L'objectif de cette nouvelle série de billets consacrés à DirectAccess et Forefront UAG 2010 est de voir les apports de Forefront Unified Access Gateway dans une architecture DirectAccess un peu particulière : un Intranet entièrement en IPv4 et avec des contrôleurs de domaines et des DNS internes en Windows Server 2003. L'idée étant de tester si dans ce type d'environnement, il serait possible de faire du DirectAccess avec des postes Windows 7 (Entreprise ou Intégrale). Et si tel est le cas, de lister les limitations inhérentes à cette plateforme.

Si vous avez loupé la première partie, vite vite cliquez sur le lien suivant : http://blogs.technet.com/stanislas/archive/2009/11/27/directaccess-installation-d-une-plateforme-avec-forefront-uag-pas-d-ipv6-dans-l-intranet-et-des-dc-dns-en-windows-server-2003-partie-1-description-de-la-plateforme.aspx

Cette seconde partie va être consacrée à la partie configuration DirectAccess sur le serveur Forefront UAG.

Juste avant de partir dans l’interface d’administration de Forefront UAG, un petit passage par le contrôleur de domaine sous Windows Server 2003 :

La machine est bien en IPv4 uniquement, comme l’ensemble des ressources Intranet :

En terme de stratégies de groupes, il y a en plus de la GPO du domaine, 2 stratégies que j’ai créées au préalable : une pour l’auto-enrollment des certificats IPsec (client DA et serveur DA) et une pour configurer le pare-feu windows de la machine DA Server. (Plus d’informations et mode opératoire : http://edge.technet.com/Media/DirectAccess-crez-votre-plateforme-de-test-partie-1/ et http://edge.technet.com/Media/DirectAccess-crez-votre-plateforme-de-test-partie-2/)

Retour sur le serveur UAG2 sur lequel j’ai installé la RC1 de Forefront UAG et vérifier l’ensemble des pré-requis à la configuration de DirectAccess (cf. http://edge.technet.com/Media/DirectAccess-crez-votre-plateforme-de-test-partie-5/ qui est une version assez proche puisque c’est les pré-requis pour du DirectAccess avec uniquement Windows Server 2008 R2).

On démarre la console d’administration de Forefront UAG

On se postionnne sur la Branche DirectAccess, l’affichage du schéma peut prendre quelques secondes.

Tout d’abord il faut déclarer quels sont les groupes de machines qui vont être clients DirectAccess

Cliquer sur Add pour ajouter un (ou des) groupe(s). Groupes qui auront été créés au préalable.

Cliquer sur Finish. On passe maintenant à l’étape de configuration du serveur DirectAccess. Cliquer sur le bouton Configure…

Là il faut affecter les adresses IP (Interface réseaux pour être précis) au type d’interface (externe ou interne). Ici, l’assistant de Forefront UAG est un peu différent de celui disponible avec Windows Server 2008 R2 qui lui présente les noms des interfaces.

Cliquer sur Next. Et là on arrive dans la partie activation de NAT64/DNS64 qui est une des grosses améliorations apportées à DirectAccess par Forefront UAG.

Cliquer sur Next. Ici, il va falloir donner le nom de l’autorité racine de certificat utilisée ainsi que le certificat de serveur à utiliser pour IP-HTTPS (nom public dans ma plateforme : da.macompagnie.fr)

Au passage, on note 2 cache à cocher (ou pas) pour l’utilisation de NAP et des cartes à puces (la partie NAP n’est pas visible dans l’assistant de Windows Server 2008 R2)

On va maintenant configurer la NRPT (plus d’infos ici) et définir quels sont les contrôleurs de domaines utilisés (dans la plateforme c’est DC01) et les serveurs de management

Tout d’abord, il faut donner l’URL utilisée pour se connecter au serveur de Localisation : le NLS (plus d’informations ici)

Il faut valider sa présence avant de terminer cette étape.

Puis on déclare les noms de domaines internes, ainsi que les exceptions éventuelles. L’interface ici est plus claire que dans la RC0. On note au passage la présence du DNS64

En double cliquant sur une ligne, on peut voir comment sera traitée la résolution de noms.

Dans le cas du NLS, la méthode de résolution de noms est bien entendu pas modifiable

Là autre nouveauté de la RC1 de Forefront UAG : une interface très très visuelle permettant de définir les DC à utiliser ainsi que les différents types de serveurs de management (AV, NAP…)

On constate qu’il est très facile de sélectionner uniquement les DC qui nous intéressent (ok bon ici il n’y en a qu’un mais il faut imaginer dans un cas réel, avec plus de serveurs)

Dernière grande étape : la définition du modèle d’accès aux serveurs d'applications (plus d’informations : cf. ici)

Maintenant il faut générer le script qui va permettre d’appliquer la configuration qu’on vient de définir. Cliquer sur Generate Policies. Cela permet d’avoir un résumé de la configuration.

Il est possible d’exporter le script de configuration (qui est un script Windows PowerShell)

Puis Cliquer sur Apply Now pour exécuter le script

Une fois le script terminé. Cliquer sur OK. Puis Cancel. Puis sur le bouton en forme d’engrenage en haut à gauche.

Cliquer sur Activate

Puis Finish.

Maintenant il suffit de faire un rafraichissement des GPOs (gpupdate /force ou un bon reboot) sur le serveur Forefront UAG et sur l’ensemble des poste Windows 7 membres du groupe “DA Clients”

Dans la prochaine partie, nous allons voir le résultat/impact côté infrastructure et si la connectivité DirectAccess fonctionne côté poste client