Étape 2 : Planifier le déploiement de base de DirectAccess
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Une fois que vous avez planifié l’infrastructure DirectAccess, l’étape suivante du déploiement de DirectAccess sur un serveur unique avec des paramètres basiques est de planifier les paramètres de l’assistant de prise en main.
| Tâche | Description |
|---|---|
| Planification du déploiement du client | Par défaut, l’assistant de prise en main déploie DirectAccess sur tous les ordinateurs portables figurant dans le domaine en appliquant un filtre WMI à l’objet de stratégie de groupe des paramètres client |
| Planification du déploiement du serveur DirectAccess | Planifiez la façon de déployer le serveur DirectAccess. |
Planification du déploiement du client
Il y a deux décisions à prendre lors de la planification du déploiement de vos clients :
DirectAccess sera-t-il disponible uniquement pour les ordinateurs portables ou pour n'importe quel ordinateur ?
Quand vous configurez des clients DirectAccess dans l’assistant de prise en main, vous pouvez choisir d’autoriser uniquement les ordinateurs portables des groupes de sécurité spécifiés à se connecter à l’aide de DirectAccess. Si vous voulez restreindre l’accès aux ordinateurs portables, DirectAccess configure automatiquement un filtre WMI pour garantir que l’objet de stratégie de groupe client DirectAccess est appliqué uniquement aux ordinateurs portables des groupes de sécurité spécifiés. Pour activer ce paramètre, l’administrateur de DirectAccess doit disposer d’autorisations de création ou de modification des filtres WMI de stratégie de groupe.
Quels groupes de sécurité contiendront les ordinateurs clients DirectAccess ?
Les paramètres DirectAccess sont contenus dans l'objet de stratégie de groupe Client DirectAccess. L’objet de stratégie de groupe est appliqué aux ordinateurs faisant partie des groupes de sécurité que vous spécifiez dans l’assistant de prise en main. Vous pouvez spécifier des groupes de sécurité contenus dans tout domaine pris en charge. Les groupes de sécurité doivent être créés avant de configurer DirectAccess. Vous pouvez ajouter des ordinateurs au groupe de sécurité une fois le déploiement de DirectAccess terminé. Notez toutefois que si vous ajoutez des ordinateurs clients qui résident dans un autre domaine au groupe de sécurité, l’objet de stratégie de groupe client ne sera pas appliqué à ces clients. Par exemple, si vous avez créé le groupe de sécurité GS1 dans un domaine A pour les clients DirectAccess, puis que vous ajoutez des clients d’un domaine B à ce groupe, l’objet de stratégie de groupe client ne sera pas appliqué aux clients du domaine B. Pour éviter ce problème, créez un nouveau groupe de sécurité du client pour chaque domaine contenant des ordinateurs clients. Ou, si vous ne voulez pas créer un nouveau groupe de sécurité, exécutez l'applet de commande Add-DAClient avec le nom du nouvel objet de stratégie de groupe pour le nouveau domaine.
Planification du déploiement du serveur DirectAccess
Il y a un certain nombre de décisions à prendre lors de la planification du déploiement de votre serveur DirectAccess :
Topologie de réseau : deux topologies sont disponibles lors du déploiement d’un serveur DirectAccess :
Deux cartes réseau : si vous disposez de deux cartes réseau, vous pouvez configurer DirectAccess avec une carte réseau connectée directement à Internet et l’autre connectée au réseau interne. Le serveur peut aussi être installé derrière un périphérique de périmètre tel qu'un pare-feu ou un routeur. Dans cette configuration, une carte réseau est connectée au réseau de périmètre et l'autre est connectée au réseau interne.
Une seule carte réseau : dans cette configuration, le serveur DirectAccess est installé derrière un périphérique de périmètre, tel qu’un pare-feu ou un routeur. La carte réseau est connectée au réseau interne.
Cartes réseau : l’assistant DirectAccess détecte automatiquement les cartes réseau configurées sur le serveur DirectAccess. Vous pouvez vous assurer que les cartes réseau appropriées sont sélectionnées dans la page Révision.
Certificat IP-HTTPS : étant donné qu’aucune infrastructure à clé publique n’est requise dans ce déploiement, l’assistant provisionne automatiquement des certificats auto-signés pour IP-HTTPS et le serveur d’emplacement réseau (si aucun certificat n’est présent) et active automatiquement le proxy Kerberos. L’assistant active également NAT64 et DNS64 pour la traduction de protocole dans l’environnement IPv4 uniquement. Une fois que l’Assistant a fini d’appliquer la configuration, cliquez sur Fermer.
Clients Windows 7 : vous ne pouvez pas activer la prise en charge des clients Windows 7 à partir de l’assistant de prise en main. Cela peut être activé à partir de l’assistant d’installation avancée. Pour plus d’informations, consultez Déployer un serveur DirectAccess unique avec des paramètres avancés.
Configuration VPN : Avant de configurer DirectAccess, choisissez si vous envisagez de fournir l’accès VPN aux clients à distance. Vous devez fournir l’accès VPN si vous possédez dans votre organisation des ordinateurs clients qui ne prennent pas en charge la connectivité DirectAccess (soit parce qu’ils ne sont pas gérés, soit parce qu’ils exécutent un système d’exploitation pour lequel DirectAccess n’est pas pris en charge). L’assistant de prise en main configure l’attribution d’adresses IP VPN à l’aide de DHCP et configure les clients VPN pour qu’ils soient authentifiés à l’aide d’Active Directory.
Tunneling forcé : si vous envisagez d’utiliser le tunneling forcé, ou si vous pouvez l’ajouter à l’avenir, vous devez utiliser Déployer un serveur DirectAccess unique avec des paramètres avancés pour déployer une configuration à deux tunnels. Pour des raisons de sécurité, le tunneling forcé n’est pas pris en charge dans une configuration à un seul tunnel.