Hello,

DirectAccess, c’est quoi ? Comment ça fonctionne ? Quels sont les prérequis ? A quoi dois-je penser ?

Beaucoup se posent, entre autres, ces questions à propos de DirectAccess. Pour aider mes collègues, j’ai réalisé une présentation en interne et décide de la partager avec vous 🙂

Pour rédiger la présentation, je me suis appuyé sur

  • Les projets réalisés,
  • Les différentes présentations disponible sur Internet (notamment le blog de Stanislas Quastana)

J’ai, par contre, épurée la présentation de toutes identifications d’entreprise clientes, prestataires, données sensibles,… Si vous avez des questions, n’hésitez pas

Présentation en 3 parties : présentation de DirectAccess et UAG, les prérequis d'infrastructure et l'architecture

Les utilisateurs se connectent à un réseau via un VPN. Par contre, DirectAccess étend le réseau aux clients

Dès qu'un évenement réseau est détecté, le client Win7 DirectAccess essaie de se connecter à un site web https de l'intranet. Si la connexion échoue, une DirectAccess est automatiquement lancée

Les clients et serveurs DirectAccess ne font que de l'IPv6. ISATAP est utilisé dans les réseaux privés et construit les @ IPv6 et utilisant les @ IPv4 en suffixes

6to4 et Teredo, les deux technologies de transition principalement utilisées par DirectAccess.

La méthode IP-HTTPS est la méthode la plus lente mais passe-partout. Elle est utilisée en dernier recours

 

Toutes les possibilités de traffic entre les clients et serveurs DA et entre les serveurs DA et le réseau local

IPsec est natif à IPv6. Selon le modèle de connexion DA choisi, le traffic est plus ou moins chiffré. Dans le cas du modèle end-to-edge, recommandé, le traffic est chiffré entre le client et le serveur DA. Le traffic sur le réseau de l'entreprise est en clair

Avec le end-to-end, la communication est chiffrée en bout en bout. Toutefois, le modèle n'est pas recommandé (contraignant, pas de possibilités de vérifier la comm entre clients DA et serveurs d'applications,...)

UAG est le remplaçant d'IAG

UAG permet notamment un AD en 2003, l'absence complète d'IPv6, la haute-disponibilité et intègre une brique TMG. Par contre, il nécessite une CAL

UAG, ce n'est pas que DirectAccess. C'est une solution de bordure de réseau complète

Le SP1 apporte des nouvelles fonctionnalités (OTP, modèle d'accès scindé,...) ainsi que des améliorations (configuration du force tunneling par GUI et non plus par GPO, autodiscover des serveurs SCCM,...)

Les prérequis d'infrastructure pour DirectAccess

Pour deux noeuds : prévoir 4 @ IPv4 publiques (dont deux consécutives pour DirectAccess et une par noeud physique)

Il est supporté d'avoir un FW devant et derrière le serveur DirectAccess mais un certain nombre de ports sont à ouvrir

Grâce à UAG, AD 2003 est suffisant

La configuration des clients et serveurs DirectAccess se fait par des GPOs générées par la console DirectAccess uniquement. Les GPOs configurent les politiques IPsec et les technologies de transition. Slide repris sur http://blogs.technet.com/b/stanislas/archive/2011/01/12/teched-2010-vid-233-o-de-la-session-directaccess-with-uag-under-the-hood.aspx

En interne, faire attention à débloquer ISATAP et en externe, bien pointer sur la première des deux adresses IPv4 publiques

Des certificats partout : une CA, un certificat pour chaque machine issue de cette CA, deux certificats https pour le serveur NLS et pour les connexions DirectAccess. Pour rappel, le serveur DirectAccess ne doit pas jouer le rôle NLS !

Si utilisation de certificats privés, bien penser à une publication de CRL. Les accès https, et éventuellement CRL, doivent être anonyme

Win7 Enterprise minimum, IPv4 et IPv6 activés, appartiennent à un groupe AD

Définition des éléments structurants

Il est nécessaire de bien définir dans une matrice les ressources accessibles via DirectAccess pour définir les routes et ports réseaux autorisés

Si le serveur n'est pas IPv6, DNS64 et NAT64 construisent une adresse IPv6 factice pour le client DirectAccess. Si le serveur est IPv6, valider que l'application à utiliser supporte bien IPv6

L'installation est Powershell est possible, quelques braves ont essayé...

Si vous souhaitez que tout le trafic des clients passe par le réseau de l'entreprise, il est nécessaire de configurer le mode Force Tunneling. Mais dans ce cas là, seule la technologie de connexion IP-HTTPS fonctionnera.

Le tunnel d'infrastructure permet à la machine de se connecter au réseau et de se mettre à jour, il ne donne pas accès aux données. Depuis le SP1, on peut configurer uniquement ce mode. Le tunnel Intranet donne à l'utilisateur l'accès aux ressources de l'entreprise, il pourra être sécurisé par une connexion de carte à puce

Management pack et lignes de commandes seront vos alliés

Les références

 

Je n’ai pas indiqué mais vous avez bien sur la référence française qui est le blog de Monsieur Stanislas : http://blogs.technet.com/b/stanislas/

A+