Ma plateforme Windows Server 2008 R2 / Windows 7 avec DirectAccess - des informations utiles
ça y est, je viens de prendre le temps de réinstaller l'ensemble de ma plateforme Windows Server 2008 R2 et Windows 7 avec les versions Release Candidate des OS Server et Client.
Du coup, j'en ai profité pour configurer une infrastructure DirectAccess en m'inspirant du nouveau guide pas à pas disponible en téléchargement (cf. https://blogs.technet.com/stanislas/archive/2009/05/25/guide-pas-pas-pour-tester-directaccess.aspx)
Voici donc à quoi ressemble ma plateforme de test (mais aussi de démos, ceux qui me verront en présentation dans les prochains mois pourront la voir de visu)
Comme vous pouvez le constater, ça fait pas mal de machines virtuelles.
Alors comment je fais tourner tout ça en même temps ?
C'est simple : j'ai une machine avec suffisamment de mémoire et un disque correct.
La machine : un Lenovo T61p (cf. https://www.bing.com/search?q=lenovo+T61p&filt=all) avec 8 Go de RAM
Le disque : l'ensemble des VM est stocké sur un disque externe USB2 Western Digital de 320 Go (c’est le modèle Essential qui au passage fonctionne vraiment super bien, le meilleur prix que j'ai obtenu pour ce disque c'était sur Amazon.fr)
Western Digital - My Passport Essential - Disque dur externe Ultra Portable - 320 Go - Noir
Chaque machine virtuelle dispose de 512 Mo de RAM et d'un bi processeur (virtuel, je rappelle que je suis sur Hyper-V de Windows Server 2008)
Au final quand toutes les machines sont démarrées, cela consomme à froid 5.7 Go de RAM environ.
Je dispose également d'une machine physique supplémentaire sous Windows 7 Ultimate RC FR qui dispose notamment d'un lecteur de carte à puce (utile pour les démos BitLocker ToGo et autres authentification)
Et voici les quelques étapes que j'ai suivies pour installer tout cela.
===========================
LH01R2 joue le rôle DC et de serveur de PKI
===========================
Installation du système LH01R2
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4 (10.0.0.11/8)
Ajout du Rôle AD Domain Services
DCPROMO
création reverse zone DNS
Installation Role AD CS
Création d un template Web Server 2008
Modification de la GPO Default Domain Policy avec des règles autorisant sur le Pare-feu Windows : Echo Request ICMPv4 et v6
Config du DNS pour supprimer nom ISATAP de la default global block list
Config des CRLs
Modification de la GPO default domain policy pour auto enrollment des certificats computer
Création d'un groupe de sécurité DA_Clients dans l'Active Directory
=====================================================
Pour le scénario DirectAccess, LH02R2 joue le rôle de NLS (network Location Server)
=====================================================
Installation du système LH02R2
Changement du nom de machine
Mise à jour du système
Activation
Paramétrage IPv4 (10.0.0.12/8)
Ajout dans le domaine W2K8R2-DEMO
Installation du role DHCP Server
Config de l'étendue DHCP pour le réseau interne
Demande de certificat de type Web Server 2008
Installation du rôle Web Server
Binding du certif SSL sur le site web par defaut
[apres config DirectAccess]
Config IPv6 pour que l'ordi soit un ISATAP Host
=================================================
Pour le scénario DirectAccess, LH03R2 joue le rôle de Passerelle Direct Access
=================================================
Installation du système LH03R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (10.0.0.13/8)
Ajout dans le domaine W2K8R2-DEMO
Installation du rôle Web Server
Création d'un point de distribution Web de CRL
Configuration des permissions sur le répertoire contenant les fichiers CRLs
Demande de certificat complémentaire de type Web Server (pour IP-HTTPs)
Installation des composants DirectAccess
Paramétrage de DirectAccess à partir de la console DirectAccess Management Console
===============================================================
Pour le scénario DirectAccess, LH99R2 joue le rôle de serveur DNS publique ainsi que de serveur Web
===============================================================
Installation du système LH99R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (131.107.0.99/24)
=================================================================
LH04R2 joue le rôle de serveur Terminal Server (maintenant on dit Remote Desktop Server)
Il sert notamment de serveur d'applications et permet de vérifier le bon fonctionnement de DirectAccess
=================================================================
Installation du système LH04R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (10.0.0.14/8)
Ajout dans le domaine W2K8R2-DEMO
Installation des Rôles RD (Gateway, Web, App..)
=====================================================================
WIN7RC-01 est un client Windows 7 Ultimate US RC configuré comme client DirectAccess (il fait parti du groupe DA_Clients)
=====================================================================
Installation de WIN7RC-01
Ajout dans le domaine W2K8R2-DEMO
3 interfaces réseau (LAN, WAN wifi, WAN 3G)
DHCP Client --> sur LAN (avec activation de Network Access Protection sur le serveur DHCP)
131.107.0.100 --> adresse sur la carte WAN (Wifi simulé)
131.107.0.101 --> adresse sur la carte WAN (3G simulé)
192.168.1.1 --> adresse sur le LAN maison NATé
Note : pour bien simuler Internet sur cette machine, ainsi que sur WIN7RC-02, j'ai ajouté une zone msftncsi.com dans mon DNS externe sur LH99R2 avec un enregistrement A [DNS 131.107.255.255] et un site Web [www.msftncsi.com] avec un fichier ncsi.txt contenant le texte Microsoft NCSI
La raison du pourquoi est le fonctionnement de la détection d'Internet dans Windows Vista et 7 (Plus de détails ici : https://technet.microsoft.com/en-us/library/cc766017.aspx)
=========================================================================
FloppyFW est un routeur/NAT permettant de simuler un réseau domestique ou d'entreprise NATé, celui pour vérifier la bascule en Teredo ou IP-HTTPs du client DirectAccess
=========================================================================
Très simple à configurer et surtout ne nécessitant que 12 Mo de RAM, il est une bonne alternative à utiliser un poste Windows pour simuler un NAT ;-)
Plus d'information sur FloppyFW et son utilisation avec Hyper-V sur le blog de Pascal à l'adresse suivante : https://blogs.technet.com/pascals/archive/2009/04/20/devoir-de-vacances-un-routeur-l-ger-pour-hyper-v.aspx
==================================================================
LH05R2 joue le rôle de passerelle VPN avec notamment l'implémentation de VPN Reconnect (ex Agile VPN)
==================================================================
Installation du système LH05R2
Changement du nom de machine
Mise à jour du système
Activation
paramétrage IPv4 (10.0.0.15/8 et 131.107.0.15/24)
Ajout dans le domaine W2K8R2-DEMO
Installation du rôle RRAS et configuration de la passerelle VPN
============================================================================
WIN7RC-02 est un client Windows 7 Ultimate US RC membre du domaine et servant à tester les connexions VPN nomades sur LH05R2
============================================================================
Installation de WIN7RC-02
Ajout dans le domaine W2K8R2-DEMO
3 interfaces réseau (LAN, WAN wifi, WAN 3G)
DHCP Client —> LAN Entreprise (avec support de NAP sur le DHCP)
131.107.0.201 —> WAN (Wifi simulé)
131.107.0.202 —> WAN (3G Simulé)
Voilà pour les informations sur la plateforme (qui nécessite quand même quelques heures d'installation et de paramétrage). Maintenant le résultat concernant DirectAccess :
Le client Win7RC-01 se connecte bien en DirectAccess depuis Internet en 6to4
Et si il est derrière un réseau NATé, il bascule bien en Teredo
Pour IP-HTTPs, c'est pas encore ça mais je continue à chercher, suite au prochain épisode... :-)
Note complémentaire : Benoit Sautière [Exakis et MVP Virtualisation] est également en pleine exploration de DirectAccess et vous fait profiter de l'aventure sur son blog : https://blogcastrepository.com/blogs/benoits/archive/2009/05/31/directaccess-233-pisode-n-176-1.aspx
A lire donc sans modération.
Tags: DirectAccess, VPN+Reconnect