Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Chapitre 8 : Gestion de la solution de réseau local sans fil sécurisée
Dernière mise à jour le 02 avril 2004
Afficher toutes les rubriques d'aide consacrées à la sécurité .gif "site en anglais")
Sur cette page
Introduction
Présentation
Prérequis pour ce chapitre
Tâches de maintenance essentielles
Utilisation de l'infrastructure du réseau local sans fil
Dépannage
Résumé
Références
Introduction
Ce chapitre traite des procédures opérationnelles liées à la gestion de la solution de Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe. Il contient des indications sur les principales tâches opérationnelles et de support que vous devez exécuter pour gérer l'infrastructure de sécurité d'un réseau local sans fil, notamment les serveurs IAS, l'autorité de certification, les points d'accès sans fil (AP) et les clients. En revanche, les questions de gestion plus générique d'un réseau ou qui ne sont pas directement liées aux services de sécurité (par exemple, l'analyse et l'optimisation du trafic réseau) ne sont pas abordées.
Présentation
Voici les grandes sections de ce chapitre :
Tâches de maintenance essentielles : vous trouverez dans cette section la liste des principales tâches à exécuter pour configurer le système de gestion (par exemple, la configuration des travaux de sauvegarde) ainsi que la liste des tâches de routine à exécuter pour une bonne gestion du système (par exemple, les tâches de gestion interne hebdomadaires).
Utilisation de l'infrastructure du réseau local sans fil : il s'agit surtout d'une section de référence qui détaille les différents types de tâches à exécuter pour gérer l'infrastructure de sécurité d'un réseau local sans fil. Les sous-sections contiennent des informations sur les tâches opérationnelles standard, l'implémentation des modifications, les tâches de support et les tâches d'optimisation.
Dépannage : cette section contient les procédures et les diagrammes pouvant vous aider à résoudre les incidents susceptibles d'entraver le bon fonctionnement votre infrastructure de réseau local sans fil. Elle décrit également les outils et les procédures de dépannage qui vous seront utiles pour la journalisation des différents composants.
Références : cette section répertorie les sources d'informations supplémentaires auxquelles le texte fait référence.
Prérequis pour ce chapitre
Vous devez bien connaître les concepts d'administration de Microsoft® Windows® Server™ 2003 ou Windows® 2000 Server. Les domaines suivants sont particulièrement importants :
le fonctionnement de base et la maintenance de Microsoft Windows Server 2003, notamment l'utilisation des outils Observateur d'événements, Gestion de l'ordinateur et NTBackup ;
IAS ;
services de certificats ;
service d'annuaire Microsoft Active Directory® (y compris les outils de gestion et de structure Active Directory) ; gestion des utilisateurs, groupes et autres objets Active Directory et utilisation de Stratégie de groupe ;
concepts de sécurité système Windows, comme les utilisateurs, les groupes, l'audit, les listes de contrôle d'accès, l'utilisation des modèles de sécurité et leur application à l'aide des outils de ligne de commande ou Stratégie de groupe ;
les concepts de réseau général et de réseau local sans fil ;
compréhension de Windows Script Host et connaissances en matière de Microsoft VBScript (Visual Basic® Scripting Edition) ; ces connaissances vous aideront à comprendre et utiliser les scripts fournis avec la solution.
En outre, il est nécessaire que vous ayez lu les chapitres suivants et bien compris comment la solution est structurée et s'articule :
Chapitre 2 « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » ;
Chapitre 3 « Préparation de votre environnement » ;
Chapitre 4 « Création de l'autorité de certification réseau » ;
Chapitre 5 « Création de l'infrastructure de sécurité des réseaux locaux sans fil » ;
Chapitre 6 « Configuration des clients d'un réseau local sans fil ».
Tâches de maintenance essentielles
Cette section dresse la liste des tâches clés à accomplir pour une exploitation réussie de l'infrastructure du réseau local sans fil. Ces tâches se divisent en deux catégories :
les tâches de configuration initiales ;
les tâches régulières de maintenance.
Vous trouverez également dans cette section la liste des outils et technologies utilisés dans les procédures de ce chapitre.
Tâches de configuration initiales
Le tableau suivant présente les tâches à accomplir pour mettre en service l'infrastructure de sécurité du réseau local sans fil.
Tableau 8.1 : Tâches de configuration initiales
Nom de la tâche |
Section |
|---|---|
Configuration de la sauvegarde IAS |
Tâches opérationnelles |
Configuration des types d'alerte |
Surveillance |
Activation de la surveillance d'IAS |
Surveillance |
Activation de la surveillance de l'autorité de certification |
Surveillance |
Tâches de maintenance
Le tableau suivant présente les tâches à accomplir régulièrement pour assurer un bon fonctionnement de l'infrastructure de sécurité du réseau local. Vous pouvez utiliser ce tableau pour planifier les ressources requises et le calendrier opérationnel d'administration du système.
Tableau 8.2 : Tâches de maintenance
Nom de la tâche |
Fréquence |
Section |
|---|---|---|
Test des sauvegardes |
6 mois |
Tâches opérationnelles |
Outils et technologies requis
Le tableau suivant dresse une liste des outils ou technologies requis dans les procédures décrites dans ce chapitre.
Tableau 8.3 : Technologie requise
Nom de l'élément |
Source |
|---|---|
Console de gestion (MMC) pour utilisateurs et ordinateurs Active Directory |
Windows Server 2003 |
MMC pour autorité de certification |
Windows Server 2003 |
Certutil.exe |
Windows Server 2003 |
DCDiag.exe |
Outils de support Windows Server 2003 |
DSquery.exe |
Windows Server 2003 |
Observateur d'événements |
Windows Server 2003 |
Console de gestion des stratégies de groupes (GPMC) |
Téléchargement Web sur Microsoft.com |
Outils de réseau sans fil MSS |
Scripts installés dans le cadre de cette solution |
Netdiag.exe |
Outils de support Windows Server 2003 |
Analyseur de performances |
Windows Server 2003 |
PKI Health |
Kit de ressources de Windows Server 2003 |
Support amovible pour la sauvegarde de l'autorité racine |
CD-RW ou bande |
SchTasks.exe |
Windows Server 2003 |
Éditeur de texte |
Bloc-notes – Windows Server 2003 |
Windows Backup |
Windows Server 2003 |
Service Planificateur de tâches de Windows |
Windows Server 2003 |
Tableau 8.4 : Technologie recommandée
Nom de l'élément |
Source |
|---|---|
Infrastructure de messagerie électronique – pour les alertes opérationnelles |
Serveur et client SMTP/POP3/IMAP, tel que Microsoft Exchange Server et Microsoft Outlook® |
Operational Alert Console |
Microsoft Operations Manager ou un autre système de surveillance de services |
Distribution de mise à jour du système d'exploitation |
SMS (Systems Management Server) Microsoft ou SUS (Software Update Services) Microsoft |
Utilisation de l'infrastructure du réseau local sans fil
Cette section contient les principales tâches à exécuter pour gérer l'infrastructure de sécurité du réseau local sans fil.
Tâches opérationnelles
Les tâches opérationnelles comprennent des travaux à exécuter régulièrement pour maintenir un bon fonctionnement de l'infrastructure du réseau local sans fil.
Sauvegarde d'IAS et de l'autorité de certification
Vous devez sauvegarder à intervalles réguliers les serveurs IAS, notamment le serveur IAS exécutant l'autorité de certification. Une procédure spéciale est requise pour l'exportation des paramètres IAS dans un fichier, qui peut être ensuite sauvegardé par le processus de sauvegarde de fichier normal. Vous pouvez sauvegarder les services de certificats à l'aide d'une sauvegarde de l'état du système Windows qui est disponible dans l'outil de sauvegarde Windows. Vous devez établir des procédures de sauvegarde adéquates sur tous les serveurs exécutant IAS.
Les deux procédures suivantes ne sont pas mutuellement exclusives ; vous devez configurer à la fois une sauvegarde IAS et une sauvegarde de serveur.
Configuration de la sauvegarde IAS
Vous devez créer un dossier avec des autorisations restreintes dans lequel exporter toutes les nuits la configuration IAS. Vous devez également créer un travail planifié qui exécutera la sauvegarde de la configuration IAS toutes les nuits (le script de sauvegarde n'exige pas l'arrêt d'IAS pendant l'opération de sauvegarde). Si la sauvegarde aboutit, un événement est consigné dans le journal des applications Windows. Un événement d'erreur est consigné en cas d'échec de la sauvegarde.
Attention : les fichiers de sauvegarde IAS contiennent tous les secrets du client RADIUS. Comme il s'agit d'informations très confidentielles, veillez à stocker ces données de sauvegarde en lieu sûr.
Pour configurer la sauvegarde IAS
Ouvrez une commande d'environnement à l'aide du raccourci MSS WLAN Tools et créez un dossier de sauvegarde des paramètres IAS à l'aide de la commande suivante :
md c:\IASBackup
(La configuration IAS occupe généralement moins de 100 Ko et peut être sauvegardée sur l'unité système, comme indiqué.)
Utilisez la commande suivante pour définir les autorisations sur le dossier de façon à ce que seuls les administrateurs et les opérateurs de sauvegarde puissent lire et modifier son contenu :
cacls c:\IASBackup /G system:F administrators:F "Backup Operators":C
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne.)
Testez la sauvegarde en lançant la commande suivante :
"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd" BackupIAS /path:C:\IASBackup
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne. « Microsoft WLAN-PEAP Tools » contient deux espaces : un après « Microsoft » et l'autre après « WLAN-PEAP ».)
Remarque : en cas de réussite de la sauvegarde, un événement est consigné dans le journal des applications Windows et à l'écran ; en cas d'échec, des événements d'erreur sont consignés.
Créez une tâche planifiée qui exécute chaque nuit l'exportation de la configuration IAS. Par exemple, la commande suivante planifie l'exécution du travail toutes les nuits à 22:00 heures :
SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup"/TR "\"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" BackupIAS /path:C:\IASBackup" /ST 22:00
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne. « Microsoft WLAN-PEAP Tools » contient deux espaces : un après « Microsoft » et l'autre après « WLAN-PEAP ».)
Remarque : encadrer de barres obliques inversées (\) le chemin du fichier du script msstools.cmd garantit que les guillemets (") ne sont pas interprétés et supprimés de la commande par la commande d'environnement Windows. La commande qui est transmise et enregistrée par le planificateur de tâches est identique à celle qui est présentée dans l'étape 3.
Sauvegardes serveur
Après avoir défini une tâche planifiée pour sauvegarder sur disque la configuration IAS, vous devez également configurer la sauvegarde régulière de l'état du système du serveur et des fichiers de configuration IAS exportés sur un support amovible ou un emplacement du réseau. La méthode la plus simple consiste à utiliser l'outil de sauvegarde Windows intégré. Si vous utilisez un autre système de sauvegarde, vous devez déterminer s'il inclut la fonctionnalité équivalente à la sauvegarde de l'état du système Windows (reportez-vous par exemple à la documentation de votre système de sauvegarde). Une sauvegarde de l'état du système (ou processus équivalent) est essentielle pour sauvegarder correctement les bases de données de certificats et les clés d'Active Directory et des services de certificats.
Si le logiciel de sauvegarde dont vous disposez ne possède pas la fonctionnalité de sauvegarde de l'état système du Windows, vous pouvez procéder comme suit :
Configurez la sauvegarde Windows de façon à exécuter une sauvegarde de l'état du système sur un fichier du serveur (vous devez vérifier que vous disposez de suffisamment d'espace disque car une sauvegarde de ce type occupe au moins 500 Mo). Pour plus de détails sur la façon de procéder, reportez-vous à l'aide en ligne de la sauvegarde Windows.
Configurez votre logiciel de sauvegarde de façon à copier le fichier de sauvegarde de l'état du système ainsi que le fichier de sauvegarde IAS décrit dans la procédure précédente.
Pour garantir des sauvegardes sécurisées et cohérentes, procédez comme suit :
Planifiez les différentes opérations de sauvegarde pour qu'elles n'empiètent pas les unes sur les autres (sinon, les données de sauvegarde risquent d'être corrompues).
Attendez au moins 10 minutes après le démarrage de la sauvegarde IAS pour lancer la sauvegarde du serveur et de l'état du système.
Si vous exécutez des sauvegardes de l'état du système et du serveur indépendantes l'une de l'autre, attendez au moins une heure après le démarrage de la sauvegarde de l'état du système pour lancer celle du fichier du serveur.
Enregistrez toujours une copie récente des données de sauvegarde à un emplacement physique différent de celui du serveur sauvegardé. Ceci vous permettra de restaurer le serveur au cas où tout l'équipement informatique du site est détruit ou devient inaccessible.
Attention : ces données de sauvegarde sont très sensibles car elles contiennent les données RADIUS confidentielles relatives à tous les points d'accès du serveur, toutes les informations de clés privées pour l'autorité de certification et la base de données Active Directory. Vous devez transporter et stocker de façon sécurisée les supports de sauvegarde car un accès non autorisé aux données correspondantes risque de compromettre la sécurité de toute l'organisation.
Test des sauvegardes
Pour tester les sauvegardes système de façon adéquate, vous devez les restaurer sur un serveur test et vérifier que le serveur restauré fonctionne comme il convient. Vous devez restaurer la sauvegarde de l'état du système sur un système ayant une structure de disque identique. Par exemple, Windows doit être installé dans le même chemin de répertoire sur le serveur restauré que sur le système sauvegardé, et la structure de l'unité de stockage des fichiers Windows (par exemple, les fichiers d'échange) doit être identique pour les deux serveurs.
Important : pour essayer d'éviter les conflits de nom et d'adresse IP entre le serveur test restauré et le serveur d'origine, laissez le serveur test hors ligne au démarrage de la restauration de l'état du système.
Pour restaurer le serveur
Préparez un serveur de restauration sur lequel restaurer les données sauvegardées. Sur le serveur de restauration, vous devez utiliser la même édition de Windows Server 2003 que sur le serveur sauvegardé. (Vous devez également installer les scripts de la solution sur ce serveur. Pour plus d'informations, reportez-vous à la section « Installation des outils de la solution » du chapitre 3, « Préparation de votre environnement »).
Si vous utilisez une sauvegarde de l'état du système indépendante de celle du fichier, ayez recours à votre logiciel de sauvegarde pour restaurer sur le serveur le fichier de sauvegarde de l'état du système et celui des paramètres IAS à partir du support de sauvegarde. Il convient de restaurer les paramètres IAS dans le même chemin : C:\IASBackup.
Lancez l'utilitaire Windows Backup et sélectionnez le fichier de sauvegarde de l'état du système restauré. Vous devez être membre d'un groupe possédant des droits de sauvegarde et de restauration sur l'ordinateur (par exemple, le groupe Opérateurs de sauvegarde ou Administrateurs).
Cliquez sur Restaurer.
Redémarrez le système.
Vérifiez que tout fonctionne comme prévu après le redémarrage et qu'Active Directory et Certificate Services démarrent sans erreur (vous devez vous attendre à voir quelques erreurs dans les journaux d'événements puisque le serveur n'est pas connecté au réseau).
Utilisez le raccourci MSS WLAN Tools pour ouvrir une commande d'environnement. Restaurez la configuration IAS à l'aide de la commande suivante :
MSSTools RestoreIAS /path:C:\IASBackup
Vérifiez que les paramètres IAS ont été restaurés en ouvrant la console de gestion IAS et en vérifiant les clients RADIUS et les dossiers de stratégies d'accès distant.
Surveillance
Cette section décrit la surveillance des composants IAS et de l'autorité de certification de l'infrastructure de sécurité du réseau local sans fil. Elle n'inclut aucune indication sur la surveillance des points d'accès sans fil ou des autres périphériques réseau, ni de conseil d'ordre général sur la surveillance des serveurs Windows. Vous trouverez des informations sur la surveillance des serveurs Windows dans la section « Références » à la fin de ce chapitre.
La plupart des procédures de cette section utilisent des scripts de surveillance automatisés fournis avec la solution. Si ces scripts détectent une défaillance, une alerte est déclenchée, et dans quelques cas, une tentative de restauration est lancée.
Configuration des types d'alerte
Toute alerte émanant des scripts de surveillance peut être envoyée au journal des applications Windows ou/et à un ou plusieurs destinataires de messagerie électronique. Avant d'activer les outils de surveillance, vous devez spécifier les types d'alerte de votre choix. En outre, si vous avez opté pour un envoi d'alertes par messagerie, vous devez fournir l'adresse de messagerie des destinataires voulus ainsi que le nom du serveur de messagerie voulu.
Pour spécifier ces paramètres, vous devez éditer le fichier constants.vbs. Les sections intéressantes de ce fichier sont présentées ici, avec les éléments susceptibles d'être modifiés en italiques :
'Paramètres d'alerte
CONST ALERT_EMAIL_ENABLED = FALSE 'définir sur activer/désactiver e-mail
CONST ALERT_EVTLOG_ENABLED = TRUE 'définir sur activer/désactiver entrées du journal des événements
'définir sur liste de destinataires séparée par des virgules pour obtenir les alertes e-mail
CONST ALERT_EMAIL_RECIPIENTS = "Admin@woodgrovebank.com,Ops@woodgrovebank.com"
'serveur SMTP à utiliser (utiliser nom DNS ou adresse IP)
CONST ALERT_EMAIL_SMTP = "mail.woodgrovebank.com"
Surveillance d'IAS
IAS enregistre de nombreux types d'événements dans le journal système Windows, par exemple, les notifications de début et de fin de service (avec les erreurs ou avertissements associés) et les notifications de tentative d'authentification. (Les entrées du journal des requêtes d'authentification sont décrites ultérieurement en détail dans la section « Dépannage » de ce chapitre.)
Activation de la surveillance d'IAS
La solution contient un script simple qui surveille la réactivité d'IAS. Le script vérifie si des processus IAS sont en cours. Si tel est le cas, il essaie d'interroger IAS à l'aide de l'interface Objets Server Data. En cas d'échec d'un de ces contrôles, le script émet une alerte.
Remarque : le script de surveillance ne recherche pas une authentification RADIUS réussie – il vérifie uniquement la réactivité globale du processus IAS. Pour vérifier les opérations RADIUS de bout en bout, vous avez besoin d'un client RADIUS qui émule les AP sans fil prenant le relais de la requête client du réseau local sans fil.
La procédure suivante explique comment configurer le script de surveillance pour qu'il s'exécute en tant que tâche planifiée de façon à vous alerter automatiquement en cas d'arrêt de réponse d'IAS. Toutefois, comme le script s'exécute sur le serveur lui-même, il ne vous envoie pas d'alerte si l'ensemble du serveur est en panne. Vous devez donc également surveiller vos serveurs pour vérifier leur bon fonctionnement. Vous devez exécuter la procédure suivante pour configurer le script comme une tâche planifiée sur chaque serveur.
Chaque fois qu'une erreur est détectée, une alerte est envoyée par messagerie électronique (si ce type d'alerte a été configuré) et un événement est consigné dans le journal des applications (voir le tableau de la section suivante pour plus de détails sur les types d'événement consignés). Contrairement au script de surveillance de l'autorité de certification, aucune tentative de correction des incidents n'est effectuée par redémarrage des IAS. Comme le service IAS, contrairement à une autorité de certification, est nécessaire en continu pour authentifier les clients du réseau local sans fil, autoriser le script de surveillance à redémarrer systématiquement IAS peut susciter des incidents plutôt que les résoudre. Il vaut mieux que vous surveillez les alertes générées par le script et que vous effectuiez votre propre diagnostic de la cause de l'alerte avant d'essayer de résoudre manuellement l'incident.
Pour configurer la surveillance d'IAS
Ouvrez une commande d'environnement à l'aide du raccourci MSS WLAN Tools.
Lancez la commande suivante pour planifier l'exécution du script toutes les heures à partir d'1:30:00 heure du matin. (Le script s'exécute 30 minutes après l'heure pour être décalé par rapport au travail de sauvegarde IAS).
SCHTASKS /Create /RU system /SC Hourly /TN "IAS Check"/TR "\"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" CheckIAS" /ST 01:30
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne. « Microsoft WLAN-PEAP Tools » contient deux espaces : un après « Microsoft » et l'autre après « WLAN-PEAP ».)
Remarque : encadrer de barres obliques inversées (\) le chemin du fichier du script msstools.cmd garantit que les guillemets (") ne sont pas interprétés et supprimés de la commande par la commande d'environnement Windows. L'utilisation de la barre oblique inversée (\) avant les guillemets (") garantit que la commande est transmise et stockée par le planificateur de tâches comme indiqué dans l'étape 2.
Événements IAS consignés par les scripts MSS
Le script de surveillance et le script de sauvegarde IAS consignent les types d'événement suivants dans le journal des événements.
Tableau 8.5 : Événements IAS renvoyés par les scripts des outils IAS dans cette solution
Événement IAS |
Signification |
Catégorie d'événement |
Source d'événement |
ID d'événement |
|---|---|---|---|---|
IAS Backup OK |
La sauvegarde de la configuration IAS sur fichier a réussi. |
Information |
Opérations IAS |
210 |
IAS Invalid Backup Path |
La sauvegarde a échoué suite à la spécification d'un chemin de destination non valide. |
Erreur |
Opérations IAS |
211 |
IAS No Access to Backup Path |
La sauvegarde a échoué car il était impossible de consigner les fichiers de sauvegarde dans le chemin de destination spécifié. |
Erreur |
Opérations IAS |
212 |
IAS Restore OK |
Paramètres IAS restaurés avec succès à partir de la configuration sauvegardée. |
Information |
Opérations IAS |
220 |
IAS Restore Failed |
Échec de la restauration des paramètres IAS. |
Avertissement |
Opérations IAS |
221 |
IAS Policy Query Failed |
Impossible de contacter IAS à partir de l'interface Objets Server Data. Il est possible qu'IAS ne soit pas opérationnel. |
Erreur |
Opérations IAS |
230 |
IAS No Policies Detected |
IAS ne contient pas de stratégies d'accès à distance. Cet incident ne doit jamais survenir sur un serveur IAS normalement configuré et indique probablement un incident IAS ou de réseau. |
Erreur |
Opérations IAS |
231 |
IAS Not Installed |
IAS n'est pas installé sur l'ordinateur. |
Erreur |
Opérations IAS |
232 |
IAS Had Stopped |
Le service IAS n'était pas en cours mais a démarré avec succès. |
Avertissement |
Opérations IAS |
233 |
IAS Not Running |
La tentative de démarrage du service IAS a échoué. |
Erreur |
Opérations IAS |
234 |
Surveillance de l'autorité de certification
L'autorité de certification nécessite relativement peu d'attention en dehors de la surveillance de l'intégrité générale du serveur et de l'exécution des sauvegardes appropriées. Dans cette solution, l'autorité de certification n'est requise que pour les tâches plutôt rares d'émission de certificats sur de nouveaux serveurs IAS et pour le renouvellement annuel des certificats existants. L'autorité de certification ne constitue donc pas un service critique.
L'autorité de certification publie également la liste des certificats ayant été refusés par l'administrateur. Cette liste, appelée liste de révocation de certificats (CRL), est publiée toutes les semaines dans Active Directory. Cette autorité de certification n'émettant qu'un nombre limité de certificats, la CRL sera également de petite taille et sera généralement vide. En dépit de ces restrictions, il est essentiel que la CRL soit publiée dans Active Directory en temps utile de façon à ce que les applications puissent vérifier le statut de révocation des certificats émis par l'autorité de certification. Par exemple, l'autorité de certification elle-même doit vérifier le statut de vérification de tout certificat qu'elle émet avant de l'envoyer au demandeur de certificat.
Le script de surveillance de l'autorité de certification vérifie que cette dernière répond aux demandes et qu'une CRL valide est disponible dans Active Directory. Si l'une ou l'autre de ces vérifications échoue, le script essaie de redémarrer l'autorité de certification. En cas d'échec d'une CRL, il essaie également d'en publier une autre. En cas de détection d'une défaillance même après ces tentatives de récupération, une alerte est générée, envoyée par message électronique au compte de messagerie configuré et consignée dans le journal des événements.
Activation de la surveillance de l'autorité de certification
La procédure suivante explique comment configurer le script de surveillance pour qu'il s'exécute en tant que tâche planifiée de façon à ce qu'en cas d'erreur, il émette automatiquement une alerte et tente une récupération. Vous ne devez exécuter ce script que sur le serveur de l'autorité de certification.
Pour configurer le script de surveillance de l'autorité de certification
Ouvrez une commande d'environnement à l'aide du raccourci MSS WLAN Tools.
Lancez la commande suivante pour planifier l'exécution du script toutes les heures à partir d'01:20:00 heure du matin. (Le script s'exécute 20 minutes après l'heure pour être décalé des autres tâches planifiées).
SCHTASKS /Create /RU system /SC Hourly /TN "CA Check" /TR "\"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" CheckCA" /ST 01:20
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne.)
Remarque : encadrer de barres obliques inversées (\) le chemin complet du fichier du script msstools.cmd garantit que les guillemets (") ne sont pas interprétés et supprimés de la commande par la commande d'environnement Windows. Le chemin enregistré par le planificateur de tâches doit être encadré de guillemets s'il comprend des espaces intégrés (comme dans "Program Files"). La spécification d'une barre oblique inversée (\) avant les guillemets (") garantit que le chemin enregistré par le planificateur de tâches est encadré de guillemets doubles.
Événements de l'autorité de certification consignés par les scripts MSS
Le script de surveillance de l'autorité de certification consigne les événements suivants dans le journal des événements.
Tableau 8.6 : Événements de l'autorité de certification renvoyés par le script de surveillance de l'autorité de certification dans cette solution
Événement de l'autorité de certification |
Signification |
Catégorie d'événement |
Source d'événement |
ID d'événement |
|---|---|---|---|---|
Expiration de la liste de révocation de certificats |
Une CRL valide n'est pas accessible – cet événement entraîne actuellement une perte de service. |
Erreur |
Opérations Autorité de certification |
20 |
Liste de révocation de certificats en retard |
La liste de révocation de certificats est toujours valide, mais la publication d'une nouvelle liste est en retard. |
Erreur |
Opérations Autorité de certification |
21 |
Il est impossible de récupérer une CRL dans Active Directory |
Une CRL n'est pas disponible à un point de distribution de CRL publié. Une perte de service peut en découler. |
Erreur |
Opérations Autorité de certification |
22 |
Le service Certificate Services ne répond pas : ID d'événement 1–Interface client hors ligne ID d'événement 2–Interface admin hors ligne |
L'interface d'appel RPC des services de certificats est hors ligne – l'émission des certificats est impossible. Un redémarrage du service peut s'avérer nécessaire. |
Erreur |
Opérations Autorité de certification |
1 et 2 |
Autre événement |
Échec d'exécution du script de surveillance de l'autorité de certification. |
Erreur |
Opérations Autorité de certification |
100 |
Gestion des modifications
Les tâches décrites dans cette section se rapportent aux changements que vous devrez peut-être apporter à la configuration de l'infrastructure de sécurité de votre réseau local sans fil.
Gestion des mises à jour de sécurité Windows
Les mises à jour d'IAS et des services de certificats sont inclus dans les service packs de base et les correctifs logiciels de Windows Server 2003 ; vous n'avez pas besoin de mettre à jour séparément ces composants.
Lisez les instructions de façon exhaustive et suivez les références indiquées dans la section « Server Security Patching » du chapitre 3 « Préparation de votre environnement ».
Gestion des modifications sur vos serveurs IAS
Dans le chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil », il était recommandé de nommer l'un des serveurs IAS comme serveur « maître » et d'y effectuer tous les changements de configuration IAS (voir la section « Déploiement des paramètres sur plusieurs serveurs IAS » du chapitre 5). Ces changements sont ensuite répliqués sur les autres serveurs de l'organisation, à l'aide des opérations automatisées d'exportation et d'importation de la base de données de configuration IAS pour garantir la cohérence des paramètres dans votre infrastructure IAS.
L'ensemble des clients RADIUS (les points d'accès sans fil) configurés sur chaque IAS ne sont toutefois généralement pas répliqués. Les points d'accès sans fil pris en charge par chaque serveur peuvent être très variables et il est rare que deux serveurs IAS possèdent exactement le même ensemble de clients (ceci peut être le cas si vous disposez de deux serveurs IAS centraux desservant par exemple tous les AP sans fil de votre organisation).
Sauvegarde des paramètres IAS avant toute modification
Même si vous avez planifié une sauvegarde de vos serveurs toutes les nuits, il peut être judicieux de sauvegarder manuellement IAS avant de modifier les serveurs. Vous pouvez ainsi annuler des changements et restaurer l'état du serveur immédiatement avant que les modifications soient entérinées. La procédure suivante utilise le script de sauvegarde pour exporter la configuration, les stratégies, les paramètres du journal et les clients RADIUS du serveur.
Pour sauvegarder la configuration IAS
Ouvrez une commande d'environnement sur le serveur à l'aide du raccourci MSS WLAN Tools et créez un dossier de sauvegarde du fichier d'exportation IAS à l'aide de la commande suivante :
md c:\IASSaveState
(La configuration IAS occupe généralement moins de 100 Ko et peut être sauvegardée sur l'unité système, comme indiqué dans l'exemple. N'importe quel chemin peut être cependant spécifié, du moment qu'il est utilisé de façon cohérente dans cette commande et les suivantes.)
Lancez la commande suivante pour définir les autorisations pour le dossier de façon à ce que seuls les administrateurs et les opérateurs de sauvegarde puissent lire et modifier son contenu :
cacls c:\IASSaveState /G system:F administrators:F "Backup Operators":C
(Il est possible que la commande occupe ici plusieurs lignes, mais vous devez la saisir sur une seule ligne.)
Lancez le script de sauvegarde pour exporter les paramètres IAS, à l'aide de la commande suivante :
MSSTools BackupIAS /path:C:\IASSaveState
Réplication des paramètres dans d'autres serveurs IAS
N'hésitez pas à définir votre propre procédure, que vous pourrez répéter, de façon à garantir la réplication des paramètres de votre serveur maître sur tous les autres serveurs IAS de votre organisation. Vous pouvez être amené à demander au personnel de support local d'importer les paramètres. La plupart du temps, cette opération s'effectue à distance par copie des fichiers de configuration et utilisation d'une session Bureau à distance pour exécuter le script d'importation de la configuration.
Pour répliquer les paramètres sur d'autres serveurs IAS, suivez les procédures décrites à la section « Réplication des paramètres à partir du premier serveur IAS » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Remarque : il peut s'avérer pratique d'intégrer un numéro de version dans le nom de la stratégie d'accès distant pour vérifier facilement que tous les serveurs IAS possèdent la même version de paramètres.
Ajout de serveurs IAS dans votre environnement
Avant d'installer un nouveau serveur IAS, identifiez les points d'accès sans fil qui seront configurés comme clients de ce serveur, en suivant les instructions du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ». Vous devez également prévoir un deuxième serveur IAS configuré comme serveur RADIUS secondaire pour assurer aux AP une résilience en cas d'échec du serveur. Si vous procédez à la reconfiguration des points d'accès existants pour qu'ils utilisent le nouveau serveur, vous devez planifier avec prudence la migration pour éviter toute rupture de service pour vos utilisateurs pendant le transfert d'AP. Normalement, tant qu'un AP est doté d'au moins un serveur d'authentification RADIUS actif, il n'y a pas de rupture.
Pour installer IAS sur un nouveau serveur
Suivez les instructions du chapitre 3, « Préparation de votre environnement » pour préparer votre serveur.
Suivez les instructions incluses dans les sections « Installation d'IAS » et « Enregistrement d'IAS dans Active Directory » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Pour répliquer les modifications de votre serveur IAS maître sur le nouveau serveur, suivez la procédure décrite à la section « Réplication des paramètres à partir du premier serveur IAS » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Enfin, ajoutez les entrées du client RADIUS pour les points d'accès sans fil à IAS et configurez les points d'accès sans fil pour qu'ils utilisent le nouveau serveur IAS.
Ajout d'un point d'accès sans fil au réseau
Pour ajouter un nouveau point d'accès sans fil, vous devez effectuer deux tâches :
ajouter l'AP comme client RADIUS au serveur IAS principal et au serveur secondaire ;
configurer l'AP pour qu'il utilise les serveurs IAS comme serveurs RADIUS principal et secondaire.
Les serveurs IAS choisis comme serveurs RADIUS principal et secondaire dépendent de l'emplacement de l'AP sur le réseau. Idéalement, choisissez un serveur IAS principal qui se trouve sur le même réseau local que l'AP ou qui, du moins, dispose d'une connectivité fiable avec lui. Choisissez un serveur IAS secondaire qui dispose d'une connectivité fiable avec l'AP. Pour plus d'informations, reportez-vous aux instructions fournies dans la section « Affectation de points d'accès aux serveurs RADIUS » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».
Une fois les serveurs IAS adéquats identifiés, suivez les procédures indiquées ci-après. Elles sont identiques à celles qui sont indiquées pour l'ajout d'un point d'accès à IAS dans le chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Pour ajouter un point d'accès au réseau
Pour ajouter le point d'accès comme client RADIUS au service IAS principal, suivez la procédure décrite à la section « Ajout de points d'accès au premier serveur IAS » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Pour ajouter le point d'accès comme client RADIUS au service IAS secondaire, suivez la procédure décrite à la section « Importation des points d'accès dans le deuxième serveur IAS » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Configurez le point d'accès en suivant les instructions de la section « Configuration des points d'accès sans fil » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Suppression d'un point d'accès sans fil
Il peut s'avérer nécessaire de supprimer un AP sans fil du réseau si vous changez de site ou si vous réorganisez vos sites. Supprimez systématiquement d'IAS les entrées de client RADIUS lorsqu'elles ne sont plus utiles.
Pour supprimer un AP sans fil du réseau
Identifiez les services IAS principal et secondaire pour l'AP à supprimer.
Servez-vous du composant MMC Service d'authentification Internet pour supprimer l'entrée du client RADIUS correspondant à l'AP. (Vérifiez que l'IP du client RADIUS correspond à l'adresse IP de l'AP désaffecté ; ne vous fiez pas au nom du client RADIUS.)
Répétez l'étape 2 sur le serveur IAS secondaire.
Octroi de l'accès au réseau local sans fil à un utilisateur ou à un ordinateur
Si vous avez suivi la configuration par défaut pour cette solution, tous les utilisateurs et ordinateurs du domaine dans lequel vous avez installé les serveurs IAS auront automatiquement accès au réseau local sans fil. En effet, les groupes Utilisateurs du domaine et Ordinateurs du domaine sont respectivement membres des groupes Utilisateurs du réseau sans fil et Ordinateurs du réseau local sans fil. Ces groupes sont eux-mêmes membres du groupe Accès au réseau local sans fil qui est utilisé par la stratégie d'accès distant IAS pour accorder l'accès au réseau local sans fil.
Contrôle de l'accès pour les membres du même domaine
Pour contrôler explicitement quels utilisateurs et ordinateurs peuvent se connecter au réseau local sans fil, ayez recours à des groupes de sécurité pour gérer les accès. Supprimez les groupes Utilisateurs du domaine et Ordinateurs du domaine respectivement des groupes Utilisateurs du réseau sans fil et Ordinateurs du réseau local sans fil. À la place, ajoutez les utilisateurs et les ordinateurs spécifiques auxquels vous voulez accorder l'accès au réseau local sans fil.
Cette opération modifie la valeur par défaut de la solution de sorte que le réseau local sans fil est inaccessible à tout le monde, sauf octroi explicite de l'accès par l'ajout d'une personne dans un groupe de sécurité. Il s'agit d'une approche plus prudente qu'une autorisation par défaut et elle est généralement préférée par les organisations ayant des besoins de sécurité élevés. Cette solution peut aussi se révéler pratique dans d'autres cas, lorsque seul un nombre limité de personnes a un accès autorisé au réseau local sans fil (par exemple, pendant la phase pilote d'un déploiement plus vaste).
Pour activer l'accès au réseau local sans fil pour un utilisateur ou un ordinateur du même domaine
Avec Utilisateurs et ordinateurs Active Directory, ajoutez le compte utilisateur ou ordinateur au groupe Utilisateurs du réseau local sans fil ou Ordinateurs du réseau local sans fil.
Si vous ajoutez un utilisateur, demandez-lui de se déconnecter, puis de se reconnecter. Si vous ajoutez un ordinateur, redémarrez-le.
Vérifiez que l'utilisateur ou l'ordinateur peut accéder au réseau local sans fil.
Contrôle de l'accès pour les membres d'un autre domaine
Si vous êtes équipé d'une forêt à plusieurs domaines, vous voudrez peut-être permettre à des utilisateurs ou des ordinateurs d'autres domaines d'utiliser le réseau local sans fil. Pour ce faire, vous devez être connecté à l'aide d'un des comptes suivants :
administrateur des deux domaines ;
compte doté des autorisations de création de groupes dans les autres domaines et des autorisations de modification de l'appartenance du groupe Accès au réseau local sans fil dans votre domaine de travail (c'est-à-dire, le domaine dans lequel sont installés les serveurs IAS).
Pour accorder l'accès au réseau local sans fil aux utilisateurs et aux ordinateurs d'autres domaines
Connectez-vous avec un compte ayant le droit de créer des groupes dans le domaine contenant les utilisateurs et les ordinateurs auxquels accorder l'accès au réseau local sans fil (le domaine cible).
Ouvrez Utilisateurs et ordinateurs Active Directory et ciblez un contrôleur de domaine pour le domaine cible.
Créez un groupe global de domaine nommé Utilisateurs du réseau local sans fil dans le domaine cible.
Créez un groupe global de domaine nommé Ordinateurs du réseau local sans fil dans le domaine cible.
Connectez-vous avec un compte ayant le droit de modifier l'appartenance du groupe Accès au réseau local sans fil dans le domaine de travail. À l'aide de Utilisateurs et ordinateurs Active Directory, localisez le groupe Accès au réseau local sans fil et ouvrez-le pour modifier ses propriétés. Dans l'onglet Adhésion des propriétés du groupe, ajoutez les groupes Utilisateurs du réseau sans fil et Ordinateurs du réseau local sans fil du domaine cible comme membres du groupe.
Identifiez les utilisateurs du domaine cible qui ont besoin d'un accès au réseau local sans fil. Ajoutez leurs comptes au groupe Utilisateurs du réseau local sans fil de ce domaine. De même, ajoutez les comptes ordinateur du domaine cible requis au groupe Ordinateurs du réseau local sans fil de ce domaine. Une autre solution consiste à ajouter Utilisateurs du domaine et Ordinateurs du domaine à ces groupes pour permettre à tous les membres du domaine cible d'accéder au réseau local sans fil.
Refus de l'accès au réseau local sans fil à un utilisateur ou à un ordinateur
La valeur par défaut pour cette solution consiste à autoriser l'accès au réseau local sans fil à tous les utilisateurs et ordinateurs du domaine dans lequel vous avez installé les serveurs IAS. L'accès leur est automatiquement accordé car ils sont respectivement membres des groupes Utilisateurs du domaine et Ordinateurs du domaine. Ce principe peut poser problème si vous avez besoin de bloquer l'accès au réseau local sans fil pour des utilisateurs ou des ordinateurs individuels. Vous ne devez pas supprimer des utilisateurs ou des ordinateurs des groupes intégrés Utilisateurs du domaine et Ordinateurs du domaine. Adoptez plutôt l'une des tactiques suivantes :
Si l'utilisateur a quitté l'organisation (ou, dans le cas d'un ordinateur, s'il a été égaré ou volé), vous pouvez désactiver le compte Active Directory correspondant.
Gérez l'accès à l'aide des autorisations d'accès distant sur l'objet compte utilisateur ou ordinateur pour autoriser ou refuser l'accès. Cette possibilité a été rapidement évoquée à la section « Autoriser les utilisateurs et les ordinateurs à accéder au réseau local sans fil » du chapitre 6 « Configuration des clients d'un réseau local sans fil ».
Si vous voulez supprimer l'accès au réseau local sans fil pour un utilisateur ou un ordinateur, tout en continuant à autoriser l'utilisation du compte pour un accès normal au domaine et aux autres réseaux, vous devez adopter un modèle d'accès sélectif au réseau local sans fil ou implémenter une stratégie d'accès distant de type « Refuser ». Votre choix est fonction de votre politique par défaut : l'octroi ou le refus systématique de l'accès au réseau local sans fil, avec un accès limité à quelques utilisateurs spécifiés.
L'utilisation d'appartenances à un groupe spécifique pour implémenter une stratégie d'accès sélectif a été décrite dans une section antérieure de ce chapitre « Octroi de l'accès au réseau local sans fil à un utilisateur ou à un ordinateur ». Vous pouvez refuser l'accès au réseau local sans fil simplement en retirant un utilisateur ou un ordinateur du groupe de sécurité correspondant.
La création d'une stratégie d'accès distant à IAS pour refuser l'accès à des groupes sélectionnés est décrite dans la procédure ci-après « Contrôle de l'accès au réseau local sans fil à l'aide d'une stratégie de refus ».
Important : ne supprimez pas d'utilisateurs ou d'ordinateurs respectivement des groupes Utilisateurs du domaine ou Ordinateurs du domaine. Bien que cette opération soit techniquement possible, elle empêchera le fonctionnement normal du compte utilisateur ou ordinateur lors d'une utilisation normale.
Contrôle de l'accès au réseau local sans fil à l'aide d'une stratégie de refus
Pour autoriser un accès par défaut tout en ayant la liberté d'interdire l'accès à des utilisateurs ou ordinateurs particuliers à titre exceptionnel, vous devez créer une stratégie d'accès distant de type « Refuser » dans IAS.
Pour créer une stratégie de refus pour un accès distant
Dans Utilisateurs et ordinateurs Active Directory, créez un groupe universel nommé Refuser l'accès au réseau local sans fil.
Créez des groupes globaux de domaine Utilisateurs sans accès au réseau local sans fil et Ordinateurs sans accès au réseau local sans fil, puis ajoutez-les comme membres du groupe Refuser l'accès au réseau local sans fil.
Connectez-vous au serveur IAS maître que vous utilisez pour éditer les paramètres IAS globaux (ces paramètres seront répliqués sur les autres serveurs IAS ultérieurement).
Dans le composant MMC Service d'authentification Internet, cliquez avec le bouton droit de la souris sur le dossier Stratégies d'accès distant et sélectionnez Nouvelle stratégie d'accès distant...
Sélectionnez Installer une stratégie personnalisée et entrez Refuser l'accès au réseau local sans fil comme nom de stratégie. Cliquez sur Suivant pour continuer.
Cliquez sur Ajouter... pour ajouter une condition de stratégie et sélectionnez Groupes Windows dans la liste, puis cliquez sur Ajouter...
Cliquez sur Ajouter... pour ajouter un groupe de sécurité. Saisissez (ou recherchez) le groupe Refuser l'accès au réseau local sans fil et cliquez sur OK.
Cliquez sur Ajouter... pour ajouter une autre condition de stratégie et sélectionnez NAS-Port-Type dans la liste, puis cliquez sur Ajouter...
Dans la liste Types disponibles, sélectionnez Sans fil - IEEE 802.11 et cliquez sur Ajouter >>. Sélectionnez ensuite Sans fil - Autre et cliquez sur Ajouter >> pour les ajouter à la liste Types sélectionnés. Cliquez sur OK pour finir, puis sur Suivant pour continuer.
Sélectionnez Refuser l'autorisation d'accès distant et cliquez sur Suivant pour continuer.
Dans l'écran Profil, cliquez sur Suivant pour passer à l'écran suivant et cliquez sur Terminer pour clore la procédure.
La stratégie Refuser l'accès au réseau local sans fil doit être créée en haut de la liste (priorité la plus élevée) des stratégies (ou au moins au-dessus de la stratégie Autoriser l'accès au réseau sans fil). Si ce n'est pas le cas, cliquez avec le bouton droit de la souris sur le nom de la stratégie, puis cliquez sur Monter jusqu'à ce qu'elle se trouve au-dessus de la stratégie Autoriser l'accès au réseau local sans fil dans la liste.
Servez-vous des procédures décrites précédemment pour répliquer les nouveaux paramètres sur les autres serveurs IAS de votre organisation.
Les utilisateurs ou ordinateurs que vous ajoutez respectivement aux groupes Utilisateurs sans accès au réseau local sans fil ou Ordinateurs sans accès au réseau sans fil n'auront pas accès au réseau sans fil. Toutefois, ce paramètre ne prend effet qu'à la connexion suivante de l'utilisateur refusé ou au redémarrage suivant de l'ordinateur refusé.
Tâches de support
Cette section traite des tâches courantes à exécuter pour effectuer une reprise en cas d'incidents au niveau de l'infrastructure de sécurité du réseau local sans fil. Un grand nombre de ces tâches sont abordées dans la section « Dépannage » de ce chapitre.
Restauration d'une configuration de serveur IAS à partir d'une sauvegarde
Les stratégies et les paramètres IAS sont stockés dans la base de données de configuration IAS. Ils peuvent être restaurés indépendamment des autres paramètres système. Planifiez la tâche de sauvegarde IAS de façon à sauvegarder les paramètres IAS dans le dossier C:\IASBackup toutes les nuits. Pour plus d'informations sur ce sujet, reportez-vous à la procédure « Configuration de la sauvegarde IAS » dans la section « Tâches opérationnelles » de ce chapitre. Si vous devez annuler des modifications effectuées ce jour-là, vous pouvez restaurer les paramètres à partir des fichiers de sauvegarde (in C:\IASBackup) créés la nuit précédente ou à partir de la sauvegarde de « restauration » effectuée avant les modifications. Pour plus de détails, reportez-vous à la procédure « Sauvegarde des paramètres IAS avant toute modification » de la section « Gestion des modifications ».
Si vous devez restaurer une version antérieure des paramètres, vous devez récupérer les paramètres IAS exportés à partir de la sauvegarde du serveur.
Avertissement : cette procédure restaure tous les paramètres IAS, y compris les clients RADIUS, ce qui écrase les paramètres existants sur le serveur. La sauvegarde que vous essayez de restaurer doit provenir du même serveur.
Pour restaurer les paramètres IAS
Si les fichiers de sauvegarde des paramètres IAS que vous voulez utiliser ne se trouvent pas sur le serveur, vous devez les restaurer à partir des supports de sauvegarde. Veillez à ne sélectionner que les fichiers du dossier IASBackup à restaurer. Ne restaurez pas l'état du système sauf si vous voulez revenir aux paramètres antérieurs pour l'ensemble du système.
Utilisez le raccourci MSS WLAN Tools pour ouvrir une commande d'environnement. Restaurez la configuration IAS à l'aide de la commande suivante :
msstools RestoreIAS /path:C:\IASBackup
Vérifiez que les paramètres IAS ont été restaurés en ouvrant la console de gestion IAS et en vérifiant les clients RADIUS et les dossiers de stratégies d'accès distant.
Si, pour une raison quelconque, vous ne disposez d'aucune sauvegarde utilisable de ce système, vous pouvez exporter les paramètres à partir d'un autre serveur IAS et les importer dans ce serveur. En général, comme les serveurs IAS ayant le même rôle partagent les mêmes paramètres de configuration, mais ont un ensemble différent de clients RADIUS, vous ne devez pas utiliser cette procédure pour restaurer les paramètres à partir d'un autre serveur. Préférez plutôt la procédure « Réplication des paramètres à partir du premier serveur IAS » du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Important : vous devez vérifier que le système restauré comporte les correctifs à jour. La restauration à partir d'une ancienne sauvegarde peut impliquer que les correctifs logiciels appliqués précédemment ont été annulés.
Restauration d'une configuration de serveur complète à partir d'une sauvegarde
Les procédures de restauration du serveur varient en fonction du choix du système de sauvegarde. Le présupposé à cette section est que vous avez sauvegardé le système en deux temps : sauvegarde sur fichier de l'état du système Windows, puis sauvegarde de ce fichier et des autres fichiers requis.
Pour restaurer le serveur
L'état du serveur nécessite quelquefois que vous le restauriez à partir de zéro, par exemple, en cas de panne matérielle importante ayant détruit les disques système du serveur. Sinon, vous pouvez effectuer une restauration directement sur le serveur sans réinstallation du système d'exploitation.
Si vous utilisez une sauvegarde de l'état du système indépendante de celle du fichier, ayez recours à votre logiciel de sauvegarde pour restaurer sur le serveur le fichier de sauvegarde de l'état du système et celui des paramètres IAS à partir du support de sauvegarde. Il convient de restaurer les paramètres IAS dans le même chemin, C:\IASBackup.
Lancez l'utilitaire Windows Backup et sélectionnez le fichier de sauvegarde de l'état du système restauré. Vous devez être membre d'un groupe possédant des droits de sauvegarde et de restauration sur le serveur (par exemple, le groupe Opérateurs de sauvegarde ou Administrateurs).
Cliquez sur Restaurer.
Redémarrez le système.
Vérifiez que le fonctionnement est normal à tous les niveaux et qu'Active Directory et Certificate Services, si ces modules sont installés, démarrent sans erreur.
Utilisez le raccourci MSS WLAN Tools pour ouvrir une commande d'environnement. Restaurez la configuration IAS à l'aide de la commande suivante :
MSSTools RestoreIAS /path:C:\IASBackup
Vérifiez que les paramètres IAS ont été restaurés en ouvrant le composant MMC IAS et en vérifiant les clients RADIUS et les dossiers de stratégies d'accès distant.
Important : si IAS s'exécute sur un contrôleur de domaine, la restauration de la sauvegarde de l'état du système restaure également la version sauvegardée de la base de données Active Directory sur ce serveur. Toutefois, toute modification apportée à Active Directory après la sauvegarde sera répliquée sur le serveur restauré lors du prochain cycle de réplication Active Directory.
Tâches d'optimisation
Cette section traite des tâches associées à l'optimisation du fonctionnement de l'infrastructure IAS.
Détermination de la charge maximum du serveur IAS
Cette section fournit des informations sur la charge maximum supposée du serveur IAS.
Les performances sont rarement source de problème pour les serveurs IAS correctement calibrés et configurés. Les serveurs IAS sont les plus sollicités aux heures de pic de charge, par exemple le matin quand beaucoup d'utilisateurs se connectent simultanément, brièvement après une panne réseau majeure, ou durant un incident de serveur RADIUS quand les points d'accès sans fil basculent vers un serveur de sauvegarde.
Le tableau suivant donne une indication sur les exigences en authentification sur un réseau local sans fil selon la taille des différentes organisations.
Tableau 8.7 : Exigences d'authentification pour un réseau local sans fil
Nombre d'utilisateurs du réseau local sans fil |
Nouvelles authentifications par seconde |
Nouvelles authentifications par seconde (pic de charge) |
Ré-authentifications par seconde |
|---|---|---|---|
100 |
> 0.1 |
0.1 |
0.1 |
1000 |
0.1 |
0.6 |
1.1 |
10,000 |
1.4 |
5.6 |
11.1 |
La colonne Nouvelles authentifications par seconde fait partie de la charge régulière ; vous pouvez supposer une moyenne de quatre nouvelles authentifications complètes avec les déplacements des utilisateurs entre les points d'accès sans fil. La colonne Nouvelles authentifications par seconde (pic de charge) indique le type de charge attendue lorsque tous les utilisateurs nécessitent une authentification sur une période de 30 minutes (par exemple, en début de journée). La colonne Ré-authentifications par seconde indique le nombre d'authentifications en mode reconnexion rapide lorsque IAS force un délai d'expiration de session après 15 minutes. (Bien qu'un délai d'expiration de 60 minutes soit la valeur par défaut de la solution, 15 minutes est choisi ici pour illustrer le cas de figure le plus stressant pour le système.) Évaluez ces chiffres par rapport aux exigences de votre organisation pour déterminer le type de charge que vous devez prendre en charge.
Les tests internes effectués par Microsoft indiquent que le service IAS peut gérer une charge élevée sur un matériel serveur modeste. Pour avoir une indication de la charge supportée par IAS, il suffit de considérer le nombre d'authentifications EAP (Extensible Authentication Protocol) par seconde. Le tableau suivant présente les résultats de l'exécution d'un serveur IAS sur un serveur Intel Pentium 4 à 2 GHz équipé de Windows Server 2003.
Les tests ont été menés dans les conditions suivantes : journalisation RADIUS activée (sur un disque indépendant) et service IAS sur un serveur indépendant du contrôleur de domaine Active Directory. Il s'agit donc des conditions les plus stressantes pour le système. Pour cette solution, la configuration par défaut consiste en effet à désactiver la journalisation et à héberger IAS sur le même serveur que le contrôleur de domaine, ce qui améliore le débit de l'authentification.
Remarque : ces informations sont fournies sans garantie de précision, simplement à titre d'indication pour la planification des capacités, et non dans un but de comparaison de performances.
Tableau 8.8 : Exemple de mesures de capacité d'un serveur IAS
Type d'authentification |
Authentifications par seconde |
|---|---|
Authentifications PEAP (New Protected Extensible Authentication Protocol) |
36 |
Nouvelles authentifications PEAP avec support de carte de déchargement TLS/SSL |
50 |
Authentifications avec reconnexion rapide |
166 |
IAS peut être configuré de manière à générer des journaux RADIUS sur disque, contenant des quantités variables d'informations de requêtes RADIUS. Si vous choisissez d'activer la journalisation RADIUS, ne négligez pas la surcharge qu'elle impliquera sur les serveurs, notamment sur les sous-systèmes du disque. Un débit lent du disque agit alors comme un goulot d'étranglement sur les performances IAS et retarde les réponses IAS RADIUS aux points d'accès, ce qui entraîne des expirations de délai de protocole et le report inutile de points d'accès sur des serveurs RADIUS secondaires. Si vous attendez une charge élevée (aidez-vous des chiffres des tableaux précédents pour en juger) et que vous allez activer la journalisation RADIUS, vérifiez qu'IAS est configuré pour consigner les journaux RADIUS sur un disque à haute performance indépendant de l'unité système Windows et de l'unité du fichier d'échange.
L'activation des fonctions de suivi IAS de Windows Server 2003 (décrites dans la section « Activation et désactivation du suivi sur le serveur IAS » de ce chapitre) génère également une charge supplémentaire sur les serveurs IAS. Cette fonction peut s'avérer nécessaire occasionnellement pour résoudre les problèmes d'accès au réseau, mais ne doit pas être activée en permanence. Néanmoins, il n'est pas inutile de savoir que vos serveurs IAS disposent de la marge nécessaire à l'utilisation du suivi sur de courtes périodes de temps tout en gérant la charge de production.
Autres mesures d'optimisation
Pour les autres instructions d'optimisation IAS, reportez-vous à la section « Designing an Optimized IAS Solution » du chapitre « Deploying IAS » du Kit de déploiement Windows Server 2003.
Dépannage
Cette section contient les procédures et techniques qui vous permettront de diagnostiquer et de résoudre les incidents liés à la solution appliquée au réseau local sans fil.
Procédures de dépannage
Les procédures suivantes vous permettent d'identifier les causes possibles d'un incident et la mesure à prendre pour le résoudre. Cette section est organisée de façon hiérarchique. La première procédure « Détermination du type d'incident » vous oriente sur une des procédures, qui est ensuite détaillée en différentes étapes de dépannage. Ces procédures peuvent, à leur tour, vous orienter sur d'autres procédures de dépannage qui visent des composants particuliers de la solution.
Chacune de ces procédures est décrite en détail plus loin dans ce chapitre (certaines par une illustration, et d'autres, lorsque la description est trop longue pour une légende, dans des tableaux ou sous forme textuelle). Certaines de ces procédures font référence à la section « Outils et techniques de dépannage » de ce chapitre. Il est recommandé de vous familiariser avec cette section pour pouvoir utiliser efficacement les procédures de dépannage.
Important : ces procédures de diagnostic ne couvrent pas toutes les éventualités. Lorsque les étapes d'investigation recommandées ne vous conduisent pas à la source de l'incident, revenez en arrière et suivez les autres procédures de diagnostic indiquées. Il arrive que la portée complète ou la nature des symptômes ne soit pas apparente et vous oriente dans une direction erronée. Par exemple, il est possible qu'un seul utilisateur fasse état d'un incident qui affecte l'ensemble du bureau. Bien que le tableau indique des procédures de diagnostic associées à la défaillance d'un seul utilisateur, d'autres procédures sont probablement davantage appropriées.
Vous êtes également invité à consulter les documents de dépannage pour réseau local sans fil et IAS qui sont répertoriés à la fin du chapitre.
Détermination du type d'incident
Commencez par classer le type d'incident que vous rencontrez, à l'aide du diagramme suivant. Les losanges représentent les questions ou les points de décision et les rectangles le diagnostic de l'incident et le nom de la procédure à suivre.
.gif "Figure 8.1 Détermination du type d'incident")
Figure 8.1 Détermination du type d'incident
Résolution des problèmes de connexion du client
Le tableau suivant classe les différents problèmes de connexion en fonction du nombre et de l'emplacement des clients concernés. La colonne Incident(s) probable(s) indique les facteurs qui sont le plus susceptible d'être à l'origine des symptômes présentés. La colonne Procédures de diagnostic à suivre répertorie les procédures de diagnostic à essayer d'abord pour établir le diagnostic de l'incident. Chacune de ces procédures est décrite en détail plus loin dans ce chapitre.
Tableau 8.9 : Qui ne réussit pas se connecter au réseau local sans fil ?
Symptôme |
Incident(s) probable(s) |
Procédures de diagnostic à suivre |
|---|---|---|
Un seul client |
Configuration de l'ordinateur ou compte utilisateur/ordinateur. |
Contrôler le compte utilisateur/ordinateur Contrôler l'ordinateur client |
Plusieurs clients sur un site |
Mauvaise configuration d'un ou plusieurs points d'accès. |
Vérifier la configuration des points d'accès sans fil |
L'ensemble d'un site (IAS local) |
Serveur IAS sur site configuré ou fonctionnant de façon incorrecte ; incidents de réplication d'Active Directory empêchant le contrôleur de domaine local de recevoir les informations correctes ; fonctionnement incorrect du serveur IAS couplé à un incident de connectivité au réseau local sans fil. |
Vérifier Active Directory et les services réseau Vérifier IAS Vérifier la connectivité au réseau sans fil |
L'ensemble d'un site (IAS non local) |
Incident de connectivité au réseau local sans fil ; incidents de réplication Active Directory (si contrôleur de domaine local). |
Vérifier la connectivité au réseau sans fil |
Tous les clients de tous les sites |
Configuration à l'échelle de l'organisation (objet de stratégie de groupe des paramètres client, groupes RAP, échecs de renouvellement de certificat). |
Vérifier Active Directory et les services réseau (contrôle de l'objet Stratégie de groupe des paramètres du réseau local sans fil et contrôle des groupes Active Directory) Vérifier l'autorité de certification Vérifier IAS |
Résolution des problèmes de performances
Cette section est centrée sur les problèmes de performances associés à l'infrastructure de sécurité du réseau local sans fil. Les problèmes de performances généraux liés à un réseau sans fil et câblé ne sont pas traités dans ce chapitre.
Tableau 8.10 : Problèmes de performances
Symptôme |
Solution possible |
|---|---|
Délai d'authentification concernant de nombreux utilisateurs |
Serveur IAS très chargé, vérifier l'analyseur de performances. |
|
Authentification via une liaison lente au réseau local sans fil (même si une vérification IAS locale indique que les points d'accès n'ont pas basculé sur l'IAS distant). |
|
Les délais au niveau d'un serveur DHCP (Dynamic Host Configuration Protocol) émettant une adresse IP peuvent influer sur le temps de connexion total. |
Délai de ré-authentification en cas de déplacement entre des points d'accès |
Un délai de quelques secondes est normal en cas de bascule entre points d'accès. |
|
Si un client sort de la portée d'un point d'accès (et y reste plus de 10 secondes), un délai de 60 secondes peut être nécessaire pour le démarrage de sa nouvelle authentification après son arrivée dans la portée d'un point d'accès. En effet, le client d'un réseau sans fil Windows, lorsqu'il est déconnecté du réseau, ne recherche un réseau local sans fil que toutes les 60 secondes. |
Le débit du réseau local sans fil est faible |
Ce symptôme peut être lié à l'utilisation de trop peu de points d'accès par un trop grand nombre de clients, au placement incorrect des points d'accès, ou à un signal radio faible causé par une obstruction ou une distance excessive. Toutes ces causes sont liées à la conception du réseau local sans fil et n'entrent pas dans le cadre de cette documentation. Demandez conseil à votre revendeur ou au fournisseur de la solution. Pour plus d'informations, reportez-vous au chapitre « Deploying a Wireless LAN » du Kit de déploiement Windows Server 2003. |
Authentification de l'utilisateur mais défaillance de l'ordinateur
Dans cette solution, l'authentification de l'utilisateur et celle de l'ordinateur au réseau local sans fil sont toutes les deux nécessaires. Les données d'identification du domaine de l'ordinateur servent à l'authentification sur le réseau local sans fil lorsque aucun utilisateur n'est connecté à l'ordinateur. Lorsqu'un utilisateur se connecte, ses données d'identification sont alors utilisées pour qu'il s'authentifie à nouveau sur le réseau local sans fil. Cette disposition permet à l'ordinateur de communiquer avec le réseau local sans fil lorsque personne n'est connecté et permet sa gestion à distance, pour télécharger les paramètres de l'objet stratégie de groupe du serveur, etc.
Lorsqu'un utilisateur se connecte à un ordinateur du réseau sans fil, un petit délai s'écoule pendant son authentification auprès du réseau local sans fil. Tant que l'utilisateur n'est pas autorisé en bonne et due forme à se connecter, la session d'authentification de l'ordinateur sur le réseau local sans fil est toujours active. Toutefois, si l'ordinateur n'a pas réussi à s'authentifier, ce délai indique qu'il n'existe pas de connectivité réseau au début de la session de connexion de l'utilisateur.
Un certain nombre de problèmes subtils peut en découler. Par exemple, les profils utilisateur nomades ne pourront pas être chargés, certains paramètres GPO de l'ordinateur ne seront pas appliqués et les scripts de connexion utilisateur ou les déploiements de logiciels basés sur GPO (qui s'exécutent très tôt dans le processus de connexion) échoueront.
Pour déterminer la cause de l'échec de l'authentification de l'ordinateur, suivez la procédure « Contrôler le compte utilisateur/ordinateur » indiquée plus loin dans ce guide.
Authentification de l'ordinateur mais défaillance de l'utilisateur
Contrairement au cas précédent, cet incident est évident tout de suite et est immédiatement signalé par les utilisateurs concernés. Pour déterminer la cause de l'échec de l'authentification de l'utilisateur, suivez la procédure « Contrôler le compte utilisateur/ordinateur ».
Procédures de diagnostic
La section suivante contient les étapes de dépannage détaillées mentionnées dans les sections précédentes.
Contrôler le compte utilisateur/ordinateur
Le diagramme suivant vous aide à diagnostiquer la cause de l'échec d'authentification d'un utilisateur ou d'un ordinateur.
Remarque : la zone en forme de flèche du diagramme indique que vous devez vous reporter à la procédure « Contrôler l'ordinateur client », comme indiqué dans la zone.
.gif "Dd491896.PEAP_802(fr-fr,TechNet.10).gif")
Figure 8.2 Contrôle du compte utilisateur ou ordinateur
Contrôler l'ordinateur client
Le diagramme suivant vous aide à diagnostiquer les incidents liés à l'ordinateur client.
.gif "Dd491896.PEAP_803(fr-fr,TechNet.10).gif")
Figure 8.3 Contrôle de l'ordinateur client
Remarque : la zone en forme de flèche du diagramme est un lien provenant de la procédure « Contrôler le compte utilisateur/ordinateur ».
L'état de la carte du réseau local sans fil (comme requis par l'étape « Activer/désactiver la carte du réseau local sans fil et consulter son état » du diagramme) est visible dans le volet Détails du dossier Connexions réseau (dans le Panneau de configuration). Lorsque vous activez la carte, vous devez visualiser les différentes phases se succédant au niveau de son état :
Connexion en cours
Authentification en cours
Acquisition de l'adresse IP (sauf si affectation statique)
La surveillance du point d'échec de ce processus est l'une des procédures de diagnostic les plus utiles.
Contrôler IAS
Le tableau ci-après répertorie la série des contrôles à exécuter si vous soupçonnez qu'un serveur IAS peut être à la source des incidents.
Tableau 8.11 : Contrôles de diagnostic IAS
Contrôle |
Détail |
|---|---|
IAS est en cours d'exécution |
Ouvrez le composant MMC Gestion de l'ordinateur et naviguez jusqu'à Services. Vérifiez qu'IAS est en cours d'exécution. |
Configuration réseau de base IAS |
Lancez la commande netdiag pour vérifier la présence d'erreurs éventuelles dans la configuration réseau du serveur IAS. |
Le serveur IAS possède le certificat actuel de serveur |
Ouvrez le composant MMC Certificats et effectuez une recherche dans le dossier \Certificates (Local Computer)\Personal\Certificates. Vous devez y trouver un certificat pour le serveur, présentant les caractéristiques suivantes : - La date actuelle est incluse dans la période de validité du certificat. - La valeur Autre nom de l'objet correspond au nom DNS du serveur. - L'authentification du serveur est présente dans l'utilisation étendue de la clé - L'émetteur du certificat est approuvé (dans l'onglet Trust Path). - Le certificat n'a pas été révoqué. Affichez les paramètres de profil de la stratégie d'accès distant IAS, cliquez sur l'onglet Authentification et affichez les paramètres 802.1X. Sélectionnez le certificat du serveur qui vient d'être décrit. |
IAS est un membre du groupe Serveurs RAS et IAS du domaine |
Le serveur doit être membre de ce groupe (normalement ajouté lorsque IAS est enregistré dans Active Directory). |
Stratégie d'accès distant IAS ou stratégie de requête de connexion incorrecte |
Vérifiez que les paramètres de la stratégie (et le numéro de version, le cas échéant) correspondent à vos attentes. En cas de doute, redéployez la configuration à partir du service IAS « maître ». |
Afficher les événements IAS dans le journal des événements système |
Recherchez des erreurs ou des événements d'avertissements IAS dans le journal des événements système. Les échecs d'authentification sont dotés d'un code de raison qui indique la cause de l'incident. |
Activer le suivi IAS |
Reportez-vous à la procédure « Activation et désactivation du suivi sur le serveur IAS » dans la section « Outils et techniques de dépannage » de ce chapitre. |
Activer le suivi client |
Reportez-vous à la procédure « Activation et désactivation du suivi sur l'ordinateur client » dans la section « Outils et techniques de dépannage » de ce chapitre. |
Activer la journalisation SChannel |
Pour diagnostiquer les incidents TLS et liés au certificat, activez la journalisation SChannel. Pour plus d'informations, reportez-vous à la procédure « Activation de la journalisation Schannel sur le serveur IAS » dans la section « Outils et techniques de dépannage » de ce chapitre. Vous pouvez également activer la journalisation SChannel sur le client pour obtenir plus d'informations de diagnostic du côté client. |
Contrôler l'autorité de certification
Le tableau suivant contient une série de contrôles que vous pouvez effectuer pour déterminer si l'autorité de certification fonctionne correctement.
Tableau 8.12 : Contrôles de diagnostic de l'autorité de certification
Contrôle |
Détail |
|---|---|
Les services de certificats sont en cours d'exécution |
Ouvrez le composant MMC Gestion de l'ordinateur et naviguez jusqu'à Services. Vérifiez que les services de certificats sont opérationnels. |
En cas d'échec de TLS (visible dans le journal de suivi RASTLS ou dans la journalisation SChannel) ou d'absence d'émission de l'autorité de certification, contrôler la CRL |
Lancez la commande msstools CheckCA sur l'autorité de certification pour vérifier qu'une liste de révocation de certificats actuelle a été publiée et est accessible. Si vous rencontrez des problèmes avec certains serveurs IAS (ou sur certains sites), procurez-vous l'outil PKI Health (dans le Kit de ressources de Windows Server 2003). Il s'agit d'un outil MMC qui vous indique si le serveur rencontre des difficultés à accéder à une CRL actuelle ou à un certificat de l'autorité de certification. |
Si aucun certificat n'a été inscrit/renouvelé, contrôler l'objet Stratégie de groupe d'inscription automatique de certificat |
- Vérifiez que l'objet Stratégie de groupe d'inscription automatique est lié à l'emplacement correct (généralement le domaine). - Vérifiez que le modèle « Ordinateur #187; est défini comme type de certificat à inscrire dans l'objet Stratégie de groupe (dans Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Automatic Certificate Request Settings). - Vérifiez que le groupe Serveurs RAS et IAS possède des autorisations en application de stratégie et en lecture sur l'objet Stratégie de groupe et que ces dernières ne peuvent pas être écrasées par des droits de refus (par exemple, Utilisateurs authentifiés – refus de lecture). |
Modèles de certificats |
Le modèle Ordinateur doit être attribué à l'autorité de certification (reportez-vous au dossier Modèles dans le composant MMC Autorité de certification). L'autorisation d'inscription pour le groupe Serveurs RAS et IAS doit être accordée au modèle Ordinateur (contrôlez qu'aucune autorisation de refus ne l'annule). |
Interface DCOM de l'autorité de certification à distance |
Lancez la commande suivante à partir d'un serveur IAS distant pour vérifier le bon fonctionnement de DCOM/RPC entre le serveur et l'autorité de certification : certutil -ping -config CAHostName \ CAName où CAHostName est le nom d'ordinateur du serveur de l'autorité de certification et CAName est le nom évocateur donné à l'autorité de certification lorsque vous l'avez définie (il s'agit du nom qui figure dans Délivré par : sur l'onglet Général de tout certificat émis par cette autorité de certification). |
Contrôler Active Directory et les services réseau
Le tableau suivant dresse la liste d'une série de contrôles que vous pouvez exécuter au niveau d'Active Directory et d'autres composants réseau pour déterminer s'ils fonctionnent correctement.
Tableau 8.13 : Contrôles de diagnostic d'Active Directory
Contrôle |
Détail |
|---|---|
Contrôle des communications avec Active Directory à partir d'IAS |
Lancez la commande netdiag /test:ldap /test:trust sur le serveur IAS. Cette commande vérifie également la présence d'incidents DNS. |
Contrôle des groupes de sécurité du réseau local sans fil |
Vérifiez l'appartenance des groupes de sécurité utilisés dans cette solution pour contrôler l'accès au réseau local sans fil. Les appartenances par défaut sont présentées à la section « Création de groupes de sécurité » du chapitre 3, « Préparation de votre environnement ». |
Contrôle de l'objet Stratégie de groupe des paramètres du réseau local sans fil client |
Vérifiez que les paramètres de l'objet Stratégie de groupe correspondant du réseau local sans fil sont corrects, que l'objet Stratégie de groupe est lié à l'UO correcte (ou au domaine correct) et que les autorisations appropriées ont été accordées. (Voir la section « Création de l'objet Stratégie de groupe des paramètres du réseau sans fil » du chapitre 6, « Configuration des clients d'un réseau local sans fil ».) |
Contrôle de la réplication d'Active Directory |
Lancez la commande dcdiag /test:replications à partir du serveur IAS qui pose problème. (Même si IAS ne s'exécute pas sur un contrôleur de domaine, l'outil dcdiag contrôle le contrôleur du domaine utilisé par cette instance d'IAS.) |
Contrôle du serveur DHCP |
Vérifiez que le serveur DHCP est opérationnel, qu'une portée valide a été définie et est activée pour les clients du réseau local sans fil et qu'une connectivité existe entre les points d'accès sans fil et le serveur DHCP (plus précisément, la connectivité est requise entre le réseau local virtuel des points d'accès et le serveur DHCP pour que les clients du réseau local sans fil puissent obtenir un bail IP). |
Contrôler la configuration d'un point d'accès sans fil
Le tableau suivant dresse la liste d'une série de contrôles que vous pouvez exécuter au niveau des points d'accès sans fil pour déterminer s'ils fonctionnent correctement.
Tableau 8.14 : Contrôles de diagnostic des points d'accès sans fil
Contrôle |
Détail |
|---|---|
Contrôle de la configuration IP et de la connectivité avec IAS d'un point d'accès |
De nombreux points d'accès sont dotés d'une fonction de test de la connectivité (comme ping). Essayez de lancer une interrogation ping sur les serveurs IAS principal et secondaire (ou alors essayez d'interroger par ping le point d'accès à partir de ces serveurs IAS). |
Contrôle des paramètres RADIUS du point d'accès |
Vérifiez l'adresse IP et les paramètres du port configurés sur le point d'accès pour les serveurs RADIUS principal et secondaire. Assurez-vous qu'ils correspondent à la configuration des serveurs IAS. |
Contrôle de l'entrée du client RADIUS sur le ou les serveurs IAS |
Vérifiez que les serveurs IAS principal et secondaire comportent une entrée de client RADIUS pour ce point d'accès. IAS consigne une erreur dans le journal système s'il reçoit une requête RADIUS d'un périphérique non configuré comme un client. |
Contrôle du secret client RADIUS |
Il peut se révéler difficile de vérifier visuellement le secret du client RADIUS car il est quelquefois impossible de le visualiser après son entrée dans le point d'accès. Si la valeur configurée dans l'entrée du client IAS RADIUS diffère de celle configurée sur le point d'accès, IAS consigne une erreur dans le journal des événements système. |
Contrôle de la révision du microprogramme du point d'accès |
Vérifiez que le microprogramme du point d'accès est à jour. Recherchez des mises à jour sur le site Web du revendeur. |
Contrôle du serveur DHCP |
Vérifiez que le serveur DHCP est opérationnel, qu'une portée valide a été définie et est active pour les clients du réseau local sans fil et qu'une connectivité existe entre les points d'accès sans fil et le serveur DHCP (plus précisément, la connectivité est requise entre le réseau local virtuel des points d'accès et le serveur DHCP pour que les clients du réseau local sans fil puissent obtenir un bail IP). |
Contrôler la connectivité au réseau sans fil
Les échecs au niveau du réseau local sans fil peuvent résulter de problèmes de connectivité entre les différents composants. Le tableau suivant répertorie les éléments les plus susceptibles d'être à l'origine des incidents.
Tableau 8.15 : Contrôles de diagnostic du réseau sans fil (WAN)
Contrôle |
Détail |
|---|---|
Points d'accès sans fil en cours d'authentification auprès de serveurs IAS distants |
Testez la connectivité simple entre l'AP et les serveurs IAS principal et secondaire. La plupart des points d'accès disposent d'une simple commande ping ou traceroute dans ce but. S'il existe des pare-feu ou des routeurs qui filtrent le trafic entre les sites concernés, vous devez vérifier que l'authentification RADIUS et le décompte de trafic sont autorisés (requêtes plus réponses sur les ports UDP 1812 et 1813). |
Contrôleurs de domaine en cours de réplication sur un WAN |
Des problèmes de réplication entre contrôleurs de domaine peuvent surgir même en présence d'une connectivité IP de base. Un temps de latence excessif peut entraîner l'échec des communications RPC entre les contrôleurs du domaine. Testez ce point avec l'outil dcdiag comme indiqué dans la section « Vérifier Active Directory et les services réseau » de ce chapitre. |
Client du réseau local sans fil et serveur DHCP |
Lorsque le serveur DHCP ne se trouve pas sur le même réseau local que les points d'accès et les clients du réseau local sans fil authentifiés, vous devez configurer un agent de relais BOOTP/DHCP qui achemine les requêtes au serveur DHCP correct sur le réseau distant. |
Outils et techniques de dépannage
Cette section décrit certains des outils et techniques qui vous aideront dans le dépannage.
Vérification de l'état du dossier Connexions réseau client
Le dossier Connexions réseau et la barre système de Windows XP fournissent des informations concernant l'état de l'authentification du réseau local sans fil.
Dans le dossier Connexions réseau (du Panneau de configuration), le texte d'état se trouvant sous l'adaptateur réseau sans fil décrit l'état en cours de la connexion. La mise en évidence de l'adaptateur affiche des informations supplémentaires sur la connexion dans le panneau Détails du dossier Connexions réseau. La désactivation, puis la réactivation de l'adaptateur affichent l'état de l'adaptateur lors de sa tentative de connexion et d'authentification auprès du réseau local sans fil ; ces informations peuvent être pratiques lors du débogage des problèmes de connexion client.
Cliquez avec le bouton droit de la souris sur l'icône de l'adaptateur et cliquez sur État pour visualiser la force du signal du réseau local sans fil (dans l'onglet Général) et les détails de l'adresse IP (dans l'onglet Support).
Consultation d'événements d'authentification IAS dans le journal des événements
Les événements de réussite ou d'échec de l'authentification client, qui sont enregistrés dans le journal des événements système sur les serveurs IAS, peuvent servir pour le diagnostic des pannes. Par défaut, la journalisation des événements est activée pour les demandes d'authentification qui ont réussi ou échoué. Ce paramètre est modifiable dans l'onglet Service pour les propriétés du serveur IAS dans le composant MMC Service d'authentification Internet.
La consultation de ces événements est pratique pour le diagnostic des échecs d'authentification. Les types d'événement produits par IAS sont répertoriés dans le tableau suivant.
Tableau 8.16 : Événements de demande d'authentification IAS
Événement IAS |
Signification |
Catégorie d'événement |
Source d'événement |
ID d'événement |
|---|---|---|---|---|
Accès accordé |
Un utilisateur ou un ordinateur a été authentifié et l'accès au réseau local sans fil lui a été accordé. |
Information |
IAS |
1 |
Accès refusé |
Une tentative d'accès a été refusée (raison indiquée dans le texte de l'événement). |
Avertissement |
IAS |
2 |
Rejet |
La tentative d'accès a été rejetée par suite d'expiration du délai d'exécution. |
Erreur |
IAS |
3 |
Chaque événement contient des informations détaillées sur la demande d'authentification, à savoir :
nom du client ;
adresse IP et identificateur du point d'accès ;
type de client (doit être « Sans fil-IEEE 802.11 ») ;
nom de la stratégie d'accès distant ;
type d'authentification et d'EAP ;
code de raison et description.
Si l'authentification échoue, les codes de raison et les descriptions détaillent souvent l'incident (bien que la raison invoquée puisse être ambiguë ou trompeuse). Les codes de raison disponibles sont indiqués dans le tableau suivant.
Tableau 8.17 : Codes de raison des événements de demande d'authentification IAS
Code de raison |
Description |
|---|---|
00 |
Succès |
01 |
Erreur interne |
02 |
Accès refusé |
03 |
Demande mal formulée |
04 |
Catalogue global non disponible |
05 |
Domaine non disponible |
06 |
Serveur non disponible |
07 |
Pas de domaine de ce type |
08 |
Pas d'utilisateur de ce type |
16 |
Échec d'authentification |
17 |
Échec de modification du mot de passe |
18 |
Type d'authentification non pris en charge |
32 |
Utilisateurs locaux uniquement |
33 |
Le mot de passe doit être modifié |
34 |
Compte désactivé |
35 |
Compte expiré |
36 |
Compte verrouillé |
37 |
Heures de connexion non valides |
38 |
Restriction de compte |
48 |
Aucune correspondance de stratégie |
64 |
Appel verrouillé |
65 |
Appel désactivé |
66 |
Type d'authentification non valide |
67 |
Station d'appel non valide |
68 |
Heures d'appel non valides |
69 |
Station appelée non valide |
70 |
Type de port non valide |
71 |
Restriction non valide |
80 |
Aucun enregistrement |
96 |
Délai d'expiration de session |
Dans certains cas, les informations glanées dans les entrées du journal des événements ne suffisent pas à diagnostiquer la cause d'un incident. Vous pouvez alors avoir besoin d'activer le suivi sur le client IAS et le serveur IAS. Ces cas sont décrits dans les procédures qui suivent.
Activation et désactivation du suivi sur les ordinateurs client
Windows prend en charge les informations de suivi détaillées sur la plupart des composants pour aider aux diagnostics des éventuels incidents. L'activation du suivi pour un composant entraîne la consignation d'une sortie de diagnostic dans les fichiers journaux texte et fournit un niveau de détail supérieur à celui des journaux d'événements.
Pour obtenir des informations détaillées à propos du processus d'authentification du réseau local sans fil, vous devez activer le suivi pour les composants EAPOL (EAP over LAN) et RASTLS (Remote Access Service - Transport Layer Security). Après avoir activé le suivi, essayez à nouveau le processus d'authentification et examinez les fichiers Eapol.log et Rastls.log à la recherche d'indications sur les incidents (ces fichiers sont placés dans le dossier %Systemroot%\Tracing).
Pour activer le suivi sur des ordinateurs clients
Exécutez les commandes suivantes :
netsh ras set tracing eapol enabled
netsh ras set tracing rastls enabled
Pour désactiver le suivi sur des ordinateurs clients
Exécutez les commandes suivantes :
netsh ras set tracing eapol disabled
netsh ras set tracing rastls disabled
Remarque : le suivi consomme des ressources système importantes et génère des fichiers de consignation, dont la taille peut augmenter rapidement. Veillez donc à désactiver le suivi lorsque le dépannage est terminé.
Activation et désactivation du suivi sur le serveur IAS
L'activation du suivi sur IAS fonctionne de la même façon que sur le client.
Vous pouvez avoir recours à la commande netsh pour activer et désactiver le suivi pour une variété de composants différents associés à l'authentification du réseau. Les composants les plus utiles à activer pour le suivi des problèmes d'authentification PEAP - 802.1X sont les suivants :
IASSAM (fichier Iassam.log du dossier %Systemroot%\tracing) : il s'agit du fichier de suivi le plus couramment utilisé pour les problèmes IAS, car il décrit les fonctions liées au piratage (conversion en différents formats) de noms d'utilisateur, à la liaison à un contrôleur de domaine et à la vérification des informations d'authentification. Il constitue le « cœur » des fichiers de suivi IAS et est généralement requis pour déboguer des problèmes liés à l'authentification.
RASTLS (fichier Rastls.log du dossier %Systemroot%\tracing) : ce fichier de suivi est utilisé pour toutes les authentifications de type EAP et PEAP. Ce journal contient la plupart des informations vitales de débogage ; toutefois, il n'est pas facile à déchiffrer et à comprendre. Microsoft prévoit de publier de la documentation qui facilitera son interprétation.
RASCHAP (fichier Raschap.log du dossier %Systemroot%\tracing) : ce fichier de suivi est utilisé pour toutes les opérations d'authentification par mot de passe basées sur le protocole MS-CHAP v2 ou autres protocoles CHAP.
L'activation du suivi sur les composants IAS suivants n'est généralement pas requise pour le dépannage de l'authentification 802.1X, mais peut se révéler utile pour diagnostiquer d'autres problèmes :
IASRAD (fichier Iasrad.log du dossier %Systemroot%\tracing) : toutes les opérations associées au protocole RADIUS sont consignées dans ce fichier. Ce fichier décrit les ports écoutés par le serveur, etc. Il peut être pratique pour déboguer les problèmes de compatibilité de points d'accès sans fil.
IASSDO (fichier Iassdo.log du dossier %Systemroot%\tracing) : le journal IASSDO gère les transactions entre l'interface utilisateur et les fichiers MDB qui enregistrent la configuration du serveur et le dictionnaire. Ce journal sert à dépanner tout service ou problème lié à l'interface utilisateur.
Pour activer le suivi sur le serveur IAS
Lancez la commande netsh correspondant au type d'informations de suivi dont vous avez besoin. Lorsque vous cherchez à résoudre des problèmes d'authentification 802.1X, les journaux IASSAM, RASTLS et RASCHAP sont les plus utiles.
netsh ras set tracing iassam enabled
netsh ras set tracing rastls enabled
netsh ras set tracing raschap enabled
netsh ras set tracing iasrad enabled
netsh ras set tracing iassdo enabled
Sinon, pour activer le suivi de toutes les catégories de composants réseau, lancez la commande suivante :
netsh ras set tracing * enabled
Pour désactiver le suivi sur le serveur IAS
Lancez une ou plusieurs des commandes netsh suivantes pour désactiver le suivi pour les catégories activées dans la procédure précédente :
netsh ras set tracing iassam disabled
netsh ras set tracing rastls disabled
netsh ras set tracing raschap disabled
netsh ras set tracing iasrad disabled
netsh ras set tracing iassdo disabled
Sinon, pour désactiver le suivi pour toutes les catégories de composants réseau, lancez la commande suivante :
netsh ras set tracing * disabled
**Remarque :**comme le suivi consomme des ressources système importantes, utilisez-le avec modération pour identifier les problèmes réseau. Une fois le suivi effectué ou le problème identifié, désactivez le suivi.
Par défaut, les journaux de suivi IASSAM et RASTLS sont fixés sur 1 Mo uniquement, ce qui peut conduire à l'écrasement d'informations importantes en cas de charge élevée. La procédure suivante fixe les journaux de suivi sur 10 Mo. Lorsqu'un fichier journal atteint le seuil de 10 Mo, il est renommé (en IASSAM.old et RASTLS.old) et un nouveau fichier journal est créé. Ainsi, 20 Mo de données au maximum sont conservées sur le serveur pour chaque type de suivi. Vous pouvez répéter cette opération pour tous les types de suivi en remplaçant par le nom de la catégorie de suivi (comme RASTLS et RASCHAP) le nom de clé « IASSAM » utilisé dans la procédure.
Pour fixer le journal de suivi IASSAM sur 10 Mo
Démarrez Regedit.exe.
Naviguez jusqu'à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
Localisez la clé secondaire IASSAM. La valeur doit être MaxFileSize (type de REG_DWORD). Éditez cette valeur pour la fixer sur 0xA00000 (représentation hexadécimale de 10 Mo – la valeur par défaut est 0x100000). Vous pouvez indiquer une autre valeur de votre choix (mais les journaux seront difficilement gérables si vous dépassez de beaucoup la valeur de 10 Mo).
Avertissement : toute erreur d'édition du Registre peut sévèrement endommager votre système. Avant de modifier le Registre, sauvegardez toutes les données importantes sur l'ordinateur.
Activation de la consignation SChannel sur le serveur IAS
Schannel (Secure channel) est un fournisseur de prise en charge de sécurité (SSP) prenant en charge une série de protocoles de sécurité pour Internet, comme SSL (Secure Sockets Layer) et TLS (Transport Level Security). Si vous suspectez des problèmes liés au certificat du serveur IAS ou si le journal RASTLS indique qu'il existe un problème au niveau de la création de la session TLS, vous devriez activer la journalisation SChannel sur le client et sur le serveur. Les événements sont consignés dans le journal de sécurité.
Suivez la même procédure pour le client et le serveur.
Pour activer la journalisation SChannel
Démarrez Regedit.exe.
Naviguez jusqu'à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
Activez les événements détaillés SChannel en changeant la valeur de EventLogging de 1 (type REG_DWORD, données 0x00000001) à 3 (type REG_DWORD, données 0x00000003).
Avertissement : toute erreur d'édition du Registre peut sévèrement endommager votre système. Avant de modifier le Registre, sauvegardez toutes les données importantes sur l'ordinateur.
Lorsque vous avez fini le dépannage, pensez à bien désactiver la journalisation SChannel car elle consomme énormément de ressources système et remplit le journal des événements d'entrées non désirés.
Outils de diagnostic Pocket PC
Windows XP dispose d'une gamme d'outils de diagnostic réseau. Les Pocket PC, a contrario, ont très peu d'outils intégrés dans le système de base. Le revendeur de votre Pocket PC, Microsoft, et d'autres sociétés fournissent différents types d'outils pouvant vous aider à résoudre les incidents de Pocket PC. En voici quelques exemples :
Outils de configuration IP et de diagnostic : outils tels que VXUtil ou VXIPConfig de Cambridge Software ;
outils de diagnostic pour réseau local sans fil fournis par le revendeur de votre Pocket PC.
Résumé
Ce chapitre a traité les points suivants, nécessaires à la bonne gestion de l'intégrité de l'infrastructure de sécurité de votre réseau local sans fil :
identification des principales tâches de maintenance ;
description des tâches opérationnelles, de surveillance, de support, de modification et d'optimisation associées à cet environnement ;
description des principales procédures et techniques de dépannage.
Références
Cette section fournit des références à d'autres sources d'informations qui servent de base aux instructions fournies dans ce chapitre.
Pour plus d'informations sur la sauvegarde et la restauration des serveurs Windows, allez à la page Windows Server 2003 « Backing up and restoring data » sur le site Microsoft.com à l'adresse :
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/entserver/ctasks001.mspxPour plus d'informations sur la surveillance et la gestion, allez à la page « Microsoft Solutions for Management » sur le site Microsoft.com à l'adresse :
https://www.microsoft.com/technet/itsolutions/techguide/
msm/default.mspxPour plus d'informations sur l'optimisation d'IAS, reportez-vous à l'adresse URL suivante :
Pour plus d'informations sur le dépannage des composants réseau sans fil suivants, reportez-vous aux adresses URL suivantes :
https://support.microsoft.com/default.aspx?scid=313242
https://www.microsoft.com/technet/prodtechnol/winxppro/
maintain/wifitrbl.mspxPour plus d'informations sur le dépannage d'IAS, reportez-vous à l'adresse URL suivante :
Pour plus d'informations sur la configuration IP et les outils de diagnostic tels que VXUtil ou VXIPConfig, reportez-vous à l'adresse URL suivante :
Téléchargez la solution complète
Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe