> Tech > Microsoft DirectAccess

Microsoft DirectAccess

Tech - Par Renaud ROSSET - Publié le 20 mai 2011
email


Le but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.

Généralités

Microsoft DirectAccess

Microsoft DirectAccess est une nouvelle fonctionnalité introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.

DirectAccess ne remplace pas les solutions existantes, car nécessite des conditions pour son utilisation :

Poste du domaine

Poste hors domaine

Windows 7 Enterprise / Ultimate

DirectAccess

VPN SSL

Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…)

VPN SSL

VPN SSL

La connexion de bout en bout avec DirectAccess

IPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.

IPv6 d’entreprise

Il faut dans un premier temps mettre en place IPv6 au sein de votre entreprise. Depuis Windows Server 2008, les cartes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAccess par exemple.

Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en œuvre de DirectAccess :

DNS64

NAT64

Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6.

Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6

IPv6 personnel

Une fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 :

Emplacement Méthode de translation
Public (dispose d’une adresse IPv4 publique) 6to4
Domicile (derrière un NAT – box ADSL par exemple) Teredo
Domicile ou Client (derrière un proxy ou NAT filtrant – hors https) IP-HTTPS

Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 7 .

DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces réseau.

La gestion de l’identité

Comme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’appuie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.

Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infrastructure de l’entreprise. Il est ensuite possible à l’utilisateur de s’authentifier, pour monter le second tunnel IPSec applicatif.

Principe de connexion

Il apparaît que la connexion aux ressources de l’entreprise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentification, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’intégrité effectuées.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental

Tech - Par Renaud ROSSET - Publié le 20 mai 2011