Windows Server 2012 / 2012 R2 - DirectAccess - Gérer un client DirectAccess distant depuis le réseau de l'entreprise (manage out)

Page 1 / 3

DirectAccess est une technologie très intéressante pour les administrateurs système, car cela leur permet de gérer la sécurité des ordinateurs de votre parc informatique. Même si ceux-ci se trouvent temporairement en dehors du réseau.

Pour ceux qui souhaiteraient mettre en place cette technologie, référez-vous à notre précédent tutoriel : Windows Server 2012 / 2012 R2 - DirectAccess - Installation, configuration et test de connexion depuis Windows 7, 8 et 10

Lorsqu'un client DirectAccess se connecte au réseau de votre entreprise, celui-ci établit 2 tunnels IPsec.
Ces 2 tunnels IPsec sont bidirectionnels. Ce qui signifie qu'il est techniquement possible :

  1. de créer une connexion depuis le client DirectAccess vers une machine présente dans le réseau de votre entreprise.
  2. de créer une connexion depuis une machine présente dans le réseau de votre entreprise vers un client DirectAccess qui est actuellement connecté à votre serveur DirectAccess.

Cela veut aussi dire que DirectAccess peut aussi vous permettre de gérer vos clients DirectAccess grâce à SCCM (System Center Configuration Manager), par exemple.
Ceci est aussi appelé : DirectAccess Manage Out.

Néanmoins, vous verrez que par défaut, l'accès à un client DirectAccess depuis un ordinateur présent physiquement dans le réseau de votre entreprise ne sera pas possible.
En effet, pour que cela soit possible, il faudrait que l'IPv6 soit déployé sur le réseau source, le réseau de destination et les réseaux intermédiaires (Internet). Bien évidemment, cela n'est pas possible pour le moment.

Pour pallier à ce problème, nous allons donc mettre en place un routeur ISATAP dans le réseau de notre entreprise.
ISATAP (Intrasite Automatic Tunnel Addressing Protocol) étant un mécanisme de transition IPv4 vers IPv6 permettant de faire communiquer 2 réseaux IPv6 via un réseau IPv4.

  1. Test de connexion depuis un client interne vers un client DirectAccess
  2. Configuration d'ISATAP via les stratégies de groupe (GPO)
  3. Configuration du pare-feu des clients DirectAccess via des stratégies de groupe (GPO)
  4. Test de la gestion du client DirectAccess depuis l'extérieur (DirectAccess Manage Out)

1. Test de connexion depuis un client interne vers un client DirectAccess

Pour ce tutoriel, nous avons créé un nouveau PC client sous Windows 7 et nous l'avons joint au domaine.

Cet ordinateur apparait donc dans l'Active Directory et il est actuellement connecté physiquement au réseau local de notre entreprise.

Pour tester la technologie DirectAccess, nous utilisons une petite astuce qui consiste à partager la connexion 3G de notre smartphone Android grâce à un point d'accès mobile.

Nous connectons notre client win8-pc à notre point d'accès mobile et ce PC établit donc automatiquement une connexion vers notre serveur DirectAccess étant donné qu'il se trouve maintenant en dehors de notre réseau local.

Si nous tentons de pinguer le PC sous Windows 8, vous remarquez que cela n'est pas possible.
Malgré que ce PC soit virtuellement connecté au réseau de notre entreprise grâce à la connexion DirectAccess qu'il a établie avec notre serveur.

2. Configuration d'ISATAP via les stratégies de groupe (GPO)

Pour configurer ISATAP, il y a 2 possibilités :

  • soit vous respectez la norme qui consiste à créer un enregistrement DNS nommé "ISATAP" et dont l'adresse IP correspond à l'adresse de votre serveur ISATAP.
  • soit vous configurez manuellement ISATAP grâce à des GPO et un enregistrement DNS nommé autrement.

Si vous choisissez la 1ère possibilité, cela risque de créer un flux réseau important vers votre serveur ISATAP. Ce qui est plutôt déconseillé.
Nous allons donc choisir la 2ème possibilité : configurer ISATAP manuellement et choisir les ordinateurs qui seront configurés en tant que clients ISATAP (par exemple : un serveur SCCM (System Center Configuration Manager) ou tout autre serveur de gestion d'ordinateurs).

Pour commencer, sur votre serveur Active Directory, ouvrez la console "Utilisateurs et ordinateurs Active Directory" et créez un nouveau groupe de sécurité nommé "DA-ISATAP-Computers".

Ensuite, ajoutez les ordinateurs clients qui devront être en mesure de contacter un client DirectAccess au groupe "DA-ISATAP-Computers".

ISATAP étant installé en même temps que le serveur d'accès à distance et DirectAccess, il suffit de créer un enregistrement DNS de type A pointant vers l'adresse IP interne de votre serveur DirectAccess.

Le nom de cet enregistrement DNS doit être différent du nom "ISATAP" qui est réservé pour la configuration automatique d'ISATAP.
Ce que nous souhaitons éviter pour la raison expliquée précédemment.

Bref, dans notre cas, nous avons créé un enregistrement de type A nommé "InformatiWeb_ISATAP" qui pointe sur l'adresse IP de notre serveur DirectAccess : 10.0.0.102

Maintenant, pour activer ISATAP sur les clients souhaités et leurs permettre de connaitre l'adresse de votre serveur ISATAP, nous allons créer un nouvel objet GPO.
Pour cela, lancez le programme "Gestion de stratégie de groupe", faites un clic droit sur le nom de votre domaine et cliquez sur "Créer un objet GPO dans ce domaine, et le lier ici".

Nommez cet objet : DA - ISATAP config.

Sélectionnez le nouvel objet "DA - ISATAP config" et supprimez le groupe présent dans la section "Filtrage de sécurité".

Ensuite, cliquez sur le bouton "Ajouter".

Puis, ajoutez le groupe "DA-ISATAP-Computers" créé précédemment.

Dans l'onglet "Détails", sélectionnez "Etat GPO : Paramètres de configuration utilisateurs désactivés".

Puis, confirmez en cliquant sur OK.

Ainsi, la configuration de notre nouvel objet GPO sera similaire à celle de l'objet GPO "Paramètres du client DirectAccess" créé automatiquement lors de l'installation de DirectAccess.

Maintenant, modifiez cet objet GPO : DA - ISATAP config.

Pour configurer ISATAP via les stratégies de groupe, allez dans : Configuration de l’ordinateur -> Stratégies -> Modèles d’administration -> Réseau -> Paramètres TCPIP -> Technologies de transition IPv6.

Comme vous pouvez le voir, vous pourrez notamment :

  • définir le nom de votre routeur ISATAP
  • définir l'état ISATAP.

Pour le nom du routeur ISATAP, il suffira d'indiquer le nom FQDN de l'enregistrement DNS créé précédemment.

Faites un double clic sur la stratégie "Définir le nom du routeur ISATAP", puis sélectionnez "Activé" et indiquez le nom FQDN dans la case "Entrez un nom de routeur ou de relais".

Ensuite, pour la stratégie "Définir l'état ISATAP", sélectionnez "Activé" pour activer cette stratégie ainsi que l'option "Etat activé" pour activer ISATAP sur les PC clients concernés par l'objet GPO créé précédemment.

Maintenant, redémarrez le PC client et connectez-vous avec un compte du domaine.

Ensuite, ouvrez un invite de commandes (cmd) et tapez cette commande :

Code : Batch

ipconfig /all

Comme vous pouvez le voir, Windows possède maintenant une carte tunnel isatap.

Maintenant, si vous tentez de pinger le client DirectAccess depuis votre client local, vous voyez que cela s'effectue via de l'IPv6.
Néanmoins, le ping ne passe toujours pas.

En effet, le routage des paquets envoyés par la commande ping s'effectue correctement grâce à ISATAP, mais le pare-feu du client DirectAccess n'autorise tout simplement pas le ping depuis l'extérieur.