Le déploiement de DirectAccess peut être réalisé à l’aide de l’une des méthodes suivantes :
- Un modèle d’accès, qui définit les types de ressources de réseau interne auxquelles un client DirectAccess peut accéder et qui spécifie si le client DirectAccess et le serveur de réseau interne utilisent la sécurité du protocole Internet (IPsec) pour l’authentification et la protection du trafic.
- Un modèle d’évolutivité, qui définit le nombre de serveurs DirectAccess dont vous avez besoin pour ajuster vos infrastructures DirectAccess en fonction des demandes des clients DirectAccess.
Modèles d’accès
Vous pouvez déployer un serveur DirectAccess en utilisant l’Assistant Installation DirectAccess avec les modèles d’accès suivants :
- De bout à bord
- De bout en bout pour les serveurs sélectionnés
De bout à bord
Le modèle d’accès de bout à bord permet aux clients DirectAccess de se connecter à l’ensemble des ressources du réseau interne. Toutefois, ce modèle n’utilise pas IPsec pour protéger les communications de bout en bout avec les serveurs du réseau interne. Les stratégies de tunnel basées sur IPsec nécessitent l’authentification et le chiffrement, et les sessions IPsec se terminent par défaut au niveau du serveur DirectAccess. Ce modèle d’accès fonctionne avec les serveurs réseau exécutant Windows Server 2003 qui ne prennent pas en charge la protection IPsec basée sur la stratégie du trafic IPv6.
De bout en bout pour les serveurs sélectionnés
Outre le chiffrement du trafic entre le client et le serveur DirectAccess sur Internet, le modèle d’accès de bout en bout pour les serveurs sélectionnés garantit également que les communications entre le client DirectAccess et les serveurs du réseau interne sont authentifiées et protégées. Les clients DirectAccess ont ainsi la certitude qu’ils communiquent bien avec les serveurs prévus.
Pour ce modèle d’accès, vous pouvez aussi spécifier l’utilisation de l’authentification sans protection. Utilisez dans ce cas la nouvelle option de stratégie IPsec Authenticate only (Null Encapsulation) qui est disponible dans Windows 7 et Windows Server 2008 R2. L’authentification sans protection exige que le client DirectAccess et la ressource du réseau interne assurent l’authentification de l’homologue IPsec ; toutefois, les paquets de données suivants qui sont échangés ne sont pas protégés par un en-tête IPsec. Cette option peut s’avérer utile pour les réseaux qui contiennent des périphériques de traitement ou de transfert de paquets qui ne peuvent pas analyser ni transférer le trafic protégé par IPsec.
Modèles d’évolutivité
Vous pouvez configurer DirectAccess sur un serveur unique, ce qui permet à DirectAccess de fournir l’ensemble des fonctionnalités de base nécessaires à son fonctionnement. Toutefois, le rôle de DirectAccess étant de fournir une connectivité aux utilisateurs distants, la fiabilité et l’évolutivité associées à l’utilisation de plusieurs serveurs, ainsi que la division des tâches, sont des facteurs importants dont vous devez tenir compte.
Serveur unique
Dans ce scénario, tous les composants de DirectAccess sont hébergés sur le même serveur. Un seul serveur DirectAccess étant requis, le déploiement est relativement simple. Toutefois, ce scénario présente des limitations car il constitue un point de défaillance unique et peut engendrer des goulots d’étranglement au niveau des performances du serveur, limitant ainsi le nombre maximal de connexions DirectAccess simultanées. Pour configurer le scénario à serveur unique, utilisez l’Assistant Installation DirectAccess.
Plusieurs serveurs
Si la priorité est donnée à un niveau élevé de disponibilité, l’utilisation de plusieurs serveurs peut permettre de réduire l’indisponibilité à environ deux minutes. Pour cela, au moins quatre serveurs sont requis pour un déploiement. Un cluster d’équilibrage de la charge réseau configuré avec deux serveurs fournit une connectivité IPv6 aux clients DirectAccess sur Internet. Deux serveurs assurent l’arrêt de la session IPsec et le basculement. En cas de défaillance d’un serveur, le service est restauré car la connexion est redirigée via un serveur opérationnel.
Pour plus d’informations sur le modèle d’évolutivité à plusieurs serveurs et sur la façon de configurer les composants de DirectAccess sur différents serveurs, voir la page d’accueil de DirectAccess sur le site Web Microsoft Technet à l’adresse