III.2.1.1.2.1 Services de certificats Active Directory (AD
CS)
Les AD CS vous offrent les technologies et les outils
nécessaires pour créer et gérer une infrastructure
à clé publique. Bien que les AD CS puissent être
exécutés sur un serveur autonome, il est beaucoup plus
fréquent et plus puissant de les exécuter de manière
intégrée aux AD DS, qui peuvent agir comme un magasin de
certificats et fournir un cadre pour la gestion de la durée de vie des
certificats : obtention, renouvellement et révocation.
47
Figure 13
Figure 14
Figure 15
Les services de certificat Active Directory (AD CS)
fournissent des services personnalisables pour la création et la gestion
de certificats de clé publique utilisés dans les systèmes
de sécurité logiciels qui emploient des technologies de
clé publique. Les organisations peuvent utiliser les services de
certificat Active Directory pour améliorer la sécurité en
liant l'identité d'une personne, d'un périphérique ou d'un
service à une clé privée correspondante. Les services de
certificat Active Directory incluent également des
fonctionnalités qui vous permettent de gérer l'inscription et la
révocation de certificats dans divers environnements évolutifs.
Les applications prises en charge par les services de certificat Active
Directory incluent S/MIME, les réseaux sans fil sécurisés,
les réseaux privés virtuels (VPN), la sécurité du
protocole Internet (IPsec), le système de fichiers EFS, l'ouverture de
session par carte à puce, SSL/TLS et les signatures
numériques.
Figure 16
Les services de certificats Active Directory (AD CS)
étendent le concept d'approbation afin qu'un utilisateur, un ordinateur,
une organisation ou un service puisse prouver son identité à
l'extérieur ou à l'intérieur de la limite de votre
forêt Active Directory.
Figure 17 Figure 18
Figure 19
Figure 20 Figure 21
Figure 22
Figure 23
Figure 24
Figure 25
Figure 26
Figure 27
Figure 28
III.2.2.3 Configuration requise
Durant la configuration, vous serez invité à
choisir l'interface réseau qui assure la connexion à Internet. Si
vous n'indiquez pas l'interface appropriée, le serveur VPN
d'accès à distance ne fonctionnera pas correctement.
Le système DNS (Domain Name System) fournit une
méthode standard d'association de noms à des adresses Internet
numériques. Cela permet aux utilisateurs de référencer les
ordinateurs réseaux en utilisant des noms faciles à retenir au
lieu de longues séries de chiffres. Vous pouvez intégrer des
services DNS Windows avec les services DHCP sur Windows, éliminer le
besoin d'ajouter des enregistrements DNS comme les ordinateurs sont
ajoutés au réseau.
Figure 29
Figure 30
Si le réseau privé comporte un serveur DHCP, le
serveur VPN d'accès à distance peut à tout moment
réserver simultanément dix adresses auprès du serveur DHCP
et les attribuer aux clients distants. Dans le cas contraire, le serveur VPN
d'accès à distance peut générer et
Figure 31 Figure 32
attribuer automatiquement des adresses IP aux clients
distants. Si vous voulez que le serveur VPN d'accès à distance
attribue des adresses IP dans une plage déterminée, vous devez
spécifier cette dernière.
Si un serveur DHCP se trouve sur le même
sous-réseau que votre serveur VPN d'accès à distance, les
messages DHCP des clients VPN seront en mesure d'atteindre le serveur DHCP une
fois la connexion VPN établie. Si un serveur DHCP se trouve sur un
sous-réseau différent de votre serveur VPN d'accès
à distance, assurez-vous que le routeur entre les sous-réseaux
peut relayer des messages DHCP entre clients et le serveur. Si votre routeur
exécute Windows Server 2008, vous pouvez configurer le service Agent
relais DHCP sur le routeur de sorte que les messages DHCP soient
transférés entre les sous-réseaux.
Les services d'accès et de stratégie
réseau fournissent aux utilisateurs une connectivité
réseau locale et distante, permettent de connecter des segments
réseau et permettent aux administrateurs réseau de gérer
de manière centralisée l'accès au réseau et les
stratégies de contrôle d'intégrité des clients. Les
services d'accès réseau vous permettent de déployer des
serveurs VPN, des serveurs d'accès à distance, des routeurs et un
accès sans fil protégé 802.11. Vous pouvez
également déployer des serveurs et des proxys RADIUS et utiliser
le Kit d'administration de Microsoft Connexion Manager pour créer des
profils d'accès à distance qui permettent aux ordinateurs clients
de se connecter à votre réseau.
57
Le serveur Web (IIS) permet le partage d'informations sur
Internet, sur un intranet ou sur un extranet. Il s'agit d'une plateforme Web
unifiée qui intègre IIS 7.0,
ASP.NET, Windows Communication Foundation
et Windows SharePoint Services. IIS 7.0 offre également une
sécurité renforcée, des diagnostics simplifiés et
une administration déléguée.
Figure 33
Figure 34
Proxy RPC sur HTTP est un proxy utilisé par les objets
qui reçoivent des appels de procédure distante (RPC) via HTTP. Ce
proxy permet aux clients de découvrir ces objets même s'ils sont
déplacés entre des serveurs ou s'ils existent dans des zones
discrètes du réseau (en général pour des raisons de
sécurité).
L'équilibrage de la charge réseau (NLB)
répartit le trafic entre plusieurs serveurs, en utilisant le protocole
réseau TCP/IP. NLB est particulièrement utile pour garantir
l'évolutivité des applications sans état, telles qu'un
serveur Web exécutant les services Internet (IIS), par l'ajout de
serveurs supplémentaires selon l'augmentation de la charge.
L'ajout d'un serveur RADIUS est utile si vous envisagez
d'installer plusieurs serveurs VPN d'accès à distance, points
d'accès sans fil ou autres clients RADIUS sur votre réseau
privé.
| 
