Le but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.
Généralités
Microsoft DirectAccess
Microsoft DirectAccess est une nouvelle fonctionnalité introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.
DirectAccess ne remplace pas les solutions existantes, car nécessite des conditions pour son utilisation :
Poste du domaine |
Poste hors domaine |
|
Windows 7 Enterprise / Ultimate |
DirectAccess |
VPN SSL |
Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…) |
VPN SSL |
VPN SSL |
La connexion de bout en bout avec DirectAccess
IPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.
IPv6 d’entreprise
Il faut dans un premier temps mettre en place IPv6 au sein de votre entreprise. Depuis Windows Server 2008, les cartes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAccess par exemple.
Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en œuvre de DirectAccess :
DNS64 |
NAT64 |
Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6. |
Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6 |
IPv6 personnel
Une fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 :
Emplacement | Méthode de translation |
Public (dispose d’une adresse IPv4 publique) | 6to4 |
Domicile (derrière un NAT – box ADSL par exemple) | Teredo |
Domicile ou Client (derrière un proxy ou NAT filtrant – hors https) | IP-HTTPS |
Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 7 .
DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces réseau.
La gestion de l’identité
Comme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’appuie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.
Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infrastructure de l’entreprise. Il est ensuite possible à l’utilisateur de s’authentifier, pour monter le second tunnel IPSec applicatif.
Principe de connexion
Il apparaît que la connexion aux ressources de l’entreprise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentification, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’intégrité effectuées.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Azul permet aux entreprises de simplifier leurs environnements Java
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons