-
-
-
-
-
-
D'accès à distance Vue d'ensemble
Dial-up networking permet à un client d'accès distant pour établir une connexion à un port sur un serveur d'accès distant. La configuration du serveur d'accès réseau à distance permet de déterminer quelles ressources l'utilisateur distant peut accéder. Les utilisateurs qui se connectent par le biais d'un serveur d'accès réseau à distance, la connexion au réseau un peu comme un standard de réseau local d'utilisateurs l'accès aux ressources.
Virtual Private Networks (VPN) et assurer la sécurité des connexions grâce à un réseau non sécurisé en fournissant des données protection de la vie privée. Privé de données est sécurisé dans un environnement public. Accès distant VPN fournit un environnement commun où de nombreuses sources différentes telles que les intermédiaires, les clients hors site et les employés peuvent accéder aux informations via les navigateurs Web ou par courriel. Beaucoup d'entreprises fournissent à leurs propres connexions VPN grâce à l'Internet. Grâce à leurs fournisseurs de services Internet, les utilisateurs distants exécutant le logiciel client VPN sont assuré un accès privé au public dans un environnement partagé. La notion de tunnel est utilisé pour décrire une méthode d'utilisation d'une infrastructure de transfert inter-une charge utile. Le mode tunnel IPSec IP permet des charges utiles d'être cryptées et encapsulées dans un entête IP afin qu'elle puisse être envoyée au cours de la période d'enquête inter-entreprise ou à Internet.
De routage est le processus qui permet de transférer des données sur l'inter-d'un réseau local (LAN) à un autre. Les routeurs sont les dispositifs fonctionnant sur la couche réseau du Les différents types de trafic TCP / IP devient important lors de l'examen de l'acheminement et le routage des protocoles:
- Unicast comprend le trafic de point à point de connexion entre les systèmes TCP / IP.
- Trafic de diffusion est composé de point à multipoint de connectivité entre les systèmes TCP / IP.
- Le trafic de multidiffusion est composé de point à multipoint du trafic à un groupe de membres qui appartiennent à un groupe multicast.
Il existe un certain nombre de technologies qui permettent des connexions réseau à distance, y compris:
- Frame Relay: Il s'agit d'un WAN technologie qui utilise d'autres composants matériels d'établir des connexions à distance du site. Un relais de trame de connexion utilise un standard de lignes louées qui relie le site au réseau à relais de trame du fournisseur le plus proche point de présence (POP). Le relais de trame fournisseur délivre alors la connexion vers le relais de trame nuages. Afin d'utiliser le relais de trame pour un fournisseur de LAN-to-LAN, vous devez installer une ligne louée à chaque site, qui relie le réseau le plus proche point de présence (POP) de la frame relay fournisseur. Le relais de trame fournisseur est alors responsable pour le raccordement des lignes pour le même relais de trames de nuages afin que la connexion peut être établie entre les deux réseaux. Les avantages de l'utilisation de la technologie à relais de trame WAN sont:
- Frame relay fournit la flexibilité.
- Chacun de vos sites peuvent être connectés à un point de présence (POP), qui à son tour conduit à la réduction des coûts des lignes louées.
- Vous pouvez vous connecter à plusieurs sites en utilisant une seule connexion à relais de trame.
- Vous payez seulement pour la bande passante qui est utilisée.
- Contrat de bande passante peuvent être dépassées lorsque la circulation est présente.
- Les lignes louées: Dedicated lignes louées sont aussi généralement utilisé pour connecter des réseaux distants. Bien que dédié lignes louées sont couramment utilisés pour des liaisons WAN à distance pour permettre la connectivité réseau, l'achat et le maintien de lignes louées sont chers. En plus de cela, vous aurez à payer pour la bande passante allouée à tout moment. Cela est dû à des lignes louées sont classés comme les connexions persistantes. Ce qui signifie que les connexions sont des connexions permanentes, et de rester ouvert tout le temps.
- Accès à la demande des connexions: Bien que les connexions WAN fournie par Integrated Service Digital Network (ISDN) et les modems standard asynchrones sont généralement plus lents que les lignes louées dédiées, il peut être déconnecté à tout moment, et peut également être utilisé pour permettre la connectivité à différents endroits . Une des principales caractéristiques de la ligne à la demande des connexions que vous payez pour la bande passante que vous utilisez.
- Les réseaux privés virtuels (VPN): accès distant VPN fournit un environnement commun où de nombreuses sources différentes telles que les intermédiaires, les clients hors site et les employés peuvent accéder aux informations via les navigateurs Web ou par courriel. Beaucoup d'entreprises fournissent à leurs propres connexions VPN via l'Internet. Grâce à leurs fournisseurs de services Internet, les utilisateurs distants exécutant le logiciel client VPN sont assuré un accès privé au public dans un environnement partagé. En utilisant analogique, ISDN, DSL, câble technologie, composer et mobile IP; VPN sont mises en œuvre de vastes infrastructures. Accès distant VPN offre un certain nombre d'avantages, y compris l'élimination de l'AMJ et le modem circuit coûts, les modems câble de permettre la connectivité rapide et sont relativement rentables, les nouveaux utilisateurs peuvent être ajoutés à pratiquement tous les coûts, et l'information est facilement et rapidement accessibles aux hors - les usagers du site par le biais de la connectivité Internet.
Le service Routage et accès distant (RRAS) fournit des services de routage multiprotocole pour Microsoft Windows 2000 Server et Windows Server 2003. RRAS comprend une grande variété de fonctionnalités que le soutien unicast et multicast IP, routage IPX, AppleTalk routage et accès distant.
Détermination de l'organisation et les besoins des utilisateurs
Déterminer la distance d'accès de l'organisation et les utilisateurs devraient être l'une des premières étapes lorsque vous planifiez votre stratégie d'accès distant. Toutes les organisations et tous les utilisateurs n'ont pas accès à distance exigences communes.
Perspective d'une organisation, un certain nombre de questions qui doivent d'abord être abordés sont les suivants:
- Identifier les sous-réseaux qui seront accessibles à distance.
- Déterminer les ressources qui doivent être accessibles à distance.
- Déterminez si vos serveurs existants peuvent être modifiés et configuré pour permettre l'accès à distance.
- Évaluer les modems et des connexions.
- Évaluer les habitudes de navigation.
- Déterminez ce que dans le cadre d'accès à la sécurité et la connexion VPN mécanisme de sécurité doivent être mises en œuvre.
D'un point de vue des utilisateurs, un certain nombre de questions qui doivent d'abord être abordés sont les suivants:
- Déterminer quels sont les systèmes d'exploitation utilisés par les clients.
- Déterminer les ordinateurs qui sont utilisés par les clients.
- Déterminer les besoins en bande passante des utilisateurs.
- Déterminez ce que les connexions peuvent être pris en charge.
- Déterminer si les clients actuels des connexions à Internet peut être utilisé pour les connexions VPN.
- Déterminer combien de fois les utilisateurs devront se connecter au réseau.
La définition des types d'accès à distance pour autoriser
Lors de la décision sur le type spécifique (s) d'accès à distance que vous allez vous permettre, vous devez comprendre les besoins de l'organisation et les utilisateurs que vous avez identifiés. Le point ici est de savoir si le type d'accès à distance répond à ces besoins et exigences. Un autre facteur important qui doit être inclus lorsque vous déterminer le type d'accès à distance que vous allez permettre le coût et administratives nécessaires à la fois à mettre en œuvre et maintenir à distance le type d'accès.
Les différents types d'accès distants sont résumées ci-dessous:
- Accès à l'accès à distance: accès à l'accès à distance utilise des modems et des serveurs exécutant le service Routage et accès distant (RRAS) service. Pour permettre la communication, l'accès dial-in utilise le point-à-Point (PPP) de protocole. Les avantages de l'utilisation de connexion à l'accès à distance sont:
- Modem l'accès n'est pas affectée par l'utilisation d'Internet.
- Vous pouvez utiliser les modems et lignes téléphoniques.
- Lorsque la haute bande passante n'est pas une exigence, d'un modem d'accès est fiable et sa vitesse est constante.
- Vous n'avez pas besoin de fournir le cryptage.
- Les fonctions de sécurité telles que la vérification du numéro de l'appelant et le rappel de sécurité peut être utilisé.
- VPN d'accès distant: Un VPN sécurisé et offre des connexions à travers un réseau non sécurisé. Avec l'accès VPN, le chiffrement est utilisé pour créer le tunnel VPN entre le client distant et le réseau de l'entreprise. Les avantages de l'utilisation de VPN d'accès sont:
- Un nombre illimité de connexions peuvent être autorisés par les clients, et plus d'une connexion unique.
- Vous pouvez facilement modifier les connexions Internet afin de permettre l'accès VPN.
- Si les clients peuvent utiliser une connexion Internet à large bande, plus de bande passante disponible est celle fournie par ligne d'accès.
- Afin de garantir l'accès VPN, Windows Server 2003 offre un niveau de cryptage.
- Sans fil d'accès à distance: les réseaux sans fil sont définis par la spécification IEEE 802.11. Avec les réseaux sans fil, sans fil des utilisateurs se connectent au réseau par le biais de la connexion à un point d'accès sans fil (WAP). Les réseaux sans fil n'ont pas intégré la sécurité physique des réseaux filaires, et sont malheureusement plus vulnérable à des attaques contre les intrus. Pour obtenir les réseaux sans fil et des connexions sans fil, les administrateurs peuvent exiger que toutes les communications sans fil d'être authentifiées et chiffrées. Il existe un certain nombre de technologies de sécurité sans fil qui peuvent être utilisés pour protéger les réseaux sans fil. Lors de la planification de l'accès à distance sans fil, de la planification de sécurité pour les réseaux sans fil devrait être un facteur de haute priorité.
Comprendre les types d'accès réseau du client:
Sur la base des différents types d'accès à distance, il existe trois types d'accès réseau du client:
- Accès client: un dial-up client utilise une connexion physique au serveur d'accès distant pour établir une connexion à celle-ci. A dial-up client peut accéder aux ressources de la même manière que si elles sont physiquement connecté au réseau. Dial-up clients peuvent:
- Accéder aux ressources du réseau et des services.
- Partager des fichiers.
- Carte des lecteurs réseau, et d'effectuer d'autres opérations, sur la base de l'accès qui est autorisé.
Vous devez utiliser un client dial-up lorsque les conditions suivantes sont réunies:
- L'Internet ne peut pas être utilisé pour accéder à des ressources sur le réseau de l'entreprise en raison de problèmes de sécurité.
- Le débit de fournir une connexion suffisamment satisfait aux exigences de clients d'accès distant - ils sont capables d'accomplir les diverses fonctions qui en ont besoin.
- Les frais de lignes téléphoniques et les modems sont abordables.
- Client VPN: Un client VPN utilise l'Internet, tunneling et les protocoles TCP / IP pour établir une connexion au réseau.
- Clients sans fil: Les clients se connectent au réseau par des fréquences radio comme les fréquences infrarouge.
Access Dial-In Design Considerations
Les dial-up networking méthodes de connexion sont:
Les principaux facteurs ou des problèmes que vous avez besoin de préciser lors de la planification d'un accès réseau à la stratégie sont les suivants:
- La méthode que vous utiliserez pour attribuer des adresses IP aux clients: Les méthodes que vous pouvez choisir entre de l'attribution des attribuer des adresses IP aux clients sont:
- Configurer le serveur RRAS pour attribuer des adresses IP aux clients, en utilisant un pool d'adresses statique définie sur le serveur RRAS: Dans cette méthode, vous devez configurer le pool d'adresses statiques sur le serveur RRAS. Quelques facteurs à considérer adresse statique sur la cession sont les suivantes:
- Chaque adresse attribué doit être unique. Vous avez donc de veiller à ce que le pool d'adresses statique configurée pour le serveur RRAS ne se chevauchent pas avec la plage d'adresse définie pour le serveur DHCP.
- Pour de multiples serveurs RRAS, l'adresse IP statique doit être unique pour chaque serveur RRAS.
- Configurer le serveur RRAS pour demander les adresses IP pour les clients d'un serveur DHCP: Cette méthode est plus facile que d'utiliser une adresse statique piscine. Clients d'accès distant peut être attribué des adresses IP de la plage d'adresses IP déjà configuré pour le serveur DHCP, ce qui élimine la possibilité de conflit d'adresse IP affectations.
- Le type de ports et le nombre de ports que vous aurez besoin: Les facteurs qui entrent dans ce dial-up networking de planification sont les suivantes:
- Que multiples connexions doivent être soutenus.
- Le nombre d'accès à distance simultanément les utilisateurs qui ont besoin d'accéder au réseau.
- Les nombre d'adresses IP.
- La bande passante disponible sur le lien de le serveur RRAS pour le LAN.
- La sécurité que vous devrez mettre en oeuvre pour votre connexion d'accès à la stratégie d'accès: Il existe deux méthodes que vous pouvez utiliser pour contrôler les utilisateurs sont en mesure d'accéder à distance au réseau:
- Vous pouvez autoriser ou interdire l'accès distant pour les utilisateurs individuels. Vous configurez chaque utilisateur l'accès à la boîte de dialogue Propriétés d'un utilisateur particulier, sur l'onglet. Les Utilisateurs et ordinateurs Active Directory console de gestion est l'outil utilisé pour accéder à la boîte de dialogue Propriétés d'un utilisateur spécifique.
- Vous pouvez autoriser ou interdire l'accès à distance par la configuration des stratégies d'accès distant. Cette méthode vous permet de spécifier les droits d'accès à distance sur la base de divers critères, tels que les utilisateurs, le groupe, et l'heure de la journée. Les paramètres spécifiés sur la boîte de dialogue Propriétés d'un utilisateur particulier, sur l'onglet détermine si un utilisateur est affecté par une stratégie d'accès distant.
Les différents paramètres de l'onglet de la boîte de dialogue Propriétés d'un utilisateur sont: - Autoriser l'accès, l'utilisateur est autorisé à accéder à distance au réseau. Les stratégies d'accès distant ne sont pas inclus dans la décision.
- Refuser l'accès: l'utilisateur se voit refuser l'accès à distance au réseau.
- Contrôler l'accès via la Stratégie d'accès distant, les stratégies d'accès distant dicte si oui ou non, l'utilisateur est autorisé l'accès à distance.
L'accès à distance peuvent aussi être utilisées pour restreindre les connexions à distance après avoir été autorisé sur la base des éléments suivants: - Idle timeout réglages
- Maximum session réglages
- Filtres de paquets IP
- Puissance de cryptage
- Les adresses IP pour les connexions PPP et des routes statiques.
Accès VPN Design Considerations
Avant d'examiner les considérations de conception pour mettre en oeuvre une stratégie d'accès distant VPN, permet au premier coup d'oeil les éléments qui sont nécessaires pour les connexions VPN de se produire:
- Un réseau de transmission est un réseau public comme Internet. Les données se déplace sur le réseau public de se connecter au réseau distant.
- Un client VPN crée une connexion à la passerelle configuré comme serveur VPN. Le service Routage et accès distant (RRAS) est utilisé.
- Le serveur VPN effectue les opérations suivantes:
- Répond aux appels de clients VPN
- Établit si les demandes sont autorisés.
- Authentifie les demandes de connexion au serveur VPN.
- À terme le trafic entre le client VPN et le réseau de l'entreprise.
- Attribuer des adresses IP aux clients, soit par cession adresse statique ou par le biais du protocole DHCP.
- Un tunnel VPN est une connexion qui encapsule les données et crypte.
- Les protocoles de tunnelisation utilisé pour encapsuler des données et la gestion des tunnels VPN sont les suivants:
- Point-to-Point Tunneling Protocol (PPTP)
- Deux Transport Layer Protocol (L2TP)
- Le terme utilisé pour décrire les données qui sont envoyés sur une connexion de données est tunnellisés.
Les principaux facteurs ou des problèmes que vous avez besoin de préciser lors de la planification d'un VPN d'accès distant de stratégie sont résumées ci-dessous:
- Le placement des serveurs VPN: Les choix de placement du serveur VPN sont les suivants:
- Placer le serveur VPN sur le réseau privé interne: Pour cette stratégie de placement, le pare-feu doit autoriser le trafic vers le serveur VPN.
- Placer le serveur VPN sur le réseau de périmètre: Pour ce stage, vous devez effectuer les configurations suivantes:
- Sur le serveur VPN, de configurer des filtres en entrée et en sortie qui permettent la circulation de VPN et de l'interface Internet du serveur VPN.
- Sur le pare-feu, le configurer pour autoriser le trafic de serveur VPN.
Les besoins en matériel du serveur VPN sont les suivants: - Il est recommandé de connecter les interfaces sur le réseau privé à un commutateur de grande capacité.
- Définir les dispositifs à 100 Mbps Full duplex.
- Pour un ordinateur multiprocesseur, lier un processeur à chaque carte réseau.
- Il est toujours préférable de doubler la vitesse du processeur plutôt que de doubler le nombre de processeurs.
- 512 Mo de RAM est suffisant pour 1.000 connexions simultanées. De plus, 128 Mo de RAM (au-dessus de la norme de mémoire RAM pour le serveur) est requis pour chaque 1.000 appels simultanés. Une autre de 128 Mo de RAM, il convient d'ajouter pour l'accès à distance et des services.
Les protocoles de réseau privé virtuel que vous utiliserez: Vous pouvez soutenir l'utilisation de l'une ou l'autre des protocoles de tunneling VPN: Point-to-Point Tunneling Protocol (PPTP) ou Layer Two Transport Protocol (L2TP). Les facteurs à considérer au moment de décider de qui VPN protocole à utiliser sont: - Les exigences des clients:
- Windows 95, Windows 98, Windows ME, Windows NT 4.0, Windows 2000, Windows XP et Windows Server 2003 support PPTP
- Seul Windows 2000, Windows XP et Windows Server 2003 de soutien L2TP.
- Infrastructure à clé publique (ICP) nécessaires: Une infrastructure à clé publique (PKI) est nécessaire pour l'authentification mutuelle du serveur VPN et le client. Les certificats doivent être installés sur le serveur VPN et VPN clients. En outre, l'authentification de l'utilisateur a besoin de protocoles tels que Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) et Extensible Authentication Protocol Transport Layer Security (EAP-TLS).
- La question de savoir si IPSec est nécessaire. L2TP peut être utilisé avec IPSec pour fournir le cryptage. Si vous avez besoin d'authentification pour le serveur VPN et le client, vous devez alors être en mesure de soutenir L2TP. Seul le protocole L2TP sur IPSec peut fournir l'intégrité des données.
Wireless Remote Access Design Considerations
Les principales exigences pour permettre l'accès à distance sans fil sont les suivantes:
- Vous devez configurer l'accès à distance des politiques qui permettent aux utilisateurs de se connecter sans fil au réseau.
- Si vous voulez configurer votre WAPs pour l'authentification RADIUS, vous devez déployer un second serveur IAS et le configurer comme une sauvegarde afin de le serveur principal. Cela permettrait aux clients sans fil de continuer à établir des connexions lorsque le serveur IAS primaire est indisponible.
- Lors de la planification de l'utilisation de plusieurs WAPs, portent l'esprit les points suivants:
- Tous les clients WAPs et devrait soutenir les mêmes protocoles.
- Tous vos WAPs pouvez utiliser le même serveur pour l'authentification, si vous utilisez l'authentification IAS.
- Chaque WAP doit être inclus dans la liste des clients sur le serveur IAS.
- Chaque WAP doit être configuré pour l'authentification RADIUS.
- Si vous voulez que votre WAPs d'utiliser les IAS authentification, vous devez effectuer les configurations additionnelles suivantes:
- Chaque WAP doit être ajouté en tant que client RADIUS IAS dans le composant logiciel enfichable MMC.
- Sur le WAP, vous devez activer l'authentification RADIUS et de définir l'enseignement primaire et de sauvegarde des serveurs IAS.
- Parce que la sécurité est une priorité pour les réseaux sans fil, vous devez utiliser WAPs et adaptateurs qui soutiennent le texte suivant:
- Mises à jour du firmware
- WEP en utilisant le cryptage 128-bit
- Désactivation de
- Lors de la planification de la sécurité sans fil pour se rappeler de se prononcer sur les éléments importants suivants:
- Que le Wi-Fi Protected Access
Déterminer les méthodes d'authentification pour l'accès distant
Lors de la planification de votre stratégie d'accès distant, vous devez déterminer la méthode d'authentification qui seront utilisées pour authentifier les clients qui se connectent au serveur d'accès distant. Une fois l'authentification se produit, l'autorisation de déterminer le niveau d'accès que l'utilisateur a accès à des ressources réseau. Les différents protocoles d'authentification sont indiqués ci-dessous:
- Kerberos Version 5: Il s'agit d'un protocole Internet standard qui peut être utilisé pour authentifier les utilisateurs et les systèmes.
- NT LAN Manager (NTLM): Ce protocole est principalement utilisé pour authentifier les ordinateurs dans les domaines Windows NT.
- Secure Socket Layer / Transport Layer Security (SSL / TLS): SSL / TLS est utilisé pour l'authentification lorsque les serveurs Web sont accessibles.
- . NET Passport d'authentification: Utilisé pour l'authentification Internet, intranet et extranet pour les utilisateurs de IIS 6.
- Challenge Handshake Authentication Protocol (CHAP): Il s'agit d'un défi-réponse protocole d'authentification utilisé pour les connexions PPP.
- Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2): Fournit l'authentification mutuelle et est utilisé pour le réseau téléphonique et de l'authentification.
- Password Authentication Protocol (PAP): Un réseau téléphonique et de méthode d'authentification qui utilise des mots de passe en texte clair et sans cryptage.
- Shiva Password Authentication Protocol (SPAP): Cette méthode utilise un mot de passe non-compliquée protocole d'authentification.
- Extensible Authentication Protocol (EAP): Utilisé pour le réseau téléphonique et de l'authentification, et pour l'authentification pour les connexions PPP.
- Extensible Authentication Protocol-Transport Level Security (EAP-TLS): utilise l'authentification mutuelle avec des certificats de carte à puce.
- Protected Extensible Authentication Protocol (PEAP): Utilisé pour augmenter la sécurité de réseau sans fil cryptage.
- MD-5 Challenge: Permet EAP autorisation par un nom et un mot de passe.
Détermination des niveaux fonctionnels de domaine
Le niveau fonctionnel de domaine spécifié pour le domaine de déterminer si des éléments de sécurité supplémentaires sont prises en charge et, par conséquent, qui affecte également l'accès à distance des fonctions de sécurité peuvent être utilisés. Le domaine Windows Server 2003 niveau fonctionnel est le plus haut niveau qui peuvent être spécifiées pour un domaine. Tous domaine Active Directory sont les fonctionnalités disponibles dans Windows Server 2003 niveau fonctionnel de domaine, y compris les suivantes:
- Groupes locaux et mondiaux
- Groupe de sécurité de nidification
- Groupe de conversion entre les groupes de sécurité et de la distribution des groupes
- SID Histoire
- Mise à jour de l'ouverture de session timestamp
- Mot de passe utilisateur sur le support d'objet InetOrgPerson
Comment faire pour vérifier quel domaine est mis en fonction pour le domaine
- Ouvrez l'Domaines et approbations Active Directory console
- Cliquez-droit sur le niveau fonctionnel de domaine dont vous voulez vérifier, puis sélectionnez Raise niveau fonctionnel de domaine dans le menu.
- Augmenter le niveau fonctionnel de domaine boîte de dialogue s'ouvre
- Vous pouvez visualiser le niveau fonctionnel de domaine existant pour le domaine de niveau fonctionnel de domaine actuel.
Comment faire pour élever le niveau fonctionnel de domaine pour un domaine
- Ouvrez l'Domaines et approbations Active Directory console
- Cliquez-droit sur le domaine particulier dont le niveau fonctionnel que vous souhaitez aborder, et de sélectionner Raise niveau fonctionnel de domaine dans le menu.
- Augmenter le niveau fonctionnel de domaine boîte de dialogue s'ouvre.
- Utilisez le Sélectionnez un niveau fonctionnel de domaine disponible pour choisir le niveau fonctionnel de domaine pour le domaine.
- Cliquez Raise
- Cliquez sur OK
Déterminer le niveau de chiffrement pour les VPN d'accès
Pour les VPN d'accès, vous devez décider du niveau de cryptage qui seront utilisées. Les options sont les suivantes:
- Pas de cryptage: Cette option n'est généralement pas recommandée car elle permet des connexions VPN en clair.
- De cryptage de base: Cette option n'est pas souvent utilisée car la plus faible 40-bits est utilisée pour le chiffrement.
- Forte de cryptage: A 56-bits est utilisée pour le chiffrement. Avec IPSec, DES est utilisé pour le chiffrement.
- Le cryptage le plus fort: une clé de 128 bits est utilisé pour le chiffrement.
Comment faire pour activer l'accès distant pour les utilisateurs
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory pour ouvrir la Utilisateurs et ordinateurs Active Directory console de gestion.
- Dans l'arborescence de la console, développez le domaine qui contient le compte d'utilisateur que vous souhaitez activer l'accès distant pour.
- Sélectionnez le conteneur Utilisateurs.
- Dans le volet droit, localisez le compte d'utilisateur que vous voulez configurer.
- Cliquez-droit sur le compte d'utilisateur, puis sélectionnez Propriétés dans le menu de raccourci.
- La boîte de dialogue Propriétés de l'utilisateur s'ouvre.
- Cliquez sur l'onglet.
- Dans la zone de l'autorisation d'accès distant, cliquez sur l'option Autoriser l'accès.
- Cliquez sur OK.
Comment faire pour activer l'accès distant basé sur la stratégie d'accès distant
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory pour ouvrir la Utilisateurs et ordinateurs Active Directory console de gestion.
- Dans l'arborescence de la console, développez le domaine qui contient le compte d'utilisateur que vous souhaitez activer l'accès distant pour.
- Sélectionnez le conteneur Utilisateurs.
- Dans le volet droit, localisez le compte d'utilisateur que vous voulez configurer.
- Cliquez-droit sur le compte d'utilisateur, puis sélectionnez Propriétés dans le menu de raccourci.
- La boîte de dialogue Propriétés de l'utilisateur s'ouvre.
- Cliquez sur l'onglet.
- Dans la zone de l'autorisation d'accès distant, cliquez sur le contrôle d'accès Grâce à la Stratégie d'accès distant option.
- Cliquez sur OK.
Comment faire pour installer des certificats à l'appui L2TP sur IPSec pour les connexions VPN
- Cliquez sur Démarrer, sur Exécuter, puis saisissez mmc dans la boîte de dialogue Exécuter. Cliquez sur OK.
- Dans le menu Fichier, sélectionnez Ajouter / Supprimer un composant logiciel enfichable.
- Lorsque l'option Ajouter / Supprimer un composant logiciel enfichable dans la boîte de dialogue s'ouvre, cliquez sur Ajouter.
- Lorsque le composant logiciel enfichable Ajouter la boîte de dialogue s'ouvre, sélectionnez Certificats dans la liste et cliquez sur Ajouter.
- Cliquez sur Fermer pour fermer le composant logiciel enfichable Ajouter la boîte de dialogue s'ouvre.
- Cliquez sur OK dans la Ajouter / Supprimer un composant logiciel enfichable dans la boîte de dialogue.
- Dans les certificats de la console, dans l'arborescence de la console, développez Certificats.
- Sélectionnez Personal.
- Cliquez sur le menu Action, puis sélectionnez Toutes les tâches, puis demande de nouveau certificat.
- La demande de certificat s'affiche.
1 - Cliquez sur Suivant dans la première page de l'assistant.
1 - Pour le type de certificat à la demande, cliquez sur Ordinateur, et cliquez sur Suivant.
1 - Spécifiez un nom et une description pour le certificat d'ordinateur, puis cliquez sur Suivant.
1 - Cliquez sur Terminer.
Comment faire pour créer une stratégie d'accès distant pour l'accès sans fil
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Routage et accès à distance pour ouvrir le Routage et accès distant console.
- Cliquez sur le menu Action, puis sélectionnez Nouvelle stratégie d'accès distant.
- La Nouvelle Politique d'accès à distance s'affiche.
- Cliquez sur Suivant dans l'écran initial de la nouvelle Stratégie d'accès distant assistant.
- Sur la politique de la méthode de configuration, sélectionnez Utiliser l'assistant de mettre en place une politique de type option.
- Dans le champ Nom de la politique, donner un nom à la politique. Cliquez sur Suivant.
- Sur la page Méthode d'accès, sélectionnez l'option sans fil. Cliquez sur Suivant.
- Sur l'utilisateur ou un groupe d'accès, sélectionnez l'option Groupe, puis cliquez sur le bouton Ajouter.
- Spécifiez le groupe, puis cliquez sur OK, puis Suivant.
- Sélectionnez la carte à puce ou autre certificat d'option et puis cliquez sur Suivant.
1 - Cliquez sur Terminer.
Comment faire pour désactiver l'authentification basée sur mot de passe
Parce que l'authentification basée sur mot de passe est considéré comme une faiblesse de la méthode d'authentification pour sécuriser l'accès à distance, vous devez désactiver l'utilisation du mot de passe suivant l'authentification basée sur les méthodes / protocoles:
- Password Authentication Protocol (PAP)
- Shiva Password Authentication Protocol (SPAP)
- Challenge Handshake Authentication Protocol (CHAP):
- Microsoft Challenge Handshake Authentication Protocol version 1 (MS-CHAP v1)
Pour ce faire,
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Routage et accès à distance pour ouvrir le Routage et accès distant console.
- Dans l'arborescence de la console, sélectionnez le serveur, puis cliquez sur le menu Action pour sélectionner la commande Propriétés.
- Passez à l'onglet Sécurité.
- Cliquez sur le bouton de méthodes d'authentification.
- Méthodes d'authentification La boîte de dialogue s'ouvre.
- Désactivez la case à cocher pour Microsoft Encrypted Authentication (MS-CHAP).
- Désactivez la case à cocher pour l'authentification cryptée (CHAP).
- Désactivez la case à cocher pour Shiva Password Authentication Protocol (SPAP)
- Désactivez la case en clair du mot de passe (PAP).
- Cliquez sur OK.
Bookmark Planifier une stratégie d'accès distant
Latest Blog Posts