Ceci est la partie 3 d’une série d’articles consacrée au montage d’une plateforme de test/démos de DirectAccess avec Windows 7 / Windows Server 2008 R2 / Forefront UAG 2010 SP1. Les deux premières parties sont disponibles via les liens suivants :

Partie 1 : description de la plateforme
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-1-description-de-la-plateforme.aspx

Partie 2 : préparation et installation de Forefront UAG SP1
http://blogs.technet.com/b/stanislas/archive/2011/01/25/installation-pas-224-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-service-pack-1-partie-2-pr-233-paration-et-installation-de-forefront-uag-sp1.aspx

Ce troisième article va présenter le paramétrage de DirectAccess pour cette infrastructure au travers du nouvel assistant de configuration DirectAccess de Forefront UAG 2010 SP1.

Se placer sur la branche DirectAccess dans la partie gauche de l’interface d’administration de Forefront UAG 2010 SP1

L’interface de configuration a légèrement évoluée par rapport à celle native dans Windows Server 2008 R2 ou celle de Forefront UAG RTM (sans Service Pack).

A noter la présence pour chacune des 4 étapes la présence d’un lien Learn More qui rappelle les pré-requis (très très importants à suivre si vous souhaitez réussir la mise en oeuvre de DirectAccess)

Commençons par vérifier les prérequis à la configuration des clients DirectAccess :

En résumé avec quelques informations complémentaires :

  • Les clients supportés sont des postes Windows 7 édition Entreprise ou Intégrale
  • Ils sont membres d’un Active Directory, dans une OU et/ou un groupe de machines (à créer avec l’assistant DA)
  • Il est possible de déployer DirectAccess uniquement pour gérer les postes de travail distants (scénario n’incluant donc pas des accès distants utilisateurs)

C’est ici qu’il est possible de choisir si DirectAccess est utilisé pour donner des accès distants aux utilisateurs ou uniquement dédié à la gestion des postes distants

Cliquer sur Next

Choisir ici quel(s) est(sont) les domaines des postes clients qui seront configurés avec DirectAccess. Cliquer sur Next.

Il est désormais possible de choisir entre la création de GPO spécialement dédiées à DirectAccess (générées par cet assistant) ou l’utilisation de GPO existantes qui seront modifiées par cet assistant. Cliquer sur Next.

L’application de la GPO de configuration des clients DirectAccess peut désormais (SP1) aussi s’appliquer sur des unités organisationnelles (OU) de l’Active Directory. Cliquer sur Add… pour ajouter un(des) groupe(s) ou une(des) OU(s).

Cliquer sur Finish.

Paramétrage optionnel (que nous allons activer car il sera utile plus tard, notamment pour l’authentification OTP) : le Client Connectivity Assistant qui est une aide visuelle pour l’utilisateur connecté en DirectAccess. Disponible au préalable en version 1.0 téléchargement indépendant, le DCA dans sa version 1.5 est désormais packagé dans Forefront UAG 2010 SP1.

Sélectionner oui je veux configurer l’application DCA. Cliquer sur Next.

Un peu comme dans ISA Server 2006 ou Forefront TMG, il est possible de définir des vérificateurs de connectivité qui permettre de savoir si le client DirectAccess dispose d’un accès aux ressources hébergées dans le Système d’Information.

Il est possible de définir des serveurs de fichiers mais aussi des serveurs intranet en HTTP.

Il est possible de valider l’adresse fournies avant de l’inclure dans le paramétrage du DCA.

Cliquer sur OK pour ajouter le test de connectivité.

Cliquer sur Next.

Définir une adresse Web pour donner des informations de dépannage à l’utilisateur (ex: page du Helpdesk…). Important : il vaut mieux avoir cette page accessible depuis Internet (sur un site public avec une authentification login/mot de passe par exemple) et non pas sur un Intranet (difficilement accessible si DirectAccess ne fonctionne pas). Cliquer sur Next.

Définir ici l’adresse électronique à laquelle peuvent envoyés les fichiers de logs pour dépannage. Cliquer sur Finish.

Prochaine étape : les éléments de paramétrage du serveur DirectAccess

Petite lecture des prérequis :

En résumé avec quelques informations complémentaires :

  • Pour faire de l’équilibrage réseau (NLB), il faut configurer avant l’assistant DA les adresses IP virtuelles (VIP) sur les interfaces internes et externes d’UAG
  • Vérifier la présence de 2 adresses IPv4 publiques (c’est à dire pas celles définies dans la RFC1918) consécutives sur l’interface réseau externe. Et surtout pas de NAT entre ces adresses et le reste d’Internet dans une architecture en production (pas de soucis ici dans cette plateforme de test)
  • Avoir configuré au préalable une autorité de certification d’entreprise (ici DC01R2) et demandé un certificat de type Web Server pour la machine UAG. Ce certificat doit être installé dans le magasin Computer dans la branche Personal.
  • Avoir déployé sur les postes clients et le serveur DirectAccess des certificats IPsec (cf. ici pour le paramétrage détaillé en vidéo)

Sélectionner ici les interfaces réseaux Internet et Interne.

Cliquer sur Next.

Cliquer sur Browse pour sélectionner le certificat de type Serveur Web à utiliser pour IP-HTTPS (le certificat est normalement stocké dans le magasin Computer, sous branche personal)

Un bon friendly name est bien pratique pour prendre le bon ;-)  Cliquer sur OK

Note : en production il est très fortement recommandé pour IP-HTTPS d’utiliser un certificat de serveur Web acheté à une autorité de certification publique (Verisign, RapidSSL, CertPlus…). Cela evite d’avoir à gérer l’exposition sur Internet de vos listes de révocation (CRL).

Cliquer sur Next

Ici l’objectif est de choisir le certificat de l’autorité de certification qui a émis les certificats IPsec (dans le cas de cette plateforme, c’est la PKI d’entreprise installée sur DC01R2). Cliquer sur Browse

Cliquer sur OK.

Cliquer sur Finish.

Direction l’étape 3 avec la configuration des serveurs d’infrastructures (DC, DNS, serveurs de mises à jour, serveurs AV…)

Petite lecture des prérequis :

En résumé avec quelques informations complémentaires :

  • Configurer un serveur de location réseau (NLS) qui est un serveur Web accessible en HTTPS. Plus d’informations sur les mécanismes NLS ici et sur la configuration du NLS ici (en version vidéo pas à pas)
  • Déterminer au préalable la liste des noms de domaines internes utilisés dans l’Intranet. Cela va être utile pour définir la NRPT (plus d’infos sur la NRPT ici)
  • Lister les domaines d’authentification utilisés dans lIintranet
  • Lister vos serveurs d’administrations / télédistribution / mise à jour…

Définir ici l’URL du serveur NLS.

Important : ce nom ne doit pas pouvoir être résolu via des serveurs DNS publics sur Internet

Cliquer sur Validate pour vérifier qu’il est bien en ligne et opérationnel (note : en production il est fortement conseillé de rendre hautement disponible ce service)

Cliquer sur Next

La NRPT est contruire automatiquement mais il est possible de la compléter avec des noms de domaines supplémentaires si c’est le cas dans l’Intranet.

Cliquer sur Next

Idem pour les domaines Active Directory. Celui du serveur UAG est prérempli, il est cependant possible d’en ajouter d’autres (si les utilisateurs sont par exemple dans un autre domaine que les comptes machine). Cliquer sur Next.

Définir ici l’ensemble des serveurs d’infrastructure en place. Une découverte automatique et un remplissage automatique est effectué pour les DC, HRA et serveurs SCCM (System Center Configuration Manager, le successeur de System Management Server).

Cliquer sur Finish

Direction l’étape 4

Petite lecture des prérequis

Dans cette plateforme (comme chez nos clients DirectAccess actuels), nous allons rester dans la configuration End-to-Edge (la plus simple qui ressemble à celle d’un VPN nomade dans le principe général)

Cliquer sur Finish

Cliquer sur Export Policy

Cliquer sur Export Script (histoire d’avoir un petit backup à rejouer si besoin)

Cliquer ensuite sur Apply Policy puis Apply Now

Ouvrir un invite de commande et exécuter la commande Gpupdate /force pour appliquer la configuration de la GPO sur le serveur UAG.

Puis Activer la configuration UAG en cliquant sur Activate

Cliquer sur Activate>

Cliquer sur Finish

Se connecter sur le poste client DirectAccess (connecté sur le LAN). Faire un Gpupdate /force pour appliquer la configuration DirectAccess.

Déconnecter le client du LAN et le connecter sur le WAN (Internet). Vérifier que la connexion à une ressource interne fonctionne.

Sur le serveur Forefront UAG, il possible d’utiliser le Web Monitor pour vérifier le bon fonctionnement de DirectAccess :

Voilà c’est terminé :-)

Prochains articles de cette série : l’évolution de cette plateforme avec de l’authentification forte à base d’OTP avec 2 solutions différentes : RSA SecurID et Gemalto.

Pour ceux qui ont la possibilité de venir aux Microsoft TechDays du 9 au 11 février 2011 à Paris Porte Maillot, il y aura 2 sessions dédiées à DirectAccess le 10 après midi (sessions jouées par Arnaud Lheureux [MS], Benoit Sautiere [MVP Enterprise Security] et moi même :-)). Plus d’informations :

– Stanislas Quastana -