SlideShare a Scribd company logo

Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

Download as PPTX, PDF
Microsoft Technet France
Microsoft Technet France

En 2011, nous avions insisté sur la nécessité de l'approche Projet pour DirectAccess. Maintenant que l'équipe projet a réussi avec succès sa mise en production, il faut gérer le quotidien. Cette session s'adressera donc aux exploitants de la solution DirectAccess. Cette solution reposant sur un assemblage de plusieurs technologies, une bonne compréhension de chacune d'elle facilite le dépannage. Plusieurs cas de troubleshooting seront développés ainsi que les bonnes pratiques en matière d'exploitation des plateformes DirectAccess.

Technology
1 of 56
palais des congrès Paris 7, 8 et 9 février 2012
Retour d'expérience sur DirectAccess, bonnes pratiques & dépannage Arnaud Lheureux Stanislas Quastana Benoit Sautière Premier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP Enterprise Security Microsoft UK Microsoft France Exakis
Objectifs de cette session Refaire un point sur DirectAccess : les technologies & produits à mettre en œuvre Vous donner la bonne approche projet à suivre pour réussir votre déploiement DirectAccess Vous faire gagner du temps en détaillant les problèmes classiques et rencontrés fréquemment Vous préparer à une méthodologie de dépannage le cas échéant Bref : vous faire profiter de nos expériences sur DirectAccess
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
Architecture de DirectAccess (version simplifiée avec Windows Server 2008 R2 uniquement) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS (WS2008 et >) Client Serveur Windows 7 DirectAccess (Entreprise ou Intégrale) Autres serveurs
Architecture de DirectAccess (version simplifiée avec Forefront UAG 2010) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS Serveur Client DirectAccess Windows 7 (Entreprise ou Intégrale) Autres serveurs
Internet Réseau entreprise DC/DNS Tunnel IPsec ESP [Infra] management Tunnel IPsec ESP[User] Client DA Serveur Windows 7 DirectAccess [UAG 2010] Autres serveurs
DirectAccess aujourd’hui = Forefront UAG 2010 SP1 Montée en charge Haute disponibilité Moins d’impacts sur l’infrastructure IP + simple à déployer et administrer Intégration de fonctionnalités complémentaires  Support d’authentification OTP  DirectAccess Connectivity Assistant Plus de détails : cf. la session des TechDays 2011  http://tinyurl.com/78j
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
« J’adore qu’un plan se déroule sans accroc » Hannibal – Directeur de projet
« J’ai NATé de partout, la sécurité c’est mon métier » Futé – ingénieur réseau
« moi j’ai tout tuné et sans lire les docs Monsieur» Barracuda – ingénieur système
« je comprends pas ça ne marche pas » Looping – utilisateur Pilote de DA
Un projet DirectAccess ça peut aussi finir comme ça !!!
C’est un vrai projet - interlocuteurs Impliquer toutes les bonnes personnes  Responsables Windows / Plateformes  Responsables réseau  Responsables applicatifs  Responsables sécurité  Support utilisateurs Et les points de vues différents   Sécurité / Réseau  Applicatifs  Haute disponibilité
Les 7 péchés capitaux Le déploiement de DirectAccess n’est pas trivial, les prérequis sont importants et cela nécessite une planification forte Un certain nombre de dénominateurs communs aux problématiques rencontrées les plus fréquemment… Orgueil Gourmandise Avarice Envie Colère Impureté Paresse Plus de détails : la session des TechDays 2011  http://tinyurl.com/75te
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
Les incontournables : code d’erreur 40
Les incontournables : code d’erreur 40
Les incontournables : absence d’enregistrement DNS
Les incontournables : DCA pas à jour DCA : DirectAccess Connectivity Assistant Attention aux ressources testées N’est actualisé que toutes les 30 secondes
Quand IPv6 s’en mêle - Connectivité 6to4 Protocole relativement peu utilisé Protocole non disponible avec le HLB Protocole en cours de dépréciation  http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-historic- 05  http://www.ietf.org/id/draft-ietf-6man-rfc3484-revise- 05.txt
Quand IPv6 s’en mêle - Connectivité 6to4
Quand IPv6 s’en mêle – Connectivité Teredo S’active en parallèle d’IPHTTPS Pourtant Teredo peut se désactiver par erreur _ldap._tcp.dc._msdcs.DnsDomainName
Quand IPv6 s’en mêle – Connectivité Teredo
Quand IPv6 s’en mêle – Connectivité IPHTTPS Choisir une AC nativement reconnue Une CRL, ça se publie Un jour, un certificat ça expire Possible d’utiliser un certificat Wildcard (*)
Quand IPv6 s’en mêle – Connectivité IPHTTPS Code erreur Signification 0x800b0109 Certificat délivré par une autorité de certification non reconnue 0x80092012 Impossible de vérifier la non révocation du certificat. 0x80092013 Impossibilité d'accéder à la CRL 0x80090328 Certificat expiré 0x80090324 Synchronisation des horloges entre client et serveur
Quand IPv6 s’en mêle – Connectivité ISATAP IPv6 sur le LAN ? Nécessaire ?
Quand IPv6 s’en mêle – Connectivité ISATAP
Quand IPv6 s’en mêle – Flux entrants non sollicités
Quand IPv6 s’en mêle – Flux entrants non sollicités
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
Split tunneling / Force tunneling Rappel
Split tunneling / Force tunneling
Split tunneling / Force tunneling Impact utilisateur  Pas possible de désactiver DirectAccess  Pas possible de contourner les tunnels  Accès Internet via proxy Alternative  Imposer un proxy par stratégie de groupe (GPO)
Split tunneling / Force tunneling – Le cas Lync Lync n’est pas encore IPv6 ready  Secure Real-time Transport Protocol (RFC 3711) Implique la mise en œuvre d’un Lync Edge  Access Edge service  Web Conferencing Edge service  A/V Edge service Masquer l’infrastructure interne
Split tunneling / Force tunneling – Le cas Lync
Split tunneling / Force tunneling – Le cas Lync FQDN Usage Sign-in for Lync clients for Internal TLS _sipinternaltls._tcp.<yourdomainnam connections e> (SRV) _sipinternal._tcp. Sign-in for Lync clients for Internal TCP <yourdomainname> (SRV) connections _sip._tls. <yourdomainname> (SRV) For Telephony feature purpose _sip._tcp. <yourdomainname> For Telephony feature purpose (SRV) sip. <yourdomainname> Lync Pool Front-End sipinternal. <yourdomainname> Internal SIP access sipexternal. <yourdomainname> External SIP Access
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp Multiples causes  Client Citrix : IPv6 oui mais uniquement avec la Citrix Access Gateway  Serveur XenApp : Pas d’accès possible en DNS64/NAT64 Solution :  Déployer une Citrix Access Gateway  Masquer la ferme Citrix XenApp  Imposer l’accès via la Citrix Access Gateway
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp Subtilité de la résolution DNS
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
Supervision & Dépannage
Supervision et audit Journaux d’évènements sécurité  A configurer par GPO ou localement (auditpol.exe) WebMonitor Powershell Archivage intégré TMG  Importr DaLogFilter.xml
Dépannage de la connectivité Les étapes de base 1. Vérifier les GPOs DirectAccess 2. Vérifier le statut de connectivite 3. Vérifier la NRPT 4. Vérifier les adresses IPv6 5. Vérifier les règles IPsec 6. Vérifier les credentiels et l’authentification 7. Vérifier la résolution de nom et l'accès aux ressources
Dépannage de la connectivité 2 1. Vérifier les GPOs DirectAccess  gpresult /h gpreport.html /scope computer 2. Vérifier le status NLS  Netsh name show effective 3. Vérifier la NRPT  Netsh name show policy 4. Vérifier les adresses IPv6  Ipconfig /all  Adresses autres que FE80::/64
Dépannage de la connectivité 3 4. Vérifier les règles Ipsec  netsh advf consec show rule name=all type=dynamic 5. Vérifier les credentiels et l’authentification  Certutil –viewstore My : au moins un certificat avec “Client authentication” 6. Vérifier la résolution de nom et l'accès aux ressources  nslookup <intranet DNS server FQDN> <DNS server IPv6 address>
Focus sur les technologies de transition Teredo  Netsh int teredo show state  On y attend un état qualified, le type de NAT détecté, IP/ports du NAT 6to4  Netsh int 6to4 show state  Status de 6to4: activé IP-HTTPS  Netsh interface httpstunnel show interface  0x80092013: The revocation function was unable to check revocation because the revocation server was offline.  0x2AFC: Destination host is unreachable.  0x274C: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Suivons la trace! Démarche générale en cas de problèmes sérieux: 1. Stopper le service « IP Helper »  Net stop IPhlpSvc 2. Purger les caches  Ipconfig /flushdns, klist purge 3. Démarrer une trace  Netsh trace start scenario=directaccess capture=yes 4. Redémarrer le « IP Helper »  Net start IPhlpSvc 5. Reproduire le problème  Utilisation d’un partage, etc. 6. Stopper la trace  Netsh trace stop 7. Se régaler!
Le cas du cluster disponible… mais pas trop!
Le pitch Les utilisateurs qui se connectent sur le nœud 1 n’ont accès a aucune ressource du réseau corporate… AMS UAG N N Client L L Machine B UAG B Corporate network UAG
Notre environment de test
Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
Conclusion Procéder avec méthode  C’est un projet  Mise en place par itération  Exploiter le rapport du DAC  La technique est au service de la méthode Agir de manière proactive  Superviser DirectAccess  DirectAccess Health Check par Microsoft
Ressources utiles Blog de Stanislas http://blogs.technet.com/b/stanislas/archive/tags/directacce ss/ Blog de Benoit http://danstoncloud.com/blogs/simplebydesign/archive/tags /DirectAccess/default.aspx Blog de Lionel http://security.sakuranohana.fr/search/label/DirectAccess DirectAccess Mobilité & nomadisme Par Benoit & Lionel http://tinyurl.com/6vwtnfs

Recommended

System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...Microsoft Technet France
 
Retour d'expérience sur PowerShell
Retour d'expérience sur PowerShellRetour d'expérience sur PowerShell
Retour d'expérience sur PowerShellMicrosoft Technet France
 
Introduction à Azure Remote App
Introduction à Azure Remote AppIntroduction à Azure Remote App
Introduction à Azure Remote AppMicrosoft Décideurs IT
 
Introduction aux problématiques des architectures distribuées
Introduction aux problématiques des architectures distribuéesIntroduction aux problématiques des architectures distribuées
Introduction aux problématiques des architectures distribuéesSOAT
 
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Microsoft Technet France
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudMicrosoft Technet France
 
Webinar "Matrice de décision ECM"
Webinar "Matrice de décision ECM"Webinar "Matrice de décision ECM"
Webinar "Matrice de décision ECM"Michael Harlaut
 
Alphorm.com Formation Comprendre la cryptomonnaie
Alphorm.com Formation Comprendre la cryptomonnaieAlphorm.com Formation Comprendre la cryptomonnaie
Alphorm.com Formation Comprendre la cryptomonnaieAlphorm
 

Recommended

System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...Microsoft Technet France
 
Retour d'expérience sur PowerShell
Retour d'expérience sur PowerShellRetour d'expérience sur PowerShell
Retour d'expérience sur PowerShellMicrosoft Technet France
 
Introduction à Azure Remote App
Introduction à Azure Remote AppIntroduction à Azure Remote App
Introduction à Azure Remote AppMicrosoft Décideurs IT
 
Introduction aux problématiques des architectures distribuées
Introduction aux problématiques des architectures distribuéesIntroduction aux problématiques des architectures distribuées
Introduction aux problématiques des architectures distribuéesSOAT
 
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Microsoft Technet France
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudMicrosoft Technet France
 
Webinar "Matrice de décision ECM"
Webinar "Matrice de décision ECM"Webinar "Matrice de décision ECM"
Webinar "Matrice de décision ECM"Michael Harlaut
 
Alphorm.com Formation Comprendre la cryptomonnaie
Alphorm.com Formation Comprendre la cryptomonnaieAlphorm.com Formation Comprendre la cryptomonnaie
Alphorm.com Formation Comprendre la cryptomonnaieAlphorm
 
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu France
 
Duet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAPDuet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAPMicrosoft Décideurs IT
 
Deploiement continu breizh camp
Deploiement continu breizh campDeploiement continu breizh camp
Deploiement continu breizh campClaude Falguiere
 
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...Microsoft Technet France
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Microsoft Technet France
 
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...Microsoft Technet France
 
De A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeDe A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeMicrosoft
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan
 
Windows Seven
Windows SevenWindows Seven
Windows SevenSIMOES AUGUSTO
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDMohamet Lamine DIOP
 
Architecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de DrupalArchitecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de DrupalThomas Delerm
 
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2CERTyou Formation
 
Développer ou debugger ?
Développer ou debugger ? Développer ou debugger ?
Développer ou debugger ? Microsoft
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTgroupe_hisoft
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrSaddam ZEMMALI ☁
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaasyacine sebihi
 
Stephane d
Stephane dStephane d
Stephane dStphaneDouay
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
Vinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar PALANIYAPPAN
 
Java dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasJava dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasMicrosoft
 

More Related Content

What's hot

Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu France
 
Duet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAPDuet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAPMicrosoft Décideurs IT
 
Deploiement continu breizh camp
Deploiement continu breizh campDeploiement continu breizh camp
Deploiement continu breizh campClaude Falguiere
 
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...Microsoft Technet France
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Microsoft Technet France
 
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...Microsoft Technet France
 

What's hot (6)

Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
Fujitsu IT Future 2013 : Diminution des coûts opérationnels et du temps de dé...
 
Duet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAPDuet Entreprise 2.0 pour SharePoint et SAP
Duet Entreprise 2.0 pour SharePoint et SAP
 
Deploiement continu breizh camp
Deploiement continu breizh campDeploiement continu breizh camp
Deploiement continu breizh camp
 
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
System Center 2012 | Administrez vos clouds privé et public Windows Azure ave...
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
 
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
Architecture, bonnes pratiques et recettes pour la réussite de vos projets av...
 

Similar to Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

De A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeDe A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeMicrosoft
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDMohamet Lamine DIOP
 
Architecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de DrupalArchitecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de DrupalThomas Delerm
 
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2CERTyou Formation
 
Développer ou debugger ?
Développer ou debugger ? Développer ou debugger ?
Développer ou debugger ? Microsoft
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTgroupe_hisoft
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrSaddam ZEMMALI ☁
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
Java dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasJava dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasMicrosoft
 
supervision data center
supervision data centersupervision data center
supervision data centerRihab Chebbah
 
Fondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application FlexFondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application Flexdavid deraedt
 
Fondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application FlexFondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application Flexdavid deraedt
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 

Similar to Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage (20)

De A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeDe A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicative
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
 
Windows Seven
Windows SevenWindows Seven
Windows Seven
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARD
 
Architecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de DrupalArchitecture PHP 3 tier avec Zend en backend de Drupal
Architecture PHP 3 tier avec Zend en backend de Drupal
 
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
M10970 formation-services-reseaux-avec-windows-server-2012-et-2012-r2
 
Développer ou debugger ?
Développer ou debugger ? Développer ou debugger ?
Développer ou debugger ?
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFT
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel Fr
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaas
 
Stephane d
Stephane dStephane d
Stephane d
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 
Présentation Master
Présentation Master Présentation Master
Présentation Master
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2
 
Vinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar palaniyappan cv
Vinothkumar palaniyappan cv
 
Java dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de JonasJava dans Windows Azure: l'exemple de Jonas
Java dans Windows Azure: l'exemple de Jonas
 
supervision data center
supervision data centersupervision data center
supervision data center
 
Fondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application FlexFondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application Flex
 
Fondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application FlexFondamentaux d'architecture d'une application Flex
Fondamentaux d'architecture d'une application Flex
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 

More from Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

More from Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Retour d'expérience sur DirectAccess, bonnes pratiques & dépannage Arnaud Lheureux Stanislas Quastana Benoit Sautière Premier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP Enterprise Security Microsoft UK Microsoft France Exakis
  • 3. Objectifs de cette session Refaire un point sur DirectAccess : les technologies & produits à mettre en œuvre Vous donner la bonne approche projet à suivre pour réussir votre déploiement DirectAccess Vous faire gagner du temps en détaillant les problèmes classiques et rencontrés fréquemment Vous préparer à une méthodologie de dépannage le cas échéant Bref : vous faire profiter de nos expériences sur DirectAccess
  • 4. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 5.
  • 6. Architecture de DirectAccess (version simplifiée avec Windows Server 2008 R2 uniquement) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS (WS2008 et >) Client Serveur Windows 7 DirectAccess (Entreprise ou Intégrale) Autres serveurs
  • 7. Architecture de DirectAccess (version simplifiée avec Forefront UAG 2010) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS Serveur Client DirectAccess Windows 7 (Entreprise ou Intégrale) Autres serveurs
  • 8. Internet Réseau entreprise DC/DNS Tunnel IPsec ESP [Infra] management Tunnel IPsec ESP[User] Client DA Serveur Windows 7 DirectAccess [UAG 2010] Autres serveurs
  • 9. DirectAccess aujourd’hui = Forefront UAG 2010 SP1 Montée en charge Haute disponibilité Moins d’impacts sur l’infrastructure IP + simple à déployer et administrer Intégration de fonctionnalités complémentaires  Support d’authentification OTP  DirectAccess Connectivity Assistant Plus de détails : cf. la session des TechDays 2011  http://tinyurl.com/78j
  • 10. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 11. « J’adore qu’un plan se déroule sans accroc » Hannibal – Directeur de projet
  • 12. « J’ai NATé de partout, la sécurité c’est mon métier » Futé – ingénieur réseau
  • 13. « moi j’ai tout tuné et sans lire les docs Monsieur» Barracuda – ingénieur système
  • 14. « je comprends pas ça ne marche pas » Looping – utilisateur Pilote de DA
  • 15. Un projet DirectAccess ça peut aussi finir comme ça !!!
  • 16. C’est un vrai projet - interlocuteurs Impliquer toutes les bonnes personnes  Responsables Windows / Plateformes  Responsables réseau  Responsables applicatifs  Responsables sécurité  Support utilisateurs Et les points de vues différents   Sécurité / Réseau  Applicatifs  Haute disponibilité
  • 17. Les 7 péchés capitaux Le déploiement de DirectAccess n’est pas trivial, les prérequis sont importants et cela nécessite une planification forte Un certain nombre de dénominateurs communs aux problématiques rencontrées les plus fréquemment… Orgueil Gourmandise Avarice Envie Colère Impureté Paresse Plus de détails : la session des TechDays 2011  http://tinyurl.com/75te
  • 18. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 19. Les incontournables : code d’erreur 40
  • 20. Les incontournables : code d’erreur 40
  • 21. Les incontournables : absence d’enregistrement DNS
  • 22. Les incontournables : DCA pas à jour DCA : DirectAccess Connectivity Assistant Attention aux ressources testées N’est actualisé que toutes les 30 secondes
  • 23. Quand IPv6 s’en mêle - Connectivité 6to4 Protocole relativement peu utilisé Protocole non disponible avec le HLB Protocole en cours de dépréciation  http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-historic- 05  http://www.ietf.org/id/draft-ietf-6man-rfc3484-revise- 05.txt
  • 24. Quand IPv6 s’en mêle - Connectivité 6to4
  • 25. Quand IPv6 s’en mêle – Connectivité Teredo S’active en parallèle d’IPHTTPS Pourtant Teredo peut se désactiver par erreur _ldap._tcp.dc._msdcs.DnsDomainName
  • 26. Quand IPv6 s’en mêle – Connectivité Teredo
  • 27. Quand IPv6 s’en mêle – Connectivité IPHTTPS Choisir une AC nativement reconnue Une CRL, ça se publie Un jour, un certificat ça expire Possible d’utiliser un certificat Wildcard (*)
  • 28. Quand IPv6 s’en mêle – Connectivité IPHTTPS Code erreur Signification 0x800b0109 Certificat délivré par une autorité de certification non reconnue 0x80092012 Impossible de vérifier la non révocation du certificat. 0x80092013 Impossibilité d'accéder à la CRL 0x80090328 Certificat expiré 0x80090324 Synchronisation des horloges entre client et serveur
  • 29. Quand IPv6 s’en mêle – Connectivité ISATAP IPv6 sur le LAN ? Nécessaire ?
  • 30. Quand IPv6 s’en mêle – Connectivité ISATAP
  • 31. Quand IPv6 s’en mêle – Flux entrants non sollicités
  • 32. Quand IPv6 s’en mêle – Flux entrants non sollicités
  • 33. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 34. Split tunneling / Force tunneling Rappel
  • 35. Split tunneling / Force tunneling
  • 36. Split tunneling / Force tunneling Impact utilisateur  Pas possible de désactiver DirectAccess  Pas possible de contourner les tunnels  Accès Internet via proxy Alternative  Imposer un proxy par stratégie de groupe (GPO)
  • 37. Split tunneling / Force tunneling – Le cas Lync Lync n’est pas encore IPv6 ready  Secure Real-time Transport Protocol (RFC 3711) Implique la mise en œuvre d’un Lync Edge  Access Edge service  Web Conferencing Edge service  A/V Edge service Masquer l’infrastructure interne
  • 38. Split tunneling / Force tunneling – Le cas Lync
  • 39. Split tunneling / Force tunneling – Le cas Lync FQDN Usage Sign-in for Lync clients for Internal TLS _sipinternaltls._tcp.<yourdomainnam connections e> (SRV) _sipinternal._tcp. Sign-in for Lync clients for Internal TCP <yourdomainname> (SRV) connections _sip._tls. <yourdomainname> (SRV) For Telephony feature purpose _sip._tcp. <yourdomainname> For Telephony feature purpose (SRV) sip. <yourdomainname> Lync Pool Front-End sipinternal. <yourdomainname> Internal SIP access sipexternal. <yourdomainname> External SIP Access
  • 40. Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp Multiples causes  Client Citrix : IPv6 oui mais uniquement avec la Citrix Access Gateway  Serveur XenApp : Pas d’accès possible en DNS64/NAT64 Solution :  Déployer une Citrix Access Gateway  Masquer la ferme Citrix XenApp  Imposer l’accès via la Citrix Access Gateway
  • 41. Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp
  • 42. Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp Subtilité de la résolution DNS
  • 43. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 45. Supervision et audit Journaux d’évènements sécurité  A configurer par GPO ou localement (auditpol.exe) WebMonitor Powershell Archivage intégré TMG  Importr DaLogFilter.xml
  • 46. Dépannage de la connectivité Les étapes de base 1. Vérifier les GPOs DirectAccess 2. Vérifier le statut de connectivite 3. Vérifier la NRPT 4. Vérifier les adresses IPv6 5. Vérifier les règles IPsec 6. Vérifier les credentiels et l’authentification 7. Vérifier la résolution de nom et l'accès aux ressources
  • 47. Dépannage de la connectivité 2 1. Vérifier les GPOs DirectAccess  gpresult /h gpreport.html /scope computer 2. Vérifier le status NLS  Netsh name show effective 3. Vérifier la NRPT  Netsh name show policy 4. Vérifier les adresses IPv6  Ipconfig /all  Adresses autres que FE80::/64
  • 48. Dépannage de la connectivité 3 4. Vérifier les règles Ipsec  netsh advf consec show rule name=all type=dynamic 5. Vérifier les credentiels et l’authentification  Certutil –viewstore My : au moins un certificat avec “Client authentication” 6. Vérifier la résolution de nom et l'accès aux ressources  nslookup <intranet DNS server FQDN> <DNS server IPv6 address>
  • 49. Focus sur les technologies de transition Teredo  Netsh int teredo show state  On y attend un état qualified, le type de NAT détecté, IP/ports du NAT 6to4  Netsh int 6to4 show state  Status de 6to4: activé IP-HTTPS  Netsh interface httpstunnel show interface  0x80092013: The revocation function was unable to check revocation because the revocation server was offline.  0x2AFC: Destination host is unreachable.  0x274C: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
  • 50. Suivons la trace! Démarche générale en cas de problèmes sérieux: 1. Stopper le service « IP Helper »  Net stop IPhlpSvc 2. Purger les caches  Ipconfig /flushdns, klist purge 3. Démarrer une trace  Netsh trace start scenario=directaccess capture=yes 4. Redémarrer le « IP Helper »  Net start IPhlpSvc 5. Reproduire le problème  Utilisation d’un partage, etc. 6. Stopper la trace  Netsh trace stop 7. Se régaler!
  • 51. Le cas du cluster disponible… mais pas trop!
  • 52. Le pitch Les utilisateurs qui se connectent sur le nœud 1 n’ont accès a aucune ressource du réseau corporate… AMS UAG N N Client L L Machine B UAG B Corporate network UAG
  • 54. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  • 55. Conclusion Procéder avec méthode  C’est un projet  Mise en place par itération  Exploiter le rapport du DAC  La technique est au service de la méthode Agir de manière proactive  Superviser DirectAccess  DirectAccess Health Check par Microsoft
  • 56. Ressources utiles Blog de Stanislas http://blogs.technet.com/b/stanislas/archive/tags/directacce ss/ Blog de Benoit http://danstoncloud.com/blogs/simplebydesign/archive/tags /DirectAccess/default.aspx Blog de Lionel http://security.sakuranohana.fr/search/label/DirectAccess DirectAccess Mobilité & nomadisme Par Benoit & Lionel http://tinyurl.com/6vwtnfs