Windows To Go, Direct Access et la jonction au domaine offline

Déjà je vous souhaite une bonne année.

Ça c’est fait.

Dans ce post nous allons mettre en place Direct Access, déployer un Windows to Go sur une clé USB et le joindre à notre domaine en offline. Nous verrons alors qu’il est tout à fait possible d’avoir des postes nomade en domaine sans que ceux-ci ne joignent jamais physiquement le réseau d’entreprise.

Voici un programme assez hétéroclite mais comme j’ai dû mettre tout cela en place pour les besoins d’un séminaire autant vous en faire profiter.

Pour rappel, une clé Windows To Go est un Windows 8 entièrement fonctionnel (exception faite du Windows Store pour des raisons d’activation). Vous pouvez installer toutes les applications dont vous avez besoin dessus, le joindre à un domaine, y déployer le client SCCM…

Une clé Windows to Go représente ainsi pour l’administrateur un poste de travail supplémentaire à gérer. Heureusement ce qui pourrait être un cauchemar à administrer peut s’avérer finalement très simple et ce notamment grâce à Direct Access et à la jonction au domaine Offline.

Première étape : La création d’une clé Windows to Go

Si vous voulez tester la jonction de domaine offline ou Direct Access Windows To Go n’est bien évidemment pas obligatoire mais j’ai trouvé que cet OS nomade par définition s’y prêtait bien.

Pour mettre en place Windows To Go il y a quelques prérequis et pas des moindres :

  • Avoir Windows 8 Enterprise et avoir les sources à disposition (ou une image WIM de Windows 8 Enterprise personnalisée)
  • Avoir une clé USB 3 compatible attention il y en a peu pour le moment (ou un disque dur externe USB 3)
  • Avoir un port USB 3 sur la machine qui servira à créer la clé. Vous pourrez par contre démarrer voter Windows To Go via un port USB 2
Branchez votre clé sur le port USB 3 de votre Windows 8 Enterprise.

Faites Windows + w pour lancer une recherche et tapez « Windows to go »

L’assistant de création Windows To Go démarre.

Choisissez votre périphérique cible.

Ajoutez votre DVD de Windows 8 Enterprise dans les emplacements de recherche et sélectionnez votre image.

Vous pouvez aussi pointer vers un master personnalisé de Windows 8 Enterprise.

Vous pouvez choisir de protéger votre clé avec BitLocker, ce que je vous recommande bien sûr.
L’assistant est prêt vous n’avez plus qu’à cliquer sur créer.
A la fin de l’assistant vous pourrez choisir le forcer le boot par USB lors du démarrage de votre PC ou non.

Et voilà vous avez une clé Windows to Go prête à l’emploi.

Deuxième étape : Mettre en place Direct Access

Direct Access est apparu avec Windows 2008 R2. Dans les grandes lignes cette fonctionnalité permet à un poste nomade (Windows 7 ou 8) de monter automatiquement un tunnel avec l’infrastructure. En gros il s’agit d’un VPN totalement automatique et transparent pour l’utilisateur.

Autant en Windows 2008 R2 mettre en place Direct Access n’était pas chose aisée autant nous allons voir ici qu’en Windows Server 2012 les choses se sont grandement simplifiées.

Mon infrastructure est assez simple :

SRV-DC01 : Un contrôleur de domaine Windows Server 2012

SRV-DC02 : Un contrôleur de domaine Windows Server 2008 R2, fait également office d’autorité de certification

SRV-DA01 : Le serveur Direct Access en Windows Server 2012

Box ADSL : Une simple box Numéricable qui fait office de nat. Configurée pour rediriger le port 443 vers le serveur SRV-DA01

Quelques prérequis à mettre en place avant tout :

Ma maquette étant chez moi, il est important que les clients nomades puissent contacter mon serveur Direct Access via Internet. Il est donc nécessaire d’avoir un enregistrement DNS public. J’ai donc ouvert un compte gratuit chez no-ip.com, j’ai créé un host sur le site et installé le client no-ip sur mon serveur Direct Access. Il est aussi important que ma box ADSL autorise les flux HTTPS et redirige le port 443 vers mon serveur Direct Access.

Pour mettre en place un scénario plus réaliste j’ai décidé de mettre en place des certificats fournis par mon autorité de certification j’ai donc au préalable crée un modèle de certificats pour ordinateurs avec auto inscription pour les postes basé sur le template « Ordinateur ». Il est nécessaire si vous utilisez une PKI d’entreprise que votre CRL soit publiée sur Internet assurez-vous que cela soit le cas avant de déployer vos certificats clients.

Vous devrez aussi créer un groupe AD qui contiendra les ordinateurs qui pourront accéder au réseau via Direct Access.

Une fois tous ces prérequis en place voici la procédure pour installer et configurer Direct Access

Sur votre serveur Direct Access, lancer une invite powershell, et tapez install-windowsfeature remoteaccess -includemanagementtools
Une fois le rôle installé, lancez « Gestion de l’accès à distance ».
Lancez l’assistant de mise en route.
Choisissez de déployer Direct Access uniquement.
Au vu de ma configuration réseau je choisis ici le scénario derrière un périphérique edge avec une seule carte réseau.

Entrez le nom public de votre serveur Direct Access.

Et voilà l’assistant est terminé. Force est de constater que c’est effectivement bien plus simple qu’auparavant.
A la fin de l’assistant Direct Access est quasiment fonctionnel.
Revenez à voter console de gestion de l’accès distant et modifier le groupe de machines autorisées à faire du Direct Access dans « l’étape 1 ».
Choisissez de déployer Direct Access pour l’accès client et l’administration à distance.
Sélectionnez le groupe AD que vous avez crée précédemment.
Spécifiez si vous le souhaitez le mail de votre support informatique et le nom de la connexion réseau qui apparaitra dans Windows.
Cliquez sur « Terminer » pour appliquer les modifications.

A partir de maintenant Direct Access est fonctionnel mais uniquement pour les clients Windows 8.

Nous allons ajouter le support de Windows 7.

Cliquez sur modifier dans l’étape 2.
Rendez-vous dans la partie « Authentification » de l’assistant, Cochez la case « Utiliser les certificats d’ordinateur ».

Cliquez sur parcourir.

Choisissez le certificat émis par votre CA d’entreprise. J’ai choisi un certificat dons le modèle et un doublon du modèle « ordinateur ».

N’oubliez pas si vous choisissez de vous baser sur une PKI interne de publier votre CRL sur Internet. (Pour cela j’ai créé un répertoire virtuel « CRL » dans le IIS de mon serveur Direct Access qui est accessible anonymement, j’ai ensuite ajouté ce site dans l’extension CDP de ma CA).

Cochez la case « autoriser les ordinateurs clients Windows 7 ».
Cliquez sur terminer pour valider la configuration.
Direct Access est prêt.

Dernière étape : Joindre la clé Windows to Go au domaine par Internet

Nous allons maintenant démarrer notre Windows to Go sur un poste qui n’a aucun accès physique au réseau d’entreprise et joindre celui-ci au domaine.

Commencer par démarrer Windows to Go et passez la configuration initiale de Windows, connectez votre poste à Internet.

La première étape de la jonction Offline se fait sur un contrôleur de domaine Windows Server 2012 (mon domaine est en niveau fonctionnel 2008 R2).

Lancez une invite de commande et tapez la commande suivante :

Djoin /provision /domain maquette.lan /machine MPO-WTGO /policyname « Paramètres du client DirectAccess » /certtemplate « ClientServerAuth » /savefile c:\blob.txt /reuse

/domain doit bien sur contenir le nom de votre domaine.

/machine contient le nom du poste de travail à joindre

/policynames contient le nom de ma GPO cliente Direct Access, il s’agit du nom par défaut pour un Direct Accss francais, n’oubliez pas les guillemets et l’accent dans paramètres.

/Certtemplate contient le nom du template de certificat basé sur « ordinateur » et pour lequel mes clients ont un droit d’autoenrollement. Attention en si votre nom de template contient des espaces (comme moi) ne les mettez pas dans la commande.

/savefile pointe vers le fichier de jonction que vous allez créer.

Cette commande va créer le compte de la machine dans l’AD.

Déplacez la dans la bonne OU et ajoutez là au groupe des postes autorisés à faire du Direct Access.

Pour terminer connectez-vous en tant qu’administrateur local sur votre Windows To Go. Qui je le rappelle n’a pas accès au réseau interne.

Lancez la commande :

Djoin /requestodj /loadfile blob.txt /windowspath %windir% /localos

/loadfile contient le fichier blob.txt que vous avez créé précédemment. Et que vous aurez envoyé par mail au tout autre moyen vers votre client.

/localos indique que nous sommes dans l’OS à joindre, il est en effet possible de faire la jonction lorsque Windows est éteint (en mode offline donc).

C’est terminé !!

Redémarrez votre Windows to Go et vous pourrez constater que désormais votre poste est non seulement joint au domaine mais peut contacter votre infra interne via Direct Access.
Vous avez désormais un accès complet aux ressources de votre domaine.
Publicités

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s