Déployer un serveur DirectAccess unique avec des paramètres avancésDeploy a Single DirectAccess Server with Advanced Settings

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique fournit une introduction au scénario DirectAccess qui utilise un serveur DirectAccess unique et vous permet de déployer DirectAccess avec des paramètres avancés.This topic provides an introduction to the DirectAccess scenario that uses a single DirectAccess server, and allows you to deploy DirectAccess with advanced settings.

Avant de commencer le déploiement, consultez la liste des configurations non prises en charge, des problèmes connus et des configurations requisesBefore you begin deploying, see the list of unsupported configurations, known issues, and prerequisites

Vous pouvez utiliser les rubriques suivantes pour passer en revue les conditions préalables et d’autres informations avant de déployer DirectAccess.You can use the following topics to review prerequisites and other information before you deploy DirectAccess.

Description du scénarioScenario description

Dans ce scénario, un seul ordinateur exécutant Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 est configuré en tant que serveur DirectAccess avec des paramètres avancés.In this scenario, a single computer running either Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012, is configured as a DirectAccess server with advanced settings.

Notes

Pour configurer un déploiement de base avec des paramètres simples uniquement, consultez Déploiement d'un serveur DirectAccess unique à l'aide de l'Assistant Mise en route.If you want to configure a basic deployment with simple settings only, see Deploy a Single DirectAccess Server Using the Getting Started Wizard. Ce scénario simple permet de configurer DirectAccess avec les paramètres par défaut en utilisant un Assistant, sans qu'il soit nécessaire de configurer des paramètres d'infrastructure, tels qu'une autorité de certification ou des groupes de sécurité Active Directory.In the simple scenario, DirectAccess is configured with default settings by using a wizard, without any need to configure infrastructure settings such as a certification authority (CA) or Active Directory security groups.

Dans ce scénarioIn this scenario

Pour configurer un serveur DirectAccess unique avec des paramètres avancés, vous devez effectuer plusieurs étapes de planification et déploiement.To set up a single DirectAccess server with advanced settings, you must complete several planning and deployment steps.

PrérequisPrerequisites

Avant de commencer, vous pouvez passer en revue la configuration requise suivante.Before you begin, you can review the following requirements.

  • Le Pare-feu Windows doit être activé sur tous les profils.Windows Firewall must be enabled on all profiles.

  • Le serveur DirectAccess est le serveur Emplacement réseau.The DirectAccess server is the network location server.

  • Vous voulez que tous les ordinateurs sans fil figurant dans le domaine où vous installez le serveur DirectAccess prennent en charge DirectAccess.You want all wireless computers in the domain where you install the DirectAccess server to be DirectAccess-enabled. Quand vous déployez DirectAccess, il est activé automatiquement sur tous les ordinateurs portables présents dans le domaine actuel.When you deploy DirectAccess, it is automatically enabled on all mobile computers in the current domain.

Important

Certaines technologies et configurations ne sont pas prises en charge lorsque vous déployez DirectAccess.Some technologies and configurations are not supported when you deploy DirectAccess.

  • Le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) n'est pas pris en charge dans le réseau d'entreprise.Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) in the corporate network is not supported. Si vous utilisez le protocole ISATAP, vous devez le supprimer et utiliser le protocole IPv6 natif.If you are using ISATAP, you must remove it and use native IPv6.

Étapes de planificationPlanning steps

La planification comporte les deux phases suivantes :Planning is divided into two phases:

  1. Planification de l'infrastructure DirectAccess.Planning for the DirectAccess infrastructure. Cette phase décrit la planification requise pour configurer l'infrastructure réseau avant de commencer le déploiement de DirectAccess.This phase describes the planning required to set up the network infrastructure before beginning the DirectAccess deployment. Elle inclut la planification de la topologie du réseau et des serveurs, la planification des certificats, de DNS, de la configuration d'Active Directory et des objets de stratégie de groupe (GPO), ainsi que du serveur Emplacement réseau DirectAccess.It includes planning the network and server topology, certificate planning, DNS, Active Directory and Group Policy object (GPO) configuration, and the DirectAccess network location server.

  2. Planification du déploiement de DirectAccess.Planning for the DirectAccess deployment. Cette phase décrit les étapes de planification requises pour préparer le déploiement de DirectAccess.This phase describes the planning steps required to prepare for the DirectAccess deployment. Elle inclut la planification des ordinateurs clients DirectAccess, de la configuration requise pour l'authentification des serveurs et clients, des paramètres VPN, des serveurs d'infrastructure, et des serveurs d'applications et d'administration.It includes planning for DirectAccess client computers, server and client authentication requirements, VPN settings, infrastructure servers, and management and application servers.

Étapes de déploiementDeployment steps

Le déploiement comporte les trois phases suivantes :Deployment is divided into three phases:

  1. Configuration de l'infrastructure DirectAccess.Configuring the DirectAccess infrastructure. Cette phase inclut la configuration du réseau et du routage, des paramètres de pare-feu (s'il y a lieu), des certificats, des serveurs DNS, des paramètres Active Directory et GPO, et du serveur Emplacement réseau DirectAccess.This phase includes configuring network and routing, configuring firewall settings if required, configuring certificates, DNS servers, Active Directory and GPO settings, and the DirectAccess network location server.

  2. Configuration des paramètres du serveur DirectAccess.Configuring DirectAccess server settings. Cette phase inclut les étapes requises pour configurer les ordinateurs clients DirectAccess, le serveur DirectAccess, les serveurs d'infrastructure et les serveurs d'applications et d'administration.This phase includes steps for configuring DirectAccess client computers, the DirectAccess server, infrastructure servers, management and application servers.

  3. Vérification du déploiement.Verifying the deployment. Cette phase inclut des étapes pour vérifier le déploiement de DirectAccess.This phase includes steps to verify the DirectAccess deployment.

Pour obtenir les étapes de déploiement détaillées, voir Installer et configurer les fonctionnalités avancées de DirectAccess.For detailed deployment steps, see Install and Configure Advanced DirectAccess.

Applications pratiquesPractical applications

Le déploiement d'un serveur DirectAccess individuel présente les caractéristiques suivantes :Deploying a single DirectAccess server provides the following:

  • Options d'ergonomie.Ease of access. Les ordinateurs clients gérés exécutant Windows 10, Windows 8.1, Windows 8 et Windows 7 peuvent être configurés en tant qu’ordinateurs clients DirectAccess.Managed client computers running Windows 10, Windows 8.1, Windows 8, and Windows 7 can be configured as DirectAccess client computers. Ces clients peuvent accéder aux ressources réseau internes via DirectAccess chaque fois qu’ils se trouvent sur Internet sans avoir à se connecter via une connexion VPN.These clients can access internal network resources via DirectAccess any time they are located on the Internet without needing to log in to a VPN connection. Les ordinateurs clients qui n’exécutent pas l’un de ces systèmes d’exploitation peuvent se connecter au réseau interne via VPN.Client computers not running one of these operating systems can connect to the internal network via VPN.

  • Gestion facile.Ease of management. Les ordinateurs clients DirectAccess qui se trouvent sur Internet peuvent être gérés à distance par des administrateurs d'accès à distance via DirectAccess, même si ces ordinateurs ne figurent pas dans le réseau interne de l'entreprise.DirectAccess client computers located on the Internet can be remotely managed by Remote Access administrators over DirectAccess, even when the client computers are not located in the internal corporate network. Les ordinateurs clients qui ne répondent pas aux spécifications de l’entreprise peuvent être automatiquement mis à jour par les serveurs d’administration.Client computers that do not meet corporate requirements can be remediated automatically by management servers. DirectAccess et VPN sont gérés dans la même console et avec le même jeu d’Assistants.Both DirectAccess and VPN are managed in the same console and with the same set of wizards. En outre, un ou plusieurs serveurs DirectAccess peuvent être gérés à partir d'une seule console de gestion de l'accès à distance.Additionally, one or more DirectAccess servers can be managed from a single Remote Access Management console

Rôles et fonctionnalités requis pour ce scénarioRoles and features required for this scenario

Le tableau suivant répertorie les fonctionnalités et rôles requis pour ce scénario :The following table lists the roles and features that are required for this scenario:

Rôle/fonctionnalitéRole/feature Prise en charge de ce scénarioHow it supports this scenario
Rôle Accès à distanceRemote Access role Le rôle est installé et désinstallé à l’aide de la console du Gestionnaire de serveur ou de Windows PowerShell.The role is installed and uninstalled using the Server Manager console or Windows PowerShell. Ce rôle englobe à la fois DirectAccess et le service de routage et d'accès à distance (RRAS).This role encompasses both DirectAccess and Routing and Remote Access Services (RRAS). Le rôle Accès à distance est constitué de deux composants :The Remote Access role consists of two components:

1. VPN DirectAccess et RRAS.1. DirectAccess and RRAS VPN. DirectAccess et VPN sont gérés ensemble dans la console de gestion de l’accès à distance.DirectAccess and VPN are managed together in the Remote Access Management console.
2. Routage RRAS.2. RRAS Routing. Les fonctionnalités de routage RRAS sont gérées dans la console de routage et d’accès distant héritée.RRAS routing features are managed in the legacy Routing and Remote Access console.

Le rôle Serveur d'accès à distance dépend des rôles/fonctionnalités de serveur suivants :The Remote Access server role is dependent on the following server roles/features:

-Serveur Web Internet Information Services (IIS) : cette fonctionnalité est requise pour configurer le serveur emplacement réseau sur le serveur DirectAccess, ainsi que la sonde Web par défaut.- Internet Information Services (IIS) Web Server - This feature is required to configure the network location server on the DirectAccess server, and the default web probe.
-Base de données interne Windows.- Windows Internal Database. Utilisé pour la gestion de comptes locale sur le serveur DirectAccess.Used for local accounting on the DirectAccess server.
Fonctionnalité des outils de gestion de l’accès à distanceRemote Access Management Tools feature Cette fonctionnalité est installée comme suit :This feature is installed as follows:

-Elle est installée par défaut sur un serveur DirectAccess lorsque le rôle accès à distance est installé et prend en charge l’interface utilisateur de la console de gestion à distance et les applets de commande Windows PowerShell.- It is installed by default on a DirectAccess server when the Remote Access role is installed, and supports the Remote Management console user interface and Windows PowerShell cmdlets.
-Il peut éventuellement être installé sur un serveur qui n’exécute pas le rôle serveur DirectAccess.- It can be optionally installed on a server not running the DirectAccess server role. Dans ce cas, elle est utilisée pour la gestion à distance d’un ordinateur d’accès à distance qui exécute DirectAccess et le réseau privé virtuel (VPN).In this case it is used for remote management of a Remote Access computer running DirectAccess and VPN.

La fonctionnalité des outils de gestion de l’accès à distance est constituée des éléments suivants :The Remote Access Management Tools feature consists of the following:

-Interface utilisateur graphique (GUI) d’accès à distance- Remote Access graphical user interface (GUI)
-Module d’accès à distance pour Windows PowerShell- Remote Access module for Windows PowerShell

Les dépendances incluent :Dependencies include:

-Console de gestion des stratégies de groupe- Group Policy Management Console
-Kit d’administration du gestionnaire des connexions (CMAK) RAS- RAS Connection Manager Administration Kit (CMAK)
-Windows PowerShell 3,0- Windows PowerShell 3.0
-Outils et infrastructure de gestion graphique- Graphical Management Tools and Infrastructure

Configuration matérielle requiseHardware requirements

La configuration matérielle requise pour ce scénario comprend les éléments suivants :Hardware requirements for this scenario include the following:

  • Configuration requise du serveur :Server requirements:

    • Un ordinateur qui répond à la configuration matérielle requise pour Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012.A computer that meets the hardware requirements for Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 .

    • Sur le serveur, au moins une carte réseau doit être installée, activée et connectée au réseau interne.The server must have at least one network adapter installed, enabled, and connected to the internal network. Lorsque deux cartes sont utilisées, une carte doit être connectée au réseau interne de l’entreprise et l’autre carte doit être connectée au réseau externe (Internet ou un réseau privé).When two adapters are used, there should be one adapter connected to the internal corporate network, and one connected to the external network (Internet, or private network).

    • Si le protocole Teredo est requis pour la transition d’IPv4 vers IPv6, la carte externe du serveur nécessite deux adresses IPv4 publiques consécutives.If Teredo is required as an IPv4 to IPv6 transition protocol, the external adapter of the server requires two consecutive public IPv4 addresses. Si une seule adresse IP est disponible, seul le protocole IP-HTTPS peut être utilisé pour la transition.If a single IP address is available, then only IP-HTTPS can be used as the transition protocol.

    • Au moins un contrôleur de domaine.At least one domain controller. Le serveur et les clients DirectAccess doivent être membres d'un domaine.The DirectAccess server and DirectAccess clients must be domain members.

    • Une autorité de certification est requise si vous ne souhaitez pas utiliser de certificats auto-signés pour IP-HTTPS ou le serveur Emplacement réseau, ou si vous souhaitez utiliser des certificats clients pour l'authentification IPsec des clients.A certification authority (CA) is required if you do not want to use self-signed certificates for IP-HTTPS or the network location server, or if you want to use client certificates for client IPsec authentication. Vous pouvez aussi demander des certificats à une autorité de certification publique.Alternatively, you can request certificates from a public CA.

    • Si le serveur Emplacement réseau ne se trouve pas sur le serveur DirectAccess, il est nécessaire d'utiliser un serveur web distinct pour l'exécuter.If the network location server is not located on the DirectAccess server, a separate web server is required to run it.

  • Configuration requise du client :Client requirements:

    • Un ordinateur client doit exécuter Windows 10, Windows 8 ou Windows 7.A client computer must be running Windows 10, Windows 8, or Windows 7.

      Notes

      Les systèmes d’exploitation suivants peuvent être utilisés en tant que clients DirectAccess : Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 entreprise, Windows 7 entreprise ou Windows 7 édition intégrale.The following operating systems can be used as DirectAccess clients: Windows 10, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows 7 Enterprise, or Windows 7 Ultimate.

  • Configuration requise en termes d’infrastructure et de serveurs d’administration :Infrastructure and management server requirements:

    • Lors de la gestion à distance des ordinateurs clients DirectAccess, les clients initient des communications avec des serveurs d’administration tels que les contrôleurs de domaine, les serveurs System Center Configuration et les serveurs d’autorité HRA (Health Registration Authority) pour des services incluant les mises à jour Windows et d’antivirus, ainsi que la mise en conformité des clients de protection d’accès réseau.During remote management of DirectAccess client computers, clients initiate communications with management servers such as domain controllers, System Center Configuration Servers, and Health Registration Authority (HRA) servers for services that include Windows and antivirus updates and Network Access Protection (NAP) client compliance. Les serveurs requis doivent être déployés préalablement au déploiement de l’accès à distance.The required servers should be deployed before beginning the Remote Access deployment.

    • Si l'accès à distance nécessite la conformité des clients de protection d'accès réseau, les serveurs NPS et HRS doivent être déployés préalablement au déploiement de l'accès à distance.If Remote Access requires client NAP compliance, NPS and HRS servers should be deployed before beginning remote access deployment

    • Lorsque le réseau VPN est activé, un serveur DHCP est requis pour allouer automatiquement des adresses IP aux clients VPN si un pool d’adresses statiques n’est pas utilisé.If VPN is enabled, a DHCP server is required to allocate IP addresses automatically to VPN clients, if a static address pool is not used.

Configuration logicielle requiseSoftware requirements

Plusieurs conditions sont requises pour ce scénario :There are a number of requirements for this scenario:

  • Configuration requise du serveur :Server requirements:

    • Le serveur DirectAccess doit être membre d'un domaine.The DirectAccess server must be a domain member. Le serveur peut être déployé en périphérie du réseau interne ou derrière un pare-feu de périmètre ou un autre périphérique.The server can be deployed at the edge of the internal network, or behind an edge firewall or other device.

    • Si le serveur DirectAccess se trouve derrière un pare-feu de périmètre ou un périphérique NAT, ce périphérique doit être configuré de manière à autoriser le trafic en direction et en provenance du serveur DirectAccess.If the DirectAccess server is located behind an edge firewall or NAT device, the device must be configured to allow traffic to and from the DirectAccess server.

    • La personne qui déploie l’accès à distance sur le serveur doit disposer des autorisations d’administrateur local sur le serveur, ainsi que des autorisations d’utilisateur de domaine.The person deploying remote access on the server requires local administrator permissions on the server, and domain user permissions. L’administrateur doit également disposer des autorisations pour les objets de stratégie de groupe utilisés dans le déploiement de DirectAccess.In addition, the administrator requires permissions for the GPOs used in DirectAccess deployment. L’utilisation des fonctionnalités qui limitent le déploiement de DirectAccess sur les ordinateurs portables uniquement nécessite de disposer des autorisations permettant de créer un filtre WMI sur le contrôleur de domaine.To take advantage of the features that restricts DirectAccess deployment to mobile computers only, permissions to create a WMI filter on the domain controller are required.

  • Configuration requise pour les clients d’accès à distance :Remote Access client requirements:

    • Les clients DirectAccess doivent appartenir au domaine.DirectAccess clients must be domain members. Les domaines contenant des clients peuvent appartenir à la même forêt que le serveur DirectAccess ou ils peuvent avoir une relation d'approbation bidirectionnelle avec la forêt ou le domaine du serveur DirectAccess.Domains containing clients can belong to the same forest as the DirectAccess server, or have a two-way trust with the DirectAccess server forest or domain.

    • Un groupe de sécurité Active Directory est requis afin de contenir les ordinateurs qui seront configurés en tant que clients DirectAccess.An Active Directory security group is required to contain the computers that will be configured as DirectAccess clients. Si aucun groupe de sécurité n’est spécifié lors de la configuration des paramètres des clients DirectAccess, le client GPO est appliqué par défaut sur tous les ordinateurs portables inclus dans le groupe de sécurité Ordinateurs du domaine.If a security group is not specified when configuring DirectAccess client settings, by default the client GPO is applied on all laptop computers in the Domain Computers security group.

      Notes

      Nous vous recommandons de créer un groupe de sécurité pour chaque domaine qui contient des ordinateurs clients DirectAccess.It is recommended that you create a security group for each domain that contains DirectAccess client computers.

      Important

      Si vous avez activé Teredo dans votre déploiement DirectAccess et que vous souhaitez fournir l’accès aux clients Windows 7, assurez-vous que les clients sont mis à niveau vers Windows 7 avec SP1.If you have enabled Teredo in your DirectAccess deployment, and you want to provide access to Windows 7 clients, ensure that the clients are upgraded to Windows 7 with SP1. Les clients qui utilisent Windows 7 RTM ne pourront pas se connecter via Teredo.Clients using Windows 7 RTM will not be able to connect over Teredo. Toutefois, ces clients seront en mesure de se connecter au réseau d'entreprise via IP-HTTPS.However, these clients will still be able to connect to the corporate network over IP-HTTPS.

Le tableau suivant fournit des liens vers des ressources supplémentaires.The following table provides links to additional resources.

Type de contenuContent type RéférencesReferences
DéploiementDeployment Chemins de déploiement de DirectAccess dans Windows ServerDirectAccess Deployment Paths in Windows Server

Déployer un serveur DirectAccess unique à l’aide de l’Assistant Prise en mainDeploy a Single DirectAccess Server Using the Getting Started Wizard
Outils et paramètresTools and settings Applets de commande PowerShell pour l’accès à distanceRemote Access PowerShell cmdlets
Ressources de la communautéCommunity resources Guide de survie DirectAccessDirectAccess Survival Guide

Entrées wiki DirectAccessDirectAccess Wiki entries
Technologies connexesRelated technologies Fonctionnement d’IPv6How IPv6 works