Prj windows directaccess by Laurent Urrutia

NewStore

Projet DirectAccess Groupe Newstore Laurent URRUTIA – Céline FOUCAUD

2013

- 0 - | Page

Versioning Auteur Diffusion

Urrutia Laurent Céline Foucaud Restreinte

Version

2.0

Date

18/06/2013

Historique des versions Version

Date

Auteur

18/06/2013

Céline Foucaud Laurent Urrutia

1.1

01/07/2013

Céline Foucaud Laurent Urrutia

1.2

03/07/2013

Céline Foucaud Laurent Urrutia

Architecture maquette

1.3

17/07/2013

Céline Foucaud Laurent Urrutia

Installation pas pas 7.1 à 7.3

1.4

30/07/2013

Céline Foucaud Laurent Urrutia

Installation pas ç pas 7.4 à 7.5

1.4

31/07/2013

Céline Foucaud Laurent Urrutia

1.5

11/09/2013

Céline Foucaud Laurent Urrutia

1.0

Commentaire

1.6

16/09/2013

Céline Foucaud Laurent Urrutia

2.0

25/09/2013

Céline Foucaud Laurent Urrutia

- 1 - | Page

Objectif Spécificités de Direct Access

Les technologies

Installation pas ç pas 7.6 et Vérification et test Présentation - Mise en page - correction Mise en page Direct Access 2008 + Ajout Bibliographie et signet du document + Terminologie + Ip_Sec Relecture orthographique

I. Introduction Sommaire I. Introduction ................................................................................................................................................... - 4 1°) Objectifs .......................................................................................................................................................... - 5 2°) Documents liés........................................................................................................................................... - 6 W2008 : .............................................................................................................................................................. - 6 W2012 : .............................................................................................................................................................. - 6 II. Direct Access - Windows Server 2008 R2 ................................................................................. - 7 1.

Prérequis ....................................................................................................................................................... - 7 -

Les Technologies ..................................................................................................................................... - 8 -

IP-V6 ............................................................................................................................................................ - 8 -

Ip-Sec.......................................................................................................................................................... - 9 -

NLS .............................................................................................................................................................. - 9 Installation ................................................................................................................................................. - 10 -

a. Le cadre ................................................................................................................................................... - 10 b. L’installation pas à pas .................................................................................................................. - 12 1.

Configuration du contrôleur de domaine .................................................................. - 12 a.

Configuration des éléments de base ....................................................................... - 12 Renommer le serveur .......................................................................................................... - 12 Modification des cartes réseaux ................................................................................. - 13 -

Configuration du DNS......................................................................................................... - 15 Zone de recherche directe ............................................................................................. - 15 Zone de recherche inversée .......................................................................................... - 16 -

Configuration du DHCP...................................................................................................... - 20 -

Configuration de l’Active Directory ............................................................................ - 21 -

Configuration des certificats .......................................................................................... - 22 Création d’un modèle : ..................................................................................................... - 22 Délivrer le certificat : .......................................................................................................... - 24 Les Extensions :...................................................................................................................... - 25 Stratégie de groupe:............................................................................................................ - 26 -

f. 2.

Configuration de la stratégie de pare-feu ........................................................... - 28 Configuration du serveur Direct Access ..................................................................... - 29 -

- 2 - | Page

I. Introduction a.

Configuration de l’aspect réseau du serveur ..................................................... - 29 -

Intégration du serveur au domaine Newstore ................................................... - 31 -

Publication de la CRDL...................................................................................................... - 31 Le double échappement ................................................................................................... - 32 Répertoire virtuel .................................................................................................................... - 33 Publication du certificat .................................................................................................... - 36 -

Obtention du certificat....................................................................................................... - 38 -

Configuration du serveur d’application ........................................................................ - 40 -

Paramétrage du serveur simulant Internet ................................................................ - 42 -

Configuration de Direct Access ........................................................................................ - 44 a.

Déploiement de la fonctionnalité ................................................................................ - 44 -

b. Installation de la solution ................................................................................................... - 45 6.

Configuration du client ........................................................................................................... - 49 a.

Sur le LAN.................................................................................................................................. - 49 -

Sur le WAN ................................................................................................................................ - 52 -

Vérification et test............................................................................................................................... - 57 1.

Les pré-requis ............................................................................................................................... - 57 -

Sur le serveur Direct Access .............................................................................................. - 58 -

III. Direct Access - Windows Server 2012 ......................................................................................- 61 1.

Prérequis .................................................................................................................................................... - 61 -

Installation ................................................................................................................................................. - 62 a. Le cadre : ................................................................................................................................................ - 62 b. L’installation pas à pas .................................................................................................................. - 63 1. Configuration du contrôleur de domaine ...................................................................... - 64 2.

Configuration du serveur Direct Access ..................................................................... - 71 -

Conclusion : ....................................................................................................................................................- 81 Annexes : ..........................................................................................................................................................- 82 Plan de la maquette Windows Serveur 2008 R2 ..................................................................... - 82 Plan de la maquette Windows Serveur 2012 ............................................................................. - 83 Index: ...................................................................................................................................................................- 84 -

- 3 - | Page

I. Introduction

I. Introduction Le projet Direct Access rentre dans le cadre du cursus CESI RARE 2012-214. Celui-ci est réalisé par M. Laurent Urrutia étudiant au CESI de Blanquefort, employé de la société ALVEA à Marmande et par Me Céline Foucaud étudiante au CESI de Blanquefort, employée de la société Caisse d’Epargne Aquitaine Poitou-Charentes.

L’objet de ce projet de réaliser l’étude de la mise en place d’une technologie avancée dans l’univers Windows. Cette documentation est donc à double usage : 

découverte d’une technologie,



rédaction d’une documentation technique permettant la mise en œuvre de la technologie choisie.

Ce projet peut également s’intégrer au « Projet Fil rouge » qui simule la refonte du système d’information de la société Newstore, grande chaine de supermarché. Cette dernière possède 52 magasins répartis sur les territoires français et portugais. Pour répondre aux besoins des commerciaux de travailler à l’extérieur de l’entreprise nous nous sommes penchés sur différentes solutions informatiques de nomadisme. Nous avons sélectionné Direct Access pour son intégration avec les outils Microsoft et sa simplicité d’utilisation vis-à-vis des utilisateurs. Ce document abordera, les principes et concepts de Direct Access. L’appréhension de l’IPV6, l’installation et la configuration de ce dernier et les évolutions apportées entre Windows server 2008 R2 et Windows Server 2012 Direct Access était une nouveauté de la version 2008 R2, le but de Microsoft était de supplanter le classique couple VPN/SSL. Pour contourner les limites des réseaux VPN, Direct Access établit automatiquement une connexion bidirectionnelle entre les ordinateurs clients et le réseau de l'entreprise. Sur la version 2008, Direct Access se déploie en tant que fonctionnalité, ce qui a évolué depuis car la version 2012 permet de gérer ce dernier comme un rôle à part entière. Direct

Access

peut

également

être

géré

avec

Forefront

principalement du NAT et DNS64 pour la version 2008.

- 4 - | Page

UAG

pour

profiter

I. Introduction

1°) Objectifs Direct Access tranche complétement avec les technologies actuelles de nomadisme. Toutes les solutions proposent généralement à l’utilisateur de lancer un système pour pouvoir établir une connexion à distance.

Plusieurs problèmes sont mis en évidence, pour un utilisateur : 

Ergonomie de l’outil,



Difficulté de connexion,



Mots de passe supplémentaire dans certains cas,



Temps d’établissement de la connexion,



Compatibilité de certaines applications,



Accès aux ressources de l’entreprise.

Ces facteurs de dysfonctionnement potentiel ne concernent que l’utilisateur, si nous prenons en compte les avis des services informatiques, il est évident qu’une solution « VPN/SSL » est souvent un casse-tête sur les trois points suivants : 

Difficulté de mise en place,



Authentification,



Maintenance et dépannage.

Direct Access propose un point de vue différent : augmenter l’expérience utilisateur. L’usager d’un poste n’a plus à se soucier de lancer une connexion à distance (et le cas échéant, ne pas lancer son client VPN en entreprise). Si l’authentification est forte

l’utilisateur

devra

simplement

munir

d’une

carte

puce,

sinon

l’authentification Active Directory suffira.

La solution se positionne comme une extension du réseau d’entreprise et jongle de façon autonome et automatique entre différentes technologies pour assurer la liaison du poste avec l’entreprise.

- 5 - | Page

I. Introduction

2°) Documents liés W2008 : - DirectAccess ; mobilité et nomadisme ; mise en œuvre de la solution Microsoft, Lionel Leperlier, Benoit Sautiere. Editions : Eni

Expert

–

2012, collection : Informatique Réseaux Et Internet. -

http://www.labo-microsoft.org/articles/Direct_Access/

http://blogs.technet.com/b/stanislas/archive/tags/directaccess/

Vidéos de Stanislas Quastana sur la mise en œuvre de Direct Access 2008

DA_Design_DEP_Guide : Documentation Microsoft

http://technet.microsoft.com/en-us/library/ee624056(WS.10).aspx :

Direct

Access Troubleshoting Guide W2012 : - Très global et très bien fait pour comprendre la technologie implémentée : DirectAccess avec Windows Server 2012 et Windows8 - les slides de la session SEC305 des Microsoft TechDays 2013 -

Les blogs des deux spécialistes français et Stanislas Quastana et Arnaud Lheureux, deux experts Microsoft http://blogs.technet.com/b/stanislas/ http://blogs.technet.com/b/arnaud/

- 6 - | Page

II. Direct Access - Windows Server 2008 R2

II. Direct Access - Windows Server 2008 R2 1. Prérequis Configuration serveur Direct Access : 

Windows serveur 2008 ou 2008 R2,



Deux adresses IP publiques consécutives,



Le contrôleur de domaine requiert au minimum Windows serveur 2008 SP2 ou 2008 R2,



Une infrastructure PKI doit être déployée sur le domaine

Configuration du poste client : 

Windows 7 Entreprise ou Ultimate,



Le poste client doit obligatoirement être membre du domaine

- 7 - | Page

II. Direct Access - Windows Server 2008 R2

2. Les Technologies Direct Access utilise plusieurs technologies pour pouvoir adapter automatiquement sa configuration en fonction des différentes solutions. -

IP-V6

Pour la version 2008, Direct Access s’appuie principalement sur l’adressage IP-V6. Afin de gérer l’IPV4 en interne en entreprise, Direct Access utilise

pour concaténer

une adresse IP-V4 en IP-V6. Par ailleurs, le routage des adresses est assuré par les Protocoles

6to4

ou Teredo selon le mode connexion.

IP-V6 est un protocole d’adressage utilisé réseau fonctionnant au niveau de la couche 3 du Modèle OSI. Il utilise (à la différence du protocole IP-V4 32Bit) 128 bits pour définir son adresse. Il a été créé pour répondre au manque d’adresse IP-V4.

Il y a trois types d’adresses en IP-V6 : 

Envoi unicast : envoi unique sur une interface,



Envoi anycast : envoi sur un groupe d’interface, une par une,



Envoi multicast : envoi sur un groupe d’interface, en groupe.

IP-V6 dispose d’une syntaxe spécifique au format numérique hexadécimal. Les groupes d’octet ayant pour « 0 » en valeur peuvent être réduits sur 4 bits contenant que des « 0 » les trois premiers bits peuvent être masqués pour n’en garder qu’un. Par ailleurs les premiers groupes ayant cette valeur peuvent totalement masquer par des « :: » (La notation au « :: » ne peux être effectuer qu’une seule fois». Exemple, soit une adresse IP-V6 donnée : 2002:4321:0:0:8:800:200C:417A 2002:4321::8:800:200C:417A Pour les protocoles 6to4 et ISATAP l’adresse IP-V4 est concaténée à la fin de la trame. Lors des tests (Présentés en fin de documentation), il sera courant de voir les adresses sous la forme : 2002::3211:3201:0:3211:10.133.100.10

- 8 - | Page

II. Direct Access - Windows Server 2008 R2

- Ip-Sec IP SEC (Internet Protocol Security) est un ensemble de protocole utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. Il a pour but de chiffrer le flux réseau.

Pour Direct Access nous utilisons le Mode « Transport » d’Ip-sec qui ne garantit pas la sécurisation des En-Tête (Authentification Header), à la différence du Mode « Tunnel ».

En réalité nous utilisons deux tunnels IP-Sec lors des connexions Client/Serveur :



Tunnel d’infrastructure : réservé exclusivement aux clients, ce tunnel s’assure de l’identité de ces derniers.



Tunnel Utilisateur : ce tunnel est destiné à l’utilisateur, il lui est donc réservé.

Enfin, dans le cas où nous voudrions gérer également le contrôle d’application à distance nous aurions alors un troisième tunnel dédié à la couche applicative.

- NLS Le NLS (Network location Server) est intégré directement à Direct Access. Il peut s’apparenter à un phare pour le pc distant. Selon l’emplacement physique du poste (Externe ou Entreprise), le NLS se trouve accessible ou non grâce à ce système Direct Access peut définir automatiquement le profil de réseau à appliquer et, en fonction, lancer une connexion sécurisée ou non.

Alliée à ce système sur le poste, est déployé une GPO (Group Policy Object) pour mettre à jour la NRPT (Name résolution Policy table) qui contient les DNS des serveurs de l’entreprise.

- 9 - | Page

II. Direct Access - Windows Server 2008 R2

3. Installation a. Le cadre - Architecture de la maquette : Cf. Gros plan en annexe A

Plan d’adressage :

Serveur

Version

NSDC01BX

Windows 2008 R2

srv

NSDA01BX

Windows 2008 R2

srv

NSAP01BX

Windows 2008 R2

srv

INTDC001

Windows 2008 R2

srv

NSCL01BX

Windows Entreprise

- 10 - | P a g e

Adresse IP

Passerelle

Rôles

10.133.100.10/23

10.133.100.10

AD DS / AD CS / DNS / DHCP

10.133.100.20/23 131.107.0.2/24 131.107.0.3/24

131.107.0.1

IIS (Liste de révocation CRLD) / Fonctionnalité Direct Access

10.133.100.30/23

10.133.100.10

IIS (Hébergement de la NLS)

131.107.0.1/24

131.107.0.1

DNS / DHCP Simulation Internet

DHCP

Client DA

II. Direct Access - Windows Server 2008 R2

Flux de connexion

Ci-dessous sont présentées les étapes de connexion d’un poste nomade à l’extérieur de l’entreprise. 1°) Le client se connecte à internet

•Le client récupère une adresse via un dhcp pour pouvoir se connecter sur interne 2°) Recherche du NLS

•Une fois connecté une gpo pousse la tentative de recherche du NLS sous l'adresse https://nls.newstore.com 3°) Activation du profil public • Le serveur NSAP01BX étant accessible uniquement en interne le pare feu du poste nomade active son profil public. • Le protocole 6to4, Terredo ou IPHTTPS monte une carte virtuelle adressée en IPV6

4°) Echange de certificats

•Le profil de pare feu établi, le poste procéde à un echange de certificats avec le serveur NSAD01BX 5°) Etablissement du tunnel

•Après validation du certificat, le serveur Direct Access et le client nomade établissent un tunnel IpSec, la liaison est à présent fonctionnelle

Suivant le schéma ci-dessous, nous pouvons en déduire la méthode de connexion d’un poste en entreprise.

1°) Le client se connecte à l'entreprise •Le client récupère une adresse via un dhcp pour pouvoir se connecter à l'entreprise

2°) Recherche du NLS •Une fois connecté une gpo pousse la tentative de recherche du nls sous l'adresse https://nls.newstore.com

3°) Activation du profil entreprise •Le serveur NSAP01BX étant accessible le pare feu du poste nomade active son profil entreprise

4°) Montage du protocole ISATAP •Pour assurer la liaison en IP-V6 le poste charge le protocole ISATAP sur une carte virtuelle afin d'avoir un adressage sur 128 bit

- 11 - | P a g e

II. Direct Access - Windows Server 2008 R2 b. L’installation pas à pas Vous allez trouver ci-après l’ensemble des démarches qui permettent de mettre en œuvre la solution.

1. Configuration du contrôleur de domaine a. Configuration des éléments de base

Renommer le serveur Démarrer -> Ordinateur -> Propriétés -> Modifier les paramètres -> Modifier Renseigner : 

Nom de l'ordinateur -> NSDC01BX



Domaine -> Newstore.com

- 12 - | P a g e

II. Direct Access - Windows Server 2008 R2

Modification des cartes réseaux Démarrer -> Panneau de configuration -> Centre réseau et partage 

Renommer la carte - : Newstore

Protocole internet version 4 (TCP/IPv4) -> Propriétés 

Renseigner les champs réseaux selon «La Plan d’adressage voir page - 10 -»

Avancé… -> DNS Suffixe DNS pour cette connexion : Newstore.com

Renseigner les champs réseaux selon le tableau Avancé… -> DNS Suffixe DNS pour cette connexion -> Newstore.com Protocole internet version 4 (TCP/IPv4) -> Propriétés

- 13 - | P a g e

II. Direct Access - Windows Server 2008 R2

- 14 - | P a g e

II. Direct Access - Windows Server 2008 R2 b. Configuration du DNS

Zone de recherche directe Gestionnaire de serveur -> Rôles -> Serveur DNS -> NSDC01BX -> Suivant -> Zone principale -> Suivant -> "Vers tous les serveurs DNS exécutés…. -> Suivant 

Nom de la zone : Newstore.com

Suivant -> N'autoriser que les mises à jour dynamiques sécurisées…. -> Terminer

- 15 - | P a g e

II. Direct Access - Windows Server 2008 R2

Zone de recherche inversée Zones de recherche inversée -> Nouvelle Zone… -> Suivant 

Zone Principale



Vers tous les serveurs DNS….



Zone de recherche IPv4 : Id Réseau 10.133.100



N'autoriser que les mises à jour dynamiques sécurisées

- 16 - | P a g e

II. Direct Access - Windows Server 2008 R2 Création des enregistrements DNS (Zone de recherche directe) : Sur l'étendue de recherche directe : Clique droit -> Nouvel hôte (A ou AAA)… 

A = Ipv4



AAA = Ipv6

IPV4 Remplir les champs : 

Nom d'hôte de la machine ici (NSDC01BX)



Adresse ip de l'hôte ici (10.133.100.10)



Cocher « Créer un pointeur d'enregistrement PTR associé » (Permet la mise à jour des recherches inversées).

IPV6 Remplir les champs : 

L'adresse ipv6 clairement identifiable de type ISATAP :



2002:836b:2:1:0:5efe:Adresseip

ISATAP de la même manière. 

Nom d'hôte : ISATAP



Adresse ip : 10.133.100.20 (Serveur Direct Access)

Spécifier un enregistrement CNAME pour le nls 

Nom de l'alias : nls



Nom de domaine FQDN : nsap01bx.newstore.com

- 17 - | P a g e

II. Direct Access - Windows Server 2008 R2

Création d'un enregistrement PTR Statique : Pour enregistrer les serveurs du domaine (Ces derniers n'étant pas encore mis en place l'enregistrement dynamique n'est pas possible, celui-ci servira pour les clients) Sur la zone de recherche inversée ipv4 : Nouveau pointeur PTR -> Cliquer sur parcourir -> recherche ensuite le nom souhaité dans la zone de recherche normal

La procédure est la même pour un enregistrement Ipv6

- 18 - | P a g e

II. Direct Access - Windows Server 2008 R2 A prendre en compte : Pour éviter que le DNS ne bloque le protocole ISATAP (Ce dernier est déployé par l’installation de Direct Access voir page - 45 -), il faut enlever ce dernier de la « Global query block list ». Pour des questions de sécurité cela bloque les protocoles WPAD et ISATAP : 

dnscmd /config /globalqueryblocklist wpad

- 19 - | P a g e

II. Direct Access - Windows Server 2008 R2 c. Configuration du DHCP Après installation du Rôle DHCP, renseigner l’étendue IPV4 :



Nom : Branche Newstore



Adresse ip de début : 10.133.100.100



Adresse ip de fin : 10.133.100.200



Aucune exclusion



Durée du bail : 8 jours



Non je configurerai ces options ultérieurement.

Après création, s'assurer que les mises à jour dynamiques soient bien validées dans les options Ipv4. Enfin activer le serveur DHCP : 

Serveur DHCP -> nsdc01bx.newstore.com -> Autoriser

- 20 - | P a g e

II. Direct Access - Windows Server 2008 R2 d. Configuration de l’Active Directory Nous allons créer dans l’annuaire un groupe qui nous servira à déployer nos stratégies Direct Access est surtout la NLS. En plus de ces groupes, nous allons créer

nos

ordinateurs

concernés

par

Direct

Access

dans

une

(Unité

d'organisation) spécifique afin de séparer les postes nomades des postes fixes.

Schématiquement notre structure sera la suivante : Newstore.com (UO)Newstore (UO)Groupes (GRP)DirectAccess_Client (UO)Ordinateur (ORD)PosteClient (UO)Users (USR)Users_DirectAccess1 (USR)Users_DirectAccess2

Pour ce faire dans : Gestionnaire de serveur -> Service de domaine Active Directory -> Utilisateurs et ordinateurs Active Directory -> Newstore.com 

Nouveau : Unité d'organisation

Une fois les groupes créés, se positionner sur l'UO souhaité et créer un groupe "DirectAccess_Client"

- 21 - | P a g e

II. Direct Access - Windows Server 2008 R2 e. Configuration des certificats Le rôle "Services de certificats Active Directory" sert à publier, créer et éditer des certificats Microsoft. Dans le cadre de Direct Access, ce dernier nous permet de certifier que le poste nomade fait bien partie de l'entreprise et qu'il est en bonne santé pour pouvoir se connecter à l'entreprise de l'extérieur.

Ce certificat sera stocké sur le serveur Direct Access et sera accessible à tous les postes via le partage Crdlist$. Installer le rôle AD CS avec ces valeurs par défaut. Dans les grandes lignes, nous créerons un certificat à partir d'un modèle, ensuite nous mettrons à jour les liens pour gérer l’accessibilité interne et externe à l'entreprise ; ensuite nous publions cette liste.

Création d’un modèle : Dans « Services de certificats Active Directory -> Modèles de certificats -> Serveur Web » dupliquer le modèle : Windows 2008 entreprise. Nommer le certificat puis cochez "Publier le certificat dans Active Directory"

Dans l'onglet Extension -> Stratégies d'application -> Modifier… -> Ajouter -> Sélectionnez -> Fin du tunnel de sécurité IP (Protocol Ip Sec) Dans l'onglet sécurité cochez la case « Lecture » pour les Utilisateurs Authentifiés

- 22 - | P a g e

II. Direct Access - Windows Server 2008 R2

- 23 - | P a g e

II. Direct Access - Windows Server 2008 R2

Délivrer le certificat : Dans l'infrastructure de certificats ici (Newstore-NSDC01BX_CA) Modèle de certificats -> Nouveau -> Modèle de certificat à délivrer Le certificat nouvellement créé est disponible dans la liste comme ci-dessous : Le certificat est à présent créé, on peut visualiser ce qui sera délivré aux clients dans le PKI d'entreprise

- 24 - | P a g e

II. Direct Access - Windows Server 2008 R2

Les Extensions : Il reste néanmoins à configurer les extensions du serveur de certificat pour que celui-ci publie sa liste de façon partagée. Ce partage sera en place sur le serveur Direct Access car le client se connectera d’abord sur ce-dernier, ainsi la validité du client sera géré directement en amont. Propriétés -> Extension (Ici il faut ajouter deux emplacements dont les suffixes seront http (pour l'externe) \\ (pour l'interne)). -> Ajouter… Pour le lien http : http://nsda01bx.newstore.com/crdl/ et avec en variable    

<NomAutoritéCertification> <SuffixeNomListeRevocationCertificats> <ListeRevocationCertificatsDifferentielleAutorisee> Rajouter ensuite .crl

L'adresse complète sera du type : 

http://NSDA01BX.newstore.com/crld/<NomAutoritéCertification><SuffixeNomListeRévocationCer tificats><ListeRévocationCertificatsDifférentielleAutorisée>.crl

Le dossier crdl correspond au partage "Crdlist$" sur le serveur Direct Access « celui-ci est configuré plus tard dans la documentation voir page - 31 -. » Cocher les cases : 

Inclure dans les listes de révocation des certificats afin de….



Inclure dans l'extension CDP…

- 25 - | P a g e

II. Direct Access - Windows Server 2008 R2 Pour les liens internes : \\nsda01bx\crdlist$\ avec en variable les mêmes informations que le précédent lien en complétant toujours par .crl Lien complet : \\NSDA01BX\crld\<NomAutoritéCertification><SuffixeNomListeRévocationCertificats><ListeRévocationCe rtificatsDifférentielleAutorisée>.crl

Cocher ensuite les cases :  

Publier les listes de révocation des certificats à cet emplacement Publier les listes de révocation des certificats delta à cet emplacement

Après validation nous retrouvons 4 liens supplémentaires dans le PKI d'entreprise. Le serveur Direct Access n'étant pas encore configuré nous publieront la liste des certificats révoqués après installation du partage CRDList (Cette liste de révocation permet de tenir à jour les certificats qui sont expirés est non valide)

Stratégie de groupe: Pour terminer, il faut créer une stratégie de groupe pour que les clients puissent récupérer automatiquement le certificat. En éditant la « Default Domain Policy » : Configuration de l'ordinateur -> Paramètres Windows -> Stratégies de clé publique -> Paramètres de demande automatique de certificats -> Suivant -> Ordinateur -> Terminer On s'assure ainsi que les clients auront bien un certificat ne faisant pas partie de la liste de révocation

- 26 - | P a g e

II. Direct Access - Windows Server 2008 R2

- 27 - | P a g e

II. Direct Access - Windows Server 2008 R2 f.

Configuration de la stratégie de pare-feu

Sur le contrôleur de domaine afin de laisser passer le Flux Teredo nous allons créer deux stratégies entrantes et deux stratégies sortantes pour autoriser les requêtes Echo ICMP. Deux requêtes pour gérer l'ipv4 ainsi que l'ipv6

Cette configuration sera renseignée par les stratégies de groupe : Default domaine policy : Configuration de l'ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Pare-feu Windows avec fonctions avancées…..

Règles de trafic entrant -> Règles personnalisées -> Protocole et ports 

Action -> Autoriser les connexions



Nom -> IcmpV4

Effectuer cette démarche sur les protocoles Icmpv4 et Icmpv6 en connexion entrante

et sortante.

- 28 - | P a g e

II. Direct Access - Windows Server 2008 R2

2. Configuration du serveur Direct Access La

configuration

serveur

Direct

Access

s’effectue

deux

temps.

Pour

commencer nous allons mettre en place la configuration du réseau et répondre au prérequis ce qui consiste à avoir deux adresses ip publiques consécutives, toujours dans cette phase de configuration, il faudra mettre en place un partage « crldist » déjà cité plus haut afin de publier la liste des certificats.

Enfin dans un deuxième temps nous feront la configuration de la fonctionnalité voir page - 44 -.

a. Configuration de l’aspect réseau du serveur Comme déjà abordé, le prérequis le plus contraignant de Direct Access dans sa version 2008 R2 vient de l’obligation de renseigner deux adresse ip publiques consécutives sur la carte externe.



Le fait qu’il en faille deux vient du protocole Teredo



Le fait qu’elles doivent se suivre vient d’une restriction de Microsoft.

Pour la mise en place, il faut connecter deux cartes réseaux sur le serveur Direct Access. En suivant les procédures de configuration du contrôleur de domaine : Carte Réseau 1 : 

Nom de la carte : Newstore.com



Adresse IP : 10.133.100.20



Masque de sous-réseaux : 255.255.254.0



Serveur DNS : 10.133.100.10



Suffixe DNS : newstore.com

Sur cette première carte réseau, il n’est pas possible de renseigner une passerelle par défaut, Windows n’en n’acceptant qu’une seule au total cette dernière sera en priorité renseignée sur la carte pointant vers l’extérieur du domaine. Pour pallier à ce manque et afin de rediriger les paquets émis, on peut ajouter un enregistrement

- 29 - | P a g e

II. Direct Access - Windows Server 2008 R2 dans le pare-feu qui va consister à envoyer les paquets taggés en 10.133.100.0/23 vers le serveur DNS en 10.133.100.10. Pour ce faire en ligne de commande utiliser la commande « Route » Route ADD 10.133.100.0

MASK 255.255.255.0 10.133.100.10

Carte Réseau 2 : 

Nom de la carte : Externe



Adresse IP 1: 131.107.0.2



Adresse IP 2: 131.107.0.3



Masque de sous-réseaux : 255.255.255.0



Suffixe DNS : ns.ext.com

Pour la deuxième carte, deux adresses ip sont renseignées ainsi que la passerelle en revanche, il n’est pas nécessaires de spécifier un serveur DNS la résolution de nom n’étant pas nécessaire le trafic étant router en 6to4 sur le serveur Direct Access.

- 30 - | P a g e

II. Direct Access - Windows Server 2008 R2 b. Intégration du serveur au domaine Newstore Suite à la configuration réseaux, intégrer le serveur Direct Access au domaine Newstore

Démarrer -> Ordinateur -> Propriétés Modifier les paramètres -> Modifier Renseigner le Nom et le domaine

c. Publication de la CRDL Nous ajoutons le rôle IIS, le but étant de rendre accessible les certificats des postes via un partage HTTPS.

Gestionnaire de serveur -> Rôles -> Ajouter des rôles Installation du rôle par defaut. Le rôle installer, il faut créer un Répertoire virtuel nommer « CRDL » partager sous le nom : CRDList$

- 31 - | P a g e

II. Direct Access - Windows Server 2008 R2

Le double échappement Suite à la création des certificats sur le contrôleur de domaine, une des deux extensions se distingue par l’ajout d’un + à la fin de son url. Dans le PKI d’entreprise il est facile de constater que « emplacement de DeltaCRL #2 » à en réalité le chemin : http://nsda01bx.newstore.com/crdl/newtore-NSDC01BX-CA+.crl L’ajout de ce sigle peut rapidement créer des problèmes le navigateur n’arrivant pas à interpréter correctement se signe. En conséquence, sur le serveur, on va configurer le rôle IIS pour accepter le double échappement et empêche la mauvaise interprétation du sigle. NSDA01BX -> Filtrage des demandes -> Modifier les paramètres de fonction…. Cochez l’option « Autoriser le double-échappement ».

- 32 - | P a g e

II. Direct Access - Windows Server 2008 R2

Répertoire virtuel NSDA01BX -> Sites -> Default Web Site -> Afficher les répertoires virtuels Ajouter un répertoire virtuel….

- 33 - | P a g e

II. Direct Access - Windows Server 2008 R2

Partager ensuite le répertoire via le partage Windows avec un attribut « Cacher ». Sur le dossier : Propriétés -> Partage -> Partage Avancé… -> Ajouter -> CRDList$ Autorisation -> Tous le monde -> Contrôle total

- 34 - | P a g e

II. Direct Access - Windows Server 2008 R2 Le

chemin

est

désormais

accessible

pour

tout

monde

via

chemin (\\NSDA01BX\CRDList$). Pour sécuriser l’accès à ce dossier, on passe par la mise en place de droits NTFS. La particularité vient des droits accordés à un « Ordinateur » et non pas un « Utilisateur ». Seul le contrôleur de domaine a la nécessité d’écrire dans ce dossier au moment de la publication des certificats révoqués.

Pour ce faire, toujours dans les propriétés du dossier : Onglet Sécurité -> Avancé -> Modifier les autorisations -> Ajouter Filtrer la vue à partir du type objet « Ordinateur » -> Rechercher Sélection de l’ordinateur cible Mise en place d’un contrôle total pour NSDC01BX

- 35 - | P a g e

II. Direct Access - Windows Server 2008 R2

Publication du certificat Le serveur NSDA01BX maintenant prêt pour recevoir la publication des certificats révoqué du Contrôleur de domaine. Pour ce faire, on se reconnecte sur le contrôleur de domaine, Ayant configuré plutôt sur ce dernier les deux extensions des chemins NSDA01BX inutile de repartir dans de la configuration. On se contente de publier et de vérifier le traitement : Rôles -> Services de certificats Active Directory -> newstore-NSDC01BX-CA -> Certificats révoqués -> Publier

Pour vérifier que tous s’est bien passé : PKI d’entreprise -> newstore-NSDC01BX-CA

On peut constater que : 

Emplacement Delta CRL#2 est en statut Ok sur le serveur NSDA01BX



Emplacement de CDP #2 est en statut Ok sur le serveur NSDA01BX

Cela confirme la mise en place effective du partage, et que les autorisations nécessaire sont valide.

Il est possible également d’accéder au partage via un chemin UNC et de vérifier la présence des certificats

- 36 - | P a g e

II. Direct Access - Windows Server 2008 R2

- 37 - | P a g e

II. Direct Access - Windows Server 2008 R2 d. Obtention du certificat Pour conclure, il suffit de récupérer les certificats pour le serveur NSDA01BX, n’oublions pas que jusqu’à présent nous avons configuré un partage de certificats pour les serveurs et clients de l’entreprise, cela ne veut pas dire que le serveur Direct Access est à jour. Nous allons passer par une console MMC qui va nous permettre de récupérer le dit certificat.

Démarrer -> taper MMC -> Fichier -> Ajouter ou supprimer un composant logiciel enfichable… Certificats -> Ajouter -> Un compte d’ordinateur -> L’ordinateur local -> Terminer : 

Sauvegarder la console, dans c:\tmp\.

Lancer ensuite la console nouvellement créée puis : Certificats -> Personnel -> Certificats -> Toutes les tâches -> Demander un nouveau certificat… Des informations sont nécessaires pour compléter la configuration 

Stratégie d’inscription à Active Directory



Cochez « CertificatDirectAccess »



Sur l’alerte « l’inscription pour obtenir… » 

Nom du sujet de type commun : newstore.com



Autre nom de type DNS : newstore.com

Cliquez sur « Ajouter » appliquer et valider Puis valider en cliquant sur « Inscription » Nous arrêtons ici la configuration du serveur Direct Access, nous y reviendrons plus tard.

- 38 - | P a g e

II. Direct Access - Windows Server 2008 R2

- 39 - | P a g e

II. Direct Access - Windows Server 2008 R2

3. Configuration du serveur d’application Le serveur d’application va héberger la NLS de Direct Access Ce serveur nous servira de Phare pour les clients, c’est en fonction de la réponse ou non de ce serveur que le poste client activera son profil de réseau et donc la configuration réseaux adaptée : 

ISATAP



6to4



Terredo



IPHTTPS

Dans les faits, nous installons un rôle IIS sur le serveur, nous protégerons ensuite l’accès de serveur de sorte qu’il ne réponde de manière sécurisé qu’aux requêtes internes de l’entreprise. Les clients externes ne pourront pas joindre ce serveur.

Se référer aux parties précédentes (Voir page - 12 -) pour la mise en place de base du serveur : Eléments réseaux : (Voir page - 29 -) o

Adresse IP : 10.133.100.30

Suffixe DNS : newstore.com

Nom d’Hôte : NSAP01BX

Récupération du certificat : (Voir page - 38 -) o

Nom commun : NSAP01BX

Nom DNS : nls.newstore.com

Nom convivial : Network location Server

Une fois le serveur préparé, il reste à sécuriser l’accès de celui-ci sur le 443 afin qu’IIS soit accessible en HTTPS seulement. Pour commencer nous déclarons un certificat de serveur.

Dans Rôles IIS-> Serveur Web -> Gestionnaire de service NSAP01BX -> Sites -> Default Web Site -> Liaisons… -> Ajouter…

Deux connecteurs : 

Type : HTTPS



Adresse IP :

- 40 - | P a g e

II. Direct Access - Windows Server 2008 R2



(IPV4) 10.133.100.30443

(IPV6) 2002:836b:2:1:0:5efe:10.133.100.30

Certificats SSL : Network location server

Pour valider l’accès https du serveur il est préférable de tester sur le serveur NSDC01BX par exemple via une attaque sur l’url Dans le cadre de cette maquette il est possible sur ce même serveur de créer un partage qui nous permettra de valider l’accès au domaine pour les clients externes (Ex : Test_partage_DA) (Voir page - 33 -).

- 41 - | P a g e

II. Direct Access - Windows Server 2008 R2

4. Paramétrage du serveur simulant Internet Pour une mise en production classique, Direct Access serait connecté en frontal à un pare-feu ou un routeur directement sur internet. On peut imaginer une DMZ pour des notions de sécurité. Afin de simuler cet accès internet sur une maquette virtuelle, il faut prévoir un serveur supplémentaire. Ce dernier disposera des rôles DNS et DHCP, il ne sera pas enregistré dans un domaine afin que le serveur Direct Access active le profil public sur sa carte réseau.

Se référer précédemment pour la configuration de base du serveur. (Voir page - 29 -) : 

Nom d’Hôte : INTDC001



Adresse IP : 131.107.0.1



Masque réseaux : 255.255.255.0

Comme on peut le constater le serveur NSDA01BX se trouve sur la même plage d’adresse IP que le serveur Internet.

Configuration du DHCP (Voir page - 20 -) 

Etendue : 131.107.0.100 à 131.107.0.200

Configuration du DNS (Voir page - 15 -) 

Pas de prise en charge IPv6,



Deux zones de recherche directe :



Ns.ext.com -> 131.107.0.0

Newstore.com -> 10.133.100.0

Pas de zone de recherche inversée

- 42 - | P a g e

II. Direct Access - Windows Server 2008 R2 Configuration IIS Après cette mise en place avant de passer à la dernière d’installation tester la connectivité entre INTDC001 et NSDA01BX 

Ping vers le NSDA01BX via l’adresse 131.107.0.2 et 131.107.0.3



La résolution Nslookup sur NSDA01BX

- 43 - | P a g e

II. Direct Access - Windows Server 2008 R2

5. Configuration de Direct Access a. Déploiement de la fonctionnalité Cette phase de préparation va nous permettre de valider tous les prérequis nécessaires à l’installation des fonctionnalités. Sous Windows 2008 R2, il est n’est pas possible de lancer l’installation sans avoir passé ces étapes, à la différence de la version 2012 plus permissive.

Gestionnaire de serveur -> Fonctionnalités -> Ajouter des fonctionnalités Sélectionner « Console de gestion DirectAccess » automatiquement Windows oblige également l’installation de la console de « Gestion des stratégies de groupes ». Cela s’explique par l’obligation de déployer la NLS par GPO

Direct Access se décompose en deux parties : 

Installation : décomposer en 4 étapes sert de validation au prérequis.



Analyse : permet de visualiser les protocoles en cours d’utilisation. Cette option ne sert que très peu dans sa version 2008, néanmoins sur la partie

- 44 - | P a g e

II. Direct Access - Windows Server 2008 R2 2012 celle-ci est beaucoup plus détaillée grâce à la remontée et l’interaction sur les clients connectés.

b. Installation de la solution 

Etape 1 : Sélectionner le groupe créé précédemment « Direct_Access_Client »



Etape 2 : Référencer les cartes du serveur NSDA01BX pour l’externe et l’interne o

Renseigner ensuite les certificats pour sécuriser la connexion Certificat Racine -> Parcourir -> newstore-NSDC01BX-CA Certificat connectivité HTTPS -> Parcourir -> NSDA01BX.newstore.com



Etape 3 : permet de renseigner le contrôleur de domaine afin que Direct Access redirige directement les connexions vers celui-ci. o

Cochez « Le serveur emplacement réseau s’exécute sur un serveur à haut niveau de disponibilité »

renseigner le champ : https://nls.newstore.com. (Tester la connexion)

- 45 - | P a g e

II. Direct Access - Windows Server 2008 R2 o

Renseigner la NLS qui sera effective dans la stratégie de groupe. Il faut comprendre que la majorité des problèmes de connectivité pour un client vient justement d’une stratégie NLS mal renseignée. Par défaut,

Direct

Access

renseigne

automatiquement

les

champs.

renseigne le contrôleur de domaine avec le nom de nom de domaine et l’adresse ipv6 du poste (ISATAP) ainsi que l’enregistrement CNAME pour le NSAP01BX (nls.newstore.com) o

Enfin si l’on souhaite faire du Remote Access sur les clients distants, il faut renseigner dans la fenêtre qui suit l’adresse du serveur ayant le rôle « Gestionnaire de connexion distante »



Etape 4 : permet de préciser un serveur acceptent les connexions sécurisés de

bout en bout. Cette option est à laisser

par

défaut pour

notre

infrastructure.

Avant de terminer l’installation de Direct Access on enregistre ce paramètre, suite au traitement, Direct Access est à présent en place.

- 46 - | P a g e

II. Direct Access - Windows Server 2008 R2

Etape 1

Etape 2.1

Etape 2.2

Etape 3

- 47 - | P a g e

II. Direct Access - Windows Server 2008 R2 Cela se vérifie par un simple ipconfig. Le serveur ayant mis à jour ses protocoles de communication.

On constate la présence de : 

Deux cartes Isatap externe et interne



Un adaptateur : 6to4



Un tunnel : teredo



Une interface : Iphttps

- 48 - | P a g e

II. Direct Access - Windows Server 2008 R2

6. Configuration du client a. Sur le LAN Tous les serveurs sont à présent en place. Reste à configurer le poste client.

Première étape : Après installation, configurer le poste nomade en vue de se connecter au domaine. Normalement l’ordinateur doit récupérer automatiquement une adresse via le DHCP du contrôleur de domaine.

Il faut l’enregistrer dans le domaine dans l’OU spécifier et l’intégrer au groupe DirectAccess_Client Après l’inscription dans le groupe, effectuer un gpupdate /force sur le poste, cela va permettre de récupérer les stratégies et la NLS. Vérification de la stratégie NLS sur le serveur : Démarrer -> gpedit.msc -> Configuration Ordinateur -> Paramètres Windows -> Stratégies de résolutions de noms S’assurer de la présence des deux entrées configurées au moment de l’installation de Direct Access. 

.newstore.com + Adresse ip v6 du contrôleur de domaine



Nls.newstore.com

Ou avec la commande : netsh namespace show policy Cette commande permet de voir la stratégie déployer sur le poste on remarque comme précédemment les deux connecteurs : 

nls.newstore.com



.newstore.com compléter de son adresse IPv6

- 49 - | P a g e

II. Direct Access - Windows Server 2008 R2 

Vérifier par une commande ipconfig la présence d’un connecteur ISATAP et l’activation du profil réseaux « Domaine : newstore.com »

Enfin étant connecté et inscrit directement au domaine Newstore le profil du domaine et directement appliqué. Démarrer -> Panneau de configuration -> Réseau et internet -> Centre réseau et partage

- 50 - | P a g e

II. Direct Access - Windows Server 2008 R2

Pour anticiper la vérification une fois connecté à l’externe, il est intéressant de créer un lecteur réseau pointant vers le partage « Test_partage_DA » Démarrer -> Ordinateur -> Connecter un lecteur réseau : 

Attribuer une lettre au lecteur



Renseigner l’adresse suivante : \\NSAP01BX\Test_du_partage_DA

Enfin vérifier la présence du certificat via une console MMC. Suivre la procédure précédente. Il n’est pas nécessaire de faire une demande de certificat normalement celui est déjà remonté automatiquement

- 51 - | P a g e

II. Direct Access - Windows Server 2008 R2 b. Sur le WAN Notre poste nomade est prêt pour des connexions externes. Nous déconnectons le poste du domaine pour le basculer sur le serveur INTDC001. La également le serveur DHCP doit prendre le relai et il est attribué automatiquement une adresse IP au poste nomade. Dès lors pour comprendre le fonctionnement de connexion, il suffit de se référer aux flux de connexion (Chapitre 6.2).

Le client se voit attribuer une adresse IP. Le poste repère qu’il est sur une connexion WAN et non pas sur le réseau Newstore. Dès que la connexion est établie, il requête selon sa table NRPT sur l’adresse https://nsl.newstore.com. Le site étant injoignable le client envoie une demande de tunnel vers le NSDA01BX relayé par le serveur internet. Après vérification des certificats par Direct Access celui-ci monte un tunnel IP-Sec

- 52 - | P a g e

II. Direct Access - Windows Server 2008 R2 Pour vérifier cette théorie. Nous lançons un Ipconfig sur en ligne de commande :

Ici, on constate clairement que nous n’avons pas de connexion ISATAP établie (Nous sommes hors domaine), c’est donc en toute logique que le protocole 6to4 prend le relai (Si nous étions derrière une connexion en NAT c’est Teredo qui s’initialiserait).

Nous pouvons vérifier également la connexion vers le serveur NSDA01BX via un PING. Les ping ne seront pas effectués en IPv4 mais bien en IPv6, pour une raison simple à l’extérieur de l’entreprise, c’est bien un protocole IPv6 qui est initialisé et le routage est effectué par Direct Access en IPv6.

- 53 - | P a g e

II. Direct Access - Windows Server 2008 R2

Cette capture d’écran nous prouve qu’effectivement en IPv4 les ping ne répondent pas, en revanche via le nom d’hôte ou l’IPv6 (Encapsulé) tout fonctionne. Ces tests de ping sont à effectuer sur tous les serveurs Newstore.com Deux autres méthodes permettent de valider le bon fonctionnement de Direct Access le Lecteur réseau créé préalablement, en écrivant directement dedans.

- 54 - | P a g e

II. Direct Access - Windows Server 2008 R2 Vue poste nomade

Vue serveur NSAP01BX Enfin, il nous pouvons vérifier également la présence des tunnels IPSec entre le client et Direct Access. Démarrer -> Panneau de configuration -> Système est sécurité -> Pare-feu Windows > Paramètres avancés -> Analyse -> Association de sécurité -> Mode principal On constate la présence de deux échanges de clés : 

ici l’adresse local émettrice est « 2002:836b:64::836b:64 ».

Ensuite, sur le serveur NSDA01BX en suivant la même procédure, nous constatons le retour des deux fichiers correspondant aux clés. 

Ici «

l’adresse

distante

2002:836b:64::836b:64 ».

- 55 - | P a g e

correspond

bien

notre

émetteur

II. Direct Access - Windows Server 2008 R2

- 56 - | P a g e

II. Direct Access - Windows Server 2008 R2

4. Vérification et test Dans les faits, notre maquette est à présent fonctionnelle. Il faut cependant relativiser et ce en raison d’un grand nombre d’erreurs potentielles ; nous avons décidés de consacrer une partie spécifique au dépannage et test de la solution. Ces tests ne prennent pas en compte une étape ou un problème spécifique, mais un ordre de vérification à effectuer pour s’assurer le bon fonctionnement du produit. Nous anticipons en effectuant cette fois-ci des Test de production

1. Les pré-requis Pour commencer, on vérifie les prérequis de Microsoft : 

S’assurer d’au moins un contrôleur sur le domaine (Version 2008 ou +)



S’assurer d’’au moins un serveur de certifications



S’assurer sur le DNS de deux Zone de recherche inversée IPv4 et V6



S’assurer sur le DNS des enregistrements des IPv6



S’assurer de la présence d’un connecteur ISATAP dans le DNS



S’assurer de la présence d’un CNAME « nls.newstore.com » redirigeant vers le serveur d’application « Ici NSAP01BX »



Vérifier la présence d’un groupe de distribution dans l’Active directory pour les postes clients



Vérifier la présence d’une règle ICMP Ipv4 et 6

sur le serveur Direct Access



La présence de deux adresse IP publique qui se suivent (Dans la même décimal)



La prise en compte du Double échappement pour le rôle IIS de Direct Access



Vérifier que le poste clients est en Windows Seven version entreprise ou ultimate



Vérifier que tous les serveurs ne bloquent pas ISATAP (Global query block liste)

- 57 - | P a g e

II. Direct Access - Windows Server 2008 R2

2. Sur le serveur Direct Access Par un Ipconfig /all vérifier la présence de tous les protocoles nécessaires.

Ci-dessus : 

Les enregistrements ISATAP Hote A et AAA du DNS doivent correspondre respectivement aux adresses de la « carte tunnel isatap.newstore.com »

Soit : 10.133.100.20 pour le A et 2002:836b:2:1:0:5efe:10.133.100.20 pour le AAA

- 58 - | P a g e

II. Direct Access - Windows Server 2008 R2 Vérifier le statut et le Routing Isatap pour le réseau LAN

Pour activer le statut si celui-ci n’est pas actif : 

netsh interface isatap set state enabled Vérifier que 6to4 route correctement en vérifiant l’attribut « transmission »



Netsh interface ipv6 show interface “6to4 adapter”

Si l’attribut est sur disabled, passer la commande : 

Netsh interface ipv6 set interface « 6to4 adapter » forwarding=enabled

Vérifier le statut du protocole Teredo : 

netsh interface teredo show state

- 59 - | P a g e

II. Direct Access - Windows Server 2008 R2

Pour activer le statut si celui-ci n’est pas actif : 

netsh interface teredo set state enabled

Pour vérifier la présence du tunnel IpHTTPS : 

Netsh interface httpstunnel show interfaces

Pour activer l’interface : 

Set interface https://nls.newtore.com:443/IPHTTPS1 none (Sans authentification)

- 60 - | P a g e

III. Direct Access - Windows Server 2012

III. Direct Access - Windows Server 2012 Les nouveautés de la nouvelle version sont essentiellement les suivantes :

Coexistence de DirectAcess et de RRAS

Déploiement simplifié de DirectAccess

Suppression du déploiement de l’infrastructure à clé publique (PKI) comme condition préalable à DirectAccess

Prise en charge intégrée de NAT64 et DNS64 pour l’accès aux ressources IPv4 uniquement

Prise en charge pour le serveur DirectAccess derrière un périphérique NAT

Stratégie de sécurité réseau simplifiée

Prise en charge de l’équilibrage de charge

Prise en charge de domaines multiples

Intégration NAP

Prise en charge du mot de passe à usage unique (authentification par jeton)

Prise en charge automatisée pour le tunneling forcé

Amélioration des performances et de l’interopérabilité IP-HTTPS

VPN de site à site en mode de tunnel IPSec IKEv2

1. Prérequis Configuration serveur Direct Access : 

Contrôleur de domaine et un seul serveur Direct Access en Windows server 2012 (inclus version Core),



Une seule adresse IP publique,



Un enregistrement DNS vers celle-ci.

Configuration du poste client : 

Windows 8 (ou Windows 7 entreprise avec le module : Microsoft DirectAccess Connectivity Assistant 2.0



Le poste client doit obligatoirement être membre d’un domaine (et membre d’un groupe de sécurité Clients Direct Access)

- 61 - | P a g e

III. Direct Access - Windows Server 2012

2. Installation Les grandes lignes restent les mêmes pour Windows Server 2012. Nombre d’étapes sont masquées par un déploiement plus automatique. a. Le cadre : -

Architecture de la maquette Réseau Newstore

Réseau Externe Serveur Active Directory 10.133.100.10/23 ADDS / DNS / DHCP / ADCS

Tunnel IpSec

Serveur Direct Access 10.133.100.20/23 131.107.0.2/24 IIS / DA Partage : CRDList$

Serveur Active Directory 10.133.100.30/23 IIS / Partage de fichier Partage : Test_du_partage_DA

Externe

Newstore

Serveur simulation internet 131.107.0.1/24 DNS / DHCP

Client Nomade Adresse DHCP

Plan d’adressage

Serveur

Version

NSDC01BX2012

Windows Srv 2012

NSDA01BX2012

Windows Srv 2012

INTDC0012012 NSCL01BX2012

- 62 - | P a g e

Adresse IP

Passerelle

Rôles

10.133.100.10/23

AD DS/AD 10.133.100.10 CS/ DNS/DHCP

10.133.100.20/23

Rôle mobilité

131.107.0.2/24

Direct Access

Windows Srv 2012

131.107.0.1/24

DNS/DHCP/IIS

Windows 8

DHCP

III. Direct Access - Windows Server 2012

b. L’installation pas à pas Peu de choses en commun apparemment avec la version Windows Server précédent ! Pourtant, si les prérequis sont beaucoup plus légers (plus besoin d’une deuxième adresse IP publiques et consécutives, ce qui était très gênant pour les PME par exemple), le déploiement est quasiment le même… avec une assistance beaucoup plus avancée. Tous les aspects techniques avancés (création des certificats, des GPO…) sont configurés automatiquement ; ce qui rend plus important encore de bien avoir réfléchi au préalable à son infrastructure. Toutes les configurations sont possibles du mono-serveur au déploiement multi-site, et la gestion est simplifiée grâce à la « Console de gestion de l’accès distant », via l’onglet « Configuration » : - Déploiement simplifié et rapide des clients, - Prise en charge simplifiée des différents serveurs d’infrastructure et d’application de votre entreprise, - Activation du multi-site, - Gestion simplifiée de la charge entre les différents serveurs si votre entreprise le nécessite (cluster à charge équilibrée), L’installation et la configuration de l’ensemble des fonctionnalités de ce rôle sont également accessibles en PowerShell, pour ceux qui sont intéressés par la version Core.

- 63 - | P a g e

III. Direct Access - Windows Server 2012

1. Configuration du contrôleur de domaine Windows Server 2012 s’installe simplement en quelques clics en suivant les écrans suivants :

Installer maintenant.

Suivant…

- 64 - | P a g e

III. Direct Access - Windows Server 2012 Et en remplissant les champs requis :

- 65 - | P a g e

III. Direct Access - Windows Server 2012 Le serveur est prêt à être promu Contrôleur de domaine.

Malgré un fenêtrage un peu différent voire déroutant, la configuration du réseau (passage en adressage fixe et nommage du serveur), cette étape est strictement identique à celle faite sous Windows Server 2008. Pour Windows Server 2012, le « DCpromo » a disparu au profit d’une interface graphique

(ou

l’utilisation de

plusieurs

modules

powershell

servermanager, add-WindowsFeature, AD-Domain-Services,…).

- 66 - | P a g e

(Import-module

III. Direct Access - Windows Server 2012 Ainsi, il suffit de suivre l’assistant en laissant les choix par défaut : il réalise une installation du rôle et de ses fonctionnalités :

- 67 - | P a g e

III. Direct Access - Windows Server 2012 Puis, il s’agit de promouvoir le serveur en contrôleur de domaine.

- 68 - | P a g e

III. Direct Access - Windows Server 2012 Les derniers éléments de configuration du domaine sont à renseigner : -

Le nom du domaine et de la nouvelle forêt :

Les options : niveau fonctionnel de la forêt et du domaine, la vérification du nom NetBios, les chemins d’accès de la base de données NTDS, des fichiers journaux, et du dossier sysvol.

- 69 - | P a g e

III. Direct Access - Windows Server 2012 Après l’examen des options et la vérification de la configuration, le script s’exécute et installe le DNS et promeut le serveur en contrôleur de domaine. Le serveur redémarre ensuite.

- 70 - | P a g e

III. Direct Access - Windows Server 2012

2. Configuration du serveur Direct Access Installation du rôle Tout d’abord, il faut rajouter le rôle accès à distance (installation en même temps du rôle serveur Web).

- 71 - | P a g e

III. Direct Access - Windows Server 2012 Bien choisir « Accès à distance » dans la liste des rôles, ce qui sélectionne par défaut les fonctionnalités nécessaires, ainsi que les services liés au rôle :

- 72 - | P a g e

III. Direct Access - Windows Server 2012

Il suffit de suivre l’assistant en laissant les choix par défaut :

- 73 - | P a g e

III. Direct Access - Windows Server 2012 Le rôle et ses fonctionnalistes s’installent sans aucune intervention.

- 74 - | P a g e

III. Direct Access - Windows Server 2012 Fin de l’installation avec le démarrage de l’assistant de mise en route ; le paramétrage est ici essentiel.

- 75 - | P a g e

III. Direct Access - Windows Server 2012 La console de gestion sâ&#x20AC;&#x2122;ouvre afin de terminer la configuration du serveur : -

Nom du serveur ou son adresse publique 131.107.0.2

- 76 - | P a g e

(pour notre configuration :

III. Direct Access - Windows Server 2012

- puis il faut configurer les cartes réseau. Il est préférable de sélectionner le certificat auto signé qui permet d’authentifier les connections en IP-HTTPS.

La page suivante permet de choisir le type d’authentification, une authentification par l’AD soit une authentification a deux facteurs, et l’utilisation de certificat d’ordinateur est aussi possible. Tout autre type est envisageable : RADIUS.

- 77 - | P a g e

III. Direct Access - Windows Server 2012 Le résultat de la configuration apparait dans la console de gestion de l’Accès distant, dans l’onglet état des opérations.

Coté client, dès que les stratégies de groupe sont appliquées et le client est connecté à l’extérieur du réseau de l’entreprise, le tunnel 6to4 se construit et ainsi il est possible d’interroger les propriétés de connexion et vérifier la connexion à distance.

- 78 - | P a g e

III. Direct Access - Windows Server 2012

- 79 - | P a g e

III. Direct Access - Windows Server 2012 Nota Bene La résolution des problèmes d’échec de connexion d’accès à distance DirectAccess peut s’avérer extrêmement complexe en raison des capacités de journalisation limitées actuellement fournies. Les administrateurs requièrent généralement des captures du moniteur réseau pour la résolution des problèmes, étant donné que les journaux de l’Observateur d’événements ne sont pas très utiles ni normatifs. Windows Server 2012 fournit les améliorations suivantes des fonctionnalités de diagnostic

pour

résolution

des

problèmes

d’accès

distance

avec

des

enregistrements des événements détaillés pour DirectAccess. Les administrateurs peuvent utiliser l’enregistrement amélioré des événements pour identifier les problèmes et effectuer l’analyse des capacités et des performances. Les journaux des événements sont standardisés pour garantir une expérience cohérente avec les autres composants réseau. Le suivi intégré permet aux administrateurs de rassembler facilement des journaux de suivi et des captures de paquets réseau d’un simple clic. Le suivi avec capture de paquets et la corrélation des journaux s’effectuent dans le cadre d’un processus individuel lorsque l’administrateur clique sur la tâche Démarrer le suivi dans le volet des tâches.

- 80 - | P a g e

Conclusion :

Conclusion : Pour conclure nous constatons à présent les différences majeures entre les versions 2008 et 2012 de Direct Access : la version 2012, par la simplification de sa mise en œuvre et la baisse des prérequis techniques, devrait permettre une grande extension de l’utilisation de cette technologie même dans les PME.

Si l’on considère l’ambition initiale de Microsoft qui consistait à proposer une solution en passe de devenir un standard ainsi qu’une alternative au chiffrement disponible sur le marché, clairement la démarche est aboutie.

Avec Direct Access nous disposons d’une solution qui est certes complexe à mettre en œuvre dans les deux versions, mais qui ne nécessite aucune intervention de l’utilisateur. On peut très facilement imaginer le gain de notre SI pour accompagner un utilisateur dans sa démarche de connexion Externe. Il reste à anticiper les futures évolutions du service, en imaginant plus d’option pour un administrateur vis-à-vis de ces utilisateurs. Un management du parc nomade facilité avec une possibilité d’intervention à distance simplifié

- 81 - | P a g e

Annexes :

Annexes : Plan de la maquette Windows Serveur 2008 R2

- 82 - | Page

Annexes :

Plan de la maquette Windows Serveur 2012 Réseau Newstore

Réseau Externe Serveur Active Directory 10.133.100.10/23 ADDS / DNS / DHCP / ADCS

Tunnel IpSec

Serveur Direct Access 10.133.100.20/23 131.107.0.2/24 IIS / DA Partage : CRDList$

Serveur Active Directory 10.133.100.30/23 IIS / Partage de fichier Partage : Test_du_partage_DA

Externe

Newstore

Serveur simulation internet 131.107.0.1/24 DNS / DHCP

Client Nomade Adresse DHCP

- 83 - | P a g e

Index :

Index: Contrôleur de domaine · - 36 -

Serveur en charge du contrôle d'un domaine

6to4 · - 8 Service

d'adresse

translation IPV4

vers

IPV6

host

Active Directory · - 5 -

Protocole qui assure le

Annuaire

LDAP

rôle

Microsoft

gérant

configuraton de

protocol)

gestion

adresse

sur

détaillé

Service de rôle active

documentation

certificats

l'entreprise

dans

cette

démilitarisée)

Zone tanpon qui isole les services accèssible

depuis

d'une

entreprise par un pare

Bit · - 8 Unité

internet

mesure

informatique,

chiffre

binaire de 0 à 1

feux DNS 64 · - 4 Protocole de transition de

nom

d'hôte

IPv4

vers IPv6

C Enregistrement permettant

domaine

Nom définie

- 84 - | Page

DNS joindre par

nom

name)

plenement qualifié

G (Gestion

stratégie

de groupe), fonction de gestion

centralisé

gpupdate · - 49 Commande

permettant

de rafraichir les GPO sur un poste cible

H Hexadécimal · - 8 Système numérique en base

utilisé en

informatique HTTPS · - 31 Evolution du protocole

Encapsuler · - 54 Inclus les données d'un protocole

domain

notamment

CNAME · - 17 -

qualified

Microsoft

DMZ · - 42 (Zone

(Full

GPO · - 9 -

Microsoft

AD CS · - 22 -

réseau Service

directory pour gérer les

sécurité

des

Direct Access · - 4 -

Utilisateur

FQDN · - 17 -

(Dynamic

l'authentification

Systéme

accès nomades

Forefront UAG · - 4 Microsoft qui cible les

D DHCP · - 20 -

l'identification

dans

autre protocole

http

avec

implémentation couche SSL

l' d'une

Index:

Local aréa network est

Désigne les utilisateurs

un réseau informatique

d'une

ICMP · - 28 -

sans accès internet

amenés à se déplacer

(Internet

control

Message

Protocol)

Utilisé pour diffuser des messages

contrôle

fréquemment

NRPT · - 9 Table de stratégie de

Microsoft · - 4 -

d'erreurs

Société

IIS · - 31 -

américaine

créatrice

des

système

Service

Microsoft

rôle pour

entreprise

Internationale

d'exploitation Windows

implémenter un serveur

MMC · - 38 -

en entreprise

Interface graphique de

IPHTTPS · - 40 -

configuration d'éléments

résolution de nom NTFS · - 35 Système

informatique

windows

permet à un client de

Modèle OSI · - 8 -

gérer les situations ou

Standard

informatique,

il ne peut se connecter

communication

correspond

avec

réseau

protocoles

6to4 et teredo Voir la définition page 10

Unité

informatique

d'adressage

informatique

codé

sur

32 bits

IPV6 · - 4 d'adressage sur

128 bits ISATAP · - 8 Mécanisme

(Network

Adresse

Translation)

Fait

correspondre

de des

internet vers

une

adresse externe unique

permettant

tester

l'accessibilité

d'une

machine client PKI · - 7 Public key infrastructure Système qui permet de

Network location server.

d'une clé de sécurité

Serveur utilisé dans le

informatique

transition IPv4 vers IPv6

qui permet à un client de

- 85 - | P a g e

informatique

gérer le cycle de vie

cadre de Direct Access

LAN · - 59 -

NLS · - 9 -

ensemble de 8 bits

Outil

non-uniques codé

mesure

Ping · - 53 -

adresses

informatique

NAT · - 4 -

IPV4 · - 8 -

Protocole

Octet · - 8 -

composé de 7 couches

IPSec · - 9 -

Protocole

evolution

du Fat 32

Protocole Microsoft qui

les

fichier

repéré

sur

qu'elle

réseau il se situe Nomadisme · - 5 -

Protocoles · - 8 Méthode qui permet la communication différent processus PTR · - 17 -

Index: Enregistrement dans un

Permet d'identifier une

réseau local au traver

service DNS qui permet

trame par l'ajout d'un

d'internet

d'identifier l'adresse IP

tag

d'un hôte par son nom

Protocole de transport

Répertoire virtuel · - 31 Dossier

virtuel

utilisé

par le service IIS de Microsoft

mode

connecté Mécanisme

transition d'adresse qui la

un équipement NAT

Secure

Socket

Layer

Protocole

sécurisation

d'échange

sur internet Suffixe DNS · - 13 le d'un

premier nom

domaine

T taggés · - 30 -

- 86 - | P a g e

WAN · - 52 Wide

aréa

réseau

Teredo · - 8 -

communication derrière

SSL · - 4 -

niveau

donnée

permet

Désigne

TCP · - 13 -

network

informatique

couvrant

une

grande

zone d'un pays ou d'un continent Windows · - 4 Système

d'exploitation

développé par Microsoft

WPAD · - 19 -

UO · - 21 -

Discovery protocole de

Unité organisationnelle,

Microsoft

qui

système de classement

une

configuration

d'objet Active Directory

automatique

Web

proxy

internet

V VPN · - 4 Virtual private network est une extension d'un

navigateur

Autopermet d'accès

son