Configurations non prises en charge DirectAccessDirectAccess Unsupported Configurations

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Passez en revue la liste suivante de configurations DirectAccess non prises en charge avant de commencer votre déploiement afin d’éviter d’avoir à redémarrer votre déploiement.Review the following list of unsupported DirectAccess configurations before you start your deployment to avoid having to start your deployment again.

Distribution du service de réplication de fichiers (FRS) des objets de stratégie de groupe (réplications SYSVOL)File Replication Service (FRS) distribution of Group Policy objects (SYSVOL replications)

Ne déployez pas DirectAccess dans les environnements où vos contrôleurs de domaine exécutent le service de réplication de fichiers (FRS) pour la distribution d’objets stratégie de groupe (réplications SYSVOL).Do not deploy DirectAccess in environments where your domain controllers are running the File Replication Service (FRS) for distribution of Group Policy objects (SYSVOL replications). Le déploiement de DirectAccess n’est pas pris en charge lorsque vous utilisez FRS.Deployment of DirectAccess is not supported when you use FRS.

Vous utilisez le service FRS si vous avez des contrôleurs de domaine qui exécutent Windows Server 2003 ou Windows Server 2003 R2.You are using FRS if you have domain controllers that are running Windows Server 2003 or Windows Server 2003 R2. En outre, vous pouvez utiliser le service FRS si vous avez déjà utilisé des contrôleurs de domaine Windows 2000 Server ou Windows Server 2003 et que vous n’avez jamais migré la réplication SYSVOL de FRS vers système de fichiers DFS réplication (DFS-R).In addition, you might be using FRS if you previously used Windows 2000 Server or Windows Server 2003 domain controllers and you never migrated SYSVOL replication from FRS to Distributed File System Replication (DFS-R).

Si vous déployez DirectAccess avec la réplication SYSVOL FRS, vous risquez la suppression accidentelle des objets DirectAccess stratégie de groupe qui contiennent les informations de configuration du client et du serveur DirectAccess.If you deploy DirectAccess with FRS SYSVOL replication, you risk the unintentional deletion of DirectAccess Group Policy objects that contain the DirectAccess server and client configuration information. Si ces objets sont supprimés, votre déploiement DirectAccess subit une panne et les ordinateurs clients qui utilisent DirectAccess ne seront pas en mesure de se connecter à votre réseau.If these objects are deleted, your DirectAccess deployment will suffer an outage, and client computers that use DirectAccess will not be able to connect to your network.

Si vous envisagez de déployer DirectAccess, vous devez utiliser des contrôleurs de domaine qui exécutent des systèmes d’exploitation ultérieurs à Windows Server 2003 R2, et vous devez utiliser DFS-R.If you are planning to deploy DirectAccess, you must use domain controllers that are running operating systems later than Windows Server 2003 R2, and you must use DFS-R.

Pour plus d’informations sur la migration de FRS vers DFS-R, consultez le Guide de migration de la réplication SYSVOL : FRS to réplication DFS.For information on migrating from FRS to DFS-R, see the SYSVOL Replication Migration Guide: FRS to DFS Replication.

Protection d’accès réseau pour les clients DirectAccessNetwork Access Protection for DirectAccess clients

La protection d’accès réseau (NAP) est utilisée pour déterminer si les ordinateurs clients distants respectent les stratégies informatiques avant de se voir accorder l’accès au réseau d’entreprise.Network Access Protection (NAP) is used to determine whether remote client computers meet IT policies before they are granted access to the corporate network. La protection d’accès réseau (NAP) a été dépréciée dans Windows Server 2012 R2 et n’est pas incluse dans Windows Server 2016.NAP was deprecated in Windows Server 2012 R2 and is not included in Windows Server 2016. Pour cette raison, le démarrage d’un nouveau déploiement de DirectAccess avec NAP n’est pas recommandé.For this reason, starting a new deployment of DirectAccess with NAP is not recommended. Il est recommandé d’avoir une méthode de contrôle de point de terminaison différente pour la sécurité des clients DirectAccess.A different method of end point control for the security of DirectAccess clients is recommended.

Prise en charge multisite pour les clients Windows 7Multisite support for Windows 7 clients

Lorsque DirectAccess est configuré dans un déploiement multisite, les clients Windows 10®, Windows® 8,1 et Windows® 8 ont la possibilité de se connecter au site le plus proche.When DirectAccess is configured in a multisite deployment, Windows 10®, Windows® 8.1, and Windows® 8 clients have the capability of connecting to the nearest site. Windows 7® les ordinateurs clients n’ont pas la même fonctionnalité.Windows 7® client computers do not have the same capability. La sélection de site pour les clients Windows 7 est définie sur un site particulier au moment de la configuration de la stratégie, et ces clients se connectent toujours à ce site désigné, quel que soit leur emplacement.Site selection for Windows 7 clients is set to a particular site at the time of policy configuration, and these clients will always connect to that designated site, regardless of their location.

Contrôle d’accès en fonction de l’utilisateurUser-based access control

Les stratégies DirectAccess sont basées sur l’ordinateur et non sur l’utilisateur.DirectAccess policies are computer based, not user based. La spécification de stratégies d’utilisateur DirectAccess pour contrôler l’accès au réseau d’entreprise n’est pas prise en charge.Specifying DirectAccess user policies to control access to the corporate network is not supported.

Personnalisation de la Stratégie DirectAccessCustomizing DirectAccess policy

DirectAccess peut être configuré à l’aide de l’Assistant Installation DirectAccess, de la console de gestion de l’accès à distance ou des applets de commande Windows PowerShell pour l’accès à distance.DirectAccess can be configured by using the DirectAccess Setup Wizard, the Remote Access Management console, or the Remote Access Windows PowerShell cmdlets. N’est pas pris en charge à l’aide de l’Assistant Installation DirectAccess pour configurer DirectAccess, par exemple la modification directe des objets stratégie de groupe DirectAccess ou la modification manuelle des paramètres de stratégie par défaut sur le serveur ou le client.Using any means other than the DirectAccess Setup Wizard to configure DirectAccess, such as modifying DirectAccess Group Policy Objects directly or manually modifying the default policy settings on the server or client, is not supported. Ces modifications peuvent entraîner une configuration inutilisable.These modifications may result in an unusable configuration.

Authentification KerbProxyKerbProxy authentication

Quand vous configurez un serveur DirectAccess à l’aide de l’Assistant Prise en main, le serveur DirectAccess est automatiquement configuré pour utiliser l’authentification KerbProxy pour l’authentification de l’ordinateur et de l’utilisateur.When you configure a DirectAccess server with the Getting Started Wizard, the DirectAccess server is automatically configured to use KerbProxy authentication for computer and user authentication. Pour cette raison, vous devez utiliser uniquement l’Assistant Prise en main pour les déploiements sur un site où seuls les clients Windows 10®, Windows 8.1 ou Windows 8 sont déployés.Because of this, you should only use the Getting Started Wizard for single-site deployments where only Windows 10®, Windows 8.1, or Windows 8 clients are deployed.

En outre, les fonctionnalités suivantes ne doivent pas être utilisées avec l’authentification KerbProxy :In addition, the following features should not be used with KerbProxy authentication:

  • Équilibrage de charge à l’aide d’un équilibrage de charge externe ou d’une charge WindowsLoad balancing by using either an external load balancer or Windows Load
    ÉquilibreurBalancer

  • Authentification à deux facteurs où les cartes à puce ou un mot de passe à usage unique sont requisTwo-factor authentication where smart cards or a one-time password (OTP) are required

Les plans de déploiement suivants ne sont pas pris en charge si vous activez l’authentification KerbProxy :The following deployment plans are not supported if you enable KerbProxy authentication:

  • Multisite.Multisite.

  • Prise en charge DirectAccess pour les clients Windows 7.DirectAccess support for Windows 7 clients.

  • Forcer le tunneling.Force tunneling. Pour vous assurer que l’authentification KerbProxy n’est pas activée lorsque vous utilisez le tunneling forcé, configurez les éléments suivants lors de l’exécution de l’Assistant :To ensure that KerbProxy authentication is not enabled when you use force tunneling, configure the following items while running the wizard:

    • Activer Forcer le mode tunnelingEnable force tunneling

    • Activer DirectAccess pour les clients Windows 7Enable DirectAccess for Windows 7 clients

Notes

Pour les déploiements précédents, vous devez utiliser l’Assistant Configuration avancée, qui utilise une configuration à deux tunnels avec une authentification de l’utilisateur et de l’ordinateur basée sur les certificats.For the previous deployments, you should use the Advanced Configuration Wizard, which uses a two-tunnel configuration with a certificate-based computer and user authentication. Pour plus d’informations, consultez déployer un serveur DirectAccess unique avec des paramètres avancés.For more information, see Deploy a Single DirectAccess Server with Advanced Settings.

Utilisation d’ISATAPUsing ISATAP

ISATAP est une technologie de transition qui fournit une connectivité IPv6 dans des réseaux d’entreprise IPv4 uniquement.ISATAP is a transition technology that provides IPv6 connectivity in IPv4-only corporate networks. Elle est limitée aux petites et moyennes entreprises avec un seul déploiement de serveur DirectAccess et permet la gestion à distance des clients DirectAccess.It is limited to small- and medium-sized organizations with a single DirectAccess server deployment, and it allows remote management of DirectAccess clients. Si ISATAP est déployé dans un environnement multisite, d’équilibrage de charge ou multidomaine, vous devez le supprimer ou le déplacer vers un déploiement IPv6 natif avant de configurer DirectAccess.If ISATAP is deployedin a multisite, load balancing, or multidomain environment, you must remove it or move it to a native IPv6 deployment before you configure DirectAccess.

Configuration du point de terminaison de mot de passe à usage unique et IPHTTPSIPHTTPS and one-time password (OTP) endpoint configuration

Quand vous utilisez IPHTTPS, la connexion IPHTTPS doit se terminer sur le serveur DirectAccess, et non sur un autre appareil, tel qu’un équilibreur de charge.When you use IPHTTPS, the IPHTTPS connection must terminate on the DirectAccess server, not on any other device, such as a load balancer. De même, la connexion de protocole SSL hors bande (SSL) créée pendant l’authentification par mot de passe à usage unique doit se terminer sur le serveur DirectAccess.Similarly, the out-of-band Secure Sockets Layer (SSL) connection that is created during one-time password (OTP) authentication must terminate on the DirectAccess server. Tous les appareils entre les points de terminaison de ces connexions doivent être configurés en mode relais.All devices between the endpoints of these connections must be configured in pass-through mode.

Forcer le tunnel avec authentification par mot de passe à usage uniqueForce Tunnel with OTP authentication

Ne déployez pas de serveur DirectAccess avec l’authentification à deux facteurs avec un mot de passe à usage unique et le tunneling forcé, ou l’authentification par mot de passe à usage unique échouera.Do not deploy a DirectAccess server with two-factor authentication with OTP and Force Tunneling, or OTP authentication will fail. Une connexion de protocole SSL hors bande (SSL) est nécessaire entre le serveur DirectAccess et le client DirectAccess.An out-of-band Secure Sockets Layer (SSL) connection is required between the DirectAccess server and the DirectAccess client. Cette connexion nécessite une exemption pour envoyer le trafic en dehors du tunnel DirectAccess.This connection requires an exemption to send the traffic outside of the DirectAccess tunnel. Dans une configuration de tunnel forcé, tout le trafic doit transiter via un tunnel DirectAccess, et aucune exemption n’est autorisée une fois le tunnel établi.In a Force Tunnel configuration, all traffic must flow through a DirectAccess tunnel, and no exemption is allowed after the tunnel is established. Pour cette raison, il n’est pas possible d’avoir une authentification par mot de passe à usage unique dans une configuration de tunnel forcé.Because of this, it is not supported to have OTP authentication in a Forced Tunnel configuration.

Déploiement de DirectAccess avec un contrôleur de domaine en lecture seuleDeploying DirectAccess with a Read-Only Domain Controller

Les serveurs DirectAccess doivent avoir accès à un contrôleur de domaine en lecture-écriture et ne fonctionnent pas correctement avec un contrôleur de domaine en lecture seule (RODC).DirectAccess servers must have access to a read-write domain controller, and do not function correctly with a Read-Only Domain Controller (RODC).

Un contrôleur de domaine en lecture-écriture est requis pour de nombreuses raisons, notamment les suivantes :A read-write domain controller is required for many reasons, including the following:

  • Sur le serveur DirectAccess, un contrôleur de domaine en lecture-écriture est requis pour ouvrir la console MMC (Microsoft Management Console) d’accès à distance.On the DirectAccess server, a read-write domain controller is required to open the Remote Access Microsoft Management Console (MMC).

  • Le serveur DirectAccess doit lire et écrire sur le client DirectAccess et le serveur DirectAccess stratégie de groupe les objets de stratégie de groupe.The DirectAccess server must both read and write to the DirectAccess client and DirectAccess server Group Policy Objects (GPOs).

  • Le serveur DirectAccess lit et écrit dans l’objet de stratégie de groupe client, spécifiquement à partir de l’émulateur de contrôleur de domaine principal (émulateur).The DirectAccess server reads and writes to the client GPO specifically from the Primary Domain Controller emulator (PDCe).

En raison de ces exigences, ne déployez pas DirectAccess avec un RODC.Because of these requirements, do not deploy DirectAccess with an RODC.