Accueil🇫🇷Chercher

DirectAccess

DirectAccess est une connexion intranet de type VPN, sous-rôle d'Unified Remote Access avec Microsoft Windows Server 2012. Cependant cela diffère d’une connexion VPN (réseau privé virtuel) puisqu’il n’y a pas besoin d’établir une connexion dans le gestionnaire de connexion, et permet un accès complet à l'intranet au poste client connecté à Internet. Contrairement à la majorité des solutions permettant d'établir un lien direct entre des ordinateurs distants, Microsoft a fait le choix de rendre la connectivité totalement transparente pour l'utilisateur et ne requiert aucune action de ce dernier. C'est le système d'exploitation qui se charge d'établir une connexion sécurisée avec le système d'information. La première version de DirectAccess date de Windows Server 2008 R2, pour fournir le service aux clients Windows 7 ou plus (en éditions Ultimate ou Enterprise). En 2010, Microsoft Forefront Unified Access Gateway (UAG), simplifie[1] - [2] le déploiement de DirectAccess, en apportant de nouvelles briques qui permettent de s'affranchir d'un réseau entièrement en IPv6 au niveau du Core network, ainsi que l'ajout d'une interface de monitoring. Avec Microsoft Windows Server 2012, DirectAccess est intégré[3] au niveau du système d'exploitation, fournissant une interface qui permet de s'affranchir de la brique UAG. Les accès distants font désormais partie d'Unified Remote Access (URA), qui intègre en plus de DirectAccess les technologies de connexion distante et Routing and Remote Access Service.

Historique

Windows 2008 R2

Introduction de la technologie DirectAccess pour un accès distant pour les postes clients Windows 7 (Ultimate ou Enterprise) ou plus. Dans cette version seuls les cœurs de réseaux d'entreprise en IPv6 natif sont supportés y compris ceux déployés au travers d'ISATAP, cependant il reste possible d'utiliser la cohabitation IPv4 et IPv6 avec 6to4, Teredo, IP-HTTPS. De plus le serveur NLS peut être mutualisé sur la passerelle DirectAccess.

Forefront UAG

Forefront UAG[4] au fil de ces mises à jour a apporté les évolutions suivantes à DirectAccess : le support des technologies de transition avec NAT64 et DNS64 présent dès la version RTM, la mise en cluster avec la haute disponibilité et la tolérance de panne, l'implémentation simplifiée de la cohabitation IPv4 et IPv6 avec NAT64/DNS64.

Un nouveau scénario afin de gérer le parc des postes client en situation de nomadisme sans donner l'accès à l'intranet, une configuration simplifiée de la gestion des flux internet qui auparavant devait se faire par ligne de commande.

L'intégration simplifiée de l'état de santé du poste au travers du NAP, de l'authentification à plusieurs facteurs a été introduite à la suite d'un accord avec RSA pour les tokens RSA SecurID.

Et enfin l'apport d'un GUI client avec le service pack 1 permettant d'afficher l'état de la connectivité et effectuer une collecte d'information à des fin de support lorsque le poste ne peut se connecter au travers de DirectAccess, il est à noter qu'il reste possible d'utiliser ce dernier avec une passerelle uniquement sous Windows 2008 R2.

Attention cependant avec Forefront UAG il n'est pas possible de consolider le serveur NLS sur ce dernier.

Windows Server 2012 / 2012 R2

Reprise des différentes fonctionnalités de Forefront UAG, de plus DirectAccess fait désormais partie du rôle serveur URA. DirectAccess est donc utilisable uniquement avec une licence serveur. Les nouvelles fonctionnalités apportées par URA sont :

  • Simplification du dĂ©ploiement en 3 Ă©tapes (uniquement avec des clients Windows 8).
  • Nouveaux scĂ©narios de dĂ©ploiement : la passerelle peut dĂ©sormais ĂŞtre placĂ©e dans le rĂ©seau LAN ou derrière un Ă©quipement qui effectue du NAT sur le rĂ©seau public du serveur.
  • Le serveur NLS peut ĂŞtre mutualisĂ© sur la passerelle DirectAccess.
  • AmĂ©lioration du suivi de l'Ă©tat de santĂ© de la plateforme au travers de l'intĂ©gration du monitoring dans la console DirectAccess.
  • PossibilitĂ© de crĂ©er un "gĂ©o-cluster" : en effet un service distinct peut ĂŞtre dĂ©ployĂ© sur chaque site gĂ©ographique.
  • PossibilitĂ© d'utiliser des certificats auto-signĂ©s gĂ©nĂ©rĂ©s par la passerelle DirectAccess.
  • Introduction de l'authentification par carte Ă  puce virtuelle[5] (uniquement avec Windows 8).
  • PossibilitĂ© de se connecter au travers d'un proxy authentifiant (uniquement avec Windows 8).

Principe de fonctionnement

Le client DirectAccess initialise des tunnels IPsec IPv6 vers la passerelle DirectAccess. Dans un monde encore majoritairement basé sur l'IPv4 le trafic IPv6 y est encapsulé dans différentes technologies de transition (6to4, Teredo, IP-HTTPS) vers IPv6. Ce mécanisme permet d’établir un canal de communication réseau entre le client et le système d’information. Une fois ce canal initialisé, le client DirectAccess accède aux ressources internes de la même manière que lorsqu’il est connecté au réseau LAN. Le seul changement concerne le mécanisme de résolution de noms DNS. Lorsque le client DirectAccess demande la résolution d’un nom DNS dépendant du réseau de l’entreprise, la résolution de nom est prise en charge par la NRPT (Name Resolution Policy Table) qui fournit une réponse IPv6 à la demande de résolution. Lorsque le client tente de joindre la ressource avec cette adresse IPv6, NAT64 assure la transition d’IPv6 vers IPv4.

Technologies de transition

Ces différentes briques permettent de faire cohabiter les mondes IPv4 et IPv6 afin que ces derniers puissent dialoguer entre eux. Les briques de transition d'IPV4 vers IPv6 utilisées par DirectAccess sont :

DirectAccess et la sécurité

Sur un élément d'accès au réseau d'entreprise aussi critique, des questions sur la sécurité embarquée peuvent se poser. DirectAccess embarque différents mécanismes :

RĂ©seau

Les différents tunnels réseaux initiés vers la passerelle DirectAccess sont protégés par :

  • SSL dans le cas de l'utilisation d'IP-HTTPS.
  • IPsec dans tous les cas (y compris dans le flux SSL).


De plus avec Forefront UAG la passerelle DirectAccess embarquait le pare-feu Forefront TMG qui assure sa protection, cependant avec l'arrivée de Windows Server 2012 ce dernier est protégé par Windows Firewall il est donc recommandé pour ce dernier de le placer dans une DMZ.

Authentification

Il existe différents mécanismes d'authentification possible pour se connecter au réseau d'entreprise au travers de DirectAccess :

  • Authentification de l'utilisateur
    • Compte Active Directory (Kerberos)
    • Carte Ă  puce ou carte Ă  puce virtuelle
    • Token de type RSA SecurID, GEMALTO, ...
  • Authentification de l'ordinateur
    • Certificat
    • Certificat de santĂ© (optionnel), ce dernier nĂ©cessitant une infrastructure NAP
    • Compte Active Directory (NTLMv2)

Prérequis

DirectAccess avec Windows Server 2008 R2 et Forefront UAG

  • Windows Server 2008 R2 avec deux cartes rĂ©seaux : une connectĂ©e directement sur Internet (avec un adressage IP publique), et une seconde connectĂ©e au rĂ©seau locale (avec un adressage IP privĂ©e).
  • Sur la passerelle DirectAccess, deux adresses IPv4 publique consĂ©cutives, attribuĂ©es sur la carte rĂ©seau connectĂ©e directement sur Internet.
  • Un client DirectAccess Windows 7 (Ultimate ou Enterprise) ou Windows 8 (Enterprise).
  • Un serveur DNS tournant sous Windows Server 2008 SP2 ou Windows Server 2008 R2.
  • Une forĂŞt Active Directory de niveau fonctionnel 2003.
  • Une Public key infrastructure (PKI) pour la gestion des certificats privĂ©s.

DirectAccess avec Windows Server 2012

  • Windows Server 2012 avec une ou plusieurs cartes rĂ©seaux.
  • Un client DirectAccess Windows 7 (Ultimate ou Enterprise) ou Windows 8 (Enterprise).
  • Un serveur DNS tournant sous Windows Server 2008 SP2 ou Windows Server 2008 R2.
  • Une forĂŞt Active Directory de niveau fonctionnel 2003.
  • Une Public key infrastructure (PKI) pour la gestion des certificats privĂ©s, si la rĂ©tro-compatibilitĂ© avec les clients Windows 7 est activĂ©e.

Références

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.