Installer et configurer DirectAccess sous Windows Server 2012 / 2012 R2 avec des clients sous Windows 7, 8 et 10

7. Installation de DirectAccess

Maintenant que tous les pré-requis ont été mis en place, nous allons enfin rentrer dans le vif du sujet en installant la technologie "DirectAccess" sur notre 2ème serveur.

La technologie DirectAccess se trouve dans le rôle "Accès à distance".

Windows Server vous présente la fonctionnalité DirectAccess.

Cochez la case "DirectAccess et VPN (accès à distance)".

Etant donné que le serveur DirectAccess peut être accessible via une connexion IP-HTTPS, le rôle IIS sera requis pour l'installation de DirectAccess.

Cliquez sur Installer.

Une fois l'installation terminée, cliquez sur "Fermer" ou sur le lien "Ouvrir l'Assistant Mise en route" pour lancer directement l'assistant de mise en route.

8. Configuration de DirectAccess

8.1. Configuration automatique de base

Si vous n'avez pas cliqué sur le lien "Ouvrir l'Assistant Mise en route", ouvrez l'écran d'accueil de Windows Server 2012 et cliquez sur "Gestion de l'accès à distance".

Le programme "Remote Access" se lance.

Cliquez sur le lien "Exécuter l'Assistant Mise en route".

La fenêtre "Configuration de l'accès distant" s'affiche.
Cliquez sur "Déployer DirectAccess uniquement".

L'assistant teste la configuration de votre serveur.

Dans notre cas, notre serveur ne possède qu'une carte réseau.

Cliquez sur "Terminer" pour terminer la configuration de base de DirectAccess.

L'assistant déploie le serveur d'accès à distance situé derrière un routeur (NAT).

Et effectue une série de configuration.
Parmi toutes les configurations effectuées, il est possible que vous receviez un avertissement concernant la table NRPT : L’entrée NRPT pour le suffixe DNS ... contient le nom public utilisé par les ordinateurs clients pour la connexion au serveur d’accès à distance. Ajoutez le nom ... en tant qu’exemption dans la table NRPT.

Note : nous corrigerons ce détail un peu plus tard.

8.2. Etape 1 : sélection des PC clients autorisés à se connecter via DirectAccess

Dans le cadre "Etape 1 : clients distants", cliquez sur Modifier.
Note : si vous êtes sous Windows Server 2012, vous devez aller dans "Configuration -> DirectAccess et VPN" pour arriver à cette étape.

Choisissez l'option "Déployer DirectAccess complet pour l'accès client et l'administration à distance".

Ensuite, supprimez le groupe "Ordinateurs du domaine" présent par défaut dans la liste.

Décochez la case "Activer DirectAccess pour les ordinateurs portables uniquement" pour autoriser aussi les PC fixes à se connecter depuis l'extérieur via DirectAccess.
Ensuite, cliquez sur "Ajouter".

Indiquez le nom du groupe créé précédemment dans l'Active Directory.
Dans notre cas : DAclients.

Cliquez sur Suivant.

Pour se connecter au serveur DirectAccess, les PC clients utiliseront un service Windows nommé "Assistant Connectivité réseau" (comme expliqué ci-dessous).
Par défaut, la connexion DirectAccess apparaitra sur les PCs clients sous le nom : Connexion d'espace de travail.

8.3. Etape 2 : configuration du serveur d'accès à distance

Dans le cadre "Etape 2 : serveur d'accès à distance", cliquez sur Modifier.

Comme vous pouvez le voir, l'assistant vous affiche à nouveau les options concernant la topologie réseau et le nom public à utiliser pour se connecter au serveur DirectAccess.
Néanmoins, la topologie réseau n'est plus modifiable.
Cliquez sur Suivant.

L'assistant vous permet de choisir la carte réseau et le certificat SSL à utiliser pour les connexions IP-HTTPS.
Cliquez sur Suivant.

Pour l'authentification des clients, sélectionnez "Authentification utilisateur : Informations d'identification Active Directory (nom d'utilisateur/mot de passe)".

Ensuite, cochez la case "Utiliser les certificats d'ordinateur" et cliquez sur le bouton "Parcourir".

Sélectionnez le certificat de votre autorité de certification.

Pour terminer, pour supporter aussi les clients Windows 7, cochez la case "Autoriser les ordinateurs clients Windows 7 à se connecter par le biais de DirectAccess".

Note : bien que l'option concernant NAP soit disponible sous Windows Server 2012 et 2012 R2, sachez que cette option ne sera plus disponible sous Windows Server 2016.

Cliquez sur "Terminer" pour appliquer la nouvelle configuration.

L'assistant vous affiche un résumé de la configuration.
Cliquez sur Appliquer.

Notre serveur d'accès à distance est configuré.

8.4. Etape 3 : configurer les serveurs d'infrastructure

Au début de la configuration de DirectAccess, l'assistant de mise en route nous avait affiché un avertissement concernant une entrée NRPT.
Pour régler ce détail, il faut allez dans le cadre "Etape 3 : serveurs d'infrastructure" et cliquer sur Modifier.

Pour corriger cet avertissement, il nous était demandé d'ajouter une exemption pour le nom de notre serveur DirectAccess.
Ce qui a été fait automatiquement par l'assistant.

En effet, si vous lisez le texte indiqué au-dessus de la liste, les suffixes de nom pour lesquels aucun serveur DNS n'est indiqué seront traités comme des exemptions.
Vous pouvez donc cliquer sur Annuler pour quitter cet assistant.

Pour terminer, redémarrer le serveur où DirectAccess a été installé.

Lancez à nouveau le programme "Gestion de l'accès à distance" et patientez jusqu'à 1 minute.
Ensuite, cliquez sur "Actualiser" dans le menu "Tâches" situé à droite.

Normalement, tous les services devraient être en cours de fonctionnement.

Comme vous pouvez le voir, DirectAccess propose différents composants :

• DNS : permet la résolution des noms de domaines en adresses IP
• DNS64 : permet d'obtenir une adresse IPv6 spéciale lorsque le nom de domaine résolu par le client ne pointe que sur une adresse IPv4 et non une adresse IPv6. En résumé, il s'agit d'un mécanisme de compatibilité permettant de faciliter la transition de l'IPv4 vers l'IPv6.
• Domain controller : indique simplement l'état de votre contrôleur de domaine
• IP-HTTPS : permet de transporter des paquets IPv6 sur un réseau non-IPv6 via une connexion HTTPS. Cela permet de faciliter la transition de l'IPv4 vers l'IPv6 et est similaire à 6to4 et Teredo tunneling.
• IPsec : stratégie de sécurité permettant de sécuriser une connexion VPN.
• Networks adapters : indique simplement l'état de vos cartes réseau.
• Network location service : site web hautement disponible permettant aux machines clientes de savoir si elles se trouvent à l'intérieur ou à l'extérieur du réseau de l'entreprise.
• etc.

Pour ceux qui souhaiteraient savoir ce que sont 6to4 et Teredo tunneling, voici une description rapide :

• 6to4 : mécanisme de transition de l'IPv4 vers l'IPv6 permettant de faire communiquer 2 réseaux IPv6 via un réseau IPv4.
• Teredo tunneling : mécanisme de transition de l'IPv4 vers l'IPv6 permettant d'accéder à Internet en IPv6 via du NAT (donc via un routeur). Pour cela, Teredo encapsule des paquets IPv6 dans des datagrames UDP IPv4.

Etant donné que les clients accéderont au serveur DirectAccess grâce à une connexion IP-HTTPS, ils se connecteront donc sur le port 443 (HTTPS).
Si votre serveur DirectAccess se trouve derrière un routeur (ce qui est notre cas), vous devrez rediriger le port 443 en TCP vers votre serveur DirectAccess.

8.5. Stratégies de groupe spécifiques aux clients DirectAccess

Notez que l'installation et la mise en place du serveur DirectAccess auront aussi créé 2 nouveaux éléments pour la gestion des stratégies de groupe.
Grâce à ceux-ci, vous pourrez aussi ajouter des stratégies qui seront appliquées uniquement aux clients ou au serveur DirectAccess.