Implementace technologie DirectAccess pro okamžitý přístup mobilních uživatelů do firemní sítě V období hospodářského útlumu se společnost AVE CZ rozhodla otevřít hned několik projektů k modernizaci stávající úrovně IT infrastruktury. Jedním z cílů je získat náskok před konkurencí a snížit vlastní vnitrofiremní náklady na IT. Novinka DirectAccess nahradila původní PPTP řešení VPN přípojek mobilních uživatelů. Stala se jedním z nosných pilířů konceptu „office everywhere“. Tento koncept má zaručit rychlý, stabilní a okamžitý přístup k firemním datům a službám pro mobilní uživatele ať jsou kdekoliv. Direct Access bezezbytku naplňuje všechny tyto cíle.
Situace
Přehled řešení Země: Odvětví: Odstraňování komunálního a nebezpečného odpadu, živnostenské odpady a další Profil zákazníka: AVE CZ odpadové hospodářství s.r.o. je čtvrtým největším soukromým podnikem v oblasti odpadového hospodářství v České Republice. Těžiště činnosti tvoří odstraňování komunálního odpadu společně s provozem skládek.
Společnost AVE CZ patří do Rakouské skupiny AVE, která působí v devíti zemích
Velikost společnosti 400 počítačů
Evropy. Na českém trhu působí společnost AVE CZ v oblastech odpadového
Výchozí stav:
hospodářství, obsluhuje zhruba 1.2 milionu obyvatel České republiky a 20 000 živnostníků, či průmyslových subjektů. V roce 2010 se společnost AVE CZ rozhodla investovat do IT infrastruktury a zajistit její celkovou modernizaci. Získává tím tak náskok před konkurencí, snižuje provozní náklady jak na IT samotné, tak v oblasti lidských zdrojů. Jedním z projektů, který byl v roce 2010 zahájen, je komplexní změna VPN technologie pro mobilní uživatele. V původním řešení bylo využíváno vytáčených připojení PPTP, či L2TP. Tato technologie, přes všechny své výhody, již nedokázala nadále plnit požadavky jak IT managementu, tak samotných mobilních uživatelů po flexibilním, neustálém a mobilním připojení k vnitrofiremní síti.
Cíle Cílem projektu bylo nasazení robustního mechanismu pro zajištění bezobslužného připojení k vnitrofiremní síti. Požadovaná technologie musela zajišťovat připojení bez interakce uživatele, podporu skupinové správy, nebo integraci s dalšími technologiemi pro zajištění síťové bezpečnosti. Po analýze různých řešení bylo přistoupeno k implementaci technologie DirectAccess, která je součástí serverového operačního systému Windows Server 2008 R2 a na straně klienta je podporována operačním systémem Windows 7 Ultimate, nebo Enterprise. Cíle pro projekt implementace DirectAccess:
Plná automatizace instalace na straně klienta pomocí Group Policy
Okamžité připojení k vnitrofiremní síti při aktivním připojení k síti Internet
Snížení nákladů na správu mobilních připojení k vnitrofiremní síti
Provázanost na další technologie z rodiny Windows Server, například technologie Síťové karantény (Network Access Protection) a další
-1-
Klasická PPTP VPN technologie již nedokázala uspokojit požadavky IT managementu a uživatelů po moderním mobilním připojení k firemní síti Řešení: V období hospodářského útlumu se společnost AVE CZ rozhodla otevřít hned několik projektů k modernizaci stávající úrovně IT infrastruktury. Jedním z cílů je získat náskok před konkurencí a snížit vlastní vnitrofiremní náklady na IT. Novinka Direct Access nahradila původní PPTP řešení VPN přípojek mobilních uživatelů. Stala se jedním z nosných pilířů konceptu „office everywhere“. Tento koncept má zaručit rychlý, stabilní a okamžitý přístup k firemním datům a službám pro mobilní uživatele ať jsou kdekoliv. Direct Access bezezbytku naplňuje všechny tyto cíle. Hlavní přínosy řešení: Zrychlení práce uživatelů Nasazení skrze Group Policy Zvýšení uživatelského komfortu Možnost managementu mobilních počítačů mimo vnitrofiremní síť
Možnost vzdálené správy mobilních počítačů v případě připojení přes DirectAccess pomocí technologií jako jsou Windows Software Update Server (WSUS) a System Center Configuration Manager (SCOM) 2007 R2
Stěžejními cíly se tak stalo bezzásahové sestavení zabezpečeného kanálu mezi klientským operačním systémem a vnitrofiremní sítí AVE CZ. Pro oblast uživatelů byli tedy cíle definovány takto:
Zvýšení uživatelského komfortu
Zrychlení práce uživatelů
Navýšení bezpečnosti klientských počítačů
Řešení Jak již bylo uvedeno pro řešení připojení mobilních uživatelů k vnitropodnikové síti se použilo zcela nové technologie DirectAccess. Tato novinka byla vybrána hlavně z důvodu splnění všech požadovaných cílů a provázání své funkcionality s návaznými službami rodiny Windows Server System. Těmito službami se rozumí Active Directory Certification Services nebo Network Access Protection. Celkově DirectAccess využívá okolo 100 uživatelů a do pilotního testu bylo zařazeno 10 lidí z různých oddělení napříč organizační strukturou AVE CZ. Tato rozmanitost v testovacím režimu sloužila primárně pro získání komplexní zpětné vazby a definice oblastí pro zlepšení uživatelské zkušenosti s technologií DirectAccess. Konkrétní body řešení projektu „Implementace technologie Direct Access pro okamžitý přístup mobilních uživatelů do firemní sítě“ se dají definovat takto:
Implementace IPv6 technologie ve vnitrofiremní síti
Přizpůsobení stávající certifikační autority pro použití s technologií Direct Access
Konfigurace Network Location Web
Konfigurace zásad skupiny pro nasazení technologie Direct Access
Politika určená pro servery
Politika určená pro klienty
Politika určená pro certifikáty
-2-
Obrázek 1: Datový tok klient > server
Z obrázku 1 je patrné, že pro nastavení datových toků z mobilních počítačů byl užit model, kdy veškeré interní dotazy jsou směrovány na DirectAccess server a dále do interní IT infrastruktury. Naproti tomu dotazy na servery v internetu jsou vyřizovány přes DNS servery poskytovale internetového připojení. Stejně se pak chová samotný datový kanál mezi klientem a sítí Internet. Veškerý provoz mířící do sítě Internet je tak separován od interní IT infrastruktury a nezatěžuje DirectAccess kanál. Pro zjednodušení řešení problémů byl použit nástroj z rodiny Microsoft Solution Accelerator, konkrétně Microsoft DirectAccess Connectivity Assistant (http://technet.microsoft.com/en-us/library/ff384241.aspx).
Ikona upozorňovací oblasti
Stav DirectAccess pracuje správně
Nutný zásah
DirectAccess nepracuje správně
Tabulka 1: Microsoft DirectAccess Conectivity Assistant stavy Tabulka 1 znázorňuje stavy, které jsou komunikovány uživateli skrze ikonu v oznamovací oblasti systému Windows. Dle této ikony a nástrojů obsažených v Microsoft DirectAccess Connectivity Assistant je uživatel schopen sám diagnostikovat problém s připojením k vnitrofiremní síti. Tento nástroj tak dále podporuje snižování nároků a nákladů na IT podporu.
-3-
ETAPA
1 – Vytvoření designu DA
Co je cílem ETAPY
Vytvoření dokumentu popisujícího konečný stav DA včetně návrhu konfigurace.
2 – Úprava PKI pro DA
Úprava PKI pro DA včetně externího přístupu k PKI.
3 – Šablona certifikátu
Vytvoření šablony certifikátu pro DA server. Distribuce certifikátů pro počítače pomocí GPO
4 – Vydání certifikátů (distribuce)
(Auto Enrollment).Vydaní dalších certifikátů pro DA server.
5 – Konfigurace Firewall NLS
6 – Health Check DNS serverů
7 - Konfigurace DNS serverů
8 – Instalace a konfigurace OS DA serveru
9 – Instalace a konfigurace DA
10 – Konfigurace IPv6 11 – Test IPv6 komunikace 12 – Konfigurace klientů
Nastavení FW pravidel na NLS (Network Location Server). Zkontrolovat verzi OS DNS serverů, případně nainstalovat potřebné aktualizace. Nastavit všechny potřebné zóny. Nainstalovat OS MS Windows Server 2008 R2 a nakonfigurovat jej pro Direct Access. Nainstalovat a nakonfigurovat službu Direct Access na DA serveru. Nakonfigurovat ISATAP router a zkontrolovat konfiguraci všech interních serverů. Otestovat ISATAP komunikaci ve vnitřní síti. Vytvoření a konfigurace GPO pro Direct Access klienty. Otestovat Direct Access přístup pomocí všech dostupných typů připojení k internetu. Otestovat
13 – Test Direct Access
všechny požadované protokoly. Otestovat správnou detekci NATu, typu NATu a použití vhodného překladu. Ověřit výslednou sadu politik pomocí modelingu,
14 – Uvedení do produkčního provozu
případně upravit stávající politiky, a nalinkovat DA GPO na všechny klienty. Otestovat Direct Access přístup pomocí všech dostupných typů připojení k internetu, otestovat
15 – Test DA klientů
všechny požadované protokoly, otestovat na vybraných uživatelích („průřez organizací“). Ověřit funkčnost DA na min. 90% dostupných pracovních stanic (tedy 200*0,9=180).
16 – Po-implementační podpora
Technická podpora a řešení problémů
Tabulka 2: Časový harmonogram
-4-
Z jednotlivých etap je patrný celý průběh projektu nasazení technologie připojení k vnitrofiremní síti pomocí novinky DirectAccess. Pro úspěšné zvládnutí bylo nutné celou infrastrukturu nejdříve prověřit a udělat řadu „healt-check“ testů. Tyto testy byly klíčové pro pokračování v rámci etap projektu.
Licenční model Enterprise Agreement se Software Assurance
Přínosy Největší přínosem pro společnost AVE CZ bylo splnění všech plánovaných cílů a očekávání od nového řešení připojení mobilních uživatelů do vnitropodnikové sítě. Implementace nepřesáhla časový rámec definovaný partnerem a schváleným zákazníkem. Celý projekt se tak nesl v duchu maximální spokojenosti zákazníka s použitou technologií hlavně díky možnosti sestavení zabezpečeného kanálu mezi uživatelem a vnitrofiremní sítí i skrze několikanásobný NAT. Velkým přínosem dále bylo využití skupinových zásad pro automatizovanou konfiguraci technologie Direct Access či distribuci certifikátů. Největší přínosy z pohledu společnosti AVE CZ:
Připojení mobilních uživatelů i přes několikanásobný NAT
Zvládnutí implementace v definovaném časovém rámci
Integrace s dalším produkty společnosti Microsoft, jako například Network Access Protection, Windows Software Update Server a System Center Configuration Manager
Bezobslužná konfigurace Direct Access na straně klientů pomocí zásad skupin
Možnost správy a aplikace skupinových zásad určených pro počítače přes DirectAccess kanál
Snížení časových nároků na IT oddělení a tím redukce nákladů
Snížení nároků na interakci uživatele
Snížení TCO pro oblast desktopových operačních systémů
Citace „Díky projektu nasazení hromadné instalace Windows 7 jsme získali velmi jednoduchý způsob, jak standardizovat celé prostředí na moderní operační systém. Stávající prostředí Windows XP již nedokázalo reflektovat potřeby společnosti AVE CZ a díky Windows 7 ve spojení s Windows Server 2008 R2 získáme nové technologie, jako je Branch Cache nebo DirectAccess. Nejen tyto novinky nám pomohou získat náskok před konkurencí a úsporu nákladů. Specifické požadavky na způsob hromadné instalace se bezezbytku podařilo naplnit díky System Center Configuration Manager 2007.“ Jan Svatoš, IT ředitel AVE CZ
-5-
Produkty a technologie Windows Server 2008 R2 Standard Windows 7 Enterprise
-6-
