Accès distant
Introduction
Ce chapitre est consacré aux moyens d’accéder aux services de votre société lorsque vous vous trouvez en dehors de celle-ci.
La première partie aborde les différents moyens permettant cet accès distant. Viennent ensuite les différents services offerts par Windows Server 2016 pour répondre à un besoin de mobilité grandissant.
Principe de l’accès distant
De nos jours, les utilisateurs nomades sont de plus en plus exigeants et ont besoin d’avoir accès à toutes leurs données en tout temps (mails, fichiers, etc.) de la même façon que s’ils étaient dans les locaux de leur société. Pour pouvoir les satisfaire vous serez certainement amenés à configurer des solutions d’accès distant.
Cet accès distant peut se réaliser au travers de deux types de liaisons. Soit par une liaison de type Numérotation à la demande (fréquemment appelée Dial-up), soit par l’établissement d’un réseau privé virtuel (VPN : Virtual Private Network).
1. Accès par téléphone
a. Généralités sur les connexions Dial-up
Utiliser une connexion de type Dial-up permet d’accéder au réseau de l’entreprise au moyen d’une simple ligne téléphonique depuis n’importe quel endroit. Contrepartie de cette facilité d’accès, il s’agit d’une technologie déjà ancienne et qui n’offre que des performances très limitées du fait des bas débits proposés.
En pratique, il faut qu’à la fois le serveur et l’ordinateur de l’utilisateur soient munis d’un modem. L’utilisateur configure une connexion de numérotation à la demande dans laquelle un simple numéro de téléphone est spécifié. À l’initiation de la connexion, un nom d’utilisateur et un mot de passe sont requis. Le serveur gérant l’accès distant (appelé aussi RAS pour Remote Access Server) va être contacté tout simplement au travers de la ligne téléphonique auquel il est raccordé par le modem.
b. Avantages et inconvénients des connexions Dial-up
Avantages
-
Pas besoin d’abonnement Internet : une simple ligne téléphonique classique suffit.
-
Confidentialité des données : les informations ne transitant pas au travers d’Internet, elles ne sont pas la cible de toutes les attaques que l’on trouve communément à travers le réseau de communication mondial. La sécurité est donc meilleure...
Mettre en place un accès sécurisé à travers Internet
Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d’accès distant. Dans un premier temps, les méthodes pour configurer les différents types de VPN offerts par Windows Server 2016 (PPTP, L2TP, SSTP) seront décrites. Puis les aspects concernant la sécurisation seront abordés. La configuration d’un serveur RAS avec modem ne sera pas évoquée, la technologie n’étant quasiment plus utilisée.
1. Mise en place d’une liaison VPN
Prérequis matériel : le serveur doit être intégré au domaine MaSociete.Priv et muni de deux cartes réseau. L’une connectée à Internet et l’autre connectée au réseau local (LAN). La première se charge d’accepter les connexions VPN entrantes et nécessite une adresse IP fixe (dans notre exemple configurée en 211.111.111.111/25 ; attention cette IP est prise à titre d’exemple pour les besoins de la procédure, vous devez utiliser votre adresse IP publique en environnement de production). La seconde interface réseau fait suivre le trafic entre les connexions VPN et les ressources réseaux du LAN.
Il est techniquement possible dans le cas d’un VPN PPTP ou L2TP de n’avoir qu’une seule carte réseau. Cela sort par contre du cadre des bonnes pratiques préconisées par Microsoft et les performances peuvent s’en ressentir.
a. Installation du rôle Accès à distance
L’installation du rôle se fait depuis la console Gestionnaire de serveur, dans le sous-dossier Rôles, en cliquant sur Ajouter des rôles.
Voici les différentes étapes :
Ouvrez la console Gestionnaire de serveur.
Cliquez sur Gérer puis sur Ajouter des rôles et fonctionnalités.
Cliquez sur Suivant.
Au niveau de Type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité.
Cliquez sur Suivant.
Sur la page Sélection du serveur, cliquez sur DC2016 dans la liste puis cliquez sur Suivant.
Au niveau de Rôles de serveurs, cochez la case Accès à distance comme illustré sur l’écran ci-dessous :...
Conclusion
Vous venez de voir dans ce chapitre que pour fournir un accès à distance à vos utilisateurs, il vous faut configurer un serveur d’accès distant. Quand vos utilisateurs se trouvent en dehors de l’entreprise ils peuvent accéder aux ressources internes en utilisant soit une connexion de type Dial-up, soit une connexion VPN, soit DirectAccess.
Windows Server 2016 sait gérer les trois solutions. Il permet en plus de regrouper le serveur VPN et DirectAccess sur le même serveur, ce qui posait problème dans les versions précédentes de Windows Server.
Il inclut un certain nombre d’améliorations au service de routage et accès distant qui rendent le déploiement de DirectAccess aussi simple que possible et facile à intégrer avec une solution VPN classique.
Windows Server 2016 vous permet également avec ses stratégies d’accès, de définir de façon très précise qui se connecte, quand et de quelle façon.
Si vous souhaitez centraliser la sécurité des connexions de vos équipements réseau, Windows Server 2016 assurera le rôle de concentrateur grâce à ses fonctions RADIUS.
En l’associant avec la dernière version de l’OS client de Microsoft (Windows 8.1), vous bénéficierez également de nouvelles fonctions :
-
Auto-triggered...