Windows 2008 R2: Nastavení a konfigurace DirectAccess

Windows 2008 R2: Nastavení a konfigurace DirectAccess tým KPCS CZ (Jan Slavík) V tomto dokumentu si popíšeme základní prvky instalace a konfigurace jednotlivých komponent DirectAccess technologie.

KPCS CZ, s.r.o. http://www.kpcs.cz [email protected]

Obsah: Úvod ........................................................................................................................................................ 3 Komponenty DirectAccess....................................................................................................................... 4 Požadavky ................................................................................................................................................ 6 Nároky na software ............................................................................................................................. 6 Nároky na síťovou infrastrukturu ........................................................................................................ 6 Stručně o IPv6.......................................................................................................................................... 7 Instalace Windows Server 2008 .............................................................................................................. 9 Příprava Active Directory....................................................................................................................... 11 Konfigurace certifikační autority ........................................................................................................... 12 Úprava publikace CRL ........................................................................................................................ 12 Automatická distribuce klientských certifikátů ................................................................................. 14 Vytvoření nového template .............................................................................................................. 17 Vygenerování certifikátů na DirectAccess Serveru ........................................................................... 20 Natavení firewall ................................................................................................................................... 24 Konfigurace ISATAP ............................................................................................................................... 25 Konfigurace DirectAccess ...................................................................................................................... 26 Příprava a konfigurace DirectAccess Connectivity Assistant................................................................. 32 Příprava klientů k nasazení DirectAccess .............................................................................................. 34 Testovaní DirectAccess ...................................................................................................................... 34 Řešení problémů ................................................................................................................................... 35 DirectAccess server ........................................................................................................................... 35 Klient DirectAccess ............................................................................................................................ 35 Závěr ...................................................................................................................................................... 36

2

Úvod DirectAccess je zcela nová technologie Windows 7 a Windows 2008 R2, díky které můžete přistupovat a využívat tak prostředků ve vaší organizaci bez VPN klienta. DirectAccess vytvoří zabezpečené obousměrné spojení mezi každým klientem, který má dostatečné síťové připojení do internetu. Technologie DirectAccess je zcela závislá na protokolu IPv6. V tomto dokumentu si popíšeme základní prvky instalace a konfigurace jednotlivých komponent DirectAccess technologie. Určitě zde nemohou být pokryty veškeré možnosti konfigurace, nicméně konfigurace a instalace DirectAccess komponent není nikterak složitá, ale je velmi důležité vše velmi dobře připravit a rozmyslet. Nasazení DirectAccess je velkým zásahem do stávajících infrastruktury, hlavně z důvodu nutnosti využívání a nasazení IPv6 protokolu do vaší infrastruktury.

3

Komponenty DirectAccess V následujícím odstavci se podíváme blíže na jednotlivé komponenty, na kterých je DirectAccess závislý. Tuto technologii můžeme nasadit v různých scénářích, mezi které patří následující: 

 



Full Intranet access – V tomto případě jsou ustaveny 2 IPSEC tunely mezi klientem a DA serverem. Jeden je tzv. infrastrukturní, který slouží pro komunikaci s doménovými řadiči a DNS servery a druhý tunel je využíván pro přístup do interní sítě obecně Full Intranet access with Smart Cards – Stejně konfigurované IPSEC tunely jako v předchozím případě, ale druhý tunel pro komunikaci do interní sítě je ustavován za pomoci Smart karty Selected Servers access – Také zde jsou vytvořeny 2 IPSEC tunely, jeden je infrastrukturní a druhý je ustavován přímo proti serverům v interní síti. Druhý tunel tedy není terminován na DirectAccess Serveru, ale je pouze „propuštěn“ na servery v interní síti End-to-End Access – V tomto případě je IPSEC ustavován mezi klientem a servery v interní síti vždy. V tomto případě není používán infrastrukturní tunel a IPSEC tunely jsou propouštěny přes DirectAccess server.

V našem dokumentu se zaměříme na první zmiňovaný scénář, který je pro demonstraci DirectAccess technologie asi nejlepší. Jak již bylo napsáno v úvodu, tato technologie vyžaduje nasazení IPv6. V tomto případě máte na výběr ze dvou možností:  

Využití automatického tunelovacího mechanizmu ISATAP Nasazení IPv6 na stávající síti bez využití tunelování

Obě varianty jsou použitelné pro nasazení DirectAccess a jsou tedy funkční. Využívání ISATAP adaptérů a tunelování obchází některé požadavky, které jsou nutné při plné implementaci IPv6 na interní síti. Na druhé straně je ISATAP protokolu vyčítána závislost na protokolu vyšší vrstvy, což může v některých případech způsobovat problémy. Technologie DirectAccess dále vyžaduje nasazení následujících služeb, požadavky na jejich přesnou konfiguraci rozebereme níže v dalších kapitolách tohoto dokumentu.    

Certifikační autorita Active Directory a GPO NLS – Network Location Service ISATAP router v případě využívání technologie ISATAP

Tyto služby mohou být nasazeny ve zhuštěné konfiguraci na dvou serverech, nebo může být infrastruktura distribuovaná ve výrazně složitější konfiguraci. Obě varianty jsou znázorněny na následujících obrázcích. V případě, že se rozhodnete pro nasazení pouze jednoho serveru pro DA a další služby, důrazně doporučuji využívat alespoň virtualizačních technologií k dosažení požadované dostupnosti celého řešení. Volitelnou součástí je implementace NAP technologie, se kterou DirectAccess dokáže velmi úzce spolupracovat. V poslední řadě bych zmínil možnost využívání čipových karet k zabezpečení celého procesu.

4

Obrázek 1 Jedna z možných variant distribuovaného řešení

Obrázek 2 Varianta s nejjednodušší možnou konfigurací

Další možné varianty jsou pro nasazení DirectAccess v topologiích s více pobočkami. V těchto případech je možné nasadit více DirectAccess serverů, které jsou klienty vybrány pomocí tzv. geolocator služby. Popis těchto konfigurací je už nad rámec tohoto dokumentu a v případě potřeby můžete využít následující odkaz: http://technet.microsoft.com/en-us/library/ff625682(WS.10).aspx

5

Požadavky Nároky na software DirectAccess vyžaduje edice Windows 7 Enterprise, nebo Ultimate na straně klienta a Windows 2008 R2 na straně serveru. DNS servery a globální katalog musí běžet na Windows 2008 nebo R2. Pro Windows 2008 je nutná instalace hotfixu - 958194 http://go.microsoft.com/fwlink/?LinkId=159951. Veškeré servery nebo aplikace, které mají být dostupné přes technologii DirectAccess musí být schopné komunikovat přes IPv6. Pozor tedy na aplikace běžící výhradně na IPv4 síťovém stacku. Typickým příkladem takových aplikací mohou být např. staré aplikace provozované na Windows NT, nebo UNIX systémech. Takové aplikace mohou být dále dostupné přes technologie jako je NAT64 a podobné, ale jejich nasazení je většinou dost náročné. Můžete případně sáhnout po instalaci klientů na Terminálové servery Windows Serveru, což je v mnoha případech nejlepší možné řešení.

Nároky na síťovou infrastrukturu V závislosti na zvolené topologii pro instalaci je nutná podpora pro IPV6 na síťových prvcích uvnitř organizace, nebo alespoň nasazení ISATAP pro tunelování IPv6 na vnitřní síti. Dále jsou nutné dvě veřejné (po sobě jdoucí v abecedním pořadí) IPv4 adresy, které budou sloužit pro přístup klientů přes DirectAccess.

6

Stručně o IPv6 V následujících odstavcích se velmi stručně seznámíme s protokolem IPv6, ukážeme si různé druhy adres a možností tunelování IPv6 přes IPv4 sítě. Pro fungování DirectAccess je tato technologie naprosto klíčová, proto je velmi důležité se seznámit s tímto protokolem. Toto téma je natolik složité že jej zde nebudeme rozebírat do hloubky, nicméně v poslední kapitole je obsaženo několik odkazů na externí zdroje, kde se k této problematice můžete dozvědět podstatně více. IP verze 6 je nástupcem stávajícího protokolu IPv4. Tento protokol by měl do budoucna odstranit problém s vyčerpáním IPv4 adresního prostoru a tímto umožnit další rozvoj. Protokol IPv6 není zpětně kompatibilní s protokolem IPv4. Díky tomuto problému vzniklo mnoho podpůrných technologií, které umožnují převod či postupný přechod k protokolu IPv6. Adresy v IPv6 Adresy v IPv6 jsou 128 bitové, tak aby nedošlo k podobným problémům jako u IPv4. Díky tomu, že jsou adresy dlouhé a jen těžko zapamatovatelné, se přešlo ke zjednodušení zápisu k hexadecimální soustavě, kde se každá čtveřice odděluje pomocí znaku dvojtečky. I takto upravený zápis je velmi složitě zapamatovatelný. Příklad IPv6 adresy: 2001:4860:8009:0000:0000:0000:0000:0068 Stejnou IP můžeme zapsat také ve zjednodušeném formátu, kdy se mohou vypustit nulové skupiny v adrese, ty jsou pak nahrazeny dvojicí dvojteček. Stejná IP adresa pak ve zjednodušeném formátu vypadá takto: 2001:4860:8009::68 Zápis prefixů je stejný nebo obdobný jako u IPv4 tedy adresa/délka. Stejně jako u IPv4 jsou vybrány druhy adres (prefixů), které jsou vymezeny pro různé účely. prefix ::1/128 fe80::/10 fc00::/7 2001::/32 2002:/16

Použití loopback Lokální linkové adresy.Link-local Unikátní individuální lokální adresy (Unique lolcal address (ULA)) Prefix využívaný pro Teredo Prefix vyhrazený pro 6to4.

Teredo Teredo je automatický tunelovací mechanizmus, který využívá přenosu přes IPv4. Jeho obrovskou výhodou je možnost automaticky se vypořádat s NAT na IPv4. K přenosu využívá velmi složitý systém adres. Přenos dat mezi Teredo klientem a IPv6 světem zajišťuje tzv. Teredo relay. Výhodou protokolu je, že můžeme téměř všude komunikovat pomocí IPv6, ale na druhou stranu jsou přenosy dosti pomalé, právě z důvodů využívání Teredo serverů. ISATAP Tunelovací mechanizmus, který je určen pro provoz na interních sítích. Je odvozen od zkratky Intra Site Automatic Tuneling Adapter. Adresy jsou odvozovány od IPv4 adres a jejich formát tedy je:

7

UnicastPrefix:0:5EFE:w.x.y.z, nebo UnicastPrefix:200:5EFE:w.x.y.z, kde w.x.y.z je IPv4 adresa. 6to4 Tunelovací mechanizmus, který umožňuje propojit dvě nebo více IPv6 sítí. V tomto případě mají adresy prefix 2002:XXXX:XXXX::/48, kde XXXX:XXXX je IPv4 adresa. 6over4 Přenos paketů přes IPv4 využívající multicast. Jeho použití je velmi limitované. NAT-64 Technologie určená k usnadnění přechodu mezi IPv4 a IPv6. Díky této technologii je možné přistupovat k IPv4 prostředkům přes IPv6 síť. NAT64 je novější variantou od NATPT, ale je pouze jednosměrný. NAT-PT Obdobná technologie jako NAT-64, která je starší a měla spousty nevýhod. Obecným problémem byla obousměrnost komunikace, kterou tato technologie chtěla zaručit.

8

Instalace Windows Server 2008 Pro potřeby technologie DirectAccess je vyžadována běžná instalace Windows Server 2008 serveru. Jen je dobré dodržet některé běžné zásady pro instalaci. Pro přehlednost doporučuji pojmenovat jednotlivá síťová rozhraní jednoznačnými jmény, např. Internal a External. Dále nastavte statické adresy na jednotlivých síťových kartách. Pokud je nutné nastavit routovací pravidla, pak je nastavte. Pokud budete veškeré potřebné komponenty instalovat na jeden server, pak po instalaci přidáme IIS pomocí konfigurace rolí na serveru.

V konfiguraci IIS přidáme pouze IP and Domain Restrictions. Tuto součást využijeme při konfiguraci NLS. Dále si připravíme adresář a webovou aplikaci pro distribuci CRL. Spustíme IIS Manager a zvolíme „Default Web Site“ a kontextovém menu zvolíme Add –> Virtual Directory. Samozřejmě si můžeme vytvořit samostatnou webovou aplikaci, pokud je to vyžadováno. V následujícím okně zapíšeme název virtuálního adresáře, v našem případě CRLD. V položce Physical Path, zvolíme požadovanou cestu a následně vytvoříme nový adresář CRLDist, který budeme využívat pro kopírování CRL.

9

Po vytvoření virtuálního adresáře, je nutné nakonfigurovat volbu allowDoubleEscaping. Toto provedeme tak, že v levé části vybereme nově vytvořený adresář a v části Management spustíme Configuration Editor. Ve vrchním stromečku vybereme sekci system.webServer\security\requestFiltering – vybereme allowDoubleEscaping a změníme z False na True.

Po konfiguraci IIS je ještě nutné pro adresář CRLDist nastavit sdílení. Najdeme si adresář pomocí průzkumníka, zvolíme z kontextového menu Properties - > záložka Sharing -> Advanced Sharing. K názvu adresáře přidáme znak $ a následně přidáme práva pro počítačový účet naší certifikační autority. V mém případě se Certifikační autorita jmenuje DC1. Celý postup potvrdíme OK.

10

Příprava Active Directory Úpravy, které jsou nutné provést v ActiveDirectory nejsou nikterak složité. Při konfiguraci DirectAccess vznikají v ActiveDirectory dva GPO objekty. Tyto objekty jsou následně využívány pro konfiguraci DirectAccess Serveru. Pokud pro konfiguraci DirectAccess budeme využívat průvodce, pak nám tyto objety vytvoří Direct Access průvodce sám. Pro aplikaci GPO je doporučeno vytvořit skupinu, kterou budeme využívat pro filtrování GPO objektů. Vytvořte tedy obdobně jako na následujícím obrázku bezpečnostní skupinu. Bude sloužit pro klienty DirectAccess.

11

Konfigurace certifikační autority Jak již bylo napsáno pro korektní fungování DirectAccess je nezbytné využívání certifikátů. Zapotřebí je hned několik certifikátů. Než se ovšem pustíme do generování a konfigurování certifikátů, je nutná úprava distribuce revokačních listů certifikační autority (CRL). Revokační listy musí být pro korektní fungování DirectAccess dostupné přímo z internetu. Bez tohoto by nebyl funkční tunel přes HTTPS.

Úprava publikace CRL Otevřeme konzolu Certifikační autority, označíme naší certifikační autoritu a z kontextového menu volíme Properties.

Na záložce Extensions musíme dokonfigurovat distribuci CRL na náš DirectAccess server, nebo jiný server, který bude dostupný z internetu přes HTTP. Pro přidání distribučního bodu CRL zvolme Add. A do políčka Location napíšeme adresu pro CRL např. http://crl.organizace.cz/crld/ . Dále pomocí tlačítka insert postupně zvolíme , , . Na konec řádky Location připíšeme .crl a potvrdíme tlačítkem OK.

12

Na záložce extensions máme nyní o jeden řádek více. Tento řádek si označíme a nastavíme tyto dvě položky:  

Include in CRLs. Clients use this to find Delta CRL locations Include in the CDP extension of issued certificates

Znovu zvolíme Add a přidáme UNC cestu k distribuci CRL. V následujícím dialogu do políčka Location napíšeme UNC cestu k distribuci CRL. Dále pomocí tlačítka insert postupně zvolíme , , . Na konec řádky Location připíšeme .crl a potvrdíme tlačítkem OK. Na záložce extensions máme nyní o další řádek více. Tento řádek si označíme a nastavíme tyto dvě položky:  

Publish CRLs to this location Publish Delta CRLs to this location

13

Potvrdíme tlačítkem OK a restartujeme službu certifikační autority.

Automatická distribuce klientských certifikátů Prvním a nejjednodušším procesem je vystavování počítačových certifikátů pro klienty. Pokud již nemáte nastaveno automatické vystavování certifikátů přes službu ActiveDirectory, je nutné jej donastavit. K automatickému vystavování využijeme služeb Active Directory. Nejdříve je nutné se přesvědčit, zda máme publikován tzv. Certificate Template pro tento druh certifikátů a zda máme nastavena oprávnění pro automatickou distribuci. Otevřeme si tedy konzolu od certifikační autority. Na položce Certificate Templates pod kontextovým menu zvolíme Manage.

V následující obrazovce vyhledáme Template Computer, v kontextovém menu zvolíme Properties a na záložce Security ověříme, že Domain Computers mají povoleno Enroll (Allow enroll). Tímto jsme ověřili, že Domain computers mají právo na vystavení certifikátu.

14

Dalším krokem, je vytvoření doménové politiky, kterou zařídíme automatické vydání certifikátů pro všechny klienty DirectAccess. Otevřeme si konzolu na správu doménových politik. Přejdeme na záložku Group Policy Objects.

V kontextovém menu zvolíme New a politiku pojmenujeme dle vašich jmenných konvencí. V tomto případě DA_NastaveniKlientu.

V GPO nastavíme automatické vydávání certifikátů pro klienty. Přejdeme tedy na vytvořenou politiku a z kontextového menu zvolíme Edit. V následující MMC konzoli vyhledáme Computer Configuration > Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Automatic Certificate Request Settings.

15

V kontextovém menu vybereme New Automatic Certificate Request a Next. V dalším okně průvodce vybereme předem připravený Certificate Template Computer a zvolíme Next a v posledním okně průvodce Finish.

V politice dále nakonfigurujeme položku Auto-Enrollment Properties. Obdobně jako na následujícím obrázku.

16

Tímto máme tuto část politiky hotovou a konzolu můžeme uzavřít. Dále nastavíme ještě základní parametry aplikace GPO. Politiku označíme a v pravé části se nám zobrazí detaily k naší vytvořené politice. V nastavení politiky provedeme dvě změny. Na záložce Scope v části security Filtering odebereme Authenticated Users a přidáme skupinu, kterou jsme si pro tento účel dříve připravili.

Dále na záložce Details vybereme z kontextové nabídky „User configuration settings disabled“ (vybereme proto, že v této politice nebude nic v uživatelských nastavení).

Posledním krokem je nastavení aplikace této politiky. V mém případě tuto politiku aplikuji na celou doménu, ale můžete ji připojit na některé níže položené OU. Na konkrétním OU z kontextového menu zvolíme Link existing GPO a vybereme naší připravenou politiku. Tímto zajistíme její aplikaci.

Vytvoření nového template Dále je nutné vygenerovat certifikát pro NLS (Network Location Server). Pro tento certifikát je nutné vytvořit nový Template. Spustíme konzolu od certifikační autority, vybereme Certificate Template a z kontextového menu vybereme Manage. V seznamu vybereme Template Web Server a z kontextového menu vybereme Duplicate Template. Z následujícího výběru vybereme Windows Server 2008 Enterprise.

17

Duplikovaný Template pojmenujeme opět dle vašich jmenných konvencí, v tomto případě ji pojmenujeme DAWebServer.

Na záložce Request Handling zaškrtneme volbu „Allow private to be exported“.

18

Poslední nastavení, které je nutné změnit je na záložce Security. Povolíme Enroll pro Authenticated Users. Potvrdíme OK a okno Certificate Template Console můžeme zavřít.

19

Nyní povolíme Certificate Template, který jsme v předchozím kroku vytvořili. Vybereme Certificate Templates a z kontextového menu vybereme New -> Certificate template to issue. Ze seznamu vybereme náš vytvořený template.

Vygenerování certifikátů na DirectAccess Serveru Na certifikační autoritě máme vše připravené a můžeme přistoupit k vygenerování certifikátů pro NLS a DirectAccess. Na DirectAccess serveru si spustíme konzolu na správu certifikátů. MMC -> Add or Remove Snap-ins -> Certificates -> Add -> Computer account. V položce Personal zvolíme Request New Certificate.

V následujícím dialogu vybereme publikovanou šablonu, kterou jsme si připravili v předchozích krocích.

20

Pro konfiguraci Common Name a DNS jména v certifikátu zvolíme vlastnosti a v položce Subject Name vybereme Common Name a napíšeme FQDN našeho NLS serveru a zvolíme Add. Do části Alternative Name vybereme DNS a napíšeme opět FQDN jméno našeho serveru. Ostatní části necháme bez změn a potvrdíme tlačítkem OK.

21

Následuje už jen poslední krok a tím je samotné vyžádání certifikátu, podle parametrů které jsme nastavili.

Nyní máme připraven certifikát pro NLS, který by měl být uložen včetně privátního klíče v Personal úložišti našeho DA serveru.

Obdobně vygenerujeme další certifikát pro IP-HTTPS, který bude využíván pro HTTPS tunel. Spustíme tedy opět průvodce Request new certificate. Opět zvolíme náš upravený Certificate Template. Ve vlastnostech žádosti k certifikátu vyplníme Common Name a DNS na externí jméno DirectAccess serveru. Ještě zapíšeme Friendly Name na záložce General.

22

Následně necháme certifikát vygenerovat.

23

Natavení firewall Pro korektní fungování DirectAccess jsou nutné některé síťové prostupy, které jsou dány spíše technologií kterou DirectAccess využívá. Rozdělme tedy síťové požadavky na několik částí: Internetová konektivita Jak již bylo popsáno dříve, pro korektní fungování jsou nutné dvě po sobě jdoucí IP adresy. Dále je nutné povolit pro IPv4 :    

Protocol 41 inbound and outbound User Datagram Protocol (UDP) destination port 3544 inbound UDP source port 3544 outbound TCP destination port 443 inbound and TCP source port 443 outbound

Pokud máte již IPv6 připojení jsou to tyto porty a protokoly:    

Protocol 50 UDP destination port 500 inbound and UDP source port 500 outbound UDP destination port 4500 inbound and UDP source port 4500 outbound ICMPv6 traffic inbound and outbound

Intranetová konektivita  

Veškeré IPv4 a IPv6 přenosy z a na DirectAccess server Protocol 41 inbound and outbound

Podrobněji o této tématice můžete najít na: http://technet.microsoft.com/enus/library/ee382294(WS.10).aspx

24

Konfigurace ISATAP Pokud nemáte nasazenou IPv6 uvnitř vaší organizace, pak je nutné nakonfigurovat protokol ISATAP. Konfiguraci IPv6 prefixu a konfiguraci ISATAP routeru za nás provedl průvodce konfigurací DirectAccessu. ISATAP je trochu zvláštní protokol, jedna z věcí která je mu vyčítána, je jeho závislost na protokolu vyšší vrstvy. Všichni klienti, kteří mají zapnutý tunelovací adaptéry ISATAP, hledají při startu záznam v DNS se jménem ISATAP. Pokud tento záznam najdou, automaticky adaptér nakonfigurují a spustí.

Z bezpečnostních důvodů je záznam ISATAP v Microsoft DNS blokován. Pokud tedy chceme začít využívat ISATAP adaptérů a tunelování IPv6 na interní síti musíme tento záznam odblokovat. A vašich DNS serverech musíte spustit nástroj regedit. Přejdeme do této cesty v registrech: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters Najdeme klíč GlobalQueryBlockList a uvnitř vymažeme záznam isatap. Následně restartujeme DNS službu. Stejný postup zopakujeme na dalších DNS serverech, pokud jej máme. Pokud vaše infrastruktura obsahuje více doménových řadičů a více různých IPv4 subnetů, nezapomeňte nakonfigurovat i IPv6 subnety pro jednotlivé AD Sites.

25

Konfigurace DirectAccess Nyní bychom měli mít vše potřebné ke konfiguraci DirectAccess serveru připraveno. V bodech pro jistotu ještě uvádím, tak aby si každý mohl překontrolovat:     

Implementované IPv6 na interní síti nebo odblokovaný záznam ISATAP v DNS Vytvořený DNS záznam na interním DNS pro NLS Vytvořený záznam na externím DNS pro DirectAccess Vygenerované dva certifikáty (NLS server, IP-HTTPS) Natavení Firewallů

Pokud máme vše připravené, můžeme přidat komponentu DirectAccess Management Console.

Po přidání DirectAccess Management konzole můžeme přistoupit ke konfiguraci. Přejdeme do části Setup. Pokud jsou splněny veškeré předpoklady k úspěšné konfiguraci, můžeme začít prvním krokem, volbou Remote Clients.

26

Pomocí tlačítka Configure zobrazíme dialogové okno k přidání skupiny klientů. Tlačítkem Add přidáme skupinu, kterou jsme si dříve připravili pro klienty DirectAccess.

Druhým krokem je konfigurace DirectAccess Serveru. V následujícím průvodci jen překontrolujeme korektní přiřazení síťových rozhraní. Podle těchto adres bude následně nakonfigurován ISATAP router.

27

Ve druhém kroku musíme vybrat dva certifikáty. První výběr obsahuje volbu certifikační autority, ze které musí být vydávány certifikáty pro klientské počítače. Druhá volba je výběr certifikátu pro HTTPS tunel.

Třetím průvodcem je průvodce nastavení infrastruktury. Pokud máte, obdobně jako já, NLS server umístěn na serveru, vyberte druhou volbu. Na funkčnosti této části závisí korektní fungování DirectAccess klientů, proto je zde doporučeno instalovat NLS na vysoce dostupný server. Pokud bude tato komponenta nedostupná, nemusí klientské počítače fungovat v interní síti. NLS komponenta slouží pro detekci interní sítě. NLS není nic jiného než web server, který je dostupný pouze v případě, že je klient na interní síti. Důležité je zde zmínit, že je kontrolován i certifikát, který je instalován na konkrétní webové aplikaci. Následně jsou podle této detekce používána pravidla pro NRPT (Name Resolution Policy Table).

28

Druhým krokem je nastavení DNS serverů a jejich IPv6 adres. IPv6 prefix je průvodcem vygenerován automaticky. Tento prefix je odvozen od vaší externí adresy, která je převedena do šestnáctkové soustavy a doplněna prefixem 2002.

Třetím krokem je nastavení management serverů. Pokud je u vás využíván nějaký vzdálený management ke správě počítačů, pak nastavte IPv6 adresu.

29

V případě, že byste požadovali, aby byla komunikace šifrována i při komunikaci s dalšími servery, pak použijte skupinu, kterou jste si k tomuto účelu připravili. V tomto případě nepožadujeme další šifrování provozu, stačí nám bezpečná komunikace mezi klientem a DirectAccess serverem.

30

Následuje už jen závěrečný přehled, který si můžete uložit pro pozdější použití. Po stisknutí tlačítka OK jsou vaše nastavení přenesena do ActiveDirectory a na DirectAccess Server.

Po aplikaci změn doporučuji restartovat jednotlivé DNS servery tak, aby mohl být nakonfigurován ISATAP adaptér. Po těchto změnách by měla být funkční IPv6 konektivita mezi DirectAccess serverem a DNS servery. Toto můžeme ověřit po restartu DirectAccess serveru na stránce DirectAccess Monitoring.

31

Příprava a konfigurace DirectAccess Connectivity Assistant Pro usnadnění diagnostiky ze strany klienta je zde Solution Accelerator pro DirectAccess ve kterém je obsažen tento nástroj. Obsahuje instalační balíček ve formátu MSI a GPO šablonu pro konfiguraci tohoto nástroje. Stáhněte tedy instalační balíček a rozbalte jej. Na doménový řadič si nakopírujte šablonu ADMX a ADML soubory. Soubor DirectAccess Connectivity Assistant GP.admx nakopírujte do %systemroot%\PolicyDefinitions a soubor DirectAccess Connectivity Assistant GP.adml do %systemroot%\PolicyDefinitions\en-us. Stáhnout jej můžete na této adrese: http://go.microsoft.com/fwlink/?LinkId=181779 K instalaci DirectAccess Connectivity Assistant můžete využít GPO, nebo instalace pomocí různých management nástrojů. Konfiguraci pro DirectAccess Connectivity Assistant přidáme do naší dříve vytvořené politiky pro klienty DirectAccess. Otevřeme si tedy již vytvořenou politiku a nastavíme základní části politiky.

Nastavíme části:  



 



PortalName – Jméno pro portal site Corporate portal site - Adresa portálu, která se ukazuje v Connectivity Assistant ve spodní části. Může to být i stránka s návodem pro uživatele. Například: http://helpdesk.organizace.cz CorporateResources – Jedno z nejdůležitějších nastavení, obsahuje adresy, které bude Connectivity Assistant testovat. Pokud klient nechá vygenerovat diagnostický log, veškeré tyto adresy bude klient testovat a výsledek testů zapíše do logu. Může obsahovat několik testovacích součástí. Doporučuji zde přidat i IPv6 ping adresy DNS serverů. Například: o PING:IPv6 adresa o PING:DNS interního serveru o HTTP:http://DNS interního serveru/ o HTTP:http://IPv6 interního serveru/ DTE – Obsahuje IP adresy DirectAccess serveru. Například: PING:IPv6 adresa LocalNamesOn – Toto nastavení povoluje či zakazuje klientovi položku v menu Prefer Local Names. Pokud klient zvolí tuto volbu, přestane DirectAccess posílat dotazy na interní DNS servery. V případě problémů s DirectAccess může být tato volba poměrně užitečná. AdminScript – Pokud je tato volba specifikována, musí být na klientech distribuován script který je zde uveden. Connectivity Assistant neřeší distribuci scriptu. Tento script je spouštěn v případě spuštění Advanced diagnostics. Pozor ovšem na nastavení práv k tomuto scriptu, je spouštěn s elevated právy.

32

Po úspěšné instalaci a konfiguraci Connectivity Assistent bude na klientském počítači v systém tray ikonka, která bude diagnostikovat stav připojení do korporátní sítě. Jednotlivé stavy jsou znázorněny v následující tabulce.

DirectAccess je funkční.

Není dostupná internetová konektivita.

DirectAccess není dostupný nebo je problém s dostupností některé části sítě.

Pokud je DirectAccess nasazen spolu s NAP technologií může být v některých případech vyžadováno nová kontrola NAP serveru.

33

Příprava klientů k nasazení DirectAccess Pokud máte provedeny veškeré kroky z předchozích kapitol, pak už je samotné povolení využívaní DirectAccess technologie jen otázkou aplikace korektních politik na klienty. Přidejme tedy testovací počítač do skupiny DirectAccess klientů, kterou jsme si vytvořili.

Testovaní DirectAccess Po přidání testovacího počítač do skupiny DirectAccess klientů nezapomeňte počkat nebo obnovit doménové politiky na klientovi. Aplikaci můžete ověřit pomocí nástroje gpresult. Také by v počítačovém úložišti certifikátů měl být certifikát pro konkrétní počítač. Po úspěšné aplikaci politik můžete počítač připojit mimo interní síť a po několik málo vteřinách by DirectAccess Connectivity Assistant měl ukazovat, že korporátní síť funguje v pořádku. Nyní můžete otestovat ping na interní DNS servery, případně další servery, které již mají dostupnou IPv6 adresu.

34

Řešení problémů Při řešení problémů s DirectAccess serverem je důležité zaměřit se na podpůrné technologie, na kterých je DirectAccess přímo závislý. Při řešení většiny problémů vám pomůže log, který získáte z nefunkčních klientů.

DirectAccess server Při většině implementací nebyl problém v samotném DirectAccess serveru, ale v nefunkčních komponentách nebo špatné konfiguraci některé z komponent. Při řešení problémů bych postupoval v následujícím pořadí: 

Funguje v interní síti IPv6 konektivita? Jak ověřit: např. ping mezi DirectAccess Serverem a ostatními servery ping -6 ipv6adresa



Je DNS dostupné přes IPv6? Jak ověřit: nslookup pomocí ipv6 adresy. Spustíme nslookup, napíšeme server ipv6adresa, a otestujeme některé dotazy do DNS



Jsou korektně publikovány CRL? Jak ověřit: Přes webový prohlížeč stáhneme soubor crl. Otestujte hlavně mimo interní síť.



Jsou CRL a Delta CRL ? Jak ověřit: Přes webový prohlížeč stáhneme soubor delta crl (končí znakem +). Otestujte hlavně mimo interní síť.

Klient DirectAccess Pokud je problém na straně klienta, je důležité ověřit funkčnost tunelovacích adaptérů a síťovou konektivitu. Následně stav certifikátů a dostupnost CRL. Bez možnosti ověřit certifikát nebude možné uskutečnit spojení s DirectAccess serverem. Se spoustou těchto kroků nám pomůže log, který je možné vygenerovat přes DirectAccess Connectivity Assistant. Tento log můžeme vygenerovat přes pravé tlačítko na ikonce Connectivity Assistenta v části the Advanced Diagnostics. Logy jsou automaticky vytvořené a uložené do cab souboru. V tomto log souboru jsou veškeré potřebné informace, které jsou nutné ke zjištění příčiny nefunkčnosti připojení. Log je rozdělen do několika částí:   

   

Zjištění dostupnosti DTE a jednotlivých Probe, tak jak jsme nastavili v politice Výpis IpConfig /all Stav jednotlivých adaptérů o netsh int teredo show state o netsh int httpstunnel show interfaces Stav DNS - netsh dns show state Výpis IPSEC policy - netsh name show policy Efektivní nastavení DNS (NRPT) - netsh name show effective Stav Ipv6 - netsh int ipv6 show int level=verbose

35

Závěr Odkazy:     

Informace o ISATAP - http://207.46.16.252/en-us/magazine/2008.03.cableguy.aspx Informace o Teredo - http://technet.microsoft.com/en-us/network/cc917486.aspx Informace o IPv6 v češtině - https://www.ipv6.cz Kompletní informace o DirectAccess - http://technet.microsoft.com/enus/library/dd630627(WS.10).aspx Více informací o NRPT http://social.technet.microsoft.com/wiki/contents/articles/directaccess-client-locationawareness-nrpt-name-resolution.aspx

KPCS CZ, s.r.o. http://www.kpcs.cz [email protected]

36