Professional Documents
Culture Documents
Configuration initiale
Configuration matrielle
La configuration matrielle ncessite un ordinateur supportant Windows Server 2008 et une capacit
de monte en charge si le nombre de clients nomades est lev. On peut galement imaginer la
virtualisation du systme dexploitation par le biais dHyper-V ou de Windows Virtual Server 2005 R2.
Il devra tre quip dau moins 2 cartes rseau, une oriente vers Internet, lautre vers le rseau local
de lentreprise.
Configuration logicielle
SSTP ncessite Windows Server 2008. Doivent y tre installs les Active Directory Domain Services
(AD CS). Un utilisateur de test dont on aura autoris laccs distant dans ses proprits est galement
requis.
Suivez lassistant en choisissant une autorit Standalone racine et en validant les options par dfaut.
Lautorit de certification est dsormais en place. Nanmoins, le certificat associ est de la forme
[nom de votre serveur]-DC-CA . Pour ltablissement de la connexion SSTP, il est ncessaire que le
certificat ait t dlivr au nom employ lors de la demande de connexion. Nous devons donc en
gnrer un qui correspondra au FQDN (Fully Qualified Domain Name) utilis lors de la configuration
du client.
Ouvrez Internet Explorer 7 en tant quAdministrateur. Allez dans les Options Internet et abaissez au
maximum le niveau de scurit de la zone Intranet. En effet, lors de la procdure, la page permettant
de personnaliser le certificat contient des contrles ActiveX qui ne pourraient pas sexcuter par
dfaut. Remplissez le formulaire en noubliant pas que le 1er champ doit tre le FQDN du serveur
utilis par les clients ! Choisissez Server Authentication Certificate dans la liste qui suite. Marquez
la cl comme exportable et donnez un nom familier et explicite au certificat.
Afin de scuriser et restreindre laccs VPN, on peut mettre en place une stratgie rseau,
anciennement appele stratgie daccs distant. Cela se fait dans la console Network Policy Server
sous le nud Stratgies puis Stratgies rseau. Sont ici spcifies des contraintes cumulables que la
tentative de connexion devra respecter comme les horaires de connexion, lappartenance un groupe
pour lordinateur et/ou lutilisateur, lexcution dun systme dexploitation spcifique ou encore le
respect des exigences de scurit avec la technologie NAP (Network Access Protection).
Suivant le souhait ou non de faire passer les proprits daccs distant du compte de lutilisateur avant
ces restrictions, il faudra indiquer dans lesdites proprits que son accs est soumis aux rgles
dfinies dans NPS.