Des Suggestions ? Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction manuelle. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte.
Traduction
Source

Nouveautés de l’accès à distance

 

S'applique à: Windows 8.1, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit les nouveautés et les modifications apportées à la fonctionnalité d’accès à distance dans Windows Server 2012 R2, Windows 8.1 et Windows Server 2012.

Dans cette rubrique :

Sous Windows Server 2012 R2, l’accès à distance offre une meilleure prise en charge dans les domaines suivants :

Avec Windows Server 2012 R2, les hôtes peuvent déployer des passerelles site-à-site (S2S) mutualisées pour fournir la connectivité intersite à partir des réseaux des sites clients vers des réseaux virtuels dédiés par client dans le réseau de l’hôte. Le réseau virtuel du client peut être créé sur une virtualisation de réseau Hyper-V ou un VLAN chez l’hébergeur. Une seule instance de passerelle peut être utilisée par plusieurs clients avec des espaces d’adressage IP qui se chevauchent, ce qui accroît l’efficacité de l’hôte par rapport au déploiement d’une instance de passerelle séparée par client. La passerelle Routage et accès à distance (RRAS) est une solution logicielle qui peut être déployée dans plusieurs instances de serveurs RRAS mutualisés pour équilibrer la charge.

Avec Windows Server 2012, les hôtes peuvent permettre un accès VPN transparent à des ordinateurs virtuels répliqués dans le cloud, même après une panne pendant laquelle l’intégralité du site client est indisponible.Windows Server 2012 réduit les dépenses d'exploitation (CAPEX) et les dépenses d'investissement (OPEX) pour les hôtes avec une seule passerelle RRAS pouvant être utilisée pour plusieurs clients avec des espaces d’adressage IP qui se chevauchent. La passerelle Routage et accès à distance (RRAS) est une solution logicielle qui peut être déployée dans plusieurs instances de serveurs RRAS mutualisés pour équilibrer la charge.

Sous Windows Server 2012, le protocole BGP permet la distribution et l’apprentissage dynamiques des itinéraires à l’aide des interfaces RRAS site à site (S2S). Cette fonctionnalité permet aux hôtes, principalement les fournisseurs IaaS (Infrastructure as a service), de déployer le protocole BGP sur une passerelle RRAS S2S mutualisée afin que cette dernière puisse savoir quels paquets doivent être routés vers Internet, sur les sites clients et le réseau virtuel du client sur l’hôte, et qu’elle puisse les diriger correctement. La passerelle RRAS avec protocole BGP peut également être déployée par des entreprises sur le périmètre de leur site pour distribuer des itinéraires internes vers d’autres passerelles de périmètre (de la même entreprise dans des réseaux physiques ou virtuels) sur des tunnels sécurisés.

Le Proxy d’application Web est un service de rôle Accès à distance dans Windows Server 2012 R2. Le proxy d’application Web fournit la fonctionnalité de proxy inverse pour les applications Web au sein de votre réseau d’entreprise pour permettre aux utilisateurs d’y accéder à partir de n’importe quel appareil à l’extérieur du réseau d’entreprise. Les organisations peuvent fournir un accès conditionnel ou sélectif à ces applications Web, en fonction des besoins de l’organisation. Le proxy d’application web fournit également des fonctionnalités de proxy AD FS (services de fédération Active Directory) intégrées. Pour plus d'informations, voir Guide de déploiement du proxy d'application web.

Sous Windows 8.1, l’accès à distance offre une meilleure prise en charge dans les domaines suivants :

Sous Windows 8.1, le VPN déclenché automatiquement ou par application permet à des applications prédéfinies de se connecter automatiquement aux réseaux d’entreprise en ouvrant une connexion VPN au démarrage de l’application. Vous pouvez identifier ces applications et limiter l’accès à distance en fonction de l’identité de l’utilisateur et de l’identité de l’ordinateur à partir duquel l’utilisateur accède à la ressource. Cela permet un accès fiable et sécurisé aux ressources d’entreprise à partir de différents appareils. Pour plus d'informations, voir Guide de laboratoire de Test Windows Server 2012 R2 : Montrez déclencheur automatique de VPN.

Windows 8.1 pour x86, amd64 (et ARM dans Windows RT 8.1) prend en charge le plug-in VPN SSL des fournisseurs VPN non-Microsoft suivants :

  • Dell SonicWall, Inc.

  • Juniper Networks, Inc.

  • F5 Networks, Inc.

  • Checkpoint Software Technologies, Ltd.

Le plug-in VPN non-Microsoft prend également en charge une applet de commande Windows PowerShell similaire pour configurer le déclenchement automatique du VPN. Les profils de connexion VPN peuvent être configurés pour se déclencher automatiquement selon un nom DNS. Pour une application, les profils peuvent également être configurés à l’aide de la gestion des périphériques mobiles Windows PowerShell ou Microsoft.

La prise en charge des plug-ins VPN non-Microsoft est assurée par les partenaires VPN non-Microsoft respectifs. Le tableau suivant fournit des liens vers des documents de ces partenaires.

Fournisseur de plug-in VPN

Document de prise en charge

SonicWall

SonicWall Mobile Connect for Windows 8.1 User Guide

Juniper

F5 Networks

CheckPoint

Sous Windows 8.1, la prise en charge de la configuration VPN avancée permet d’utiliser un ensemble d’applets de commande Windows PowerShell pour configurer les connexions VPN au lieu d’utiliser plusieurs scripts. Cette fonctionnalité améliore également la gestion des périphériques mobiles Microsoft en permettant à tous les paramètres requis d’être automatiquement configurés sur les périphériques mobiles, sans avoir à exécuter des scripts supplémentaires.

Les améliorations apportées à IPsec dans Windows 8.1 autorisent les normes de chiffrement Suite-B ou d’autres configurations de chiffrement personnalisées pour les tunnels IPSec. Les clients VPN peuvent être configurés pour utiliser ces normes et configurations avec des applets Windows PowerShell simples. Cela vous permet également de sélectionner un certificat client spécifique par connexion VPN.

Dans Windows 8, la création et la modification de profils VPN avait lieu en affichage Bureau. Sous Windows 8.1, vous pouvez à présent créer et modifier des profils de connexion VPN dans Paramètres du PC au lieu d’accéder au Bureau et de naviguer dans différents menus. Cette nouvelle expérience de modification de profil VPN est optimisée et simplifiée pour les écrans tactiles. Les propriétés avancées sont toujours accessibles à partir du Bureau, si nécessaire.

Server Core est une option d’installation serveur minimale conçue pour réduire les conditions requises d’espace disque, de service et de gestion et diminuer la surface d’attaque du système d’exploitation. Le système Server Core ne prend pas en charge d’interface graphique utilisateur et les administrateurs doivent utiliser des outils de ligne de commande ou de gestion à distance pour accomplir toutes les tâches de configuration nécessaires.

Une installation minimale de Windows Server 2012 ou Windows Server 2012 R2 inclut la prise en charge du rôle serveur d’accès à distance pour DirectAccess et RRAS.

Le nouveau rôle serveur d’accès à distance dispose d’une prise en charge complète de Windows PowerShell dans Windows Server 2012 et Windows Server 2012 R2, que vous pouvez utiliser pour l’installation, la configuration et l’analyse. Le rôle de serveur d’accès à distance peut également être configuré par le biais de la gestion de serveur à distance.

Sous Windows Server 2008 R2, il manque à DirectAccess une interface de script et de ligne de commande complète pour les options de configuration.Windows Server 2012 R2 et Windows Server 2012 fournissent une prise en charge complète de Windows PowerShell pour l’installation, la configuration, la gestion, l’analyse et le dépannage du rôle serveur d’accès à distance, y compris les services des rôles DirectAccess, RRAS et proxy d’application web.

Les capacités d’analyse et de diagnostics du serveur RRAS et de DirectAccess sont limitées dans Windows Server 2008 R2. Pour DirectAccess, les capacités d’analyse incluent uniquement le contrôle d’intégrité élémentaire de DirectAccess et de ses composants. Les statistiques et les données d’analyse disponibles sont d’une importance ou d’une pertinence réduite pour les administrateurs.

Le contrôle d’intégrité utilisateur et serveur introduit dans Windows Server 2012 permet à l’administrateur de comprendre le comportement des clients et connexions DirectAccess. La console d’analyse permet d’effectuer le suivi de la charge sur le serveur DirectAccess, de l’activité utilisateur et de l’utilisation actuelle des ressources. L’administrateur utilise ces informations pour identifier les activités utilisateur potentiellement indésirables ou inappropriées. Le suivi de diagnostic peut également être activé à partir de la console d’analyse.

Les administrateurs des solutions d’accès à distance doivent pouvoir analyser non seulement quels utilisateurs sont connectés, mais aussi à quelles ressources ils accèdent. Si des utilisateurs se plaignent qu’un serveur ou un partage de fichiers particulier est inaccessible à distance, l’administrateur n’a actuellement aucun moyen de déterminer si d’autres utilisateurs accèdent correctement à la ressource à partir de la console d’accès à distance. Plusieurs outils et applications sont normalement nécessaires pour résoudre des problèmes tels qu’une consommation excessive de bande passante par des utilisateurs particuliers.

L’accès au tableau de bord s’effectue à partir de la nouvelle console de gestion de l’accès à distance en sélectionnant l’onglet Tableau de bord dans le volet de navigation. Le tableau de bord affiche l’état opérationnel global ainsi que l’état et l’activité des clients distants. L’administrateur peut également consulter des rapports rapides directement à partir du tableau de bord.

Le tableau de bord de suivi montre un résumé de l’état de connexion des clients distants pour les éléments répertoriés ci-dessous. Ces informations sont générées à partir des compteurs de l’Analyseur de performances et des données de gestion des comptes appropriés.

  • Nombre total de clients distants actifs connectés : clients distants VPN et DirectAccess inclus

  • Nombre total de clients DirectAccess actifs connectés : nombre total de clients uniquement connectés à l’aide de DirectAccess

  • Nombre total de clients VPN actifs connectés : nombre total de clients uniquement connectés via un réseau VPN

  • Nombre total d’utilisateurs uniques connectés : utilisateurs DirectAccess et VPN inclus, en fonction des connexions actives

  • Nombre total cumulé de connexions : nombre total de connexions servies par le serveur d’accès à distance depuis le dernier redémarrage du serveur

  • Nombre maximal de clients distants connectés : nombre maximal d’utilisateurs distants simultanés connectés au serveur d’accès à distance depuis le dernier redémarrage du serveur

  • Totalité des données transférées : totalité du trafic entrant et sortant du serveur d’accès à distance pour DirectAccess et VPN depuis le dernier redémarrage du serveur

    1. Trafic entrant : trafic total/nombre total d’octets entrant dans le serveur d’accès à distance/la passerelle

    2. Trafic sortant : trafic total/nombre total d’octets sortant du serveur d’accès à distance/de la passerelle

Dans un déploiement de cluster, le résumé de l’état et de l’activité des clients distants sur le tableau de bord des accès distants affiche les valeurs totales pour tous les nœuds du cluster.

Les administrateurs peuvent consulter la liste de tous les utilisateurs distants actuellement connectés et peuvent afficher la liste de toutes les ressources auxquelles ces derniers ont eu accès, en cliquant sur le nom d’un utilisateur distant particulier. Les administrateurs peuvent afficher les statistiques des utilisateurs distants en sélectionnant le lien Statut du client distant dans la console de gestion de l’accès à distance. Les statistiques utilisateur peuvent être filtrées en fonction de critères sélectionnés à l’aide des champs suivants :

Nom du champ

Value

Nom d'utilisateur

Nom de l’utilisateur ou alias de l’utilisateur distant. Des caractères génériques peuvent être utilisés pour sélectionner un groupe d’utilisateurs, tel que contoso\* ou *\administrator. Si aucun domaine n’est spécifié, * \username est utilisé par défaut.

Hostname

Nom du compte d’ordinateur de l’utilisateur distant. Une adresse IPv4 ou IPv6 peut également être spécifiée.

Type

DirectAccess ou VPN. Si DirectAccess est sélectionné, tous les utilisateurs distants qui se connectent à l’aide de DirectAccess sont répertoriés. Si VPN est sélectionné, tous les utilisateurs distants qui se connectent à l’aide de VPN sont répertoriés.

Adresse FAI

Adresse IPv4 ou IPv6 de l’utilisateur distant.

Adresse IPv4

Adresse IPv4 interne du tunnel connectant l’utilisateur distant au réseau d’entreprise.

Adresse IPv6

Adresse IPv6 interne du tunnel connectant l’utilisateur distant au réseau d’entreprise.

Protocole/Tunnel

Technologie de transition utilisée par le client distant. Il s’agit de Teredo, 6to4 ou IP-HTTPS pour les utilisateurs DirectAccess et de PPTP, L2TP, SSTP ou IKEv2 pour les utilisateurs VPN.

Ressource consultée

Tous les utilisateurs accédant à un point de terminaison particulier ou à une ressource d’entreprise particulière. La valeur correspondant à ce champ est le nom d’hôte/l’adresse IP du serveur/point de terminaison.

Server (Serveur)

Serveur d’accès à distance auquel les clients sont connectés. Convient uniquement pour les déploiements de cluster et multisites.

Cette fonctionnalité permet aux administrateurs de gérer et suivre l’état des déploiements de l’accès à distance à partir d’une console d’analyse centralisée. Elle alerte les administrateurs chaque fois qu’un problème nécessitant leur attention est détecté. L’interface affiche des informations de diagnostic détaillées avec la procédure de résolution.

Le nœud Tableau de bord de l’arborescence de la console indique l’état du serveur d’accès à distance, y compris l’état de l’infrastructure d’accès à distance et des composants associés. Il indique également si la configuration est correctement répartie entre les points d’entrée.

Le nœud État des opérations du serveur de l’arborescence de la console indique l’état du serveur d’accès à distance, y compris l’état de l’infrastructure d’accès à distance et des composants associés. En cliquant sur un composant, les administrateurs peuvent voir l’état, l’historique des modifications et les détails de l’analyse de ce composant.

Si des serveurs d’accès à distance sont déployés dans un déploiement multisite ou de cluster, tous les serveurs du cluster ou du déploiement multisite sont évalués de façon asynchrone et sont répertoriés avec leur état global. Les administrateurs peuvent parcourir la liste des serveurs et développer ou réduire la vue pour afficher les composants serveur DirectAccess et VPN.

Les composants d’accès à distance avec les moniteurs d’état affichés dans le volet État des opérations du serveur sont les suivants :

  • 6to4

  • DNS

  • DNS64

  • Contrôleur de domaine

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • Serveurs d’administration

  • NAT64

  • Cartes réseau

  • Serveur Emplacement réseau

  • Sécurité réseau (IPsec DoSP)

  • Services

  • Teredo

  • Équilibrage de charge

  • Adressage VPN

  • Connectivité VPN

La résolution des problèmes d’échec de connexion d’accès à distance pour RRAS et DirectAccess peut s’avérer extrêmement complexe en raison des capacités de journalisation limitées actuellement fournies. Les administrateurs requièrent généralement des captures du moniteur réseau et le suivi RRAS pour la résolution des problèmes, car les journaux de l’Observateur d’événements ne sont pas très utiles ni normatifs.

Sous Windows Server 2012 R2 et Windows Server 2012, les améliorations suivantes ont été apportées aux fonctionnalités de diagnostic pour la résolution des problèmes d’accès à distance :

  • Enregistrement des événements détaillés pour DirectAccess

    Les administrateurs peuvent utiliser l’enregistrement amélioré des événements pour identifier les problèmes et effectuer l’analyse des capacités et des performances. Les journaux des événements sont standardisés pour garantir une expérience cohérente avec les autres composants réseau.

  • Suivi et capture des paquets

    Le suivi intégré permet aux administrateurs de rassembler facilement des journaux de suivi et des captures de paquets réseau d’un simple clic. Le suivi avec capture de paquets et la corrélation des journaux s’effectuent dans le cadre d’un processus individuel lorsque l’administrateur clique sur la tâche Démarrer le suivi dans le volet des tâches.

  • Corrélation des journaux

    Cette fonctionnalité fournit une collection et une corrélation automatisées de journaux pour différents composants DirectAccess, grâce à un simple clic, tirant ainsi parti de la fonctionnalité de suivi de trace unifié de Windows. Les événements rassemblés à partir de différents composants sont consolidés en un fichier unique par le biais de la corrélation des ID d’activités. Les ID d’activités sont des GUID qui identifient une tâche ou une action particulière. Lorsqu’un composant enregistre un événement, il associe un ID d’activité à l’événement. Le composant transmet alors cet ID, ou un événement de transfert mappé sur cet ID, au composant qui effectue la tâche suivante dans le scénario. Ainsi, il associe son ID d’activité aux événements du journal. Lors de l’analyse du fichier de suivi obtenu, la relation entre les divers composants correspondant à un scénario peut être reconstruite.

  • Activation et affichage des journaux

    Le suivi peut être activé à partir du volet des tâches du tableau de bord de suivi ou à partir de la ligne de commande, qui contrôle également les niveaux d’enregistrement, les mots clés et les filtres. Les fichiers ETL de suivi de trace unifié obtenus peuvent être lus et affichés à l’aide du moniteur réseau.

Les serveurs d’accès à distance qui exécutent Windows Server 2012 ou Windows Server 2012 R2 peuvent tirer parti d’un déploiement de serveur RADIUS existant ou du service Base de données interne de Windows (WID) dans le but de gérer les comptes. Des informations et des données d’historique sur l’état du serveur et la charge sont disponibles par le biais des compteurs de l’Analyseur de performances système et sont stockées dans le magasin de gestion des comptes WID. Dès qu’une connexion est reçue ou déconnectée sur le serveur d’accès à distance, toutes les statistiques de l’utilisateur distant (y compris les points de terminaison atteints) sont enregistrées dans le magasin de gestion des comptes en tant que session. Cela permet d’accéder ultérieurement aux détails de la session dans le but de créer un rapport ou d’effectuer un audit.

Les fonctionnalités de gestion de comptes et de création de rapports fournies dans le rôle serveur d’accès à distance incluent la capacité à mesurer des métriques spécifiques. Les métriques disponibles incluent le nombre d’utilisateurs connectés à un serveur DirectAccess particulier et le nombre total d’octets transférés. Les administrateurs peuvent créer des rapports personnalisés pour identifier les tendances de trafic et d’utilisation, y compris un historique de ces tendances.

Les capacités de création de rapports de DirectAccess et de RRAS permettent aux administrateurs de créer des rapports d’utilisation détaillés sur la base de statistiques variées, telles que les statistiques relatives aux utilisateurs distants, la disponibilité du serveur et la charge. Le magasin de gestion des comptes de boîte de réception est utilisé pour générer le rapport d’utilisation. La gestion des comptes de boîte de réception dans une base de données WID locale doit être activée pour que des rapports d’utilisation puissent être générés. La gestion des comptes NPS/RADIUS ne peut pas être utilisée pour la création de rapports.

Le rapport d’utilisation permet de visualiser l’historique d’utilisation, y compris quels utilisateurs ont établi des connexions distantes, à quelles ressources ils ont accédé, le nombre total d’utilisateurs uniques et la charge de serveur maximale générée. L’administrateur peut sélectionner une période spécifique pour laquelle il veut générer les données.

La connectivité intersite est une fonctionnalité de Windows Server 2012 R2 et Windows Server 2012 qui fournit la connectivité réseau pour permettre à des fournisseurs d’hébergement de service de migrer leurs applications et leur infrastructure vers le cloud. Cette fonctionnalité inclut une solution de connectivité VPN en mode tunnel IKEv2 (Internet Key Exchange version 2) de site à site et une interface de gestion.Windows Server 2008 R2 a introduit la prise en charge d’IKEv2 dans RRAS pour les connexions VPN. Un réseau VPN IKEv2 confère de la résilience au client VPN lorsque le client passe d’un réseau à un autre ou lorsqu’il bascule d’une connexion sans fil à une connexion câblée. L’utilisation d’IKEv2 et d’IPsec permet de prendre en charge les méthodes d’authentification et de chiffrement renforcés. Sous Windows Server 2012 R2 et Windows Server 2012, RRAS fournit des améliorations de fonctionnalités supplémentaires pour activer IKEv2 pour les connexions VPN de site à site.

Certaines fonctionnalités de routage et accès à distance (RRAS) sont déconseillées à partir de Windows Server 2012 R2. Ces fonctionnalités vont toutes être supprimées de RRAS, mais restent toutefois disponibles sur ce système d’exploitation. Vous pouvez dès à présent commencer à planifier l’utilisation d’autres méthodes si vos applications, votre code ou des modes d’utilisation dépendent de ces fonctionnalités.

Les fonctionnalités RRAS suivantes sont présentes sous Windows Server 2012 R2 et sont déconseillées pour les versions ultérieures du système d’exploitation.

  • Pilote RAS/ICS NAT. Le pilote RAS/ICS (Remote Access Service Internet Connection Sharing) sera remplacé par le pilote WINNAT (Windows Network Address Translation).

  • RQC/RQS. La fonctionnalité de contrôle de quarantaine d’accès réseau est déconseillée. Pour plus d’informations sur le contrôle de quarantaine d’accès réseau dans NPS (Network Policy Server), consultez la page Contrôle de quarantaine d’accès réseau.

  • Types de périphériques tunnel non pris en charge. Sont inclus tous les types de périphériques tunnel, sauf les accès à distance, le haut débit et le PPPoE (Point-to-Point over Ethernet).

  • Prise en charge RIP/MIB. Le protocole RIP (Routing Information Protocol) et la base d’informations de gestion MIB sont déconseillés.

Afficher:
© 2016 Microsoft