mardi 11 janvier 2011

[DirectAccess] Le serveur NLS


NLS késako ?

Le serveur NLS pour Network Location Server est une sorte de phare d'entreprise pour le poste client, ce dernier est un "bête" serveur Web en HTTPS.


En effet afin de déterminer si il est connecté ou non au réseau d'entreprise le poste Windows 7 Enterprise/Ultimate ou Windows 2008 R2 va effectuer les tests suivants :

  1. Est-ce qu'il est possible de résoudre le nom nls.security.lab ?
  2. Est-ce qu'il est possible de joindre l'adresse IP retournée en https ?
  3. Est-ce qu'une page est disponible sur le site : en gros est-ce que le serveur Web me retourne un code HTTP 200 OK ?
Si un des éléments de cette check-list n'est pas remplie alors le poste considère qu'il se trouve sur Internet et active la connexion DirectAccess et active la NRPT, dans le cas contraire rien ne se passe.

En toute logique ce rôle est donc critique est il est fortement recommandé que ce dernier soit un minimum en haute disponibilité avec tolérance de panne.

Premier cas : perte du NLS lorsque le poste se trouve sur Internet

Lorsque l'on regarde de plus prêt la configuration de DirectAccess :
On remarque donc qu'une exception pour ce serveur est mise en place afin que FQDN ne soit pas résolu aussi bien par le service DNS64 ou un serveur DNS interne.
Ce comportement semble donc logique puisque si un poste peut résoudre et accéder au serveur la connexion DirectAccess se désactive et c'est le serpent qui se mord la queue...

Il faut bien donc veiller à ne pas héberger le NLS sur un serveur qui doit être accessible via DirectAccess tel que :
  • Un intranet de type SharePoint ou autre
  • Un service Web de type Outlook Web Access, Communicator Web Access ou autre
  • ...
En effet il sera inaccessible par un poste connecté en DirectAccess.


Second cas : perte du NLS lorsque le poste se trouve sur le réseau d'entreprise

Si on se penche sur le type de réseau reconnu par Windows on constate que l'on se trouve sur un réseau publique et non de domaine.



Dans ce cas tout se complique, en effet le client sera dans l'impossibilité de résoudre des FQDN.

Il faut savoir que si le serveur tombe il existe deux cas de figure :
  • Si le poste était déjà connecté au réseau rien ne se passe tant qu'il ne redémarre pas ou qu'il ne déconnecte pas le réseau auquel il est rattaché.
  • Si le poste redémarre ou change d'état sur son interface réseau tout va mal. Mais dans ce cas à intervalle régulier le poste essaiera de contacter le serveur NLS afin de changer d'état seul.

Dans le cas ou la possibilité est donnée à l'utilisateur final il est possible au travers du DirectAccess Connectivity Assistant de désactiver la NRPT. Il faut pour cela dans le menu contextuel de ce dernier de choisir l'option Prefer Local DNS Names.

Aucun commentaire:

Enregistrer un commentaire