• Réinitialiser un compte d'ordinateur
•  

12.3. Etat de connexion "Inaccessible" sur vos serveurs VPN

Seulement une fois que les comptes d'ordinateur de vos serveurs VPN créés dans Active Directory ont été répliqués vers tous vos contrôleurs de domaine Active Directory, redémarrez vos 2 serveurs VPN (dans notre cas : brux-vpn et paris-vpn).

A l'ouverture de session, vous verrez que ceux-ci sont effectivement joints à votre domaine Active Directory.
Connectez-vous en tant qu'administrateur pour pouvoir accéder à la console "Routage et accès distant".

Note : si vous recevez une erreur lors de la tentative de connexion ici (sous Windows Server) avec un compte Active Directory, c'est probablement que le compte d'ordinateur correspondant à ce serveur VPN ne se trouve pas sur le contrôleur de domaine AD via lequel l'authentification a été tentée.

Ouvrez la console "Routage et accès distant" et allez dans la section "Interfaces réseau".
Comme vous pouvez le voir, l'état de connexion sur votre 1er serveur VPN (le serveur VPN "BRUX-VPN" dans ce cas-ci du site 1 (Bruxelles)) est "Inaccessible".

Pour connaitre la raison, faites un clic droit "Raison de l'inaccessibilité" sur cette connexion à la demande.

Comme vous pouvez le voir, Windows Server vous précise que les identifiants utilisés sont incorrects ou que le protocole d'authentification utilisé n'est pas autorisé sur le serveur distant.

Dans ce cas-ci, c'est simplement parce que la connexion à la demande "paris" de votre serveur "BRUX-VPN" utilise une connexion locale (avec un utilisateur local du serveur VPN distant) alors que le serveur VPN distant est maintenant lié à un domaine Active Directory.
D'où la création de nouveaux comptes d'utilisateur dans votre infrastructure Active Directory au lieu des comptes locaux utilisés précédemment.

Sur le serveur VPN distant (dans notre cas : PARIS-VPN), vous constaterez le même problème.
L'état de la connexion à la demande "brux" est devenu "Inaccessible".

Si vous faites un clic droit "Raison de l'inaccessibilité" sur celle-ci, vous verrez le même avertissement.

12.4. Reconfigurer les identifiants des connexions à la demande (depuis la jonction à l'AD)

12.4.1. Reconfigurer les identifiants de la connexion à la demande sur le site 1 (Bruxelles)

Sur le serveur VPN "BRUX-VPN" du site 1 (Bruxelles), allez dans la section "Interfaces réseau" et faites un clic droit "Définir les informations d'identifications" sur votre connexion à la demande "paris".

Dans la petite fenêtre "Informations d'identification de l'interface qui s'affiche, tapez les identifiants du serveur VPN qui tente de se connecter.
Donc, dans notre cas, il s'agit de l'utilisateur "VpnUserBrux" qui permet au serveur "BRUX-VPN" de s'authentifier sur le serveur VPN de Paris.

Attention : dans la case "Domaine", vous devez indiquer le nom de domaine NETBIOS de votre domaine Active Directory (dans notre cas "INFORMATIWEB").
Il s'agit du nom de domaine NETBIOS défini lors de la création de votre forêt Active Directory.
Notez qu'il est recommandé d'indiquer le nom de domaine NETBIOS (ex : INFORMATIWEB) et non le nom de domaine DNS (ex : informatiweb.lan).

Ensuite, faites un clic droit "Se connecter" sur la connexion à la demande dont vous avez modifié les identifiants.

Patientez quelques secondes pendant la tentative de connexion au serveur VPN distant (dans notre cas : PARIS-VPN).

Normalement, l'état de connexion deviendra "Connecté".

Note : si ce n'est pas le cas, faites un clic droit "Raison de l'inaccessibilité" sur celle-ci.
Si vous voyez un message d'erreur concernant les identifiants qui sont incorrects, assurez-vous d'avoir tapé correctement le nom d'utilisateur, son mot de passe et le bon nom de domaine NETBIOS.
Puis, assurez-vous que le compte d'utilisateur Active Directory utilisé a bien été répliqué sur tous vos contrôleurs de domaine AD (pour éviter ce genre d'erreur aléatoire).

12.4.2. Reconfigurer les identifiants de la connexion à la demande sur le site 2 (Paris)

De façon similaire, allez maintenant dans la section "Interfaces réseau" du serveur VPN "PARIS-VPN" du site 2 (Paris).
Puis, faites un clic droit "Définir les informations d'identification" sur votre connexion à la demande "brux".

Cette fois-ci, indiquez les identifiants du compte utilisateur Active Directory "VpnUserParis", étant donné que c'est le serveur VPN de Paris qui tentera de se connecter à celui de Bruxelles (BRUX-VPN).
A nouveau, n'oubliez pas d'indiquer le nom de domaine NETBIOS de votre infrastructure Active Directory.

Ensuite, faites un clic droit "Se connecter" sur cette connexion à la demande "brux".

Patientez pendant la connexion au serveur VPN distant.

Comme prévu, l'état de la connexion devient également "Connecté" sur votre serveur VPN "PARIS-VPN" du site 2 (Paris).

12.4.3. Autoriser le ping (ICMP) sur vos contrôleurs de domaine Active Directory

Pour tester si vos tunnels VPN fonctionnent toujours, vous pouvez utiliser la commande "ping" de Windows.
Néanmoins, par défaut, le ping est bloqué sous Windows Server.

Pour autoriser le ping sous Windows Server, activez ces 2 règles du pare-feu :

• Partage de fichiers et d'imprimantes (Demande d'écho - ICMPv6 entrant).
• Partage de fichiers et d'imprimantes (Demande d'écho - Trafic entrant ICMPv4).

12.4.4. Tunnels VPN site à site connectés

12.4.4.1. Tunnel VPN site à site connecté entre site 1 (Bruxelles) et site 2 (Paris)

Sur le serveur VPN "BRUX-VPN", vous pouvez voir que l'état de la connexion à la demande "paris" est connecté.

Vous pouvez voir que le site de Paris s'est connecté au serveur VPN "BRUX-VPN" (de Bruxelles) avec le compte d'utilisateur Active Directory "VpnUserParis".

Dans la section "Ports" du serveur VPN "BRUX-VPN", vous pouvez voir que c'est le protocole VPN "L2TP" qui est utilisé.

Comme vous pouvez le voir ci-dessous, notre contrôleur de domaine AD "brux-dc1" arrive à communiquer avec lui-même (10.0.1.11) et le contrôleur de domaine AD distant "paris-dc1" (10.0.2.11).

12.4.4.2. Tunnel VPN site à site connecté entre site 2 (Paris) et site 1 (Bruxelles)

De façon similaire, allez dans la section "Interfaces réseau" de votre serveur VPN distant "PARIS-VPN" et vérifiez que l'état de la connexion à la demande "brux" est "Connecté".

Sur ce serveur VPN distant "PARIS-VPN", vous pouvez voir que c'est le site de Bruxelles qui s'y est connecté avec le compte d'utilisateur AD "VpnUserBrux".

Dans la section "Ports", vérifiez que les ports VPN actifs sont ceux pour "L2TP" (car c'est plus sécurisé et plus stable sous Windows Server que le PPTP).

Ci-dessous, vous pouvez voir que notre contrôleur de domaine AD "paris-dc1" arrive à communiquer avec le contrôleur de domaine AD distant "brux-dc1" (10.0.1.11) et avec lui-même (10.0.2.11).