Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Scénario de gestion de réseau privé virtuel Windows 2000 (2)

Sommaire   < 1 2 >

Connexion permanente des succursales

Les succursales de Chicago et de Phoenix d’Electronic sont connectées au siège social au moyen de connexions VPN de routeur à routeur permanentes qui restent connectées 24h/24. Les routeurs Windows 2000 des bureaux de Chicago et de Phoenix sont équipés de cartes WAN T1 qui ont une connexion permanente à un fournisseur de services Internet local en vue d’accéder à Internet.

La succursale de Chicago utilise l’ID de réseau IP 192.168.9.0 avec le masque de sous-réseau 255.255.255.0. Le routeur de la succursale de Chicago utilise l’adresse IP publique 131.107.0.1 pour son interface Internet. La succursale de Phoenix utilise l’ID de réseau IP 192.168.14.0 avec le masque de sous-réseau 255.255.255.0. Le routeur de la succursale de Phoenix utilise l’adresse IP publique 131.107.128.1 pour son interface Internet.

La connexion VPN est une connexion bilatérale. La connexion est lancée à partir du routeur de la succursale ou du serveur VPN. Les connexions bilatérales nécessitent la création d’interfaces de connexion à la demande, de stratégies d’accès distants, de pools d’adresses IP et de filtres de paquets sur les routeurs à chaque point de la connexion.

La figure 4 présente le serveur VPN d’Electronic qui fournit des connexions permanentes aux succursales.

 

Serveur VPN d’Electronic qui fournit des connexions permanentes aux succursales

Figure 4 Le serveur VPN d’Electronic qui fournit des connexions permanentes aux succursales

Pour déployer des connexions VPN de routeur à routeur permanentes en vue de connecter les succursales de Chicago et de Phoenix au siège social, en fonction des paramètres configurés dans la section "Configuration commune pour le serveur de réseau privé virtuel (VPN)" de ce livre blanc, les paramètres supplémentaires suivants sont configurés.

Configuration des domaines

Pour la connexion VPN du bureau de Chicago à l’initiative du routeur de Chicago, le compte d’utilisateur VPN_Chicago est créé avec les paramètres suivants :

  • Mot de passe U9!j5dP(%q1.

     
  • Dans les propriétés d’appels entrants du compte VPN_Chicago, l’autorisation d’accès distant est définie sur Contrôler l’accès par le biais de la Stratégie d’accès distant.

     
  • Dans les propriétés du compte VPN_Chicago, l’option de compte Le mot de passe n’expire jamais est sélectionnée.

     
  • Le compte VPN_Chicago est ajouté au groupe VPN_Routers.

Pour les connexions VPN du bureau de Phoenix à l’initiative du routeur de Phoenix, le compte d’utilisateur VPN_Phoenix est créé avec les paramètres suivants :

  • Mot de passe z2F%s)bW$4f.

     
  • Dans les propriétés d’appels entrants du compte VPN_Phoenix, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant.

     
  • Dans les propriétés du compte VPN_Phoenix, l’option Le mot de passe n’expire jamais est sélectionnée.

     
  • Le compte VPN_Phoenix est ajouté au groupe VPN_Routers.

Pour les connexions VPN du bureau de Chicago et du bureau de Phoenix à l’initiative du serveur VPN, le compte d’utilisateur VPN_CorpHQ est créé avec les paramètres suivants :

  • Mot de passe o3\Dn6@`-J4.

     
  • Dans les propriétés d’appels entrants du compte VPN_CorpHQ, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant.

     
  • Le compte VPN_CorpHQ est ajouté au groupe VPN_Routers.

Configuration de stratégie d’accès distant

Les stratégies d’accès distant doivent être configurées pour le serveur VPN, le routeur de Chicago et celui de Phoenix.

Configuration de stratégie d’accès distant pour le serveur VPN

La configuration de stratégie d’accès distant pour le serveur VPN est identique à celle décrite dans la section "Succursale à la demande" de ce livre blanc.

Configuration de stratégie d’accès distant pour le routeur de Chicago

Pour définir les paramètres d’authentification et de cryptage des connexions VPN, la stratégie par défaut intitulée Permet l'accès si l'autorisation d'entrée est activée est supprimée et la stratégie d’accès distant suivante est créée :

  • Nom de de la stratégie : routeurs VPN

    Conditions :

    • L’option NAS-Port-Type est défini sur Virtual (VPN)
    • L’option Windows-Groups est défini sur VPN_Routers
    • L’option Called-Station-ID est défini sur 131.107.0.1

       
  • Autorisation est définie sur Accorder l’autorisation d’accès distant

    Paramètres de profil

    • Onglet Authentification : Protocole d’authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré en vue d’utiliser le certificat de poste installé. L’option Authentification cryptée Microsoft version 2 (MS-CHAP v2) est également sélectionnée.
    • L’onglet Cryptage : Cryptage renforcé et Maximal sont les seules options sélectionnées.

Remarque L’option Called-Station-ID est définie sur l’adresse IP de l’interface Internet pour le routeur de la succursale. Seuls les tunnels lancés à partir d’Internet sont autorisés. Les tunnels lancés à partir du réseau de succursales d’Electronic ne sont pas autorisés.

Configuration de stratégie d’accès distant pour le routeur de Phoenix

Pour définir les paramètres d’authentification et de cryptage des connexions VPN, la stratégie par défaut intitulée Permet l'accès si l'autorisation d'entrée est activée est supprimée et la stratégie d’accès distant suivante est créée :

  • Nom de la stratégie : Routeurs VPN

    Conditions :

    • NAS-Port-Type est défini sur Virtual (VPN)
    • Windows-Groups est défini sur VPN_Routers
    • Called-Station-ID est défini sur 131.107.128.1

       
  • Autorisation est défini sur Accorder l’autorisation d’accès distant

    Paramètres de profil

    • OngletAuthentification: Protocole d’authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré pour utiliser le certificat de poste installé. Authentification cryptée Microsoft version 2 (MS-CHAP v2) est également sélectionnée.
    • L’onglet Cryptage : Cryptage renforcé et Maximal sont les seules options sélectionnées.

Remarque L’option Called-Station-ID est définie sur l’adresse IP de l’interface Internet pour le routeur de la succursale. Seuls les tunnels lancés à partir d’Internet sont autorisés. Les tunnels lancés à partir du réseau de succursales d’Electronic ne sont pas autorisés.

Configuration du pool d’adresses IP

Les pools d’adresses IP doivent être configurés pour le serveur VPN, le routeur de Chicago et celui de Phoenix.

Configuration du pool d’adresses IP pour le serveur VPN

La configuration du pool d’adresses IP pour le serveur VPN est identique à celle décrite dans la section "Configuration commune pour le serveur de réseau privé virtuel (VPN)" de ce livre blanc.

Configuration du pool d’adresses IP pour le routeur de Chicago

Un pool d’adresses IP statiques doté de l'adresse IP de début 192.168.9.248 et de l'adresse IP de fin 192.168.9.253 est configuré. Cela permet de créer un pool d’adresses statiques de cinq clients VPN maximum.

Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Créer un pool d’adresses IP statiques".

Configuration de pool d’adresses IP pour le routeur de Phoenix

Un pool d’adresses IP statiques contenant l'adresse IP de début 192.168.14.248 et l'adresse IP de fin 192.168.14.253 est configuré. Cela permet de créer un pool d’adresses statiques de cinq clients VPN maximum.

Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Créer un pool d’adresses IP statiques".

Les sections suivantes décrivent une connexion de succursale permanente basée sur le protocole PPTP pour le bureau de Chicago et une connexion de succursale permanente basée sur le protocole L2TP pour le bureau de Phoenix.

Connexion de succursale permanente basée sur le protocole PPTP

La succursale de Chicago est une succursale basée sur le protocole PPTP qui utilise un routeur Windows 2000 pour créer une connexion VPN permanente de routeur à routeur avec le serveur VPN de New-York. La connexion n’est jamais interrompue, même en cas d’inactivité.

Pour déployer une connexion PPTP vers le siège social, bilatérale, permanente et de routeur à routeur, en fonction des paramètres configurés dans les sections "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Connexion permanente des succursales" de ce livre blanc, les paramètres suivants sont configurés sur le serveur VPN et le routeur de Chicago.

Configuration du serveur VPN

Le serveur VPN est configuré avec une interface de connexion à la demande, des itinéraires statiques et des filtres de paquets PPTP.

Interface de connexion à la demande pour connexion VPN de routeur à routeur

Pour connecter le serveur VPN au routeur de Chicago au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    VPN_Chicago

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole Point to Point Tunneling Protocol (PPTP) est sélectionné.

     
  • Adresse de destination
    131.107.0.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : VPN_CorpHQ
    Domaine : electronic.microsoft.com
    Mot de passe : o3\Dn6@`-J4
    Confirmer le mot de passe : o3\Dn6@`-J4

Dès que l’interface de connexion à la demande est créée, la modification suivante s’applique :

  • Pour les propriétés de l’interface de connexion à la demande, dans l’onglet Options, sous Type de connexion, Connexion permanente est sélectionné.

Itinéraire statique pour le réseau du bureau de Chicago

Pour que tous les emplacements du réseau de Chicago soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_Chicago
  • Destination : 192.168.9.0
  • Masque de réseau : 255.255.255.0
  • Valeur métrique : 1

Configuration du routeur de Chicago

Le routeur de Chicago est configuré avec une interface de connexion à la demande et des itinéraires statiques.

Une interface de connexion à la demande pour connexion VPN de routeur à routeur.

Pour connecter le routeur du bureau de Chicago au serveur VPN au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    VPN_CorpHQ

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole Point to Point Tunneling Protocol (PPTP) est sélectionné.

     
  • Adresse de destination
    207.46.130.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : VPN_Chicago
    Domaine : electronic.microsoft.com
    de passe : U9!j5dP(%q1
    Confirmer le mot de passe : U9!j5dP(%q1

Une fois que l’interface de connexion à la demande est créée, la modification suivante s’applique :

  • Pour les propriétés de l’interface de connexion à la demande, dans l’onglet Options, sous Type de connexion, Connexion permanente est sélectionné. Pour afficher les propriétés d’une interface de connexion à la demande, cliquez sur Interfaces de routage, cliquez avec le bouton droit sur l’interface de connexion à la demande, puis cliquez sur Propriétés.

Itinéraire statique pour le serveur VPN d’Electronic

Pour que le serveur VPN d’Electronic sur Internet soit accessible, l’itinéraire statique suivant est configuré :

  • Interface : la carte WAN reliée à Internet
  • Destination : 207.46.130.1
  • Masque de réseau : 255.255.255.255
  • Passerelle : 0.0.0.0
  • Valeur métrique : 1

Remarque Comme la carte WAN crée une connexion point à point au fournisseur de services Internet (ISP), vous pouvez saisir n’importe quelle adresse de passerelle. L’adresse de passerelle 0.0.0.0 est un exemple. 0.0.0.0 correspond à l’adresse IP non renseignée.

Itinéraires statiques pour l’intranet d’entreprise et les succursales

Pour que tous les emplacements de l’intranet d’entreprise soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_CorpHQ
  • Destination : 172.16.0.0
  • Masque de réseau : 255.240.0.0
  • Valeur métrique : 1

Pour que tous les emplacement des succursales d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_CorpHQ
  • Destination : 192.168.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Filtres de paquets PPTP sur l’interface Internet

Afin que seul le trafic PPTP soit autorisé sur la connexion à Internet, vous pouvez configurer les filtres de paquets PPTP sur l’interface Internet. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des filtres de paquets PPTP".

Connexion de succursale permanente basée sur le protocole L2TP

La succursale de Phoenix est une succursale basée sur le protocole L2TP qui utilise un routeur Windows 2000 pour créer une connexion VPN permanente de routeur à routeur avec le serveur VPN de New-York. La connexion n’est jamais interrompue, même en cas d’inactivité.

Pour déployer une connexion VPN L2TP vers le siège social, bilatérale, permanente et de routeur à routeur, en fonction des paramètres configurés dans les sections "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Connexion permanente des succursales" de ce livre blanc, les paramètres suivants sont configurés sur le serveur VPN et le routeur de Phoenix.

Configuration du serveur VPN

Le serveur VPN est configuré avec une interface de connexion à la demande et un itinéraire statique.

Interface de connexion à la demande pour connexion VPN de routeur à routeur

Pour connecter le serveur VPN au routeur de Phoenix au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    VPN_Phoenix

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole L2TP (Layer 2 Tunneling Protocol) est sélectionné.

     
  • Adresse de destination
    131.107.128.1

     
  • Protocoles de sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : VPN_CorpHQ
    Domaine : electronic.microsoft.com
    Mot de passe : o3\Dn6@`-J4
    Confirmer le mot de passe : o3\Dn6@`-J4

Une fois que l’interface de connexion à la demande est créée, la modification suivante s’applique :

  • Pour les propriétés de l’interface de connexion à la demande, dans l’onglet Options, sous Type de connexion, l’option Connexion permanente est sélectionnée.

Itinéraire statique pour le réseau du bureau de Phoenix

Pour que tous les emplacements du réseau Phoenix soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_Phoenix
  • Destination : 192.168.14.0
  • Masque de réseau : 255.255.255.0
  • Valeur métrique : 1

Configuration du routeur de Phoenix

Le routeur de Phoenix a été configuré par l’administrateur réseau d’Electronic alors qu’il était connecté à l’intranet d’Electronic, puis envoyé au site de Phoenix. Alors que le routeur de Phoenix était connecté à l’intranet d’Electronic, un certificat de poste fut installé à l’aide de l’enregistrement automatique. En outre, le poste du routeur de Phoenix fut configuré avec une interface de connexion à la demande et un itinéraire statique.

Interface de connexion à la demande pour connexion VPN de routeur à routeur

Pour connecter le routeur du bureau de Phoenix au serveur VPN au moyen d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    VPN_CorpHQ

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole L2TP (Layer 2 Tunneling Protocol) est sélectionnée.

     
  • Adresse de destination
    207.46.130.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : VPN_Phoenix
    Domaine : electronic.microsoft.com
    Mot de passe : z2F%s)bW$4f
    Confirmer le mot de passe : z2F%s)bW$4f

Une fois que l’interface de connexion à la demande est créée, la modification suivante s’applique :

  • Pour les propriétés de l’interface de connexion à la demande, dans l’onglet Options, sous Type de connexion, l’option Connexion permanente est sélectionnée.

Itinéraire statique du serveur VPN d’Electronic

Pour que le serveur VPN d’Electronic soit accessible sur Internet, l’itinéraire statique suivant est configuré :

  • Interface : la carte WAN reliée à Internet
  • Destination : 207.46.130.1
  • Masque de réseau : 255.255.255.255
  • Passerelle : 0.0.0.0
  • Valeur métrique : 1

Remarque Comme la carte WAN crée une connexion point à point au fournisseur de services Internet (ISP), vous pouvez saisir n’importe quelle adresse de passerelle. L’adresse de passerelle 0.0.0.0 est un exemple. 0.0.0.0 correspond à l’adresse IP non renseignée.

Itinéraire statique pour l’intranet d’entreprise et les succursales

Pour que tous les emplacements de l’intranet d’entreprise soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_CorpHQ
  • Destination : 172.16.0.0
  • Masque de réseau : 255.240.0.0
  • Valeur métrique : 1

Pour que tous les emplacements des succursales d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : VPN_CorpHQ
  • Destination : 192.168.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Filtres de paquets L2TP sur IPSec sur l’interface Internet

Afin que seul le trafic L2TP sur IPSec soit autorisé sur la connexion à Internet, les filtres de paquets L2TP sur IPSec sont configurés sur l’interface Internet. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des filtres de paquets L2TP".

Extranet pour les partenaires commerciaux

L’administrateur réseau d’Electronic a créé un extranet, partie du réseau privé de la société Electronic disponible pour les partenaires commerciaux à l’aide des connexions VPN sécurisées. L’extranet d’Electronic est le réseau relié au serveur VPN d’Electronic et contient un serveur de fichiers et un serveur Web. Les distributeurs Tasmanian Traders et Parnell Aerospace sont les partenaires commerciaux d’Electronic et se connectent à l’extranet d’Electronic à l’aide des connexions VPN à la demande, de routeur à routeur. Une stratégie d’accès distant supplémentaire est utilisée pour que seuls les partenaires commerciaux puissent accéder au serveur de fichiers et au serveur Web de l’extranet.

Le serveur de fichiers de l’extranet d’Electronic est configuré avec l'adresse IP 172.31.0.10 et le serveur Web est configuré avec l'adresse IP 172.31.0.11. Tasmanian Traders utilise l’ID de réseau public 131.107.254.0 avec le masque de sous-réseau 255.255.255.0. Parnell Aerospace utilise l’ID de réseau public 131.107.250.0 avec le masque de sous-réseau 255.255.255.0. Afin que le serveur Web et le serveur de fichiers de l’extranet puissent atteindre les partenaires commerciaux, les itinéraires statiques sont configurés sur le serveur de fichiers et le serveur Web pour chaque réseau des partenaires commerciaux qui utilise l’adresse de passerelle 172.31.0.1.

Pour simplifier la configuration, la connexion VPN est une connexion unilatérale. La connexion est toujours lancée par le routeur du partenaire commercial. Pour plus d’informations, reportez-vous à la rubrique intitulée "Connexions à la demande en sens unique" dans l'Aide de Windows 2000 Server.

La figure 5 présente le serveur VPN d’Electronic qui procure des connexions à l’extranet aux partenaires commerciaux.

 

Serveur VPN d’Electronic qui procure des connexions à l’extranet aux partenaires commerciaux

Figure 5 Le serveur VPN d’Electronic qui procure des connexions à l’extranet aux partenaires commerciaux

Pour déployer des connexions VPN avec des partenaires commerciaux, à la demande, unilatérales et de routeur à routeur, afin de relier Tasmanian Traders et Parnell Aerospace à l’extranet d’Electronic, en fonction des paramètres configurés dans la section de ce livre blanc "Configuration commune pour le serveur VPN", les paramètres supplémentaires suivants sont configurés.

Configuration des domaines

Pour la connexion VPN à Tasmanian Traders, le compte d’utilisateur PTR_Tasmanian est créé avec les paramètres suivants :

  • Mot de passe Y8#-vR7?]fI.

     
  • Dans les propriétés d’appels entrants du compte PTR_Tasmanian, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant et l’itinéraire statique 131.107.254.0 avec le masque de sous-réseau 255.255.255.0 est ajouté.

     
  • Dans les propriétés du compte PTR_Tasmanian, l’option de compte Le mot de passe n’expire jamais est activée.

     
  • Le compte PTR_Tasmanian est ajouté au groupe VPN_Partners.

Pour la connexion VPN à Parnell Aerospace, le compte d’utilisateur PTR_Parnell est créé avec les paramètres suivants :

  • Mot de passe W@8c^4r-;2\.

     
  • Dans les propriétés d’appels entrants du compte PTR_Parnell, l’autorisation d’accès distant est définie sur Contrôler l’accès via la Stratégie d’accès distant et l’itinéraire statique 131.107.250.0 avec le masque de sous-réseau 255.255.255.0 est ajouté.

     
  • Dans les propriétés du compte PTR_Parnell, l’option de compte Le mot de passe n’expire jamais est sélectionnée.

     
  • Le compte PTR_Parnell est ajouté au groupe VPN_Partners.

Configuration de la stratégie d’accès distant

Pour définir les paramètres d’authentification et de cryptage pour les connexions VPN des partenaires commerciaux, la stratégie d’accès distant suivante est créée :

  • Nom de la stratégie : partenaires VPN

    Conditions :

    • NAS-Port-Type est défini sur Virtual (VPN)
    • Windows-Groups est défini sur VPN_Partners
    • Called-Station-ID est défini sur 207.46.130.1

       
  • Autorisation est défini sur Accorder l’autorisation d’accès distant

    Paramètres de profil

    • Dans l’onglet IP, les filtres de paquets TCP/IP suivants sont configurés :

      En provenance du client :

      • Action de filtre : Refuser tous les trafics sauf ceux listés ci-dessous
      • Filtre 1 : Adresse IP du réseau de destination 172.31.0.10 et masque de sous-réseau 255.255.255.255
      • Filtre 2 : Adresse IP du réseau de destination 172.31.0.11 et masque de sous-réseau 255.255.255.255

      Vers le client :

      • Action de filtre : Refuser tous les trafics sauf ceux listés ci-dessous
      • Filtre 1 : Adresse IP du réseau source 172.31.0.10 et masque de sous-réseau 255.255.255.255
      • Filtre 2 : Adresse IP du réseau source 172.31.0.11 et masque de sous-réseau 255.255.255.255

         
  • L’onglet Authentification: Protocole d'authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré pour utiliser le certificat de poste installé. Authentification cryptée Microsoft version 2 (MS-CHAP v2) est également sélectionné.

     
  • L’onglet Cryptage : Cryptage renforcé et Maximal sont les seules options sélectionnées.

Remarque L’option Called-Station-ID est définie sur l’adresse IP de l’interface Internet pour le serveur VPN. Seuls les tunnels lancés à partir d’Internet sont autorisés. Les tunnels lancés à partir de l’intranet d’Electronic ne sont pas autorisés. Les utilisateurs d’Electronic nécessitant un accès à Internet à partir de l’intranet d’Electronic doivent passer par le serveur proxy d’Electronic (non illustré), où l’accès à Internet est contrôlé et surveillé.

Les sections suivantes décrivent un extranet PPTP pour le partenaire commercial Tasmanian Traders et un extranet L2TP pour le partenaire commercial Parnell Aerospace.

Extranet PPTP pour les partenaires commerciaux

Tasmanian Traders est un partenaire commercial qui utilise un routeur Windows 2000 pour créer une connexion VPN à la demande PPTP, de routeur à routeur avec le serveur VPN d’Electronic de New-York, si nécessaire. Si la connexion est créée et qu’elle reste inactive cinq minutes durant, elle sera interrompue. Le routeur de Tasmanian Traders est connecté à Internet à l’aide d’une connexion WAN permanente.

Pour déployer une connexion VPN PPTP vers le siège social, unilatérale, à la demande et de routeur à routeur, en fonction des paramètres configurés dans les sections "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Extranet pour les partenaires commerciaux" de ce livre blanc, les paramètres suivants sont configurés sur le routeur Tasmanian Traders.

Interface de connexion à la demande pour connexion VPN de routeur à routeur

Pour connecter le routeur Tasmanian Traders au serveur VPN d’Electronic à l’aide d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    Electronic

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole Point to Point Tunneling Protocol (PPTP) est sélectionné.

     
  • Adresse de destination
    207.46.130.1

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface IP est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : PTR_Tasmanian
    Domaine : electronic.microsoft.com
    Mot de passe : Y8#-vR7?]fI
    Confirmer le mot de passe : Y8#-vR7?]fI

Itinéraire statique pour l’extranet d’Electronic

Pour que tous les emplacements de l’extranet d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : Electronic
  • Destination : 172.31.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Filtres de paquets PPTP sur l’interface d’Internet

Afin que seul le trafic PPTP soit autorisé sur la connexion à Internet, vous pouvez configurer les filtres de paquets PPTP sur l’interface Internet. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des filtres de paquets PPTP".

Extranet L2TP pour les partenaires commerciaux

Parnell Aerospace est un partenaire commercial qui utilise un routeur Windows 2000 pour créer une connexion VPN à la demande L2TP, de routeur à routeur, avec le serveur VPN d’Electronic de New-York, si nécessaire. Si la connexion est créée et qu’elle reste inactive cinq minutes durant, elle sera interrompue. Le routeur Parnell Aerospace est connecté à Internet à l’aide d’une connexion WAN permanente.

Pour déployer une connexion VPN vers le siège social, unilatérale, à la demande et de routeur à routeur, en fonction des paramètres configurés dans les sections "Configuration commune pour le serveur de réseau privé virtuel (VPN)" et "Extranet pour les partenaires commerciaux" de ce livre blanc, les paramètres suivants sont configurés sur le routeur de Parnell Aerospace :

Configuration des certificats

Le routeur Parnell Aerospace a été configuré par l’administrateur réseau d’Electronic alors qu’il était matériellement connecté à l’intranet d’Electronic, puis envoyé à l’administrateur réseau de Parnell Aerospace. Alors que le routeur de Parnell Aerospace était connecté à l’intranet d’Electronic, un certificat de poste a été installé par le biais de l’enregistrement automatique.

Interface de connexion à la demande pour connexion VPN de routeur à routeur

Pour connecter le routeur Parnell Aerospace au serveur VPN d’Electronic, à l’aide d’une connexion VPN de routeur à routeur sur Internet, une interface de connexion à la demande est créée par le biais de l’Assistant Interface numérotation à la demande avec les paramètres suivants :

  • Nom de l’interface
    Electronic

     
  • Type de connexion
    Se connecter en utilisant le réseau privé virtuel (VPN) est sélectionné.

     
  • Type de VPN
    Protocole L2TP (Layer 2 Tunneling Protocol) est sélectionné.

     
  • Adresse de destination
    207.46.130.1 (Il s’agit de l’adresse IP de l’interface du serveur VPN d’Electronic sur Internet).

     
  • Protocoles et sécurité
    La case Router les paquets IP sur cette interface est cochée.

     
  • Informations d’identification des appels sortants
    Nom d’utilisateur : PTR_Parnell
    Domaine : electronic.microsoft.com
    Mot de passe : W@8c^4r-;2\
    Confirm password:Confirmer le mot de passe : W@8c^4r-;2\ W@8c^4r-;2\

Itinéraire statique de l’extranet d’Electronic

Pour que tous les emplacements de l’extranet d’Electronic soient accessibles, l’itinéraire statique suivant est configuré :

  • Interface : Electronic
  • Destination : 172.31.0.0
  • Masque de réseau : 255.255.0.0
  • Valeur métrique : 1

Filtres de paquets L2TP sur IPSec sur l’interface Internet

Afin que seul le trafic L2TP sur IPSec soit autorisé sur la connexion à Internet, les filtres de paquets L2TP sur IPSec sont configurés sur l’interface Internet. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Ajouter des filtres de paquets L2TP".

Accès à distance et VPNS avec authentification RADIUS

Outre l’accès distant basé sur le VPN, l’administrateur réseau d’Electronic souhaite fournir un accès distant par modem aux employés du bureau de New-York. Tous les employés du bureau de New-York appartiennent à un groupe Windows 2000 intitulé NY_Employees. Un serveur d’accès distant distinct exécutant Windows 2000 procure l’accès distant par modem au numéro de téléphone 555-0111. Plutôt que de gérer les stratégies d’accès distant du serveur VPN et le serveur d’accès distant séparément, l’administrateur réseau utilise un ordinateur sous Windows 2000 avec le service d’authentification Internet (IAS) comme serveur RADIUS. Le serveur IAS possède l'adresse IP 172.31.0.9 sur l’extranet d’Electronic et procure l’authentification d’accès distant centralisé, l’autorisation ainsi que la gestion des comptes du serveur d’accès distant et du serveur VPN.

La figure 6 présente le serveur RADIUS d’Electronic qui procure l’authentification et la gestion des comptes pour le serveur VPN et le serveur d’accès distant.

 

Le serveur RADIUS d’Electronic qui fournit l’authentification et la gestion des comptes pour le serveur VPN et le serveur d’accès distant

Figure 6 Le serveur RADIUS d’Electronic qui fournit l’authentification et la gestion des comptes pour le serveur VPN et le serveur d’accès distant

Configuration du domaine

Pour chaque employé du bureau de New-York bénéficiant de droits d’accès distant, l’autorisation d’accès distant pour les propriétés d’appels entrants du compte d’utilisateur est définie sur Contrôler l’accès via la Stratégie d’accès distant.

Configuration des stratégies d’accès distant

Les stratégies d’accès distant doivent être modifiées de deux façons :

  1. Les stratégies d’accès distant qui sont configurées sur le serveur VPN s’exécutant sous Windows 2000 doivent être copiées sur le serveur IAS.

     
  2. Une nouvelle stratégie d’accès distant est ajoutée pour les clients d’accès distants sur le serveur IAS.

Copie des stratégies d’accès distant

Une fois que le serveur VPN s’exécutant sous Windows 2000 est configuré pour utiliser l’authentification RADIUS, les stratégies d’accès distant stockées sur le serveur VPN ne sont plus utilisées. Au lieu de cela, les stratégies d’accès distant stockées sur le serveur IAS s’exécutant sous Windows 2000 sont utilisées. Ainsi, l’ensemble actuel des stratégies d’accès distant est copié sur le serveur IAS.

Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Copier la configuration IAS sur un autre serveur".

Création d’une stratégie d’accès distant pour les clients d’accès distant par numérotation

Pour définir les paramètres d’authentification et de cryptage des connexions à distance à l’initiative des employés du bureau de New-York, la stratégie d’accès distant suivante est créée sur l’ordinateur serveur RADIUS :

  • Nom de la stratégie : connexions distantes pour les employés de New-York
    Conditions :
    • NAS-Port-Type est défini sur tous les types sauf Virtual (VPN).
    • Windows-Groups est défini sur NY_Employees.

       
  • Autorisation est défini sur Accorder l’autorisation d’accès distant .
    Paramètres de profil
    • Onglet : Authentification: Protocole d’authentification extensible (EAP) est sélectionné et Carte à puce ou autre certificat est configuré pour utiliser le certificat de poste installé. Authentification cryptée Microsoft version 2 (MS-CHAP v2) et Authentification cryptée Microsoft (MS-CHAP) sont également sélectionnés.
    • Onglet Cryptage: toutes les options sont sélectionnées.

Configuration RADIUS

Pour configurer l’authentification et la gestion des comptes RADIUS, l’administrateur réseau d’Electronic configure les éléments suivants :

  • Le serveur RADIUS est un ordinateur s’exécutant sur Windows 2000 avec le composant de réseau Service d’authentification Internet installé. Le Service d’authentification Internet est configuré pour deux clients RADIUS : le serveur d’accès distant et le serveur VPN. Pour plus d’informations, reportez-vous à la procédure de l’annexe A, "Enregistrement des clients RADIUS".

     
  • Le serveur d’accès distant s’exécutant sur Windows 2000 est configuré pour utiliser l’authentification et la gestion des comptes RADIUS à l’adresse IP 172.31.0.9 ainsi qu’un secret partagé. Pour plus d’informations, reportez-vous aux procédures de l’annexe A, "Configuration de l’authentification RADIUS" et "Configurer la gestion des comptes RADIUS".

     
  • Le serveur VPN s’exécutant sur Windows 2000 est configuré pour utiliser l’authentification et la gestion des comptes RADIUS à l’adresse IP 172.31.0.9 ainsi qu’un secret partagé. Pour plus d’informations, reportez-vous aux procédures de l’annexe A, "Configuration de l’authentification RADIUS" et "Configurer la gestion des comptes RADIUS".

Configuration des clients d’accès distant par numérotation

L’Assistant Création d'une nouvelle connexion permet de créer une connexion distante avec le paramètre suivant :

  • Numéro de téléphone : 555-0111

Annexe A - Procédures

Activer le Service de routage et d’accès distant

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration.Cliquez sur Routage et accès distant.

    Par défaut, l’ordinateur local est répertorié comme serveur.

    Pour ajouter un autre serveur, dans l’arborescence de la console, cliquez avec le bouton droit sur état du serveur, puis sur Ajouter un serveur.

    Dans la boîte de dialogue, cliquez sur l’option applicable, puis sur OK.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur à activer, puis sur Configurer et activer le routage et l'accès distant.

     
  3. Dans l’Assistant Installation du serveur de routage et d'accès distant, cliquez sur Suivant.

     
  4. Dans Configurations communes, cliquez sur Serveur configuré manuellement, sur Suivant puis sur Terminer.

     
  5. A l’invite, lancez le service Routage et accès distant.

Remarque Si ce serveur est membre du domaine Active Directory Windows 2000 et que vous n’êtes pas administrateur de domaine, demandez à votre administrateur de domaine d’ajouter le compte d’ordinateur de ce serveur au groupe de sécurité des serveurs RAS et IAS dans le domaine auquel ce serveur appartient. L’administrateur de domaine peut ajouter le compte d’ordinateur au groupe de sécurité des serveurs RAS et IAS avec la commande Utilisateurs et ordinateurs Active Directory ou netsh ras add registeredserver.

Créer un pool d’adresses IP statiques

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le serveur pour lequel vous souhaitez créer un pool d’adresses IP statiques, puis cliquez sur Propriétés.

     
  3. Dans l’onglet IP, cliquez sur Pool d'adresses statique, puis sur Ajouter.

     
  4. Dans Adresse IP de début, tapez une adresse IP de début, puis une adresse de fin pour la plage Adresse IP de fin ou tapez le nombre d’adresses IP dans la plage Nombre d’adresses.

     
  5. Cliquez sur OK, puis répétez les étapes 3 et 4 pour le nombre de plages à ajouter.

Remarque Si le pool d’adresses IP statiques se compose de plages d’adresses IP destinées à un sous-réseau distinct, vous devez activer un protocole de routage IP sur l’ordinateur serveur d’accès distant ou ajouter des itinéraires IP statiques se composant de {Adresse IP, Masque} de chaque plage sur les routeurs d’intranet. Si les itinéraires ne sont pas ajoutés, les clients d’accès distant ne seront pas en mesure de recevoir de trafic des ressources intranet.

Activer le protocole EAP

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Cliquez avec le bouton droit sur le nom du serveur pour lequel vous souhaitez configurer le protocole EAP, puis cliquez sur Propriétés.

     
  3. Dans l’onglet Sécurité, cliquez sur Méthodes d’authentification.

     
  4. Dans la boîte de dialogue Méthodes d’authentification, cochez la case Protocole EAP, puis cliquez sur OK.

Remarque Quand vous activez le protocole EAP, tous les types EAP installés sont activés. Par défaut, EAP-MD5 CHAP et EAP-TLS sont installés et activés. Pour afficher les types EAP installés, cliquez sur Méthodes EAP.

Ajouter des ports PPTP ou L2TP

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, cliquez sur le serveur pour lequel vous souhaitez configurer les ports PPTP ou L2TP.

     
  3. Dans le volet d’informations, cliquez avec le bouton droit sur Ports, puis sur Propriétés.

     
  4. Dans la boîte de dialogue Propriétés des ports, cliquez sur Miniport WAN (PPTP) ou sur Miniport WAN (L2TP), puis sur Configurer.

     
  5. Dans Nombre maximum de ports, tapez le nombre de ports souhaité, puis cliquez sur OK.

     
  6. Cliquez sur OK pour enregistrer les modifications apportées aux propriétés des ports.

Définir un numéro de téléphone sur un périphérique

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, cliquez sur le serveur pour lequel vous souhaitez définir un numéro de téléphone.

     
  3. Dans le volet d’informations, cliquez avec le bouton droit sur Ports, puis sur Propriétés.

     
  4. Dans la boîte de dialogue Propriétés des ports, cliquez sur le périphérique qui correspond au matériel de connexion distante ou VPN, puis cliquez sur Configurer.

     
  5. Dans Numéro de téléphone pour ce périphérique, tapez le numéro de téléphone pour ce port. Pour les ports VPN, tapez l’adresse IP de l’interface Internet du serveur VPN.

     
  6. Cliquez sur OK.

Ajouter des filtres de paquets PPTP

  1. Dans le menu Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, double-cliquez sur le serveur pour lequel vous souhaitez configurer le filtrage de paquets PPTP.

     
  3. Double-cliquez sur Routage IP.

     
  4. Cliquez sur Général.

     
  5. Dans le volet d’informations, cliquez avec le bouton droit sur l’interface qui est connectée à Internet, puis sur Propriétés.

     
  6. Dans l’onglet Général, cliquez sur Filtres d’entrée.

     
  7. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Ajouter.

     
  8. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau de destination. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur Autre. Dans Numéro de protocole, tapez 47, puis cliquez sur OK.

     
  9. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Ajouter.

     
  10. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau de destination. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur TCP. Dans Port de destination, tapez 1723, puis cliquez sur OK.

     
  11. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Ajouter.

     
  12. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau de destination. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur TCP [établi]. Dans Port source , tapez 1723puis cliquez sur OK

     
  13. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis sur OK.
  14. Dans l’onglet Général, cliquez sur Filtres de sortie.

     
  15. Dans la boîte de dialogue Filtres de sortie, cliquez sur Ajouter.

     
  16. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau source. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur Autre. Dans Numéro de protocole, tapez 47, puis cliquez sur OK.

     
  17. Dans la boîte de dialogue Filtres de sortie, cliquez sur Ajouter.

     
  18. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau source. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur TCP. Dans Port source, tapez 1723, puis cliquez sur OK.

     
  19. Dans la boîte de dialogue Filtres de sortie, cliquez sur Ajouter.

     
  20. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau source. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur TCP [établi]. Dans Port de destination, tapez 1723, puis cliquez sur OK.

     
  21. Dans la boîte de dialogue Filtres de sortie, cliquez sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis sur OK.

     
  22. Cliquez sur OK pour enregistrer les modifications apportées à l’interface.

Ajouter des filtres de paquets L2TP

  1. Dans le menu Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, double-cliquez sur le serveur pour lequel vous souhaitez configurer le filtrage de paquets L2TP.

     
  3. Double-cliquez sur Routage IP.

     
  4. Cliquez sur Général.

     
  5. Dans le volet d’informations, cliquez sur l’interface connectée à Internet, puis sur Propriétés.

     
  6. Sous l’onglet Général, cliquez sur Filtres d’entrée.

     
  7. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Ajouter.

     
  8. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau de destination. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur UDP. Dans Port source, tapez 500. Dans Port de destination, tapez 500, puis cliquez sur OK.

     
  9. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Ajouter.

     
  10. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau de destination. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur UDP. Dans Port source, tapez 1701. Dans Port de destination, tapez 1701, puis cliquez sur OK.

     
  11. Dans la boîte de dialogue Filtres d’entrée, cliquez sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis sur OK.

     
  12. Dans l’onglet Général, cliquez sur Filtres de sortie.

     
  13. Dans la boîte de dialogue Filtres de sortie, cliquez sur Ajouter.

     
  14. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau source. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur UDP. Dans Port source, tapez 500. Dans Port de destination, tapez 500, puis cliquez sur OK.

     
  15. Dans la boîte de dialogue Filtres de sortie, cliquez sur Ajouter.

     
  16. Dans la boîte de dialogue Ajouter le filtre IP, cochez la case Réseau source. Dans Adresse IP, tapez l’adresse IP de l’interface Internet du serveur VPN ou du routeur de connexion à la demande, et dans Masque de sous-réseau, tapez 255.255.255.255. Dans Protocole, cliquez sur UDP. Dans Port source, tapez 1701. Dans Port de destination, tapez 1701, puis cliquez sur OK.

     
  17. Dans la boîte de dialogue Filtres de sortie, cliquez sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants, puis sur OK.

     
  18. Cliquez sur OK pour enregistrer les modifications apportées à l’interface.

Configurer l’attribution automatique de certificats

  1. Se connecter en qualité d’administrateur de domaine.

     
  2. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Utilisateurs et ordinateurs Active Directory.

     
  3. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le domaine contenant votre autorité de certification (CA) puis cliquez sur Propriétés.

     
  4. Cliquez sur l’onglet Stratégie de groupe, sur Stratégie de domaine par défaut, puis cliquez sur Modifier.

     
  5. Dans Stratégie de groupe, double-cliquez sur Configuration de l'ordinateur, double-cliquez sur Paramètres de Windows, doublez-cliquez sur Paramètres de sécurité, puis cliquez sur Stratégies de clé publique.

     
  6. Cliquez avec le bouton droit sur Paramètres de demande automatique de certificat, sur Nouveau, puis sur Demande automatique de certificat.

     
  7. Dans l’Assistant Création de demandes automatiques de certificats, cliquez sur Suivant.

     
  8. Dans Modèles de certificats, cliquez sur Ordinateur, puis sur Suivant.

     
  9. Sélectionnez votre autorité de certification, cliquez sur Suivant, puis sur Terminer.

     
  10. Fermez la console Stratégie de groupe.

     
  11. Pour obtenir immédiatement un certificat sur le serveur VPN par le biais de l’enregistrement automatique, redémarrez l’ordinateur serveur VPN ou tapez secedit /refreshpolicy machine_policy au niveau de l’invite de commande Windows 2000.

Copier la configuration IAS sur un autre serveur

  1. Au niveau de l’invite de commande, tapez netsh aaaa show config <path>\file.txt. Cela permet de stocker les paramètres de configuration, y compris les paramètres de registre dans un fichier texte. Ce chemin peut être relatif, absolu ou il peut s’agir d’un chemin UNC.

     
  2. Copiez le fichier que vous avez créé dans l’ordinateur de destination et, à l’invite de commande de l’ordinateur de destination, tapez netsh exec <path>\file.txt. Un message s’affiche indiquant que la mise à jour a réussi.

Remarques Vous n’avez pas besoin d'arrêter l’IAS sur l’ordinateur de destination pour exécuter la commande netsh exec. Quand la commande s’exécute, le serveur IAS est automatiquement réactualisé avec les paramètres de configuration mis à jour. Cette procédure réplique la stratégie d’accès distant, le registre et la configuration de connexion.

Enregistrement des clients RADIUS

  1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Service d’authentification Internet.

     
  2. Cliquez avec le bouton droit sur Clients, puis sur Nouveaux clients.

     
  3. Dans Nom convivial, tapez un nom descriptif.

     
  4. Dans Protocole, cliquez sur RADIUS, puis sur Suivant.

     
  5. Dans Adresse du client (IP ou DNS), tapez le nom DNS ou l’adresse IP du client. Si vous utilisez un nom DNS, cliquez sur Vérifier. Dans la boîte de dialogue Résoudre le nom DNS, cliquez sur Résoudre, puis sélectionnez l’adresse IP que vous souhaitez associer à ce nom dans Résultats de la recherche.

     
  6. Si le client est un serveur NAS et que vous envisagez d’utiliser des stratégies d’accès distant propres à ce serveur à des fins de configuration (par exemple, une stratégie d’accès distant qui contient les attributs propres au fournisseur), cliquez sur Fournisseur du client, puis sélectionnez le nom du fabricant. Si vous ne connaissez pas le nom du fabricant ou que son nom ne figure pas dans la liste, cliquez sur Standard RADIUS.

     
  7. Dans Secret partagé, tapez le secret partagé pour le client, puis tapez-le à nouveau dans Confirmer le secret partagé.

     
  8. Si votre serveur NAS prend en charge l’utilisation des signatures numériques pour la vérification (avec PAP, CHAP ou MS-CHAP), cliquez sur Le client doit toujours envoyer l’attribut de signature dans la requête. Si le serveur NAS ne prend pas en charge les signatures numériques pour PAP, CHAP ou MS-CHAP, ne cliquez pas sur cette option.

Remarques Si le serveur IAS reçoit une demande d’accès d’un serveur proxy RADIUS, le serveur IAS ne peut pas détecter le fabricant du serveur NAS à l’origine de la demande. Cela peut poser des problèmes si vous prévoyez d’utiliser les conditions d’autorisation en fonction du fournisseur client et que vous avez défini au moins un client comme serveur proxy RADIUS.

  • Les mots de passe (secrets partagés) respectent la casse. Assurez-vous que le secret partagé du client et le secret partagé que vous tapez dans ce champ sont identiques et conformes aux règles sur les mots de passe.

     
  • Si l’adresse du client ne peut pas être résolue quand vous cliquez sur Vérifier, assurez-vous que le nom DNS que vous avez tapé est correct.

     
  • Le nom convivial que vous fournissez à vos clients RADIUS peut être utilisé dans les stratégies d’accès distant en vue de limiter l’accès.

Configuration de l’authentification RADIUS

  1. Dans le menu Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le nom du serveur pour lequel vous souhaitez configurer l’authentification RADIUS, puis cliquez sur Propriétés.

     
  3. Dans l’onglet Sécurité, sous Fournisseur d’authentifications, cliquez sur Authentification RADIUS, puis sur Configurer.

     
  4. Dans la boîte de dialogue Authentification RADIUS, cliquez sur Ajouter.

     
  5. Dans la boîte de dialogue Ajouter un serveur RADIUS, configurez les paramètres de votre serveur d’authentification RADIUS, puis cliquez sur OK.

Configurer la gestion des comptes RADIUS

  1. Dans le menu Démarrer, pointez sur Programmes, puis sur Outils d’administration. Cliquez sur Routage et accès distant.

     
  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur le nom du serveur pour lequel vous souhaitez configurer la gestion des comptes RADIUS, puis cliquez sur Propriétés.

     
  3. Dans l’onglet Sécurité, sous Fournisseur de comptes, cliquez sur Compte RADIUS, puis sur Configurer.

     
  4. Dans la boîte de dialogue Compte RADIUS, cliquez sur Ajouter.

     
  5. Dans la boîte de dialogue Ajouter un serveur RADIUS, configurez les paramètres de votre serveur de gestion de comptes RADIUS, puis cliquez sur OK.

Résumé

La société Electronic a utilisé des technologies VPN Windows 2000 pour étendre la connectivité d’Internet en vue de connecter les utilisateurs distants, les succursales et les partenaires commerciaux. Les serveurs VPN et d’accès distant Windows 2000 d’Electronic, utilisés en association avec le service d’authentification Internet, procurent l’authentification, l’autorisation, la gestion des comptes et l’administration centralisées des stratégies d’accès distant pour une solution d’accès distant VPN et par numérotation modulable.

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.