Microsoft.com
Bienvenue Connexion
Pour les professionnels de l’informatique
 Version imprimable       Envoyer     
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Articles Techniques
Solutions IT
Réseau
 Joindre un client Windows Vista fil...
Joindre un client Windows Vista filaire à un domaine
Paru le 27 juin 2006
Sur cette page

 Résumé
 Introduction
 Méthodes pour joindre un client filaire à un domaine
 L'utilisateur configure son ordinateur filaire avec un profil filaire bootstrap via un fichier XML et rejoint le domaine
 L'utilisateur configure manuellement l'ordinateur filaire avec un profil bootstrap
 Annexe A : Configuration d'un profil filaire bootstrap
 Annexe B : Joindre un client Windows Vista sans fil à un domaine
 Pour plus d'informations

Résumé

Les ordinateurs client filaires qui exécutent Microsoft® Windows Vista™ (actuellement en test bêta) peuvent utiliser un profil filaire temporaire pour se connecter à un réseau filaire sécurisé et joindre un domaine Active Directory®. Ce profil filaire temporaire, également appelé profil filaire bootstrap, nécessite que l'utilisateur spécifie manuellement les informations d'identification de son compte sur le domaine et ne valide pas le certificat du serveur RADIUS (Remote Authentication Dial-in User Service). Après avoir rejoint le domaine, le client filaire utilise un nouveau profil filaire qui exploite automatiquement les informations d'identification du compte d'ordinateur et d'utilisateur, et qui valide les informations d'identification du serveur RADIUS. Cet article décrit deux méthodes de configuration d'un profil réseau filaire bootstrap.

Introduction

Les clients filaire ont besoin d'informations d'identification de domaine (nom/mot de passe) ou d'un certificat pour l'authentification en vue d'un accès filaire sécurisé. Pour rejoindre le domaine et recevoir des informations d'identification de domaine ou des certificats, les ordinateurs client filaires doivent se connecter au réseau filaire contenant les contrôleurs du domaine. Pour accéder à un réseau filaire sécurisé et joindre un ordinateur à un domaine, le client filaire doit fournir manuellement le nom d'utilisateur de domaine et le mot de passe. Une fois connecté au réseau filaire, l'utilisateur client filaire peut joindre l'ordinateur au domaine.

Dans les réseaux filaires authentifiés via 802.1X, les clients filaires doivent fournir des informations d'identification de sécurité authentifiées par un serveur RADIUS. Ces informations d'identification peuvent inclure un nom d'utilisateur et un mot de passe (pour Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol version 2 [MS-CHAP v2]) ou des certificats (pour EAP-Transport Layer Security [TLS]). Pour PEAP-MS-CHAP v2 ou EAP-TLS, le client filaire valide également un certificat d'ordinateur envoyé par le serveur RADIUS au cours du processus d'authentification. Il s'agit du comportement par défaut du client filaire Windows. Ce comportement peut être désactivé, mais cela n'est pas recommandé dans les environnements de production.

Si le serveur RADIUS utilise des certificats d'ordinateur émis par une infrastructure de clé publique (PKI, Public Key Infrastructure) commerciale, telle que VeriSign, Inc., et que le certificat d'autorité de certification racine du certificat d'ordinateur du serveur RADIUS est déjà installé, le client filaire peut valider le certificat d'ordinateur du serveur RADIUS, peu importe que le client filaire ait ou non rejoint le domaine Active Directory.

Si le serveur RADIUS utilise des certificats d'ordinateur provenant d'une infrastructure PKI privée intégrée à Active Directory (par exemple basée sur Windows Server® 2003 Certificate Services), un client filaire qui n'a pas encore rejoint le domaine ne possède pas le certificat d'autorité de certification racine du certificat d'ordinateur du serveur RADIUS et par défaut, le processus d'authentification échoue. Une fois que le client filaire a rejoint le domaine, le certificat de l'autorité de certification racine du certificat d'ordinateur du serveur RADIUS est installé automatiquement.

Cet article décrit des méthodes qui configurent les clients filaires basés sur Windows Vista avec un profil filaire pour effectuer l'authentification PEAP-MS-CHAP v2 manuelle, mais qui ne valident pas le certificat d'ordinateur du serveur RADIUS. Une fois connecté au réseau filaire, l'ordinateur client filaire rejoint le domaine et reçoit le certificat de l'autorité de certification racine appropriée. L'utilisateur de l'ordinateur (manuellement) ou l'administrateur informatique (via la stratégie de groupe) peut reconfigurer ou remplacer le profil filaire, de sorte que l'authentification PEAP-MS-CHAP v2 valide le certificat d'ordinateur du serveur RADIUS et utilise automatiquement les informations d'identification du domaine.

Si l'administrateur informatique remplace le profil filaire configuré manuellement par la stratégie de groupe, le profil filaire basé sur la stratégie de groupe doit être configuré pour effectuer l'authentification de l'ordinateur (comportement par défaut). Si l'ordinateur ne peut pas utiliser son compte et ses informations d'identification pour obtenir une connexion filaire, l'utilisateur ne pourra pas ouvrir une session sur l'ordinateur avec les informations d'identification du domaine, car il ne peut pas être validé par un contrôleur de domaine.

Méthodes pour joindre un client filaire à un domaine

Cette section décrit les méthodes suivantes pour joindre un client filaire à un domaine :

  • L'utilisateur configure son ordinateur filaire avec un profil filaire bootstrap via un fichier XML (Extensible Markup Language) et rejoint le domaine.

  • L'utilisateur configure manuellement l'ordinateur filaire avec un profil filaire bootstrap et rejoint le domaine.

L'utilisateur configure son ordinateur filaire avec un profil filaire bootstrap via un fichier XML et rejoint le domaine

Avec cette méthode, l'utilisateur configure son ordinateur filaire avec un profil filaire bootstrap via un fichier XML et un script configuré par un administrateur informatique. Le profil filaire bootstrap configuré par le fichier XML permet à l'utilisateur d'établir une connexion filaire, puis de rejoindre le domaine.

Voici les étapes pour cette méthode :

  1. Un administrateur informatique configure un autre ordinateur filaire basé sur Windows Vista avec un profil filaire bootstrap qui utilise l'authentification PEAP-MS-CHAP v2 avec la validation du certificat serveur RADIUS désactivée.

  2. L'administrateur informatique exporte le profil filaire bootstrap vers un fichier XML avec la commande netsh lan export profile et crée un fichier script qui ajoute automatiquement le profil sur l'ordinateur de l'utilisateur.

    Pour les détails de configuration du profil filaire bootstrap et de son exportation vers un fichier XML, reportez-vous à « Annexe A : Configuration d'un profil filaire bootstrap » dans cet article.

  3. L'administrateur informatique distribue à l'utilisateur le nouvel ordinateur filaire, le fichier XML contenant le profil filaire bootstrap et le fichier script, via une méthode appropriée. Le fichier script contient la commande netsh lan add profile Nom_fichier_XML Nom_connexion.

    Par exemple, le fichier XML peut être stocké sur un lecteur flash USB avec un script que l'utilisateur peut exécuter pour ajouter le profil filaire bootstrap.

  4. L'utilisateur démarre l'ordinateur et effectue une ouverture de session avec un compte d'ordinateur local.

  5. L'utilisateur exécute le fichier script afin d'ajouter le profil filaire bootstrap.

  6. Une fois le script exécuté, Windows Vista tente de se connecter au réseau filaire et invite l'utilisateur à saisir le nom du compte et le mot de passe.

  7. L'utilisateur saisit le nom de son compte utilisateur sur le domaine et son mot de passe, puis l'ordinateur client Windows Vista se connecte au réseau filaire.

  8. L'utilisateur joint l'ordinateur au domaine Active Directory. Pour plus d'informations, reportez-vous à « Annexe B : Joindre un client Windows Vista à un domaine », dans cet article.

L'utilisateur configure manuellement l'ordinateur filaire avec un profil bootstrap

Avec cette méthode, l'utilisateur configure manuellement son ordinateur filaire avec un profil filaire bootstrap, conformément aux instructions d'un administrateur informatique. Le profil filaire bootstrap permet à l'utilisateur d'établir une connexion filaire, puis de rejoindre le domaine.

Voici les étapes pour cette méthode :

  1. L'administrateur informatique fournit à l'utilisateur les instructions permettant de configurer un profil filaire bootstrap qui utilise l'authentification PEAP-MS-CHAP v2 avec la validation du certificat serveur RADIUS désactivée.

  2. L'utilisateur démarre l'ordinateur et effectue une ouverture de session avec un compte d'ordinateur local.

  3. L'utilisateur exécute les instructions pour configurer le profil filaire bootstrap (voir « Annexe A : Configuration d'un profil filaire bootstrap » dans cet article).

  4. Une fois le profil filaire bootstrap configuré, Windows Vista tente de se connecter au réseau filaire et invite l'utilisateur à saisir le nom du compte et le mot de passe.

  5. L'utilisateur saisit le nom de son compte utilisateur sur le domaine et son mot de passe, puis l'ordinateur client Windows Vista se connecte au réseau filaire.

  6. L'utilisateur joint l'ordinateur au domaine Active Directory. Pour plus d'informations, reportez-vous à « Annexe B : Joindre un client Windows Vista à un domaine », dans cet article.

Annexe A : Configuration d'un profil filaire bootstrap

Pour configurer un profil filaire bootstrap, procédez de la façon suivante :

  1. Sur le bureau Windows, cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Cliquez sur System and Maintenance (Système et maintenance), puis sur Outils d'administration.

  3. Double-cliquez sur Services.

  4. Dans la liste des services du volet de contenu, double-cliquez sur Wired AutoConfig Service (Service AutoConfig filaire).

  5. Dans Type de démarrage, cliquez sur Automatique. Dans État du service, cliquez sur Démarrer, puis sur OK.

  6. Fermez la fenêtre Services.

  7. Sur le bureau Windows, cliquez sur Démarrer, puis sur Panneau de configuration.

  8. Cliquez sur Network and Internet (Réseau et Internet), puis sur Centre réseau.

  9. Cliquez sur Manage network connections (Gérer les connexions réseau).

  10. Cliquez avec le bouton droit de la souris sur la connexion au réseau local, cliquez sur Propriétés, puis sélectionnez l'onglet Authentification.

  11. Dans Choose a network authentication method (Choisissez une méthode d'authentification réseau), cliquez sur Protected EAP (PEAP), puis sur Paramètres.

  12. Dans la boîte de dialogue Propriétés de Protected EAP (PEAP), désactivez la case à cocher Valider le certificat du serveur.

  13. Cliquez deux fois sur OK.

  14. Fermez la fenêtre Connexions réseau.

Pour exporter les paramètres de ce profil filaire bootstrap vers un fichier XML, tapez la commande suivante :

netsh lan export profile Dossier Nom_connexion

  • Dossier est le nom du dossier contenant le fichier XML. Vous pouvez spécifier un chemin absolu ou relatif, "." pour le dossier actuel ou ".." pour le dossier parent.

  • Nom_connexion est le nom de la carte filaire pour laquelle le profil filaire a été configuré.

La commande netsh lan export profile crée un fichier XML dont le nom est basé sur la connexion spécifiée. Par exemple, pour créer un fichier XML contenant le profil de la connexion nommée Local Area Connection et le stocker dans le dossier actuel, utilisez la commande suivante :

netsh lan export profile . "Local Area Connection"

Pour cet exemple, netsh crée un fichier "Local Area Connection.xml" dans le dossier actuel.

Annexe B : Joindre un client Windows Vista sans fil à un domaine

Une fois connecté au réseau filaire sécurisé, cliquez sur Panneau de configuration – System and Maintenance (Système et Maintenance) – Système pour effectuer les opérations suivantes :

  1. Sous Paramètres de nom d'ordinateur, de domaine et de groupe de travail, cliquez sur Changer les paramètres.

  2. Dans la boîte de dialogue Propriétés système, cliquez sur Changer.

  3. Dans la boîte de dialogue Modification du nom d'ordinateur , tapez le nom de l'ordinateur dans Nom de l'ordinateur. Cliquez sur Domaine et tapez le nom de domaine Active Directory.

  4. Cliquez sur OK.

  5. Lorsque vous y êtes invité, tapez votre nom de domaine et votre mot de passe pour joindre l'ordinateur au domaine.

  6. Redémarrez l'ordinateur lorsque vous y êtes invité.

Une fois l'ordinateur redémarré, il s'authentifie automatiquement sur le réseau filaire avec les informations d'identification ou le certificat du compte de domaine de l'ordinateur.

Pour plus d'informations

Pour plus d'informations sur ce sujet, consultez les ressources suivantes :

© 2009 Microsoft Corporation. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité
Page view tracker