Module 7 : Configuration de l'accès distant Table des matières Vue d'ensemble 1 Examen de l'accès distant dans Windows 2000 2 Configuration de connexions entrantes 10 Configuration de connexions sortantes 17 Configuration de connexions à liaisons multiples 25 Atelier A : Configuration d'une connexion VPN 28 Configuration des protocoles d'authentification 34 Configuration des protocoles de cryptage 40 Configuration du service Routage et accès distant pour intégrer le protocole DHCP 42 Contrôle des acquis 47
Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent document vous autorise une et une seule copie. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2000 Microsoft Corporation. Tous droits réservés. Active Directory, BackOffice, FrontPage, IntelliMirror, NetShow, Microsoft, MS-DOS, Outlook, PowerPoint, Visual Studio, Windows, Windows Media et Windows NT sont soit des marques déposées de Microsoft Corporation, soit des marques de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Chef de projet : Rick Selby Concepteurs pédagogiques : Victoria Fodale (ComputerPREP), Jose Mathews (NIIT), Barbara Pelletier (S&T OnSite), Directeurs de programme : Rodney Miller, Joern Wettern (Wettern Network Solutions) Responsable de programme : Thomas Willingham (Infotec) Graphistes : Kimberly Jackson (indépendante), Julie Stone(indépendante) Responsable d'édition : Lynette Skinner Éditrice : Jennifer Kerns (S&T OnSite) Correctrice : Shawn Jackson (S&T Consulting) Responsable de programme en ligne : Debbi Conger Responsable des publications en ligne : Arlo Emerson (Aditi) Assistance en ligne : David Myka (S&T OnSite) Responsables des tests : Jeff Clark, Jim Toland (ComputerPREP) Développeur des tests : Greg Stemp (S&T OnSite) Test du cours : Data Dimensions, Inc. Assistance à la production : Ed Casper (S&T Consulting) Responsable de la fabrication : Bo Galford Assistance à la fabrication : Rick Terek Responsable produit : Gerry Lang Directeur de l'unité produit : Robert Stewart Les simulations et les exercices interactifs ont été créés à l'aide de Macromedia Authorware.
Module 7 : Configuration de l'accès distant iii Notes de l'instructeur Présentation : 90 minutes Atelier : 45 minutes Ce module permet aux stagiaires d'acquérir les compétences et connaissances requises pour la configuration d'un serveur et de clients d'accès distant d'un réseau Microsoft Windows 2000. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes : décrire le processus et les protocoles d'accès distant ; configurer des connexions entrantes sur un serveur d'accès distant ; configurer des connexions sortantes sur un client d'accès distant ; configurer des connexions à liaisons multiples ; configurer des protocoles d'authentification pour les sessions d'accès distant ; configurer des protocoles de cryptage pour les sessions d'accès distant ; configurer le service Routage et accès distant pour l'intégration de DHCP (Dynamic Host Configuration Protocol). Documents de cours et préparation Cette section vous indique les documents de cours et la préparation nécessaires pour animer ce module. Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint 2172A_07.ppt. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes : lire tous les documents de cours relatifs à ce module ; réaliser l'atelier ; lire les livres blancs suivants : Microsoft Privacy Protected Network Access: Virtual Private Networking and Intranet Security Windows 2000-Based Virtual Private Networking: Supporting VPN Interoperability Virtual Private Networking: An Overview Microsoft Windows 2000 TCP/IP Implementation Details rechercher et consulter les sections «Remote Access Server» et «Virtual Private Networking» dans le Kit de Ressources Techniques Microsoft Windows 2000 Server ; rechercher et consulter les rubriques «Accès distant» et «Réseaux privés virtuels» dans l'aide de Windows 2000 Server.
iv Module 7 : Configuration de l'accès distant Déroulement du module Présentez le module en vous appuyant sur les points détaillés ci-dessous. Examen de l'accès distant dans Windows 2000 Décrivez le processus d'accès distant. Comparez les connexions d'accès à distance et les connexions de réseau privé virtuel (VPN, Virtual Private Network). Présentez les protocoles d'accès distant et de réseau local (LAN, Local Area Network) pris en charge dans Windows 2000. Comparez le protocole PPTP (Point-to-Point Tunneling Protocol) avec le protocole L2TP (Layer Two Tunneling Protocol) en tant que protocoles VPN. Configuration de connexions entrantes Expliquez et démontrez les procédures de configuration de connexions entrantes d'accès à distance et VPN. Expliquez et démontrez les procédures de configuration des ports modem et câble. Présentez les paramètres pouvant être configurés pour un compte d'utilisateur utilisant des connexions téléphoniques. Configuration de connexions sortantes Présentez les options matérielles des clients d'accès distant. Expliquez et démontrez les procédures permettant de configurer des connexions entrantes d'accès à distance, des connexions VPN et des connexions directes par câble. Configuration de connexions à liaisons multiples Présentez les avantages des liaisons multiples et du protocole BAP (Bandwidth Allocation Protocol). Présentez la procédure à exécuter pour configurer des connexions à liaisons multiples sur le serveur et le client d'accès distant. Configuration des protocoles d'authentification Expliquez le rôle des protocoles d'authentification. Décrivez chaque protocole d'authentification standard pris en charge dans Windows 2000. Expliquez comment sont utilisés les protocoles d'authentification extensibles. Configuration des protocoles de cryptage Expliquez comment configurer les protocoles de cryptage. Configuration du service Routage et accès distant pour intégrer le protocole DHCP Présentez les différentes possibilités pour attribuer des adresses IP (Internet Protocol) aux clients d'accès distant. Expliquez comment utiliser le protocole DHCP dans le cadre de l'adressage IP de clients d'accès distant.
Module 7 : Configuration de l'accès distant v Informations sur la personnalisation Cette section identifie l'installation requise pour les ateliers d'un module et les modifications apportées à la configuration des ordinateurs des stagiaires au cours des ateliers. Ces informations sont données pour vous aider à dupliquer ou à personnaliser les cours MOC (Microsoft Official Curriculum). Important L'atelier de ce module dépend aussi de la configuration de la classe spécifiée dans la section «Informations sur la personnalisation» située à la fin du Guide de configuration de la classe du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000. Mise en place de l'atelier Vous devez exécuter la procédure spécifiée dans le Guide de configuration de la classe avant de réaliser l'atelier. Résultats de l'atelier La réalisation de l'atelier de ce module entraîne la modification de configuration ci-dessous. Une connexion VPN entre chaque paire d'ordinateurs est créée dans la fenêtre Connexions réseau et accès à distance.
This page is left page
Module 7 : Configuration de l'accès distant 1 Vue d'ensemble Objectif de la diapositive Donner une vue d'ensemble des sujets et des objectifs de ce module. Introduction Dans ce module, vous allez vous familiariser avec le service Routage et accès distant de Windows 2000. Examen de l'accès distant dans Windows 2000 Configuration de connexions entrantes Configuration de connexions sortantes Configuration de connexions à liaisons multiples Configuration des protocoles d'authentification Configuration des protocoles de cryptage Configuration du service Routage et accès distant pour intégrer le protocole DHCP *********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** L'accès distant permet aux utilisateurs de se connecter à votre réseau à partir d'un site distant. Les premières tâches à effectuer pour mettre en œuvre un accès distant sont les suivantes : configurer le service Routage et accès distant, créer les connexions d'accès distant appropriées sur les ordinateurs clients et paramétrer les droits d'accès des utilisateurs au serveur d'accès distant. Après avoir installé et configuré le service Routage et accès distant, vous pouvez implémenter l'accès distant sur votre réseau Microsoft Windows 2000. Vous pouvez configurer des protocoles d'authentification et de cryptage en vue d'améliorer la sécurité de vos connexions d'accès distant, et utiliser le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer des adresses IP (Internet Protocol) aux clients d'accès à distance. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : décrire le processus et les protocoles d'accès distant ; configurer des connexions entrantes sur un serveur d'accès distant ; configurer des connexions sortantes sur un client d'accès distant ; configurer des connexions à liaisons multiples ; configurer des protocoles d'authentification pour les sessions d'accès distant ; configurer des protocoles de cryptage pour les sessions d'accès distant ; configurer le service Routage et accès distant pour l'intégration de DHCP.
2 Module 7 : Configuration de l'accès distant Examen de l'accès distant dans Windows 2000 Objectif de la diapositive Présenter les processus et les protocoles de l'accès distant. Introduction L'accès distant permet aux utilisateurs de se connecter à un réseau à partir d'un site distant. Mise en place d'une connexion d'accès distant Protocoles de transport de données Protocoles VPN ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Windows 2000 permet aux clients distants de se connecter aux serveurs d'accès distant grâce à des matériels, comme les modems analogiques, les cartes RNIS (Réseau numérique à intégration de services) et les modems DSL (Digital Subscriber Line). Le serveur d'accès distant exécute le Routage et accès distant, qui prend en charge différents protocoles de transport de données et protocoles de réseaux privés virtuels (VPN, Virtual Private Network) afin d'autoriser les connexions distantes. En vous familiarisant avec les avantages et inconvénients de ces protocoles, vous pourrez tirer profit de leurs capacités et choisir les protocoles appropriés pour votre réseau.
Module 7 : Configuration de l'accès distant 3 Mise en place d'une connexion d'accès distant Objectif de la diapositive Illustrer le processus de connexion à distance. Introduction Des télétravailleurs ou des employés mobiles peuvent se connecter au réseau de l'entreprise grâce à l'accès distant. Protocoles d'accès distant Protocoles LAN Accès distant Protocoles Internet Protocoles LAN Serveurs d'accès distant Réseau local Client d'accès distant ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** L'accès distant de Windows 2000 Server, fonctionnalité principale du service Routage et accès distant, permet aux télétravailleurs ou employés mobiles de se connecter aux réseaux d'entreprise. Processus d'accès distant Les utilisateurs exécutent un logiciel d'accès distant, puis se connectent au serveur d'accès distant. Cette connexion utilise un protocole d'accès distant, comme le protocole PPP (Point-to-Point Protocol). Le serveur d'accès distant est un ordinateur exécutant Windows 2000 Server et le service Routage et accès distant. Il authentifie les utilisateurs et les sessions d'accès distant jusqu'à ce que l'utilisateur ou l'administrateur réseau mette fin à la session. Le serveur d'accès distant joue le rôle de passerelle en transmettant les données entre le client et le réseau local (LAN, Local Area Network). En utilisant cette connexion, le client envoie et reçoit des données grâce au serveur d'accès distant. Les données sont encodées par un protocole, comme le protocole TCP/IP (Transmission Control Protocol/Internet Protocol), puis sont encapsulées dans un protocole d'accès distant. Avec une connexion d'accès distant, un utilisateur distant dispose de tous les services (y compris le partage de fichiers et d'imprimantes, l'accès au serveur Web et la messagerie) disponibles, comme pour un utilisateur connecté à un réseau local.
4 Module 7 : Configuration de l'accès distant Types de connectivité d'accès distant Windows 2000 offre deux types de connexion d'accès distant. Connexion d'accès à distance Pour se connecter au réseau à l'aide d'une connexion d'accès à distance, un client d'accès distant utilise un réseau de communications, comme le réseau RTPC (Réseau téléphonique public commuté), pour créer une connexion physique au port d'un serveur d'accès distant du réseau privé. En général, un modem ou une carte RNIS assure la connexion au serveur distant. L'accès à distance permet aux utilisateurs d'une entreprise de rester connecté au réseau lorsqu'ils travaillent à distance. Cependant, si votre entreprise compte un grand nombre d'utilisateurs mobiles, les coûts relatifs aux communications longue distance risque d'augmenter fortement. Aussi il existe une alternative pour augmenter la taille d'un réseau d'accès distant. Il suffit d'utiliser une solution VPN dédiée à la connectivité distante. Connexions de réseau privé virtuel Un réseau VPN permet l'accès distant grâce à Internet, et non avec des connexions directes d'accès à distance. Un client VPN utilise un réseau d'interconnexion IP pour créer une connexion cryptée, virtuelle, point-à-point avec une passerelle VPN sur le réseau privé. Généralement, l'utilisateur se connecte à Internet par l'intermédiaire d'un fournisseur de services Internet (ISP, Internet Service Provider), puis établit une connexion VPN vers la passerelle VPN. En utilisant Internet, les entreprises peuvent réduire les coûts relatifs aux appels longue distance et utiliser une infrastructure existante plutôt que de gérer leurs propres infrastructures. Les entreprises qui souhaitent réduire les coûts relatifs à l'accès distant tout en améliorant la souplesse de leurs réseaux peuvent tirer profit de l'accès distant VPN. Les salariés amenés à voyager peuvent contacter le FAI local, puis établir une connexion VPN vers le réseau de leur entreprise. C'est un moyen de supprimer les coûts d'appels longue distance associés à des connexions d'accès à distance.
Module 7 : Configuration de l'accès distant 5 Protocoles de transport de données Objectif de la diapositive Présenter les protocoles utilisés dans le cadre de l'accès distant. Introduction Windows 2000 utilise aussi bien des protocoles d'accès distant que des protocoles de réseaux locaux afin de prendre en charge l'accès distant. Protocoles d'accès distant PPP SLIP (client uniquement) Microsoft RAS ARAP (serveur uniquement) Serveur d'accès distant Protocoles LAN Client d'accès distant TCP/IP NWLink NetBEUI AppleTalk ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Le service Routage et accès distant de Windows 2000 utilise aussi bien des protocoles d'accès distant que des protocoles de réseaux locaux pour permettre à des clients de se connecter à des serveurs d'accès distant. Les protocoles d'accès distant contrôlent la transmission de données sur les liaisons de réseau étendu (WAN, Wide Area Network), tandis que les protocoles LAN contrôlent la transmission de données au sein des réseaux locaux. Windows 2000 utilise un protocole d'accès distant pour établir une connexion entre les périphériques d'accès distant (habituellement des modems). Windows 2000 utilise alors des protocoles LAN afin d'établir la communication entre les deux ordinateurs. Lorsqu'un client d'accès distant communique avec un serveur, le Routage et accès distant encapsule les données dans un paquet suivant un protocole LAN afin de le transporter sur le réseau local. Ce paquet est alors encapsulé dans un autre paquet suivant un protocole d'accès distant pour être transporté vers le serveur. Lorsque vous installez et configurez le service Routage et accès distant, tous les protocoles déjà installés sur l'ordinateur sont automatiquement paramétrés pour un accès distant pour des connexions entrantes comme sortantes. Pour chaque protocole LAN, vous devez également spécifier si vous souhaitez offrir un accès à l'intégralité du réseau ou bien uniquement au serveur d'accès distant. Par défaut, l'accès intégral est configuré. Si vous offrez un accès à l'intégralité du réseau en utilisant le protocole TCP/IP, vous devrez également configurer la manière dont le serveur fournit les adresses IP.
6 Module 7 : Configuration de l'accès distant Protocoles d'accès distant Windows 2000 prend en charge plusieurs protocoles d'accès distant afin d'offrir aux clients utilisant une connexion d'accès à distance un accès à une grande variété de serveurs d'accès distant. Protocole PPP Le protocole PPP autorise les clients et les serveurs d'accès distant à fonctionner ensemble sur un réseau multivendeur. Par exemple, les clients Windows 2000 peuvent se connecter aux réseaux distants à travers n'importe quel serveur utilisant le protocole PPP. De même, les ordinateurs exécutant d'autres logiciels d'accès distant peuvent aussi utiliser le protocole PPP pour se connecter à une machine exécutant le service Routage et accès distant. Il s'agit du protocole d'accès distant le plus couramment employé. Protocole SLIP Le protocole SLIP (Serial Line Internet Protocol) permet à des ordinateurs Windows 2000 Professionnel de se connecter à un serveur SLIP. Ce protocole est couramment employé avec Telnet, et ne s'adapte pas aux applications d'accès distant les plus récentes. Le service Routage et accès distant ne contenant pas de composant serveur SLIP, un ordinateur Windows 2000 ne peut donc pas être employé comme serveur SLIP. Microsoft RAS Pour les ordinateurs clients Microsoft Windows NT version 3.1, Microsoft Windows for Workgroups, Microsoft MS-DOS ou Microsoft LAN Manager qui se connectent un serveur d'accès distant exécutant Windows 2000, le client doit utiliser le protocole NetBEUI (NetBios Enhanced User Interface). Le serveur d'accès distant utilise le protocole RAS (Remote Access Server) pour agir comme passerelle du client d'accès distant et propose un accès aux serveurs qui utilisent le protocole NetBEUI, TCP/IP, ou NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink). Les ordinateurs clients Windows 2000 utilisent le protocole RAS pour se connecter aux serveurs d'accès distant qui exécutent Windows NT 3.1, Windows for Workgroups, MS-DOS ou LAN Manager. Protocole ARAP Les clients Apple Macintosh peuvent se connecter à un serveur d'accès distant exécutant Windows 2000 en utilisant le protocole ARAP (AppleTalk Remote Access Protocol). Le service Routage et accès distant comprend un composant serveur ARAP mais pas de composant client. Ainsi, les ordinateurs clients exécutant Windows 2000 ne peuvent pas se connecter aux serveurs d'accès distant qui prennent en charge uniquement le protocole ARAP.
Module 7 : Configuration de l'accès distant 7 Protocoles LAN Le service Routage et accès distant prend en charge les protocoles LAN suivants : TCP/IP NWLink NetBEUI AppleTalk La prise en charge de ces protocoles vous permet d'intégrer le service Routage et accès distant au sein de réseaux existants de type Microsoft, UNIX ou Novell NetWare, en utilisant des protocoles d'accès distant. Par exemple, un client d'accès distant peut se connecter à un serveur d'accès distant en utilisant le protocole NetBEUI et peut ensuite utiliser ce serveur comme passerelle afin de communiquer avec un serveur UNIX exécutant TCP/IP ou avec un serveur NetWare exécutant le protocole IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange).
8 Module 7 : Configuration de l'accès distant Protocoles VPN Objectif de la diapositive Montrer les différences entre les protocoles PPTP et L2TP. Introduction Les connexions VPN sont cryptées et sécurisées. PPTP L'interréseau doit utiliser IP Sans compression d'en-tête Sans authentification en tunnel Cryptage PPP intégré L2TP L'interréseau peut utiliser IP, les relais de trame, X.25 ou ATM Compression d'en-tête Authentification en tunnel Cryptage IPSec Internet Client PPTP ou L2TP Serveur ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Une connexion VPN sur Internet est cryptée et sécurisée. Le serveur d'accès distant applique les protocoles d'authentification et de cryptage. Les données confidentielles sont cachées des utilisateurs Internet, mais restent accessibles dans un environnement sécurisé à l'attention des utilisateurs autorisés par le biais du réseau privé virtuel. Points clés Les réseaux VPN fonctionnent en plaçant des paquets de données normales dans des paquets PPP cryptés. La plupart des connexions VPN démarrent avec une connexion à un FAI, bien que seule la connectivité réseau au serveur VPN soit nécessaire. Opérations VPN Les protocoles VPN encapsulent les paquets de données dans des paquets PPP. Le serveur d'accès distant exécute toutes les séquences de sécurité et de validation et autorise le cryptage des données, sécurisant ainsi l'envoi de ces données sur des réseaux non-sécurisés comme Internet. En général, les utilisateurs se connectent au réseau VPN en se connectant à un fournisseur de services Internet, puis en se connectant aux ports VPN via la connexion Internet. Remarque Un VPN ne requiert pas de connexion d'accès à distance. Il requiert seulement une connectivité IP entre le client et le serveur. Si le client est directement connecté à un réseau local IP et s'il peut accéder au serveur grâce à ce réseau local, vous pouvez établir un tunnel qui traverse le réseau local. Les réseaux VPN utilisent soit le protocole PPTP (Point-to-Point Tunneling Protocol), soit le protocole L2TP (Layer Two Tunneling Protocol) pour établir des connexions. Windows 2000 autorise automatiquement ces protocoles lorsque vous créez des ports VPN au cours de l'installation du service Routage et accès distant.
Module 7 : Configuration de l'accès distant 9 PPTP et L2TP PPTP et L2TP utilisent PPP pour fournir une enveloppe initiale aux données et pour ajouter des en-têtes supplémentaires pour le transport sur un réseau d'interconnexion. Les principales différences entre les protocoles PPTP et L2TP sont énumérées ci-dessous. Connectivité. L2TP s'exécute sur une grande variété de média de connexion WAN tels que IP ou relais de trame (frame relay), réclamant uniquement que le média tunnel offre une connectivité point-à-point, orientée paquet. PPTP requiert un réseau d'interconnexion utilisant les adresses IP. Compression d'en-tête. Contrairement à PPTP, L2TP prend en charge la compression des en-têtes. Lorsque la compression des en-têtes est activée, L2TP fonctionne avec des en-têtes de quatre octets, tandis que PPTP opère avec des en-têtes de six octets. Authentification. L2TP prend en charge l'authentification en tunnel, contrairement à PPTP. IPSec offre une authentification de niveau ordinateur, en plus du cryptage des données, pour des connexions VPN qui utilisent le protocole L2TP. IPSec négocie entre votre ordinateur et son serveur d'accès distant avant que la connexion L2TP ne soit établie, ce qui a pour effet de sécuriser aussi bien les mots de passe que les données. Cryptage. PPTP utilise le cryptage PPP. L2TP permet d'obtenir un tunnel sécurisé en coopérant avec d'autres technologies de cryptage, dont le protocole IPSec (Internet Protocol Security).
10 Module 7 : Configuration de l'accès distant Configuration de connexions entrantes Objectif de la diapositive Énumérer les sujets relatifs à la configuration de connexions entrantes dans Windows 2000. Introduction Les connexions entrantes sont configurées à l'aide de l'assistant Connexion réseau ou du service Routage et accès distant. Configuration de connexions entrantes d'accès à distance Configuration de ports VPN Configuration des ports du modem et des câbles Configuration des paramètres d'appel entrant d'un utilisateur ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Point clé Pour créer une connexion entrante, vous activez un port pour le type de connexion approprié (VPN, modem ou câble). Vous utilisez l'assistant Installation du serveur de routage et d'accès distant pour configurer des types courants de serveurs d'accès distant tels que des serveurs VPN. Lorsque vous configurez une connexion entrante sur un serveur d'accès distant, vous activez un port par l'intermédiaire duquel un client peut se connecter à votre serveur. Vous pouvez activer des ports pour des connexions VPN, des connexions modem et des connexions directes par câble. Si l'ordinateur exécute Windows 2000 Professionnel, ou s'il s'agit d'un serveur qui n'est pas membre d'un domaine, vous configurerez les connexions entrantes à l'aide de l'assistant Connexion réseau. Si, toutefois, l'ordinateur est un serveur et un membre d'un domaine, vous devez utiliser le service Routage et accès distant pour configurer les connexions entrantes. Une certaine habitude de l'utilisation du service Routage et accès distant peut vous aider à configurer les réseaux privés virtuels et les pools de modems sur un serveur d'accès distant.
Module 7 : Configuration de l'accès distant 11 Configuration de connexions entrantes d'accès à distance Objectif de la diapositive Montrer comment installer le service Routage et accès distant. Introduction La majorité des ordinateurs qui créent des connexions entrantes sont membres d'un domaine. Les administrateurs doivent configurer les connexions entrantes sur les ordinateurs appartenant à un domaine, à l'aide du service Routage et accès distant. ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Pour configurer des connexions entrantes su un ordinateur appartenant à un domaine, vous devez utiliser le service Routage et accès distant. Pour configurer le serveur d'accès distant, exécutez la procédure ci-dessous. Conseils pédagogiques Présentez l'installation du service Routage et accès distant, en montrant que la console est installée, bien que le service ne soit pas initialement démarré. Insistez sur le fait que les stagiaires ne doivent pas réaliser l'installation en même temps que vous. Ils exécuteront cette tâche au cours de l'atelier. 1. Si besoin est, vérifiez la compatibilité de votre matériel en utilisant la liste HCL (Hardware Compatibility List), puis installez le matériel. 2. Installez et configurez tous les protocoles que les utilisateurs à distance utiliseront, tels que TCP/IP, NWLink, NetBEUI, et AppleTalk. 3. À partir du menu Outils d'administration, ouvrez le service Routage et accès distant. 4. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de votre ordinateur, puis cliquez sur Configurer et activer le routage et l'accès distant. 5. Dans l'assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant. 6. Dans la page Configurations communes, cliquez sur Serveur d'accès distant, puis sur Suivant. 7. Dans la page Protocoles du client distant, vérifiez que vous disposez de tous les protocoles de transport que vous souhaitez employer avec l'accès distant, puis cliquez sur Suivant. 8. Dans la page Sélection du réseau, sélectionnez la connexion réseau à laquelle les clients d'accès distant seront affectés, puis cliquez sur Suivant. 9. Dans la page Attribution d'adresses IP, sélectionnez Automatiquement ou A partir d'une plage d'adresses spécifiée afin d'attribuer des adresses IP aux clients entrants.
12 Module 7 : Configuration de l'accès distant 10. Dans la page Gestion des serveurs d'accès à distance multiples, choisissez si vous souhaitez configurer immédiatement le service RADIUS (Remote Authentication Dial-In User Service), puis cliquez sur Suivant. 11. Cliquez sur Terminer pour exécuter l'assistant. 12. Vérifiez que les clients d'accès à distance disposent bien d'une adresse IP appropriée, d'une adresse de serveur DNS (Domain Name System), d'une adresse réseau IPX, d'un nom NetBIOS, ou d'un réseau AppleTalk lorsqu'ils sont connectés. 13. Configurez les paramètres des stratégies d'accès distant, d'authentification et de cryptage.
Module 7 : Configuration de l'accès distant 13 Configuration de ports VPN Objectif de la diapositive Montrer l'emplacement des différents ports d'accès distant du service Routage et accès distant. Introduction Configurez les ports VPN à l'aide du service Routage et accès distant. Miniport réseau étendu (PPTP)(VPN3-4) VPN Inactive Miniport réseau étendu (PPTP)(VPN3-3) VPN Inactive Miniport réseau étendu (PPTP)(VPN3-2) VPN Inactive Miniport réseau étendu (PPTP)(VPN3-1) VPN Inactive Miniport réseau étendu (PPTP)(VPN3-0) VPN Inactive Miniport réseau étendu (L2TP)(VPN2-4) VPN Inactive Miniport réseau étendu (L2TP)(VPN2-3) VPN Inactive Miniport réseau étendu (L2TP)(VPN2-2) VPN Inactive Miniport réseau étendu (L2TP)(VPN2-1) VPN Inactive Miniport réseau étendu (L2TP)(VPN2-0) VPN Inactive Parallèle direct (LPT1) Parallèle Inactive Modem (COM 3) Modem Inactive Ports PPTP Ports L2TP Ports modem et câble ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Points clés Windows 2000 crée automatiquement cinq ports PPTP et cinq ports L2TP. Le nombre de ports VPN n'est pas limité par des considérations matérielles, comme c'est le cas pour les connexions par modem. Lorsque vous démarrez pour la première fois le service Routage et accès distant, Windows 2000 crée automatiquement cinq ports PPTP et cinq ports L2TP. Le nombre de ports VPN disponibles pour n'importe quel serveur d'accès distant n'est pas limité en fonction du matériel. Vous pouvez augmenter ou diminuer le nombre de ports VPN disponibles en fonction de la bande passante dont dispose le serveur d'accès distant. Remarque Si vous choisissez l'option Réseau privé virtuel (VPN) dans l'assistant Installation du serveur de routage et d'accès distant, Windows 2000 créera automatiquement 128 ports PPTP et 128 ports L2TP. Pour configurer les ports VPN sur le serveur, exécutez la procédure ci-dessous. 1. Dans l'arborescence de la console Routage et accès distant, ouvrez la boîte de dialogue Propriétés de Ports. 2. Dans la boîte de dialogue Propriétés de Ports, sélectionnez un périphérique ; pour les ports VPN, utilisez Miniport réseau étendu (PPTP) et Miniport réseau étendu (L2TP), puis cliquez sur Configurer. 3. Dans la boîte de dialogue Configurer le périphérique, activez la case à cocher Connexions d'accès distants (uniquement entrantes) pour activer les connexions entrantes. 4. Vous pouvez également augmenter ou diminuer le nombre de ports virtuels disponibles sur le serveur. 5. Cliquez sur OK dans les boîtes de dialogue Configurer le périphérique et Propriétés de Ports.
14 Module 7 : Configuration de l'accès distant Configuration des ports du modem et des câbles Objectif de la diapositive Illustrer les boîtes de dialogue permettant de configurer les ports du modem et les câbles. Introduction Les ports matériels sont configurés à partir du même endroit que les ports virtuels. Ports groupés par type Fonction du port : Numéro de téléphone (le cas échéant) Nombre de ports virtuels ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Lorsque vous démarrez le service Routage et accès distant pour la première fois, Windows 2000 détecte automatiquement les modems installés et crée des ports modem à leur intention. Windows 2000 crée également des ports pour chaque connexion par câble parallèle ou série détectée. Vous pouvez également configurer ces ports manuellement, sous Ports dans l'arborescence de la console Routage et accès distant. Pour configurer les ports modem ou câble sur le serveur, exécutez la procédure ci-dessous. 1. Dans l'arborescence de la console Routage et accès distant, ouvrez la boîte de dialogue Propriétés de Ports. 2. Dans la boîte de dialogue Propriétés de Ports, cliquez sur un périphérique, puis sur Configurer. Les ports modem, parallèle, et série sont présentés individuellement, bien qu'ils soient réunis ensemble et qu'ils puissent être configurés individuellement ou en groupe. Pour configurer plusieurs ports simultanément, appuyez sur CTRL tout en cliquant sur les ports concernés, puis cliquez sur Configurer. 3. Dans la boîte de dialogue Configurer les périphériques, activez la case à cocher Connexion d'accès distants (uniquement entrantes) pour activer les connexions entrantes. 4. Si vous configurez un port modem, saisissez un numéro de téléphone. 5. Cliquez sur OK dans les boîtes de dialogue Configurer le périphériques et Propriétés de Ports.
Module 7 : Configuration de l'accès distant 15 Configuration des paramètres d'appel entrant d'un utilisateur Objectif de la diapositive Montrer l'emplacement des paramètres d'appel entrant d'un utilisateur. Introduction Vous devez aussi configurer les propriétés d'appel entrant de l'utilisateur pour que l'accès distant fonctionne correctement. Autorisations Identité de l'appelant Rappel Routage IP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Conseil pédagogique Ouvrez la boîte de dialogue Propriétés d'un utilisateur pour montrer l'emplacement des paramètres d'appel entrant. Point clé Tous les paramètres de cet onglet doivent être en accord avec les paramètres du profil de stratégie et avec les conditions des tentatives de connexion. Ces paramètres doivent être modifiés avec prudence s'ils sont utilisés avec des stratégies d'accès distant. Sur un serveur autonome, vous configurez les paramètres d'appel entrant dans l'onglet Appel entrant de la boîte de dialogue Propriétés pour un compte d'utilisateur situé dans Utilisateurs et groupes locaux. Sur un serveur basé sur le service d'annuaire Active Directory, vous configurez ces paramètres dans l'onglet Appel entrant de la boîte de dialogue Propriétés pour un compte d'utilisateur situé dans la console Utilisateurs et ordinateurs Active Directory. Définition des autorisations d'accès distant Les paramètres Autorisation d'accès distant proposent des options permettant Permettre l'accès, de Refuser l'accès, ou de Contrôler l'accès via la Stratégie d'accès distant. Même si l'accès est permis de manière explicite, les conditions de la stratégie d'accès distant et les paramètres du compte d'utilisateur ou du profil peuvent toutefois faire échouer la tentative de connexion. L'option Contrôler l'accès via la Stratégie d'accès distant n'est disponible que pour les comptes d'utilisateurs des serveurs d'accès distant Windows 2000 autonomes ou membres d'un domaine Windows 2000 fonctionnant en mode natif. Activation de la vérification de l'identité de l'appelant Si la case à cocher Vérifier l'identité de l'appelant est activée, le serveur vérifie le numéro de téléphone de l'appelant. Si ce numéro ne correspond pas au numéro de téléphone configuré, la tentative de connexion échoue. Tous les éléments de la connexion doivent prendre en charge l'identification de l'appelant. Cela signifie que le serveur d'accès distant se sert alors d'un répondeur pour gérer l'identification de l'appelant et d'un pilote pour transmettre les informations sur l'appelant au service Routage et accès distant. Si vous configurez le paramètre d'identification de l'appelant pour un utilisateur et que vous ne disposez pas du pilote de transfert des informations sur l'appelant vers le service Routage et accès distant, la tentative de connexion échoue.
16 Module 7 : Configuration de l'accès distant Définition des options de rappel Si l'option de rappel est activée, le serveur rappelle un numéro de téléphone particulier (défini par l'appelant ou par l'administrateur réseau) pendant le processus de connexion. Attribution d'une adresse IP statique Si la case à cocher Attribution d'une adresse IP statique est activée, Windows 2000 attribue une adresse IP particulière à l'utilisateur lors de l'établissement d'une connexion. Application des itinéraires statiques Si la case à cocher Appliquer les itinéraires statiques est activée, l'administrateur réseau définit une série d'itinéraires IP statiques qui sont ajoutés à la table de routage du serveur d'accès distant lors de l'établissement d'une connexion. Ce paramètre est conçu pour être utilisé avec le routage à la demande. Important Si un serveur d'accès distant est membre d'un domaine Windows NT 4.0 ou d'un domaine Windows 2000 fonctionnant en mode mixte, seules les options Permettre l'accès et Refuser l'accès (sous Autorisation d'accès distant) et celles de la zone Options de rappel sont disponibles. Vous pouvez également utiliser le Gestionnaire des utilisateurs pour les domaines de Windows NT afin d'accorder ou de refuser l'accès distant et définir des options de rappel.
Configuration de connexions sortantes Module 7 : Configuration de l'accès distant 17 Objectif de la diapositive Énumérer les types de connexions sortantes configurées dans Windows 2000. Introduction Vous pouvez configurer quatre types de connexions sortantes dans Windows 2000. Utilisez l'assistant Connexion réseau pour configurer rapidement et facilement les connexions sortantes. Examen des options matérielles Création d'une connexion d'accès à distance Connexion à un réseau privé virtuel Connexion directe par le biais d'un câble ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Les connexions sortantes sont des connexions effectuées depuis un client vers un serveur. Bien qu' un ordinateur Windows 2000 Server puisse être considéré comme client, les clients sont généralement des machines exécutant Windows 2000 Professionnel. Les trois types de connexions sortantes suivantes existent : les connexions d'accès à distance, notamment : les connexions à un réseau ou à un serveur privé (Ces connexions peuvent concerner un ordinateur autonome, au domicile de l'utilisateur par exemple, ou un pool de modems sur le réseau intranet d'une entreprise.) ; les connexions à un fournisseur de services Internet. les connexions à un réseau privé virtuel ; les connexions directes vers un autre ordinateur via un câble.
18 Module 7 : Configuration de l'accès distant Dans Windows 2000, l'assistant Connexion réseau vous permet de configurer toutes les connexions sortantes. Avec ce processus, la majeure partie du travail de configuration des protocoles et des services est automatisée. Pour configurer efficacement les connexions, il est utile de bien comprendre les options de l'assistant Connexion réseau. Conseils Le Gestionnaire de connexion propose une interface utilisateur graphique de sorte que vos clients puissent se connecter à votre service en utilisant les caractéristiques de connexion et les numéros de téléphone que vous avez définis. L'Assistant Kit d'administration du Gestionnaire de connexion simplifie le processus de personnalisation en vous permettant de spécifier des éléments personnels propres à votre service, tel que la localité d'appel, les numéros de téléphone, et les paramètres propres au VPN. Il conçoit ensuite seul une installation personnalisée. Pour plus d'informations sur l'utilisation du Gestionnaire de connexion et sur la création de profils personnalisés avec l'assistant Kit d'administration du Gestionnaire de connexion, consultez l'aide de Windows 2000 Server.
Module 7 : Configuration de l'accès distant 19 Examen des options matérielles Objectif de la diapositive Illustrer les options de connectivité comprises dans Windows 2000 dans le cadre de l'accès distant. Introduction Le service Routage et accès distant prend en charge les technologies RTPC, ISDN, modems câble, X.25, et connexions directes. Méthodes de connexion RTPC Modem câble RNIS Réseau X.25 Connexion directe ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Vous pouvez connecter des clients à un serveur d'accès distant en utilisant l'un des nombreux types de matériels. Windows 2000 prend en charge les connexions offertes par la technologie RTPC, les lignes RNIS, les modems câble, un réseau X.25 ou encore les connexions directes par câble. Au moment de sélectionner le matériel de connexion à utiliser dans le cadre de l'accès distant, vous devrez prendre en considération les avantages et inconvénients de chaque solution. Matériel Avantages Inconvénients RTPC Disponibilité universelle; modems économiques; débits élevés autorisés par DSL Coûts de consommation importants ; faibles débits à moins d'utiliser la technologie DSL ; DSL n'est pas disponible partout et réclame l'usage de modems plus coûteux RNIS Plus rapide que la plupart des connexions RTPC ; lignes spécialisées ; large disponibilité dans les zones urbaines Débits peu élevés en comparaison de l'offre DSL ou des modems câble ; cartes onéreuses Modem câble Connexions très rapides Peu disponible ; modems onéreux Réseau X.25 Réseau dédié, sécurisé Cartes onéreuses Connexion directe (câbles parallèle, câbles série, ou capteurs infrarouges) Connexion dédiée simple et sécurisée ; câbles très économiques Distance entre les ordinateurs est limitée par la longueur du câble ou par la portée du capteur infrarouge
20 Module 7 : Configuration de l'accès distant Création d'une connexion d'accès à distance Objectif de la diapositive Montrer deux types de connexions d'accès à distance. Introduction L'Assistant connexion réseau permet de créer et de configurer une connexion sortante d'accès à distance. Client Client Assistant Connexion réseau Type de connexion réseau Vous pouvez choisir le type de connexion réseau que vous voulez créer en vous basant sur votre configuration Connexion à un réseau privé Connecter en utilisant ma ligne téléphonique (modem ou RNIS) Connexion à Internet Connecter en utilisant ma ligne téléphonique (modem ou RNIS) Internet Serveur d'accès distant Serveur du fournisseur ISP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** L'Assistant Connexion réseau permet de créer et de configurer une connexion sortante d'accès à distance à un réseau privé ou à un fournisseur de services Internet. Pour créer une nouvelle connexion sortante, exécutez la procédure ci-dessous. Conseil pédagogique Montrez comment créer ces connexions à l'aide de l'assistant Connexion réseau. 1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Connexion réseau et accès à distance. 2. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez sur Nouvelle connexion. 3. Dans l'assistant Connexion réseau, cliquez sur Suivant, puis sur Connexion à un réseau privé ou sur Connexion à Internet. 4. Effectuez l'une des actions ci-dessous. Si vous avez cliqué sur Connexion à un réseau privé, tapez le numéro de téléphone de l'ordinateur auquel vous souhaitez vous connecter. Il peut s'agir d'un fournisseur de services Internet pour une connexion à Internet, ou des modems de votre réseau privé. Si vous avez cliqué sur Connexion à Internet, vous verrez démarrer l'assistant Connexion Internet. Suivez toutes les instructions de l'assistant afin de créer la connexion.
Module 7 : Configuration de l'accès distant 21 Point clé Expliquez la différence entre le partage de la connexion et la mise à disposition d'un accès partagé. Le premier se réfère à l'icône de connexion proprement dite, et le second aux ressources auxquelles la connexion permet d'accéder. 5. Si vous souhaitez que tous les utilisateurs de cet ordinateur puissent utiliser cette connexion, sélectionnez Pour tous les utilisateurs, puis cliquez sur Suivant. Pour que vous soyez le seul à pouvoir utiliser cette connexion, sélectionnez Uniquement pour moi, puis cliquez sur Suivant. 6. Si vous avez sélectionné Uniquement pour moi à l'étape précédente, passez directement à la dernière étape. Si vous avez sélectionné Pour tous les utilisateurs et que vous souhaitez permettre à d'autres ordinateurs d'accéder aux ressources externes par l'intermédiaire de cette connexion d'accès à distance, activez la case à cocher Activer le Partage de connexion Internet pour cette connexion. 7. Par défaut, la sélection de l'accès partagé active également la fonction de connexion à la demande. Si vous ne souhaitez pas que d'autres ordinateurs puissent automatiquement appeler cette connexion, désactivez la case à cocher Activer la connexion à la demande, puis cliquez sur Suivant. 8. Tapez un nom pour la connexion, puis cliquez sur Terminer.
22 Module 7 : Configuration de l'accès distant Connexion à un réseau privé virtuel Objectif de la diapositive Présenter le concept de réseau privé virtuel. Introduction L'Assistant Connexion réseau permet de créer une connexion à un réseau VPN en spécifiant la connexion initiale et le nom d'hôte ou l'adresse du serveur VPN. Carte Internet Internet Tunnel Intranet de l'entreprise Carte de l'intranet Serveur VPN Windows 2000 Client d'accès distant VPN ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** L'Assistant Connexion réseau permet également de créer une connexion à un réseau privé virtuel. Pour créer une nouvelle connexion à un réseau virtuel, exécutez la procédure ci-dessous. Point clé Indiquez que vous ne pouvez être invité à composer une connexion initiale que s'il existe déjà une icône de connexion initiale. 1. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez sur Nouvelle connexion. 2. Dans l'assistant Connexion réseau, sélectionnez Connexion à un réseau privé via Internet, cliquez sur Suivant, puis effectuez l'une des actions ci-dessous. Si vous devez vous connecter à votre fournisseur de services Internet ou à tout autre réseau avant de vous connecter au réseau VPN, cliquez sur Composer automatiquement pour cette connexion initiale, sélectionnez une connexion dans la liste, puis cliquez sur Suivant. Si vous ne souhaitez pas établir automatiquement de connexion initiale, cliquez sur Ne pas composer automatiquement la connexion initiale, puis sur Suivant. 3. Tapez le nom d'hôte ou l'adresse IP de l'ordinateur auquel vous vous connectez, puis cliquez sur Suivant. 4. Si vous souhaitez que tous les utilisateurs de cet ordinateur puissent utiliser cette connexion, sélectionnez Pour tous les utilisateurs, puis cliquez sur Suivant. Pour que vous soyez le seul à pouvoir utiliser cette connexion, sélectionnez Uniquement pour moi, puis cliquez sur Suivant.
Module 7 : Configuration de l'accès distant 23 5. Si vous avez sélectionné Uniquement pour moi à l'étape précédente, passez directement à la dernière étape. Si vous avez sélectionné Pour tous les utilisateurs et que vous souhaitez permettre à d'autres ordinateurs d'accéder aux ressources externes par l'intermédiaire de cette connexion d'accès à distance, activez la case à cocher Activer le Partage de connexion Internet pour cette connexion. 6. Par défaut, la sélection de l'accès partagé active également la fonction de connexion à la demande. Si vous ne souhaitez pas que d'autres ordinateurs puissent automatiquement appeler cette connexion, désactivez la case à cocher Activer la connexion à la demande, puis cliquez sur Suivant. 7. Tapez un nom pour la connexion, puis cliquez sur Terminer.
24 Module 7 : Configuration de l'accès distant Connexion directe par le biais d'un câble Objectif de la diapositive Montrer les principales pages de l'assistant Connexion réseau permettant d'établir une connexion directe. Introduction L'Assistant Connexion réseau permet également de créer une connexion directe (par câble) à un autre ordinateur, à moins que vous ne soyez membre d'un domaine et que vous souhaitiez héberger une connexion directe. ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** L'Assistant Connexion réseau permet également de créer une connexion directe (par câble ou par infrarouge) à un autre ordinateur. Toutefois, si vous êtes membre d'un domaine et que vous souhaitez héberger une connexion directe, utilisez le service Routage et accès distant plutôt que de configurer le port comme vous le feriez avec un port modem. Pour créer une connexion directe vers un autre ordinateur, exécutez la procédure ci-dessous. 1. Dans la fenêtre Connexions réseau et accès à distance, cliquez sur Nouvelle connexion. 2. Dans l'assistant Connexion réseau, sélectionnez Connecter directement à un autre ordinateur, cliquez sur Suivant, puis effectuez l'une des actions ci-dessous. Si votre ordinateur doit héberger la connexion, cliquez sur Hôte, puis sur Suivant. Si votre ordinateur est l'invité de la connexion, cliquez sur Invité, puis sur Suivant. 3. Sélectionnez le port connecté à l'autre ordinateur, puis cliquez sur Suivant. 4. Si vous souhaitez que tous les utilisateurs de cet ordinateur puissent utiliser cette connexion, sélectionnez Pour tous les utilisateurs, puis cliquez sur Suivant. Pour que vous soyez le seul à pouvoir utiliser cette connexion, sélectionnez Uniquement pour moi, puis cliquez sur Suivant. 5. Si vous avez sélectionné Uniquement pour moi à l'étape précédente, passez à l'étape suivante. Si vous avez sélectionné Pour tous les utilisateurs et que vous souhaitez permettre à d'autres ordinateurs d'accéder aux ressources externes par l'intermédiaire de cette connexion d'accès à distance, activez la case à cocher Activer le Partage de connexion Internet pour cette connexion, puis cliquez sur Suivant. 6. Tapez un nom pour la connexion, puis cliquez sur Terminer.
Module 7 : Configuration de l'accès distant 25 Configuration de connexions à liaisons multiples Objectif de la diapositive Montrer la fonction de liaison dynamique du protocole BAP. Introduction Le protocole BAP permet aux serveurs à liaisons multiples de réallouer dynamiquement des ressources matérielles si davantage de bande passante est nécessaire. A A B B Liaisons multiples Serveur d'accès distant Liaisons multiples avec BAP Serveur d'accès distant C La connexion change à la demande ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Les liaisons multiples permettent à l'utilisateur de combiner des chemins de modems analogiques, des chemins RNIS, et même de mixer des liaisons de communications analogiques et numériques sur les serveurs et clients. Les liaisons multiples associent plusieurs liaisons physiques en un ensemble logique permettant d'augmenter la bande passante. Les liaisons multiples permettent à votre ordinateur d'utiliser deux ou plusieurs ports de communication comme s'il n'en employait qu'un seul dont la bande passante serait supérieure. Ceci implique que si vous vous servez de deux modems pour vous connecter à Internet, votre connexion sera deux fois plus rapide qu'avec un seul modem. Par exemple, un ordinateur équipé de quatre modems opérant à 33 Kb/s, chaque modem étant relié à une ligne téléphonique, pourra se connecter à un serveur d'accès à distance à l'aide de ces modems multiples tout en conservant un taux de transfert de 134,4 Kb/s. Quatre lignes RNIS 128 Kb/s offriront un débit de 512 Kb/s. Pour connecter plusieurs périphériques, votre connexion et le serveur d'accès à distance doivent autoriser les liaisons multiples. La fonction Liaisons multiples du service Routage et accès distant utilise le protocole PPP. Windows 2000 prend également en charge le protocole BAP (Bandwidth Allocation Protocol) dans le cadre des liaisons multiples.
26 Module 7 : Configuration de l'accès distant Protocole à liaisons multiples PPP Le protocole à liaisons multiples PPP combine la bande passante de deux ou plusieurs lignes de communication pour créer une seule connexion de données virtuelle. Il offre ainsi une bande passante évolutive basée sur la charge des données. Le service Routage et accès distant peut utiliser le protocole à liaisons multiples sur plusieurs cartes modem, RNIS ou X.25. Le client comme le serveur d'accès distant doit autoriser le mode liaisons multiples. BAP BAP améliore les liaisons multiples en ajoutant ou en supprimant dynamiquement des liaisons à la demande. BAP est particulièrement intéressant pour les opérations dans lesquelles les frais de transport sont calculés en fonction de l'utilisation de la bande passante. BAP est un protocole de contrôle PPP qui collabore avec PPP pour fournir de la bande passante à la demande. Remarque Pour plus d'informations sur le protocole à liaisons multiples, consultez la RFC 1990, et pour plus d'informations sur le protocole BAP, consultez la RFC 2125 située sous Lectures complémentaires dans la page Web du CD-ROM du stagiaire. Configuration des protocoles à liaisons multiples et BAP sur le serveur d'accès distant Vous pouvez activer les protocoles à liaisons multiples PPP et BAP au niveau du serveur, dans l'onglet PPP de la boîte de dialogue Propriétés de chaque serveur d'accès distant. Activez les cases à cocher Connexions à liaisons multiples et Contrôle de largeur de bande dynamique en utilisant les protocoles BAP ou BACP pour activer respectivement les protocoles à liaisons multiples PPP et BAP. C'est la seule configuration nécessaire pour que le serveur accepte les connexions à liaisons multiples.
Module 7 : Configuration de l'accès distant 27 Configuration des liaisons multiples sur le client d'accès distant Pour configurer une connexion sortante avec plusieurs périphériques, exécutez la procédure ci-dessous. 1. Cliquez avec le bouton droit sur la connexion sur laquelle vous souhaitez activer la numérotation de plusieurs périphériques, puis cliquez sur Propriétés. 2. Sous l'onglet Général, activez les cases à cocher de tous les périphériques que la connexion devra employer. 3. Sous l'onglet Options, dans Périphériques multiples, effectuez l'une des actions ci-dessous. a. Si vous souhaitez que Windows 2000 utilise uniquement le premier périphérique de connexion disponible, cliquez sur Ne composer que sur le premier périphérique disponible, puis sur Configurer. b. Si vous voulez que Windows 2000 utilise tous vos périphériques, cliquez sur Composer sur tous les périphériques, puis sur Configurer. c. Si vous voulez que Windows 2000 appelle de manière dynamique et raccroche si nécessaire, cliquez sur Ne composer que si nécessaire, puis sur Configurer. i. Dans la boîte de dialogue Numérotation et raccrochage automatiques, cliquez sur le pourcentage Activité au moins égale à et sur le temps à sélectionner dans la zone Durée au moins égale à. Une autre ligne est utilisée si l'activité de la connexion atteint ce niveau pendant la durée spécifiée. ii. Dans la boîte de dialogue Raccrochage automatique, cliquez sur le pourcentage Activité ne dépassant pas et sur le temps à sélectionner dans la zone Durée au moins égale à. Un périphérique sera raccroché lorsque l'activité de la connexion décroîtra à ce niveau déterminé pour la durée minimale que vous avez spécifiée. Cliquez ensuite sur OK. 4. Cliquez sur OK.
28 Module 7 : Configuration de l'accès distant Atelier A : Configuration d'une connexion VPN Objectif de la diapositive Présenter l'atelier. Introduction Dans cet atelier, vous allez créer une connexion VPN. ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes : installez la console Routage et accès distant ; configurer cette console de manière à permettre des connexions VPN entrantes ; configurer et tester une connexion VPN sortante à l'aide de l'assistant Connexion réseau. Conditions préalables Avant de poursuivre, vous devez vous familiariser avec les concepts d'accès distant et de réseau VPN. Mise en place de l'atelier Pour réaliser cet atelier, vous devez disposer des éléments suivants : un ordinateur exécutant Windows 2000 Advanced Server configuré en tant que contrôleur de domaine ; une adresse IP statique et un masque de sous-réseau ; un partenaire disposant d'un ordinateur configuré à l'identique.
Module 7 : Configuration de l'accès distant 29 Les informations ci-dessous vous seront également nécessaires. Si vous avez des questions sur ces valeurs, n'hésitez pas à interroger votre instructeur. Numéro Notez les valeurs ici Votre numéro de stagiaire x = Le numéro de stagiaire de votre partenaire y = Votre numéro de classe (habituellement 1) z = Scénario Certains employés de votre société, Northwind Traders, se déplacent sur des sites distants. Vous ne disposez pas des ressources nécessaires à la mise en œuvre d'un réseau international permettant d'établir des connexions avec des localités distantes. Aussi, allez-vous configurer un serveur VPN sur Internet, et autoriser votre équipe à se connecter au réseau via la connexion VPN. Durée approximative de cet atelier : 45 minutes
30 Module 7 : Configuration de l'accès distant Exercice 1 Configuration de connexions VPN entrantes Scénario L'équipe commerciale de Northwind Traders a commencé à se déplacer sur des sites distants. Bien que la force de vente en déplacement ait accès à Internet depuis tous les sites distants, ses membres ont toujours besoin d'accéder à votre réseau pour des démonstrations. Il vous faut activer un accès distant sécurisé à votre réseau par Internet pour ces utilisateurs itinérants. Objectif Dans cet exercice, vous allez installer le service Routage et accès distant, créer des ports VPN et accorder des autorisations d'accès au compte Administrateur pour effectuer des essais. Tâche 1. Installez la console Routage et accès distant. Utilisez l'assistant de configuration pour configurer le serveur d'accès distant avec les valeurs ci-dessous. Pour l'adresse IP, utilisez 10.x.0.10 (où x représente votre numéro de stagiaire). Plage d'adresses : 5 adresses. Détails a. Ouvrez une session en tant qu'administrateur@domaine.nwtraders.msft (où domaine représente le nom de votre domaine), avec le mot de passe password. b. À partir du menu Outils d'administration, ouvrez le service Routage et accès distant. c. Dans l'arborescence de la console, cliquez avec le bouton droit sur serveur (où serveur représente le nom de votre ordinateur), puis cliquez sur Configurer et activer le routage et l'accès distant. d. Dans l'assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant. e. Dans la page Configurations communes, cliquez sur Serveur d'accès distant, puis sur Suivant. f. Dans la page Protocoles du client distant, cliquez sur Suivant. g. Dans la page Sélection du réseau, sous Nom, vérifiez que Connexion au réseau local est sélectionné, puis cliquez sur Suivant. h. Dans la page Attribution d'adresses IP, cliquez sur À partir d'une plage d'adresses spécifiée, puis cliquez sur Suivant. i. Dans la page Assignation de plage d'adresses, cliquez sur Nouveau. j. Dans la zone Adresse IP de début, tapez 10.x.0.10 (où x représente votre numéro de stagiaire), puis dans la boîte Nombre d'adresses, tapez 5 k. Cliquez sur OK, puis sur Suivant. l. Dans la page Gestion des serveurs d'accès à distance multiples, vérifiez que l'option Non, je ne veux pas configurer ce serveur pour utiliser RADIUS maintenant est sélectionnée, cliquez sur Suivant, puis sur Terminer. m. Cliquez sur OK afin de fermer le message Routage et accès distant, puis fermez la console Routage et accès distant.
Module 7 : Configuration de l'accès distant 31 (suite) Tâche 2. Accordez des autorisations d'appel entrant au compte Administrateur. Détails a. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. b. Dans l'arborescence de la console, développez domaine (où domaine représente votre nom de domaine), cliquez sur Users, puis dans le volet de détails, double-cliquez sur Administrateur. c. Dans l'onglet Appel entrant, vérifiez que Permettre l'accès est sélectionné, puis cliquez sur OK. d. Fermez la fenêtre Utilisateurs et ordinateurs Active Directory.
32 Module 7 : Configuration de l'accès distant Exercice 2 Configuration et test des connexions VPN sortantes Scénario Pour vérifier que l'accès distant fonctionne pour les utilisateurs itinérants, vous devez vous connecter au serveur d'accès distant que vous avez installé et configuré. Objectif Dans cet exercice, vous allez créer et tester une connexion VPN au serveur d'accès distant de votre partenaire. Tâche Détails Les deux partenaires doivent avoir exécuté la procédure précédente avant que l'un d'eux ne puisse continuer. 1. Utilisez l'assistant Connexion réseau pour configurer une connexion VPN à l'ordinateur de votre partenaire. Indicatif régional : Indicatif de votre région. Type de connexion réseau : Connexion à un réseau privé via Internet. Adresse de destination : 192.168. 192.168 x.y (où x représente votre numéro de classe et y représente le numéro de stagiaire de votre partenaire). Page Disponibilité de connexion : Uniquement pour moi. a. Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur Propriétés. b. Dans la fenêtre Connexions réseau et accès à distance, double-cliquez sur Établir une nouvelle connexion. c. Dans la page Information sur le site, saisissez un indicatif régional, cliquez sur OK, puis cliquez sur OK afin de fermer la boîte de dialogue Options de modems et téléphonie. d. Dans l'assistant Connexion réseau, cliquez sur Suivant. e. Dans la page Type de connexion réseau, cliquez sur Connexion à un réseau privé via Internet, puis sur Suivant. f. Dans la page Adresse de destination, tapez 192.168.z.y (où z représente votre numéro de classe et y représente le numéro de stagiaire de votre partenaire), puis cliquez sur Suivant. g. Dans la page Disponibilité de connexion, sélectionnez Uniquement pour moi, cliquez sur Suivant, puis sur Terminer. 2. Démarrez une connexion à l'ordinateur de votre partenaire, en ouvrant une session en tant qu'administrateur. a. Dans la boîte de dialogue Connexion à Connexion privée virtuelle (VPC), vérifiez que le nom d'utilisateur est Administrateur, tapez le mot de passe password dans la zone Mot de passe, puis cliquez sur Se connecter. Une fois connecté à l'ordinateur de votre partenaire, un message s'affiche pour annoncer que la «connexion privée virtuelle» est maintenant établie. Remarquez qu'une icône représentant la nouvelle connexion apparaît dans la barre d'état système. b. Cliquez sur OK pour fermer le message Connexion établie. c. Fermez la fenêtre Connexions réseau et accès à distance.
Module 7 : Configuration de l'accès distant 33 (suite) Tâche Détails 3. Utilisez l'utilitaire Ipconfig pour vérifier que vous avez établi une connexion VPN et obtenu une adresse IP pour cette connexion. a. À l'invite, tapez ipconfig, puis appuyez sur ENTRÉE. Quatre cartes réseau s'affichent : la carte réseau Connexion au réseau local, la carte Connexion au réseau local 2, la connexion au serveur d'accès distant et la connexion de réseau privé virtuel. L'adresse IP de la connexion VPN a été attribuée à partir du pool d'adresses statiques sur l'ordinateur de votre partenaire. b. Fermez la fenêtre d'invite. 4. Fermez la connexion. a. Double-cliquez sur l'icône Connexion dans la barre d'état système. b. Dans la boîte de dialogue Connexion privée virtuelle, cliquez sur Se Déconnecter. c. Fermez toutes les fenêtres.
34 Module 7 : Configuration de l'accès distant Configuration des protocoles d'authentification Objectif de la diapositive Énumérer les sujets relatifs aux protocoles d'authentification. Introduction Plusieurs protocoles peuvent être utilisés pour authentifier les utilisateurs de votre réseau. Protocoles d'authentification standard Protocoles EAP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Les serveurs d'accès distant utilisent une authentification afin de déterminer l'identité des utilisateurs qui essaient de se connecter à distance au réseau. Une fois qu'un utilisateur s'est authentifié, il reçoit les autorisations d'accès appropriées et est autorisé à se connecter au réseau. L'authentification correcte et sécurisée des comptes d'utilisateur est une opération fondamentale de la sécurité du réseau. Sans authentification, un grand nombre d'utilisateurs non-autorisés potentiels peuvent accéder à votre réseau. Le service Routage et accès distant utilise plusieurs protocoles pour mettre en œuvre l'authentification, et permet également l'utilisation de protocoles EAP (Extensible Authentification Protocol), par le biais desquels, vous pourrez utiliser des protocoles d'autres fournisseurs.
Module 7 : Configuration de l'accès distant 35 Protocoles d'authentification standard Objectif de la diapositive Lister les niveaux de sécurité et les utilisations appropriées des protocoles d'authentification standard. Introduction Windows 2000 prend en charge différents protocoles standard d'authentification, certains étant plus sûrs que d'autres. Protocole PAP SPAP CHAP MS-CHAP Sécurité Faible Moyenne Haute Haute Circonstances d'utilisation Le client et le serveur ne peuvent pas négocier en utilisant une validation plus sécurisée Connexion à un Shiva LanRover, ou lorsqu'un client Shiva se connecte à un serveur d'accès distant Windows 2000 Vous disposez de clients qui n'exécutent pas un système d'exploitation Microsoft Vous disposez de clients exécutant Windows NT versions 4.0 et ultérieures, ou Microsoft Windows versions 95 et ultérieures MS-CHAP version 2 Haute Vous disposez de clients d'accès à distance exécutant Windows 2000 ou de clients VPN exécutant Windows NT 4.0 ou Windows 98 ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Windows 2000 prend en charge un certain nombre de protocoles d'authentification qui présentent des niveaux de sécurité variables. L'activation des protocoles d'authentification standard s'effectue dans le service Routage et accès distant en activant les cases à cocher correspondantes de l'onglet Sécurité dans la boîte Propriétés pour le serveur d'accès distant. Seuls les protocoles que vous sélectionnez sous cet onglet peuvent être employés pour authentifier les utilisateurs du serveur d'accès distant. PAP Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en clair. Si ces mots de passe correspondent, le serveur autorise l'accès au client distant. Ce protocole procure une protection minimale contre les accès non-autorisés. SPAP Le protocole SPAP (Shiva Password Authentication Protocol) consiste en un mécanisme de cryptage réversible de deux manières. Il est employé par Shiva, un constructeur matériel. SPAP crypte les données relatives au mot de passe qui est envoyé entre le client et le serveur. Par essence, ce protocole est donc plus sûr que le protocole PAP.
36 Module 7 : Configuration de l'accès distant CHAP Le protocole CHAP (Challenge Handshake Authentication Protocol [également connu sous le nom Message Digest 5 [MD5]-CHAP]) consiste en un protocole d'authentification par challenge. CHAP utilise le schéma de cryptage standard MD5 pour coder la réponse, ce qui permet d'obtenir un niveau de protection particulièrement élevé contre les accès non-autorisés. Le processus d'authentification fonctionne comme indiqué ci-dessous. 1. Le serveur d'accès distant envoie au client distant un challenge consistant en un identificateur de session et une chaîne de challenge arbitraire. 2. Le client d'accès distant envoie une réponse qui contient le nom de l'utilisateur ainsi qu'un cryptage de la chaîne challenge, l'identificateur de la session, et le mot de passe. 3. Le serveur d'accès distant vérifie la réponse. Si celle-ci est valide, il autorise la connexion. MS-CHAP Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) est un protocole d'authentification par mot de passe crypté en une passe. Si le serveur utilise MS-CHAP en tant que protocole d'authentification, il peut utiliser MPPE (Microsoft Point-to-Point Encryption) pour crypter les données vers le client ou le serveur. Sur un serveur d'accès distant exécutant Windows 2000 MS-CHAP est activé par défaut. MS-CHAP version 2 Une nouvelle version de MS-CHAP, MS-CHAP version 2, est désormais disponible. Ce nouveau protocole offre l'authentification mutuelle, des clés de cryptage initial de données plus robustes ainsi que différentes clés de cryptage pour l'envoi et la réception. Pour les connexions VPN, Windows 2000 Server propose MS-CHAP version 2 avant MS-CHAP. Windows 2000 se connecte et les connexions VPN peuvent utiliser MS-CHAP version 2. Les ordinateurs exécutant Windows NT 4.0 et Microsoft Windows 98 peuvent uniquement utiliser l'authentification MS-CHAP version 2 pour les connexions VPN.
Module 7 : Configuration de l'accès distant 37 Sélection des protocoles d'authentification Le tableau suivant décrit les situations appropriées à l'usage de ces protocoles : Protocoles Sécurité Circonstances d'utilisation PAP Faible Le client et le serveur ne parviennent pas à négocier en utilisant une validation plus sécurisée. SPAP Moyenne Connexion à un Shiva LanRover, ou lorsqu'un client Shiva se connecte à un serveur d'accès distant Windows 2000. CHAP Haute Vous disposez de clients qui n'exécutent pas un système d'exploitation Microsoft. MS-CHAP Haute Vous disposez de clients exécutant Windows 2000, Windows NT 4.0 ou Microsoft Windows version 95 ou ultérieure. MS-CHAP version 2 Haute Vous disposez de clients d'accès à distance, exécutant Windows 2000 ou de clients VPN exécutant Windows NT 4.0 ou Windows 98. MS-CHAP v2 constitue le type d'authentification le plus sûr.
38 Module 7 : Configuration de l'accès distant Protocoles EAP Objectif de la diapositive Déterminer les différents points clés relatifs au protocole EAP. Introduction Le protocole EAP a été conçu pour offrir des méthodes propriétaires et de futures méthodes d'authentification. Permettent au client et au serveur de négocier la méthode d'identification qu'ils utiliseront Prennent en charge l'authentification en utilisant MD5-CHAP TLS Méthodes d'authentification supplémentaires d'autres fournisseurs Garantissent la prise en charge des futures méthodes d'authentification par le biais d'une interface API ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Le protocole EAP permet aux serveurs d'accès distant de disposer d'une authentification personnalisée. Le client et le serveur d'accès distant négocient la méthode d'authentification à mettre en œuvre. Le protocole EAP prend en charge l'authentification à l'aide des éléments ci-dessous. MD5-CHAP. Ce protocole crypte les noms d'utilisateur et les mots de passe par l'entremise d'un algorithme MD5. TLS. Le protocole TLS (Transport Layer Security) est utilisé pour les périphériques intermédiaires de sécurité, comme les cartes à puce. Ces dernières nécessitent une carte et un lecteur. Elles stockent, sous forme électronique, le certificat et la clé privée des utilisateurs. Méthodes d'authentification supplémentaires d'autres fournisseurs. Le protocole EAP autorise les vendeurs à ajouter leurs propres méthodes d'authentification, telles que les cartes à jeton. Les cartes à jeton sont des cartes physiques qui fournissent des mots de passe et peuvent utiliser plusieurs méthodes d'authentification, dont l'utilisation de codes modifiés à chaque utilisation. L'utilisation des interfaces de programmation d'application (API, Application Programming Interface) du protocole EAP permet aux fournisseurs de logiciels indépendants de proposer de nouvelles méthodes d'authentification clients et serveurs pour les cartes à jeton, les cartes à puce et le matériel biométrique (qui analyse la rétine ou les empreintes digitales) et pour les futures technologies d'authentification.
Module 7 : Configuration de l'accès distant 39 Pour autoriser l'authentification EAP, ouvrez le service Routage et accès distant, cliquez avec le bouton droit sur votre serveur, puis cliquez sur Propriétés. Les paramètres de configuration sont regroupés sous l'onglet Sécurité. Vous activez et configurez des différents types de protocoles EAP dans l'onglet Authentification de la boîte de dialogue Modifier un profil d'appel entrant pour la stratégie d'accès distant. Remarque Pour plus d'informations sur le protocole EAP, consultez les RFC 2284 et 2716 situées sous Lectures complémentaires dans la page Web du CD-ROM du stagiaire.
40 Module 7 : Configuration de l'accès distant Configuration des protocoles de cryptage Objectif de la diapositive Illustrer le concept d'une opération IPSec. Introduction IPSec garantit la sécurité des communications sur un réseau IP en cryptant les données. Les membres du groupe possédant ce profil d'appel entrant peuvent utiliser le cryptage de données DES 56 bits IPSec ou 40 bits MPPE Les membres du groupe possédant ce profil d'appel entrant peuvent utiliser le cryptage de données DES 56 bits IPSec ou 56 bits MPPE Les membres du groupe possédant ce profil d'appel entrant peuvent utiliser le cryptage de données 3DES IPSec ou 128 bits MPP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Le cryptage des données garantie la sécurité par encodage ou cryptage des données qui sont envoyées entre un client d'accès distant et un serveur d'accès distant. Dans le cadre d'installations réclamant une sécurité maximale, l'administrateur peut paramétrer le serveur afin d'imposer le cryptage des communications. Les clients qui se connectent à ce serveur doivent alors encoder leurs données, sinon le serveur refusera leur connexion. Vous activez les protocoles de cryptage sous l'onglet Cryptage dans la boîte de dialogue Modifier un profil dans le cadre de la stratégie d'accès distant. Important Le cryptage de données n'est disponible que si vous utilisez MS-CHAP (v1 ou v2) ou encore TLS (un protocole EAP) en tant que protocole d'authentification. Il existe deux méthodes de cryptage des données transmises par le biais d'une connexion d'accès distant Windows 2000 : MPPE et IPSec. Cryptage des données à l'aide du protocole MPPE MPPE crypte les données qui se déplacent d'une connexion PPTP au serveur VPN. Il propose trois niveaux de cryptage : schémas le plus fort (128 bits), fort (56 bits) et basique (40 bits). Remarque Pour le cryptage 128 bits, vous devez télécharger le pack de cryptage élevé Windows 2000 à partir du site Web de mise à jour de Windows.
Module 7 : Configuration de l'accès distant 41 Cryptage des données à l'aide du protocole IPSec IPSec est une enveloppe de standards ouverts qui garantie la sécurité des communications sur des réseaux IP en utilisant les technologies de cryptage. IPSec fournit une protection efficace contre les attaques qui ont pour cible les réseaux privés et Internet. IPSec est particulièrement simple à utiliser. Les clients négocient une association sécurisée qui joue le rôle de clé privée de cryptage du flot de données. Vous utilisez les stratégies IPSec afin de configurer des services de sécurité IPSec. Ces services offrent une protection pour la plupart des trafics réseau. Votre administrateur chargé de la sécurité sur le réseau peut configurer les stratégies IPSec pour garantir le niveau de sécurité exigé d'un utilisateur, d'un groupe, d'une application, d'un domaine, d'un site ou du réseau global d'une entreprise. Vous créez et gérez les stratégies IPSec en utilisant le service Gestion de la stratégie de sécurité du protocole IP, qui est un composant enfichable que vous pouvez ajouter à la console MMC (Microsoft Management Console). Remarque Pour plus d'informations sur la configuration des stratégies IPSec, consultez le module 6, «Configuration de la sécurité du réseau à l'aide du protocole IPSec», du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000.
42 Module 7 : Configuration de l'accès distant Configuration du service Routage et accès distant pour intégrer le protocole DHCP Objectif de la diapositive Introduire les articles relatifs à la configuration du service Routage et accès distant pour intégrer le protocole DHCP. Introduction Vous pouvez configurer le serveur DHCP afin d'attribuer des adresses IP aux clients d'accès distant à partir d'un pool d'adresses existant. Attribution d'adresses IP aux clients d'accès distant à l'aide du protocole DHCP Configuration du service Routage et accès distant pour une utilisation avec le protocole DHCP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Lorsque vous configurez un serveur d'accès distant pour permettre à des clients de se connecter au réseau d'une entreprise par le biais d'une connexion à distance, vous devez sélectionner le mode d'adressage IP parmi les options décrites ci-dessous. Adresse IP statique. Vous configurez l'adresse IP sur l'ordinateur client. Lorsque les clients utilisent des adresses IP préattribuées, vous devez vous assurer que l'adresse IP est valide pour chaque réseau auquel le client se connecte et qu'aucun autre client n'utilise la même adresse. De ce fait, il n'est pas recommandé d'utiliser des adresses IP statiques dans le cadre de l'accès réseau à distance. À partir d'une plage d'adresses IP. Un serveur d'accès distant peut attribuer une adresse IP à partir d'une plage d'adresses que vous avez configurée. Si vous optez pour cette solution, vous devez vous assurer que vous disposez de suffisamment d'adresses IP allouées exclusivement au serveur d'accès distant à attribuer aux ordinateurs clients.
Module 7 : Configuration de l'accès distant 43 À partir du serveur DHCP. Un serveur d'accès distant peut obtenir des adresses IP à partir d'un serveur DHCP pour ensuite les attribuer aux clients d'accès à distance. Il s'agit de la configuration la plus souple car vous n'avez pas à réserver des adresses IP qui seront utilisées par des clients d'accès à distance, et vous n'avez qu'un seul pool d'adresses à gérer. Remarque Pour plus d'informations sur la manière dont les clients d'accès à distance obtiennent un masque sous-réseau et des adresses de serveurs DNS et de serveurs WINS, consultez la section «DHCP Option Parameters» du Kit de Ressources Techniques Microsoft Windows 2000 Server. Conseil Lorsque vous utilisez le protocole DHCP pour obtenir des adresses IP pour des clients d'accès à distance, vous pouvez réduire le nombre d'adresses IP nécessaires, en définissant un laps de temps relativement court, une heure par exemple. En agissant de la sorte, vous pouvez prendre en charge plusieurs clients d'accès à distance tout en ne conservant qu'une faible quantité d'adresses IP attribuées. Un serveur d'accès distant ne requiert qu'un nombre d'adresses IP égal à celui du nombre de clients connectés simultanément.
44 Module 7 : Configuration de l'accès distant Attribution d'adresses IP aux clients d'accès distant à l'aide du protocole DHCP Objectif de la diapositive Expliquer les implications de l'utilisation du protocole DHCP afin d'attribuer des adresses IP aux clients d'accès distant. Introduction Le serveur d'accès distant obtient du serveur DHCP, 10 adresses IP à la fois. Si le serveur DHCP est disponible Le serveur d'accès distant obtient dix adresses IP simultanément Si le serveur DHCP n'est pas disponible Le serveur d'accès distant utilise l'adressage IP privé automatique ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Si le serveur d'accès distant est configuré pour utiliser le protocole DHCP pour d'obtenir les adresses IP, il obtient initialement 10 adresses. Le serveur d'accès distant utilise la première adresse IP obtenue du serveur DHCP pour son propre compte, et attribue les adresses suivantes aux clients d'accès distant utilisant TCP/IP lorsqu'ils se connectent. Les adresses IP qui sont libérées lorsque les clients se déconnectent sont immédiatement réutilisées. Lorsque les 10 adresses IP sont utilisées, le serveur d'accès distant en obtient 10 autres. Lorsque le service Routage et accès distant est arrêté, toutes les adresses IP obtenues du serveur DHCP sont immédiatement libérées. Si un serveur DHCP n'est pas disponible au démarrage du service Routage et accès distant, les adresses IP privées automatiques de la plage de 169.254.0.1 à 169.254.255.254 sont utilisées. Ceci peut empêcher les ordinateurs clients d'accéder aux ordinateurs de votre réseau, à l'exception du serveur d'accès distant. Vous devrez donc vous assurer qu'un serveur DHCP est toujours disponible.
Module 7 : Configuration de l'accès distant 45 Le serveur d'accès distant utiliser une carte LAN spécifique afin d'obtenir des adresses IP allouées par le serveur DHCP au profit des clients distants. Les adresses IP reçues par le serveur d'accès distant sont valides pour le segment réseau auquel la carte est attachée. Vous pouvez sélectionner la carte à utiliser. Par défaut, le service Routage et accès distant choisit de manière aléatoire une carte LAN à utiliser. Dans le cadre d'un serveur d'accès distant équipé de plusieurs cartes, vous devez sélectionner la carte connectée à un segment réseau sur lequel des adresses allouées par DHCP peuvent être obtenues. Conseils Vous pouvez attribuer aux clients d'accès à distance des options DHCP différentes de celles que vous avez attribuées aux clients directement connectés au réseau. Pour cela, utilisez la classe utilisateur Default Routing and Remote Access Class. Pour plus d'informations sur le protocole DHCP, consultez le module 2, «Attribution automatique d'adresses IP à l'aide du protocole DHCP», du cours 2172A, Implémentation d'une infrastructure réseau Microsoft Windows 2000.
46 Module 7 : Configuration de l'accès distant Configuration du service Routage et accès distant pour une utilisation avec le protocole DHCP Objectif de la diapositive Illustrer la configuration du service Routage et accès distant afin d'obtenir les adresses IP d'un serveur DHCP. Introduction Vous pouvez configurer le service Routage et accès distant afin d'obtenir les adresses IP du serveur DHCP. ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** Vous pouvez configurer le service Routage et accès distant afin d'obtenir les adresses IP d'un serveur DHCP. Pour configurer un serveur d'accès distant afin d'obtenir les adresses IP d'un serveur DHCP, exécutez la procédure ci-dessous. 1. À partir du menu Outils d'administration, ouvrez le service Routage et accès distant. 2. Cliquez avec le bouton droit sur le nom du serveur dont vous souhaitez afficher les propriétés, puis cliquez sur Propriétés. 3. Dans la boîte de dialogue Propriétés pour le serveur d'accès distant, dans l'onglet IP, cliquez sur Protocole DHCP (Dynamic Host Configuration). 4. Dans la liste Carte, sélectionnez la carte réseau à partir de laquelle vous souhaitez que le serveur d'accès distant obtienne les adresses IP à l'aide du protocole DHCP. 5. Cliquez sur OK.
Module 7 : Configuration de l'accès distant 47 Contrôle des acquis Objectif de la diapositive Revenir sur les objectifs du module en révisant les points clés. Introduction Les questions du contrôle des acquis concernent certains des concepts clés traités dans ce module. Examen de l'accès distant dans Windows2000 Configuration de connexions entrantes Configuration de connexions sortantes Configuration de connexions à liaisons multiples Configuration des protocoles d'authentification Configuration des protocoles de cryptage Configuration du service Routage et accès distant pour intégrer le protocole DHCP ****************DOCUMENT À L'USAGE EXCLUSIF DE L'INSTRUCTEUR*************** 1. Quels avantages présente le protocole L2TP par rapport au protocole PPTP? L2TP prend en charge un plus grand nombre de types d'interconnexions de réseaux, ainsi que la compression des en-têtes, et utilise la stratégie IPSec pour le cryptage. 2. Dans l'assistant Connexion réseau, vous devez configurer deux paramètres en vue de partager la connexion et ses ressources associées. Décrivez les différences entre ces deux paramètres. Les paramètres tiennent du fait que vous souhaitiez ou non autoriser les autres utilisateurs de l'ordinateur à utiliser la connexion (accès à la connexion), et du fait que vous souhaitiez ou non autoriser les autres ordinateurs à accéder aux ressources via ce port (partage de la connexion après sa mise en œuvre).
48 Module 7 : Configuration de l'accès distant 3. Votre entreprise compte un grand nombre d'employés connectés à votre réseau par le biais de modems utilisant le système téléphonique. Ces utilisateurs réclament davantage de bande passante de manière à améliorer leur productivité. Les connexions haut débit telles que RNIS et DSL ne sont pas encore disponibles dans votre zone géographique. Que pouvez-vous faire pour améliorer la bande passante au profit des utilisateurs qui travaillent à distance? Configurer des modems multiples et plusieurs lignes téléphoniques, puis mettre en œuvre des connexions à liaisons multiples vers le serveur. Les employés travaillant à distance peuvent alors obtenir davantage de bande passante en utilisant plusieurs modems et en les combinant à l'aide du protocole à liaisons multiples. 4. Les utilisateurs de votre entreprise utilisent différents systèmes d'exploitation pour se connecter à votre réseau à distance. Vous souhaitez mettre en place un protocole d'authentification des plus sûrs tout en permettant les connexions à partir de n'importe quel système d'exploitation. Quel est, dans ce cas, le protocole d'authentification le mieux adapté? CHAP : ce protocole fonctionne avec la majorité des systèmes d'exploitation et utilise le cryptage MD5, un standard de l'industrie, afin de sécuriser les mots de passe. 5. Vous êtes en charge de la configuration d'un serveur d'accès distant pour votre entreprise. Vous souhaitez vous assurer que les utilisateurs qui se connectent à ce serveur obtiennent uniquement les adresses IP spécifiées, et que ces adresses soient toujours disponibles sur le serveur d'accès distant. Que devez-vous faire pour y parvenir? Configurer le serveur d'accès distant afin qu'il attribue des adresses IP à partir d'une plage d'adresses. Ainsi, les utilisateurs distants n'utiliseront pas d'adresse IP issue du protocole DHCP mais une plage d'adresses prédéfinie. 6. Le support technique a reçu un appel d'un utilisateur qui se connecte à votre réseau par le biais d'un accès distant. La connexion s'effectue correctement, mais l'utilisateur est incapable d'accéder aux ressources du réseau. Vous demandez à l'utilisateur d'utiliser Ipconfig afin de vérifier l'adresse IP de la connexion. L'utilisateur vous indique que l'adresse IP est : 169.254.5.23. Quelle est la cause probable du problème? Pourquoi? Un serveur DHCP est indisponible, aussi le serveur d'accès distant alloue-t-il les adresses IP en utilisant l'adressage IP privé automatique. Ces adresses ne fonctionnant pas avec les adresses IP de votre réseau, l'utilisateur n'est pas en mesure d'accéder aux ressources.