Windows Server : la puissance d’intégration

Windows offre encore plus de valeur lorsque vous pouvez combiner les fonctionnalités des plateformes de serveurs et de clients pour former une solution complète.

Joshua Hoffman

Windows, en tant que système d’exploitation de bureau, fait fonctionner nos PC et nous permet de tirer le meilleur parti de la technologie moderne. Les fonctionnalités de Windows 7 prennent en charge des tâches, telles que la connectivité réseau qui fournit l’Internet sur notre bureau, l’exécution d’applications qui permettent aux spécialistes de l’information d’acquérir et de partager des connaissances, d’analyser des données de l’entreprise et de communiquer avec les partenaires, les clients et les collègues en temps réel.

Windows est aussi un système d’exploitation serveur robuste qui constitue le socle de nombreux centres de données. Windows Server fait tout, du fichier et des services d’impression jusqu’à la virtualisation avec Hyper-V pour alimenter les sites Web avec IIS.

Cependant, la plus grande valeur que Windows intervient lorsque les fonctionnalités des plateformes de serveurs et de clients fusionnent pour offrir une solution complète à un problème d’entreprise. Vous pouvez créer plusieurs solutions complètes avec des composants existants des plateformes de clients et de serveurs Windows. Il existe également des ressources utiles pour vous aider à suivre le processus de création de ces solutions.

Connectivité transparente

DirectAccess avec la protection d’accès réseau (NAP) fournit une solution robuste, pratique, fondée sur l’intégration de plusieurs composants Windows. DirectAccess connecte les ordinateurs clients aux ressources intranet en évitant la complexité d’un réseau privé virtuel (VPN). La connectivité est transparente. Elle fournit une connectivité à distance simple et rationalisée tout en maintenant la sécurité nécessaire pour protéger les ressources internes.

DirectAccess avec NAP fournit également des vérifications d’intégrité permanentes pour les ordinateurs distants (pas seulement l’ordinateur distant à partir duquel il essaie d’établir une connexion, comme on peut le voir dans une solution VPN). Il applique également les spécifications d’intégrité avant d’autoriser la connexion de l’utilisateur distant.

Les clients DirectAccess utilisent un certificat d’ordinateur par défaut pour l’authentification d’homologue IPsec (sécurité du protocole Internet). Avec DirectAccess et NAP, le certificat d’authentification pour l’accès intranet est un certificat d’intégrité. Ce certificat d’intégrité valide l’identité de l’ordinateur client DirectAccess et certifie que le client DirectAccess est conforme aux exigences d’intégrité du système.

La solution DirectAccess avec NAP utilise un certain nombre de composants de l’infrastructure Windows pour fournir cette fonctionnalité (voir Figure 1). Ces composants incluent les éléments suivants :

• Services de domaine Active Directory (AD DS) : ils donnent une appartenance de domaine aux clients et aux serveurs DirectAccess, une authentification des informations d’identification de l’ordinateur et de l’utilisateur, et diffuse les paramètres de stratégie de groupe aux clients DirectAccess.
• Infrastructure de clé publique (PKI) : elle donne des certificats numériques aux clients et serveurs DirectAccess, et aux serveurs Web pour DirectAccess avec NAP. Une autorité de certification (CA) émet des certificats d’ordinateurs et une CA Windows séparée, appelée NAP CA, émet des certificats d’intégrité.
• Serveur DirectAccess : ordinateur exécutant Windows Server 2008 R2 qui héberge des connexions DirectAccess.
• Serveur d’emplacement réseau : ordinateur exécutant généralement Windows Server 2008 ou version ultérieure et IIS pour héberger un site Web sécurisé, pour que les clients DirectAccess puissent déterminer s’ils sont connectés à l’intranet.
• Serveur de stratégie d’intégrité NAP : ordinateur exécutant Windows Server 2008 ou version ultérieure et un serveur NPS et qui réalise la validation et la connexion de l’intégrité du système.
• HRA (Health Registration Authority) : ordinateur exécutant Windows Server 2008 ou version ultérieure et IIS qui obtient des certificats numériques provenant de NAP CA pour les clients DirectAccess conformes.
• Serveurs de mise à jour : ordinateurs qui offrent des mises à jour ou des ressources nécessaires aux clients DirectAccess non conformes pour répondre aux exigences d’intégrité du système. Les serveurs Windows Software Update Services (WSUS) et les serveurs de diffusion de protection contre les logiciels malveillants en sont des exemples.

Figure 1 Composants d’infrastructure de la solution DirectAccess avec NAP.

Examinons brièvement comment la solution DirectAccess avec NAP fonctionne en gardant à l’esprit ces composants d’infrastructure. Lorsque le client DirectAccess est lancé, il se connecte au domaine AD DS et envoie des informations relatives à son état d’intégrité au HRA. Le HRA envoie ensuite les informations relatives à l’état d'intégrité du client DirectAccess au serveur de stratégie de contrôle d’intégrité NAP.

Le serveur de stratégie de contrôle d’intégrité NAP évalue l’intégrité du client DirectAccess, vérifie la conformité et envoie les résultats au HRA. Si le client DirectAccess n’est pas conforme, les résultats incluent des instructions de rétablissement de l’intégrité.

Si l’état d’intégrité est conforme, le HRA reçoit un certificat d’intégrité émanant de l’infrastructure PKI et envoie l’adresse au client DirectAccess. Le client DirectAccess peut désormais créer le tunnel intranet à l’aide du serveur DirectAccess.

Si l’état d’intégrité n’est pas conforme, le HRA n’émettra pas de certificat d’intégrité. Le client DirectAccess ne peut créer le tunnel intranet à l’aide du serveur DirectAccess. L’accès est ainsi effectivement bloqué. Néanmoins, le client DirectAccess peut accéder aux serveurs de mise à jour pour corriger son état d’intégrité.

Le client DirectAccess contacte les serveurs de mise à jour pour obtenir les mises à jour de conformité requises, si nécessaire. Une fois que ce processus est terminé, le client DirectAccess met à jour ses informations d’état d’intégrité et les envoie au HRA. Le HRA envoie ces informations mises à jour au serveur de stratégie de contrôle d’intégrité NAP. Si toutes les mises à jour demandées ont été effectuées, ce serveur vérifie la conformité et envoie les résultats au HRA.

Le HRA reçoit ensuite un certificat d’intégrité émanant de l’autorité de certification NAP et l’envoie au client DirectAccess. Celui-ci peut ainsi utiliser le certificat d’intégrité comme authentification pour accéder à l’intranet grâce au serveur DirectAccess.

Le résultat, basé sur un mélange de composants Windows, est un personnel mobile. Celui-ci peut désormais accéder en toute transparence aux ressources internes, tout en préservant la sécurité et l’intégrité du réseau interne.

Pour en savoir plus sur la solution DirectAccess avec NAP, consultez le Guide solution complet disponible dans la bibliothèque TechNet. Des guides de laboratoires de test pour DirectAccess avec NAP sont également disponibles. Ces guides de laboratoires de test détaillent et renseignent sur toutes les étapes à suivre pour créer un environnement de laboratoire permettant de montrer et de tester cette solution.

Créer des solutions intégrées

Des guides de laboratoires de test sont également disponibles pour de nombreuses autres solutions d’infrastructure Windows. Vous trouverez par exemple des guides de laboratoires de test pour d’autres configurations de solution DirectAccess avec NAP, y compris Forefront Unified Access Gateway avec DirectAccess et NAP.

Commencez avec la configuration de laboratoire de test de base, qui vous permet d’établir une configuration sur laquelle vous pourrez expérimenter de nouvelles solutions dans un environnement contrôlé. Des guides de laboratoires de test supplémentaires sont disponibles pour cette configuration de base.

Une fois installée, vous pouvez explorer d’autres solutions intégrées. D’autres laboratoires de test explorent les nouveaux protocoles réseau IPv6 et DHCPv6. IPv6 est conçu pour résoudre bon nombre des problèmes de l’actuelle version du protocole Internet (appelé IPv4), tels que l’épuisement des adresses, la sécurité, la configuration automatique et l’extensibilité.

Le guide de laboratoire de test IPv6 examine les scénarios suivants :

• le comportement par défaut d’IPv6 et la connexion d’un intranet IPv4 uniquement ;
• la connexion IPv6 intranet utilisant ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ;
• la connexion intranet IPv6 utilisant l’adressage IPv6 natif ;
• la connexion IPv6 sur une simulation Internet IPv4 uniquement utilisant 6to4.

Une fois familiarisés avec IPv6, l’extension de laboratoire DHCPv6 vous permettra de suivre pas à pas le processus d’émission et de gestion dynamiques des adresses IPv6.

Les guides de laboratoires de test sont publiés sur la plateforme TechNet Social, afin de faciliter la création et l’extension de la communauté. Prenez le laboratoire de test d’accès distant VPN pour Windows Server 2008 R2 comme exemple. Toutes les entreprises ne sont pas en mesure de déployer la solution DirectAccess abordée plus tôt. Ce guide de laboratoire de test vous permettra de suivre le déploiement d’un VPN plus traditionnel afin que les utilisateurs distants puissent établir des connexions réseau internes sécurisées à la demande.

Le guide de laboratoire de test a été enrichi par des contributeurs de la communauté pour montrer l’utilisation du Kit d’administration du gestionnaire de connexions (CMAK) avec la solution VPN, l’utilisation de VPN Reconnect et plus encore. Enfin, en élargissant au-delà du cadre des solutions basées uniquement sur des composants essentiels d’infrastructure Windows, des guides de laboratoires de test sont disponibles pour d’autres produits d’infrastructure, notamment pour System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 et plus encore.

La création de solutions intégrées en combinant le client Windows et les plateformes de serveurs permet de libérer le potentiel caché de votre investissement technologique existant. Pour plus d’informations concernant la création de solutions intégrées Windows, consultez le blog du guide de laboratoire de test à l’adresse blogs.technet.com/b/tlgs.

Joshua Hoffman est l’ancien rédacteur en chef de TechNet Magazine*. À présent auteur et consultant indépendant, il conseille ses clients sur la technologie et le marketing orienté public. M. Hoffman est également rédacteur en chef de ResearchAccess.com, un site consacré à faire croître la communauté de recherche du marché et à l'enrichir. Il habite à New York.*

Contenu associé

• Intégration de Windows 7 et Windows 2008 R2
• 77 astuces Windows 7
• Améliorations de l’infrastructure à clé publique dans Windows 7 et Windows Server 2008 R2