Étape 2 : Configurer le serveur DirectAccess-VPN
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique décrit comment configurer les paramètres de client et de serveur requis pour un déploiement de l'accès à distance de base à l'aide de l'Assistant Activation de DirectAccess.
Le tableau suivant fournit une vue d’ensemble des étapes que vous pouvez effectuer à l’aide de cette rubrique.
| Tâche | Description |
|---|---|
| Configurer les clients DirectAccess | Configurez le serveur d'accès à distance avec les groupes de sécurité contenant les clients DirectAccess. |
| Configurer la topologie du réseau | Configurez les paramètres du serveur d'accès à distance |
| Configurer la liste de recherche de suffixes DNS | Modifiez la liste de recherche de suffixes, si vous le souhaitez. |
| Configuration des objets de stratégie de groupe | Modifiez les objets de stratégie de groupe, si vous le souhaitez. |
Pour démarrer l'Assistant Activation de DirectAccess
Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Accès à distance. L’Assistant Activer DirectAccess démarre automatiquement, sauf si vous avez sélectionné Ne plus afficher cet écran.
Si l'Assistant ne démarre pas automatiquement, cliquez avec le bouton droit sur le nœud serveur dans l'arborescence Routage et accès à distance, puis cliquez sur Activer DirectAccess.
Cliquez sur Suivant.
Configurer les clients DirectAccess
Pour configurer l'utilisation de DirectAccess sur un ordinateur client, ce dernier doit appartenir au groupe de sécurité sélectionné. Une fois DirectAccess configuré, les ordinateurs clients du groupe de sécurité sont configurés pour recevoir la stratégie de groupe DirectAccess.
Dans la page Sélectionner des groupes, cliquez sur Ajouter.
Dans la boîte de dialogue Sélectionner des groupes, sélectionnez les groupes de sécurité contenant des ordinateurs clients DirectAccess.
Cochez la case Activer DirectAccess pour les ordinateurs portables uniquement pour autoriser uniquement les ordinateurs portables à accéder au réseau interne.
Cochez la case Utiliser le tunneling forcé pour acheminer tout le trafic client (vers le réseau interne et vers Internet) via le serveur d'accès à distance.
Cliquez sur Suivant.
Configurer la topologie du réseau
Pour déployer l'accès à distance, vous devez configurer le serveur d'accès à distance avec les cartes réseau appropriées, une URL publique pour le serveur d'accès à distance auquel les ordinateurs clients peuvent se connecter (l'adresse de connexion) et un certificat IP-HTTPS dont le sujet correspond à l'adresse de connexion.
- Dans la page Topologie du réseau, cliquez sur la topologie de déploiement qui sera utilisée dans votre organisation. Dans Tapez le nom public ou l'adresse IPv4 utilisé par les clients pour se connecter au serveur d'accès à distance, entrez le nom public du déploiement (ce nom correspond au nom de sujet du certificat IP-HTTPS, par exemple edge1.contoso.com), puis cliquez sur Suivant.
Configurer la liste de recherche de suffixes DNS
Pour les clients DNS, vous pouvez configurer une liste de recherche de suffixes de domaines DNS qui étend ou modifie leurs fonctionnalités de recherche DNS. En ajoutant des suffixes supplémentaires à cette liste, vous pouvez rechercher des noms d'ordinateurs courts et non qualifiés dans plusieurs domaines DNS. Ensuite, si une requête DNS échoue, le service client DNS peut utiliser cette liste pour ajouter d’autres fins de suffixe de nom à votre nom d’origine et répéter les requêtes DNS au serveur DNS pour ces FQDN alternatifs.
Cochez la case Configurer les clients DirectAccess avec la liste de recherche des suffixes de client DNS pour spécifier des suffixes supplémentaires pour les recherches de noms de clients.
Tapez un nouveau nom de suffixe dans Nouveau suffixe, puis cliquez sur Ajouter. Vous pouvez également modifier l'ordre de recherche et supprimer des suffixes de la liste Suffixes de domaine à utiliser.
[NOTE] Dans un scénario d'espace de noms dissocié (où un ou plusieurs ordinateurs de domaine ont un suffixe DNS qui ne correspond pas au domaine Active Directory auquel appartiennent les ordinateurs), vous devez vous assurer que la liste de recherche est personnalisée pour inclure tous les suffixes requis. L'Assistant Accès à distance configurera par défaut le nom DNS Active Directory comme suffixe DNS principal sur le client. L'administrateur doit s'assurer qu'il a le suffixe DNS utilisé par les clients pour la résolution des noms.
Pour les ordinateurs et serveurs, le comportement suivant de recherche DNS par défaut est prédéterminé et utilisé lors de la résolution des noms courts et non qualifiés. Lorsque la liste de recherche de suffixes est vide ou non spécifiée, le suffixe DNS principal de l'ordinateur est ajouté aux noms courts et non qualifiés tandis qu'une requête DNS est utilisée pour résoudre le nom de domaine complet (FQDN) résultant.
Si cette requête échoue, l'ordinateur peut tenter d'autres requêtes pour d'autres FQDN en ajoutant n’importe quel suffixe DNS spécifique à la connexion configuré pour les connexions réseau. Si aucun suffixe spécifique à la connexion n'est configuré ou si les requêtes pour ces FQDN spécifiques à la connexion échouent, le client peut alors commencer à réessayer des requêtes basées sur la réduction systématique du suffixe primaire (également appelée dévolution).
Par exemple, si le suffixe principal est « example.microsoft.com », le processus de dévolution peut réessayer des requêtes pour le nom court en le recherchant dans les domaines « microsoft.com » et « com ».
Lorsque la liste de recherche de suffixes n’est pas vide et a au moins un suffixe DNS spécifié, les tentatives de qualification et de résolution des noms DNS courts sont limitées à la recherche unique des noms de domaine complets rendus possibles par la liste de suffixes spécifiée.
Si les requêtes de tous les noms de domaine complets résultant de l'ajout et du test de chaque suffixe de la liste ne sont pas résolues, le processus de requête échoue et indique « Impossible de trouver le nom ».
Avertissement
Si la liste des suffixes du domaine est utilisée, les clients continuent d'envoyer d'autres requêtes supplémentaires basées sur différents noms de domaine DNS, en l'absence de réponse ou de résolution d'une requête. Lorsqu'un nom est résolu à partir d'une entrée de la liste des suffixes, les entrées de liste non utilisées ne sont pas testées. C'est la raison pour laquelle il est plus efficace de trier la liste en plaçant en premier les suffixes de domaine les plus utilisés.
Les recherches d'un suffixe de nom de domaine ne sont utilisées que lorsqu'une entrée de nom DNS n'est pas pleinement qualifiée. Pour qualifier pleinement un nom DNS, un point final (.) est entré à la suite du nom.
Configuration des objets de stratégie de groupe
Lorsque vous configurez l'accès à distance sont rassemblés dans des objets de stratégie de groupe.
Dans Paramètres des objets Stratégie de groupe, le nom d'objet de stratégie de groupe DirectAccess et le nom d'objet de stratégie de groupe Client sont répertoriés. De plus, vous pouvez modifier les paramètres de sélection des objets de stratégie de groupe.
Deux objets de stratégie de groupe sont automatiquement renseignés avec les paramètres DirectAccess, puis distribués de cette manière :
Objet de stratégie de groupe de client DirectAccess. Cet objet de stratégie de groupe contient des paramètres client, notamment les paramètres de technologie de transition IPv6, les entrées de la table NRPT et les règles de sécurité de connexion du Pare-feu Windows avec fonctions avancées de sécurité. L'objet de stratégie de groupe est appliqué aux groupes de sécurité spécifiés pour les ordinateurs clients.
Objet de stratégie de groupe de serveur DirectAccess. Cet objet de stratégie de groupe contient les paramètres de configuration DirectAccess qui sont appliqués à tout serveur configuré en tant que serveur d’accès à distance dans votre déploiement. Il contient également les règles de sécurité de connexion du Pare-feu Windows avec fonctions avancées de sécurité.
Résumé
Une fois la configuration de l'accès à distance terminée, le Résumé s'affiche. Vous pouvez modifier les paramètres configurés ou cliquer sur Terminer pour appliquer la configuration.