Toutes les entreprises qui possèdent un serveur Windows Server dans leur intranet possèdent aussi au moins un Active Directory.
Grâce à leur serveur Active Directory, ils peuvent gérer les comptes utilisateurs, les droits d'accès aux ressources du réseau, gérer la sécurité des postes clients, ...

Néanmoins, par défaut, il faut que le poste client soit dans le réseau de l'entreprise (l'intranet) pour que celui-ci puisse recevoir les stratégies de groupe (et de sécurité), ainsi que permettre à l'utilisateur de se connecter avec son compte Active Directory.
En effet, si vous utilisez le poste client à l'extérieur du réseau de l'entreprise, vous ne serez pas en mesure :

• d'utiliser votre compte utilisateur défini dans l'Active Directory
• vous n'aurez pas accès aux ressources disponibles dans le réseau de votre entreprise
• et votre ordinateur ne sera pas protégé par les stratégies de groupe définies par l'administrateur réseau

Pour accéder aux ressources de l'entreprise, vous pourriez créer un serveur VPN dans le réseau de votre entreprise, mais les stratégies de groupe et les droits ne seront pas transmis via cette connexion VPN.

Pour pallier à ce problème, Microsoft a créé une nouvelle technologie : DirectAccess.
DirectAccess est une technologie permettant à un poste client d'accéder de manière sécurisée et totalement transparente aux ressources de l'entreprise.

Grâce à DirectAccess, votre poste client sera toujours dans le réseau de votre entreprise.

• si vous vous trouvez dans l'entreprise, rien ne change.
• si vous vous trouvez en dehors de l'entreprise, le poste client effectuera une connexion sécurisée (un tunnel VPN sécurisé via IPsec) de manière totalement transparente et celui-ci se retrouvera donc virtuellement dans le réseau de votre entreprise.

Etant donné que vous serez virtuellement dans le réseau de votre entreprise, vous pourrez vous connecter avec votre compte Active Directory et accéder aux ressources de votre entreprise comme si vous y étiez.

1. Informations importantes
   1. Serveur NLS
   2. Modes de déploiement
   3. IPv6 et mécanismes de transition
   4. Sécurisation de la connexion via IPSec
   5. Certificats
   6. Table NRPT (Name Resolution Policy Table)
   7. DirectAccess Manage Out
2. Configuration requise
   1. Serveur
   2. Clients
   3. Web
3. Configuration utilisée
4. Installation et configuration de l'Active Directory
5. Jonction des machines à l'Active Directory
6. Configuration de l'authentification client-serveur
7. Installation de DirectAccess
8. Configuration de DirectAccess
   1. Configuration automatique de base
   2. Etape 1 : sélection des PC clients autorisés à se connecter via DirectAccess
   3. Etape 2 : configuration du serveur d'accès à distance
   4. Etape 3 : configurer les serveurs d'infrastructure
   5. Stratégies de groupe spécifiques aux clients DirectAccess
9. Vérifier la configuration du client Windows
10. Test de la connexion DirectAccess depuis Windows 8
11. Test de la connexion DirectAccess depuis Windows 7
12. Test de la connexion DirectAccess depuis Windows 10

1. Informations importantes

Avant de mettre en place votre serveur DirectAccess, voici de nombreuses informations qui vous permettront de mieux comprendre comment fonctionne DirectAccess et comment mettre en place DirectAccess dans les meilleures conditions possibles.

1.1. Serveur NLS

Pour que les clients DirectAccess puissent savoir si ils sont à l'intérieur ou à l'extérieur du réseau de l'entreprise, ceux-ci se connecteront à un serveur NLS (Network Location Server).
En résumé, ce serveur NLS n'est qu'un serveur web accessible dans le réseau de l'entreprise. Néanmoins, il est très important que celui-ci soit toujours accessible dans le réseau local, sinon, les clients penseront qu'ils sont sur Internet. Ce qui provoquera automatiquement et inutilement des connexions DirectAccess dans le réseau de votre entreprise, alors que ces connexions DirectAccess n'étaient pas nécessaires pour les PC du réseau de l'entreprise.

Bref, le serveur NLS doit toujours être hautement disponible (High Availability).

1.2. Modes de déploiement

DirectAccess peut être déployé sur un serveur possédant une ou 2 cartes réseau.

1.3. IPv6 et mécanismes de transition

Tout d'abord, DirectAccess ne fonctionne qu'avec l'IPv6.
Si vos routeurs, switchs, systèmes d'exploitation et vos applications sont compatibles avec l'IPv6, l'IPv6 natif sera utilisé.
Sinon, des technologies de transition IPv4 vers IPv6 seront utilisées : IP-HTTPS, Teredo tunneling, 6to4, ...

Attention : les serveurs Teredo de Microsoft qui sont utilisés par défaut par les différentes versions de Windows n'existent plus.
Vous pouvez le vérifier en tapant la commande "netsh interface teredo show state" dans un invite de commandes (cmd.exe).
Sous Windows 7 et 8, le serveur Teredo utilisé était : teredo.ipv6.microsoft.com.
Sous Windows 8.1, le serveur Teredo utilisé était : win8.ipv6.microsoft.com.
Si vous tentez d'obtenir l'adresse IP d'un de ces noms de domaine grâce à la commande "nslookup", vous obtiendrez cette erreur "*** .... ne parvient pas à trouver teredo.ipv6.microsoft.com : Non-existent domain".

Important : maintenant, il est donc nécessaire d'utiliser l'IPv6 natif (que ce soit dans le réseau de votre entreprise ou sur Internet, ce qui dépend notamment de FAI).
De plus, une adresse IPv6 peut être présente sans pour autant permettre l'accès à Internet. Pour plus d'infos sur l'IPv6, consultez la page "Adresse IPv6 - Wikipédia".

Sachez aussi que le serveur DirectAccess est capable d'utiliser ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pour transférer des paquets IPv6 dans des entêtes IPv4. Cela permet de profiter du routage IPv4 offert par votre routeur (par exemple) pour transférer des paquets IPv6 dans votre réseau.

1.4. Sécurisation de la connexion via IPSec

Etant donné que la connexion entre les clients et le serveur DirectAccess passe via Internet, il est très important de sécuriser cette connexion.
Cela permet d'éviter l'interception de donnée (dont les mots de passe) et la modification des données transférées via Internet.

Pour sécuriser cette connexion, les clients DirectAccess établissent 2 tunnels IPSec :

1. un tunnel d'infrastructure permettant d'accéder de manière sécurisée aux différents services réseau et d'obtenir les informations nécessaires : connexion au domaine Active Directory, authentification, récupération des objets de stratégies de groupe, ...
   Ce tunnel est créé avant la connexion de l'utilisateur et est effectué grâce aux certificats d'ordinateurs et à l'authentification NTLMv2 qui permet d'authentifier un ordinateur grâce à son compte d'ordinateur présent dans l'Active Directory.
2. un tunnel intranet permettant d'accéder de manière sécurisée aux ressources de l'entreprise (serveurs web, partages réseau, ...). Ce tunnel est établi après la connexion de l'utilisateur et l'authentification est effectuée avec une combinaison de méthodes : authentification grâce au certificat d'ordinateur et authentification Kerberos basée sur le compte d'utilisateur.

Source : Microsoft Technet (DirectAccess and IPSec Tunnel Establishment)

1.5. Certificats

Les certificats numériques sont utilisés à 3 endroits lorsque vous utilisez la technologie DirectAccess.

• clients DirectAccess : chaque client DirectAccess doit posséder un certificat d'ordinateur pour pouvoir établir une connexion IPsec avec le serveur DirectAccess.
  Pour générer ces certificats, le mieux est d'utiliser une autorité de certification sous Windows Server et la stratégie de groupe permettant de les créer automatiquement. (Comme vous le verrez à l'étape 6. Configuration de l'authentification client-serveur de ce tutoriel.)
• le protocole IP-HTTPS utilisé par le serveur DirectAccess : IP-HTTPS est un mécanisme de transition de l'IPv4 vers l'IPv6 et permet de créer un tunnel IPv6 à travers l'Internet IPv4.
  IP-HTTPS requiert un certificat pour serveur web et le client DirectAccess doit pouvoir contacter le serveur de l'autorité de certification émettrice pour vérifier si le certificat n'a pas été révoqué entre-temps (via les CRL).
  Il est donc recommandé d'utiliser un certificat émis par une autorité de certification commerciale pour que le client soit en mesure de vérifier les CRL depuis l'autorité de certification émettrice du certificat utilisé pour IP-HTTPS.
• le serveur DirectAccess : en plus du certificat utilisé pour l'IP-HTTPS, le serveur DirectAccess aura aussi besoin d'un certificat d'ordinateur pour établir la connexion IPsec avec les clients DirectAccess.

1.6. Table NRPT (Name Resolution Policy Table)

Pour accéder aux ressources du réseau de votre entreprise, les clients DirectAccess utiliseront une table appelée NRPT.
Ce qui signifie Name Resolution Policy Table.

Cette table permet aux clients DirectAccess de connaitre les adresses des serveurs DNS à utiliser en fonction de leur position :

• si le client est à l'intérieur du réseau de l'entreprise, la table NRPT ne sera pas utilisée
• si le client se trouve à l'extérieur (sur Internet), alors le client DirectAccess activera la table NRPT et utilisera les serveurs DNS indiqués dans cette table NRPT pour résoudre les noms de domaines présents dans la table NRPT.
  Par défaut, cela permettra aussi de résoudre les noms de domaines locaux du réseau de votre entreprise, malgré que le client DirectAccess se situe en réalité à l'extérieur de votre réseau.

Lorsque la table NRPT est activée sur le client DirectAccess, le client résoudra :

• les domaines spécifiés dans la table NRPT grâce aux serveurs DNS indiqués dans celle-ci. Cela permet, par exemple, de résoudre les domaines locaux grâce au serveur DNS présent dans le réseau de votre entreprise.
• les autres domaines grâce aux serveurs DNS indiqués dans les paramètres de sa carte réseau.

Note : par défaut, l'adresse du serveur DirectAccess est aussi incluse dans la table NRPT, mais elle est incluse en tant qu'exception. Cela veut dire, qu'aucun serveur DNS ne sera pas indiqué pour résoudre son nom de domaine (FQDN) et que le client DirectAccess ne pourra jamais résoudre le nom FQDN du serveur DirectAccess depuis Internet.

1.7. DirectAccess Manage Out

Etant donné que le tunnel IPsec d'infrastructure établi par le client DirectAccess est un tunnel bidirectionnel, DirectAccess vous permettra aussi d'accéder aux clients DirectAccess depuis des machines présentes physiquement dans le réseau de votre entreprise.

Cela permet aussi de gérer des client DirectAccess grâce à SCCM (System Center Configuration Manager).

Néanmoins, cela requiert quelques configurations supplémentaires et notamment :

• l'adaptation de quelques règles dans les pare-feu
• le déploiement de l'IPv6 (de préférence natif) dans le réseau de votre entreprise.

Pour cela, suivez ensuite notre tutoriel : DirectAccess - Gérer un client distant (manage out)

2. Configuration requise

DirectAccess requiert une connectivité IPv6.

2.1. Serveur

DirectAccess est prise en charge (en tant que serveur et en tant que client) par Windows Server 2008 R2, 2012 et 2012 R2.

2.2. Clients

DirectAccess est aussi prise en charge sur les versions clients de Windows :

• Windows 7 Entreprise ou Intégrale (Ultimate)
• Windows 8 Entreprise
• Windows 10 Entreprise ou Enterprise 2015 Long terme maintenance branche (LTSB)

De plus, pour qu'un client puisse accéder au réseau de l'entreprise via DirectAccess, celui-ci devra être lié à l'Active Directory.

Source : Microsoft (DirectAccess dans Windows Server)

Important : Windows 10 Professionel n'est pas supporté par DirectAccess malgré quelques rumeurs présentes sur Internet.

2.3. Web

Etant donné que DirectAccess vous permet d'accéder au réseau de l'entreprise depuis l'extérieur, vous aurez besoin d'un nom de domaine réel qui pointera sur l'adresse IP externe de votre entreprise.

3. Configuration utilisée

• 10.0.0.101 (ad) : un serveur Windows Server 2012 avec les rôles : Active Directory et Autorité de certification (CA)
• 10.0.0.102 (directaccess) : un serveur Windows Server 2012 où l'on installera la technologie : DirectAccess
• 10.0.0.x (win7-pc, win8-pc et win10-pc) : 3 clients Windows pour tester leur compatibilité avec DirectAccess : Windows 7 Intégrale, Windows 8 Entreprise et Windows 10 Entreprise