Au cours de cette étape de l’Assistant Installation DirectAccess (étape 3), vous configurez les paramètres des serveurs d’infrastructure. Pour effectuer la configuration initiale des paramètres du serveur DirectAccess dans le composant logiciel enfichable DirectAccess, développez le nœud DirectAccess, cliquez sur le nœud Installation, puis cliquez sur Configurer dans l’étape 3. Vous ne pouvez pas cliquer sur Configurer dans l’étape 3 tant que vous n’avez pas terminé la configuration de l’étape 2. Pour modifier les paramètres des serveurs d’infrastructure, cliquez sur Modifier dans l’étape 3.
Avant d’effectuer l’étape 3, déterminez les éléments suivants :
- Si un serveur Web du réseau interne hautement disponible peut jouer le rôle du serveur d’emplacement réseau DirectAccess et s’il possède une URL (Uniform Resource Locator) HTTPS sur ce serveur Web. Cette configuration, quoique facultative, est fortement recommandée.
- Le jeu d’espaces de noms DNS (Domain Name System) qui correspondent aux ressources du réseau interne (par exemple, contoso.com).
- Les adresses IPv4 (Internet Protocol version 4) ou IPv6 (Internet Protocol version 6) des serveurs DNS du réseau interne qui devront répondre aux requêtes de nom pour les clients DirectAccess.
- Les noms d’hôte, les adresses IPv4 ou les adresses IPv6 des serveurs d’administration sur votre réseau interne qui devront initier des communications avec les clients DirectAccess. Les serveurs d’administration peuvent inclure des serveurs qui distribuent des mises à jour ou qui réalisent des inventaires logiciels ou matériels.
Lorsque vous cliquez sur Configurer ou sur Modifier dans l’étape 3, vous accédez à des pages de l’Assistant vous permettant de configurer le serveur d’emplacement réseau, le système DNS et les contrôleurs de domaine, ainsi que les serveurs d’administration.
Emplacement
Dans la page Emplacement, vous spécifiez le serveur d’emplacement réseau, qui est un serveur utilisé par un client DirectAccess pour déterminer s’il se trouve sur le réseau interne ou sur Internet. Si le client DirectAccess peut joindre le serveur d’emplacement réseau et accéder à une page Web spécifiée, le client DirectAccess détermine qu’il se trouve sur le réseau interne et la fonctionnalité DirectAccess n’est pas utilisée.
Vous pouvez spécifier si la fonction de serveur d’emplacement réseau se trouve sur le serveur DirectAccess ou sur un autre serveur dans votre réseau interne.
- Si la fonction de serveur d’emplacement réseau ne figure pas sur le serveur DirectAccess (recommandé), vous devez taper l’URL HTTPS d’une page Web sur ce serveur.
- Si la fonction de serveur d’emplacement réseau figure sur le serveur DirectAccess, vous devez spécifier le certificat utilisé pour l’authentification des connexions HTTPS entre les clients DirectAccess et le serveur DirectAccess.
Dans les deux cas, le serveur d’emplacement réseau doit être hautement disponible et constitue un élément critique de l’infrastructure DirectAccess. Si le serveur d’emplacement réseau n’est pas joignable sur le réseau interne, les clients DirectAccess activeront la fonctionnalité DirectAccess lorsqu’ils se trouvent sur le réseau interne, ce qui peut affecter leur capacité de joindre les ressources du réseau interne.
DNS et contrôleur de domaine
Dans la page DNS et contrôleur de domaine, vous configurez la table de stratégie de résolution de noms (NRPT) et le comportement de résolution de noms des clients DirectAccess.
Table de stratégie de résolution de noms
La table de stratégie de résolution de noms est utilisée par les clients DirectAccess pour déterminer où envoyer leurs demandes de nom DNS. Les entrées comprennent un nom de domaine DNS qui peut représenter le nom de domaine complet d’un ordinateur spécifique (par exemple, emailsrv21.europe.contoso.com) ou une partie de l’espace de noms DNS (par exemple, contoso.com) et un jeu correspondant d’adresses pour les serveurs DNS qui gèrent le nom de domaine complet ou l’espace de noms. Si aucune adresse de serveur DNS n’est spécifiée, l’entrée est une entrée d’exemption. Si un nom DNS correspond à une entrée dans la table de stratégie de résolution de noms contenant les adresses des serveurs DNS, le client DirectAccess envoie la requête de nom aux serveurs DNS spécifiés du réseau interne. Si un nom DNS correspond à une entrée dans la table de stratégie de résolution de noms qui ne contient pas les adresses des serveurs DNS ou qui ne correspond à aucune entrée dans la table, le client DirectAccess envoie la requête de nom à un serveur DNS connecté à Internet.
La table de stratégie de résolution de noms peut contenir une entrée existante basée sur le suffixe DNS et la configuration de serveur DNS du serveur DirectAccess. La table de stratégie de résolution de noms peut aussi contenir une entrée d’exemption correspondant au serveur d’emplacement réseau. Cette entrée est ajoutée de manière à ce que les clients DirectAccess se trouvant sur Internet ne tentent jamais de résoudre le nom du serveur d’emplacement réseau en utilisant un serveur DNS du réseau interne.
Pour ajouter d’autres entrées, cliquez avec le bouton droit sur une ligne vide, puis cliquez sur Nouveau. Vous pouvez également double-cliquer sur une ligne vide. Dans la boîte de dialogue Informations d’accès à l’espace de noms, tapez le suffixe DNS et spécifiez le jeu d’adresses IPv4 ou IPv6 pour les serveurs DNS du réseau interne qui résolvent les noms se terminant par le suffixe DNS. Après avoir spécifié les adresses IPv4 ou IPv6, cliquez sur Valider pour tester si les serveurs DNS sont en cours d’exécution et accessibles depuis le serveur DirectAccess.
Pour modifier une entrée dans la table de stratégie de résolution de noms, cliquez avec le bouton droit sur l’entrée, puis cliquez sur Modifier. Vous pouvez également double-cliquer sur l’entrée existante. Pour supprimer une entrée de la table de stratégie de résolution de noms, cliquez avec le bouton droit sur l’entrée, puis cliquez sur Supprimer.
Comportement de la résolution de noms
Dans la page DNS et contrôleur de domaine, vous pouvez également spécifier le comportement de la résolution de noms des clients DirectAccess. La résolution de noms locale utilise des techniques de résolution de noms qui n’incluent ni la vérification des entrées dans le cache de résolution DNS ni l’interrogation des serveurs DNS du réseau interne. Ces techniques reposent notamment sur l’utilisation de serveurs DNS connectés à Internet et l’interrogation du sous-réseau local.
Trois options s’offrent à vous :
- Utiliser uniquement la résolution de noms locale si le nom n’existe pas dans le DNS (le plus restrictif)
Il s’agit de l’option la plus sécurisée car le client DirectAccess enverra uniquement des requêtes DNS à des serveurs DNS connectés à Internet pour les noms de serveur qui ne peuvent pas être résolus. - Utiliser la résolution de noms locale si les serveurs DNS du réseau interne ont déterminé que le nom n’existe pas ou si les serveurs DNS du réseau interne ne sont pas accessibles et que l’ordinateur client DirectAccess se trouve sur un réseau privé
Cette option est recommandée car elle permet la résolution de noms sur un réseau interne séparé. - Utiliser la résolution de noms locale si une erreur quelconque se produit lors de la tentative de résolution du nom à l’aide des serveurs DNS du réseau interne
Il s’agit de l’option la moins sécurisée car les noms des serveurs du réseau interne que le client DirectAccess tente de résoudre peuvent être envoyés à des serveurs DNS connectés à Internet, donnant ainsi à un espion situé entre le client DirectAccess et le serveur DNS connecté à Internet la possibilité de déterminer les noms des serveurs du réseau interne.
Gestion
Dans la page Gestion, vous configurez la liste des adresses IPv4 ou IPv6 des serveurs du réseau interne qui devront initier des communications avec les clients DirectAccess. Ces serveurs sont généralement des serveurs d’administration qui contactent les ordinateurs clients DirectAccess pour effectuer des fonctions de gestion, telles que des évaluations d’inventaire logiciel ou matériel, ou pour installer des mises à jour. Les serveurs d’administration spécifiés dans la page Gestion peuvent uniquement contacter les clients DirectAccess qui sont membres des groupes de sécurité spécifiés à l’étape 1 de l’Assistant Installation DirectAccess.
Pour ajouter un serveur d’administration, cliquez avec le bouton droit sur une ligne vide, puis cliquez sur Nouveau. Vous pouvez également double-cliquer sur une ligne vide. Dans les boîtes de dialogue Adresse IPv4 ou Adresse IPv6/préfixe, vous pouvez obtenir une adresse IPv4 ou IPv6 du nom d’hôte du serveur ou la taper manuellement :
- Pour obtenir une adresse IPv4 ou IPv6 du nom d’hôte, sélectionnez Nom d’hôte de l’ordinateur spécifié, puis tapez le nom du serveur. Cliquez sur Vérifier le nom pour résoudre le nom vers ses adresses inscrites. Cliquez sur l’une des adresses, puis cliquez sur OK.
- Pour spécifier manuellement une adresse IPv4, sélectionnez Adresse IPv4 dans la boîte de dialogue Adresse IPv4, puis tapez l’adresse. Une fois terminé, cliquez sur OK.
- Pour spécifier manuellement une adresse ou un préfixe IPv6, sélectionnez Adresse ou préfixe IPv6 dans la boîte de dialogue Adresse IPv6/préfixe, puis tapez l’adresse ou le préfixe. Une fois terminé, cliquez sur OK.
Pour modifier une entrée d’adresse IPv4 ou une entrée d’adresse ou de préfixe IPv6 dans la liste, cliquez avec le bouton droit sur l’entrée, puis cliquez sur Modifier. Pour supprimer une entrée, cliquez avec le bouton droit sur l’entrée, puis cliquez sur Supprimer.