Configuration d'un serveur d'accès distant avec le service RRAS dans Windows Server 2003

Paru le 17/09/2004

Ce guide pas à pas fournit des directives pour la configuration d'une infrastructure RRAS (Routing and Remote Access Services) destinée à prendre en charge les connexions par appels entrants d'accès distant.

Sur cette page

Introduction
Présentation
Configuration d'un serveur d'accès distant
Sécurisation des appels entrants d'accès distant à l'aide de stratégies
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

Pour prendre en charge des utilisateurs qui souhaitent accéder à votre réseau à partir d'emplacements distants, vous pouvez déployer un réseau distant et/ou un réseau privé virtuel (VPN, Virtual Private Network). L'accès réseau à distance permet aux utilisateurs distants d'appeler directement un serveur d'accès distant à l'aide d'une ligne téléphonique. Un réseau privé virtuel permet aux utilisateurs distants connectés à Internet d'établir une connexion avec un serveur VPN de votre réseau. Le Guide pas à pas pour la création d'une connexion réseau privé virtuel de site à site fournit des instructions supplémentaires sur le déploiement de réseaux privés virtuels. Ce guide décrit la procédure à suivre pour configurer une solution d'accès à distance.

Avant de choisir la solution la mieux adaptée à votre organisation, prenez en considération la rentabilité relative que représente chaque solution et évaluez sa pertinence par rapport aux besoins de votre organisation en matière de sécurité et de disponibilité. Vous devez également réfléchir à l'infrastructure réseau de l'intranet nécessaire à la prise en charge de la conception de votre serveur d'accès distant. Si la conception de l'infrastructure de support n'est pas appropriée, les clients d'accès à distance ne seront pas en mesure d'obtenir des adresses IP ni de résoudre des noms d'intranet, et les paquets ne pourront pas être transférés entre les clients d'accès à distance et les ressources intranet.

La méthode clé pour offrir une solution d'accès à distance fiable et sécurisée adaptée aux besoins de votre organisation consiste à planifier et tester soigneusement votre modèle d'accès à distance une fois que vous avez fait votre choix entre un réseau distant, un réseau privé virtuel ou une combinaison des deux. Bien que les procédures de déploiement d'un serveur VPN d'accès distant et d'un serveur d'accès distant soient différentes, votre solution d'accès à distance impliquera certainement des tâches communes à ces deux types de serveurs. La figure 1 illustre l'architecture de base d'une solution d'accès à distance. Les Services de certificats Microsoft et le Service d'authentification Internet (IAS, Internet Authentication Service) sont des composants facultatifs d'une infrastructure VPN ou d'accès à distance offrant des méthodes d'authentification étendues et une gestion centralisée des stratégies. Ces composants facultatifs ne sont pas traités dans ce guide pas à pas.

Figure 1.  Infrastructure d'accès à distance type

Utilisation d'un accès réseau à distance pour l'accès distant

Dans une solution d'accès réseau à distance, les utilisateurs distants appellent un serveur d'accès distant situé sur votre réseau. Il est évident que les lignes d'appel sont plus privées qu'une solution basée sur un réseau public tel qu'Internet. Toutefois, avec l'accès réseau à distance, votre organisation doit faire face à un investissement initial important ainsi qu'à des dépenses régulières qui interviendront tout au long du cycle de vie de cette solution. Ces dépenses sont les suivantes :

• Achat et installation de matériel  L'accès réseau à distance exige un investissement initial dans des modems ou autre matériel de communication, dans du matériel serveur et dans l'installation de lignes téléphoniques.

• Frais de téléphone mensuels  Chaque ligne téléphonique utilisée pour l'accès à distance augmente le coût de l'accès réseau à distance. Si vous utilisez des numéros gratuits ou la fonction de rappel pour payer les appels longue distance de vos utilisateurs, ces coûts peuvent s'avérer élevés. La plupart des entreprises peuvent négocier un tarif dégressif sur le volume d'appels longue distance, plutôt que rembourser chaque utilisateur à des tarifs résidentiels plus élevés.

• Support technique  Le nombre d'utilisateurs d'accès distant et la complexité de votre architecture d'accès à distance ont une influence significative sur les coûts du support technique pour l'accès réseau à distance. Ces coûts concernent les ingénieurs de support réseau, l'équipement de test, la formation et le personnel du service d'assistance pour le support et la gestion du déploiement. Ils représentent la part la plus importante des investissements de votre organisation.

Conditions préalables

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• Guide pas à pas pour la configuration de contrôleurs de domaine supplémentaires

• Guide pas à pas pour la gestion du service Active Directory

• Guide pas à pas pour la création d'une connexion réseau privé virtuel de site à site

Conditions

• Pour tester avec succès un serveur d'accès distant, le serveur et le client d'accès à distance doivent être équipés d'un modem, et vous devez disposer d'une ligne téléphonique libre.

• Si vous n'avez pas de modems physiques pour tester votre serveur d'accès distant, vous pouvez suivre les procédures décrites dans ce guide avec l'installation forcée d'un modem standard.

  Pour installer un modem générique qui sera utilisé avec ce guide pas à pas

  1. Sur HQ-CON-DC-01, cliquez sur le bouton Démarrer, sur Panneau de configuration, puis sur Ajout de nouveau matériel.

  2. Cliquez sur Suivant, sur Oui, j'ai déjà connecté le matériel, puis sur Suivant.

  3. Sous Matériel installé, faites défiler la liste jusqu'en bas, cliquez sur Ajouter un nouveau périphérique matériel, puis sur Suivant.

  4. Cliquez sur Installer le matériel que je sélectionne manuellement dans la liste, puis sur Suivant.

  5. Cliquez sur Modems, puis sur Suivant.

  6. Activez la case à cocher Ne pas détecter mon modem. Proposer la sélection dans une liste, puis cliquez sur Suivant.

  7. Dans le volet de résultats Modèles, double-cliquez sur Modem standard 56000 bits/s.

  8. Cliquez sur Tous les ports, puis sur Suivant.

  9. Cliquez sur Terminer.

Configuration d'un serveur d'accès distant

Avant de configurer le serveur en tant que serveur d'accès distant, vous devez activer le service Routage et accès à distance (RRAS, Routing and Remote Access Service) qui est installé automatiquement avec Windows Server 2003. La procédure d'activation est décrite dans les conditions préalables du guide suivant : Guide pas à pas pour la création d'une connexion réseau privé virtuel de site à site. Pour plus d'informations sur la configuration du service RRAS, consultez la page Web « Remote access/VPN server role: Configuring a remote access/VPN server  » dans le Centre d'aide et de support de Windows Server 2003.

Une fois le routage et l'accès à distance activés, configurez les propriétés d'un serveur d'accès distant à l'aide du composant logiciel enfichable Routage et accès distant.

Pour démarrer le composant logiciel enfichable Routage et accès distant sur HQ-CON-DC-01

1. Cliquez sur le bouton Démarrer, pointez sur Programmes, sélectionnez Outils d'administration, puis cliquez sur Routage et accès à distance.

Pour vérifier que HQ-CON-DC-01 est configuré pour l'accès à distance

1. Dans la console Routage et accès à distance, cliquez avec le bouton droit sur HQ-CON-DC-01, puis cliquez sur Propriétés.

2. Sous l'onglet Général de la boîte de dialogue Propriétés de HQ-CON-DC-01, vérifiez que la case à cocher Serveur d'accès distant est activée, comme indiqué dans la figure 2.

   

   Figure 2.  Configuration du serveur d'accès distant

3. Dans la boîte de dialogue Propriétés de HQ-CON-DC-01, cliquez sur OK.

Configuration des ports d'appels entrants pour l'accès à distance

1. Dans la console Routage et accès à distance, cliquez sur le signe plus (+) en regard de HQ-CON-DC-01 pour développer l'arborescence.

2. Cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.

3. Dans la fenêtre Propriétés de Ports, sous Périphériques, sélectionnez le modem à utiliser pour les connexions par appels entrants d'accès distant. Dans la figure 3, un modem standard 56000 bits/s est sélectionné.

   

   Figure 3.  Sélection d'un modem

4. Cliquez sur Configurer.

5. Dans la boîte de dialogue Configurer le périphérique, sélectionnez Connexions d'accès distant (uniquement entrantes), tapez le Numéro de téléphone pour ce périphérique qui sera utilisé par les utilisateurs distants pour la connexion, puis cliquez sur OK.

   Remarque :  Si plusieurs modems sont utilisés pour les connexions d'accès à distance, répétez les étapes 3 à 5 pour chaque périphérique.

6. Cliquez sur OK pour terminer.

Sécurisation des appels entrants d'accès distant à l'aide de stratégies

Pour le service RRAS, dans Windows Server 2003, l'octroi d'autorisations d'accès au réseau est basé sur les propriétés des appels entrants du compte d'utilisateur et les stratégies d'accès distant.

Les stratégies d'accès distant sont un ensemble de règles ordonnées qui définissent la façon dont les connexions sont autorisées ou rejetées. Chaque règle comporte une ou plusieurs conditions, un ensemble de paramètres de profil et un paramètre d'autorisation d'accès distant. Lorsqu'une connexion est autorisée, le profil de la stratégie d'accès distant désigne un ensemble de restrictions applicables à la connexion. Les propriétés d'appels entrants du compte d'utilisateur fournissent également un ensemble de restrictions. Le cas échéant, les restrictions sur la connexion définies par le compte d'utilisateur remplacent celles définies par le profil de la stratégie d'accès distant.

Deux méthodes permettent d'utiliser les stratégies d'accès distant pour accorder une autorisation.

• Par utilisateur  Si vous gérez les autorisations par utilisateur, définissez l'autorisation d'accès distant du compte d'utilisateur ou d'ordinateur sur Autoriser l'accès ou Refuser l'accès et, éventuellement, créez plusieurs stratégies d'accès distant basées sur différents types de connexions. Vous pouvez par exemple définir une stratégie d'accès distant pour les connexions d'accès à distance et une autre portant sur les connexions sans fil. La gestion des autorisations par utilisateur est recommandée seulement lorsque le nombre de comptes d'utilisateurs ou d'ordinateurs à gérer est réduit.

• Par groupe  Si vous gérez les autorisations par groupe, définissez les autorisations d'accès distant du compte d'utilisateur sur Contrôler l'accès via la Stratégie d'accès distant et créez des stratégies d'accès distant basées sur différents types de connexions et sur l'appartenance à des groupes. Par exemple, vous pouvez définir une stratégie d'accès distant pour les connexions d'accès à distance s'appliquant aux employés de l'entreprise (les membres du groupe Employés) et une autre s'appliquant aux sous-traitants (les membres du groupe Sous-traitants).

Les conditions de la stratégie d'accès distant font référence à un ou plusieurs attributs qui sont comparés aux paramètres utilisés pour la tentative de connexion. S'il existe plusieurs conditions, elles doivent toutes concorder avec les paramètres de la tentative de connexion pour que cette dernière corresponde à la stratégie. Si toutes les conditions d'une stratégie d'accès distant sont remplies, l'autorisation d'accès distant peut être accordée ou refusée. Vous pouvez utiliser l'option Accorder l'autorisation d'accès distant ou Refuser l'autorisation d'accès distant pour définir l'autorisation d'accès distant pour une stratégie.

Dans les sections suivantes, les stratégies d'accès distant pour les connexions d'appel entrant seront configurées pour accorder l'autorisation par groupe.

Pour préparer les stratégies d'accès distant afin qu'elles accordent l'autorisation d'appel entrant par groupe

1. Sur le serveur HQ-CON-DC-01, ouvrez la console Utilisateurs et ordinateurs Active Directory.

2. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur le signe plus (+) en regard de contoso.com pour développer l'arborescence.

3. Sous l'arborescence contoso.com, cliquez sur l'unité d'organisation Comptes. Dans le volet de résultats, double-cliquez sur Production, puis sur Clair Hector.

4. Dans la fenêtre Propriétés de Clair Hector, cliquez sur l'onglet Appel entrant.

5. Dans la section Autorisations d'accès distant, vérifiez que Contrôler l'accès via la Stratégie d'accès distant est sélectionné, puis cliquez sur OK.

6. Sous l'arborescence contoso.com, cliquez sur l'unité d'organisation Groupes, cliquez avec le bouton droit sur l'unité d'organisation Groupes, sélectionnez Nouveau, puis cliquez sur Groupe.

7. Dans la fenêtre Nouvel objet – Groupe, tapez Appels entrants d'accès distant dans Nom du groupe, puis cliquez sur OK.

8. Dans le volet de résultats, double-cliquez sur Appels entrants d'accès distant. Dans la fenêtre Propriétés de Appels entrants d'accès distant, cliquez sur l'onglet Membres. Cliquez sur Ajouter, tapez Clair Hector, puis cliquez deux fois sur OK.

   Remarque :  Si vous souhaitez ajouter d'autres utilisateurs au groupe de sécurité Appels entrants d'accès distant, répétez l'étape 8 pour chaque utilisateur Contoso.

9. Fermez la console Utilisateurs et ordinateurs Active Directory.

Pour configurer une stratégie d'accès distant afin qu'elle accorde l'autorisation par groupe

1. Dans la console Routage et accès à distance, cliquez sur Stratégies d'accès distant.

2. Dans le volet de résultats, double-cliquez sur Connexions au serveur d'accès distant et de routage Microsoft.

3. Sous Conditions de la stratégie, vérifiez qu'il existe une condition de stratégie pour Windows-Groups correspond à "CONTOSO\VPN_Agence", puis cliquez sur OK.

   Remarque :  Cette stratégie a été définie précédemment dans le Guide pas à pas pour la création d'une connexion réseau privé virtuel de site à site.

4. Dans le volet de résultats, cliquez avec le bouton droit sur Connexions au serveur d'accès distant et de routage Microsoft, cliquez sur Renommer, tapez VPN agence, puis appuyez sur Entrée.

5. Dans le volet de résultats, cliquez avec le bouton droit sur Connexions à d'autres serveurs d'accès, cliquez sur Renommer, tapez Appels entrants d'accès distant, puis appuyez sur Entrée. À la fin de la procédure, les stratégies d'accès distant doivent s'afficher comme indiqué dans la figure 4.

   

   Figure 4.  Stratégies d'accès distant

6. Dans le volet de résultats, double-cliquez sur Appels entrants d'accès distant puis, sous Conditions de la stratégie, cliquez sur Ajouter.

7. Double-cliquez sur Windows-Groups, cliquez sur Ajouter, tapez Appels entrants d'accès distant, puis cliquez deux fois sur OK.

8. Sous Conditions de la stratégie, cliquez sur Ajouter, double-cliquez sur ID de la station appelée, puis tapez le Numéro de téléphone pour ce périphérique qui sera utilisé par les utilisateurs distants pour la connexion.

9. Une fois la procédure terminée, cliquez sur OK. Les Conditions de la stratégie doivent s'afficher comme indiqué dans la figure 5.

   

   Figure 5.  Conditions de la stratégie

   Remarque :  Les conditions de la stratégie sont extrêmement versatiles, permettant ainsi un contrôle total sur les connexions entrantes. Dans l'exemple précédent, lorsque vous définissez l'ID de la station appelée, cette stratégie est directement associée à un périphérique entrant. Outre les contraintes de sécurité que représente cette association, d'autres niveaux de granularité peuvent être atteints. Par exemple, un second modem configuré avec l'ID de la station appelée peut être réservé aux appels entrants de la Direction. Cela implique la mise en place d'un groupe de sécurité Appels entrants de la Direction et la définition des conditions de la stratégie de l'D de la station appelée.

10. Au bas de la fenêtre Propriétés, cliquez sur Accorder l'autorisation d'accès distant, puis sur OK.

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :

• Kit d'administration de Microsoft Connection Manager (CMAK) 

• Déploiement de serveurs VPN et d'accès réseau à distance 

• Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web