directaccess - decitre · dans la suite de cet ouvrage, on découvrira que la transition vers ipv6...

Editions ENI

DirectAccessMobilité et nomadisme, mise en œuvre

de la solution Microsoft

CollectionExpert IT

Extrait

© E

diti

ons

ENI -

All

righ

ts r

eser

ved

38Mobilité et nomadisme, mise en œuvre de la solution Microsoft

DirectAccess

Sur Internet, certaines sociétés telles que Google revendiquent uneinfrastructure réseau entièrement basée sur IPv6, en étant parfaitementaccessible de tous les internautes. Le diagramme ci-dessous est issu du sitehttp://www.ipv6actnow.org en charge de la promotion de la migration versIpv6. Il illustre la progression d'IPv6 depuis 2005. La courbe foncée (bleue)indique le nombre de systèmes annonçant des adresses IPv6 alors que lacourbe claire (jaune) indique le nombre total de préfixes IPv6 annoncés surInternet et donc routés.

Remarque

Des statistiques plus précises sont disponibles à cette adresse : http://www.ipv6actnow.org/info/statistics/

Sur les réseaux d'entreprise, l'adoption d'IPv6 est très limitée. Cette situationest due à plusieurs facteurs. Cela implique une refonte de l'infrastructureréseau mais aussi une validation du bon fonctionnement des services etressources mis à disposition des utilisateurs. Pour beaucoup d'entreprises, lamigration vers IPv6 n'est pas encore une priorité. Faut-il pour autant avoirpeur d'IPv6 ?

39L'assemblage des technologiesChapitre 2

Remarque

Le 8 juin 2011, un grand nombre d'acteurs de l'Internet tels que Google,Facebook, Yahoo et bien d'autres ont offert leurs services en IPv6, et ce pourune durée de 24 heures. Ce test grandeur nature a mis en évidence que latransition de ces services Internet vers IPv6 est déjà une réalité.

2.1 Faut-il avoir peur d'IPv6 ?

IPv6 ne doit pas être considéré comme un frein à l'adoption de DirectAccess.Même si DirectAccess repose sur IPv6, cela ne veut pas dire que Microsoft afait le choix d'une rupture totale avec IPv4, bien au contraire. Pour preuve, cer-tains services que nous utilisons tous les jours tels que Google reposent sur desinfrastructures IPv6 comme l'illustre la capture d'écran ci-dessous :

Dans la suite de cet ouvrage, on découvrira que la transition vers IPv6 a étéprévue. Les scénarios de cohabitation existent. Parmi ceux-ci, IPv6 propose desmécanismes de transition vers IPv6 reposant exclusivement sur IPv4. IPv4 estalors utilisé comme transport pour IPv6.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


DirectAccess

2.2 Pourquoi DirectAccess repose-t-il sur IPv6 ?

Cela peut sembler un choix audacieux de la part de Microsoft mais c'est avanttout un choix d'avenir. Lors de l'élaboration de la fonctionnalité, Microsoftpouvait faire le choix de développer sa solution de nomadisme en se basant surIPv4 mais il a choisi d'utiliser IPv6 pour plusieurs raisons.

D'un point de vue historique, les fondations autour d'IPv6 sont issues denormes publiées en 1998. IPv6 n'est donc pas une pile de protocoles réseauxtotalement nouvelle. Début 2011, les derniers blocs d'adresses IPv4 ont étéattribués par l'IANA (Internet Assigned Numbers Authorities). Cela signifiequ'aujourd'hui, nos fournisseurs d'accès à Internet optimisent au mieux la res-source IPv4 qui va devenir rare et donc chère.

La RFC 1918 a permis en partie de traiter le problème de l'expansion rapide del'Internet en définissant des plages réseaux non routées sur Internet. On a dé-claré ces sous-réseaux comme privés. Ils ne sont donc pas accessibles de l'exté-rieur. C'est le rôle des mécanismes de traduction d'adresse qui viennent sepositionner en rupture entre les deux réseaux. Les mécanismes de traductionpermettent de suivre les sessions TCP sortantes et entrantes pour assurer lesfonctions de traduction d'adresse et de port. Or, un certain nombre de nos ap-plications courantes n'acceptent pas la traduction d'adresse (téléphonie sur IPpar exemple). Enfin, les mécanismes de traduction opérant au niveau de lacouche n°3 de la norme OSI, ils ne sont plus en mesure de nous protéger contreles attaques réseaux qui visent la couche n°7 du modèle OSI, à savoir les appli-cations et les données qu'elles renferment.


Remarque

L'objectif de cet ouvrage n'étant pas de couvrir l'intégralité des concepts ré-seau, des informations plus détaillées sont disponibles à cette adresse :http://support.microsoft.com/kb/103884/fr

Les concepts de l'adressabilité et de la connectivité globale ont été abandonnésavec l'introduction de la RFC 1918. Dès lors que l'utilisateur se trouve à l'exté-rieur de l'entreprise, il est nécessaire de mettre en place des mécanismes ré-seaux pour que les ressources soient de nouveau accessibles. Un des principesd'IPv6 est de proposer un adressage réseau permettant à chaque équipementconnecté à un réseau de disposer d'une adresse IPv6 unique. Potentiellement,cette ressource réseau peut être accessible depuis Internet.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


DirectAccess

Le choix de l'IPv6 permet enfin à Microsoft de proposer une approche diffé-rente. Au lieu de se positionner en rupture entre l'utilisateur et la ressource àlaquelle il veut accéder (VPN/SSL ou portail d'applications), DirectAccess sepositionne comme une extension du réseau LAN en direction de l'utilisateur,quelle que soit sa localisation. Cette nouvelle approche permet de proposer àl'utilisateur une expérience de travail unique. L'utilisateur travaille de la mêmemanière qu'il soit localisé sur le LAN ou non, voire que la ressource à laquelleil accède soit accessible en IPv6 ou non.

Remarque

L'utilisateur accèdera à ses ressources internes en IPv6, que cela soit native-ment ou au travers de protocoles de transition vers IPv6 (ISATAP, DNS64/NAT64). Microsoft Forefront Unified Access Gateway 2010 assurera la transitionavec les ressources accessibles uniquement en IPv4.

2.3 Dois-je commencer un projet IPv6 ?

Dès lors que l'on comprend que DirectAccess repose exclusivement sur IPv6,on peut être tenté de se demander s'il est nécessaire de procéder à une mise àniveau vers IPv6.

Pour répondre à cette question, il faut en premier lieu déterminer où est utiliséIPv6. L'illustration représente les flux réseaux de manière très schématique :


On comprend tout de suite qu'il y a un premier usage d'IPv6 qui est fait entrele client Windows 7 et le serveur DirectAccess/UAG. On comprend aussi qu'ily a un second usage d'IPv6 sur notre infrastructure réseau. Microsoft étantconscient qu'il n'était pas possible d'utiliser IPv6 nativement, la solutionretenue est d'utiliser les protocoles de transition vers IPv6. Que ce soit côtéInternet ou côté LAN, ils reposent tous sur la même approche, à savoirl'encapsulation du flux réseau IPv6 dans un flux réseau IPv4. De ce fait leséquipements réseau n'ont pas besoin de comprendre IPv6 à ce niveau.

Avec tous ces éléments, on peut conclure que DirectAccess n'implique pas dedémarrer un projet de mise à niveau de son infrastructure réseau vers IPv6.DirectAccess peut être considéré comme une première approche concrèted'IPv6.

Remarque

Il est possible de déployer DirectAccess sur une infrastructure réseau LAN IPv4mais il est aussi possible de le déployer sur une infrastructure LAN déjà opéra-tionnelle en IPv6.

3. DirectAccess Windows versus DirectAccess UAGMicrosoft communique à propos de DirectAccess autour des produits Micro-soft Windows Server 2008 R2 et Microsoft Forefront Unified Access Gateway2010.

DirectAccess est une technologie qui est présente dans ces deux produits. Laprincipale différence réside dans les fonctionnalités additionnelles offertes parMicrosoft Forefront Unified Access Gateway 2010, qui sont :

– Capacité d'accès à des ressources uniquement accessibles en IPv4 pour l'uti-lisateur.

– Déport de la résolution DNS interne.

– Capacité à proposer une authentification de type One-Time Password(OTP).

– Montée en charge et équilibrage de charge entre plusieurs hôtes.

Editions ENI

Windows Server 2008 R2 Administration avancée

(2ième édition)

CollectionExpert IT

Extrait

2.1 Le choix de l'architecture réseaux

Deux point précis sont à étudier à ce niveau :

- le choix de la zone DNS ;

- le choix de la classe réseau.

2.1.1 La zone DNS

Deux aspects sont importants lors du choix de la zone DNS.

Le nom choisi pour la zone DNS doit correspondre à l’intégralité de l’entité (entre-

prise, groupe, etc.) que l’on souhaite gérer. Ce nom doit pourvoir être accepté par

toutes les entités dépendantes qui vont se retrouver dans cette zone. Le problème

est beaucoup plus politique que technique !

Si une entité n’entre pas dans ce cadre, cela veut dire qu’une zone DNS spécifique

devra lui être affectée.

Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément

public et enregistré, c'est-à-dire utilisant une extension reconnue de type .fr, .com,

.info... !

En revanche, pour un réseau interne, le domaine peut être public ou privé. Le

choix le plus courant est alors d’utiliser un domaine DNS local avec une extension

inconnue sur Internet. L’extension .local est très souvent utilisée sous la forme

MaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile à

réaliser. En revanche, l’utilisation d’un même nom suppose une double administra-

tion, plus complexe, donc des serveurs DNS différents pour ne rendre visible sur

Internet que ce qu’il est souhaitable de montrer.

2.1.2 La classe réseau

Pour tous les réseaux internes, le choix se portera évidemment toujours sur les

classes réseaux privées. Si l’on ne peut pas toujours modifier l’intégralité des

réseaux existants pour des raisons souvent historiques, on peut au moins créer

tous les nouveaux réseaux en suivant cette règle.

La classe du réseau se choisit en fonction du nombre de machines présentes sur le

réseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représente

souvent un bon choix initial. Il est toujours possible de changer de classe, de

réseau ou même surtout d’utiliser plusieurs réseaux en fonction des besoins.

L’usage de TCPIP v6 n’est pas encore bien développé mais deviendra nécessaire

dans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local,

il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait

évoluer très rapidement !

Windows Server 2008 R2Administration avancée

202

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

2.2 L’installation d’un serveur DHCP

Si le service DHCP permet de mettre en place rapidement le réseau choisi, il per-

met aussi de modifier rapidement et globalement une série de paramètres. Il reste

encore quelques irréductibles qui n’utilisent pas ce service, mais c’est maintenant

rarissime.

Parmi les nombreux composants de Windows 2008 R2, le service DHCP est un rôle.

2.2.1 Définition

Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une

adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui

en fait la demande. Selon la configuration, d’autres paramètres tous aussi impor-

tants seront transmis en même temps : les adresses IP de la route par défaut, des

serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine pour ne citer

que les principaux.

DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir

qu’exceptionnellement aux serveurs.

2.2.2 L’installation

Comme pour tous les composants Windows, l’installation peut se faire graphique-

ment ou en mode ligne de commande sans avoir besoin d’insérer le moindre

média.

servermanagercmd –install DHCP

�Remarque

Attention, le service devra être mis en démarrage automatique !

sc \\%COMPUTERNAME% config DHCPServer start= auto

Le service peut ensuite être démarré de manière classique :

NET START DHCPSERVER

Le démarrage du service permet de le rendre accessible et configurable.

Pour que le service DHCP commence à distribuer des adresses, il est indispensable

de configurer et d’activer une étendue.

Attention, si le serveur qui héberge DHCP fait partie d’une forêt Active Directory,

il doit en plus avoir été autorisé par des administrateurs membres du groupe

« Administrateurs de l’entreprise » ou ayant reçu les droits d’administration DHCP.

Le service DHCP, comme les autres services réseaux de références (DNS, WINS),

devrait toujours être installé sur des serveurs disposant d’adresses IP fixes.

Mise en place des services réseaux d'entreprise

Chapitre 5203

2.2.3 La configuration

La console d’administration DHCP est automatiquement installée en même temps

que le service, mais peut aussi être lancée à partir de toute autre machine la

possédant.

Y compris sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs)

que vous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique-

ment.

Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autorisés,

puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.

Les serveurs autorisés apparaissent avec une flèche verte.

Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pour

chaque réseau IP.

Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant le

masque standard 255.255.255.0 !


204

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de

laisser de la place pour les serveurs ou les adresses IP réservées pour les

imprimantes.

La route par défaut fait partie des paramètres habituels liés à l’étendue.

Les options au niveau du serveur contiennent les paramètres qui sont valables

globalement sur toutes les étendues.

Les options de serveur (005,006,015,046) servent de valeurs par défaut, mais sont

remplacées par les options de l’étendue qui ont priorité.


Chapitre 5205

- La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de

recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes de

recherche.

- Le Type de nœud avec la valeur 0x8 configure le mode de résolution hybride.

C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera effectuée en

premier, avec bascule en mode Broadcast en cas d’échec.

Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à

configurer.

Par exemple, lorsque la zone Tentatives de détection de conflit est configurée

avec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi-

ner l’existence éventuelle d’une machine sur cette adresse.


206

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

La mise à jour dynamique des DNS est un élément particulièrement important à

gérer.

Le bouton Configurer permet d’activer la protection des noms lors de l’inscrip-

tion, les mises à jour et la suppression des enregistrements de type A et PTR.

Cette protection n’est effective que si le mode Mise à jour dynamique sécurisé est

actif.

Lorsque les zones de recherche inverses (Reverse ARP) sont créées et utilisées, il est

important de mettre à jour les enregistrements PTR et de ne pas les ignorer

lorsque le bail est supprimé.

La durée du bail sera d’autant plus longue que le nombre d’adresses IP disponibles

est important et que le risque de conflit est limité.


Chapitre 5207

directaccess - decitre · dans la suite de cet ouvrage, on découvrira que la transition vers ipv6...

Documents