Ajouter DirectAccess à un déploiement (VPN) de l'accès à distance existant

S'applique à: Windows Server 2012 R2, Windows Server 2012

Remarque : Windows Server 2012 associe DirectAccess et le service Routage et accès distant (RRAS) dans un rôle Accès à distance unique. 

Cette rubrique fournit une introduction à l'Assistant Activation de DirectAccess de l'accès à distance, qui est utilisé pour configurer un serveur d'accès à distance unique avec les paramètres recommandés après avoir au préalable configuré un réseau privé virtuel (VPN).

Ensemble de la documentation relative au déploiement de l'accès à distance de Windows Server 2012 (DirectAccess)

Vous pouvez utiliser les rubriques répertoriées ci-dessous pour déployer l'accès à distance dans trois optiques principales :

• de base

• Avancé

• Enterprise

Les rubriques relatives à la gestion et à la migration de l'accès à distance disponibles pour cette version sont également répertoriées.

Avant de commencer votre déploiement, consultez la liste suivante des configurations non prises en charge, des problèmes connus et des configurations requises :

• DirectAccess les Configurations non prises en charge

• Problèmes connus de DirectAccess

• Conditions préalables pour le déploiement de DirectAccess

Déploiement de l'accès à distance de base

• Déployer un serveur DirectAccess individuel à l’aide de l’Assistant Mise en route

  • Guide du laboratoire de test : décrire la configuration simplifiée de DirectAccess dans un environnement de test IPv4 uniquement dans Windows Server 2012

Déploiement de l'accès à distance avancé

• Déployer un serveur DirectAccess unique avec des paramètres avancés 

  • Guide du laboratoire de test : décrire l'installation du serveur DirectAccess avec un environnement mixte IPv4 et IPv6 dans Windows Server 2012

Déploiement de l'accès à distance dans une entreprise

• Planification de la capacité DirectAccess

• Déployer l’accès à distance dans un cluster 

  • Guide de laboratoire de test : démonstration de DirectAccess dans un cluster avec équilibrage de charge réseau Windows

• Déployer plusieurs serveurs d'accès à distance dans un déploiement Multisite

  • Guide du laboratoire de test : Décrire un déploiement Multisite DirectAccess

• Déployer l’accès à distance avec l’authentification par mot de passe à usage unique

  • Guide du laboratoire de test : Décrire DirectAccess avec l'authentification unique et RSA SecurID

• Déployer l’accès à distance dans un environnement à forêts multiples

• Jonction de domaine hors connexion DirectAccess

Gérer l'accès à distance

• Utiliser l'analyse et la gestion de comptes de l'accès à distance

• Gérer les clients DirectAccess à distance

Migrer l'accès à distance

• Migrer l’accès à distance vers Windows Server 2012

• Procéder à une migration de Forefront UAG SP1 DirectAccess vers Windows Server 2012

Description du scénario

Dans ce scénario, un ordinateur exécutant Windows Server 2012 est configuré comme serveur d'accès à distance avec les paramètres recommandés, le VPN étant déjà installé et configuré. Si vous souhaitez configurer l'accès à distance avec des fonctionnalités d'entreprise comme un cluster à charge équilibrée, un déploiement multisite ou une authentification à double facteur, suivez le scénario décrit dans cette rubrique pour installer un serveur, puis configurez le scénario d'entreprise comme indiqué dans Déployer l'accès à distance dans une entreprise.

Dans ce scénario

Pour configurer un serveur d'accès à distance unique, plusieurs étapes de planification et de déploiement sont nécessaires.

Étapes de planification

La planification comporte les deux phases suivantes :

1. Planifier l'infrastructure d'accès à distance

   Au cours de cette phase, vous décrivez les étapes de planification requises pour configurer l'infrastructure réseau avant de commencer le déploiement de l'accès à distance. Cette phase comprend la planification de la topologie de réseau et de serveurs, des certificats, du DNS (Domain Name System), de la configuration d'Active Directory et des objets de stratégie de groupe, ainsi que du serveur d'emplacement réseau DirectAccess.

2. Planifier le déploiement de l'accès à distance

   Au cours de cette phase, vous décrivez les étapes de planification requises pour préparer le déploiement de l'accès à distance. Cette phase inclut la planification des ordinateurs clients d'accès à distance, des conditions requises d'authentification des serveurs et clients, ainsi que des serveurs d'infrastructure.

Étapes de déploiement

Le déploiement comporte les trois phases suivantes :

1. Configurer l'infrastructure d'accès à distance

   Au cours de cette phase, vous configurez le réseau et le routage, les paramètres de pare-feu (le cas échéant), les certificats, les serveurs DNS, Active Directory et les paramètres des objets de stratégie de groupe, ainsi que le serveur d'emplacement réseau DirectAccess.

2. Configurer les paramètres du serveur d'accès à distance

   Au cours de cette phase, vous configurez les ordinateurs clients d'accès à distance, le serveur d'accès à distance et les serveurs d'infrastructure.

3. Vérifier le déploiement

   Au cours de cette phase, vous vérifiez que le déploiement fonctionne comme prévu.

Cas pratiques

Le déploiement d’un serveur d’accès à distance individuel présente les caractéristiques suivantes :

• Options d'ergonomie

  Les ordinateurs clients gérés exécutant Windows 8 et Windows 7 peuvent être configurés comme des ordinateurs clients DirectAccess. Ces clients peuvent accéder aux ressources réseau internes via DirectAccess chaque fois qu'ils se trouvent sur Internet, sans avoir à se connecter à une connexion VPN. Les ordinateurs clients qui n'exécutent pas l'un de ces systèmes d'exploitation peuvent se connecter au réseau interne via un VPN. DirectAccess et VPN sont gérés dans la même console et avec le même jeu d’Assistants.

• Gestion facile

  Les ordinateurs clients DirectAccess qui ont accès à Internet peuvent être gérés à distance par des administrateurs d'accès à distance via DirectAccess, même si ces ordinateurs ne font pas partie du réseau interne de l'entreprise. Les ordinateurs clients qui ne répondent pas aux spécifications de l’entreprise peuvent être automatiquement mis à jour par les serveurs d’administration.

Fonctionnalités et rôles requis pour ce scénario

Le tableau suivant répertorie les fonctionnalités et rôles requis pour ce scénario :

Configuration matérielle requise

La configuration matérielle requise pour ce scénario comprend les éléments suivants :

Configuration requise du serveur 

• Un ordinateur qui présente la configuration matérielle requise pour Windows Server 2012.

• Sur le serveur, au moins une carte réseau doit être installée, activée et connectée au réseau interne. Quand deux cartes sont utilisées, la première doit être connectée au réseau interne de l’entreprise et la seconde doit être connectée au réseau externe (Internet).

• Si le protocole Teredo est requis pour la transition d’IPv4 vers IPv6, la carte externe du serveur nécessite deux adresses IPv4 publiques consécutives. L'Assistant Activation de DirectAccess n'active pas Teredo, même si deux adresses IP consécutives sont présentes. Pour activer Teredo, consultez Déployer un serveur DirectAccess unique avec des paramètres avancés. Si une seule adresse IP est disponible, seul le protocole IP-HTTPS peut être utilisé pour la transition.

• Au moins un contrôleur de domaine. Le serveur d’accès à distance et les clients DirectAccess doivent être membres d’un domaine.

• L'Assistant Activation de DirectAccess requiert des certificats pour IP-HTTPS et le serveur d'emplacement réseau. Si le VPN SSTP utilise déjà un certificat, celui-ci est réutilisé pour IP-HTTPS. Si le VPN SSTP n'est pas configuré, vous pouvez configurer un certificat pour IP-HTTPS ou utiliser un certificat auto-signé créé automatiquement. Pour le serveur d'emplacement réseau, vous pouvez configurer un certificat ou utiliser un certificat auto-signé créé automatiquement.

Configuration requise du client

• Un ordinateur client doit exécuter Windows 8 ou Windows 7.

  Notes

  Seuls les systèmes d’exploitation suivants peuvent être utilisés en tant que clients DirectAccess : Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Entreprise et Windows 7 Édition Intégrale.

Configuration requise en termes d'infrastructure et de serveurs d'administration

• Lors de la gestion à distance des ordinateurs clients DirectAccess, les clients initient des communications avec des serveurs d'administration tels que les contrôleurs de domaine, les serveurs de configuration System Center et les serveurs d'autorité HRA (Health Registration Authority) pour des services incluant les mises à jour Windows et d'antivirus, ainsi que la mise en conformité des clients de protection d'accès réseau (NAP). Les serveurs requis doivent être déployés préalablement au déploiement de l'accès à distance.

• Si l'accès à distance requiert la conformité de la protection d'accès réseau (NAP) pour les clients, les serveurs NPS (Network Policy Server) et l'autorité HRA (Health Registration Authority) doivent être déployés préalablement au déploiement de l'accès à distance.

• Un serveur DNS exécutant Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008 avec SP2 est requis.

Configuration logicielle requise

La configuration logicielle requise pour ce scénario comprend les éléments suivants :

Configuration requise du serveur

• Le serveur d’accès à distance doit être membre d’un domaine. Le serveur peut être déployé en périphérie du réseau interne ou derrière un pare-feu de périmètre ou un autre périphérique.

• Si le serveur d'accès à distance se trouve derrière un pare-feu de périmètre ou un périphérique de traduction d'adresses réseau (NAT), ce périphérique doit être configuré de manière à autoriser le trafic en direction et en provenance du serveur d'accès à distance.

• La personne qui déploie l'accès à distance sur le serveur doit disposer des autorisations d'administrateur local sur le serveur, ainsi que des autorisations d'utilisateur de domaine. L'administrateur doit également disposer des autorisations pour les objets de stratégie de groupe qui sont utilisés dans le déploiement de DirectAccess. L'utilisation des fonctionnalités qui limitent un déploiement de DirectAccess sur les ordinateurs portables uniquement nécessite de disposer des autorisations permettant de créer un filtre WMI sur le contrôleur de domaine.

Configuration requise pour les clients d'accès à distance

• Les clients DirectAccess doivent appartenir au domaine. Les domaines qui contiennent des clients peuvent appartenir à la même forêt que celle du serveur d'accès à distance ou ils peuvent avoir une relation d'approbation bidirectionnelle avec la forêt ou le domaine du serveur d'accès à distance.

• Un groupe de sécurité Active Directory est requis afin de contenir les ordinateurs qui seront configurés en tant que clients DirectAccess. Si vous ne spécifiez aucun groupe de sécurité lors de la configuration des paramètres des clients DirectAccess, l'objet de stratégie de groupe client est appliqué par défaut sur tous les ordinateurs portables (qui sont compatibles avec DirectAccess) inclus dans le groupe de sécurité Ordinateurs du domaine. Seuls les systèmes d’exploitation suivants peuvent être utilisés en tant que clients DirectAccess : Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Entreprise et Windows 7 Édition Intégrale.

  Notes

  Nous vous recommandons de créer un groupe de sécurité pour chaque domaine qui contient les ordinateurs qui seront configurés en tant que clients DirectAccess.

Voir aussi

Le tableau suivant fournit des liens vers des ressources supplémentaires.