par Sean Daily
Le but ultime des services d'accès distant dans un réseau est de permettre aux
utilisateurs distants d'accéder aux ressources du LAN. Les connexions RAS traditionnelles,
telles que celles qu'assurent Windows 2000 et Windows NT, fonctionnent bien pour
les besoins de connectivité de base des utilisateurs - par exemple les e-mails
ou la navigation sur Internet. Mais des problèmes peuvent survenir lorsque l'on
essaie d'en étendre l'utilisation, pour permettre aux utilisateurs d'accéder à
distance, librement, aux outils bureautiques.
TSAC : le joyau du SP1 pour les services de terminaux
La raison de cette difficulté provient d’une bande passante limitée. Il y a un
grand pas à franchir entre les applications qui fonctionnent bien sur les liaisons
RAS à faible bande passant (entre 28 Kbps et 128 Kbps), et les applications qui
attendent des connexions de type LAN (entre 10 et 100 Mbps). Faire passer sur
une liaison RAS les larges fichiers exécutables ou les fichiers de données qu’utilisent
la plupart des applications, est bien trop long pour être pratique. Cette limite
isole les utilisateurs distants, se connectant via des liaisons lentes, de la
plupart des ressources du réseau local. Ce problème se produit également pour
les connexions RAS basées sur PPTP sur des connexions plus rapides telles que
les lignes T1, ADSL ou par modem câble.
Une solution appréciée des entreprises à ce problème, consiste à associer RAS
avec des logiciels de contrôle à distance. Ces applications présentent entre autre
l’avantage d’être relativement bon marché et de donner à l’utilisateur un accès
complet aux applications basées sur les PC du LAN. Ces produits fonctionnent bien
sur des liaisons à faible bande passante car elles ne transmettent sur le réseau
que les données d’écran et les données du clavier sur la liaison et non toute
l’application et les données associées. L’inconvénient, c’est que ces solutions
imposent que l’utilisateur prenne complètement le contrôle du PC distant. La logique
utilisée ici est » un utilisateur, un ordinateur « , ce qui revient cher à une
grande échelle.
Il existe une solution plus intéressante. Cette solution consiste à déployer la
prise de contrôle à distance, en utilisant des solutions de clients légers. L’entreprise
bénéficie dans ce cas des avantages de la prise de contrôle à distance, d’une
plus grande facilité à administrer l’environnement et de la faculté d’héberger
de nombreuses sessions par serveur. Les services de terminaux (Terminal Services)
de Windows 2000 et Windows NT constituent une solution particulièrement séduisante
car ils sont disponibles dans toutes les versions de Windows 2000 Server. On installe
simplement les services, on acquiert une licence et c’est tout ! Les services
de terminaux sont prêts à être utilisés.
Il faut reconnaître que, même si les services de terminaux offraient des performances
tout à fait acceptables et un jeu de fonctions très complet, l’arrivée du Service
Pack 1 a porté les services de terminaux à un niveau supérieur d’utilité. Le Service
Pack n’est en rien responsable de cette amélioration. Le véritable bijou du SP1
est un programme caché sur le CD-ROM appelé Terminal Services Advanced Client
(TSAC). TSAC n’est rien de moins que le chaînon manquant de l’équation RDP : un
client RDP basé sur le Web, que TSAC fournit sous forme de contrôle ActiveX (autrement
dit un objet COM). Jusqu’à l’arrivée de TSAC, l’utilisation des services de terminaux
signifiait qu’il fallait installer et utiliser la client que comprend Windows
2000. Ce type de configuration est parfait si vous accédez à des applications
Windows sur le réseau de l’entreprise depuis votre ordinateur portable ou depuis
votre PC domestique. Mais que se passe-t-il si vous ne disposez que d’un navigateur
Web ? Pour offrir aux utilisateurs un accès par le Web aux services de terminaux,
il fallait acheter une solution Web d’un éditeur tiers (par exemple MetaFrame,
l’add-on onéreux de Citrix pour les services de terminaux de Windows 2000 et Windows
NT et un client ICA basé sur le Web correspondant). Bien que la solution de Citrix
soit puissante et fiable, son coût est supérieur à ce que de nombreuses entreprises
peuvent supporter. Avec TSAC, Microsoft propose une solution d’accès distant RDP
gratuite pour les services de terminaux.
Le véritable bijou du SP1 est un programme caché sur le CD-ROM appelé
Terminal Services Advanced Client (TSAC)
On peut installer TSAC depuis le dossier \\Valueadd\Tsac du CD-ROM du SP1 de Windows
2000. ou télécharger l’outil depuis l’adresse http://www.microsoft.com/windows2000/downloads/recommended/tsac.
(L’utilitaire ne fait pas partie de l’installation du Service Pack et n’est pas
dans la version téléchargeable sur le Web du SP1.) La mise en oeuvre de TSAC est
une tâche facile qui implique d’installer le package Web du logiciel sur un système
serveur Web doté de Microsoft Internet Information Server 4.0 ou de toute version
suivante. (Ce système n’est pas nécessairement le serveur sur lequel sont installés
les services de terminaux.) Lorsque les clients utilisent Microsoft Internet Explorer
4.0, ou une version plus récente du navigateur, pour se connecter au serveur IIS,
le système leur demandera s’ils veulent télécharger et installer TSAC. S’ils répondent
par l’affirmative, le système affiche une page Web basique qui permet aux utilisateurs
de saisir le nom du serveur de terminaux sur lequel ils souhaitent se connecter.
Si vous installez TSAC sur un serveur Web qui n’est pas le serveur de terminaux,
le serveur IIS qui héberge les fichiers de TSAC se comporte uniquement en portail
de distribution et d’accès de clients – la véritable connexion au serveur de terminaux
sera réalisée directement entre le client et le serveur de terminaux. Il est donc
très important de vous assurer que vous avez proprement configuré votre firewall
pour qu’il autorise le trafic nécessaire à une connexion TSAC. Pour cela, autorisez
le trafic sur le port 80 (HTTP) vers tout serveur IIS hébergeant le fichier HTML
de TSAC et le trafic du port 3389 (RDP) vers tout serveur de terminaux sur lesquels
vous souhaitez que les clients basés sur TSAC puissent se connecter.
TSAC est un utilitaire dont la puissance et la simplicité sont étonnantes. Je
vous recommande vivement de l’essayer. Il pourrait bien devenir une composante
essentielle de votre boîte à outils d’accès distant.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !