E2E : diriger le programme d'installation de l'accès serveur unique avec un environnement mixte IPv4 et IPv6

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 3022362
Avis
Cet article fait partie d'une série d'articles sur la configuration de bout en bout et résolution des problèmes de DirectAccess. Pour obtenir une liste complète de la série, reportez-vous à la section. Configuration de bout en bout et de résolution des problèmes de DirectAccess.
Résumé
Ce guide fournit des instructions pas à pas pour configurer DirectAccess dans un déploiement de serveur unique avec des ressources mixtes IPv4 et IPv6 dans un atelier de test pour illustrer la fonctionnalité de l'expérience de déploiement. Vous configurer et déployer DirectAccess en fonction de la Configuration de Base de Windows Server 2012 à l'aide de cinq ordinateurs de serveur et les deux ordinateurs clients. Le laboratoire de test résultant simule un intranet, Internet et un réseau domestique et montre DirectAccess dans différents scénarios de connexion Internet.

Important Suivez les instructions ci-dessous sont pour la configuration d'un laboratoire de test d'accès distant qui utilise le nombre minimal d'ordinateurs. Les ordinateurs individuels sont nécessaires pour séparer les services fournis sur le réseau et montrer clairement les fonctionnalités souhaitées. Cette configuration n'est pas conçue pour refléter les meilleures pratiques ni il reflète une configuration souhaitée ou recommandée pour un réseau de production. La configuration, y compris les adresses IP et tous les autres paramètres de configuration, est conçue uniquement pour travailler sur un réseau de test distinct. Tentative d'adapter cette configuration de laboratoire de test de l'accès à distance à un déploiement pilote ou de production peut entraîner des problèmes de fonctionnalité ou de configuration.
Informations sur le déploiement

Vue d'ensemble

Dans cet atelier de test, les accès à distance est déployée avec la topologie est la suivante :
  • Un ordinateur qui exécute Windows Server 2012 appelé DC1, est configuré comme un contrôleur de domaine intranet, un serveur de système de nom de domaine (DNS) et un serveur de protocole de Configuration d'hôte dynamique (DHCP).
  • Un serveur membre intranet qui exécute Windows Server 2012 nommé EDGE1 qui est configuré comme un serveur DirectAccess.
  • Un serveur membre intranet qui exécute Windows Server 2012 nommé APP1 qui est configuré comme un serveur web et un serveur d'applications général. App1 est configuré comme une autorité de certification racine entreprise (CA) et que le serveur emplacement réseau (NLS) pour DirectAccess.
  • Un serveur membre intranet qui exécute Windows Server 2008 R2 nommée APP2 qui est configuré comme un serveur d'applications général et d'un serveur web. APP2 est une ressource intranet IPv4 uniquement qui est utilisée pour illustrer les fonctions NAT64 et DNS64.
  • Un serveur autonome qui exécute Windows Server 2012 nommé INET1 qui est configuré comme un serveur DHCP de l'Internet, un serveur DNS et un serveur web.
  • Un ordinateur client membre itinérant qui exécute Windows 8 appelé CLIENT1 qui est configuré comme un client DirectAccess.
  • Un ordinateur client autonome qui exécute Windows 8 nommé NAT1 qui est configuré comme un périphérique de traduction d'adresses réseau à l'aide du partage de connexion Internet.
Le laboratoire de test d'accès distant se compose de trois sous-réseaux qui simulent les éléments suivants :
  • Internet (131.107.0.0/24).
  • Un intranet nommé Corpnet (10.0.0.0/24), (2001:db8:1:: / 64), séparées à partir d'Internet par EDGE1.
  • Un réseau domestique nommé Homenet (192.168.137.0/24) est connecté au sous-réseau Internet à l'aide d'un périphérique NAT.
Sur chaque sous-réseau en se connectant à l'aide d'un concentrateur ou un commutateur. Voir la figure suivante :
Déploiement
Ce laboratoire de test illustre un déploiement de DirectAccess serveur unique sur le réseau intranet, les ressources sont un mélange d'IPv4 et IPv6.

Configuration matérielle et logicielle

Les composants requis de l'atelier de test sont les suivants :
  • Le CD du produit ou des fichiers de Windows Server 2012
  • Le CD du produit ou les fichiers pour Windows 8
  • Le CD du produit ou les fichiers pour Windows Server 2008 R2
  • Six des ordinateurs ou des ordinateurs virtuels qui répondent à la configuration minimale requise pour Windows Server 2012
  • Un ordinateur ou un ordinateur virtuel qui répond à la configuration matérielle requise pour Windows Server 2008 R2

Problèmes connus

Les éléments suivants sont des problèmes connus lorsque vous configurez un laboratoire DirectAccess sur un serveur unique avec Windows Server 2012 :
  • Migration d'une configuration DirectAccess à partir d'un serveur Windows Server 2012 vers un autre n'est pas pris en charge dans cette version et, la console de gestion de l'accès à distance à cesser de répondre et fermer de façon inattendue. Pour contourner ce problème, effectuez les opérations suivantes :
    1. Démarrez l'Éditeur du Registre.
    2. Dans l'Éditeur du Registre, recherchez et puis cliquez sur la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. Supprimer la valeur DWORD DaConfigured .
    4. À partir d'une invite de commandes, exécutez gpupdate /force sur le nouveau serveur DirectAccess.
  • Gestion à partir d'un ordinateur non joint à un domaine par le biais de RSAT n'est pas possible, à moins que le compte de serveur de destination est ajouté à la liste de l'ordinateur non liés à un domaine de WinRM TrustedHosts.
    • Pour ajouter le serveur DirectAccess cible à la liste de l'ordinateur non liés à un domaine de WinRM TrustedHosts, exécutez la commande suivante :
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • Dans cette version, l'Assistant accès à distance sera toujours lier des objets stratégie de groupe (GPO) DirectAccess à la racine du domaine, même si les objets de stratégie de groupe ont été précédemment liés à un autre conteneur dans Active Directory. Si vous souhaitez lier les objets de stratégie de groupe à une unité d'organisation pour le déploiement, supprimer la liaison racine de domaine, puis liez à nouveau l'objet stratégie de groupe à l'unité d'organisation souhaitée une fois l'Assistant terminé. Alternativement, vous pouvez supprimer des autorisations de liaison à la racine du domaine de l'administrateur de DirectAccess avant de configurer DirectAccess.

Étapes de configuration de l'atelier de Test d'accès à distance

Il existe six étapes à suivre lorsque vous paramétrez un laboratoire de test de l'installation rapide accès distant en fonction de l'atelier de test de Configuration de Base de Windows Server 2012.
  1. Configurer le laboratoire de test de Configuration de Base :

    Le laboratoire de test du serveur DirectAccess requiert le Guide de laboratoire de test : Configuration de Base Windows Server 2012 avec Module de mini facultatif : Homenet sous-réseau et Module de mini facultatif : base PKI comme point de départ.
  2. Configurer DC1 :

    DC1 est déjà configuré comme un contrôleur de domaine avec Active Directory et il est le serveur DNS et DHCP pour le sous-réseau de l'intranet. Pour un seul serveur DirectAccess test lab, DC1 doit être configuré pour avoir une adresse IPv6 statique. Un groupe de sécurité sera ajouté à Active Directory pour les ordinateurs des clients DirectAccess.
  3. Configurer APP1 :

    App1 correspond déjà à un serveur membre qui est configuré avec IIS et agit également comme un serveur de fichiers et l'autorité de certification racine entreprise (CA). Pour le laboratoire de test de l'installation rapide des accès à distance, APP1 doit être configuré pour avoir une adresse IPv6 statique.
  4. Configurer APP2 :

    APP2 est configuré comme un serveur web et le fichier pour illustrer une ressource intranet IPv4 uniquement.
  5. Configurer les EDGE1 :

    EDGE1 est déjà un serveur membre. Pour l'atelier de test seul serveur DirectAccess, EDGE1 doit être configuré comme un serveur d'accès distant qui a une adresse IPv6 statique.
  6. Configurer CLIENT1 :

    CLIENT1 est déjà un ordinateur client membre du domaine qui exécute Windows 8. Pour le laboratoire de test de l'installation rapide des accès à distance, CLIENT1 servira pour tester et démontrer l'opération d'accès à distance.
Remarque Vous devez être connecté en tant que membre du groupe Admins du domaine ou en tant que membre du groupe Administrateurs sur chaque ordinateur pour effectuer les tâches décrites dans ce guide. Si vous ne pouvez pas effectuer une tâche alors que vous êtes connecté avec un compte qui est membre du groupe Administrateurs, essayez d'effectuer la tâche alors que vous êtes connecté avec un compte qui est membre du groupe Admins du domaine.
Méthodes de déploiement
Ce guide fournit des étapes permettant de configurer les ordinateurs de la Configuration de Base de Windows Server 2012 atelier de test configuration de l'accès distant de Windows Server 2012 et démonstration de la connectivité des clients à distance. Les sections suivantes fournissent plus d'informations sur la façon d'effectuer ces tâches.

Étape 1: Configurer le laboratoire de Test de Configuration de Base

Configurer le laboratoire de test de Configuration de Base pour les sous-réseaux du réseau d'entreprise et Internet en utilisant les procédures dans les sections « Étapes pour configurer la Corpnet sous-réseau » et « Étapes pour configurer l'Internet sous-réseau » de la Guide de laboratoire de test : Configuration de Base Windows Server 2012.

Configurer le sous-réseau Homenet en utilisant les procédures décrites dans le Module de mini facultatif : Homenet sous-réseau.

Déployer une infrastructure de certificat de base à l'aide de la procédure dans le Module de mini facultatif : base PKI.

Étape 2: Configurer DC1

Configuration de DC1 pour l'atelier de test de déploiement de serveur unique DirectAccess se compose des procédures suivantes :
  • Configurer une adresse IPv6 sur DC1.
  • Créer un groupe de sécurité pour les ordinateurs des clients DirectAccess.
  • Créer un enregistrement DNS serveur d'emplacement de réseau.
  • Créer des règles de pare-feu de demande d'écho ICMPv4 et ICMPv6 dans Stratégie de groupe de domaine.
Les sections suivantes expliquent ces procédures dans le détail.

Configurer une adresse IPv6 sur DC1

Le laboratoire de test de Configuration de Base de Windows Server 2012 n'inclut pas la configuration de l'adresse IPv6. Dans cette étape, ajoutez la configuration des adresses IPv6 pour prendre en charge d'un déploiement DirectAccess.
Pour configurer une adresse IPv6 sur DC1
  1. Dans le Gestionnaire de serveur, cliquez sur Serveur Local dans l'arborescence de la console. Faites défiler vers le haut du volet d'informations, puis cliquez sur le lien en regard de l'Ethernet.
  2. Dans Connexions réseau, droit Ethernet, puis cliquez sur Propriétés.
  3. Cliquez sur Internet Protocol Version 6 (TCP/IPv6), puis cliquez sur Propriétés.
  4. Cliquez sur utiliser l'adresse IPv6 suivante. Dans la zone adresse IPv6, tapez 2001:db8:1::1. Longueur du préfixe de sous-réseau, tapez 64. Dans passerelle par défaut, tapez 2001:db8:1::2. Cliquez sur utiliser l'adresse de serveur DNS suivanteet dans serveur DNS préféré, tapez 2001:db8:1::1, puis cliquez sur OK.
  5. Cliquez sur Internet Protocol Version 4 (TCP/IPv4), puis cliquez sur Propriétés.
  6. Dans passerelle par défaut, tapez 10.0.0.2, puis cliquez sur OK.
  7. Fermez la boîte de dialogue Propriétés de l'Ethernet .
  8. Fermez la fenêtre Connexions réseau .
Démo : Configurer une adresse IPv6 sur DC1


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme. N'oubliez pas que le nom d'interface « Ethernet » peut être différent sur votre ordinateur. Utilisation ipconfig /all pour lister les interfaces.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Étape 3: Créer un groupe de sécurité pour les ordinateurs des clients DirectAccess

Lorsque DirectAccess est configuré, il crée automatiquement des objets de stratégie de groupe contenant des paramètres DirectAccess, et ces fichiers sont appliqués aux serveurs et aux clients DirectAccess. Par défaut, l'Assistant s'applique à l'objet GPO des clients sur les ordinateurs portables uniquement, dans le groupe de sécurité ordinateurs du domaine. Les procédures décrites dans cet atelier n'utilisent pas le paramètre par défaut, mais plutôt de créer un groupe de sécurité de substitution pour les clients DirectAccess.

Pour créer un groupe de sécurité du client DirectAccess

  1. Sur DC1, à partir de l'écran de démarrage , cliquez sur Centre d'administration Active Directory.
  2. Dans l'arborescence de la console, cliquez sur la flèche pour développer corp (local), puis cliquez sur utilisateurs.
  3. Dans le volet tâches , cliquez sur Nouveau, puis cliquez sur groupe.
  4. Dans la boîte de dialogue Créer un groupe, tapez DirectAccessClients nom du groupe.
  5. Faites défiler la liste vers le bas pour accéder à la section membres de la boîte de dialogue Créer un groupe, puis cliquez sur Ajouter.
  6. Cliquez sur Types d'objets, sélectionnez ordinateurs, puis cliquez sur OK.
  7. Tapez CLIENT1, puis cliquez sur OK.
  8. Cliquez sur OK pour fermer la boîte de dialogue Créer un groupe .
  9. Quitter le Centre d'administration Active Directory.


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme.
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

Étape 4: Créer un enregistrement DNS serveur d'emplacement de réseau

Un enregistrement DNS est nécessaire pour résoudre le nom de serveur d'emplacement réseau, qui est situé sur le serveur de APP1.

Pour créer l'enregistrement DNS du serveur d'emplacement de réseau

  1. Cliquez sur Démarrer, puis cliquez sur DNS.
  2. Développez DC1, Zones de recherche directe, puis sélectionnez corp.contoso.com.
  3. Droit corp.contoso.com, puis cliquez sur Nouvel hôte (A ou AAAA).
  4. Sous nom, tapez NLS, sous adresse IP, tapez 10.0.0.3.
  5. Cliquez sur Ajouter un hôteet cliquez sur OK, puis cliquez sur terminé.
  6. Fermez la console Gestionnaire DNS .
Démonstration : Créer un record.mp4 de réseau emplacement serveur DNS


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

Étape 5: Créer des règles de pare-feu demande d'écho ICMPv4 et ICMPv6 dans Stratégie de groupe de domaine

ICMPv4 et ICMPv6 les requêtes d'écho entrantes et sortantes sont requises pour la prise en charge Teredo. Les clients DirectAccess utilisent Teredo en tant que leur technologie de transition IPv6 pour se connecter au serveur DirectAccess sur Internet IPv4 lorsqu'ils sont affectés à une adresse privée (RFC 1918) et qui se trouvent derrière un périphérique NAT ou un pare-feu qui autorise le port UDP sortant 3544. En outre, l'activation de ping facilite le test de connectivité entre les participants à la solution DirectAccess.

Pour créer des règles de pare-feu de trafic entrant ICMPv4 et ICMPv6

  1. À partir de l'écran de démarrage, cliquez sur Gestion des stratégies de groupe.
  2. Dans l'arborescence de la console, développez forêt : corp.contoso.com\Domains\corp.contoso.com.
  3. Sélectionnez les objets de stratégie de groupe.
  4. Dans le volet de détails, cliquez sur Stratégie de domaine par défaut, puis cliquez sur Modifier.
  5. Dans l'arborescence de la console de l'éditeur de gestion de stratégie de groupe, développez Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\pare-feu Windows avec le pare-feu de Security\Windows avancée avec Advanced Security-LDAP://CN=...
  6. Dans l'arborescence de la console, sélectionnez Règles de trafic entrant, cliquez droit sur les Règles de trafic entrant, puis cliquez sur Nouvelle règle.
  7. Dans l'entrée Assistant Nouvelle règle, dans la page Type de règle, cliquez sur personnalisé, puis cliquez sur suivant.
  8. Sur la page du programme, cliquez sur suivant.
  9. Dans la page protocoles et Ports, dans type de protocole, cliquez sur trafic entrant ICMPv4, puis cliquez sur Personnaliser.
  10. Dans la boîte de dialogue Personnaliser les paramètres ICMP, cliquez sur certains types ICMPRequête d'écho, cliquez sur OKet sélectionnez puis cliquez sur suivant.
  11. Cliquez trois fois sur suivant .
  12. Dans la page Nom, dans la zone Nom, tapez Les demandes d'écho ICMPv4 entrantes, puis cliquez sur Terminer.
  13. Dans l'arborescence de la console, cliquez sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.
  14. Dans la page Type de règle, cliquez sur personnalisé, puis cliquez sur suivant.
  15. Sur la page du programme, cliquez sur suivant.
  16. Dans la page protocoles et Ports, dans type de protocole, cliquez sur ICMPv6, puis cliquez sur Personnaliser.
  17. Dans la boîte de dialogue Personnaliser les paramètres ICMP, cliquez sur certains types ICMPRequête d'écho, cliquez sur OKet sélectionnez puis cliquez sur suivant.
  18. Cliquez trois fois sur suivant .
  19. Dans la page Nom, dans la zone Nom, tapez Les demandes d'écho ICMPv6 entrantes, puis cliquez sur Terminer.
  20. Vérifiez que les règles que vous avez créé s'affiche dans le nœud règles de trafic entrant. Fermez l'éditeur de gestion de stratégie de groupe et fermez la console Gestion de stratégie de groupe.
Démonstration :Créer ICMPv4 et ICMPv6 les règles de pare-feu


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme. Sachez que ces commandes sont requises sur chaque ordinateur du réseau d'entreprise et ne configurez pas les paramètres de stratégie de groupe :
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

Étape 6: Configurer APP1

Configuration du laboratoire de test de déploiement de serveur unique DirectAccess App1 comprend les procédures suivantes :
  • Configurer une adresse IPv6 dans APP1.
  • Configurer les autorisations du modèle de certificat de serveur Web.
  • Obtenez un certificat supplémentaire de APP1.
  • Configurer la liaison de sécurité HTTPS.
Les sections suivantes expliquent ces procédures dans le détail.

Configurer une adresse IPv6 dans APP1

Le laboratoire de test de Configuration de Base de Windows Server 2012 n'inclut pas la configuration de l'adresse IPv6. Dans cette étape, ajoutez la configuration des adresses IPv6 pour prendre en charge d'un déploiement DirectAccess.
Pour configurer une adresse IPv6 dans APP1
  1. Dans le Gestionnaire de serveur, cliquez sur Serveur Local dans l'arborescence de la console. Faites défiler vers le haut du volet d'informations, puis cliquez sur le lien en regard de l'Ethernet.
  2. Dans Connexions réseau, droit Ethernet, puis cliquez sur Propriétés.
  3. Cliquez sur Internet Protocol Version 6 (TCP/IPv6), puis cliquez sur Propriétés.
  4. Cliquez sur utiliser l'adresse IPv6 suivante. Dans la zone adresse IPv6, tapez 2001:db8:1::3. Longueur du préfixe de sous-réseau, tapez 64. Dans passerelle par défaut, tapez 2001:db8:1::2. Cliquez sur utiliser l'adresse de serveur DNS suivanteet dans serveur DNS préféré, tapez 2001:db8:1::1. Cliquez sur OK.
  5. Cliquez sur Internet Protocol Version 4 (TCP/IPv4), puis cliquez sur Propriétés.
  6. Dans passerelle par défaut, tapez 10.0.0.2, puis cliquez sur OK.
  7. Fermez la boîte de dialogue Propriétés de l'Ethernet .
  8. Fermez la fenêtre Connexions réseau .
Démo : Configurer une adresse IPv6 dans APP1


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme. N'oubliez pas que le nom d'interface « Ethernet » peut être différent sur votre ordinateur. Utilisation ipconfig /all pour lister les interfaces.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Configurer les autorisations du modèle de certificat de serveur Web

Ensuite, configurez les autorisations sur le modèle de certificat de serveur Web afin que les ordinateurs demandeur peuvent spécifier le nom du sujet d'un certificat.
Pour configurer les autorisations du modèle de certificat de serveur Web
  1. Dans APP1, à partir de l'écran de démarrage, cliquez sur Autorité de Certification.
  2. Dans le volet d'informations, développez corp-APP1-CA.
  3. Cliquez sur Modèles de certificats, puis cliquez sur gérer.
  4. Dans la console Modèles de certificats, cliquez sur le modèle de Serveur Web , puis cliquez sur Propriétés.
  5. Cliquez sur l'onglet sécurité , puis cliquez sur Utilisateurs authentifiés.
  6. Dans autorisations pour utilisateurs authentifiés, cliquez sur inscrire sous Autoriser, puis cliquez sur OK.

    Remarque Le groupe Utilisateurs authentifiés est configuré ici par souci de simplicité dans l'atelier de test. Dans un déploiement réel, vous devez spécifier le nom d'un groupe de sécurité qui contient les comptes d'ordinateurs des ordinateurs de votre organisation qui peuvent demander des certificats personnalisés. Cela inclut le serveur DirectAccess et le serveur d'emplacement réseau.
  7. Fermez la console Modèles de certificats.
Démo : Configurer les autorisations du modèle de certificat de serveur Web

Obtenir un certificat supplémentaire dans APP1

Obtenir un certificat supplémentaire pour APP1 avec un autre nom pour l'emplacement réseau et un objet personnalisé.
Pour obtenir un certificat supplémentaire pour APP1
  1. À partir de l'écran de démarrage, tapez mmc et appuyez sur ENTRÉE.
  2. Cliquez sur fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Cliquez sur certificatset cliquez sur Ajouter, sélectionnez compte d'ordinateur, cliquez sur suivant, sélectionnez l'ordinateur Local, cliquez sur Terminer, puis cliquez sur OK.
  4. Dans l'arborescence de la console de composant logiciel enfichable Certificats, ouvrez les certificats (ordinateur Local) \Personal\Certificates.
  5. Cliquez sur certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.
  6. Cliquez deux fois sur suivant .
  7. Sur la page de Demande de certificats , cliquez sur Serveur Web, puis cliquez sur inscrire pour ce certificat nécessite des informations supplémentaires.
  8. Sous l'onglet objet de la boîte de dialogue Propriétés du certificat , dans nom de l'objet, de Type, sélectionnez Nom commun.
  9. Dans valeur, tapez nls.corp.contoso.com, puis cliquez sur Ajouter.
  10. Cliquez sur OK, cliquez sur s'inscrire, puis cliquez sur Terminer.
  11. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat avec le nom nls.corp.contoso.com a été inscrit avec les Rôles prévus de L'authentification du serveur.
  12. Fermez la fenêtre de console. Si vous êtes invité à enregistrer les paramètres, cliquez sur non.
Démo : Obtenir une attestation supplémentaire dans APP1

Configurer la liaison de sécurité HTTPS

Ensuite, vous configurez la liaison de sécurité HTTPS afin que APP1 puisse agir en tant que serveur d'emplacement réseau.
Pour configurer la liaison de sécurité HTTPS
  1. À partir de l'écran de démarrage, cliquez sur Gestionnaire des Services Internet (IIS).
  2. Dans l'arborescence de la console du Gestionnaire des Services Internet (IIS), ouvrez APP1/Sites, puis cliquez sur site Web par défaut.
  3. Dans le volet Actions , cliquez sur liaisons.
  4. Dans la boîte de dialogue Liaisons de Site , cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une liaison de Site , dans la liste Type , cliquez sur https. Dans le Certificat SSL, cliquez sur le certificat avec le nom nls.corp.contoso.com. Cliquez sur OK, puis cliquez sur Fermer.
  6. Fermez la console Gestionnaire des Services Internet (IIS).
Démo : Configurer la sécurité HTTPS dans APP1 de liaison

Étape 7: Installer et configurer APP2

APP2 est un ordinateur Windows Server 2008 R2 Entreprise Edition fonctionne comme un hôte IPv4 uniquement et est utilisé pour illustrer la connectivité DirectAccess aux ressources IPv4 uniquement en utilisant les fonctions DNS64 et NAT64. APP2 héberge des ressources HTTP et SMB que l'ordinateur client DirectAccess sera en mesure d'accéder à partir de l'Internet simulé. La fonctionnalité de NAT64/DNS64 valeur permet aux entreprises de déployer DirectAccess sans avoir à mettre à niveau les ressources réseau IPv6 natif ou même IPv6 capable.

Configuration de APP2 pour l'atelier de test du serveur DirectAccess se compose des procédures suivantes :
  • Créer un dossier partagé sur APP2.
  • Installer les services web IIS.
Les sections suivantes expliquent ces procédures dans le détail.

Créer un dossier partagé sur APP2

La première étape consiste à créer un dossier de partage sur APP2. APP2 permet de démontrer la connectivité HTTP via la connexion de DirectAccess à un hôte IPv4 uniquement.
  1. Sur APP2, ouvrez L'Explorateur Windows.
  2. Recherchez le lecteur C:.
  3. Cliquez avec le bouton droit de la souris sur l'espace de la fenêtre, pointez sur Nouveauet cliquez sur dossier.
  4. Tapez Fichiers et appuyez sur ENTRÉE.
  5. Cliquez droit sur fichiers et choisissez Propriétés.
  6. Dans la boîte de dialogue Des propriétés de fichiers , sur le partage , cliquez sur partage.... AjouterTout le monde pour en lecture autorisation, puis cliquez sur partage.
  7. Double-cliquez sur la fichiers dossier.
  8. Cliquez avec le bouton droit de la souris sur l'espace de la fenêtre, pointez sur Nouveau, puis cliquez sur Document texte.
  9. Double-cliquez sur la Nouveau document texte.txt fichier.
  10. Dans la Nouveau document texte.txt – Bloc-notes fenêtre, entrezIl s'agit d'un document texte de APP2, un serveur IPv4.
  11. Fermez le bloc-notes. Dans la boîte de dialogue Bloc-notes, cliquez sur Oui pour enregistrer les modifications.
  12. Fermez l'Explorateur Windows.

Installer les services web IIS sur APP2

Ensuite, configurez APP2 comme un serveur web.
  1. Sur APP2, ouvrez Le Gestionnaire de serveur.
  2. Cliquez sur rôles, puis cliquez sur Ajouter des rôles.
  3. Dans Assistant Ajout de rôles fenêtre, cliquez sur suivant.
  4. Sélectionnez Serveur Web (IIS), puis cliquez sur suivant.
  5. Cliquez sur Suivant deux fois, puis cliquez sur installer.
Démo : Installer et configurer APP2

Étape 8: Configurer EDGE1

Configuration de EDGE1 pour le laboratoire de test de déploiement de serveur unique DirectAccess se compose des procédures suivantes :
  • Configurer une adresse IPv6 sur EDGE1.
  • EDGE1 de disposition avec un certificat pour IP-HTTPS.
  • Installez le rôle de l'accès distant sur EDGE1.
  • Configurer DirectAccess sur EDGE1.
  • Vérifiez les paramètres de stratégie de groupe.
  • Confirmez les paramètres IPv6.
Les sections suivantes expliquent ces procédures dans le détail.

Configurer une adresse IPv6 sur EDGE1

Le laboratoire de test de Configuration de Base de Windows Server 2012 n'inclut pas la configuration de l'adresse IPv6. Dans cette étape, ajoutez la configuration d'adresse IPv6 à EDGE1 pour prendre en charge d'un déploiement DirectAccess.
Pour configurer une adresse IPv6 sur EDGE1
  1. Dans le Gestionnaire de serveur, cliquez sur Serveur Local dans l'arborescence de la console. Faites défiler vers le haut du volet d'informations, puis cliquez sur le lien en regard de réseau d'entreprise.
  2. Dans Connexions réseau, droit de réseau d'entreprise, puis cliquez sur Propriétés.
  3. Cliquez sur Internet Protocol Version 6 (TCP/IPv6), puis cliquez sur Propriétés.
  4. Cliquez sur utiliser l'adresse IPv6 suivante. Dans la zone adresse IPv6, tapez 2001:db8:1::2. Longueur du préfixe de sous-réseau, tapez 64. Cliquez sur utiliser l'adresse de serveur DNS suivanteet dans serveur DNS préféré, tapez 2001:db8:1::1. Cliquez sur OK.
  5. Fermez la boîte de dialogue Propriétés du réseau d'entreprise .
  6. Fermez la fenêtre Connexions réseau .
Démonstration :Configurer une adresse IPv6 sur EDGE1


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme. N'oubliez pas que le nom d'interface « Ethernet » peut être différent sur votre ordinateur. Utilisation ipconfig /all pour lister les interfaces.
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

EDGE1 de disposition avec un certificat pour IP-HTTPS.

Un certificat est requis pour authentifier le port d'écoute IP-HTTPS lorsque les clients se connectent via HTTPS.
Préparer un modèle de certificat
  1. Dans App1, à partir de l'écran de démarrage, tapez MMC, puis appuyez sur ENTRÉE.
  2. Cliquez sur fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Cliquez sur Modèles de certificats, cliquez sur Ajouter, puis cliquez sur OK.
  4. Cliquez sur les modèles de certificats dans le panneau de gauche. Dans le panneau Détails, cliquez droit sur la ordinateur modèle et cliquez sur Modèle dupliqué.
  5. Cliquez sur le nom de l'objet onglet, puis cliquez sur option de fournir dans la demande . Cliquez sur OK.
  6. Cliquez sur le générale onglet et tapezModèle de DA sous le nom complet du modèle.
  7. Cliquez sur OK.
  8. Dans la fenêtre de la console MMC, cliquez sur fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  9. Cliquez sur Autorité de Certification, cliquez sur Ajouter, cliquez sur ordinateur Local: (l'ordinateur cette console s'exécute)et cliquez sur Terminer, puis cliquez sur OK.
  10. Développez Corp-APP1-autorité de certification, cliquez avec le bouton droit de la souris sur Modèle de certificat, sélectionnez Nouveau, cliquez sur Modèle de certificat à délivrer.
  11. Sélectionnez le modèle de DAet cliquez sur OK.
Démo : Préparer un modèle de certificat
Pour installer un certificat IP-HTTPS sur EDGE1
  1. Sur EDGE1, à partir de l'écran de démarrage, tapez console MMC, et appuyez sur ENTRÉE.
  2. Cliquez sur fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Cliquez sur certificatset cliquez sur Ajouter, cliquez sur compte d'ordinateur, cliquez sur suivant, sélectionnez l'ordinateur Local, cliquez sur Terminer, puis cliquez sur OK.
  4. Dans l'arborescence de la console de composant logiciel enfichable Certificats, ouvrez les certificats (ordinateur Local) \Personal\Certificates.
  5. Cliquez sur certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.
  6. Cliquez deux fois sur suivant .
  7. Sur la page de demande de certificats, cliquez sur modèle pour DA, puis cliquez sur inscrire pour ce certificat nécessite des informations supplémentaires.
  8. Sous l'onglet objet de la boîte de dialogue Propriétés du certificat, dans nom de l'objet, de Type, sélectionnez Nom commun.
  9. Dans valeur, tapez edge1.contoso.com, puis cliquez sur Ajouter.
  10. Dans la zone nom de substitution , sous Type, sélectionnez DNS.
  11. Dans valeur, tapez edge1.contoso.com, puis cliquez sur Ajouter.
  12. Sous l'onglet Général , sous nom convivial, tapez Certificat IP-HTTPS.
  13. Cliquez sur OK, cliquez sur s'inscrire, puis cliquez sur Terminer.
  14. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat avec nom edge1.contoso.com a été inscrit avec les rôles prévus de L'authentification du serveur, l'authentification du Client.
  15. Fermez la fenêtre de console. Si vous êtes invité à enregistrer les paramètres, cliquez sur non.
Remarque Si vous ne voyez pas le modèle pour DA , vérifiez les éléments suivants :
  • Vérifiez si le compte d'utilisateur a l'autorisation d'inscrire le modèlede DA .
  • Vérifier si le modèle de certificat a été ajouté à l'autorité de certification.
Démo : Installer un certificat IP-HTTPS sur EDGE1

Installer le rôle de serveur d'accès distant sur le EDGE1

Le rôle de serveur d'accès distant de Windows Server 2012 combine la fonctionnalité DirectAccess et le service de rôle RRAS dans un nouveau rôle de serveur unifiée. Ce nouveau rôle de serveur d'accès distant permet de centraliser l'administration, la configuration et analyse de DirectAccess et distant VPN utilisant accéder aux services. Utilisez la procédure suivante pour installer le rôle de l'accès distant sur EDGE1.
Pour installer le rôle de serveur d'accès distant sur le EDGE1
  1. Dans la console du tableau de bord de Server Manager, sous configurer ce serveur local, cliquez sur Ajouter des rôles et fonctionnalités.
  2. Cliquez sur suivant trois fois pour atteindre l'écran de sélection de rôle de serveur.
  3. Dans la boîte de dialogue Sélectionner des rôles de serveur , sélectionnez Accès à distance, cliquez sur Ajouter des fonctionnalités lorsque vous y êtes invité, puis cliquez sur suivant.
  4. Cliquez sur suivant cinq fois pour accepter les paramètres par défaut pour les fonctionnalités, services de rôle d'accès à distance et les services de rôle de serveur web.
  5. Sur l'écran de Confirmation, cliquez sur installer.
  6. Attendez que l'installation des fonctionnalités effectuer, puis cliquez sur Fermer.
vidéo


Remarque L'applet de commande Windows PowerShell ou les applets de commande suivantes effectuent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles apparaissent justifiées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Install-WindowsFeature RemoteAccess -IncludeManagementTools

Configurer DirectAccess sur EDGE1

Configurer DirectAccess dans un déploiement de serveur unique à l'aide de l'Assistant de configuration d'accès distant.
Pour configurer DirectAccess sur EDGE1
  1. À partir de l'écran de démarrage, cliquez sur Gestion de l'accès à distance.
  2. Dans la console Gestion de l'accès à distance, cliquez sur exécuter l'Assistant de configuration de l'accès à distance.
  3. Dans l'Assistant de configuration de l'accès à distance, cliquez sur Déploiement de DirectAccess uniquement.
  4. Sous « Étape 1 distant Clients », cliquez sur configurer.
  5. Sélectionnez déploiement DirectAccess complet pour l'accès client et de gestion à distance, puis cliquez sur suivant.
  6. Dans l'écran de sélection de groupes, cliquez sur Ajouter, type DirectAccessClients, cliquez sur OK, puis cliquez sur suivant.
  7. Sur l'écran de l'Assistant connexion réseau, en regard du nom de connexion de DirectAccess, tapez Connexion de Contoso DirectAccess. Cliquez sur Terminer.
  8. Sous « Étape 2 DirectAccess Server », cliquez sur configurer.
  9. Vérifiez que le bord est sélectionné en tant que la topologie du réseau. Tapez edge1.contoso.com comme le nom public auquel les clients d'accès distant va se connecter. Cliquez sur suivant.
  10. Sur l'écran de cartes réseau, attendez que l'Assistant remplir les interfaces Internet et le réseau d'entreprise. Vérifiez que CN=edge1.contoso.com est le certificat sélectionné automatiquement pour authentifier les connexions IP-HTTPS. Cliquez sur suivant.
  11. Sur l'écran de Configuration de préfixe, cliquez sur suivant.
  12. Sur l'écran d'authentification, sélectionnez utiliser des certificats ordinateur, puis cliquez sur Parcourir.
  13. Sélectionnez corp-APP1-CAet cliquez sur OK, puis cliquez sur Terminer.
  14. Sous « Étape 3 Infrastructure serveurs », cliquez sur configurer.
  15. Pour l'URL du serveur d'emplacement réseau, tapez https://nls.corp.contoso.com, puis cliquez sur Valider.
  16. Une fois la connectivité à l'URL de NLS sur APP1 est validée avec succès, cliquez sur suivant.
  17. Cliquez sur suivant deux fois de suite pour accepter les paramètres par défaut de DNS et de gestion, puis cliquez sur Terminer.
  18. En bas de l'écran de configuration d'accès distant, cliquez sur Terminer.
  19. Dans la boîte de dialogue Analyse d'accès à distance , cliquez sur Appliquer.
  20. Une fois l'Assistant de configuration d'accès distant est terminé, cliquez sur Fermer.
  21. Dans l'arborescence de la console de gestion de l'accès distant, sélectionnez l'État des opérations. Attendez que l'état de tous les moniteurs affiche « Utilisation ». Dans le volet de tâches, sous suivi, cliquez sur Actualiser régulièrement pour mettre à jour l'affichage.
Démonstration :Configurer l'accès Direct sur EDGE1


Remarque Dans cette version de Windows Server 2012, l'état des cartes réseau peut-être être de couleur jaune et non verte. Pour vous assurer que l'état des cartes réseau est affiché comme « Actif », ouvrez une invite de commandes avec élévation de privilèges, tapez la commande suivante et puis appuyez sur ENTRÉE :
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

Vérifiez les paramètres de stratégie de groupe

L'Assistant DirectAccess configure les objets stratégie de groupe et les paramètres qui sont déployés automatiquement à l'aide d'Active Directory pour le serveur d'accès distant et les clients DirectAccess.

Pour examiner les paramètres de stratégie de groupe créés par l'Assistant DirectAccess

  1. Sur EDGE1, à partir de l'écran de démarrage, cliquez sur Gestion des stratégies de groupe.
  2. Développez forêt : corp.contoso.com, développez domaines, développez corp.contoso.comet puis développez Objets de stratégie de groupe.
  3. L'Assistant Installation de l'accès à distance crée deux nouveaux objets de stratégie de groupe. Paramètres des clients DirectAccess est appliqué aux membres du groupe de sécurité DirectAccessClients. Paramètres du serveur DirectAccess est appliquée au serveur DirectAccess de EDGE1. Vérifiez que le filtrage de sécurité correcte est effectué pour chacun de ces objets de stratégie de groupe en cliquant sur l'objet de stratégie de groupe puis affichez les entrées dans la section Filtrage de sécurité , sous l'onglet étendue dans le volet détails de la console.
  4. À partir de l'écran de démarrage, tapez WF.msc, puis appuyez sur ENTRÉE.
  5. Dans la console Pare-feu Windows avec fonctions avancées de sécurité , notez que profil de domaine est actif et que profil Public est actif. Assurez-vous que le pare-feu Windows est activé et que le domaine et les profils publics sont actifs. Si le pare-feu Windows est désactivé, ou si le domaine ou les profils publics sont désactivées, puis DirectAccess ne fonctionnera pas correctement.
  6. Dans l'arborescence de la console Pare-feu Windows avec sécurité avancée , cliquez sur le nœud Règles de sécurité de connexion . Le volet détails de la console affichera deux règles de sécurité de connexion : Stratégie de DirectAccess-DaServerToCorpet DirectAccess stratégie-DaServerToInfra. La première règle est utilisée pour établir le tunnel intranet et la deuxième règle est du tunnel de l'infrastructure. Les deux règles sont remis à l'EDGE1 à l'aide de stratégie de groupe.
  7. Fermez la console Pare-feu Windows avec sécurité avancée .
Démo : Vérifier les paramètres de stratégie de groupe

Confirmer les paramètres IPv6

  1. Dans EDGE1, à partir de la barre des tâches, avec le bouton droit de Windows PowerShellet puis cliquez sur Exécuter en tant qu'administrateur.
  2. Dans la fenêtre Windows PowerShell, tapez Get-NetIPAddress et appuyez sur ENTRÉE.
  3. La sortie affiche les informations relatives à la configuration de réseau EDGE1. Il existe plusieurs sections d'intérêt :
    • La section carte 6TO4 affiche des informations qui inclut l'adresse IPv6 globale qui est utilisé par EDGE1 sur son interface externe.
    • La section IPHTTPSInterface affiche des informations sur l'interface IP-HTTPS.
  4. Pour afficher des informations sur l'interface Teredo sur EDGE1, tapez : netsh interface Teredo Afficher état et appuyez sur ENTRÉE. La sortie doit inclure une entrée état : en ligne.
Démo : Vérifier les paramètres IPv6

Étape 9: Connectez Client1 au sous-réseau du réseau d'entreprise et la stratégie de groupe de mise à jour

Pour recevoir les paramètres DirectAccess, CLIENT1 doit mettre à jour ses paramètres de stratégie de groupe lorsqu'il est connecté au sous-réseau du réseau d'entreprise.

Pour mettre à jour la stratégie de groupe sur CLIENT1 et appliquer des paramètres DirectAccess

  1. Connectez CLIENT1 au sous-réseau du réseau d'entreprise.
  2. Redémarrez l'ordinateur CLIENT1 pour mettre à jour la stratégie de groupe et l'appartenance au groupe de sécurité lorsqu'il est connecté au sous-réseau du réseau d'entreprise. Après avoir redémarré, ouvrez une session en tant que CORP\User1.
  3. À partir de l'écran de démarrage, tapez PowerShell, cliquez sur Windows PowerShell, puis cliquez sur Exécuter en tant qu'administrateur.
  4. Tapez Get-DnsClientNrptPolicy et appuyez sur ENTRÉE. Les entrées de la Table de stratégie de résolution de noms (NRPT) pour DirectAccess sont affichées. Notez que l'exemption de serveur NLS est affichée en tant que NLS.corp.contoso.com. Il s'agit de l'alias utilisé pour le serveur APP1. Tous les autres noms pour corp.contoso.com utilise l'adresse IPv6 du serveur EDGE1 (2001:db8::1::2) lorsqu'à l'extérieur du réseau d'entreprise interne.
  5. Tapez Get-NCSIPolicyConfiguration et appuyez sur ENTRÉE. Les paramètres d'indicateur de statut de connectivité réseau déployés par l'Assistant sont affichés. Notez que la valeur de DomainLocationDeterminationURL est https://NLS.corp.contoso.com. Chaque fois que cette URL de serveur d'emplacement réseau est accessible, le client vérifiera qu'il est à l'intérieur du réseau d'entreprise, et que les paramètres NRPT ne seront pas appliquées.
  6. Tapez Get-DAConnectionStatus et appuyez sur ENTRÉE. Dans la mesure où le client peut atteindre l'URL de serveur d'emplacement réseau, l'état s'affichera en tant que ConnectedLocally.
Démo : Connectez Client1 au sous-réseau du réseau d'entreprise et la stratégie de groupe de mise à jour

Une fois que vous connectez l'ordinateur client sur le sous-réseau du réseau d'entreprise et que vous redémarrez, regardez la vidéo de démonstration suivante :

Étape 10 : Connectez CLIENT1 au sous-réseau Internet et tester l'accès à distance

Pour tester la connectivité d'accès à distance à partir d'Internet, déplacez la connexion CLIENT1 au sous-réseau Internet.

Pour tester l'accès à distance à partir d'Internet

  1. Connectez CLIENT1 au sous-réseau Internet. Une fois le processus de détermination de réseau terminée, l'icône de réseau doit indiquer l'accès à Internet.
  2. Dans la fenêtre PowerShell, tapez Get-DAConnectionStatus et appuyez sur ENTRÉE. L'état doit être affiché en tant que ConnectedRemotely.
  3. Cliquez sur l'icône réseau dans la zone de Notification système. N'oubliez pas que la Connexion de DirectAccess Contoso est répertorié comme connecté. C'est le nom de connexion que nous avons fournis dans l'Assistant DirectAccess.
  4. Cliquez droit sur la Connexion de DirectAccess Contoso et puis cliquez sur Propriétés. N'oubliez pas que l'état est affiché comme connecté.
  5. À partir de l'invite de PowerShell, tapez ping inet1.isp.example.com et appuyez sur ENTRÉE pour vérifier la connectivité et la résolution des noms Internet. Vous devez recevoir quatre réponses de 131.107.0.1.
  6. Tapez ping app1.corp.contoso.com et appuyez sur ENTRÉE pour vérifier la connectivité et la résolution de noms intranet d'entreprise. APP1 étant une ressource d'intranet IPv6 est activé, la réponse ICMP est à partir de l'adresse IPv6 d'APP1 (2001:db8:1::3).
  7. Tapez ping app2.corp.contoso.com et appuyez sur ENTRÉE pour vérifier la résolution de noms et de connectivité au serveur de fichiers intranet Windows Server 2003. Notez le format de l'adresse IPv6 retournée. L'adresse de NAT64 créé dynamiquement de APP2 APP2 est une ressource intranet IPv4 uniquement, est retournée. Le préfixe créé dynamiquement attribué par DirectAccess pour NAT64 seront dans le formulaire fdxx:xxxx:xxxx:7777:: / 96.
  8. Cliquez sur l'icône Internet Explorer pour le démarrer. Vérifiez que vous pouvez accéder au site Web de http://inet1.isp.example.com. Ce site est en cours d'exécution sur le serveur Internet de INET1 et valide la connectivité Internet en dehors de DirectAccess.
  9. Vérifiez que vous pouvez accéder au site Web de http://app1.corp.contoso.com. Ce site est en cours d'exécution sur le serveur d'APP1 et valide la connectivité DirectAccess sur un serveur web de IPv6 interne.
  10. Vérifiez que vous pouvez accéder au site Web de http://app2.corp.contoso.com. Vous devez voir la page Web « En Construction » IIS par défaut, validation de connectivité DirectAccess sur un serveur web interne de IPv4 uniquement.
  11. À partir de la barre des tâches, cliquez sur l'icône de L'Explorateur Windows .
  12. Dans la barre d'adresses, tapez \\app1\Files et appuyez sur ENTRÉE.
  13. Vous devriez voir une fenêtre de dossier avec le contenu du dossier fichiers partagé.
  14. Dans la fenêtre de dossier partagé les fichiers , double-cliquez sur le fichier exemple.txt . Vous devriez voir le contenu du fichier exemple.txt.
  15. Fermez la fenêtre de l'exemple - le bloc-notes .
  16. Dans la barre d'adresses de l'Explorateur Windows, tapez \\app2\Files et appuyez sur ENTRÉE.
  17. Dans la fenêtre de dossier partagé les fichiers , double-cliquez sur le fichier Nouveau document texte.txt . Vous devriez voir le contenu du document partagé sur le serveur IPv4 uniquement.
  18. Fermez le Nouveau Document texte - bloc-notes et les fenêtres de dossier de fichiers partagés.
  19. Dans la fenêtre PowerShell, tapez Get-NetIPAddress puis appuyez sur ENTRÉE pour examiner la configuration du client IPv6.
  20. Tapez Get-NetTeredoState et appuyez sur ENTRÉE pour examiner la configuration de Teredo. Notez que le nom du serveur Teredo est edge1.contoso.com, et le nom DNS peut être résolu de l'extérieur du serveur EDGE1.
  21. Tapez Get-NetIPHTTPSConfiguration et appuyez sur ENTRÉE. Examiner les paramètres appliqués par la stratégie de groupe pour indiquer au client https://edge1.contoso.com:443/IPHTTPS.
  22. Tapez WF.msc puis appuyez sur ENTRÉE pour démarrer le pare-feu Windows avec la console de sécurité avancée. Développez la surveillance, puis Les Associations de sécurité pour examiner les sa IPsec établie. Notez que les méthodes d'authentification utilisées sont Kerberos de l'ordinateur et utilisateur Kerberos, certificat d'ordinateur et d'utilisateur Kerberos.
  23. Dans l'arborescence de la console, sélectionnez Règles de sécurité de connexion . Examinez les règles utilisées pour fournir une connectivité de DirectAccess.
  24. Fermez le pare-feu Windows avec la console de sécurité avancée.
Démo : Connectez CLIENT1 au sous-réseau Internet et tester l'accès à distance

Une fois que vous vous connectez à l'ordinateur client au sous-réseau Internet, regardez la vidéo de démonstration suivante :

Étape 11 : Connectez CLIENT1 au sous-réseau Homenet et tester l'accès à distance

Pour tester la connectivité d'accès à distance à partir d'un réseau domestique simulé derrière un NAT, déplacez la connexion CLIENT1 au sous-réseau Homenet.

Pour tester l'accès à distance à partir du réseau domestique

  1. Connectez CLIENT1 au sous-réseau Homenet. Dès que le processus de détermination de réseau terminée, l'icône de réseau doit indiquer l'accès à Internet.
  2. Dans la fenêtre PowerShell, tapez Get-DAConnectionStatus et appuyez sur ENTRÉE. L'état est affiché en tant que ConnectedRemotely.
  3. Cliquez sur l'icône réseau dans la zone de Notification système. N'oubliez pas que la Connexion de DirectAccess Contoso est répertorié comme connecté. Cliquez droit sur la Connexion de DirectAccess Contoso et puis cliquez sur Propriétés. N'oubliez pas que le statut est répertorié comme connecté.
  4. Tapez ping app1.corp.contoso.com et appuyez sur ENTRÉE pour vérifier la connectivité à une ressource interne de IPv6 et la résolution de noms intranet d'entreprise.
  5. Tapez ping app2.corp.contoso.com et appuyez sur ENTRÉE pour vérifier la connectivité à une ressource IPv4 interne et la résolution de noms intranet d'entreprise.
  6. Cliquez sur l'icône Internet Explorer pour démarrer Internet Explorer. Vérifiez que vous pouvez accéder aux sites Web http://inet1.isp.example.com, http://app1.corp.contoso.com et http://app2.corp.contoso.com.
  7. À partir de la barre des tâches, cliquez sur l'icône de L'Explorateur Windows .
  8. Vérifiez que vous pouvez accéder à des fichiers partagés dans \\APP1\Files et \\APP2\Files.
  9. Fermez la fenêtre de l'Explorateur Windows.
  10. Dans la fenêtre PowerShell, tapez Get-NetIPAddress puis appuyez sur ENTRÉE pour examiner la configuration du client IPv6.
  11. Tapez Get-NetTeredoState et appuyez sur ENTRÉE pour examiner la configuration de Teredo. Notez que l'état de Teredo est répertoriée comme qualifié.
  12. Tapez ipconfig et appuyez sur ENTRÉE. N'oubliez pas que dans ce déploiement derrière un NAT, le client DirectAccess se connecte par le biais de la carte de tunnel Teredo.
Démo : Connectez CLIENT1 au sous-réseau Homenet et tester l'accès à distance :

Une fois que vous vous connectez à l'ordinateur client au sous-réseau Homenet, voir la vidéo de démonstration suivante.

Étape 12 : Surveiller la connexion client sur le serveur DirectAccess de EDGE1

La Console de gestion de l'accès distant dans Windows Server 2012 fournit des fonctionnalités pour les connexions DirectAccess et de VPN de surveillance de l'état client distant.

Pour surveiller la connexion client sur EGDE1

  1. À partir de l'écran de démarrage, cliquez sur Gestion de l'accès à distance.
  2. Dans la console Gestion de l'accès distant, sélectionnez le tableau de bord.
  3. Examinez les données collectées dans l'État de Client à distance.
  4. Dans la console Gestion de l'accès distant, sélectionnez État de Client à distance.
  5. Double-cliquez sur la connexion de CLIENT1 pour afficher la boîte de dialogue statistiques détaillées de client à distance.
Démo : Contrôler la connexion du client sur EGDE1

Facultatif : Instantané de la Configuration

Cela termine le déploiement de DirectAccess simplifié dans un atelier de test d'environnement IPv4 uniquement. Pour enregistrer cette configuration afin que vous pouvez revenir rapidement à une accès à distance de travail configuration à partir de laquelle vous pouvez tester d'autres accès distant modulaire guides de laboratoires (TLGs), des extensions TLG, de test ou pour votre propre expérimentation et de la formation, effectuez les opérations suivantes :

1. sur tous les ordinateurs physiques ou des ordinateurs virtuels dans le laboratoire de test, fermez toutes les fenêtres et puis exécuter un arrêt progressif.

2. Si votre laboratoire est basé sur les machines virtuelles, enregistrer un instantané de chaque ordinateur virtuel et nommez les snapshots DirectAccess mixte IPv4 et IPv6. Si votre laboratoire utilise des ordinateurs physiques, créer des images de disque pour enregistrer la configuration du laboratoire de test simplifié de IPv4 uniquement DirectAccess.

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 3022362 - Dernière mise à jour : 11/09/2015 09:34:00 - Révision : 4.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtfr
Commentaires