Avec l’assistant de mise en œuvre de DirectAccess de la console d’administration, on pourrait penser que dès lors qu’on passe la validation de tous les pré-requis et le l’activation se déroule sans problème on en a fini. Et bien non, il y a des cas où l’assistant ne voit pas tout car il ne teste pas tout.
Récemment, j’ai passé un temps fou à dépanner un labo DirectAccess qui refusait de fonctionner en IP-HTTPS. Pourtant toute l’installation s’est bien passée. Cela fonctionne en 6to4, en Teredo mais pas en IP-HTTPS. Après avoir exploré toutes les pistes, j’ai finalement décidé de prendre du recul avec le Best Practices Analyzer pour UAG disponible depuis début juin 2010. Et là, quel ne fut pas ma surprise :

C’est bien un problème de IP-HTTPS, plus précisément de certificat. Creusons un peu de ce coté en regardant quelques propriétés dont la localisation de la CRL :

Maquette de merde! Si la CRL n’est pas accessible, alors oui, le certificat sera reconnu comme invalide, donc IP-HTTPS est inutilisable. On peut le valider en tentant d’accéder à la CRL depuis mon serveur UAG en utilisant non pas le FQDN mais l’adresse IP :

Si on tente de résoudre le nom “pourri”, effectivement cela ne fonctionne pas.

Dès lors qu’on corrige le problème (référencement de l’hôte dans le fichier host, c’est moche mais je suis pressé!). Et oui, cela fonctionne.

Si on relance le BPA, son rapport nous indique que selon lui tout est maintenant opérationnel.

Conclusion
Monter des environnements de maquette est une chose, un environnement de production en est un autre. Dès lors que la maquette n’est pas suffisamment représentative, le moindre grain de sable peut tout bloquer. Au passage, une configuration normale pour ma PKI de maquette aurait été celle documenté dans mon billet “Publier une PKI sur Internet”.
Au passage, cela m’apprendra à ne pas relire les billets que je publie sur mon blog, à ne pas me fier qu’à mon seul neurone. Bon, je retourne à ma maquette en attendant l’ouverture des services de Starcraft 2.
Benoîts – Simple and Secure by Design (J’insiste sur le Secure)