Site icon RDR-IT

DirectAccess – Installation – configuration avec Windows Server 2016/2019

Introduction

DirectAccess est une fonctionnalité disponible avec le rôle Accès distant, qui permet de mettre en place une solution  de connexion automatique au réseau de l’entreprise pour les ordinateurs nomades ou pour les sites distants de petite taille.

Contrairement à un VPN, la connexion est initialisée directement par un service sur l’ordinateur distant, ce qui permet d’avoir un comportement similaire si le poste se trouve dans le réseau de l’entreprise :

DirectAccess présente également deux autres avantages qui sont :

DirectAccess s’appuie sur le protocole IPv6 pour la communication entre le réseau de l’entreprise et le client.

Avant d’établir la connexion, le client test l’accès à une sonde pour savoir si celui-ci se trouve dans le réseau de l’entreprise ou à l’extérieur.

Pour la résolution DNS, une stratégie de groupe configure la table NRPT afin que l’ordinateur lorsqu’il est connecté au réseau de l’entreprise envoie les requêtes du domaine locale au serveur DirectAccess.

Il est possible d’augmenter la sécurité des connexions en identifiant les ordinateurs avec un certificat.

Dans ce tutoriel, nous allons voir comment déployer DirectAccess avec un serveur ayant une seule carte réseau derrière un parefeu.

Ce tutoriel peut également être utilisé pour déployer DirectAccess avec Windows 2012R2

Pour fonctionner, le serveur doit être accessible depuis Internet en configurant correctement le NAT/PAT.

Documentation Microsoft : https://docs.microsoft.com/fr-fr/windows-server/remote/remote-access/directaccess/directaccess

Prérequis

Le déploiement et l’utilisation de DirectAccess nécessite plusieurs prérequis :

Si vous souhaitez activer l’authentification des postes avec un certificat, il faut mettre en place une autorité de certification d’entreprise.

Afin que les clients puissent récupérer la configuration DirectAccess, ils doivent être configurés dans le réseau de l’entreprise.

Ports et protocoles utilisés par DirectAccess

Voici la liste des ports et protocole à ouvrir sur un pare-feu pour autoriser Direct Access

Accès en IPv4 : 

Accès en IPv6 : 

Source : https://docs.microsoft.com/fr-fr/windows-server/remote/remote-access/directaccess/single-server-wizard/da-basic-plan-s1-infrastructure 

Installation des rôles pour DirectAccess

Sur le serveur Windows dédié à DirectAccess, depuis le gestionnaire de serveur lancer l’assistant d’installation de rôle en cliquant sur Ajouter des rôles et des fonctionnalités 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

Sélectionner Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sur Suivant 2.

Choisir le serveur 1 et cliquer sur Suivant 2.

Cocher le rôle Accès à distance 1 puis cliquer sur le bouton Suivant 2.

Passer les fonctionnalités en cliquant sur Suivant 1.

Un résumé du rôle Accès à distance s’affiche, cliquer sur Suivant 1.

Cocher la case DirectAccess et VPN (accès à distance) 1.

Cliquer sur Ajouter des fonctionnalités 1 pour installer les dépendances nécessaires aux rôles DirectAccess et VPN.

La case est cochée, cliquer sur Suivant 1.

Passer la description du rôle IIS en cliquant sur Suivant 1.

Cliquer de nouveau sur Suivant 1 pour passer les services du rôle IIS.

Cliquer sur Installer 1.

Patienter pendant l’installation de DirectAccess …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.

Maintenant le rôle accès distant est installé, nous allons passer à la configuration de DirectAccess.

Configuration et administration du service DirectAccess

Configuration

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 puis sur Ouvrir l’Assistant de mise en route 2 pour lancer l’assistant.

Cliquer sur Déployer DirectAccess uniquement 1.

Patienter pendant la vérification de la configuration …

La topologie de déploiement est normalement détectée automatiquement en fonction des cartes réseaux configurées sur le serveur, indiquer le nom FQDN (url) 1 par lequel le service DirectAccess sera accessible depuis Internet et cliquer sur Suivant 2.

Sur la capture ci-dessus, j’utilise un nom FQDN (url) privé, car infrastructure a été monté en LAB et la partie WAN (public) simulée.

Cliquer sur ici 1 pour modifier la configuration par défaut, on va indiquer le groupe d’ordinateurs qui pourra utiliser le service.

Dans la section Clients distants, cliquer sur Modifier 1.

Sélectionner le groupe Ordinateur du domaine 1 et cliquer sur Supprimer 2. Si des ordinateurs fixe doivent se connecter par DirectAccess, décocher la case 3 Activer DirectAccess pour les ordinateurs portables uniquement.

Quand la case Activer DirectAccess pour les ordinateurs portables uniquement est cochée, un filtre WMI est ajouté à la stratégie de groupe de configuration pour DirectAccess.

Ajouter le groupe Active Directory 1 qui contient les ordinateurs autorisés à se connecter au service et cliquer sur Suivant 2.

Cliquer sur Terminer 1 pour valider la configuration.

Fermer la fenêtre d’accès aux paramètres en cliquant sur OK 1.

Appliquer la configuration en cliquant sur Terminer 1.

Patienter pendant la configuration de DirectAccess…

Une fois la configuration terminée, cliquer sur Fermer 1. Lors de la fermeture de l’assistant de configuration la console de gestion de l’accès distant va s’ouvrir.

Il est possible qu’une alerte s’affiche, si le nom fqdn d’accès à DirectAccess fait partie du même domaine que celui de l’ActiveDirectory. Ceci ajoutera une entrée d’exception dans la table NRPT pour la résolution DNS des clients.

Administration

L’administration et les changements de paramètres du service DirectAccess se font à travers la console Gestion de l’accès distant.

Dans le menu de gauche, en cliquant sur DirectAccess et VPN 1, on accède à la vue du déploiement du service avec la possibilité de modifier la configuration.

Dans l’encadré de l’étape 3, cliquer sur Modifier 1.

Le premier paramètre Server Emplacement réseau permet de configurer la sonde qui permet de savoir à l’ordinateur de connaitre son emplacement réseau.

Les paramètres DNS affiche les stratégies de résolution pour la table NRPT, on peut voir qu’une exception a été ajouté pour le nom fqdn d’accès au service DirectAccess.

De retour sur le console Gestion de l’accès de distant dans la section Tableau de bord, vérifier que tous les services soient au vert.

Configuration des GPO DirectAccess pour les serveurs et ordinateurs

Lors de la configuration de DirectAccess, deux stratégies de groupe ont normalement été créées afin que les serveurs et les ordinateurs soient configurés automatiquement.

Ouvrir la console Gestion de stratégie de groupe sur un contrôleur domaine ou directement depuis le serveur DirectAccess, elle a normalement été installée. Vérifier les deux stratégies ont bien été ajoutées à la racine du domaine. Si ce n’est pas le cas comme sur la capture ci-dessous, nous allons voir comment les ajouter.

Aller sur le nœud Objets de stratégie de groupe 1 et vérifier que les deux stratégies 2 pour DirectAccess ont été créées.

Avant de lier les stratégies, vérifier que la stratégie pour les clients 1 soit limitée au groupe 2 configuré dans DirectAccess.

Faire un clic droit sur le domaine 1 et cliquer sur Lier un objet de stratégie de groupe existant 2.

Sélectionner les deux stratégies 1 et cliquer sur OK 2 pour les ajouter.

Les stratégies sont liées au domaine.

Sur le serveur DirectAccess, ouvrir une invite de commande en administrateur et entrer gpupdate pour appliquer la stratégie.

Test de DirectAccess avec un client Windows 10

Avant de tester la configuration d’un ordinateur client, celui-ci doit être branché sur le réseau de l’entreprise, vérifier que la stratégie soit appliquée à l’aide de la commande gpresult /r.

Il est possible de vérifier la configuration avant la commande PowerShell ci-après qui retourne la configuration DirectAccess :

Get-DAClientExperienceConfiguration

Il est aussi possible de vérifier l’activation de DirectAccess dans les paramètres de connexion Windows 10 avec l’ajout d’une section DirectAccess 1.

On peut voir sur la capture ci-dessus que l’on est localisé comme étant dans le réseau de l’entreprise car le poste arrive à contacter la sonde.

Si la section DirectAccess n’est pas disponible vérifier que le service Assistant de connectivité réseau (NcaSvc) est démarré.

Pour rappel, vous devez avoir une version Entreprise de Windows.

Maintenant placer l’ordinateur en dehors du réseau de l’entreprise (Internet) et vérifier que celui-ci se connecte…

L’ordinateur est connecté.

Dans une fenêtre de commande entrer ipconfig pour vérifier l’adresse ipv6 de la Carte Tunnel Microsoft IP-HTTPS.

Pour valider le bon fonctionnement, essayer d’accéder à une ressource sur le réseau de l’entreprise, dans la capture ci-dessous j’accède au contrôleur de domaine en entrant le nom du domaine Active Directory.

Sur le serveur DirectAccess sur la console de Gestion de l’accès distant dans la partie État du client distant 1, on peut voir l’ordinateur et l’utilisateur connectés.

Si on regarde les enregistrements DNS sur un contrôleur de domaine, on retrouve un enregistrement pour le client connecté avec une IPv6.

Configurer ISATAP pour accéder aux clients

Comme on a pu le voir, la connexion DirectAccess utilise l’IPv6 et pour le moment il est impossible pour les ordinateurs et serveurs dans le réseau de l’entreprise d’accéder aux clients à l’extérieur du réseau.

Si l’on souhaite accéder de l’intérieur vers l’extérieur, c’est-à-dire aux clients connectés, il faut configurer une passerelle IPv6, cela peut être pratique pour les équipes de support pour prendre la main sur un ordinateur.

La passerelle ISATAP sera le serveur DirectAccess, il existe plusieurs manières de configurer cette passerelle, dans ce tutoriel nous allons voir comme le faire en PowerShell.

Ouvrir une invite de commande PowerShell en administrateur et entrer :

Set-NetISATAPConfiguration -Router <fqdn.server-directaccess.lan>

La capture ci-dessous montre la commande ci-dessus, ensuite un ipconfig et un ping vers le client connecté par DirectAccess.

Dépannage des clients

Commandes de diagnostic PowerShell

Voici une liste de commande utile pour vous aider  à diagnostiquer les problèmes.

Afficher la configuration DirectAccess du client :

Get-DAClientExperienceConfiguration

Afficher la configuration IP-HTTPS :

Get-NetIPHttpsConfiguration

Afficher la configuration des mires de connection pour déterminer l’emplacement.

Get-NCSIPolicyConfiguration

Afficher le statut de la connexion :

Get-DAConnectionStatus

Activer la collecte

Il est possible de collecter des informations pour le dépannage par le client DirectAccess, par défaut le bouton n’est pas disponible, il est nécessaire de configurer une adresse e-mail dans la configuration du service. Ci-dessous une capture du client sans l’option de collecte d’informations.

Sur l’interface d’administration DirectAccess cliquer sur le bouton Modifier 1 de l’étape 1.

Aller sur la partie Assistant Connectivité réseau 1, indiquer une adresse e-mail 2 et cliquer sur Terminer 3.

Cliquer sur Terminer 1 pour mettre à jour les stratégies de groupe de configuration.

Il faut que les ordinateurs puissent mettre à jour leur stratégie groupe, s’ils sont déjà connectés par DirectAccess cela sera fait automatiquement sinon ils devront retourner sur le réseau de l’entreprise.

Le changement de certain paramètre de DirectAccess peuvent forcer à devoir reconfigurer les ordinateurs pour qu’ils puissent se connecter de nouveau comme le changement de mode d’authentification.

Sur un ordinateur client, cliquer sur Collecter 1.

Patienter …

A la fin de la collecte, si un client de messagerie est installé (Outlook) celui-ci s’ouvre pour envoyer les informations sinon un message s’affiche indiquant qu’aucun client n’est disponible.

Pour consulter le diagnostic, aller à l’emplacement suivant : C:\Users\%USERNAME%\AppData\Local\Temp 1. Dans ce dossier doit se trouver un fichier HTML 2 contenant le résultat.

Le fichier contient l’ensemble des informations sur la configuration réseau et les éléments en échecs.

Authentification des ordinateurs par certificat

Afin d’augmenter la sécurité, il est possible d’utiliser les certificats Ordinateurs. Pour activer cette fonctionnalité, il est nécessaire d’avoir une autorité de certification d’entreprise de configurée.

La configuration de cette option après déploiement peut empêcher les ordinateurs de se connecter s’ils n’ont pas de certificat.

Depuis la console gestion de l’Accès distant dans la configuration de DirectAccess, cliquer sur le bouton Modifier 1 de l’étape 2.

Aller à la section Authentification 1, cocher la case Utiliser les certificats d’ordinateur 2 et cliquer sur le bouton Parcourir 3.

Sélectionner l’autorité de certificat 1.

Cliquer sur Terminer 1 pour valider la configuration.

Cliquer sur Terminer 1 pour appliquer la configuration à DirectAccess.

Cliquer sur Appliquer 1.

Une fois la configuration appliquée, quitter la fenetre en cliquant sur Fermer 1.

Quitter la version mobile