Configuration du serveur
Configuration initiale
Configuration matérielle
La configuration matérielle nécessite un ordinateur supportant Windows Server 2008 et une capacité de montée en charge si le nombre de clients nomades est élevé. On peut également imaginer la virtualisation du système d’exploitation par le biais d’Hyper-V ou de Windows Virtual Server 2005 R2.
Il devra être équipé d’au moins 2 cartes réseau, une orientée vers Internet, l’autre vers le réseau local de l’entreprise.
Configuration logicielle
SSTP nécessite Windows Server 2008. Doivent y être installés les Active Directory Domain Services (AD CS). Un utilisateur de test dont on aura autorisé l’accès distant dans ses propriétés est également requis.
Mise en place d'AD CS
SSTP étant basé sur SSL et à fortiori sur l’authentification du serveur par certificat, nous préférons, pour la suite, créer notre propre autorité de certification (CA) plutôt que d’engager des frais dans l’obtention d’un certificat validé par une entité reconnue.
Dans le Server Manager, ajoutez un rôle. Après l’écran de bienvenue, choisissez Active Directory Certificate Services. A l’écran suivant, sélectionnez le Web Enrollment. Ceci nécessite IIS (Internet Information Service) sur le serveur hébergeant l’autorité de certification, les composants requis vous sont donc proposés. Laissez les éléments par défaut.
Suivez l’assistant en choisissant une autorité Standalone racine et en validant les options par défaut.
L’autorité de certification est désormais en place. Néanmoins, le certificat associé est de la forme « [nom de votre serveur]-DC-CA ». Pour l’établissement de la connexion SSTP, il est nécessaire que le certificat ait été délivré au nom employé lors de la demande de connexion. Nous devons donc en générer un qui correspondra au FQDN (Fully Qualified Domain Name) utilisé lors de la configuration du client.
Ouvrez Internet Explorer 7 en tant qu’Administrateur. Allez dans les Options Internet et abaissez au maximum le niveau de sécurité de la zone Intranet. En effet, lors de la procédure, la page permettant de personnaliser le certificat contient des contrôles ActiveX qui ne pourraient pas s’exécuter par défaut. Remplissez le formulaire en n’oubliant pas que le 1er champ doit être le FQDN du serveur utilisé par les clients ! Choisissez « Server Authentication Certificate » dans la liste qui suite. Marquez la clé comme exportable et donnez un nom familier et explicite au certificat.
Dans la console de l’Autorité de certification, délivrez le certificat en attente. Retournez à l’accueil de l’interface Web, allez pour regarder les certificats en attente et installez celui que vous avez demandé. Ouvrez une MMC et ajoutez-y le composant logiciel enfichable « Certificats » pointant vers l’ordinateur local, puis le même mais pointant vers l’utilisateur courant. Dans le magasin personnel de l’utilisateur, exportez le certificat et sa clé privée. Allez dans le magasin personnel de l’ordinateur local et importez le fichier PFX que vous avez sauvé juste avant. Exportez le certificat « nomduserveur-DC-CA » et supprimez-le du magasin.
Mise en place du service VPN
Installez le rôle Network Policy and Access Services mais ne sélectionnez que les composants de routage et d’accès distant ainsi que Network Policy Server.
Ouvrez la console associée, faites un clic droit sur le nom de votre serveur et choisissez de configurer le service. Sélectionnez l’option « Remote access (dial-up or VPN) » puis VPN uniquement. Choisissez l’interface qui connecte le serveur à Internet, puis, si ce serveur est dédié à l’accès VPN uniquement, laissez la case cochée ; sinon décochez-la. Cette étape est importante : en effet, si la sécurisation de l’interface est activée, tout le trafic étranger au trafic VPN sera stoppé par les filtres d’entrée de la carte réseau. Choisissez ensuite la méthode d’attribution des IP : soit par un serveur DHCP, soit par un pool d’adresses IP que vous pouvez définir et qui sera géré directement par RRAS (Routing and Remote Access Services).
Cela fonctionnerait en l’état. Néanmoins pour des raisons de sécurité, il est recommandé de fermer les ports PPTP et L2TP : cela se passe dans les propriétés du sous-nœud Ports.
Remarque : le nombre de ports PPTP ne peut pas être nul !
Contrôle de l'accès distant par NPS
Network Policy Server est le nouveau nom donné à « feu » IAS, présent sous Windows Server 2003.
Lorsqu’il est installé sur le même serveur que les services de routage et d’accès distant, l’authentification des clients distants passe obligatoirement par lui. On note également que ces services n’ont pas à être identifiés explicitement comme clients RADIUS puisqu’ils sont hébergés sur la même machine.
Afin de sécuriser et restreindre l’accès VPN, on peut mettre en place une stratégie réseau, anciennement appelée stratégie d’accès distant. Cela se fait dans la console Network Policy Server sous le nœud Stratégies puis Stratégies réseau. Sont ici spécifiées des contraintes cumulables que la tentative de connexion devra respecter comme les horaires de connexion, l’appartenance à un groupe pour l’ordinateur et/ou l’utilisateur, l’exécution d’un système d’exploitation spécifique ou encore le respect des exigences de sécurité avec la technologie NAP (Network Access Protection).
Suivant le souhait ou non de faire passer les propriétés d’accès distant du compte de l’utilisateur avant ces restrictions, il faudra indiquer dans lesdites propriétés que son accès est soumis aux règles définies dans NPS.
 Sommaire
1. Généralités et rappels sur les protocoles VPN
2. Configuration du serveur
3. Configuration du client
4. Considérations notables et dépannage
5. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Windows Server 2008 : VPN SSTP
