Cette rubrique fournit des informations sur les composants d’un déploiement DirectAccess, les méthodes de connectivité des clients DirectAccess, la configuration du pare-feu pour le trafic DirectAccess et l’intégration des cartes à puce.

Composants DirectAccess

Les composants d’un déploiement DirectAccess sont les suivants :

  • Des clients DirectAccess

  • Au moins un serveur DirectAccess

  • Un domaine des services de domaine Active Directory® (AD DS)

  • Une infrastructure à clé publique

  • Un serveur d’emplacement réseau

  • Un réseau interne et des applications compatibles avec le protocole Internet version 6 (IPv6) ou des périphériques NAT-PT (Network Address Translation-Port Translation)

Des clients DirectAccess

Un client DirectAccess est un ordinateur exécutant Windows 7 ou Windows Server 2008 R2 qui est joint à un domaine AD DS et qui utilise IPv6 et la sécurité du protocole Internet (IPsec) pour initier et maintenir automatiquement la connectivité à distance à un réseau interne depuis Internet.

Les ordinateurs qui ne sont pas joints à un domaine AD DS ou ceux exécutant Windows Vista ou une version antérieure de Windows ne prennent pas en charge DirectAccess.

Au moins un serveur DirectAccess

Un serveur DirectAccess est un ordinateur exécutant Windows Server 2008 R2 qui est joint à un domaine AD DS et qui utilise IPv6 et IPsec pour répondre aux clients DirectAccess sur Internet et les connecter de manière transparente à un réseau interne.

Les ordinateurs qui ne sont pas joints à un domaine Active Directory ou ceux exécutant Windows Server 2008 ou une version antérieure de Windows Server ne prennent pas en charge la fonctionnalité de serveur DirectAccess.

Pour installer DirectAccess, voir Installer DirectAccess.

N’hébergez pas d’autres fonctions principales sur des serveurs DirectAccess. Les serveurs DirectAccess doivent être dédiés à DirectAccess. En fonction de vos impératifs en termes de déploiement et d’évolutivité, il vous faudra peut-être recourir à plusieurs serveurs DirectAccess ou utiliser la configuration manuelle pour répartir les fonctions DirectAccess sur plusieurs serveurs. Pour plus d’informations sur les déploiements sur plusieurs serveurs, voir la page d’accueil de DirectAccess sur le site Web Microsoft Technet à l’adresse https://go.microsoft.com/fwlink/?LinkId=142598 (éventuellement en anglais).

Pour plus d’informations sur les conditions requises par le serveur DirectAccess, voir Liste de vérification : avant de configurer DirectAccess.

Un domaine AD DS

DirectAccess se base sur AD DS pour les informations d’authentification, l’inscription automatique des certificats d’ordinateur et la configuration centralisée basée sur la stratégie de groupe d’IPsec, d’IPv6 et d’autres paramètres. Les clients et serveurs DirectAccess doivent être membres d’un domaine AD DS.

Infrastructure à clé publique

DirectAccess s’appuie sur les certificats d’ordinateur émis par une autorité de certification des services de certificats Active Directory (AD CS) pour authentifier les sessions IPsec et les connexions IP-HTTPS.

Un serveur d’emplacement réseau

Un serveur d’emplacement réseau est un serveur de réseau interne qui héberge une URL (Uniform Resource Locator) HTTPS. Les clients DirectAccess accèdent à l’URL pour déterminer s’ils se trouvent sur le réseau interne. Le serveur DirectAccess peut servir de serveur d’emplacement réseau, mais il est recommandé d’utiliser un serveur Web à haute disponibilité. Il n’est pas nécessaire que le serveur Web soit dédié au rôle de serveur d’emplacement réseau.

Un réseau interne et des applications compatibles avec IPv6 ou un périphérique NAT-PT

Les clients DirectAccess utilisent exclusivement IPv6 pour accéder aux ressources du réseau interne. Par conséquent, les clients DirectAccess peuvent uniquement communiquer avec les serveurs et les ressources du réseau interne qui sont accessibles via IPv6. La connectivité IPv6 à un réseau interne peut être établie de trois manières :

  • Configurez l’infrastructure de routage de votre réseau interne pour prendre en charge IPv6 en mode natif. Les serveurs et les applications du réseau interne qui prennent en charge IPv6 deviennent alors accessibles. Les ordinateurs exécutant Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008 sont configurés pour utiliser IPv6 par défaut.

  • Déployez le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) sur votre réseau interne. Ce protocole permet aux serveurs et aux applications du réseau interne compatibles avec IPv6 d’assurer le tunneling du trafic IPv6 sur un réseau interne uniquement compatible avec IPv4. Les ordinateurs exécutant Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008 prennent en charge la fonctionnalité d’hôte ISATAP. Le protocole ISATAP permet à ces ordinateurs d’utiliser IPv6 sans qu’ils ne soient contraints à utiliser un routage IPv6 natif. Le serveur DirectAccess se configure automatiquement en tant que routeur ISATAP en l’absence de connectivité IPv6 sur votre réseau interne.

  • Utilisez un périphérique NAT-PT (Network Address Translation-Protocol Translation) pour traduire le trafic entre vos clients DirectAccess qui utilisent IPv6 et les serveurs et applications qui peuvent uniquement utiliser IPv4. Windows Server 2008 R2 ne fournit pas la fonctionnalité NAT-PT. Les périphériques NAT-PT sont généralement disponibles chez les fournisseurs de commutateurs et de routeurs de couche 2 et 3. Consultez la documentation de votre commutateur et de votre routeur pour obtenir des informations sur les fonctionnalités et la configuration de NAT-PT.

Méthodes de connectivité des clients DirectAccess

Le tableau suivant répertorie les configurations des clients DirectAccess et la façon dont ils envoient le trafic IPv6 au serveur DirectAccess.

Configuration du clientMéthode de connectivité préférée

Adresse IPv6 globale affectée au client

Adresse IPv6 globale

Adresse IPv4 publique (adresses hors des plages 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) affectée au client

6to4, une technologie de transition IPv6 qui fournit une connectivité IPv6 sur le protocole Internet IPv4 pour les hôtes ou les sites qui possèdent une adresse IPv4 publique.

Adresse IPv4 (adresses dans les plages 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) affectée au client

Teredo, une technologie de transition IPv6 qui fournit une connectivité IPv6 sur le protocole Internet IPv4 pour les hôtes auxquels une adresse IPv4 privée est affectée et qui se trouvent derrière un périphérique de traduction d’adresses réseau (NAT) IPv4 ne prenant pas en charge la fonctionnalité de routeur 6to4.

Le client ne peut pas se connecter via 6to4 ou Teredo

IP-HTTPS, un nouveau protocole pour Windows 7 et Windows Server 2008 R2 qui permet aux hôtes se trouvant derrière un serveur proxy Web ou un pare-feu d’établir une connectivité en assurant le tunneling de paquets IPv6 dans le cadre d’une session HTTPS (Hypertext Transfer Protocol Secure) basée sur IPv4. En général, le protocole IP-HTTPS n’est utilisé que si le client ne peut pas se connecter au serveur DirectAccess par le biais des autres méthodes de connectivité IPv6.

Configuration du pare-feu pour le trafic DirectAccess

Les pare-feu externes entre Internet et votre réseau de périmètre doivent laisser passer les types de trafic suivants à destination et en provenance du serveur DirectAccess :

  • Pour le trafic IPv6 natif, le trafic ICMPv6 (Internet Control Message Protocol for IPv6), c’est-à-dire le protocole 58 IPv6, et le trafic IPsec ESP (Encapsulating Security Payload), c’est-à-dire le protocole 50 IPv6.

  • Pour le trafic 6to4, le trafic IPv4 qui encapsule le trafic IPv6 (protocole 41 IPv4).

  • Pour le trafic Teredo, le trafic IPv4 avec le port UDP (User Datagram Protocol) 3544.

  • Pour le trafic IP-HTTPS, le trafic IPv4 avec le port TCP (Transmission Control Protocol) 443.

Par exemple, les exceptions sur l’interface Internet de votre pare-feu externe auront le format suivant :

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Les pare-feu internes entre le réseau de périmètre et le réseau interne doivent laisser passer les types de trafic suivants à destination et en provenance du serveur DirectAccess :

  • Pour le trafic IPv6 natif, tous les types de trafic IPv6.

  • Pour le trafic ISATAP, le trafic IPv4 qui encapsule le trafic IPv6 (protocole 41 IPv4).

  • Pour le trafic IPv4 et NAT-PT, l’ensemble du trafic TCP, UDP et UDP 500 IKE (Internet Key Exchange)/AuthIP.

Pour autoriser la connectivité Teredo, vous devez configurer et déployer les règles suivantes du pare-feu Windows avec fonctions avancées de sécurité pour tous les ordinateurs membres du domaine dans votre organisation :

  • Messages de demande d’écho ICMPv6 entrants (requis)

  • Messages de demande d’écho ICMPv6 sortants (recommandés)

N’utilisez pas la règle entrante prédéfinie Partage de fichiers et d’imprimantes (demande ECHO - ICMPv6 – In) ni la règle sortante prédéfinie Partage de fichiers et d’imprimantes (demande ECHO - ICMPv6 – Out) à cette fin. Il est possible de désactiver ces règles prédéfinies en désactivant le partage de fichiers et d’imprimantes dans une organisation, ce qui entraîne une perte de connectivité Teredo.

Le moyen le plus simple de déployer ces paramètres du pare-feu Windows sur tous les ordinateurs membres de votre organisation consiste à utiliser l’objet de stratégie de groupe de domaine par défaut. Pour plus d’informations, voir Liste de vérification : implémentation d’une conception de stratégie de pare-feu de base à l’adresse https://go.microsoft.com/fwlink/?LinkId=147688 (éventuellement en anglais).

Règle 1 : Messages de demande d’écho ICMPv6 entrants

Créez et activez une règle entrante personnalisée avec les paramètres suivants :

  • Tous les programmes

  • Type de protocole ICMPv6 avec le message de demande d’écho

  • N’importe quelle adresse IP locale et distante

  • Action d’autorisation

  • Tous les profils (domaine, travail, public)

Cette règle est requise.

Règle 2 : Messages de demande d’écho ICMPv6 sortants

Créez et activez une règle sortante personnalisée avec les paramètres suivants :

  • Tous les programmes

  • Type de protocole ICMPv6 avec le message de demande d’écho

  • N’importe quelle adresse IP locale et distante

  • Action d’autorisation

  • Tous les profils (domaine, travail, public)

Cette règle est recommandée, sauf si vous utilisez le pare-feu Windows pour bloquer tout le trafic sortant, auquel cas cette règle est requise.

Intégration des cartes à puce

Vous pouvez exiger l’utilisation de cartes à puce lorsque des clients DirectAccess établissent une connexion au serveur DirectAccess. Les utilisateurs peuvent se connecter à leur ordinateur et accéder à Internet sans carte à puce, mais l’authentification par carte à puce est requise pour accéder aux ressources du réseau interne.

Ressources supplémentaires

Pour plus d’informations sur l’intégration de DirectAccess à l’isolation de serveur et de domaine et à la protection d’accès réseau (NAP), voir la page d’accueil de DirectAccess sur le site Web Microsoft Technet à l’adresse https://go.microsoft.com/fwlink/?LinkId=142598 (éventuellement en anglais).

Table des matières