier que l'IKE (Internet Key Exchange) utilise l'authentification par certificat durant la négociation des paramètres de sécurité pour L2TP. Cela signifie que les certificats d'ordinateur du client et du serveur L2TP doivent être installés pour pouvoir établir une connexion L2TP sur IPSec. Les certificats d'ordinateur doivent être émis par la même autorité de certification (AC, Certificate Authority), ou le certificat racine de l'AC de chaque ordinateur doit être installé en tant qu'autorité de certification racine approuvée dans le magasin de certificats racine approuvés de l'autre ordinateur.

Dans certains cas, une méthode d'authentification IPSec par certificat n'est pas souhaitée pour des connexions VPN routeur à routeur L2TP. Vous pouvez alors configurer manuellement la stratégie IPSec pour utiliser les clés prépartagées lors de la création de connexions VPN routeur à routeur. Cette clé d'authentification prépartagée agit comme un simple mot de passe dans la négociation IKE. Si les deux parties peuvent prouver qu'elles connaissent le même mot de passe, elles s'approuvent mutuellement et continuent de négocier des clés de cryptage symétriques privées et des paramètres de sécurité spécifiques pour le trafic L2TP.

L'utilisation d'une clé prépartagée IKE est généralement considérée comme moins sûre que les certificats, car l'authentification IKE (et l'approbation implicite) dépend de la seule valeur de la clé, qui est stockée en format texte brut dans la stratégie IPSec. Toute personne visualisant la stratégie peut voir la valeur de la clé prépartagée. Si un utilisateur malhonnête visualise une clé prépartagée, il peut alors configurer son système pour établir une sécurité IPSec avec votre système. Toutefois, la connexion L2TP requiert une authentification au niveau de l'utilisateur à l'aide d'un protocole PPP (Point-to-Point Protocol). Par conséquent, un utilisateur malhonnête doit connaître à la fois la clé prépartagée et les informations d'identification de l'utilisateur pour établir un trafic L2TP sur une connexion IPSec.

Pour configurer une clé partagée IPSec sur le serveur récepteur (HQ-CON-DC-01)

  1. Dans la console Routage et accès à distance, cliquez avec le bouton droit sur HQ-CON-DC-01 (local), puis cliquez sur Propriétés.

  2. Dans la fenêtre Propriétés de HQ-CON-DC-01 (local), cliquez sur l'onglet Sécurité. Sélectionnez Autoriser la stratégie IPSec personnalisée pour les connexions L2TP, tapez 12345 dans Clé prépartagée, comme indiqué dans la figure 7, puis cliquez sur OK.

    Figure 7.  Configuration d'une clé prépartagée sur le serveur récepteur

    Figure 7.  Configuration d'une clé prépartagée sur le serveur récepteur

Pour configurer une clé partagée IPSec sur le serveur appelant (HQ-CON-DC-02)

  1. Dans la console Routage et accès à distance, sous l'arborescenceHQ-CON-DC-02 (local), cliquez sur Interfaces réseau, puis double-cliquez sur VPN_Siège.

  2. Dans la fenêtre Propriétés de VPN_HQ, cliquez sur l'onglet Sécurité, puis sur le bouton Paramètres IPSec.

  3. Dans la boîte de dialogue Paramètres IPSec, sélectionnez Utiliser une clé prépartagée pour l'authentification, tapez 12345 dans Clé, comme indiqué dans la figure 8, puis cliquez deux fois sur OK.

    Figure 8.  Configuration d'une clé prépartagée sur le serveur appelant

    Figure 8.  Configuration d'une clé prépartagée sur le serveur appelant

Pour tester la connexion VPN de site à site

  • Dans la console Routage et accès à distance, cliquez avec le bouton droit sur VPN_Siège, puis cliquez sur Connecter.

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :

  • Réseaux privés virtuels pour Windows Server 2003 à cette adresse Site en anglais.

  • Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web