1. Livres et vidéos
  2. DirectAccess - Mobilité et nomadisme, mise en oeuvre de la solution Microsoft - Version en ligne

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft - Version en ligne

  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne
  • Accessible immédiatement
  • Version HTML
  • Accès illimité 24h/24, 7J/7

Présentation

Ce livre sur DirectAccess s'adresse à tous les intervenants d'un projet DirectAccess (les équipes réseau, système, support) ainsi qu'au responsable du projet. Cette fonctionnalité native de Windows Server 2008 R2 et Windows 7 Enterprise ou Ultimate révolutionne l’expérience de la mobilité pour l’utilisateur final. Les auteurs accompagnent le lecteur dans la mise en œuvre depuis la phase de maquettage jusqu'à la mise en production et le transfert d'expertise aux exploitants.

Avant de rentrer dans le vif du sujet technique, le premier chapitre s’attachera à répondre à un certain nombre d'interrogations autour de DirectAccess et à présenter les différents scénarios d'usage. Le second chapitre fournira les détails techniques sur DirectAccess en analysant chaque composant impliqué et les relations entre eux. Le troisième chapitre sera dédié à l'utilisation d'IPv6 dans DirectAccess et à la compatibilité IPv4 de la solution. A ce stade de l'ouvrage, nous  nous attaquerons à la pratique de DirectAccess dans le cadre d'un projet ; le quatrième chapitre traitera les aspects techniques et le cinquième se focalisera sur l'aspect purement projet (les intervenants, les attentes, les pièges à éviter). La mise en œuvre sera détaillée et optimisée dans les chapitres 6 et 7. Le dernier chapitre sera dédié à l'exploitation des plateformes DirectAccess et au dépannage des clients nomades et s’adressera donc aux exploitants.

Au terme de cet ouvrage le lecteur aura une vue complète d'un projet DirectAccess et disposera d'une maquette opérationnelle.

Des éléments complémentaires sont en téléchargement sur le site www.editions-eni.fr.

Benoît SAUTIERE a été reconnu Microsoft MVP (Most Valuable Professionnal) sur le domaine Enterprise Security. Lionel LEPERLIER a été reconnu Microsoft MVP sur le domaine Forefront.


Les chapitres du livre :
Avant-propos – DirectAccess pour quoi faire ? – L’assemblage des technologies – IPv6 – Les choix d’architectures – L’approche projet – Mise en œuvre de DirectAccess – Aller plus loin avec DirectAccess – Exploitation de la plateforme DirectAccess – Aller plus loin avec UAG

Table des matières

  • DirectAccess pour quoi faire ?
    • 1. Le nomadisme en quelques mots
      • 1.1 Du point de vue de l'utilisateur
      • 1.2 Du point de vue de l'exploitant
    • 2. Objectifs de DirectAccess
      • 2.1 Du point de vue de l'utilisateur
      • 2.2 Du point de vue de l'exploitant
    • 3. Scénarios autour du nomadisme
      • 3.1 Authentification des utilisateurs mobiles
      • 3.2 Gestion du poste de travail en situation de mobilité
      • 3.3 Gestion de la conformité du poste de travailen situation de mobilité
      • 3.4 Contrôle d'accès et isolation logique
      • 3.5 Uniformisation de la politique d'accès à Internet
    • 4. La sécurité de nos réseaux d'entreprise
      • 4.1 Notre réseau d'entreprise est-il sûr ?
      • 4.2 Redéfinir le périmètre à protéger
    • 5. Dans le cadre de cet ouvrage
    • 6. Synthèse
  • L'assemblage des technologies
    • 1. Introduction
    • 2. Pourquoi IPv6 ?
      • 2.1 Faut-il avoir peur d'IPv6 ?
      • 2.2 Pourquoi DirectAccess repose-t-il sur IPv6 ?
      • 2.3 Dois-je commencer un projet IPv6 ?
    • 3. DirectAccess Windows versus DirectAccess UAG
    • 4. Positionnement des technologies pour DirectAccess
      • 4.1 IPv4
      • 4.2 IPv6
      • 4.3 Pare-feu
      • 4.4 IPSec
      • 4.5 AuthIP
      • 4.6 NRPT - Tout part du client
      • 4.7 PKI
      • 4.8 Network Location Server
    • 5. Synthèse
  • IPv6
    • 1. Introduction à IPv6
      • 1.1 Synthèse comparative
      • 1.2 Espace d'adressage et notation
      • 1.3 Notion de préfixe
      • 1.4 Synthèse
    • 2. Les différents types d'adresses
      • 2.1 Link-Local
      • 2.2 Unique Local IPv6 Unicast
      • 2.3 Global Unicast
      • 2.4 MultiCast
      • 2.5 Anycast
      • 2.6 Special
      • 2.7 Synthèse
    • 3. Configuration
      • 3.1 Configuration manuelle
      • 3.2 Configuration automatique
      • 3.3 Synthèse
    • 4. Cohabitation IPv4
      • 4.1 ISATAP
      • 4.2 6to4
      • 4.3 Teredo
      • 4.4 IPHTTPS
      • 4.5 DNS64
      • 4.6 NAT64
    • 5. Synthèse
  • Les choix d’architectures
    • 1. Introduction
    • 2. Domain Name Server
      • 2.1 Zones DNS internes
      • 2.2 Serveurs DNS internes
        • 2.2.1 DNSQueryBlockList
        • 2.2.2 ISATAP
        • 2.2.3 Binding IPv6
      • 2.3 Zones DNS externes
      • 2.4 Exceptions
    • 3. Active Directory
      • 3.1 Identification des clients nomades
      • 3.2 Identification des serveurs DirectAccess
    • 4. Pare-feu
      • 4.1 Stratégies de pare-feu
        • 4.1.1 Protocole ICMPv4 entrant
        • 4.1.2 Protocole ICMPv6 entrant
        • 4.1.3 Protocole ICMPv4 sortant
        • 4.1.4 Protocole ICMPv6 sortant
        • 4.1.5 Systèmes impliqués par cette stratégie de groupe
        • 4.1.6 Positionnement de la stratégie de pare-feu
      • 4.2 Cas des outils de prise en main à distance
    • 5. Public Key Infrastructure
      • 5.1 Architecture
      • 5.2 Mise en œuvre dans la maquette
        • 5.2.1 Installation du rôle ADCS
        • 5.2.2 Publication de la CRL
        • 5.2.3 Prise en charge de la fonctionnalité Auto-Enrôlement
        • 5.2.4 Positionnement de la stratégie de groupe PKI Settings
        • 5.2.5 Sécurisation du site web d'enrôlement
        • 5.2.6 Synthèse
      • 5.3 Les usages de la PKI dans DirectAccess
        • 5.3.1 IPSec
        • 5.3.2 Network Location Server
        • 5.3.3 IPHTTPS
        • 5.3.4 Authentification forte par carte à puce
        • 5.3.5 Authentification forte One-Time Password
        • 5.3.6 Conformité du poste de travail
        • 5.3.7 Synthèse
    • 6. Network Location Server
      • 6.1 Le concept du phare
      • 6.2 Comment choisir l'emplacement du NLS ?
      • 6.3 Mise en œuvre sur la maquette
      • 6.4 Le phare doit-il être en haute disponibilité ?
      • 6.5 Comment assurer la haute disponibilité ?
        • 6.5.1 Reconstruire le NLS
        • 6.5.2 Déplacer le NLS
        • 6.5.3 Haute disponibilité du DNS
        • 6.5.4 Réutiliser un site existant
        • 6.5.5 Haute disponibilité matérielle/logicielle
      • 6.6 Synthèse
    • 7. Positionnement du serveur DirectAccess
      • 7.1 Les fondamentaux de la DMZ
      • 7.2 Besoin de connectivité directe à Internet
      • 7.3 Flux entrants nécessaires sur le serveur
      • 7.4 Raccordement au domaine
      • 7.5 Types de tunnels IPSec
        • 7.5.1 Tunnel IPSec Infrastructure
        • 7.5.2 Tunnel IPSec Utilisateur
        • 7.5.3 Tunnel IPSec Application
      • 7.6 Synthèse
    • 8. Les scénarios de DirectAccess
      • 8.1 End to Edge
      • 8.2 Modified end to Edge
      • 8.3 End to end
      • 8.4 Le Remote Management
      • 8.5 Synthèse
    • 9. DirectAccess Windows versus DirectAccess UAG
      • 9.1 Le DirectAccess Windows
      • 9.2 Le DirectAccess UAG
      • 9.3 Synthèse
  • L'approche projet
    • 1. Introduction
    • 2. Les interlocuteurs impliqués
      • 2.1 Le chef de projet
        • 2.1.1 Son rôle dans le projet
        • 2.1.2 Risques à prendre en considération
      • 2.2 Le responsable de la sécurité informatique
        • 2.2.1 Son rôle dans le projet
        • 2.2.2 Risques à prendre en considération
        • 2.2.3 Se focaliser avant tout sur l'essentiel
      • 2.3 L'équipe en charge du poste de travail
        • 2.3.1 Son rôle dans le projet
        • 2.3.2 Risques à prendre en considération
      • 2.4 L'exploitant de la plateforme Windows
        • 2.4.1 Son rôle dans le projet
        • 2.4.2 Risques à prendre en considération
        • 2.4.3 Le cas des hébergeurs
      • 2.5 L'exploitant réseau
        • 2.5.1 Son rôle dans le projet
        • 2.5.2 Risques à prendre en considération
      • 2.6 Support de premier niveau
        • 2.6.1 Rôle dans le projet
        • 2.6.2 Risques à prendre en considération
      • 2.7 Des utilisateurs représentatifs
        • 2.7.1 Rôle dans le projet
        • 2.7.2 Risques à prendre en considération
    • 3. Organisation du projet
      • 3.1 Les éventuels sous-projets
        • 3.1.1 Authentification forte
        • 3.1.2 Haute disponibilité
        • 3.1.3 La conformité
        • 3.1.4 Gestion du client nomade
        • 3.1.5 IPv6
      • 3.2 Approche itérative
        • 3.2.1 IPD Guides
        • 3.2.2 Test Lab Guides
        • 3.2.3 Technet
        • 3.2.4 Proof of Concept
        • 3.2.5 Disposer de plusieurs environnements
        • 3.2.6 Développer par itérations
    • 4. La compatibilité des applications
      • 4.1 Résolution DNS
      • 4.2 Applications client-serveur
      • 4.3 Application non compatible avec IPv6
    • 5. Synthèse
  • Mise en œuvre de DirectAccess
    • 1. Introduction
    • 2. Pré-requis communs
      • 2.1 Configuration des interfaces réseau
        • 2.1.1 Configuration de l'interface réseau LAN
        • 2.1.2 Table de routage
        • 2.1.3 Configuration de l'interface réseau Internet
        • 2.1.4 Binding order
      • 2.2 Domaine Active Directory
        • 2.2.1 Flux réseau nécessaires
        • 2.2.2 Réduire la plage de ports
        • 2.2.3 Read Only Domain Controller
        • 2.2.4 Autres ports
      • 2.3 Certificats
        • 2.3.1 IPSec
        • 2.3.2 IPHTTPS
        • 2.3.3 System Health Authentication
    • 3. Avec Windows 2008 R2
      • 3.1 Installation
      • 3.2 Configuration de DirectAccess
        • 3.2.1 Identification des clients nomades
        • 3.2.2 Configuration du serveur DirectAccess
        • 3.2.3 Configuration de l'infrastructure
        • 3.2.4 Configuration du mode DirectAccess
        • 3.2.5 Activation de la configuration
    • 4. Avec UAG 2010 SP1
      • 4.1 Installation en autonome
      • 4.2 Installation en ferme
        • 4.2.1 Différents types d'adresses IP
        • 4.2.2 Installation du premier nœud
        • 4.2.3 Installation des nœuds additionnels
        • 4.2.4 Configuration Network Load Balancing
        • 4.2.5 Configuration Hardware Load Balancing
      • 4.3 Configuration DirectAccess
        • 4.3.1 Identification des clients nomades
        • 4.3.2 Configuration d'un serveur autonomepour DirectAccess
        • 4.3.3 Configuration de l'infrastructure
        • 4.3.4 Configuration du mode DirectAccess
        • 4.3.5 Spécificité de la haute disponibilité NLB
        • 4.3.6 Spécificités de la haute disponibilité HLB
        • 4.3.7 Activation de la configuration
    • 5. Synthèse
  • Aller plus loin avec DirectAccess
    • 1. Introduction
    • 2. Simuler Internet sur un environnement de maquette
      • 2.1 Configuration de la machine virtuelle "Simulation Internet"
        • 2.1.1 Configuration des rôles ADCS et DNS
        • 2.1.2 Configuration du rôle DHCP
        • 2.1.3 Configuration du rôle Routage et accès distant
      • 2.2 Intégration de la machine virtuelle dans la maquette
      • 2.3 NCSI
      • 2.4 Synthèse
    • 3. Pare-feu
      • 3.1 Sur le poste client
      • 3.2 Sur le serveur UAG
      • 3.3 En amont du serveur DirectAccess/UAG
      • 3.4 En aval du serveur DirectAccess/UAG
      • 3.5 La DMZ a-t-elle un sens en IPv6 ?
      • 3.6 Rupture de protocole avec ISATAP
      • 3.7 Synthèse
    • 4. Sécurisation UAG
      • 4.1 Security Configuration Wizard
      • 4.2 Antivirus sur UAG
      • 4.3 Les correctifs et les Services Pack UAG/TMG
        • 4.3.1 Windows Update
        • 4.3.2 TMG
        • 4.3.3 UAG
      • 4.4 Synthèse
    • 5. DirectAccess Connectivity Assistant
      • 5.1 Configuration avec Forefront UAG 2010 SP1
      • 5.2 Configuration avec Windows Server 2008 R2
      • 5.3 Synthèse
    • 6. Network Access Protection
      • 6.1 Introduction
      • 6.2 Fonctionnement
      • 6.3 Mise en œuvre d'un Health Registration Authority
        • 6.3.1 Installation du rôle HRA
        • 6.3.2 Configuration du site web
        • 6.3.3 Configuration du NPS
        • 6.3.4 Configuration du client NAP
      • 6.4 Implémentation côté serveur
        • 6.4.1 Cas DirectAccess avec Windows Server 2008 R2
        • 6.4.2 Cas DirectAccess avec Forefront UAG 2010
      • 6.5 Synthèse
    • 7. Split Tunneling/Force Tunneling
      • 7.1 Split Tunneling
      • 7.2 Force Tunneling
      • 7.3 Impact du Force Tunneling
      • 7.4 Synthèse
    • 8. Authentification forte
      • 8.1 Carte à puce
      • 8.2 One-Time Password (OTP)
        • 8.2.1 Fonctionnement
        • 8.2.2 Mise en œuvre
      • 8.3 Synthèse
    • 9. Configurations additionnelles
      • 9.1 Désactivation du protocole 6to4
      • 9.2 Configuration du client Teredo en mode Enterprise client state
    • 10. Mode Modified end to edge
      • 10.1 Fonctionnement
      • 10.2 Mise en œuvre
      • 10.3 Impacts côté serveur
      • 10.4 Impacts côté client
      • 10.5 Limitations
      • 10.6 Synthèse
    • 11. Synthèse
  • Exploitation de la plateforme DirectAccess
    • 1. Introduction
    • 2. Checklist du client
      • 2.1 Validation des stratégies de groupe
      • 2.2 Mode de pare-feu de domaine
      • 2.3 Enregistrement dans le DNS
      • 2.4 Interface ISATAP
      • 2.5 Présence du certificat
      • 2.6 Présence du DAC
      • 2.7 Synthèse
    • 3. Dépannage
      • 3.1 Que dit le DAC ?
      • 3.2 Valider la connectivité Internet
      • 3.3 Valider la détection d'état DirectAccess
      • 3.4 Valider le profil de pare-feu
      • 3.5 Valider la présence du certificat
      • 3.6 Valider le certificat IPHTTPS
      • 3.7 Valider l'initialisation d'une interface IPv6
      • 3.8 Valider la connectivité avec UAG en IPv6
      • 3.9 Valider le routage IPv6
      • 3.10 Valider la présence des Connection Security Rules
      • 3.11 Valider le bon établissement des tunnels IPSec
      • 3.12 Générer des traces de diagnostic
      • 3.13 Capture de traces réseau
      • 3.14 Désactiver DirectAccess
      • 3.15 Certificats client et serveur
      • 3.16 Synthèse
    • 4. Dépannage du serveur
      • 4.1 UAG Activation Monitor
      • 4.2 UAG Best Practice Analyzer
      • 4.3 UAG Web Monitor
      • 4.4 DirectAccess Management Console
      • 4.5 Suivi des tunnels IPSec
      • 4.6 Synthèse
    • 5. Cas pratiques d'applications à problème
      • 5.1 La console Hyper-V
      • 5.2 Le client Citrix
      • 5.3 Synthèse
    • 6. Exploitation UAG
      • 6.1 Suivi du processus d'activation UAG
      • 6.2 Array Management Server
      • 6.3 Export de la configuration
      • 6.4 Importation de la configuration
      • 6.5 Mises à jour de sécurité
        • 6.5.1 Windows Update
        • 6.5.2 Paramétrage du client Windows Update
        • 6.5.3 Incompatibilités
      • 6.6 Stratégies de groupe
    • 7. Suivi des accès
      • 7.1 Monitoring UAG Web Monitor
      • 7.2 Le Snap-In PowerShell
      • 7.3 Suivi des tunnels IPSec
      • 7.4 Suivi des sessions dans TMG
      • 7.5 Monitoring Network Access Protection
      • 7.6 SCOM
    • 8. Synthèse
  • Aller plus loin avec UAG
    • 1. Introduction
    • 2. Création d'un portail UAG
      • 2.1 Web Monitor
        • 2.1.1 Création de la publication du Web Monitor
        • 2.1.2 Section DirectAccess du Web Monitor
      • 2.2 Fonctionnalités limitées du client Lync
      • 2.3 Publication des services Lync
        • 2.3.1 Création de l'écouteur Web
        • 2.3.2 Mise en œuvre de la publication
        • 2.3.3 Tests basiques de vérifications
    • 3. Bonnes pratiques
      • 3.1 Environnement de test
        • 3.1.1 Connectivité Internet
        • 3.1.2 Test d'accès
      • 3.2 Performances
      • 3.3 Sécurité
    • 4. Conclusion
    • Index

Auteurs

Benoît SAUTIEREEn savoir plus

Benoît SAUTIERE est leader technique spécialiste en infrastructure d'annuaire Active Directory et sécurité des infrastructures. C'est à ce titre qu'il a été reconnu Microsoft MVP (Most Valuable Professional) sur le domaine Enterprise Security. Dans le cadre de ses missions régulières il intervient sur des projets de refonte d'infrastructure d'annuaire ainsi que sur des projets DirectAccess.

Lionel LEPERLIEREn savoir plus

Lionel LEPERLIER est un spécialiste de la sécurité des infrastructures Microsoft. C'est à ce titre qu'il a été reconnu Microsoft MVP (Most Valuable Professional) sur le domaine Forefront. Il intervient régulièrement sur des projets de protection d’infrastructures de messagerie et d’accès itinérants ainsi que sur des projets DirectAccess.

Caractéristiques

  • Niveau Confirmé à Expert
  • Parution janvier 2012
    • HTML
    • ISBN : 978-2-7460-0721-1
    • EAN : 9782746072121
    • Ref. ENI : LNEIDIRA

Téléchargements

En complétant ce formulaire, vous acceptez d'être contacté afin de recevoir des informations sur nos produits et services ainsi que nos communications marketing. Vous aurez la possibilité de vous désabonner de nos communications à tout moment. Pour plus d'informations sur notre politique de protection des données, cliquez ici.
  • Des fichiers complémentaires (1,22 Mo)