9. Direct Access Workshop - Marc Eggenberger
-
Upload
digicomp-academy-ag -
Category
Education
-
view
1.130 -
download
4
description
Transcript of 9. Direct Access Workshop - Marc Eggenberger
Microsoft Direct Access
Swiss IPv6 Council
swissipv6council.ch
Sunny Connection AGwww.sunny.ch
Workd IPv6 Day @ Digicomp – 8. Juni 2011 2
Themen
Was ist Direct AccessVPN BisherDirect Access High LevelDirect Access VoraussetzungenInstallationMögliche ProblemeFazit
Was ist Direct Access?
Workd IPv6 Day @ Digicomp – 8. Juni 2011 4
Direct Access von Microsoft
Always Connected – Better Protected – East to ManageFeature von Windows 7 & Windows Server 2008 R2„Seamlessly connected“„Improve Productivity of Mobile Workforce“„Improved Manageability of Remote Users“„Improved Security“VPN? Steht nirgends
Workd IPv6 Day @ Digicomp – 8. Juni 2011 5
Remote Access / VPN bisher
Secure Clients „graben“ sich tief ins System einOft erst nach Login, nicht schon bei Ctrl-Alt-DelFunktionieren nicht überall:
IPSec gesperrtPPTP hinter NAT � nur 1 User
User müssen Verbindung herstellen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 6
DA High Level Übersicht
Remote Access Solution von Microsoft – Neues „VPN“Bidirektionale Always on Verbindung – auch vor der Windows AnmeldungFunktioniert automatisch und von allen Netzen aus:
ZuhauseHotelEtc
Verwaltung komplett über GPO möglichKommt in 2 Geschmacksrichtungen:
Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 onlyVanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv4
Workd IPv6 Day @ Digicomp – 8. Juni 2011 7
Vorraussetzungen für DA
Client Windows 7 Enterprise / UltimatePKI Infrastruktur
Computer & SSL ZertifikateHealth Certs wenn NAPCRL Distribution Point (erreichbar intern UND extern)
IPSec & GPOsDNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 seinNLS Server2 öffentliche IPs – aufeinanderfolgend und nicht genNATedEinige Firewall Exception RulesIPv6
Workd IPv6 Day @ Digicomp – 8. Juni 2011 8
Unterschied mit und ohne UAG
Ohne UAG – VanilleMind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2Nur IPv6 Resourcen erreichbar
Mit UAG – Vanille ErdbeereUAG muss 2008R2 seinInterne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS64
Workd IPv6 Day @ Digicomp – 8. Juni 2011 9
Und nun Setup.exe ausführen?
Wird schiefgehen – Ziemlich sicherAlle Voraussetzungen erfüllt?
Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?
Workd IPv6 Day @ Digicomp – 8. Juni 2011 10
Nochmals einige VorraussetzungenWindows 7 Enterprise oder UltimatePKI
Erreichbare CRL - http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspxSpezielle Vorlagen für DA Clients und SSL-Server -http://technet.microsoft.com/en-us/library/ee649249(WS.10).aspx
Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt -http://technet.microsoft.com/en-us/library/dd857262.aspxNLS
DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.
Workd IPv6 Day @ Digicomp – 8. Juni 2011 11
Jetzt den UAG Assistenen starten
Workd IPv6 Day @ Digicomp – 8. Juni 2011 12
UAG Assistent
Workd IPv6 Day @ Digicomp – 8. Juni 2011 13
UAG Assistenen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 14
UAG Assistent
Workd IPv6 Day @ Digicomp – 8. Juni 2011 15
UAG Assistent
Next – Next – Next …..Moment, was war das jetzt gleich?
Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernen und einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx
Workd IPv6 Day @ Digicomp – 8. Juni 2011 16
ISATAP aktivieren? Konsequenzen
Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann
Workd IPv6 Day @ Digicomp – 8. Juni 2011 17
Bisher
Workd IPv6 Day @ Digicomp – 8. Juni 2011 18
Neu
Workd IPv6 Day @ Digicomp – 8. Juni 2011 19
IPv6 funktioniert – Toll oder?
Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat VorrangtIst doch super – Oder etwa nicht?Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle)Testen testen testenIm Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 20
ISATAP
Muss nicht über DNS aktiviert werdenTest Rechner muss nur Host ISATAP auflösen können �Hostsfile EintragISATAP kann auch pro Hosts/Server deaktiviert werden:
netsh interface isatap set state disabled
Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nichtErste Schritte:
Kein A Eintrag für ISATAPNur auf Testrechner aktivieren und Hosts Eintrag verwenden
Workd IPv6 Day @ Digicomp – 8. Juni 2011 21
Weiter im DA Assistenten
Authentication Options – Die Zertifikate für die Authentifizierung angebenInfrastructure Server
NLS Server angebenDNS Suffixe für interne DNS ServerDC Server
Application ServerEnd-to-Edge authenticaton and encryption für alle oder nur spezifische App Server
Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind
Workd IPv6 Day @ Digicomp – 8. Juni 2011 22
Group Policies
Workd IPv6 Day @ Digicomp – 8. Juni 2011 23
Ablauf UAG/DA Client Verbindungsaufbau
Client prüft via NLS ob er intern ist:Ja � direktNein � extern
Direkt im Internet (kein NAT) � Client benutzt 6to4Hinter NAT und UDP geht � Client benutzt TeredoHinter NAT und UDP blockiert � HTTPS-Tunnel über TCP/443
Workd IPv6 Day @ Digicomp – 8. Juni 2011 24
Tunnel ist vor Useranmeldung verfügbar
DA-Client
Tunnel 1: DA-Client
UAG
Auth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management
Workd IPv6 Day @ Digicomp – 8. Juni 2011 25
DNS - NRPT
Client muss wissen, welchen DNS Server er wann benutzt �Name Resolution Policy Table (NRPT)Feature von Windows 7 / 2008
Workd IPv6 Day @ Digicomp – 8. Juni 2011 26
Aktive Verbindungen – wo seh ich die?
UAG ServerWindows Firewall With Advanced Security > Monitoring > Security Associations > Main Modenetsh advfirewall monitor show mmsa
DA Clientnetsh advfirewall monitor show mmsa
Workd IPv6 Day @ Digicomp – 8. Juni 2011 27
Mögliche Probleme
HTTP/S Interface auf dem UAG kann nicht gestartet werden:A timeout occurered. The IP-HTTPS networkinterface cannot be enabled. �Server neu installieren
Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht:
Allow edge traversal auf einer spezifischen Firewall ruleerlauben:
http://technet.microsoft.com/en-us/library/ee809076.aspx
Workd IPv6 Day @ Digicomp – 8. Juni 2011 28
Fazit
Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen
BidirectionalVor dem Login verfügbarTransparent für den Benutzer
ABER ….Der Implementierungsaufwand darf nicht unterschätzt werden!!!
Workd IPv6 Day @ Digicomp – 8. Juni 2011 29
Ausbildung
Zur Zeit sind folgende Kurse im Angebot:
2-tägiger IPv6 Essentials Hands-On WorkshopWird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011
2-tägiges IPv6 Essentials SeminarÖffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben.
Auf www.sunny.ch/education/f_seminars.htmsind alle aktuellen Kurse zu finden.
Workd IPv6 Day @ Digicomp – 8. Juni 2011 30
Vielen Dank für die Aufmerksamkeit
IPv6 Grundlagen, Funktionalität, Integration
von Silvia Hagen, Deutsch2. Auflage, Sunny Edition, 2009ISBN 978-3-9522942-2-2
IPv6 Essentialsby Silvia Hagen, English2nd Edition, O'Reilly, May 2006ISBN 978-0-596-10058-2