Microsoft Direct Access

Swiss IPv6 Council

swissipv6council.ch

Sunny Connection AGwww.sunny.ch

Workd IPv6 Day @ Digicomp – 8. Juni 2011 2

Themen

Was ist Direct AccessVPN BisherDirect Access High LevelDirect Access VoraussetzungenInstallationMögliche ProblemeFazit

Was ist Direct Access?

Workd IPv6 Day @ Digicomp – 8. Juni 2011 4

Direct Access von Microsoft

Always Connected – Better Protected – East to ManageFeature von Windows 7 & Windows Server 2008 R2„Seamlessly connected“„Improve Productivity of Mobile Workforce“„Improved Manageability of Remote Users“„Improved Security“VPN? Steht nirgends

Workd IPv6 Day @ Digicomp – 8. Juni 2011 5

Remote Access / VPN bisher

Secure Clients „graben“ sich tief ins System einOft erst nach Login, nicht schon bei Ctrl-Alt-DelFunktionieren nicht überall:

IPSec gesperrtPPTP hinter NAT � nur 1 User

User müssen Verbindung herstellen

Workd IPv6 Day @ Digicomp – 8. Juni 2011 6

DA High Level Übersicht

Remote Access Solution von Microsoft – Neues „VPN“Bidirektionale Always on Verbindung – auch vor der Windows AnmeldungFunktioniert automatisch und von allen Netzen aus:

ZuhauseHotelEtc

Verwaltung komplett über GPO möglichKommt in 2 Geschmacksrichtungen:

Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 onlyVanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv4

Workd IPv6 Day @ Digicomp – 8. Juni 2011 7

Vorraussetzungen für DA

Client Windows 7 Enterprise / UltimatePKI Infrastruktur

Computer & SSL ZertifikateHealth Certs wenn NAPCRL Distribution Point (erreichbar intern UND extern)

IPSec & GPOsDNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 seinNLS Server2 öffentliche IPs – aufeinanderfolgend und nicht genNATedEinige Firewall Exception RulesIPv6

Workd IPv6 Day @ Digicomp – 8. Juni 2011 8

Unterschied mit und ohne UAG

Ohne UAG – VanilleMind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2Nur IPv6 Resourcen erreichbar

Mit UAG – Vanille ErdbeereUAG muss 2008R2 seinInterne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS64

Workd IPv6 Day @ Digicomp – 8. Juni 2011 9

Und nun Setup.exe ausführen?

Wird schiefgehen – Ziemlich sicherAlle Voraussetzungen erfüllt?

Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?

Workd IPv6 Day @ Digicomp – 8. Juni 2011 10

Nochmals einige VorraussetzungenWindows 7 Enterprise oder UltimatePKI

Erreichbare CRL - http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspxSpezielle Vorlagen für DA Clients und SSL-Server -http://technet.microsoft.com/en-us/library/ee649249(WS.10).aspx

Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt -http://technet.microsoft.com/en-us/library/dd857262.aspxNLS

DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.

Workd IPv6 Day @ Digicomp – 8. Juni 2011 11

Jetzt den UAG Assistenen starten

Workd IPv6 Day @ Digicomp – 8. Juni 2011 12

UAG Assistent

Workd IPv6 Day @ Digicomp – 8. Juni 2011 13

UAG Assistenen

Workd IPv6 Day @ Digicomp – 8. Juni 2011 14

UAG Assistent

Workd IPv6 Day @ Digicomp – 8. Juni 2011 15

UAG Assistent

Next – Next – Next …..Moment, was war das jetzt gleich?

Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernen und einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx

Workd IPv6 Day @ Digicomp – 8. Juni 2011 16

ISATAP aktivieren? Konsequenzen

Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann

Workd IPv6 Day @ Digicomp – 8. Juni 2011 17

Bisher

Workd IPv6 Day @ Digicomp – 8. Juni 2011 18

Neu

Workd IPv6 Day @ Digicomp – 8. Juni 2011 19

IPv6 funktioniert – Toll oder?

Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat VorrangtIst doch super – Oder etwa nicht?Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle)Testen testen testenIm Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen

Workd IPv6 Day @ Digicomp – 8. Juni 2011 20

ISATAP

Muss nicht über DNS aktiviert werdenTest Rechner muss nur Host ISATAP auflösen können �Hostsfile EintragISATAP kann auch pro Hosts/Server deaktiviert werden:

netsh interface isatap set state disabled

Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nichtErste Schritte:

Kein A Eintrag für ISATAPNur auf Testrechner aktivieren und Hosts Eintrag verwenden

Workd IPv6 Day @ Digicomp – 8. Juni 2011 21

Weiter im DA Assistenten

Authentication Options – Die Zertifikate für die Authentifizierung angebenInfrastructure Server

NLS Server angebenDNS Suffixe für interne DNS ServerDC Server

Application ServerEnd-to-Edge authenticaton and encryption für alle oder nur spezifische App Server

Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind

Workd IPv6 Day @ Digicomp – 8. Juni 2011 22

Group Policies

Workd IPv6 Day @ Digicomp – 8. Juni 2011 23

Ablauf UAG/DA Client Verbindungsaufbau

Client prüft via NLS ob er intern ist:Ja � direktNein � extern

Direkt im Internet (kein NAT) � Client benutzt 6to4Hinter NAT und UDP geht � Client benutzt TeredoHinter NAT und UDP blockiert � HTTPS-Tunnel über TCP/443

Workd IPv6 Day @ Digicomp – 8. Juni 2011 24

Tunnel ist vor Useranmeldung verfügbar

DA-Client

Tunnel 1: DA-Client

UAG

Auth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management

Workd IPv6 Day @ Digicomp – 8. Juni 2011 25

DNS - NRPT

Client muss wissen, welchen DNS Server er wann benutzt �Name Resolution Policy Table (NRPT)Feature von Windows 7 / 2008

Workd IPv6 Day @ Digicomp – 8. Juni 2011 26

Aktive Verbindungen – wo seh ich die?

UAG ServerWindows Firewall With Advanced Security > Monitoring > Security Associations > Main Modenetsh advfirewall monitor show mmsa

DA Clientnetsh advfirewall monitor show mmsa

Workd IPv6 Day @ Digicomp – 8. Juni 2011 27

Mögliche Probleme

HTTP/S Interface auf dem UAG kann nicht gestartet werden:A timeout occurered. The IP-HTTPS networkinterface cannot be enabled. �Server neu installieren

Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht:

Allow edge traversal auf einer spezifischen Firewall ruleerlauben:

http://technet.microsoft.com/en-us/library/ee809076.aspx

Workd IPv6 Day @ Digicomp – 8. Juni 2011 28

Fazit

Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen

BidirectionalVor dem Login verfügbarTransparent für den Benutzer

ABER ….Der Implementierungsaufwand darf nicht unterschätzt werden!!!

Workd IPv6 Day @ Digicomp – 8. Juni 2011 29

Ausbildung

Zur Zeit sind folgende Kurse im Angebot:

2-tägiger IPv6 Essentials Hands-On WorkshopWird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011

2-tägiges IPv6 Essentials SeminarÖffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben.

Auf www.sunny.ch/education/f_seminars.htmsind alle aktuellen Kurse zu finden.

Workd IPv6 Day @ Digicomp – 8. Juni 2011 30

Vielen Dank für die Aufmerksamkeit

IPv6 Grundlagen, Funktionalität, Integration

von Silvia Hagen, Deutsch2. Auflage, Sunny Edition, 2009ISBN 978-3-9522942-2-2

IPv6 Essentialsby Silvia Hagen, English2nd Edition, O'Reilly, May 2006ISBN 978-0-596-10058-2