Upload
digicomp-academy-ag
View
1.132
Download
4
Tags:
Embed Size (px)
DESCRIPTION
Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live Demonstration.
Citation preview
Microsoft Direct Access
Swiss IPv6 Council
swissipv6council.ch
Sunny Connection AGwww.sunny.ch
Workd IPv6 Day @ Digicomp – 8. Juni 2011 2
Themen
Was ist Direct AccessVPN BisherDirect Access High LevelDirect Access VoraussetzungenInstallationMögliche ProblemeFazit
Was ist Direct Access?
Workd IPv6 Day @ Digicomp – 8. Juni 2011 4
Direct Access von Microsoft
Always Connected – Better Protected – East to ManageFeature von Windows 7 & Windows Server 2008 R2„Seamlessly connected“„Improve Productivity of Mobile Workforce“„Improved Manageability of Remote Users“„Improved Security“VPN? Steht nirgends
Workd IPv6 Day @ Digicomp – 8. Juni 2011 5
Remote Access / VPN bisher
Secure Clients „graben“ sich tief ins System einOft erst nach Login, nicht schon bei Ctrl-Alt-DelFunktionieren nicht überall:
IPSec gesperrtPPTP hinter NAT � nur 1 User
User müssen Verbindung herstellen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 6
DA High Level Übersicht
Remote Access Solution von Microsoft – Neues „VPN“Bidirektionale Always on Verbindung – auch vor der Windows AnmeldungFunktioniert automatisch und von allen Netzen aus:
ZuhauseHotelEtc
Verwaltung komplett über GPO möglichKommt in 2 Geschmacksrichtungen:
Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 onlyVanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv4
Workd IPv6 Day @ Digicomp – 8. Juni 2011 7
Vorraussetzungen für DA
Client Windows 7 Enterprise / UltimatePKI Infrastruktur
Computer & SSL ZertifikateHealth Certs wenn NAPCRL Distribution Point (erreichbar intern UND extern)
IPSec & GPOsDNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 seinNLS Server2 öffentliche IPs – aufeinanderfolgend und nicht genNATedEinige Firewall Exception RulesIPv6
Workd IPv6 Day @ Digicomp – 8. Juni 2011 8
Unterschied mit und ohne UAG
Ohne UAG – VanilleMind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2Nur IPv6 Resourcen erreichbar
Mit UAG – Vanille ErdbeereUAG muss 2008R2 seinInterne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS64
Workd IPv6 Day @ Digicomp – 8. Juni 2011 9
Und nun Setup.exe ausführen?
Wird schiefgehen – Ziemlich sicherAlle Voraussetzungen erfüllt?
Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?
Workd IPv6 Day @ Digicomp – 8. Juni 2011 10
Nochmals einige VorraussetzungenWindows 7 Enterprise oder UltimatePKI
Erreichbare CRL - http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspxSpezielle Vorlagen für DA Clients und SSL-Server -http://technet.microsoft.com/en-us/library/ee649249(WS.10).aspx
Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt -http://technet.microsoft.com/en-us/library/dd857262.aspxNLS
DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.
Workd IPv6 Day @ Digicomp – 8. Juni 2011 11
Jetzt den UAG Assistenen starten
Workd IPv6 Day @ Digicomp – 8. Juni 2011 12
UAG Assistent
Workd IPv6 Day @ Digicomp – 8. Juni 2011 13
UAG Assistenen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 14
UAG Assistent
Workd IPv6 Day @ Digicomp – 8. Juni 2011 15
UAG Assistent
Next – Next – Next …..Moment, was war das jetzt gleich?
Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernen und einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx
Workd IPv6 Day @ Digicomp – 8. Juni 2011 16
ISATAP aktivieren? Konsequenzen
Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann
Workd IPv6 Day @ Digicomp – 8. Juni 2011 17
Bisher
Workd IPv6 Day @ Digicomp – 8. Juni 2011 18
Neu
Workd IPv6 Day @ Digicomp – 8. Juni 2011 19
IPv6 funktioniert – Toll oder?
Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat VorrangtIst doch super – Oder etwa nicht?Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle)Testen testen testenIm Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen
Workd IPv6 Day @ Digicomp – 8. Juni 2011 20
ISATAP
Muss nicht über DNS aktiviert werdenTest Rechner muss nur Host ISATAP auflösen können �Hostsfile EintragISATAP kann auch pro Hosts/Server deaktiviert werden:
netsh interface isatap set state disabled
Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nichtErste Schritte:
Kein A Eintrag für ISATAPNur auf Testrechner aktivieren und Hosts Eintrag verwenden
Workd IPv6 Day @ Digicomp – 8. Juni 2011 21
Weiter im DA Assistenten
Authentication Options – Die Zertifikate für die Authentifizierung angebenInfrastructure Server
NLS Server angebenDNS Suffixe für interne DNS ServerDC Server
Application ServerEnd-to-Edge authenticaton and encryption für alle oder nur spezifische App Server
Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind
Workd IPv6 Day @ Digicomp – 8. Juni 2011 22
Group Policies
Workd IPv6 Day @ Digicomp – 8. Juni 2011 23
Ablauf UAG/DA Client Verbindungsaufbau
Client prüft via NLS ob er intern ist:Ja � direktNein � extern
Direkt im Internet (kein NAT) � Client benutzt 6to4Hinter NAT und UDP geht � Client benutzt TeredoHinter NAT und UDP blockiert � HTTPS-Tunnel über TCP/443
Workd IPv6 Day @ Digicomp – 8. Juni 2011 24
Tunnel ist vor Useranmeldung verfügbar
DA-Client
Tunnel 1: DA-Client
UAG
Auth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management
Workd IPv6 Day @ Digicomp – 8. Juni 2011 25
DNS - NRPT
Client muss wissen, welchen DNS Server er wann benutzt �Name Resolution Policy Table (NRPT)Feature von Windows 7 / 2008
Workd IPv6 Day @ Digicomp – 8. Juni 2011 26
Aktive Verbindungen – wo seh ich die?
UAG ServerWindows Firewall With Advanced Security > Monitoring > Security Associations > Main Modenetsh advfirewall monitor show mmsa
DA Clientnetsh advfirewall monitor show mmsa
Workd IPv6 Day @ Digicomp – 8. Juni 2011 27
Mögliche Probleme
HTTP/S Interface auf dem UAG kann nicht gestartet werden:A timeout occurered. The IP-HTTPS networkinterface cannot be enabled. �Server neu installieren
Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht:
Allow edge traversal auf einer spezifischen Firewall ruleerlauben:
http://technet.microsoft.com/en-us/library/ee809076.aspx
Workd IPv6 Day @ Digicomp – 8. Juni 2011 28
Fazit
Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen
BidirectionalVor dem Login verfügbarTransparent für den Benutzer
ABER ….Der Implementierungsaufwand darf nicht unterschätzt werden!!!
Workd IPv6 Day @ Digicomp – 8. Juni 2011 29
Ausbildung
Zur Zeit sind folgende Kurse im Angebot:
2-tägiger IPv6 Essentials Hands-On WorkshopWird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011
2-tägiges IPv6 Essentials SeminarÖffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben.
Auf www.sunny.ch/education/f_seminars.htmsind alle aktuellen Kurse zu finden.
Workd IPv6 Day @ Digicomp – 8. Juni 2011 30
Vielen Dank für die Aufmerksamkeit
IPv6 Grundlagen, Funktionalität, Integration
von Silvia Hagen, Deutsch2. Auflage, Sunny Edition, 2009ISBN 978-3-9522942-2-2
IPv6 Essentialsby Silvia Hagen, English2nd Edition, O'Reilly, May 2006ISBN 978-0-596-10058-2