Déployer un serveur DirectAccess individuel à l’aide de l’Assistant Mise en route
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Important
Microsoft recommande vivement d’utiliser Always On VPN au lieu de DirectAccess pour les nouveaux déploiements. Pour plus d’informations, consultez Always On VPN
Cette rubrique fournit une introduction au scénario DirectAccess qui utilise un serveur DirectAccess unique et vous permet de déployer DirectAccess en quelques étapes simples.
Avant de commencer le déploiement, consultez la liste des configurations non prises en charge, des problèmes connus et des configurations requises
Vous pouvez utiliser les rubriques suivantes pour passer en revue les prérequis et d’autres informations avant de déployer DirectAccess.
Description du scénario
Dans ce scénario, un ordinateur Windows Server est configuré en tant que serveur DirectAccess avec les paramètres par défaut. La configuration ne nécessite que quelques étapes rapides dans l’Assistant, sans qu’il soit nécessaire de configurer des paramètres d’infrastructure tels qu’une autorité de certification ou des groupes de sécurité Active Directory.
Notes
Si vous souhaitez configurer un déploiement avancé avec des paramètres personnalisés, voir Deploy a Single DirectAccess Server with Advanced Settings
Dans ce scénario
Pour configurer un serveur DirectAccess de base, plusieurs étapes de planification et de déploiement sont nécessaires.
Prérequis
Avant de déployer ce scénario, prenez connaissance des conditions requises suivantes qui ont leur importance :
Le Pare-feu Windows doit être activé sur tous les profils.
Ce scénario est uniquement pris en charge quand vos ordinateurs clients exécutent Windows 10, Windows 8.1 ou Windows 8.
ISATAP n’est pas pris en charge sur le réseau d’entreprise. Si vous utilisez ISATAP, vous devez le supprimer et utiliser le protocole IPv6 natif.
Une infrastructure à clé publique (PKI) n’est pas obligatoire.
Ce scénario n’est pas pris en charge pour le déploiement de l’authentification à deux facteurs. Les informations d’identification de domaine sont requises pour l’authentification.
Déploie automatiquement DirectAccess sur tous les ordinateurs portables présents dans le domaine actuel.
Le trafic vers Internet ne passe pas par le tunnel DirectAccess. La configuration de tunneling forcé n’est pas prise en charge.
Le serveur DirectAccess est le serveur Emplacement réseau.
La protection d’accès réseau (NAP) n’est pas prise en charge.
La modification des stratégies en dehors de la console de gestion DirectAccess ou des applets de commande PowerShell n’est pas prise en charge.
Pour déployer sur plusieurs sites, maintenant ou plus tard, commencez par déployer un serveur DirectAccess unique avec des paramètres avancés.
Étapes de planification
La planification comporte les deux phases suivantes :
Planification de l'infrastructure DirectAccess. Cette phase décrit la planification nécessaire pour configurer l’infrastructure réseau avant de commencer le déploiement de DirectAccess. La planification inclut la conception de la topologie du réseau et du serveur, et celle du serveur d’emplacement réseau DirectAccess.
Planification du déploiement de DirectAccess. Cette phase décrit les étapes de planification requises pour préparer le déploiement de DirectAccess. Elle inclut la planification des ordinateurs clients DirectAccess, de la configuration requise pour l'authentification des serveurs et clients, des paramètres VPN, des serveurs d'infrastructure, et des serveurs d'applications et d'administration.
Pour connaître les étapes de planification détaillées, consultez Planifier un déploiement DirectAccess avancé.
Étapes du déploiement
Le déploiement comporte les trois phases suivantes :
- Configuration de l'infrastructure DirectAccess. Cette phase comprend la configuration des composants suivants :
- Réseau et routage
- Paramètres de pare-feu (si nécessaire)
- Certificats
- Serveurs DNS
- Paramètres Active Directory et d’objet de stratégie de groupe
- Serveur d’emplacement réseau DirectAccess
Configuration des paramètres du serveur DirectAccess. Cette phase inclut les étapes requises pour configurer les ordinateurs clients DirectAccess, le serveur DirectAccess, les serveurs d'infrastructure et les serveurs d'applications et d'administration.
Vérification du déploiement. Cette phase inclut les étapes à suivre pour vérifier que le déploiement fonctionne de la manière attendue.
Pour connaître les étapes de déploiement détaillées, voir Install and Configure Basic DirectAccess.
Cas pratiques
Le déploiement d’un serveur d’accès à distance unique offre les avantages suivants :
Facilité d’accès. Vous pouvez configurer des ordinateurs clients managés exécutant Windows 10, Windows 8.1, Windows 8 ou Windows 7 en tant que clients DirectAccess. Ces clients peuvent accéder aux ressources réseau internes par le biais de DirectAccess chaque fois qu’ils se trouvent sur Internet sans avoir à se connecter pour établir une connexion VPN. Les ordinateurs clients qui n’exécutent pas l’un de ces systèmes d’exploitation peuvent se connecter au réseau interne en utilisant des connexions VPN classiques.
Facilité de gestion. Les ordinateurs clients DirectAccess qui se trouvent sur Internet peuvent être gérés à distance par des administrateurs d’accès à distance par le biais de DirectAccess, même si ces ordinateurs ne figurent pas dans le réseau interne de l’entreprise. Les ordinateurs clients qui ne répondent pas aux exigences de l’entreprise peuvent être automatiquement corrigés par les serveurs d’administration. DirectAccess et VPN sont gérés dans la même console et avec le même jeu d’Assistants. En outre, un ou plusieurs serveurs d’accès à distance peuvent être gérés à partir d’une seule console de gestion de l’accès à distance.
Fonctionnalités et rôles inclus dans ce scénario
Le tableau suivant répertorie les fonctionnalités et rôles requis pour ce scénario :
| Rôle/fonctionnalité | Prise en charge de ce scénario |
|---|---|
| Rôle Accès à distance | Le rôle est installé et désinstallé à l’aide de la console du Gestionnaire de serveur ou de Windows PowerShell. Ce rôle englobe à la fois DirectAccess et les services de routage et d’accès à distance. Le rôle Accès à distance est constitué de deux composants : 1. VPN Services de routage et d’accès à distance (RRAS) et DirectAccess. VPN et DirectAccess sont gérés ensemble dans la console de gestion d’accès à distance. Le rôle de serveur d’accès à distance dépend des rôles/fonctionnalités de serveur suivants : - Serveur web IIS (Internet Information Services). Cette fonctionnalité est requise pour configurer le serveur d’emplacement réseau sur le serveur d’accès à distance ainsi que la sonde web par défaut. |
| Fonctionnalité des outils de gestion de l’accès à distance | Cette fonctionnalité est installée comme suit : - Elle est installée par défaut sur un serveur d’accès à distance quand le rôle Accès à distance est installé. Elle prend en charge l’interface utilisateur de la console de gestion à distance et les applets de commande Windows PowerShell. La fonctionnalité Outils de gestion de l’accès à distance se compose des éléments suivants : - Interface utilisateur graphique de l’accès à distance Les dépendances incluent : - Console de gestion des stratégies de groupe |
Configuration matérielle requise
La configuration matérielle requise pour ce scénario comprend les éléments suivants :
Configuration requise du serveur :
Un ordinateur qui répond à la configuration matérielle requise pour Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012.
Sur le serveur, au moins une carte réseau doit être installée, activée et connectée au réseau interne. Lorsque deux cartes sont utilisées, une carte doit être connectée au réseau interne de l’entreprise et l’autre carte doit être connectée au réseau externe (Internet ou un réseau privé).
Au moins un contrôleur de domaine. Le serveur d’accès à distance et les clients DirectAccess doivent être membres d’un domaine.
Configuration requise du client :
Un ordinateur client qui exécute Windows 10, Windows 8.1 ou Windows 8.
Important
Si certains ou tous vos ordinateurs clients exécutent Windows 7, vous devez utiliser l’Assistant Installation avancée. L’Assistant Mise en route décrit dans ce document ne prend pas en charge les ordinateurs clients qui exécutent Windows 7. Pour obtenir des instructions sur l’utilisation de clients Windows 7 avec DirectAccess, consultez Déployer un serveur DirectAccess unique avec des paramètres avancés.
Notes
Seuls les systèmes d’exploitation suivants peuvent être utilisés comme clients DirectAccess : Windows 10 Entreprise, Windows 8.1 Entreprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Entreprise, Windows Server 2008 R2, Windows 7 Entreprise et Windows 7 Édition Intégrale.
Configuration requise en termes d’infrastructure et de serveurs d’administration :
- Quand le VPN est activé, vous devez déployer un serveur DHCP pour allouer automatiquement des adresses IP aux clients VPN si un pool d’adresses IP statiques n’est pas configuré.
Un serveur DNS exécutant Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2 est requis.
Configuration logicielle requise
Voici les configurations requises pour ce scénario :
Configuration requise du serveur :
Le serveur d’accès à distance doit être membre d’un domaine. Le serveur peut être déployé en périphérie du réseau interne ou derrière un pare-feu de périmètre ou un autre périphérique.
Si le serveur d’accès à distance se trouve derrière un pare-feu de périmètre ou un périphérique NAT, ce périphérique doit être configuré de manière à autoriser le trafic en direction et en provenance du serveur d’accès à distance.
La personne qui déploie l’accès à distance sur le serveur doit disposer des autorisations d’administrateur local sur le serveur, ainsi que des autorisations d’utilisateur de domaine. L’administrateur doit également disposer des autorisations pour les objets de stratégie de groupe utilisés dans le déploiement de DirectAccess. L’utilisation des fonctionnalités qui limitent le déploiement de DirectAccess sur les ordinateurs portables uniquement nécessite de disposer des autorisations permettant de créer un filtre WMI sur le contrôleur de domaine.
Configuration requise pour les clients d’accès à distance :
Les clients DirectAccess doivent appartenir au domaine. Les domaines contenant des clients peuvent appartenir à la même forêt que celle du serveur d’accès à distance ou ils peuvent avoir une relation d’approbation bidirectionnelle avec la forêt du serveur d’accès à distance.
Un groupe de sécurité Active Directory est requis afin de contenir les ordinateurs qui seront configurés en tant que clients DirectAccess. Si aucun groupe de sécurité n’est spécifié lors de la configuration des paramètres des clients DirectAccess, l’objet de stratégie de groupe client est appliqué par défaut à tous les ordinateurs portables inclus dans le groupe de sécurité Ordinateurs du domaine. Seuls les systèmes d’exploitation suivants peuvent être utilisés comme clients DirectAccess : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Entreprise, Windows 7 Entreprise et Windows 7 Édition Intégrale.
Voir aussi
Le tableau suivant fournit des liens vers des ressources supplémentaires.
| Type de contenu | Références |
|---|---|
| Accès à distance sur TechNet | Site Web TechCenter d’accès à distance |
| Outils et paramètres | Applets de commande PowerShell pour l'accès à distance |
| Ressources de la communauté | Entrées Wiki DirectAccess |
| Technologies connexes | Fonctionnement d’IPv6 |