Windows Server 2012 / 2012 R2 - DirectAccess - Configuration et utilisation d'un client sous Windows To Go

Page 1 / 1

Comme expliqué précédemment dans notre tutoriel sur DirectAccess, cette technologie permet de se connecter de manière sécurisée au réseau de votre entreprise depuis l'extérieur (Internet) et accéder à ses ressources comme si vous y étiez.
Dans un précédent article, nous vous avions aussi parlé de la technologie Windows To Go (WTG) de Microsoft qui permet de créer un environnement de travail sous Windows 8 transportable sur une clé USB 3.0 un peu spéciale (elle doit être compatible avec Windows To Go).

Etant donné que Windows To Go est un environnement Windows 8 Entreprise et que l'édition entreprise est justement requise pour les clients DirectAccess, il est donc possible d'utiliser cet environnement de travail en tant que client DirectAccess.

Si vous utilisez votre environnement de travail Windows To Go dans le réseau de votre entreprise, il vous suffira de le joindre à votre domaine, puis d'ajouter le compte d'ordinateur WTG dans le groupe des clients DirectAccess créé au préalable.
Mais, si vous souhaitez configurer un environnement de travail Windows To Go en tant que client DirectAccess sans le connecter une seule fois au réseau de votre entreprise (par exemple, via Internet), alors vous devrez le joindre au domaine de façon hors ligne.

Pour commencer, nous avons créé un environnement Windows To Go sur une clé USB Kingston DataTraveler Workspace à partir d'un ordinateur sous Windows 8 Entreprise.

Pour joindre cet environnement Windows To Go au domaine de façon hors ligne et le configurer en tant que client DirectAccess, vous aurez besoin de plusieurs informations :

Dans la version française de Windows Server 2012 / 2012 R2, la stratégie de groupe créée pour les clients DirectAccess s'appelle : Paramètres du client DirectAccess.

Pour le modèle de certificat à utiliser pour l'authentification client-serveur, dans notre cas, il s'appelle "ClientServerAuthentication".
Notez que le nom dont vous avec besoin est le nom du modèle (donc sans espaces) et non le nom complet du modèle.

Une fois que vous avec toutes les informations nécessaires, utilisez la commande djoin sur le serveur Active Directory comme ceci :

Batch

Djoin /provision /domain corp.informatiweb-tuto.net /machine win-to-go-pc /policynames "Paramètres du client DirectAccess" /certtemplate "ClientServerAuthentication" /savefile c:\WTG-blob.txt

Informations :

  • /provision : permet de créer le compte d'ordinateur dans l'Active Directory
  • /domain corp.informatiweb-tuto.net : indique que la machine sera liée au domaine "corp.informatiweb-tuto.net".
  • /machine win-to-go-pc : indique que la machine qui sera liée à l'Active Directory est nommée "win-to-go-pc".
  • /policynames : permet d'appliquer les stratégies de groupes souhaitées au PC qui sera joint à votre domaine Active Directory. (Ce paramètre est disponible seulement sous Windows Server 2012.)
  • /certtemplate : permet de spécifier quel modèle de certificat devra être utilisé par le PC qui sera joint au domaine. (Ce paramètre est disponible seulement sous Windows Server 2012.)
  • /savefile : permet de sauvegarder les métadonnées dans un fichier texte qui sera stocké à la racine de la partition C.

Note : comme indiqué par Microsoft, les paramètres policynames et certtemplate sont notamment utilisés pour joindre et configurer des clients DirectAccess qui n'auraient jamais contacté le réseau de l'entreprise au préalable.

L'exécution de la commande ci-dessus aura créé un compte d'ordinateur dans l'Active Directory.

Néanmoins, pour que ce client soit autorisé à se connecter automatiquement au réseau de l'entreprise via DirectAccess, vous aurez besoin d'ajouter ce compte d'ordinateur au groupe que vous aviez autorisé dans DirectAccess.

Dans notre cas, ce groupe est nommé "DAclients".

Maintenant, pour joindre votre PC sous Windows To Go à votre domaine, vous devrez transférer le fichier blob généré sur le PC à lier à l'Active Directory.

Comme vous pouvez le voir, notre PC sous Windows To Go n'est pas connecté au réseau pour le moment.

Pour le joindre au domaine de façon hors ligne, vous devrez utiliser à nouveau la commande djoin comme ceci :

Batch

Djoin /requestODJ /loadfile c:\WTG-blob.txt /windowspath %systemroot% /localos

Informations :

  • /requestODJ : permet de demander une jonction au domaine de façon hors ligne au redémarrage.
  • /loadfile : permet de charger les métadonnées créées précédemment dans le fichier "WTG-blob.txt".
  • /windowspath : permet d'indiquer le chemin d'accès au répertoire de Windows. Comme indiqué par Microsoft, si vous utilisez aussi le paramètre "/localos", vous devez indiquer %systemroot% ou %windir% comme valeur pour le paramètre "/windowspath".
  • /localos : permet de joindre l'installation actuelle de Windows au domaine.

Redémarrez l'ordinateur comme demandé par la commande djoin.

Au redémarrage, connectez-vous avec un compte du domaine.

Si la connexion au serveur DirectAccess a bien été établie en arrière-plan par Windows, vous serez en mesure de vous connecter avec un compte Active Directory.
Si ce n'est pas le cas, référez-vous à la section "Vérifier la configuration du client Windows" de notre tutoriel sur DirectAccess.

Une fois que vous arriverez sur le bureau, cliquez sur l'icône réseau présente dans la barre des tâches.
Comme vous pouvez le voir, notre machine sous Windows To Go est connectée :

  • au réseau Wifi AndroidAP (qui est un point d'accès Wifi partageant la connexion 3G de notre smartphone)
  • au serveur DirectAccess de notre entreprise grâce à la connexion : Connexion d'espace de travail.

Si vous affichez les propriétés de la connexion d'espace de travail, vous verrez que vous êtes bien connecté à distance.

Tentez d'accéder à un site local présent dans le réseau de votre entreprise.
Si cet ordinateur client et le serveur sont bien configurés, vous pourrez accéder aux ressources de votre entreprise depuis l'extérieur.

Sur le serveur, vous verrez qu'il y a actuellement un client DirectAccess actif.
Cliquez sur le lien "Page Statut du client distant".

Comme vous pouvez le voir, notre PC Windows To Go est bien connecté au serveur DirectAccess avec le compte Active Directory "CORP\Administrateur".