L'objectif de cette nouvelle série de billets consacrés à DirectAccess et Forefront UAG 2010 est de voir les apports de Forefront Unified Access Gateway dans une architecture DirectAccess un peu particulière : un Intranet entièrement en IPv4 et avec des contrôleurs de domaines et des DNS internes en Windows Server 2003. L'idée étant de tester si dans ce type d'environnement, il serait possible de faire du DirectAccess avec des postes Windows 7 (Entreprise ou Intégrale). Et si tel est le cas, de lister les limitations inhérentes à cette plateforme.

/!\ note préalable et à lire

L'architecture DirectAccess montée dans cette série de billets n'est, à ma connaissance, pas (encore?) supportée par Microsoft à l'heure actuelle.

Si vous vous référez à l'ensemble des documents officiels relatifs à DirectAccess, il est écrit noir sur blanc (extrait du Deployment and Design Guide disponible ici pages 47,48) :

For the intranet DNS servers that are being used by DirectAccess clients, you must use at least one DNS server that runs Windows Server 2008 R2, Windows Server 2008 with the Q958194 hotfix (http://go.microsoft.com/fwlink/?LinkId=159951) installed, or Windows Server 2008 with SP2 or later. The DNS Server service in these versions of Windows support processing DNS name queries on the Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) interface. Alternately, you can use a non-Microsoft DNS server that is capable of listening on ISATAP interfaces to perform DNS queries and secure DNS dynamic updates.

Dans un Active Directory, les DNS utilisés sont en général installés sur les DC (pour profiter par exemple du stockage des zones dans l'Active Directory, de la réplication…) ce qui fait que ce pré-requis peut être assimilé à : installer au moins deux (pour la tolérance de panne) contrôleurs de domaines Active Directory sur un OS Windows Server 2008 ou 2008 R2 (attention je parle ici de DC en Windows Server 2008 ou 2008 R2, pas du niveau fonctionnel du domaine ou de la forêt qui eux peuvent rester en 2003)

Bon maintenant tout cela concerne DirectAccess tel qu'il est implémentable avec Windows Server 2008 R2 avec les différents mécanismes de transition IPv6 -> IPv4 disponibles dans le système (cf. ici pour plus d'informations). Dans le cadre d'une architecture DirectAccess, Forefront Unified Access Gateway 2010 complète les mécanismes de transition IPv6 vers IPv4 avec le NAT64/DNS64 (cf. ici et ici pour plus de détails) et c'est en utilisant cette méthode de transition que nous allons essayer de nous passer totalement d'IPv6 (natif ou transité) dans le réseau interne. De même nous allons voir si l'utilisation de DNS sous Windows Server 2003 est viable dans ce scénario

/!\ fin de la note préalable :-)

Voici la plateforme que je vais utiliser :

DC01 est un serveur Windows Server 2003, Contrôleur de domaine Active Directory (domaine : stan-demo2.net) et serveur DNS
Il ne dispose que de la pile réseau IPv4 (une pile IPv6 existe pour Windows Server 2003 mais il faut la télécharger et l'installer) configurée comme suit :
@IPv4 : 10.1.0.11
masque : 255.0.0.0
pas de passerelle
DNS : 127.0.0.1
J'ai attribué 512 Mo de RAM à la machine virtuelle

FILE01 est un serveur Windows Server 2003 installé comme serveur de fichiers et serveur IIS 6.0
Il ne dispose que de la pile réseau IPv4 (une pile IPv6 existe pour Windows Server 2003 mais il faut la télécharger et l'installer) configurée comme suit :
@IPv4 : 10.1.0.11
masque : 255.0.0.0
pas de passerelle
DNS : 10.1.0.11
J'ai attribué 512 Mo de RAM à la machine virtuelle

CRL01 est un serveur Windows qui sert à exposer les listes de révocation de certificats (CRL) sur "Internet"
Il est configuré uniquement en IPv4
@IPv4 : 10.1.0.15
masque : 255.0.0.0
pas de passerelle
DNS : 10.1.0.11
@IPv4 : 131.107.0.15
masque : 255.255.0.0
J'ai attribué 512 Mo de RAM à la machine virtuelle

UAG2 est un serveur Windows Server 2008 R2 avec Forefront UAG RC1 (disponible uniquement via le program Microsoft Connect, la version RC0 est disponible publiquement cf. ici)
Il est configuré en IPv4 et IPv6 (configuration automatique : ISATAP...)
@IPv4 : 10.1.0.13
masque : 255.0.0.0
pas de passerelle
DNS : 10.1.0.11
@IPv4 : 131.107.0.2
@IPv4 : 131.107.0.3
masque : 255.255.0.0
Pas de DNS configuré sur l'interface externe (très important pour éviter les problèmes de performances avec le DNS64)

WIN7DACLIENT est un poste Windows 7 Entreprise membre du domaine stan-demo2.net
il fait parti du groupe de sécurité "DA Clients" dans l'Active Directory

LH99R2 est un serveur Windows Server 2008 R2 qui simule un serveur DNS public et un site Web
@IPv4 : 131.107.0.99
masque : 255.255.0.0
pas de passerelle

FloppyFW est un petit routeur NAT servant à simuler une box ADSL à la maison ou un NAT d'entreprise.

Le choix de serveurs Windows Server 2003 AD & DNS m’a semblé une option à tester après la lecture du fichier d’aide (encore non finalisée et suceptible d’être modifié) de Forefront UAG :

Suite dans la prochaine partie !