Configuration du serveur

Configuration initiale
Configuration matrielle
La configuration matrielle ncessite un ordinateur supportant Windows Server 2008 et une capacit
de monte en charge si le nombre de clients nomades est lev. On peut galement imaginer la
virtualisation du systme dexploitation par le biais dHyper-V ou de Windows Virtual Server 2005 R2.
Il devra tre quip dau moins 2 cartes rseau, une oriente vers Internet, lautre vers le rseau local
de lentreprise.

Configuration logicielle
SSTP ncessite Windows Server 2008. Doivent y tre installs les Active Directory Domain Services
(AD CS). Un utilisateur de test dont on aura autoris laccs distant dans ses proprits est galement
requis.

Mise en place d'AD CS

SSTP tant bas sur SSL et fortiori sur lauthentification du serveur par certificat, nous prfrons,
pour la suite, crer notre propre autorit de certification (CA) plutt que dengager des frais dans
lobtention dun certificat valid par une entit reconnue.
Dans le Server Manager, ajoutez un rle. Aprs lcran de bienvenue, choisissez Active Directory
Certificate Services. A lcran suivant, slectionnez le Web Enrollment. Ceci ncessite IIS (Internet
Information Service) sur le serveur hbergeant lautorit de certification, les composants requis vous
sont donc proposs. Laissez les lments par dfaut.

Suivez lassistant en choisissant une autorit Standalone racine et en validant les options par dfaut.
Lautorit de certification est dsormais en place. Nanmoins, le certificat associ est de la forme
[nom de votre serveur]-DC-CA . Pour ltablissement de la connexion SSTP, il est ncessaire que le
certificat ait t dlivr au nom employ lors de la demande de connexion. Nous devons donc en
gnrer un qui correspondra au FQDN (Fully Qualified Domain Name) utilis lors de la configuration
du client.
Ouvrez Internet Explorer 7 en tant quAdministrateur. Allez dans les Options Internet et abaissez au
maximum le niveau de scurit de la zone Intranet. En effet, lors de la procdure, la page permettant
de personnaliser le certificat contient des contrles ActiveX qui ne pourraient pas sexcuter par
dfaut. Remplissez le formulaire en noubliant pas que le 1er champ doit tre le FQDN du serveur
utilis par les clients ! Choisissez Server Authentication Certificate dans la liste qui suite. Marquez
la cl comme exportable et donnez un nom familier et explicite au certificat.

Dans la console de lAutorit de certification, dlivrez le certificat en attente. Retournez laccueil de

linterface Web, allez pour regarder les certificats en attente et installez celui que vous avez demand.
Ouvrez une MMC et ajoutez-y le composant logiciel enfichable Certificats pointant vers lordinateur
local, puis le mme mais pointant vers lutilisateur courant. Dans le magasin personnel de lutilisateur,
exportez le certificat et sa cl prive. Allez dans le magasin personnel de lordinateur local et importez
le fichier PFX que vous avez sauv juste avant. Exportez le certificat nomduserveur-DC-CA et
supprimez-le du magasin.

Mise en place du service VPN

Installez le rle Network Policy and Access Services mais ne slectionnez que les composants de
routage et daccs distant ainsi que Network Policy Server.
Ouvrez la console associe, faites un clic droit sur le nom de votre serveur et choisissez de configurer
le service. Slectionnez loption Remote access (dial-up or VPN) puis VPN uniquement.
Choisissez linterface qui connecte le serveur Internet, puis, si ce serveur est ddi laccs VPN
uniquement, laissez la case coche ; sinon dcochez-la. Cette tape est importante : en effet, si la
scurisation de linterface est active, tout le trafic tranger au trafic VPN sera stopp par les filtres
dentre de la carte rseau. Choisissez ensuite la mthode dattribution des IP : soit par un serveur
DHCP, soit par un pool dadresses IP que vous pouvez dfinir et qui sera gr directement par RRAS
(Routing and Remote Access Services).
Cela fonctionnerait en ltat. Nanmoins pour des raisons de scurit, il est recommand de fermer
les ports PPTP et L2TP : cela se passe dans les proprits du sous-nud Ports.
Remarque : le nombre de ports PPTP ne peut pas tre nul !

Contrle de l'accs distant par NPS

Network Policy Server est le nouveau nom donn feu IAS, prsent sous Windows Server 2003.
Lorsquil est install sur le mme serveur que les services de routage et daccs distant,
lauthentification des clients distants passe obligatoirement par lui. On note galement que ces
services nont pas tre identifis explicitement comme clients RADIUS puisquils sont hbergs sur
la mme machine.

Afin de scuriser et restreindre laccs VPN, on peut mettre en place une stratgie rseau,
anciennement appele stratgie daccs distant. Cela se fait dans la console Network Policy Server
sous le nud Stratgies puis Stratgies rseau. Sont ici spcifies des contraintes cumulables que la
tentative de connexion devra respecter comme les horaires de connexion, lappartenance un groupe
pour lordinateur et/ou lutilisateur, lexcution dun systme dexploitation spcifique ou encore le
respect des exigences de scurit avec la technologie NAP (Network Access Protection).

Suivant le souhait ou non de faire passer les proprits daccs distant du compte de lutilisateur avant
ces restrictions, il faudra indiquer dans lesdites proprits que son accs est soumis aux rgles
dfinies dans NPS.