9. Direct Access Workshop - Marc Eggenberger

30
Microsoft Direct Access Swiss IPv6 Council swissipv6council.ch Sunny Connection AG www.sunny.ch

TAGS:

description

Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live Demonstration.

Transcript of 9. Direct Access Workshop - Marc Eggenberger

Page 1: 9. Direct Access Workshop - Marc Eggenberger

Microsoft Direct Access

Swiss IPv6 Council

swissipv6council.ch

Sunny Connection AGwww.sunny.ch

Page 2: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 2

Themen

Was ist Direct AccessVPN BisherDirect Access High LevelDirect Access VoraussetzungenInstallationMögliche ProblemeFazit

Page 3: 9. Direct Access Workshop - Marc Eggenberger

Was ist Direct Access?

Page 4: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 4

Direct Access von Microsoft

Always Connected – Better Protected – East to ManageFeature von Windows 7 & Windows Server 2008 R2„Seamlessly connected“„Improve Productivity of Mobile Workforce“„Improved Manageability of Remote Users“„Improved Security“VPN? Steht nirgends

Page 5: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 5

Remote Access / VPN bisher

Secure Clients „graben“ sich tief ins System einOft erst nach Login, nicht schon bei Ctrl-Alt-DelFunktionieren nicht überall:

IPSec gesperrtPPTP hinter NAT � nur 1 User

User müssen Verbindung herstellen

Page 6: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 6

DA High Level Übersicht

Remote Access Solution von Microsoft – Neues „VPN“Bidirektionale Always on Verbindung – auch vor der Windows AnmeldungFunktioniert automatisch und von allen Netzen aus:

ZuhauseHotelEtc

Verwaltung komplett über GPO möglichKommt in 2 Geschmacksrichtungen:

Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 onlyVanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv4

Page 7: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 7

Vorraussetzungen für DA

Client Windows 7 Enterprise / UltimatePKI Infrastruktur

Computer & SSL ZertifikateHealth Certs wenn NAPCRL Distribution Point (erreichbar intern UND extern)

IPSec & GPOsDNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 seinNLS Server2 öffentliche IPs – aufeinanderfolgend und nicht genNATedEinige Firewall Exception RulesIPv6

Page 8: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 8

Unterschied mit und ohne UAG

Ohne UAG – VanilleMind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2Nur IPv6 Resourcen erreichbar

Mit UAG – Vanille ErdbeereUAG muss 2008R2 seinInterne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS64

Page 9: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 9

Und nun Setup.exe ausführen?

Wird schiefgehen – Ziemlich sicherAlle Voraussetzungen erfüllt?

Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?

Page 10: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 10

Nochmals einige VorraussetzungenWindows 7 Enterprise oder UltimatePKI

Erreichbare CRL - http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspxSpezielle Vorlagen für DA Clients und SSL-Server -http://technet.microsoft.com/en-us/library/ee649249(WS.10).aspx

Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt -http://technet.microsoft.com/en-us/library/dd857262.aspxNLS

DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.

Page 11: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 11

Jetzt den UAG Assistenen starten

Page 12: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 12

UAG Assistent

Page 13: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 13

UAG Assistenen

Page 14: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 14

UAG Assistent

Page 15: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 15

UAG Assistent

Next – Next – Next …..Moment, was war das jetzt gleich?

Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernen und einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx

Page 16: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 16

ISATAP aktivieren? Konsequenzen

Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann

Page 17: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 17

Bisher

Page 18: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 18

Neu

Page 19: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 19

IPv6 funktioniert – Toll oder?

Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat VorrangtIst doch super – Oder etwa nicht?Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle)Testen testen testenIm Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen

Page 20: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 20

ISATAP

Muss nicht über DNS aktiviert werdenTest Rechner muss nur Host ISATAP auflösen können �Hostsfile EintragISATAP kann auch pro Hosts/Server deaktiviert werden:

netsh interface isatap set state disabled

Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nichtErste Schritte:

Kein A Eintrag für ISATAPNur auf Testrechner aktivieren und Hosts Eintrag verwenden

Page 21: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 21

Weiter im DA Assistenten

Authentication Options – Die Zertifikate für die Authentifizierung angebenInfrastructure Server

NLS Server angebenDNS Suffixe für interne DNS ServerDC Server

Application ServerEnd-to-Edge authenticaton and encryption für alle oder nur spezifische App Server

Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind

Page 22: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 22

Group Policies

Page 23: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 23

Ablauf UAG/DA Client Verbindungsaufbau

Client prüft via NLS ob er intern ist:Ja � direktNein � extern

Direkt im Internet (kein NAT) � Client benutzt 6to4Hinter NAT und UDP geht � Client benutzt TeredoHinter NAT und UDP blockiert � HTTPS-Tunnel über TCP/443

Page 24: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 24

Tunnel ist vor Useranmeldung verfügbar

DA-Client

Tunnel 1: DA-Client

UAG

Auth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management

Page 25: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 25

DNS - NRPT

Client muss wissen, welchen DNS Server er wann benutzt �Name Resolution Policy Table (NRPT)Feature von Windows 7 / 2008

Page 26: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 26

Aktive Verbindungen – wo seh ich die?

UAG ServerWindows Firewall With Advanced Security > Monitoring > Security Associations > Main Modenetsh advfirewall monitor show mmsa

DA Clientnetsh advfirewall monitor show mmsa

Page 27: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 27

Mögliche Probleme

HTTP/S Interface auf dem UAG kann nicht gestartet werden:A timeout occurered. The IP-HTTPS networkinterface cannot be enabled. �Server neu installieren

Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht:

Allow edge traversal auf einer spezifischen Firewall ruleerlauben:

http://technet.microsoft.com/en-us/library/ee809076.aspx

Page 28: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 28

Fazit

Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen

BidirectionalVor dem Login verfügbarTransparent für den Benutzer

ABER ….Der Implementierungsaufwand darf nicht unterschätzt werden!!!

Page 29: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 29

Ausbildung

Zur Zeit sind folgende Kurse im Angebot:

2-tägiger IPv6 Essentials Hands-On WorkshopWird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011

2-tägiges IPv6 Essentials SeminarÖffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben.

Auf www.sunny.ch/education/f_seminars.htmsind alle aktuellen Kurse zu finden.

Page 30: 9. Direct Access Workshop - Marc Eggenberger

Workd IPv6 Day @ Digicomp – 8. Juni 2011 30

Vielen Dank für die Aufmerksamkeit

IPv6 Grundlagen, Funktionalität, Integration

von Silvia Hagen, Deutsch2. Auflage, Sunny Edition, 2009ISBN 978-3-9522942-2-2

IPv6 Essentialsby Silvia Hagen, English2nd Edition, O'Reilly, May 2006ISBN 978-0-596-10058-2


Marc of Excellence - Marc Community Resources, Inc. · 2018-02-09 · Marc of Excellence Health and Wellness Success Story Marc Community Resources, Inc. provides opportunities for

Marc of Excellence - Marc Community Resources, Inc. · 2018-02-09 · Marc of Excellence Health and Wellness Success Story Marc Community Resources, Inc. provides opportunities for

Polemics or Communication?su-beta.diva-portal.org/smash/get/diva2:611939/FULLTEXT01.pdf · 12 CHRISTOF EGGENBERGER, Das Psalterbild als Exegese. In Testo e immagine nell’alto medioevo,

Polemics or Communication?su-beta.diva-portal.org/smash/get/diva2:611939/FULLTEXT01.pdf · 12 CHRISTOF EGGENBERGER, Das Psalterbild als Exegese. In Testo e immagine nell’alto medioevo,

Dr. Marc Madou, Fall 2013 Prof. Marc Madou MSTB 120

Dr. Marc Madou, Fall 2013 Prof. Marc Madou MSTB 120

Hitchhiker‘s guide to the brave new world dariusz.rozanski@szczesliwice.net GOTU by Eggenberger Christian.

Hitchhiker‘s guide to the brave new world [email protected] GOTU by Eggenberger Christian.

INNOVATING SUSTAINABLE FASHION KEA … sustainable fashion kea summer school 2012 marc by marc jacobs presents miss marc materials

INNOVATING SUSTAINABLE FASHION KEA … sustainable fashion kea summer school 2012 marc by marc jacobs presents miss marc materials

Project: Marc by Marc Jacobs Diffusion Line

Project: Marc by Marc Jacobs Diffusion Line

Marc D. Isaacs Isaacs & Co. 416 – 601 ‐1348 marc@isaacsco

Marc D. Isaacs Isaacs & Co. 416 – 601 ‐1348 marc@isaacsco

The Persuasive Effects of Direct Mail: A Regression ... · The Persuasive Effects of Direct Mail: A Regression Discontinuity Approach Alan Gerber, Daniel Kessler, and Marc Meredith

The Persuasive Effects of Direct Mail: A Regression ... · The Persuasive Effects of Direct Mail: A Regression Discontinuity Approach Alan Gerber, Daniel Kessler, and Marc Meredith

Session 3: MARC Format - WebJunction · PDF fileSession 3: MARC Format ... In this session we will learn about MARC format. We will learn what MARC format ... Understanding MARC Bibliographic

Session 3: MARC Format - WebJunction · PDF fileSession 3: MARC Format ... In this session we will learn about MARC format. We will learn what MARC format ... Understanding MARC Bibliographic

Direct Effects of Hepatitis B Virus-Encoded Proteins and ... · Direct Effects of Hepatitis B Virus-Encoded Proteins and Chronic Infection in Liver Cancer Development Marc Ringelhan

Direct Effects of Hepatitis B Virus-Encoded Proteins and ... · Direct Effects of Hepatitis B Virus-Encoded Proteins and Chronic Infection in Liver Cancer Development Marc Ringelhan

Marc Grodwohl | Marc Grodwohl

Marc Grodwohl | Marc Grodwohl

Marc T Treadwell Financial Disclosure Report for Treadwell , Marc T

Marc T Treadwell Financial Disclosure Report for Treadwell , Marc T

Diving into MARC: What's MARC got to do with it?

Diving into MARC: What's MARC got to do with it?

MARC Machine Readable Cataloging & MARC family

MARC Machine Readable Cataloging & MARC family

Deal Reg Portal DELL Partner Direct Jean-Marc Baumann DELL SonicWALL 1.

Deal Reg Portal DELL Partner Direct Jean-Marc Baumann DELL SonicWALL 1.

Marc Kuchner Princeton University Ground-Based Exoplanet Searches Radial Velocity Astrometry Transits Lensing Pulsation Timing Disks Direct Detection.

Marc Kuchner Princeton University Ground-Based Exoplanet Searches Radial Velocity Astrometry Transits Lensing Pulsation Timing Disks Direct Detection.

Marc by Marc Jacobs Field Project

Marc by Marc Jacobs Field Project

Counter-cryptanalysis - Marc Stevens Marc Stevens CWI, Amsterdam, The Netherlands marc@marc-stevens.nl Abstract. We introduce counter-cryptanalysis as a new paradigm for

Counter-cryptanalysis - Marc Stevens Marc Stevens CWI, Amsterdam, The Netherlands [email protected] Abstract. We introduce counter-cryptanalysis as a new paradigm for

MARC BIBLIOGRAPHIC TO RDA MAPPING MARC 21 Format for … MARC 21 FIELD TAG MARC 21 SUBFIELD CODE MARC 21 FIELD / SUBFIELD NAME RDA INSTRUCTION NUMBER RDA ELEMENT NAME 022 l ISSN-L

MARC BIBLIOGRAPHIC TO RDA MAPPING MARC 21 Format for … MARC 21 FIELD TAG MARC 21 SUBFIELD CODE MARC 21 FIELD / SUBFIELD NAME RDA INSTRUCTION NUMBER RDA ELEMENT NAME 022 l ISSN-L

Handbags & Accessories by Marc by Marc Jacobs 2015

Handbags & Accessories by Marc by Marc Jacobs 2015