Suite à la mise en place de Direct Access avec un environnement sur un seul serveur, on a vu que c’était relativement simple à mettre en œuvre avec un infrastructure Windows 2012 et des clients Windows 8.
Windows 7 reste compatible avec la technologie DirectAccess (heureusement !) mais nécessite quelques paramétrages supplémentaires par rapport à ce que l’on a montré précédemment.
Tout d’abord un pré-requis supplémentaire est nécessaire au niveau du client : DirectAccess Connectivity Assistant 2.0
Une fois installé sur le poste en Windows 7 il faut rajouter une autorité de certification dans le domaine active directory.
Ensuite on configure l’autorité de certification. Bon là j’ai mis qu’une capture d’écran, l’opération se résume à Suivant, suivant…
Maintenant on va activer l’enregistrement automatique de certificat dans la « Default domain policy »
Il faut lancer l’utilitaire de gestion des stratégies de groupe, et paramétrer la default domain policy comme ci dessous.
Ensuite il faut configurer l’autorité de certification pour l’enregistrement automatique des certificats.
Donnez un nom pour le nouveau modèle et cochez la case : Publier dans active directory.
Dans l’onglet extension, modifier l’extension : Stratégie d’application
Puis cliquez sur ajouter
Ajoutez la stratégie « Authentification du serveur »
Il faut ensuite dans l’onglet Sécurité, autoriser les comptes d’ordinateur pour l’inscription automatique.
Au niveau de l’autorité de certification on va créer un nouveau modèle de certificat à délivrer.
Bien sur on choisit le modèle créé précédemment.
Pour accélérer le procéssus d’enregistrement automatique on lance la commande : certutil -pulse et on redémarre l’autorité de certification.
Vérifions maintenant sur un pc du domaine si l’enregistrement automatique fonctionne.
Pour cela il faut lancer une mmc sur les certificats de l’ordinateur local.
Si vous avez suivi la procédure de l’article précédent de direct Access il vous reste à reconfigurer la partie Direct Access pour autoriser les clients Windows 7.
Sur le serveur d’accès à distance on modifie la configuration à l’etape 2.
On modifie la paramétrage comme ci dessous (si tout va bien vous retrouvez le certificat auto enregistré sur le serveur direct access).
Voilà après toutes ces opérations vos clients sous Windows 7 doivent être capable de se connecter.
Il faut bien vérifier qu’ils appartiennent au groupe d’ordinateurs autorisé à utiliser Direct Access.
Autre problème que j’ai rencontré lors du paramétrage j’avais désactivé le parefeu sur mon PC de test. En fait il faut qu’il soit activé sinon ça marche pas… J’ai pas encore compris pour quoi mais je mettrai à jours l’article quand ça sera la cas !
En conclusion, il est possible de faire fonctionner directaccess sous Windos server 2012 avec des clients Windows 7. C’est un peu plus compliqué à mettre en place car les client Windows 7 ne gèrent pas le module kerberos proxy, du coup il faut utiliser des certificats pour authentifier les clients. Dans tous les cas c’est un arguement de plus pour mettre en place DirectAccess.
Pour ceux qui utilisent des clients Windows XP, là il faudra passer par des méthode de VPN plus classiques.