Windows Server
France (Français) Connexion
Accueil Windows Server 2012 Windows Server 2008 R2 Windows Server 2003 Library Forums
Bibliothèque TechNet
Windows
Windows Server
Windows Server 2008 et Windows Server 2008 R2
Parcourir les technologies Windows Server
Networking
DirectAccess
DirectAccess pour Windows Server 2008 R2
Guide de déploiement de DirectAccess
Procédures utilisées dans ce guide
Ajouter des serveurs disponibles aux clients DirectAccess avant l'ouverture de session utilisateur
Configurer un point de distribution de liste de révocation de certificats pour les certificats
Configurer les services AD CS (Active Directory Certificate Services) pour des emplacements CRL
Configurer l'authentification client et le mappage de certificats pour les connexions IP-HTTPS
Configurer l'inscription automatique de certificat d'ordinateur
Configurer les règles de sécurité de connexion pour un accès de bout en bout
Configurer des règles de sécurité de connexion pour le trafic entre des clients DirectAccess
Configurer les paramètres de la détection de la connectivité d'entreprise
Configurer les règles de sécurité de connexion DirectAccess pour NAP
Configure Firewall Rules to Prevent Traffic between Proxy Servers and DirectAccess Servers
Configurer Forcer le mode tunneling pour les clients DirectAccess
Configurer IIS pour l'emplacement réseau
Configurer des filtres de paquets pour autoriser le trafic ICMP
Configurer des filtres de paquets pour permettre le trafic de gestion vers des clients DirectAccess
Configurer des filtres de paquets pour bloquer l'accès aux contrôleurs de domaine
Configurer les autorisations sur le modèle de certificat Serveur Web
Configurer les paramètres pour restreindre le trafic ICMPv6 à l'intranet
Configurer la vérification de révocation de certificat renforcée pour l'authentification IPsec
Configure the DirectAccess IPsec Gateway on a Different Server
Configurer le serveur DirectAccess comme serveur Emplacement réseau
Configurer l'Assistant Installation DirectAccess pour un accès de bout en bout
Configurer l'Assistant Installation DirectAccess pour l'accès intranet complet
Configurer l'Assistant Installation DirectAccess pour l'accès aux serveurs sélectionnés
Configurer NRPT pour une passerelle DNS IPv6/IPv4
Configurer NRPT avec la stratégie de groupe
Connexion à Internet IPv6
Créer des groupes DirectAccess dans Active Directory
Installer un certificat serveur emplacement réseau sur le serveur DirectAccess
Installer un certificat IP-HTTPS
Installer et configurer IIS pour un certificat serveur Emplacement réseau
Installer la fonctionnalité DirectAccess
Supprimer ISATAP de la liste rouge de requêtes globale DNS
Développer Réduire
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

Configurer les paramètres pour restreindre le trafic ICMPv6 à l'intranet

Publication: octobre 2009

Mis à jour: octobre 2009

S'applique à: Windows Server 2008 R2

ImportantImportant
Cette rubrique décrit le déploiement de DirectAccess dans Windows Server 2008 R2. Pour un déploiement de DirectAccess dans Microsoft Forefront Unified Access Gateway (UAG), consultez le Guide de déploiement de DirectAccess Forefront UAG (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=179989).

Comme décrit dans Restriction du trafic ICMPv6 à l'intranet, les paramètres par défaut créés par l'Assistant Installation DirectAccess autorisent les éléments suivants :

  • Tout ordinateur avec un client Teredo ou 6to4 peut envoyer du trafic ICMPv6 aux emplacements intranet via le serveur DirectAccess pour détecter les adresses IPv6 de destination intranet valides. Le volume de ce trafic est limité par la fonctionnalité de protection contre les attaques par déni de service (DoSP) du serveur DirectAccess.

  • Un utilisateur malveillant sur le même sous-réseau qu'un client DirectAccess basé sur Teredo peut déterminer les adresses IPv6 de serveurs intranet en capturant les échanges de messages de demande d'écho ICMPv6 et de réponse à l'écho.

Cette procédure vous permet de prévenir les problèmes de sécurité possibles.

Pour réaliser ces procédures, vous devez être membre du groupe Administrateurs de domaine, ou devez avoir les autorisations nécessaires pour modifier les paramètres de stratégie de groupe. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances aux groupes appropriés sur le site Web suivant : Groupes locaux et de domaine par défaut(http://go.microsoft.com/fwlink/?LinkId=83477).

Pour restreindre le trafic ICMPv6 à l'intranet

  1. Sur un contrôleur de domaine, démarrez une invite de commandes en tant qu'administrateur.

  2. À partir de la fenêtre d'invite de commandes, exécutez la commande netsh –c advfirewall.

  3. À l'invite netsh advfirewall, exécutez les commandes suivantes :

    set store gpo=" DomainName \DirectAccess Policy-{3491980e-ef3c-4ed3-b176-a4420a810f12}"

    consec show rule name=”DirectAccess Policy-ClientToDnsDc”

    consec show rule name=”DirectAccess Policy-ClientToCorp”

  4. À l'affichage des deux dernières commandes, copiez ou écrivez les adresses IPv6 pour RemoteTunnelEndpoint.

  5. À l'invite netsh advfirewall, exécutez les commandes suivantes :

    set global ipsec defaultexemptions neighbordiscovery,dhcp

    consec add rule name=”Exempt ICMPv6 to Tunnel endpoint” profile=private,public action=noauthentication mode=tunnel endpoint1=any endpoint2= IPv6AddressesOfTheRemoteTunnelEndpoints protocol=icmpv6

    set store gpo=" DomainName \DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

    set global ipsec defaultexemptions neighbordiscovery,dhcp

    consec add rule name=”Exempt ICMPv6 from Tunnel endpoint” profile=private,public action=noauthentication mode=tunnel endpoint1= IPv6AddressesOfTheRemoteTunnelEndpoints endpoint2=any protocol=icmpv6

  6. Cliquez sur Démarrer, tapez gpmc.msc, puis appuyez sur ENTRÉE.

  7. Dans l'arborescence de la console, ouvrez Forêt/DomainesVotreDomaine, cliquez avec le bouton droit sur l'objet de stratégie de groupe Stratégie DirectAccess - {3491980e-ef3c-4ed3-b176-a4420a810f12}, puis cliquez sur Modifier.

  8. Dans l'arborescence de la console de l'Éditeur de gestion des stratégies de groupe, ouvrez Configuration ordinateur/Stratégies/Paramètres Windows/Paramètres de sécurité/Pare-feu Windows avec fonctions avancées de sécurité.

  9. Cliquez avec le bouton droit sur Pare-feu Windows avec fonctions avancées de sécurité, puis cliquez sur Propriétés.

  10. Cliquez sur l'onglet Paramètres IPsec. Dans Exemptions IPsec, dans Exempter ICMP d'IPsec, cliquez sur Non, puis cliquez sur OK.

  11. Fermez l'Éditeur de gestion des stratégies de groupe.

  12. Dans l'arborescence de la console de la gestion des stratégies de groupe, ouvrez Forêt/Domaines/VotreDomaine, cliquez avec le bouton droit sur l'objet de stratégie de groupe Stratégie DirectAccess - {ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}, puis cliquez sur Modifier.

  13. Dans l'arborescence de la console de l'Éditeur de gestion des stratégies de groupe, ouvrez Configuration ordinateur/Stratégies/Paramètres Windows/Paramètres de sécurité/Pare-feu Windows avec fonctions avancées de sécurité.

  14. Cliquez avec le bouton droit sur Pare-feu Windows avec fonctions avancées de sécurité, puis cliquez sur Propriétés.

  15. Cliquez sur l'onglet Paramètres IPsec. Dans Exemptions IPsec, dans Exempter ICMP d'IPsec, cliquez sur Non, puis cliquez sur OK.

Si vous êtes arrivé sur cette page en cliquant sur un lien d'une liste de contrôle, utilisez le bouton Précédent de votre navigateur pour retourner à la liste de contrôle.

Cela vous a-t-il été utile ?
(1500 caractères restants)

Ajouts de la communauté

AJOUTER
© 2013 Microsoft
|
Commentaires sur le site
© 2013 Microsoft. Tous droits réservés.