Exporter (0) Imprimer
Développer tout

Nouveautés de l'accès à distance

Publication: août 2013

Mis à jour: juillet 2014

S'applique à: Windows 8.1, Windows Server 2012, Windows Server 2012 R2



Cette rubrique décrit les nouveautés et les modifications apportées aux fonctionnalités d'accès à distance dans Windows Server 2012 R2, Windows 8.1 et Windows Server 2012.

Dans cette rubrique :

Dans Windows Server 2012 R2, l'accès à distance offre une prise en charge améliorée dans les domaines suivants :

Avec Windows Server 2012 R2, les hôtes peuvent déployer des passerelles site à site mutualisées pour fournir une connectivité intersite depuis les réseaux de sites client, vers les réseaux virtuels dédiés par client du réseau de l'hôte. Le réseau virtuel du client peut être créé sur une virtualisation de réseau Hyper-V ou un VLAN chez l'hébergeur. Une seule instance de passerelle est capable de servir plusieurs clients avec des espaces d'adressage IP qui se chevauchent, ce qui accroît l'efficacité de l'hôte par rapport au déploiement d'une instance de passerelle pour chaque client. La passerelle Routage et accès à distance (RRAS) est une solution logicielle qui peut être déployée dans plusieurs instances de serveurs RRAS mutualisés pour équilibrer la charge.

Avec Windows Server 2012, les hôtes peuvent permettre un accès VPN transparent aux ordinateurs virtuels répliqués dans le cloud, même après une panne pendant laquelle l'intégralité du site client est indisponible. Windows Server 2012 réduit le CAPEX et l'OPEX pour les hôtes avec une unique passerelle RRAS qui peut servir plusieurs clients avec des espaces d'adressage IP qui se chevauchent. La passerelle Routage et accès à distance (RRAS) est une solution logicielle qui peut être déployée dans plusieurs instances de serveurs RRAS mutualisés pour équilibrer la charge.

Dans Windows Server 2012, le protocole BGP (Border Gateway) permet la distribution et l'apprentissage dynamiques des itinéraires à l'aide des interfaces RRAS site à site. Cette fonctionnalité permet aux hôtes (principalement les fournisseurs IaaS) de déployer le protocole BGP sur une passerelle site à site RRAS mutualisée, afin que la passerelle puisse savoir quels paquets doivent être routés vers Internet, sur les sites client et le réseau virtuel du client, et qu'elle les dirige correctement. La passerelle RRAS avec protocole BGP peut également être déployée par des entreprises sur le périmètre de leur site pour distribuer des itinéraires internes vers d'autres passerelles de périmètre (de la même entreprise dans des réseaux physiques ou virtuels) via des tunnels sécurisés.

Le Proxy d'application web est un service de rôle Accès à distance dans Windows Server 2012 R2. Le proxy d’application Web fournit la fonctionnalité de proxy inverse pour les applications Web au sein de votre réseau d’entreprise pour permettre aux utilisateurs d’y accéder à partir de n’importe quel appareil à l’extérieur du réseau d’entreprise. Les organisations peuvent fournir un accès conditionnel ou sélectif à ces applications Web, en fonction des besoins de l’organisation. Le proxy d'application web fournit également des fonctionnalités de proxy AD FS intégrées. Pour plus d’informations, voir Guide de déploiement du proxy d'application web.

Dans Windows 8.1, l'accès à distance offre une prise en charge améliorée dans les domaines suivants :

Dans Windows 8.1, le VPN déclenché automatiquement (ou VPN déclenché par l'application) permet aux applications prédéfinies de se connecter automatiquement aux réseaux d'entreprise en ouvrant une connexion VPN au démarrage de l'application. Vous pouvez identifier ces applications et limiter l’accès à distance en fonction de l’identité de l’utilisateur et de l’identité de l’ordinateur à partir duquel l’utilisateur accède à la ressource. Cela permet un accès fiable et sécurisé aux ressources d’entreprise à partir de différents appareils. Pour plus d'informations, voir Windows Server 2012 R2 Test Lab Guide: Demonstrate VPN Auto trigger.

Windows 8.1 pour systèmes x86, amd64 (et ARM dans Windows RT 8.1) prend en charge le plug-in VPN SSL des fournisseurs VPN non Microsoft suivants :

  • Dell SonicWall, Inc.

  • Juniper Networks, Inc.

  • F5 Networks, Inc.

  • Checkpoint Software Technologies, Ltd.

Le plug-in VPN non Microsoft prend également en charge une applet de commande Windows PowerShell similaire pour configurer le déclenchement automatique de la connexion VPN. Les profils de connexion VPN peuvent être configurés pour être déclenchés automatiquement, selon un nom DNS. Sinon, pour une application, les profils peuvent être configurés à l'aide de la gestion des périphériques mobiles Windows PowerShell ou Microsoft.

La prise en charge des plug-ins VPN non Microsoft est fournie par les fournisseurs de ces plug-ins. Le tableau suivant fournit des liens vers des documents fournis par les partenaires en question.

 

Fournisseur de plug-in VPN

Document de prise en charge

SonicWall

SonicWall Mobile Connect for Windows 8.1 User Guide

Juniper

F5 Networks

CheckPoint

Dans Windows 8.1, la prise en charge de la configuration VPN avancée permet d'utiliser un ensemble d'applets de commande PowerShell pour configurer les connexions VPN au lieu d'utiliser plusieurs scripts. Cette fonctionnalité améliore également la gestion des périphériques mobiles Microsoft en permettant à tous les paramètres requis d'être automatiquement configurés sur les périphériques mobiles, sans avoir à exécuter de scripts supplémentaires.

Les améliorations apportées à IPsec dans Windows 8.1 autorisent les normes de chiffrement Suite-B et autres configurations de chiffrement personnalisées pour les tunnels IPSec. Les clients VPN peuvent être configurés pour utiliser ces normes et configurations avec des applets de commande Windows PowerShell simples. Cela vous permet également de sélectionner un certificat client pour chaque connexion VPN.

Dans Windows 8, la création et la modification de profils VPN avait lieu en affichage Bureau. Dans Windows 8.1, vous pouvez créer et modifier des profils de connexion VPN dans Paramètres du PC, plutôt que d'accéder au Bureau et de naviguer dans différents menus. Cette nouvelle expérience de modification de profil VPN est optimisée et simplifiée pour les écrans tactiles. Les propriétés avancées sont toujours accessibles à partir du Bureau, si nécessaire.

Dans Windows Server 2012, l'accès à distance offre une prise en charge améliorée dans les domaines suivants :

L’installation minimale est une option d’installation serveur minimale conçue pour réduire les conditions requises d’espace disque, de service et de gestion, et diminuer la surface d’attaque du système d’exploitation. Le système d’installation minimale ne prend pas en charge d’interface graphique utilisateur et les administrateurs doivent utiliser des outils de ligne de commande ou de gestion à distance pour accomplir toutes les tâches de configuration nécessaires.

Une installation minimale de Windows Server 2012 ou de Windows Server 2012 R2 prend en charge le rôle serveur Accès à distance pour DirectAccess et RRAS.

Dans Windows Server 2012 et Windows Server 2012 R2, le nouveau rôle serveur Accès à distance dispose d'une prise en charge complète de Windows PowerShell qui peut être utilisée pour l'installation, la configuration et l'analyse. Le rôle de serveur d’accès à distance peut également être configuré par le biais de la gestion de serveur à distance.

Dans Windows Server 2008 R2, DirectAccess ne possède pas d'interface de scripts et de ligne de commande pour les options de configuration. Windows Server 2012 R2 et Windows Server 2012 fournissent une prise en charge Windows PowerShell complète pour l'installation, la configuration, la gestion, la surveillance et la résolution des problèmes du rôle serveur Accès à distance, y compris les services des rôles DirectAccess, RRAS et Proxy d'application web.

Les capacités d'analyse et de diagnostics du serveur RRAS et de DirectAccess sont limitées dans Windows Server 2008 R2. Pour DirectAccess, les capacités d’analyse incluent uniquement le contrôle d’intégrité élémentaire de DirectAccess et de ses composants. Les statistiques et les données d’analyse disponibles sont d’une importance ou d’une pertinence réduite pour les administrateurs.

Le contrôle d'intégrité utilisateur et serveur de Windows Server 2012 permet à l'administrateur de comprendre le comportement des clients et connexions DirectAccess. La console d’analyse permet d’effectuer le suivi de la charge sur le serveur DirectAccess, de l’activité utilisateur et de l’utilisation actuelle des ressources. L’administrateur utilise ces informations pour identifier les utilisations potentiellement indésirables ou inappropriées. Le suivi de diagnostic peut également être activé à partir de la console d’analyse.

Les administrateurs des solutions d’accès à distance doivent pouvoir analyser non seulement quels utilisateurs sont connectés, mais aussi à quelles ressources ils accèdent. Si des utilisateurs se plaignent qu’un serveur ou un partage de fichiers particulier est inaccessible à distance, l’administrateur n’a actuellement aucun moyen de déterminer si d’autres utilisateurs accèdent correctement à la ressource à partir de la console d’accès à distance. Plusieurs outils et applications sont normalement nécessaires pour résoudre des problèmes tels qu’une consommation excessive de bande passante par des utilisateurs particuliers.

L’accès au tableau de bord s’effectue à partir de la nouvelle console de gestion du serveur d’accès à distance en sélectionnant l’onglet Tableau de bord dans le volet de navigation. Le tableau de bord affiche l’état opérationnel global ainsi que l’état et l’activité des clients distants. L’administrateur peut également consulter des rapports rapides directement à partir du tableau de bord.

Le tableau de bord de suivi montre un résumé de l’état de connexion des clients distants pour les éléments répertoriés ci-dessous. Ces informations sont générées à partir des compteurs de l’Analyseur de performances et des données de gestion des comptes appropriés.

  • Nombre total de clients distants actifs connectés : inclut les clients distants VPN et DirectAccess.

  • Nombre total de clients DirectAccess actifs connectés : uniquement le nombre total de clients connectés à l'aide de DirectAccess

  • Nombre total de clients VPN actifs connectés : uniquement le nombre total de clients connectés à l'aide d'une connexion VPN

  • Nombre total d'utilisateurs uniques connectés : inclut les utilisateurs DirectAccess et VPN, en fonction des connexions actives.

  • Nombre total cumulé de connexions : nombre total de connexions servies par le serveur d'accès à distance depuis le dernier redémarrage du serveur

  • Nombre maximal de clients distants connecté : nombre maximal d'utilisateurs distants simultanés connectés au serveur d'accès à distance depuis le dernier redémarrage du serveur

  • Totalité des données transférées : totalité du trafic entrant et sortant du serveur d'accès à distance pour DirectAccess et VPN depuis le dernier redémarrage du serveur

    1. Trafic entrant : trafic total/nombre total d'octets entrant dans le serveur d'accès à distance/la passerelle

    2. Trafic sortant : trafic total/nombre total d'octets sortant du serveur d'accès à distance/de la passerelle

Dans un déploiement de cluster, le résumé de l’état et de l’activité des clients distants sur le tableau de bord des accès distants affiche les valeurs totales pour tous les nœuds du cluster.

Les administrateurs peuvent consulter la liste de tous les utilisateurs distants actuellement connectés et peuvent afficher la liste de toutes les ressources auxquelles il est possible d'accéder en cliquant sur le nom d'un utilisateur distant. Les administrateurs peuvent afficher les statistiques des utilisateurs distants en sélectionnant le lien Statut du client distant dans la console de Gestion de l'accès à distance. Les statistiques utilisateur peuvent être filtrées en fonction de critères sélectionnés à l'aide des champs suivants :

 

Nom du champ

Valeur

Nom d'utilisateur

Nom de l’utilisateur ou alias de l’utilisateur distant. Des caractères génériques peuvent être utilisés pour sélectionner un groupe d'utilisateurs, tel que contoso\* ou *\administrator. Si aucun domaine n'est spécifié, *\username est utilisé par défaut.

Nomhôte

Nom du compte d’ordinateur de l’utilisateur distant. Une adresse IPv4 ou IPv6 peut également être spécifiée.

Type

DirectAccess ou VPN. Si DirectAccess est sélectionné, tous les utilisateurs distants qui se connectent à l'aide de DirectAccess sont répertoriés. Si VPN est sélectionné, tous les utilisateurs distants qui se connectent à l'aide d'une connexion VPN sont répertoriés.

Adresse FAI

Adresse IPv4 ou IPv6 de l'utilisateur distant.

Adresse IPv4

Adresse IPv4 interne du tunnel qui connecte l'utilisateur distant au réseau d'entreprise

Adresse IPv6

Adresse IPv6 interne du tunnel qui connecte l'utilisateur distant au réseau d'entreprise

Protocole/Tunnel

Technologie de transition utilisée par le client distant. Il s'agit de Teredo, 6to4 ou IP-HTTPS pour les utilisateurs DirectAccess, et de PPTP, L2TP, SSTP ou IKEv2 pour les utilisateurs VPN.

Ressource ayant fait l'objet d'un accès

Tous les utilisateurs accédant à un point de terminaison particulier ou à une ressource d'entreprise. La valeur correspondant à ce champ est le nom d'hôte/l'adresse IP du serveur/point de terminaison.

Serveur

Serveur d’accès à distance auquel les clients sont connectés. Convient uniquement pour les déploiements de cluster et multisites.

Cette fonctionnalité permet aux administrateurs de gérer et suivre l’état des déploiements de l’accès à distance à partir d’une console d’analyse centralisée. Elle alerte les administrateurs chaque fois qu’un problème nécessitant leur attention est détecté. L’interface affiche des informations de diagnostic détaillées avec la procédure de résolution.

Le nœud Tableau de bord de l'arborescence de la console indique l'état du serveur d'accès à distance, y compris l'état de l'infrastructure d'accès à distance et des composants associés. Il indique également si la configuration est correctement répartie entre les points d'entrée.

Le nœud État des opérations du serveur de l'arborescence de la console indique l'état du serveur d'accès à distance, y compris l'état de l'infrastructure d'accès à distance et des composants associés. En cliquant sur un composant, les administrateurs peuvent voir l'état, l'historique des modifications et les détails de l'analyse de ce composant.

Si des serveurs d'accès à distance sont déployés dans un déploiement de cluster ou un déploiement multisite, tous les serveurs du cluster ou du déploiement multisite sont évalués de façon asynchrone et sont répertoriés avec leur état global. Les administrateurs peuvent parcourir la liste des serveurs et développer ou réduire la vue pour afficher les composants serveur DirectAccess et VPN.

Les composants d'accès à distance avec les moniteurs d'état affichés dans le volet État des opérations du serveur sont les suivants :

  • 6to4

  • DNS

  • DNS64

  • Contrôleur de domaine

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • Serveurs d'administration

  • NAT64

  • Cartes réseau

  • Serveur Emplacement réseau

  • Sécurité réseau (IPsec DoSP)

  • Services

  • Teredo

  • Équilibrage de charge

  • Adressage VPN

  • Connectivité VPN

La résolution des problèmes d’échec de connexion d’accès à distance pour RRAS et DirectAccess peut s’avérer extrêmement complexe en raison des capacités de journalisation limitées actuellement fournies. Les administrateurs nécessitent généralement des captures du moniteur réseau et le suivi RRAS pour la résolution des problèmes, étant donné que les journaux de l'Observateur d'événements ne sont pas très utiles ni normatifs.

Dans Windows Server 2012 R2 et Windows Server 2012, les améliorations suivantes ont été apportées aux fonctionnalités de diagnostic pour la résolution des problèmes d'accès à distance.

  • Enregistrement des événements détaillés pour DirectAccess

    Les administrateurs peuvent utiliser l’enregistrement amélioré des événements pour identifier les problèmes et effectuer l’analyse des capacités et des performances. Les journaux des événements sont standardisés pour garantir une expérience cohérente avec les autres composants réseau.

  • Suivi et capture des paquets

    Le suivi intégré permet aux administrateurs de rassembler facilement des journaux de suivi et des captures de paquets réseau d’un simple clic. Le suivi avec capture de paquets et la corrélation des journaux s’effectuent dans le cadre d’un processus individuel lorsque l’administrateur clique sur la tâche Démarrer le suivi dans le volet des tâches.

  • Corrélation des journaux

    Cette fonctionnalité fournit une collection et une corrélation automatisées de journaux pour différents composants DirectAccess grâce à un simple clic, tirant parti de la fonctionnalité de suivi de trace unifié de Windows. Les événements rassemblés à partir de différents composants sont consolidés en un fichier unique par le biais de la corrélation des ID d’activités. Les ID d’activités sont des GUID qui identifient une tâche ou une action particulière. Lorsqu’un composant enregistre un événement, il associe un ID d’activité à l’événement. Le composant transmet alors cet ID (ou un événement de transfert mappé vers cet ID) au composant qui effectue la tâche suivante dans le scénario. Ainsi, il associe son ID d'activité aux événements du journal. Lors de l’analyse du fichier de suivi obtenu, la relation entre les divers composants correspondant à un scénario peut être reconstruite.

  • Activation et affichage des journaux

    Le suivi peut être activé à partir du volet des tâches du tableau de bord de suivi ou à partir de la ligne de commande, qui contrôle également les niveaux de journalisation, les mots clés et les filtres. Les fichiers ETL de suivi de trace unifié obtenus peuvent être lus et affichés à l'aide du moniteur réseau.

Les serveurs d'accès à distance qui exécutent Windows Server 2012 ou Windows Server 2012 R2 peuvent tirer parti d'un déploiement de serveur RADIUS existant ou d'une base de données interne Windows (WID) dans le but de gérer les comptes. Des informations et des données d’historique sur l’état du serveur et la charge sont disponibles par le biais des compteurs de l’Analyseur de performances système et sont stockées dans le magasin de gestion des comptes WID. Dès qu'une connexion est reçue ou déconnectée sur le serveur d'accès à distance, toutes les statistiques de l'utilisateur distant (y compris les points de terminaison atteints) sont enregistrées dans le magasin de gestion des comptes en tant que session. Cela permet d’accéder ultérieurement aux détails de la session dans le but de créer un rapport ou d’effectuer un audit.

Les fonctionnalités de gestion de comptes et de création de rapports fournies dans le rôle serveur d'accès à distance incluent la capacité à mesurer des métriques spécifiques. Les métriques disponibles incluent le nombre d’utilisateurs connectés à un serveur DirectAccess particulier et le nombre total d’octets transférés. Les administrateurs peuvent créer des rapports personnalisés pour identifier les tendances de trafic et d’utilisation, y compris un historique de ces tendances.

Les capacités de création de rapports de DirectAccess et de RRAS permettent aux administrateurs de créer des rapports d’utilisation détaillés sur la base de statistiques variées, telles que les statistiques relatives aux utilisateurs distants, la disponibilité du serveur et la charge. Le magasin de gestion des comptes de boîte de réception est utilisé pour générer le rapport d’utilisation. La gestion des comptes de boîte de réception dans une base de données WID locale doit être activée pour que des rapports d'utilisation puissent être générés. La gestion des comptes NPS/RADIUS ne peut pas être utilisée pour la création de rapports.

Le rapport d’utilisation permet de visualiser l’historique d’utilisation, y compris quels utilisateurs ont établi des connexions distantes, à quelles ressources ils ont accédé, le nombre total d’utilisateurs uniques et la charge de serveur maximale générée. L'administrateur peut sélectionner une période spécifique pour laquelle il veut générer des données.

La connectivité intersite est une fonctionnalité de Windows Server 2012 R2 et de Windows Server 2012 qui fournit la connectivité réseau pour permettre à des fournisseurs d'hébergement de service de migrer leurs applications et leur infrastructure vers le cloud. Cette fonctionnalité inclut une solution de connectivité VPN en mode tunnel IKEv2 (Internet Key Exchange version 2) de site à site et une interface de gestion. Windows Server 2008 R2 a introduit la prise en charge d'IKEv2 dans RRAS pour les connexions VPN. Un réseau VPN IKEv2 confère de la résilience au client VPN lorsque le client passe d’un réseau à un autre ou lorsqu’il bascule d’une connexion sans fil à une connexion câblée. L’utilisation d’IKEv2 et d’IPsec permet de prendre en charge les méthodes d’authentification et de chiffrement renforcés. Dans Windows Server 2012 R2 et Windows Server 2012, RRAS fournit des améliorations de fonctionnalités supplémentaires pour activer IKEv2 pour les connexions VPN site à site.

Certaines fonctionnalités du Service Routage et accès à distance (RRAS) sont déconseillées à partir de Windows Server 2012 R2. Ces fonctionnalités vont toutes être supprimées de RRAS. Elles restent toutefois disponibles sur ce système d'exploitation. Nous vous recommandons dès à présent de faire le nécessaire pour trouver d'autres méthodes à employer si vos applications, votre code ou des modes d'utilisation dépendent de ces fonctionnalités.

Les fonctionnalités RRAS suivantes sont présentes dans Windows Server 2012 R2, et sont déconseillées pour les versions ultérieures du système d'exploitation.

  • Pilote NAT RAS/ICS. Le pilote RAS/ICS (Remote Access Service Internet Connection Sharing) sera remplacé par le pilote WinNAT (Windows Network Address Translation).

  • RQC/RQS. La fonctionnalité de contrôle de quarantaine d'accès réseau est déconseillée. Pour plus d'informations sur le contrôle de quarantaine d'accès réseau dans NPS (Network Policy Server), voir Contrôle de quarantaine d'accès réseau.

  • Types de périphériques tunnel non pris en charge. Cela inclut tous les types de périphériques tunnel, à l'exception des accès à distance, du haut débit et du PPPoE (Point-to-Point over Ethernet).

  • Prise en charge RIP/MIB. Le protocole RIP (Routing Information Protocol) et la base d'informations de gestion MIB sont déconseillés.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft