Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette rubrique explique comment configurer les paramètres client et serveur requis pour la gestion à distance des clients DirectAccess. Avant de commencer la procédure de déploiement, vérifiez que vous avez effectué les étapes de planification décrites dans Étape 2 : Planifier le déploiement de l’accès à distance.
| Tâche | Descriptif |
|---|---|
| Installer le rôle Accès à distance | Installez le rôle Accès à distance. |
| Configurer le type de déploiement | Configurez le type de déploiement comme DirectAccess et VPN, DirectAccess uniquement ou VPN uniquement. |
| Configurer les clients DirectAccess | Configurez le serveur d'accès à distance avec les groupes de sécurité contenant les clients DirectAccess. |
| Configurer le serveur d'accès à distance | Configurez les paramètres du serveur d’accès à distance. |
| Configurer les serveurs d'infrastructure | Configurez les serveurs d'infrastructure utilisés dans l'organisation. |
| Configurer les serveurs d'applications | Configurez les serveurs d’applications afin qu’ils exigent une authentification et un chiffrement. |
| Résumé de la configuration et autres objets de stratégie de groupe | Consultez le résumé de la configuration de l'accès à distance et modifiez les objets de stratégie de groupe, si vous le souhaitez. |
Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour plus d’informations, consultez Utilisation des applets de commande.
Installer le rôle Accès à distance
Vous devez installer le rôle Accès à distance sur un serveur de votre organisation qui agira en tant que serveur d’accès à distance.
Pour installer le rôle Accès à distance
Pour installer le rôle Accès à distance sur les serveurs DirectAccess
Sur le serveur DirectAccess, dans la console Gestionnaire de serveur, dans le Tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités.
Cliquez sur Suivant trois fois pour accéder à l’écran de sélection du rôle de serveur.
Dans la boîte de dialogue Sélectionner des rôles de serveurs, sélectionnez Accès à distance, puis cliquez sur Suivant.
Cliquez sur Suivant trois fois de suite.
Dans la boîte de dialogue Sélectionner les services de rôle, sélectionnez DirectAccess et VPN (RAS), puis cliquez sur Ajouter des fonctionnalités.
Sélectionnez Routage, sélectionnez Proxy d'application web, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
Cliquez sur Suivant, puis sur Installer.
Dans la boîte de dialogue Progression de l’installation, vérifiez que l’installation s’est correctement déroulée et cliquez sur Fermer.
Commandes équivalentes Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
Configurer le type de déploiement
Vous pouvez utiliser trois options pour déployer l’accès à distance à partir de la console de gestion de l’accès à distance :
DirectAccess et VPN
DirectAccess uniquement
VPN uniquement
Notes
Ce guide utilise la méthode de déploiement DirectAccess uniquement dans les exemples de procédures.
Pour configurer le type de déploiement
Sur le serveur d’accès à distance, ouvrez la console Gestion de l’accès à distance : dans l’écran Démarrer, tapez Console de gestion de l’accès à distance, puis appuyez sur Entrée. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.
Dans la console de gestion de l'accès à distance, dans le volet du milieu, cliquez sur Exécuter l'Assistant Configuration de l'accès à distance.
Dans la boîte de dialogue Configurer l’accès à distance, sélectionnez DirectAccess et VPN, DirectAccess uniquement ou VPN uniquement.
Configurer les clients DirectAccess
Pour configurer l'utilisation de DirectAccess sur un ordinateur client, ce dernier doit appartenir au groupe de sécurité sélectionné. Une fois DirectAccess configuré, les ordinateurs clients du groupe de sécurité sont configurés pour recevoir les objets de stratégie de groupe DirectAccess pour la gestion à distance.
Pour configurer les clients DirectAccess
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 1 : Clients distants, cliquez sur Modifier.
Dans l’Assistant Installation du client DirectAccess, dans la page Scénario de déploiement, cliquez sur Déployer DirectAccess pour la gestion à distance uniquement, puis cliquez sur Suivant.
Dans la page Sélectionner des groupes, cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner des groupes, sélectionnez les groupes de sécurité qui contiennent les ordinateurs clients DirectAccess, puis cliquez sur Suivant.
Dans la page Assistant Connectivité réseau :
Dans la table, ajoutez les ressources qui seront utilisées pour déterminer la connectivité au réseau interne. Une sonde web par défaut est créée automatiquement si aucune autre ressource n'est configurée. Lorsque vous configurez les emplacements de sonde web pour déterminer la connectivité au réseau d’entreprise, assurez-vous de disposer d’au moins une sonde HTTP configurée. La seule configuration d’une sonde ping n’est pas suffisante et pourrait conduire à une détermination inexacte de l’état de la connectivité. Cela est dû au fait que ping est exempté d’IPsec. Par conséquent, ping ne garantit pas que les tunnels IPsec sont correctement établis.
Ajouter une adresse de messagerie du support technique pour permettre aux utilisateurs d'envoyer des informations s'ils rencontrent des problèmes de connectivité.
Fournissez un nom convivial pour la connexion à DirectAccess.
Cochez la case Permettre aux clients DirectAccess d'utiliser la résolution de noms locale, si nécessaire.
Notes
Quand la résolution de noms locale est activée, les utilisateurs qui exécutent l’Assistant Connectivité réseau peuvent choisir de résoudre les noms en utilisant les serveurs DNS configurés sur l’ordinateur client DirectAccess.
Cliquez sur Terminer.
Configurer le serveur d'accès à distance
Pour déployer l’accès à distance, vous devez configurer le serveur qui fera office de serveur d’accès à distance avec les éléments suivants :
Cartes réseau correctes
URL publique pour le serveur d’accès à distance auquel les ordinateurs clients peuvent se connecter (l’adresse ConnectTo)
Un certificat IP-HTTPS avec un objet qui correspond à l’adresse ConnectTo
Paramètres IPv6
Authentification de l’ordinateur client
Pour configurer le serveur d'accès à distance
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 2 : Serveur d'accès à distance, cliquez sur Configurer.
Dans l'Assistant Installation du serveur d'accès à distance, dans la page Topologie du réseau, cliquez sur la topologie de déploiement qui sera utilisée dans votre organisation. Dans Tapez le nom public ou l'adresse IPv4 utilisé par les clients pour se connecter au serveur d'accès à distance, entrez le nom public du déploiement (ce nom correspond au nom de sujet du certificat IP-HTTPS, par exemple edge1.contoso.com), puis cliquez sur Suivant.
Dans la page Cartes réseau, l’Assistant détecte automatiquement :
les cartes réseau pour les réseaux présents dans votre déploiement. Si l'Assistant ne détecte pas les cartes réseau appropriées, sélectionnez manuellement les cartes correctes.
Certificat IP-HTTPS. Cela est basé sur le nom public du déploiement que vous avez défini à l’étape précédente de l’Assistant. Si l’Assistant ne détecte pas le certificat IP-HTTPS approprié, cliquez sur Parcourir pour sélectionner manuellement le certificat correct.
Cliquez sur Suivant.
Dans la page Configuration du préfixe (cette page est visible uniquement si IPv6 est détecté dans le réseau interne), l’Assistant détecte automatiquement les paramètres IPv6 utilisés dans le réseau interne. Si votre déploiement nécessite des préfixes supplémentaires, configurez les préfixes IPv6 pour le réseau interne, un préfixe IPv6 à attribuer aux ordinateurs clients DirectAccess et un préfixe IPv6 à attribuer aux ordinateurs clients du réseau VPN.
Dans la page Authentification :
Pour les déploiements multisites et à authentification à 2 facteurs, vous devez utiliser l'authentification par certificat d'ordinateur. Cochez la case Utiliser les certificats d’ordinateur pour utiliser l’authentification par certificat d’ordinateur, et sélectionnez le certificat racine IPsec.
Pour permettre aux ordinateurs clients exécutant Windows 7 de se connecter via DirectAccess, cochez la case Autoriser les ordinateurs clients Windows 7 à se connecter par le biais de DirectAccess. Vous devez également utiliser l'authentification par certificat d'ordinateur dans ce type de déploiement.
Cliquez sur Terminer.
Configurer les serveurs d'infrastructure
Pour configurer les serveurs d’infrastructure dans un déploiement d’accès à distance, vous devez configurer les éléments suivants :
Serveur Emplacement réseau
Paramètres DNS, y compris la liste de recherche de suffixe DNS
Tous les serveurs d’administration qui ne sont pas détectés automatiquement par l’accès à distance
Pour configurer les serveurs d'infrastructure
Dans le volet central de la console de gestion de l'accès à distance, dans la zone Étape 3 : Serveurs d'infrastructure, cliquez sur Configurer.
Dans l'Assistant Installation du serveur d'infrastructure, dans la page Serveur Emplacement réseau, cliquez sur l'option correspondant à l'emplacement du serveur Emplacement réseau dans votre déploiement.
Si le serveur Emplacement réseau figure sur un serveur web distant, entrez l’URL puis cliquez sur Valider avant de continuer.
Si le serveur Emplacement réseau se trouve sur le serveur d'accès à distance, cliquez sur Parcourir pour localiser le certificat approprié, puis cliquez sur Suivant.
Dans la page DNS, dans la table, entrez les suffixes de noms supplémentaires qui seront appliqués en tant qu’exemptions de table de stratégie de résolution de noms. Sélectionnez une option de résolution de noms locale, puis cliquez sur Suivant.
Dans la page Liste de recherche de suffixes DNS, le serveur d’accès à distance détecte automatiquement les suffixes de domaine dans le déploiement. Utilisez les boutons Ajouter et Supprimer pour créer la liste des suffixes de domaine que vous souhaitez utiliser. Pour ajouter un nouveau suffixe de domaine, dans Nouveau suffixe, entrez le suffixe, puis cliquez sur Ajouter. Cliquez sur Suivant.
Dans la page Gestion, ajoutez tous les serveurs d’administration qui ne sont pas détectés automatiquement, puis cliquez sur Suivant. L’accès à distance ajoute automatiquement des contrôleurs de domaine et des serveurs Configuration Manager.
Cliquez sur Terminer.
Configurer les serveurs d'applications
Dans un déploiement complet de l’accès à distance, la configuration de serveurs d’applications est une tâche facultative. Dans ce scénario pour la gestion à distance des clients DirectAccess, les serveurs d’applications ne sont pas utilisés et cette étape est grisée pour indiquer qu’elle n’est pas active. Cliquez sur Terminer pour appliquer la configuration.
Résumé de la configuration et autres objets de stratégie de groupe
Une fois la configuration de l'accès à distance terminée, la Vérification de l'accès DirectAccess est affichée. Vous pouvez passer en revue tous les paramètres que vous avez sélectionnés auparavant, y compris :
Paramètres des objets de stratégie de groupe
les noms des objets de stratégie de groupe de serveur et de client DirectAccess sont répertoriés. Vous pouvez cliquer sur le lien Modifier en regard du titre Paramètres de l’objet de stratégie de groupe pour modifier les paramètres des objets de stratégie de groupe.
Clients distants
la configuration des clients DirectAccess est affichée, y compris le groupe de sécurité, les vérificateurs de connectivité et le nom de la connexion à DirectAccess.
Serveur d'accès à distance
La configuration DirectAccess s’affiche, y compris le nom et l’adresse publics, la configuration de la carte réseau et les informations de certificat.
Serveurs d’infrastructure
cette liste inclut l'URL du serveur Emplacement réseau, les suffixes DNS utilisés par les clients DirectAccess et des informations sur les serveurs d'administration.