Editions ENI DirectAccess Mobilité et nomadisme, mise en œuvre de la solution Microsoft Collection Expert IT Extrait
38 DirectAccess Mobilité et nomadisme, mise en œuvre de la solution Microsoft Sur Internet, certaines sociétés telles que Google revendiquent une infrastructure réseau entièrement basée sur IPv6, en étant parfaitement accessible de tous les internautes. Le diagramme ci-dessous est issu du site http://www.ipv6actnow.org en charge de la promotion de la migration vers Ipv6. Il illustre la progression d'ipv6 depuis 2005. La courbe foncée (bleue) indique le nombre de systèmes annonçant des adresses IPv6 alors que la courbe claire (jaune) indique le nombre total de préfixes IPv6 annoncés sur Internet et donc routés. Remarque Des statistiques plus précises sont disponibles à cette adresse : http://www.ipv6actnow.org/info/statistics/ Sur les réseaux d'entreprise, l'adoption d'ipv6 est très limitée. Cette situation est due à plusieurs facteurs. Cela implique une refonte de l'infrastructure réseau mais aussi une validation du bon fonctionnement des services et ressources mis à disposition des utilisateurs. Pour beaucoup d'entreprises, la migration vers IPv6 n'est pas encore une priorité. Faut-il pour autant avoir peur d'ipv6? Editions ENI - All rights reserved
L'assemblage des technologies Chapitre 2 39 Remarque Le 8 juin 2011, un grand nombre d'acteurs de l'internet tels que Google, Facebook, Yahoo et bien d'autres ont offert leurs services en IPv6, et ce pour une durée de 24 heures. Ce test grandeur nature a mis en évidence que la transition de ces services Internet vers IPv6 est déjà une réalité. 2.1 Faut-il avoir peur d'ipv6? IPv6 ne doit pas être considéré comme un frein à l'adoption de DirectAccess. Même si DirectAccess repose sur IPv6, cela ne veut pas dire que Microsoft a fait le choix d'une rupture totale avec IPv4, bien au contraire. Pour preuve, certains services que nous utilisons tous les jours tels que Google reposent sur des infrastructures IPv6 comme l'illustre la capture d'écran ci-dessous : Dans la suite de cet ouvrage, on découvrira que la transition vers IPv6 a été prévue. Les scénarios de cohabitation existent. Parmi ceux-ci, IPv6 propose des mécanismes de transition vers IPv6 reposant exclusivement sur IPv4. IPv4 est alors utilisé comme transport pour IPv6.
40 DirectAccess Mobilité et nomadisme, mise en œuvre de la solution Microsoft 2.2 Pourquoi DirectAccess repose-t-il sur IPv6? Cela peut sembler un choix audacieux de la part de Microsoft mais c'est avant tout un choix d'avenir. Lors de l'élaboration de la fonctionnalité, Microsoft pouvait faire le choix de développer sa solution de nomadisme en se basant sur IPv4 mais il a choisi d'utiliser IPv6 pour plusieurs raisons. D'un point de vue historique, les fondations autour d'ipv6 sont issues de normes publiées en 1998. IPv6 n'est donc pas une pile de protocoles réseaux totalement nouvelle. Début 2011, les derniers blocs d'adresses IPv4 ont été attribués par l'iana (Internet Assigned Numbers Authorities). Cela signifie qu'aujourd'hui, nos fournisseurs d'accès à Internet optimisent au mieux la ressource IPv4 qui va devenir rare et donc chère. La RFC 1918 a permis en partie de traiter le problème de l'expansion rapide de l'internet en définissant des plages réseaux non routées sur Internet. On a déclaré ces sous-réseaux comme privés. Ils ne sont donc pas accessibles de l'extérieur. C'est le rôle des mécanismes de traduction d'adresse qui viennent se positionner en rupture entre les deux réseaux. Les mécanismes de traduction permettent de suivre les sessions TCP sortantes et entrantes pour assurer les fonctions de traduction d'adresse et de port. Or, un certain nombre de nos applications courantes n'acceptent pas la traduction d'adresse (téléphonie sur IP par exemple). Enfin, les mécanismes de traduction opérant au niveau de la couche n 3 de la norme OSI, ils ne sont plus en mesure de nous protéger contre les attaques réseaux qui visent la couche n 7 du modèle OSI, à savoir les applications et les données qu'elles renferment. Editions ENI - All rights reserved
L'assemblage des technologies Chapitre 2 41 Remarque L'objectif de cet ouvrage n'étant pas de couvrir l'intégralité des concepts réseau, des informations plus détaillées sont disponibles à cette adresse : http://support.microsoft.com/kb/103884/fr Les concepts de l'adressabilité et de la connectivité globale ont été abandonnés avec l'introduction de la RFC 1918. Dès lors que l'utilisateur se trouve à l'extérieur de l'entreprise, il est nécessaire de mettre en place des mécanismes réseaux pour que les ressources soient de nouveau accessibles. Un des principes d'ipv6 est de proposer un adressage réseau permettant à chaque équipement connecté à un réseau de disposer d'une adresse IPv6 unique. Potentiellement, cette ressource réseau peut être accessible depuis Internet.
42 DirectAccess Mobilité et nomadisme, mise en œuvre de la solution Microsoft Le choix de l'ipv6 permet enfin à Microsoft de proposer une approche différente. Au lieu de se positionner en rupture entre l'utilisateur et la ressource à laquelle il veut accéder (VPN/SSL ou portail d'applications), DirectAccess se positionne comme une extension du réseau LAN en direction de l'utilisateur, quelle que soit sa localisation. Cette nouvelle approche permet de proposer à l'utilisateur une expérience de travail unique. L'utilisateur travaille de la même manière qu'il soit localisé sur le LAN ou non, voire que la ressource à laquelle il accède soit accessible en IPv6 ou non. Remarque L'utilisateur accèdera à ses ressources internes en IPv6, que cela soit nativement ou au travers de protocoles de transition vers IPv6 (ISATAP, DNS64/ NAT64). Microsoft Forefront Unified Access Gateway 2010 assurera la transition avec les ressources accessibles uniquement en IPv4. 2.3 Dois-je commencer un projet IPv6? Dès lors que l'on comprend que DirectAccess repose exclusivement sur IPv6, on peut être tenté de se demander s'il est nécessaire de procéder à une mise à niveau vers IPv6. Pour répondre à cette question, il faut en premier lieu déterminer où est utilisé IPv6. L'illustration représente les flux réseaux de manière très schématique : Editions ENI - All rights reserved
L'assemblage des technologies Chapitre 2 43 On comprend tout de suite qu'il y a un premier usage d'ipv6 qui est fait entre le client Windows 7 et le serveur DirectAccess/UAG. On comprend aussi qu'il y a un second usage d'ipv6 sur notre infrastructure réseau. Microsoft étant conscient qu'il n'était pas possible d'utiliser IPv6 nativement, la solution retenue est d'utiliser les protocoles de transition vers IPv6. Que ce soit côté Internet ou côté LAN, ils reposent tous sur la même approche, à savoir l'encapsulation du flux réseau IPv6 dans un flux réseau IPv4. De ce fait les équipements réseau n'ont pas besoin de comprendre IPv6 à ce niveau. Avec tous ces éléments, on peut conclure que DirectAccess n'implique pas de démarrer un projet de mise à niveau de son infrastructure réseau vers IPv6. DirectAccess peut être considéré comme une première approche concrète d'ipv6. Remarque Il est possible de déployer DirectAccess sur une infrastructure réseau LAN IPv4 mais il est aussi possible de le déployer sur une infrastructure LAN déjà opérationnelle en IPv6. 3. DirectAccess Windows versus DirectAccess UAG Microsoft communique à propos de DirectAccess autour des produits Microsoft Windows Server 2008 R2 et Microsoft Forefront Unified Access Gateway 2010. DirectAccess est une technologie qui est présente dans ces deux produits. La principale différence réside dans les fonctionnalités additionnelles offertes par Microsoft Forefront Unified Access Gateway 2010, qui sont : Capacité d'accès à des ressources uniquement accessibles en IPv4 pour l'utilisateur. Déport de la résolution DNS interne. Capacité à proposer une authentification de type One-Time Password (OTP). Montée en charge et équilibrage de charge entre plusieurs hôtes.
Editions ENI Windows Server 2008 R2 Administration avancée (2 ième édition) Collection Expert IT Extrait
202 Windows Server 2008 R2 Administration avancée 2.1 Le choix de l'architecture réseaux Deux point précis sont à étudier à ce niveau : - le choix de la zone DNS ; - le choix de la classe réseau. 2.1.1 La zone DNS Deux aspects sont importants lors du choix de la zone DNS. Le nom choisi pour la zone DNS doit correspondre à l intégralité de l entité (entreprise, groupe, etc.) que l on souhaite gérer. Ce nom doit pourvoir être accepté par toutes les entités dépendantes qui vont se retrouver dans cette zone. Le problème est beaucoup plus politique que technique! Si une entité n entre pas dans ce cadre, cela veut dire qu une zone DNS spécifique devra lui être affectée. Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément public et enregistré, c'est-à-dire utilisant une extension reconnue de type.fr,.com,.info...! En revanche, pour un réseau interne, le domaine peut être public ou privé. Le choix le plus courant est alors d utiliser un domaine DNS local avec une extension inconnue sur Internet. L extension.local est très souvent utilisée sous la forme MaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile à réaliser. En revanche, l utilisation d un même nom suppose une double administration, plus complexe, donc des serveurs DNS différents pour ne rendre visible sur Internet que ce qu il est souhaitable de montrer. 2.1.2 La classe réseau Pour tous les réseaux internes, le choix se portera évidemment toujours sur les classes réseaux privées. Si l on ne peut pas toujours modifier l intégralité des réseaux existants pour des raisons souvent historiques, on peut au moins créer tous les nouveaux réseaux en suivant cette règle. La classe du réseau se choisit en fonction du nombre de machines présentes sur le réseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représente souvent un bon choix initial. Il est toujours possible de changer de classe, de réseau ou même surtout d utiliser plusieurs réseaux en fonction des besoins. L usage de TCPIP v6 n est pas encore bien développé mais deviendra nécessaire dans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local, il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait évoluer très rapidement! Editions ENI - Toute reproduction interdite
Mise en place des services réseaux d'entreprise 203 Chapitre 5 2.2 L installation d un serveur DHCP Si le service DHCP permet de mettre en place rapidement le réseau choisi, il permet aussi de modifier rapidement et globalement une série de paramètres. Il reste encore quelques irréductibles qui n utilisent pas ce service, mais c est maintenant rarissime. Parmi les nombreux composants de Windows 2008 R2, le service DHCP est un rôle. 2.2.1 Définition Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui en fait la demande. Selon la configuration, d autres paramètres tous aussi importants seront transmis en même temps : les adresses IP de la route par défaut, des serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine pour ne citer que les principaux. DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir qu exceptionnellement aux serveurs. 2.2.2 L installation Comme pour tous les composants Windows, l installation peut se faire graphiquement ou en mode ligne de commande sans avoir besoin d insérer le moindre média. servermanagercmd install DHCP Remarque Attention, le service devra être mis en démarrage automatique! sc \\%COMPUTERNAME% config DHCPServer start= auto Le service peut ensuite être démarré de manière classique : NET START DHCPSERVER Le démarrage du service permet de le rendre accessible et configurable. Pour que le service DHCP commence à distribuer des adresses, il est indispensable de configurer et d activer une étendue. Attention, si le serveur qui héberge DHCP fait partie d une forêt Active Directory, il doit en plus avoir été autorisé par des administrateurs membres du groupe «Administrateurs de l entreprise» ou ayant reçu les droits d administration DHCP. Le service DHCP, comme les autres services réseaux de références (DNS, WINS), devrait toujours être installé sur des serveurs disposant d adresses IP fixes.
204 Windows Server 2008 R2 Administration avancée 2.2.3 La configuration La console d administration DHCP est automatiquement installée en même temps que le service, mais peut aussi être lancée à partir de toute autre machine la possédant. Y compris sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs) que vous souhaitez gérer. La liste des serveurs déjà autorisés s affiche automatiquement. Pour autoriser un serveur DHCP, utilisez l option Gérer les serveurs autorisés, puis cliquez sur le bouton Autoriser, et saisissez le nom ou l adresse IP. Les serveurs autorisés apparaissent avec une flèche verte. Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pour chaque réseau IP. Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant le masque standard 255.255.255.0! Editions ENI - Toute reproduction interdite
Mise en place des services réseaux d'entreprise 205 Chapitre 5 La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de laisser de la place pour les serveurs ou les adresses IP réservées pour les imprimantes. La route par défaut fait partie des paramètres habituels liés à l étendue. Les options au niveau du serveur contiennent les paramètres qui sont valables globalement sur toutes les étendues. Les options de serveur (005,006,015,046) servent de valeurs par défaut, mais sont remplacées par les options de l étendue qui ont priorité.
206 Windows Server 2008 R2 Administration avancée - La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de recherche DNS. Si nécessaire, les stratégies proposent d ajouter des suffixes de recherche. - Le Type de nœud avec la valeur 0x8 configure le mode de résolution hybride. C'est-à-dire qu une interrogation des serveurs DNS/WINS sera effectuée en premier, avec bascule en mode Broadcast en cas d échec. Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à configurer. Par exemple, lorsque la zone Tentatives de détection de conflit est configurée avec une valeur supérieure à zéro, DHCP utilisera l instruction ping pour déterminer l existence éventuelle d une machine sur cette adresse. Editions ENI - Toute reproduction interdite
Mise en place des services réseaux d'entreprise 207 Chapitre 5 La mise à jour dynamique des DNS est un élément particulièrement important à gérer. Le bouton Configurer permet d activer la protection des noms lors de l inscription, les mises à jour et la suppression des enregistrements de type A et PTR. Cette protection n est effective que si le mode Mise à jour dynamique sécurisé est actif. Lorsque les zones de recherche inverses (Reverse ARP) sont créées et utilisées, il est important de mettre à jour les enregistrements PTR et de ne pas les ignorer lorsque le bail est supprimé. La durée du bail sera d autant plus longue que le nombre d adresses IP disponibles est important et que le risque de conflit est limité.