Partager via

Étape 1 Planifier l’infrastructure DirectAccess de base

La première étape d’un déploiement DirectAccess de base sur un serveur unique consiste à planifier l’infrastructure requise pour le déploiement. Cette rubrique décrit les étapes de planification de cette infrastructure :

Tâche Descriptif
Planifier la topologie et les paramètres réseau Déterminez où placer le serveur DirectAccess (en périphérie ou derrière un appareil ou un pare-feu NAT) de traduction d’adresses réseau) et planifiez l’adressage IP et le routage.
Planifier la configuration requise pour le pare-feu Planifiez l’autorisation de DirectAccess via des pare-feu de périphérie.
Planifier les exigences en matière de certificats DirectAccess peut utiliser Kerberos ou des certificats pour l’authentification du client. Dans ce déploiement DirectAccess de base, un proxy Kerberos est automatiquement configuré et l’authentification est effectuée à l’aide d’informations d’identification Active Directory.
Planifier la configuration DNS requise Planifiez les paramètres DNS pour le serveur DirectAccess, les serveurs d’infrastructure et la connectivité du client.
Planifier Active Directory Planifiez vos contrôleurs de domaine et la configuration Active Directory requise.
Planifier les objets de stratégie de groupe Déterminez quels objets de stratégie de groupe sont requis dans votre organisation et comment les créer ou les modifier.

Vous pouvez effectuer les tâches de planification dans l'ordre qui vous convient.

Planifier la topologie et les paramètres réseau

Planifier les cartes réseau et l'adressage IP

  1. Identifiez la topologie des cartes réseau à utiliser. DirectAccess peut être configuré avec l’une des options suivantes :

    • Avec deux cartes réseau : soit à la périphérie avec une carte réseau connectée à Internet et l’autre au réseau interne, soit derrière un réseau NAT, un pare-feu ou un périphérique de routeur, avec une carte réseau connectée à un réseau de périmètre et l’autre au réseau interne.

    • Derrière un appareil NAT avec une carte réseau : le serveur DirectAccess est installé derrière un appareil NAT et la carte réseau unique est connectée au réseau interne.

  2. Déterminez vos exigences en matière d'adressage IP :

    DirectAccess utilise IPv6 avec IPsec pour créer une connexion sécurisée entre les ordinateurs clients DirectAccess et le réseau d'entreprise interne. Pourtant, DirectAccess ne requiert pas systématiquement une connectivité Internet IPv6 ni une prise en charge IPv6 native sur les réseaux internes. Au lieu de cela, il configure et utilise automatiquement des technologies de transition IPv6 pour canaliser le trafic IPv6 sur Internet IPv4 (6to4, Teredo, IP-HTTPS) et sur votre intranet IPv4 uniquement (NAT64 ou ISATAP). Pour obtenir une vue d'ensemble de ces technologies de transition, consultez les ressources suivantes :

  3. Configurez les cartes et l'adressage requis selon le tableau suivant. Pour les déploiements derrière un périphérique NAT qui utilisent une seule carte réseau, configurez vos adresses IP en vous référant uniquement à la colonne Carte réseau interne.

    Descriptif Carte réseau externe Carte réseau interne1 Configuration requise du routage
    Internet IPv4 et intranet IPv4 Configurez ce qui suit :

    - Une adresse IPv4 publique statique avec le masque de sous-réseau approprié.
    – Adresse IPv4 de la passerelle par défaut de votre pare-feu Internet ou du routeur de votre fournisseur de services Internet local.

    		 Configurez ce qui suit :

    – Adresse intranet IPv4 avec le masque de sous-réseau approprié.
    – Suffixe DNS spécifique à la connexion de votre espace de noms intranet. Un serveur DNS doit également être configuré sur l’interface interne.
    – Ne configurez pas de passerelle par défaut sur n’importe quelle interface intranet.

    		 Pour configurer le serveur DirectAccess pour atteindre tous les sous-réseaux du réseau IPv4 interne, procédez comme suit :

    1. Répertoriez les espaces d’adressage IPv4 pour tous les emplacements sur votre intranet.
    2. Utilisez les commandes route add -p ou netsh interface ipv4 add route pour ajouter les espaces d’adressage IPv4 en tant qu'itinéraires statiques dans la table de routage IPv4 du serveur DirectAccess.
    Internet IPv6 et intranet IPv6 Configurez ce qui suit :

    – Utilisez la configuration d’adresses automatique fournie par votre fournisseur de services Internet.
    – Utilisez la commande route print pour vous assurer qu’il existe bien un itinéraire IPv6 par défaut qui pointe vers le routeur du fournisseur de services Interne dans la table de routage IPv6.
    – Déterminez si le fournisseur de services Internet et les routeurs intranet utilisent les préférences de routeur par défaut décrites dans le document RFC 4191 et s’ils utilisent une préférence par défaut supérieure à vos routeurs intranet locaux. Si vous avez répondu par l'affirmative dans les deux cas, aucune autre configuration n'est requise pour l'itinéraire par défaut. La préférence plus élevée pour le routeur ISP garantit que l’itinéraire IPv6 actif par défaut du serveur DirectAccess pointe vers Internet IPv6.

    Étant donné que le serveur DirectAccess est un routeur IPv6, si vous disposez d’une infrastructure IPv6 native, l’interface Internet peut également atteindre les contrôleurs de domaine sur l’intranet. Dans ce cas, ajoutez des filtres de paquets au contrôleur de domaine dans le réseau de périmètre qui empêchent la connectivité à l’adresse IPv6 de l’interface accessible sur Internet du serveur DirectAccess.

    		 Configurez ce qui suit :

    – Si vous n’utilisez pas les niveaux de préférence par défaut, configurez vos interfaces intranet avec la commande netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled. Cette commande vérifie que les itinéraires par défaut supplémentaires qui pointent vers les routeurs intranet ne seront pas ajoutés à la table de routage IPv6. Vous pouvez obtenir l'information InterfaceIndex de vos interfaces intranet dans l'affichage de la commande netsh interface show interface.

    		 Si vous disposez d’un intranet IPv6, configurez le serveur DirectAccess pour atteindre tous les emplacements IPv6, procédez comme suit :

    1. Répertoriez les espaces d’adressage IPv6 pour tous les emplacements sur votre intranet.
    2. Utilisez la commande netsh interface ipv6 add route pour ajouter les espaces d'adressage IPv6 en tant qu'itinéraires statiques dans la table de routage IPv6 du serveur DirectAccess.
    Internet IPv4 et intranet IPv6 Le serveur DirectAccess transfère le trafic de routage IPv6 par défaut à l’aide de l’interface de l’adaptateur Microsoft 6to4 vers un relais 6to4 sur Internet IPv4. Vous pouvez configurer un serveur DirectAccess pour l’adresse IPv4 du relais Microsoft 6to4 sur l’Internet IPv4 (utilisé lorsque l’IPv6 natif n’est pas déployé dans le réseau d’entreprise) à l’aide de la commande suivante : netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled.

    Remarque

    Notez ce qui suit :

    1. Si une adresse IPv4 publique a été attribuée au client DirectAccess, il utilisera la technologie de transition 6to4 pour se connecter à l'intranet. Si le client DirectAccess ne peut pas se connecter au serveur DirectAccess avec 6to4, il utilisera IP-HTTPS.
    2. Les ordinateurs clients IPv6 natifs peuvent se connecter au serveur DirectAccess via IPv6 natif et aucune technologie de transition n’est requise.

Planifier la configuration requise pour le pare-feu

Si le serveur DirectAccess se trouve derrière un pare-feu edge, les exceptions suivantes sont requises pour le trafic DirectAccess lorsque le serveur DirectAccess se trouve sur Internet IPv4 :

  • Trafic 6to4 - Protocole IP 41 entrant et sortant.

  • IP-HTTPS : Port TCP 443 (Transmission Control Protocol) de destination et port TCP 443 source sortant.

  • Si vous déployez DirectAccess avec une seule carte réseau et que vous installez le serveur d’emplacement réseau sur le serveur DirectAccess, le port TCP 62000 doit également être exempté.

    Remarque

    Cette exemption se trouve sur le serveur DirectAccess. Toutes les autres exceptions sont sur le pare-feu de périmètre.

Les exceptions suivantes sont requises pour le trafic DirectAccess lorsque le serveur DirectAccess se trouve sur Internet IPv6 :

  • Protocole IP 50

  • Port UDP de destination 500 entrant et port UDP source 500 sortant.

Lorsque vous utilisez des pare-feu supplémentaires, appliquez les exceptions de pare-feu réseau internes suivantes pour le trafic DirectAccess :

  • ISATAP - Protocole 41 entrant et sortant

  • TCP/UDP pour tout le trafic IPv4/IPv6

Planifier les exigences en matière de certificats

Les exigences de certificat pour IPsec incluent un certificat d’ordinateur utilisé par les ordinateurs clients DirectAccess lors de l’établissement de la connexion IPsec entre le client et le serveur DirectAccess et un certificat d’ordinateur utilisé par les serveurs DirectAccess pour établir des connexions IPsec avec les clients DirectAccess. Pour DirectAccess dans Windows Server 2012 R2 et Windows Server 2012, l’utilisation de ces certificats IPsec n’est pas obligatoire. L’Assistant Prise en main configure le serveur DirectAccess pour qu’il agisse en tant que proxy Kerberos pour effectuer l’authentification IPsec sans nécessiter de certificats.

  1. serveurIP-HTTPS. Lorsque vous configurez DirectAccess, le serveur DirectAccess est automatiquement configuré pour agir comme écouteur web IP-HTTPS. Le site IP-HTTPS requiert un certificat de site web. Les ordinateurs clients doivent être en mesure de contacter le site de la liste de révocation de certificats correspondant. L'Assistant Activation de DirectAccess essaie d'utiliser le certificat VPN SSTP. Si SSTP n'est pas configuré, il vérifie si un certificat pour IP-HTTPS est présent dans le magasin personnel de la machine. Si aucun certificat n'est disponible, il en crée automatiquement un qui est auto-signé.

  2. Serveur d’emplacement réseau. Le serveur d’emplacement réseau est un site web utilisé pour détecter si les ordinateurs clients se trouvent dans le réseau d’entreprise. Le serveur d’emplacement réseau nécessite un certificat de site web. Pour ce certificat, les clients DirectAccess doivent pouvoir contacter le site contenant la liste de révocation de certificats. L’assistant d’activation de l’accès à distance vérifie si un certificat pour le serveur d’emplacement réseau est présent dans le magasin personnel de la machine. En cas d’absence, il crée automatiquement un certificat auto-signé.

Les exigences de certification de ces deux cas de figure sont résumées dans le tableau ci-après :

Authentification IPsec Serveur IP-HTTPS Serveur Emplacement réseau
Une autorité de certification interne est requise pour émettre des certificats d’ordinateur sur le serveur DirectAccess et les clients pour l’authentification IPsec lorsque vous n’utilisez pas le proxy Kerberos pour l’authentification Autorité de certification publique : nous vous recommandons d’utiliser une autorité de certification publique pour émettre le certificat IP-HTTPS car elle garantit que le point de distribution de la liste de révocation de certificats est disponible en externe. Autorité de certification interne : vous pouvez utiliser une autorité de certification interne pour émettre le certificat de site web du serveur d’emplacement réseau. Assurez-vous que le point de distribution de la liste de révocation de certificats est hautement disponible à partir du réseau interne.
Vous pouvez utiliser une autorité de certification interne pour émettre le certificat IP-HTTPS ; toutefois, vous devez vous assurer que le point de distribution de la CRL est disponible en externe. Certificat auto-signé : vous pouvez utiliser un certificat auto-signé pour le site web du serveur d’emplacement réseau ; Toutefois, vous ne pouvez pas utiliser un certificat auto-signé dans les déploiements multisite.
Certificat auto-signé : vous pouvez utiliser un certificat auto-signé pour le serveur IP-HTTPS. Toutefois, vous devez vérifier que le point de distribution de la liste de révocation de certificats est disponible en externe. Un certificat auto-signé n'est pas utilisable dans un déploiement multisite.

Planifier des certificats pour IP-HTTPS et le serveur d’emplacement réseau

Si vous souhaitez approvisionner un certificat à ces fins, reportez-vous au déploiement d’un serveur DirectAccess unique avec des paramètres avancés. Si aucun certificat n’est disponible, l’Assistant Prise en main crée automatiquement des certificats auto-signés à ces fins.

Remarque

Si vous approvisionnez des certificats pour IP-HTTPS et le serveur d’emplacement réseau manuellement, vérifiez que les certificats ont un nom d’objet. Si le certificat n’a pas de nom d’objet, mais qu’il a un autre nom, il n’est pas accepté par l’Assistant DirectAccess.

Planifier la configuration DNS requise

Dans un déploiement DirectAccess, DNS est requis pour les éléments suivants :

  • Demandes du client DirectAccess. DNS sert à résoudre les demandes des ordinateurs clients DirectAccess qui ne se trouvent pas sur le réseau interne. Les clients DirectAccess essaient de se connecter au serveur d'emplacement réseau DirectAccess afin de déterminer s'ils se situent sur Internet ou sur le réseau d'entreprise : Si la connexion réussit, c'est que les clients se situent sur l'intranet. DirectAccess n'est donc pas utilisé et les demandes des clients sont résolues à l'aide du serveur DNS configuré sur la carte réseau de l'ordinateur client. Si la connexion échoue, les clients sont considérés comme étant sur Internet. Les clients DirectAccess utilisent la table de stratégie de résolution de noms (NRPT) pour déterminer quel serveur DNS utiliser pour résoudre les demandes de noms. Vous pouvez préciser que les clients doivent utiliser DirectAccess DNS64 pour résoudre les noms, ou un autre serveur DNS interne. Pendant la résolution des noms, la table NRPT est utilisée par les clients DirectAccess pour identifier la manière de traiter une demande. Les clients demandent un nom de domaine complet ou un nom d’étiquette unique, par exemple http://internal. Si un nom en une partie est demandé, un suffixe DNS est ajouté pour créer un nom de domaine complet (FQDN). Si la requête DNS correspond à une entrée dans la NRPT, et que DNS4 ou un serveur DNS intranet est spécifié pour l'entrée, alors la requête est envoyée pour la résolution de noms à l'aide du serveur spécifié. S'il existe une correspondance alors qu'aucun serveur DNS n'est spécifié, alors celle-ci indique une règle d'exemption et la résolution de noms habituelle est appliquée.

    Lorsqu’un nouveau suffixe est ajouté au NRPT dans la console de gestion DirectAccess, les serveurs DNS par défaut pour le suffixe peuvent être détectés automatiquement en cliquant sur le bouton Détecter . La détection automatique fonctionne comme suit :

    1. Si le réseau d’entreprise est basé sur IPv4 ou IPv4 et IPv6, l’adresse par défaut est l’adresse DNS64 de la carte interne sur le serveur DirectAccess.

    2. Si le réseau d'entreprise est basé sur IPv6, l'adresse par défaut correspond à l'adresse IPv6 des serveurs DNS du réseau d'entreprise.

Remarque

À compter de la mise à jour de Mai 2020 de Windows 10, un client n’inscrit plus ses adresses IP sur les serveurs DNS configurés dans une table de stratégie de résolution de noms (NRPT). Si l’enregistrement DNS est nécessaire, par exemple Manage Out, elle peut être activée explicitement avec cette clé de registre sur le client :

Chemin d'accès : HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
Entrez : DWORD
Nom de la valeur : DisableNRPTForAdapterRegistration
Valeurs :
1 - Inscription DNS désactivée (par défaut depuis la mise à jour de mai 2020 de Windows 10)
0 - Enregistrement DNS activé

  • Serveurs d’infrastructure

    1. Serveur d’emplacement réseau. Les clients DirectAccess essaient d'atteindre le serveur Emplacement réseau pour déterminer s'ils se situent sur le réseau interne. Les clients qui se trouvent sur le réseau interne doivent être en mesure de résoudre le nom du serveur d'emplacement réseau, mais il est impératif de les empêcher de le faire quand ils se situent sur Internet. Pour le garantir, le nom de domaine complet (FQDN) du serveur d'emplacement réseau est, par défaut, ajouté en tant que règle d'exemption à la NRPT. En outre, lorsque vous configurez DirectAccess, les règles suivantes sont créées automatiquement :

      1. Règle de suffixe DNS pour le domaine racine ou le nom de domaine du serveur DirectAccess et les adresses IPv6 correspondant aux serveurs DNS intranet configurés sur le serveur DirectAccess. Par exemple, si le serveur DirectAccess est membre du domaine corp.contoso.com, une règle est créée pour le suffixe DNS corp.contoso.com.

      2. Règle d'exemption pour le nom de domaine complet du serveur d'emplacement réseau. Par exemple, si l’URL du serveur d’emplacement réseau est https://nls.corp.contoso.com, une règle d’exemption est créée pour le nom de domaine complet nls.corp.contoso.com.

      serveurIP-HTTPS. Le serveur DirectAccess fonctionne comme auditeur IP-HTTPS et utilise son certificat de serveur pour authentifier auprès des clients IP-HTTPS. Les clients DirectAccess doivent être en mesure de résoudre le nom IP-HTTPS à l'aide des serveurs DNS publics.

      Vérificateurs de connectivité. DirectAccess crée une sonde web par défaut utilisée par les ordinateurs clients DirectAccess pour vérifier la connectivité au réseau interne. Pour que la sonde fonctionne bien comme prévu, les noms suivants doivent être enregistrés manuellement dans le DNS :

      1. directaccess-webprobehost : doit se résoudre en adresse IPv4 interne du serveur DirectAccess, ou en adresse IPv6 dans un environnement IPv6 uniquement.

      2. directaccess-corpconnectivityhost : doit se résoudre en adresse localhost (bouclage). Des enregistrements A et AAAA doivent être créés : enregistrement A avec la valeur 127.0.0.1 et enregistrement AAAA avec la valeur construite à partir du préfixe NAT64 avec les 32 derniers bits sous la forme 127.0.0.1. Pour récupérer le préfixe, vous pouvez exécuter l'applet de commande get-netnattransitionconfiguration.

      Vous pouvez créer d'autres vérificateurs de connectivité à l'aide d'autres adresses web sur HTTP ou PING. Pour chaque vérificateur de connectivité, une entrée DNS doit exister.

Configuration requise du serveur DNS

  • Pour les clients DirectAccess, vous devez utiliser un serveur DNS exécutant Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ou tout serveur DNS prenant en charge IPv6.

Remarque

Il n’est pas recommandé d’utiliser des serveurs DNS exécutant Windows Server 2003 lorsque vous déployez DirectAccess. Bien que les serveurs DNS Windows Server 2003 prennent en charge les enregistrements IPv6, Windows Server 2003 n’est plus pris en charge par Microsoft. En outre, vous ne devez pas déployer DirectAccess si vos contrôleurs de domaine exécutent Windows Server 2003 en raison d’un problème avec le service de réplication de fichiers. Pour plus d’informations, consultez Configurations non prises en charge par DirectAccess.

Planifier le serveur d’emplacement réseau

Le serveur d’emplacement réseau est un site web utilisé pour détecter si les clients DirectAccess se trouvent dans le réseau d’entreprise. Les clients du réseau d’entreprise n’utilisent pas DirectAccess pour atteindre les ressources internes, mais se connectent directement.

L’Assistant Prise en main configure automatiquement le serveur d’emplacement réseau sur le serveur DirectAccess et le site web est créé automatiquement lorsque vous déployez DirectAccess. Cela permet une installation simple sans utiliser une infrastructure de certificat.

Si vous souhaitez déployer un serveur d’emplacement réseau et ne pas utiliser de certificats auto-signés, reportez-vous à Déployer un serveur DirectAccess unique avec des paramètres avancés.

Planifier Active Directory

DirectAccess utilise Active Directory et les objets de stratégie de groupe Active Directory comme suit :

  • Authentification. Active Directory est utilisé pour l’authentification. Le tunnel DirectAccess utilise l’authentification Kerberos pour que l’utilisateur accède aux ressources internes.

  • Objets de stratégie de groupe. DirectAccess rassemble les paramètres de configuration dans les objets de stratégie de groupe appliqués aux serveurs Et aux clients DirectAccess.

  • Groupes de sécurité. DirectAccess utilise des groupes de sécurité pour rassembler et identifier les ordinateurs clients DirectAccess et les serveurs DirectAccess. Les stratégies de groupes sont appliquées au groupe de sécurité requis.

Configuration requise pour Active Directory

Lors de la planification d’Active Directory pour un déploiement DirectAccess, les éléments suivants sont requis :

  • Au moins un contrôleur de domaine installé sur Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008.

    Si le contrôleur de domaine se trouve sur un réseau de périmètre (et par conséquent accessible à partir de la carte réseau accessible sur Internet du serveur DirectAccess), empêchez le serveur DirectAccess de l’atteindre en ajoutant des filtres de paquets sur le contrôleur de domaine, afin d’empêcher la connectivité à l’adresse IP de la carte Internet.

  • Le serveur DirectAccess doit être membre d'un domaine.

  • Les clients DirectAccess doivent appartenir au domaine. Les clients peuvent appartenir :

    • Tout domaine dans la même forêt que le serveur DirectAccess.

    • à tout domaine doté d'une approbation bidirectionnelle avec le domaine du serveur DirectAccess ;

    • Tout domaine d'une forêt qui a une relation de confiance bidirectionnelle avec la forêt à laquelle appartient le domaine DirectAccess.

Remarque

  • Le serveur DirectAccess ne peut pas être un contrôleur de domaine.
  • Le contrôleur de domaine Active Directory utilisé pour DirectAccess ne doit pas être accessible à partir de l’adaptateur Internet externe du serveur DirectAccess (l’adaptateur ne doit pas se trouver dans le profil de domaine du Pare-feu Windows).

Planifier les objets de stratégie de groupe

Les paramètres DirectAccess configurés lorsque vous configurez DirectAccess sont collectés dans des objets de stratégie de groupe (GPO). Deux objets de stratégie de groupe différents sont renseignés avec les paramètres DirectAccess, puis distribués comme suit :

  • Objet de stratégie de groupe de client DirectAccess. Cet objet de stratégie de groupe contient des paramètres client, notamment les paramètres de technologie de transition IPv6, les entrées de la table NRPT et les règles de sécurité de connexion du Pare-feu Windows avec fonctions avancées de sécurité. L'objet de stratégie de groupe est appliqué aux groupes de sécurité spécifiés pour les ordinateurs clients.

  • Objet de stratégie de groupe de serveur DirectAccess. Cet objet de stratégie de groupe contient les paramètres de configuration DirectAccess qui sont appliqués à n’importe quel serveur configuré en tant que serveur DirectAccess dans votre déploiement. Il contient également les règles de sécurité de connexion du Pare-feu Windows avec fonctions avancées de sécurité.

Vous pouvez configurer les objets de stratégie de groupe de deux manières :

  1. Automatiquement. Vous pouvez spécifier qu’ils sont créés automatiquement. Un nom par défaut est spécifié pour chaque objet de stratégie de groupe. Les objets de stratégie de groupe sont automatiquement créés par l'Assistant Mise en route.

  2. Manuellement. Vous pouvez utiliser des objets de stratégie de groupe qui ont été prédéfinis par l’administrateur Active Directory.

Notez qu'une fois que DirectAccess est configuré pour utiliser des objets de stratégie de groupe spécifiques, il ne peut plus être configuré pour en utiliser d'autres.

Important

Que vous utilisiez des objets de stratégie de groupe configurés automatiquement ou manuellement, vous devez ajouter une stratégie pour la détection de liaison lente si vos clients utilisent la 3G. Le chemin d’accès de la stratégie de groupe pour Stratégie : Configurer la détection d’une liaison lente de stratégie de groupe est : Configuration de l’ordinateur/Stratégies/Modèles d’administration/Système/Stratégie de groupe.

Avertissement

Utilisez la procédure suivante pour sauvegarder tous les objets de stratégie de groupe DirectAccess avant d’exécuter des applets de commande DirectAccess : Sauvegarder et restaurer la configuration DirectAccess

Objets de stratégie de groupe créés automatiquement

Notez les points suivants quand vous utilisez des objets de stratégie de groupe créés automatiquement :

Les objets de stratégie de groupe créés automatiquement sont appliqués en fonction du paramètre de l'emplacement et du paramètre de la cible du lien, de la manière suivante :

  • Pour l'objet de stratégie de groupe des serveurs DirectAccess, les paramètres de l'emplacement et du lien pointent tous les deux vers le domaine qui contient le serveur DirectAccess.

  • Quand les objets de stratégie de groupe des clients sont créés, l'emplacement est défini sur un domaine unique dans lequel l'objet de stratégie de groupe est créé. Le nom de l'objet de stratégie de groupe est recherché dans chaque domaine, puis renseigné avec les paramètres DirectAccess s'il existe. La cible du lien est définie à la racine du domaine dans lequel l'objet de stratégie de groupe a été créé. Un objet de stratégie de groupe est créé pour chaque domaine qui contient des ordinateurs clients, et l’objet de stratégie de groupe est lié à la racine de son domaine respectif.

Lorsque vous utilisez des objets de stratégie de groupe créés automatiquement pour appliquer les paramètres DirectAccess, les autorisations suivantes sont requises par l’administrateur du serveur DirectAccess :

  • Autorisations de création d'objets de stratégie de groupe pour chaque domaine.

  • Autorisations de lien pour toutes les racines de domaine client sélectionnées.

  • Autorisations de lien pour les racines de domaine des objets de stratégie de groupe des serveurs.

  • Autorisations de création, modification, suppression et modification de la sécurité pour les objets de stratégie de groupe.

  • Il est recommandé que l’administrateur DirectAccess dispose d’autorisations de lecture de GPO pour chaque domaine requis. Ainsi, DirectAccess peut vérifier qu'il n'existe pas d'objets de stratégie de groupe portant le même nom lors de la création de ces derniers.

Notez que si les autorisations adéquates pour la liaison des objets de stratégie de groupe n'existent pas, un avertissement est émis. L’opération DirectAccess se poursuit, mais la liaison ne se produit pas. Si cet avertissement est émis, les liens ne seront pas créés automatiquement, même après l’ajout des autorisations ultérieurement. L'administrateur doit alors créer les liens manuellement.

Objets de stratégie de groupe créés manuellement

Notez les points suivants quand vous utilisez des objets de stratégie de groupe créés manuellement :

  • Les objets de stratégie de groupe doivent déjà exister avant d'exécuter l'Assistant Mise en route de l'accès à distance.

  • Lorsque vous utilisez des objets de stratégie de groupe créés manuellement, l'administrateur DirectAccess doit disposer d'autorisations complètes de stratégie de groupe (modifier, supprimer, modifier la sécurité) sur ces objets pour appliquer les paramètres DirectAccess.

  • De plus, une recherche de lien vers l'objet de stratégie de groupe est effectuée dans tout le domaine. Si l'objet de stratégie de groupe n'est pas lié dans le domaine, alors un lien est automatiquement créé à la racine du domaine. Si les autorisations requises pour créer le lien ne sont pas disponibles, un avertissement est émis.

Notez que si les autorisations adéquates pour la liaison des objets de stratégie de groupe n'existent pas, un avertissement est émis. L’opération DirectAccess se poursuit, mais la liaison ne se produit pas. Si cet avertissement est émis, les liens ne sont pas créés automatiquement, même si les autorisations sont ajoutées plus tard. L'administrateur doit alors créer les liens manuellement.

Récupération après la suppression d'un objet de stratégie de groupe

Si un objet de stratégie de groupe d'un serveur, client ou serveur d'application DirectAccess est supprimé par inadvertance et qu'aucune sauvegarde n'est disponible, vous devez supprimer les paramètres de configuration et recommencer la configuration. Si vous disposez d'une sauvegarde, vous pouvez restaurer l'objet de stratégie de groupe.

DirectAccess Management affichera le message d’erreur suivant : GPO <nom de la GPO> introuvable. Pour supprimer les paramètres de configuration, procédez comme suit :

  1. Exécutez l'applet de commande PowerShell Uninstall-remoteaccess.

  2. Ouvrez à nouveau DirectAccess Management.

  3. Un message d'erreur indique que l'objet de stratégie de groupe est introuvable. Cliquez sur Supprimer les paramètres de configuration. Le serveur est ensuite rétabli à l'état Non configuré.