Après la série d’articles et de vidéos sur le montage de plateformes de test DirectAccess avec Windows Server 2008 R2, Forefront UAG et Windows 7, voici une nouvelle variante dans laquelle le serveur DirectAccess sera un Forefront UAG SP1 qui va faire office de passerelle DirectAccess.

Cet article a pour objectif de montrer pas à pas le montage de cette plateforme et en particulier l’installation et la configuration de Forefront UAG SP1 en temps que passerelle DirectAccess. Dans un second temps cette plateforme servira de base à deux autres séries d'articles consacré au paramétrage d'authentification forte avec OTP (SecurID mais aussi Gemalto)

Note : pour ceux qui veulent voir les anciennes plateformes ou revoir les vidéos expliquant la configuration de tous les pré-requis, je vous invite à aller faire un tour sur les ressources suivantes :

==========

DirectAccess : nouvelles e-démos pour monter une plateforme DirectAccess

Installation pas à pas d'une plateforme DirectAccess avec utilisation de Forefront UAG

DirectAccess : installation d'une plateforme avec Forefront UAG, pas d'IPv6 dans l'Intranet et des DC & DNS en Windows Server 2003

=========

L’architecture de cette nouvelle plateforme DirectAccess basée sur Forefront UAG 2010 est la suivante (cliquer sur l’image pour la voir en grand) :

Configurations des différentes machines virtuelles (je rappelle que je suis sur Hyper-V de Windows Server 2008)

  • DC01R2 : 512 Mo de RAM, bi-cpu virtuel
  • WEB01 : 512 Mo, bi-cpu virtuel
  • CRL01 : 384 Mo, bi-cpu virtuel
  • LH99R2 : 512 Mo, bi-cpu virtuel
  • WIN7DA : 384 Mo, bi-cpu virtuel
  • WIN2003R2 : 2048 Mo (oui c’est beaucoup mais nécessaire pour le socle logiciel RSA qui sera configuré ultérieurement pour l’authentification OTP SecurID)
  • PKI2 : 384 Mo, bi-cpu virtuel
  • UAG01 : 1536 Mo, bi-cpu virtuel (important : en production c'est 8Go mini, 12 Go recommandés).

Tout cela permet de faire fonctionner (en mode test/démo) la plateforme sur une machine physique disposant de 8 Go de RAM (ce qui est le cas de mon Lenovo T61p). Il est cependant fortement recommandé de placer les fichiers VHD des machines virtuelles sur différents disques (3 dans mon cas) pour limiter le goulet d’étranglement sur les entrées/sorties (I/O) disque.

Pour plus d’informations sur la plateforme physique utilisée, cliquer ici

Et voici les quelques étapes que j'ai suivies pour installer tout cela :

===========================
DC01R2 joue le rôle DC et de serveur de PKI
===========================

Installation du système LH01R2
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4  (10.0.0.11/8)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout du Rôle AD Domain Services
DCPROMO —> création du domaine stan-demo.net
création reverse zone DNS
Installation Role AD CS
Création d’un modèle de certificat DirectAccess IPsec EndPoint
Création d’un modèle de certificat DirectAccess IPsec Tunnel
Création d’un modèle de certificat Web Server exportable
Modification de la GPO Default Domain Policy avec des règles autorisant sur le Pare-feu Windows : Echo Request ICMPv4 et v6
Config du DNS pour supprimer nom ISATAP de la default global block list
Config des CRLs
Modification de la GPO default domain policy pour auto enrollment des certificats ordinateurs
Création d'un groupe de sécurité DA_Clients dans l'Active Directory (Win7DA est membre de ce groupe)
Création d’un groupe de sécurité DA_Servers dans l’Active Directory (UAG01 est membre de ce groupe)

===========================
PKI2 joue le rôle de serveur de PKI dédiée pour le scénario OTP (authentification RSA ou authentification RADIUS OTP comme celle de Gemalto)
===========================

Installation du système PKI2 (Windows Server 2008 R2 Edition Entreprise)
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4  (10.0.0.31/8)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout du Rôle AD Certificate Services


=====================================================
Pour le scénario DirectAccess, WEB01 joue le rôle de NLS (network Location Server)
=====================================================

Installation du système WEB01
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4  (10.0.0.12/8)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Demande de certificat de type Web Server exportable
Installation du rôle Web Server
Binding du certif SSL sur le site web par defaut


=====================================================
Pour le scénario DirectAccess, CRL01 joue le rôle de serveur Web servant la liste des certificats révoqués
=====================================================

Installation du système CRL01
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4  (10.0.0.15/8) (131.107.0.15)
Paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Installation du rôle Web Server

=====================================================
Pour le scénario DirectAccess, Win2003R2 joue le rôle de serveur Web/fichiers (et ultérieurement de serveur RSA ACE)
=====================================================

Installation du système WIN2003R2 (Windows Server 2003 Entreprise)
Mise à jour du système
Activation
Paramétrage IPv4  (10.0.0.30/8)
Paramétrage IPv6 —> pas de stack IPv6

Ajout dans le domaine STAN-DEMO

=================================================
Pour le scénario DirectAccess, UAG01 joue le rôle de serveur Forefront UAG avec la fonction de passerelle DirectAccess
=================================================

Installation du système UAG01
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4  (10.0.0.13/8)
paramétrage IPv6 —> rien de spécial de fait, la machine est en ISATAP
Ajout dans le domaine STAN-DEMO
Demande de certificat complémentaire de type Web Server (pour IP-HTTPs)
Installation de Forefront UAG (cf. plus bas en détails pas à pas)

L’ensemble de la configuration est visible en vidéo (note : dans les vidéos, le nom de domaine est w2K8R2–demo.net à la place de stan-demo.net) :

Premiers pas avec Windows Server 2008 R2 : Promotion du 1er controleur de domaine Active Directory
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=04dabde5-652b-430c-a3cb-65791cd1e11a

Premiers pas avec Windows Server 2008 R2 : Installation d'une CA d'entreprise avec Windows Server 2008 R2
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=a276f92d-51f6-492f-84b3-ed5910746194

Premiers pas avec Windows Server 2008 R2 : Publication d'une liste de révocation de certificats (CRL) avec Windows Server 2008 R2
http://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?EID=040a4ca3-20cb-4df4-be09-d8febac262ea

Premiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 1 - Les certificats
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=3a3e0a19-0bfa-409e-a57e-06f06f5c4271

Premiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 2 - GPO Parefeu Windows
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=b032fc09-7994-411e-b403-26d4531c971c

Premiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 3 - configuration DNS interne et externe
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=c14c9118-6935-4341-b33e-37082f6ab40b

Premiers pas avec Windows Server 2008 R2 : Configuration DirectAccess - partie 4 - Configuration du NLS
http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=a152d6bb-5f44-4e44-a0ed-f6f860575fac

===============================================================
Pour le scénario DirectAccess, LH99R2 joue le rôle de serveur DNS publique ainsi que de serveur Web publique
===============================================================

Installation du système LH99R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4  (131.107.0.99/24)


=====================================================================
WIN7DA est un client Windows 7 Entreprise configuré comme client DirectAccess (il fait parti du groupe DA_Clients)
=====================================================================

Installation de WIN7DA
Ajout dans le domaine W2K8R2-DEMO
3 interfaces réseau (LAN, WAN wifi, WAN 3G)
 DHCP Client    --> sur LAN (avec activation de Network Access Protection sur le serveur DHCP)
 131.107.0.150  --> adresse sur la carte WAN (Wifi simulé)
 131.107.0.150  --> adresse sur la carte WAN (3G simulé)
 192.168.1.150    --> adresse sur le LAN maison NATé
 
Note : pour bien simuler Internet sur cette machine, ainsi que sur WIN7DA, j'ai ajouté une zone msftncsi.com dans mon DNS externe sur LH99R2 avec un enregistrement A [DNS 131.107.255.255] et un site Web [www.msftncsi.com] avec un fichier ncsi.txt contenant le texte Microsoft NCSI
La raison du pourquoi est le fonctionnement de la détection d'Internet dans Windows Vista et 7 (Plus de détails ici : http://technet.microsoft.com/en-us/library/cc766017.aspx)

Une fois toute ces machines installées, on passe à la préparation de la machine UAG01 qui va exécuter Forefront Unified Access Gateway 2010 Service Pack 1.

la suite dans le prochain post :-)