Gérer les clients DirectAccess à distance
S'applique à: Windows Server 2012 R2, Windows Server 2012
Remarque : Windows Server 2012 associe DirectAccess et le service Routage et accès distant (RRAS) dans un rôle Accès à distance unique.
Cette rubrique présente un scénario avancé que vous pouvez utiliser pour configurer un serveur d'accès à distance unique qui servira à gérer des clients DirectAccess à distance.
Description du scénario
Dans ce scénario, un seul ordinateur exécutant Windows Server 2012 est configuré en tant que serveur d’accès à distance dans le seul but de gérer à distance les clients DirectAccess. Du coup, sont exclus tous les autres composants que vous pouvez utiliser si vous sélectionnez un déploiement complet de DirectAccess, notamment l'accès des clients à des réseaux internes, le tunneling forcé, l'authentification forte et la conformité de la protection d’accès réseau (NAP).
Notes
Pour configurer un déploiement de base avec uniquement des paramètres simples, voir Déployer un serveur DirectAccess individuel à l’aide de l’Assistant Mise en route. Dans le scénario simple, vous pouvez configurer l'accès à distance avec les paramètres par défaut à l'aide d'un Assistant. Vous n'avez pas de paramètres d'infrastructure à configurer, comme une autorité de certification ou des groupes de sécurité Active Directory.
Dans ce scénario
Pour configurer un serveur d'accès à distance unique visant à gérer les clients, plusieurs étapes de planification et de déploiement sont nécessaires.
Étapes de planification
La planification de ce scénario se divise en deux phases :
Planifier l’infrastructure d’accès à distance : au cours de cette phase, vous planifiez l'infrastructure réseau avant de commencer à déployer l'accès à distance. Cette phase comprend la planification de la topologie réseau et serveur, des certificats, du système DNS (Domain Name System), d'Active Directory, des objets de stratégie de groupe (GPO) et du serveur d'emplacement réseau DirectAccess.
Planifier le déploiement Accès à distance : au cours de cette phase, vous préparez le déploiement de l'accès à distance. Cela inclut la planification des ordinateurs clients d'accès à distance, de la configuration de l’authentification des serveurs et clients, des paramètres VPN, de l'infrastructure et des serveurs de gestion.
Pour connaître les étapes de planification détaillées, voir Planifier le déploiement de la gestion à distance des Clients DirectAccess.
Conditions préalables
Avant de démarrer ce scénario, prenez connaissance des conditions requises suivantes qui ont leur importance :
- Le Pare-feu Windows doit être activé sur tous les profils.
- DirectAccess prend uniquement en charge les clients qui exécutent Windows 8.1, Windows 8 et Windows 7.
- La modification des stratégies en dehors de la console de gestion DirectAccess ou à l'aide d'applets de commande Windows PowerShell n'est pas prise en charge.
Étapes de déploiement
Le déploiement comporte les trois phases suivantes pour ce scénario :
Configurer l’infrastructure Accès à distance : au cours de cette phase, vous configurez le réseau et le routage, les paramètres de pare-feu (le cas échéant), les certificats, les serveurs DNS, Active Directory et les paramètres des objets de stratégie de groupe, ainsi que le serveur d'emplacement réseau DirectAccess.
Configurer les paramètres du serveur Accès à distance : au cours de cette phase, vous configurez les ordinateurs clients d'accès à distance, le serveur d'accès à distance, les serveurs d'infrastructure et les serveurs de gestion et d'application.
Vérifier le déploiement : au cours de cette phase, vous vérifiez que le déploiement fonctionne comme prévu.
Pour connaître les étapes de déploiement détaillées, voir Installer et configurer le déploiement de la gestion à distance des Clients DirectAccess.
Cas pratiques
Le déploiement d'un seul serveur d'accès à distance pour gérer les clients DirectAccess offre les avantages suivants :
Facilité d’accès : les ordinateurs clients gérés exécutant Windows 8.1, Windows 8 ou Windows 7 peuvent être configurés en tant qu’ordinateurs clients DirectAccess. Ces clients peuvent accéder aux ressources réseau internes via DirectAccess chaque fois qu'ils sont connectés à Internet, sans avoir à utiliser une connexion VPN. Les ordinateurs clients qui n'exécutent pas l'un de ces systèmes d'exploitation peuvent se connecter au réseau interne via un VPN. DirectAccess et VPN sont gérés dans la même console et avec le même jeu d’Assistants.
Facilité de gestion : les ordinateurs clients DirectAccess qui sont connectés à Internet peuvent être gérés à distance par des administrateurs d'accès à distance via DirectAccess, même si ces ordinateurs ne font pas partie du réseau interne de l'entreprise. Les ordinateurs clients qui ne répondent pas aux spécifications de l'entreprise peuvent être automatiquement mis à jour par les serveurs de gestion.
Fonctionnalités et rôles inclus dans ce scénario
Le tableau suivant répertorie les rôles et fonctionnalités requis pour planifier et déployer ce scénario.
Rôle/fonctionnalité |
Prise en charge de ce scénario |
|---|---|
Rôle Accès à distance |
Le rôle est installé et désinstallé à l’aide de la console du Gestionnaire de serveur ou de Windows PowerShell. Ce rôle englobe à la fois DirectAccess, qui était auparavant une fonctionnalité de Windows Server 2008 R2, et le service Routage et accès distant qui était auparavant un service de rôle sous le rôle de serveur Services de stratégie et d’accès réseau. Le rôle Accès à distance est constitué de deux composants :
Le rôle de serveur d’accès à distance dépend des rôles/fonctionnalités de serveur suivants :
|
Fonctionnalité des outils de gestion de l’accès à distance |
Cette fonctionnalité est installée comme suit :
La fonctionnalité des outils de gestion de l’accès à distance est constituée des éléments suivants :
Les dépendances incluent :
|
Configuration matérielle requise
La configuration matérielle requise pour ce scénario comprend les éléments suivants :
Configuration requise du serveur :
Un ordinateur qui présente la configuration matérielle requise pour Windows Server 2012.
Au moins une carte réseau doit être installée et activée sur le serveur. Quand deux cartes sont utilisées, la première doit être connectée au réseau interne de l’entreprise et la seconde doit être connectée au réseau externe (Internet).
Si le protocole Teredo est requis pour la transition d’IPv4 vers IPv6, la carte externe du serveur nécessite deux adresses IPv4 publiques consécutives. Si une seule adresse IP est disponible, seul le protocole IP-HTTPS peut être utilisé pour la transition.
Au moins un contrôleur de domaine. Le serveur d’accès à distance et les clients DirectAccess doivent être membres d’un domaine.
Un serveur d’autorité de certification est requis si vous ne souhaitez pas utiliser de certificats auto-signés pour IP-HTTPS ou le serveur Emplacement réseau, ou si vous souhaitez utiliser des certificats clients pour authentifier les clients IPsec. Vous pouvez aussi demander des certificats à une autorité de certification publique.
Si le serveur d'emplacement réseau ne se trouve pas sur le serveur d'accès à distance, il est nécessaire d'utiliser un serveur web distinct pour l’exécuter.
Configuration requise du client :
Un ordinateur client doit exécuter Windows 8 ou Windows 7.
Notes
Seuls les systèmes d’exploitation suivants peuvent être utilisés en tant que clients DirectAccess : Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Entreprise et Windows 7 Édition Intégrale.
Configuration requise en termes d’infrastructure et de serveurs d’administration :
Lors de la gestion à distance des ordinateurs clients DirectAccess, les clients initient des communications avec des serveurs de gestion, tels que les contrôleurs de domaine et les serveurs System Center Configuration Server, pour des services incluant les mises à jour Windows et antivirus, ainsi que la mise en conformité des clients de protection d'accès réseau (NAP). Les serveurs requis doivent être déployés préalablement au déploiement de l’accès à distance.
Si l’accès à distance requiert la conformité des clients de protection d’accès réseau, les serveurs NPS et HRS doivent être déployés préalablement au déploiement de l’accès à distance.
Lorsque le réseau VPN est activé, un serveur DHCP est requis pour allouer automatiquement des adresses IP aux clients VPN si un pool d’adresses statiques n’est pas utilisé.
Un serveur DNS exécutant Windows Server 2008 SP2, Windows Server 2008 R2 ou Windows Server 2012 est requis.
Configuration logicielle requise
Plusieurs conditions sont requises pour ce scénario :
Configuration requise du serveur :
Le serveur d’accès à distance doit être membre d’un domaine. Le serveur peut être déployé en périphérie du réseau interne ou derrière un pare-feu de périmètre ou un autre périphérique.
Si le serveur d’accès à distance se trouve derrière un pare-feu de périmètre ou un périphérique NAT, ce périphérique doit être configuré de manière à autoriser le trafic en direction et en provenance du serveur d’accès à distance.
La personne qui déploie l’accès à distance sur le serveur doit disposer des autorisations d’administrateur local sur le serveur, ainsi que des autorisations d’utilisateur de domaine. L’administrateur doit également disposer des autorisations pour les objets de stratégie de groupe utilisés dans le déploiement de DirectAccess. L’utilisation des fonctionnalités qui limitent le déploiement de DirectAccess sur les ordinateurs portables uniquement nécessite de disposer des autorisations permettant de créer un filtre WMI sur le contrôleur de domaine.
Configuration requise des clients d’accès à distance :
Les clients DirectAccess doivent appartenir au domaine. Les domaines contenant des clients peuvent appartenir à la même forêt que celle du serveur d’accès à distance ou ils peuvent avoir une relation d’approbation bidirectionnelle avec la forêt ou le domaine du serveur d’accès à distance.
Un groupe de sécurité Active Directory est requis afin de contenir les ordinateurs qui seront configurés en tant que clients DirectAccess. Si aucun groupe de sécurité n’est spécifié lors de la configuration des paramètres des clients DirectAccess, le client GPO est appliqué par défaut sur tous les ordinateurs portables inclus dans le groupe de sécurité Ordinateurs du domaine. Notez les éléments suivants :
Nous vous recommandons de créer un groupe de sécurité pour chaque domaine qui contient les ordinateurs qui seront configurés en tant que clients DirectAccess.
Voir aussi
Le tableau suivant fournit des liens vers des ressources supplémentaires.
Type de contenu |
Références |
|---|---|
Accès à distance sur TechNet |
|
Évaluation du produit |
Guide du laboratoire de test : Décrire un déploiement Multisite DirectAccess Guide du laboratoire de test : Décrire DirectAccess avec l'authentification unique et RSA SecurID |
Résolution des problèmes |
Résolution des problèmes de l’accès à distance, publication à venir |
Outils et paramètres |
|
Ressources de la communauté |
Blog de l’équipe du produit RRAS | Forum TechNet sur l’accès à distance |
Technologies connexes |