Mission 5 : Mise en place du Direct Access & VPN sur Windows Server 2019
Pour un fonctionnement optimal, le serveur contenant Direct Access doit avoir au minimum : - 4 cœurs de processeurs
- 8Go de RAM au minimum - 60 Go de disque dur libre - Être membre du domaine
- Être en contact avec un serveur web, appelé aussi emplacement réseau ou NLS (Network Location Server)
Tout d’abord, je vais vérifier les noms des cartes réseaux afin de bien les identifier.
Pour cela, on se rend dans Panneau de configuration>réseau et internet>centre réseau et partage>modifier les paramètres de la carte réseau :
Pour les renommer, clic droit sur la carte>Renommer
Je vérifie leur adressage clic droit sur la carte>propriétés>paramètre TCP/IP ipv4
Sur le serveur maître, je dois créer une unité d’organisation pour permettre aux postes clients d’accéder à Direct Access.
Un nouveau groupe de sécurité qui contiendra les PC membres autorisés à se connecter :
Puis d’ajouter des objets ordinateurs : clic droit sur le groupe>propriétés>onglet membre
Dans types d’objets, on n’oublie pas d’ajouter ordinateurs et on entre les noms des objets à trouver :
Puis, on prend les noms trouvés :
Dans les propriétés d’un PC, on voit qu’il appartient bien au groupe DAClient :
Ensuite, pour accorder des autorisations maximales aux utilisateurs authentifiés, il faut créer un certificat pour le serveur web :
Outils>Autorité de Certification>développer le serveur>clic droit sur modèles de certifications>gérer
Puis clic droit sur serveur web>propriétés :
Sécurité>contrôle total pour utilisateurs authentifiés>ok :
Je redémarre les services de certificats :
Vu que le nom de mon serveur ne peut être résolu de l’extérieur, je dois créer un autre certificat pour le serveur d’emplacement réseau.
Démarrer>exécuter>mmc>fichier>ajouter Ou supprimer les composants logiciels enfichables
Certificats>ajouter :
Compte d’ordinateur>suivant
Ordinateur Local>Terminer>OK
Certificats>personnel>clic droit sur certificat>toutes les tâches>demander un nouveau certificat :
Un assistant s’ouvre>suivant :
Cocher serveur web puis cliquer sur inscription pour ce certificat :
Remplir les champs suivants : - Type = nom commun
- Valeur = nom du serveur d’emplacement réseau - Ajouter
-
L’inscription se lance :
Le certificat est créé :
Il ne faut pas oublier de lier une GPO pour les certificats afin de mettre en place l’inscription automatique et de délivrer le certificat afin de pouvoir l’utiliser.
L’étape suivante consiste a enregistré l’hôte sur le serveur DNS.
Outils>DNS>nomdelazone>nouvel hôte et remplir ce qui suit :
L’installation du rôle a déjà été fait précédemment, pour activer DirectAccess, il faut se rendre dans Outils>Routage et accès distant>clic droit sur le nom du routeur puis activer DirectAccess…
Un assistant s’ouvre :
Suivant :
Je dois ajouter le groupe de sécurité crée précédemment :
Ensuite, je dois définir le paramètre réseau. Dans mon cas, j’ai deux cartes réseaux car je souhaite implémenter la DMZ et je donne un nom d’identification :
Je laisse le suffixe par défaut :
Création des objets de stratégies de groupe :
Le résumé final, le fichier sera joint plus bas :
L’activation se lance :
L’activation est terminée. Il y a plusieurs avertissements :
1 - Cet avertissement indique que le nom utilisé est rendu public. L’entrée NRPT est une abréviation de table de résolution de nom qui recense les adresses des serveurs DNS. Il faudra le mettre en exception pourque le nom puisse se résoudre en interne.
2 – Le serveur NPS doit être installé
3 – Redémarrage de l’accès à distance pour la prise en compte.
A la fermeture de l’assistant, cette fenêtre s’ouvre :
Outils>gestion de stratégie de groupe.
On peut remarquer qu’il y a la présence des deux objets de stratégies de groupe qui ont été créé lors de l’activation de DirectAccess :
Je déplace cet objet pour le mettre dans le conteneur DirectAccess_Client par un simple glisser-déposer puis dans filtrage de sécurité, j’ajoute le groupe que j’ai créé précédemment :
Maintenant, il faut mettre en Direct Access pourque cela soit effective. Il y a 4 étapes : - 1ère étape : inscrire les clients
- 2ème étape : Identifier le serveur Direct Access - 3ème étape : Identifier le serveur NLS
- 4ème étape : Identifier et gérer les applications autorisées Outils>gestion de l’accès à distance>Direct Access et VPN :
Sur cette fenêtre, on aperçoit un mappage du réseau qu’il faut configurer en suivant les étapes.
Etape 1 > modifier :
Je clique sur modifier de la première étape et je choisis la première option :
Je laisse par défaut :
Nom de la connexion qui apparaîtra sur les PC clients :
A chaque fin d’étape, il faudrait cliquer sur terminer :
Application des paramètres :
Etape 2 > modifier :
Vérification du certificat qui sera installé :
Au suivant, on choisit d’utiliser un certificat d’ordinateur :
Je laisse par défaut :
Terminer > Appliquer
Etape 3 > modifier :
L’étape 4 concerne l’accès aux serveurs d’applications, ne l’ayant pas dans mon infrastructure donc j’omets cette partie volontairement.
Dans état des opérations, j’ai une erreur concernant IPSEC :
L’IPSEC est un protocole qui permet de relier de manière sécurisée des postes informatiques lors de communication entre eux. On a le choix de l’utiliser ou de le contourner et c’est ce que je vais faire.
Executer>regedit>
HKEY_LOCAL_MACHINE>système>CurrentControlSet>Services>IKEEXT>paramètres>
clic droit Nouveau>DWORD (32bits) valeur > nom ikeflags & type=hexadecimale=
8000>ok
Cette étape consiste à configurer le serveur pour contourner l’autorité de certification quand un canal IPsec est établi.
Sur le PowerShell, la commande à taper est celle-ci :
Après un redémarrage du routeur, tout est ok :
On récupère l’adresse IPv6 via un ipconfig /all de IP-HTTPS pour le renseigner dans la stratégie de groupe. Cette stratégie permettra de résoudre le nom academyparis.ad.
Sur le serveur maître>Outils>Gestion de stratégie de groupe>paramètres des clients DirectAccess>modifier>Configuration ordinateur>stratégies>Paramètres
Windows>Stratégie de résolution de noms :
Ajoutez l’adresse IPv6 pour l’interface IP-HTTPS dans la liste des serveurs DNS :
Une fois terminé, on configure le pare-feu via la stratégie de groupe au niveau TCP/UDP.
Outils>gestion des stratégies de groupe >clic droit paramètres du serveur DirectAccess>modifier>Configuration ordinateur>stratégies>paramètres
Windows>paramètres de sécurité>pare-feu Windows avec fonctions avancées de sécurité>
pare-feu Windows avec fonctions avancées de sécurité>règles de trafic entrant>clic droit nom de domaine serveur (TCP-entrant)>propriétés.
Dans l’onglet étendue, j’ajoute l’adresse IPv6 de l’interface IP-HTTPS dans le champ adresse IP locale, puis je fais la même chose sur la règle entrante pour UDP :
Je modifie la configuration DNS64 pour écouter l’interface IP-HTTPS :
On réserve des ports pour le service WinNat. Le service WinNat est l’équivalent du NAT sur Linux et on redémarre le service WinNat :
Il faut faire attention de ne pas inclure le port 6602 qui est réservé aux applications afin d’éviter des conflits de ports.
Maintenant, il faut vérifier sur le poste client que tout est fonctionnel.
Je tape d’abord cette commande :
Puis :
Dans la zone de notification, on voit bien le nom de notre connexion :
Lors de la réinstallation de DirectAccess sur un routeur vierge, j’ai eu un message d’erreur concernant IP-HTTPS. Ce message signifiait qu’une adresse Ipv6 n’était pas enregistrée dans la route.
Pour le résoudre, j’ai suivi cette étape :
https://directaccess.richardhicks.com/2018/11/26/directaccess-ip-https-not-working-properly- in-windows-server-2019/ :
