Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live Demonstration.
2. Themen
Was ist Direct Access
VPN Bisher
Direct Access High Level
Direct Access Voraussetzungen
Installation
Mögliche Probleme
Fazit
2 Workd IPv6 Day @ Digicomp – 8. Juni 2011
4. Direct Access von Microsoft
Always Connected – Better Protected – East to Manage
Feature von Windows 7 & Windows Server 2008 R2
„Seamlessly connected“
„Improve Productivity of Mobile Workforce“
„Improved Manageability of Remote Users“
„Improved Security“
VPN? Steht nirgends
4 Workd IPv6 Day @ Digicomp – 8. Juni 2011
5. Remote Access / VPN bisher
Secure Clients „graben“ sich tief ins System ein
Oft erst nach Login, nicht schon bei Ctrl-Alt-Del
Funktionieren nicht überall:
IPSec gesperrt
PPTP hinter NAT nur 1 User
User müssen Verbindung herstellen
5 Workd IPv6 Day @ Digicomp – 8. Juni 2011
6. DA High Level Übersicht
Remote Access Solution von Microsoft – Neues „VPN“
Bidirektionale Always on Verbindung – auch vor der Windows
Anmeldung
Funktioniert automatisch und von allen Netzen aus:
Zuhause
Hotel
Etc
Verwaltung komplett über GPO möglich
Kommt in 2 Geschmacksrichtungen:
Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 only
Vanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv4
6 Workd IPv6 Day @ Digicomp – 8. Juni 2011
7. Vorraussetzungen für DA
Client Windows 7 Enterprise / Ultimate
PKI Infrastruktur
Computer & SSL Zertifikate
Health Certs wenn NAP
CRL Distribution Point (erreichbar intern UND extern)
IPSec & GPOs
DNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur
der UAG Server Windows 2008R2 sein
NLS Server
2 öffentliche IPs – aufeinanderfolgend und nicht genNATed
Einige Firewall Exception Rules
IPv6
7 Workd IPv6 Day @ Digicomp – 8. Juni 2011
8. Unterschied mit und ohne UAG
Ohne UAG – Vanille
Mind. 1 DC & 1 DNS Server Windows 2008SP2 oder
2008R2
Nur IPv6 Resourcen erreichbar
Mit UAG – Vanille Erdbeere
UAG muss 2008R2 sein
Interne IPv4 Resourcen auch erreichbar mittels NAT64 &
DNS64
8 Workd IPv6 Day @ Digicomp – 8. Juni 2011
9. Und nun Setup.exe ausführen?
Wird schiefgehen – Ziemlich sicher
Alle Voraussetzungen erfüllt?
Klar – her mit dem Setup.exe …. Welche Voraussetzungen
nochmals?
9 Workd IPv6 Day @ Digicomp – 8. Juni 2011
10. Nochmals einige Vorraussetzungen
Windows 7 Enterprise oder Ultimate
PKI
Erreichbare CRL - http://technet.microsoft.com/en-
us/library/ee649168(WS.10).aspx
Spezielle Vorlagen für DA Clients und SSL-Server -
http://technet.microsoft.com/en-
us/library/ee649249(WS.10).aspx
Öffentliche NIC muss ein Gateway haben, sollte aber keinen
öffentlichen DNS Server eingetragen haben DNS64 Konflikt -
http://technet.microsoft.com/en-us/library/dd857262.aspx
NLS
DA Clients versuchen NLS zu erreichen um zu testen ob sie
intern oder extern sind.
10 Workd IPv6 Day @ Digicomp – 8. Juni 2011
11. Jetzt den UAG Assistenen starten
11 Workd IPv6 Day @ Digicomp – 8. Juni 2011
15. UAG Assistent
Next – Next – Next …..
Moment, was war das jetzt gleich?
Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernen
und einen A-Eintrag erstellen - http://technet.microsoft.com/en-
us/library/ee649158(WS.10).aspx
15 Workd IPv6 Day @ Digicomp – 8. Juni 2011
16. ISATAP aktivieren? Konsequenzen
Jeder Vista, Windows 7 und
Windows 2008 Rechner im
gesamten Netzwerk wird seine
virtuellen ISATAP Interfaces
hochfahren und wird sie benutzen
wenn er kann
16 Workd IPv6 Day @ Digicomp – 8. Juni 2011
17. Bisher
17 Workd IPv6 Day @ Digicomp – 8. Juni 2011
18. Neu
18 Workd IPv6 Day @ Digicomp – 8. Juni 2011
19. IPv6 funktioniert – Toll oder?
Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat
Vorrangt
Ist doch super – Oder etwa nicht?
Die Applikationen benützen doch automatisch IPv4 wenn IPv6
nicht geht oder? … Nein (nicht alle)
Testen testen testen
Im Notfall: ISATAP auf dem entsprechenden Server abstellen
und den AAAA Record aus dem DNS löschen
19 Workd IPv6 Day @ Digicomp – 8. Juni 2011
20. ISATAP
Muss nicht über DNS aktiviert werden
Test Rechner muss nur Host ISATAP auflösen können
Hostsfile Eintrag
ISATAP kann auch pro Hosts/Server deaktiviert werden:
netsh interface isatap set state disabled
Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64
und DNS64) braucht es ISATAP nicht
Erste Schritte:
Kein A Eintrag für ISATAP
Nur auf Testrechner aktivieren und Hosts Eintrag verwenden
20 Workd IPv6 Day @ Digicomp – 8. Juni 2011
21. Weiter im DA Assistenten
Authentication Options – Die Zertifikate für die Authentifizierung
angeben
Infrastructure Server
NLS Server angeben
DNS Suffixe für interne DNS Server
DC Server
Application Server
End-to-Edge authenticaton and encryption für alle oder nur
spezifische App Server
Dann generiert der Assistent die Policies, die dann via Group
Policy Management ersichtlich sind
21 Workd IPv6 Day @ Digicomp – 8. Juni 2011
23. Ablauf UAG/DA Client Verbindungsaufbau
Client prüft via NLS ob er intern ist:
Ja direkt
Nein extern
Direkt im Internet (kein NAT) Client benutzt 6to4
Hinter NAT und UDP geht Client benutzt Teredo
Hinter NAT und UDP blockiert HTTPS-Tunnel über TCP/443
23 Workd IPv6 Day @ Digicomp – 8. Juni 2011
24. Tunnel ist vor Useranmeldung verfügbar
DA-Client UAG
Tunnel 1: DA-Client
Auth: Computerzertifikat + Computeraccount
GPOs, Patches, komplettes Client-
Management
24 Workd IPv6 Day @ Digicomp – 8. Juni 2011
25. DNS - NRPT
Client muss wissen, welchen DNS Server er wann benutzt
Name Resolution Policy Table (NRPT)
Feature von Windows 7 / 2008
25 Workd IPv6 Day @ Digicomp – 8. Juni 2011
26. Aktive Verbindungen – wo seh ich die?
UAG Server
Windows Firewall With Advanced Security > Monitoring >
Security Associations > Main Mode
netsh advfirewall monitor show mmsa
DA Client
netsh advfirewall monitor show mmsa
26 Workd IPv6 Day @ Digicomp – 8. Juni 2011
27. Mögliche Probleme
HTTP/S Interface auf dem UAG kann nicht gestartet werden:
A timeout occurered. The IP-HTTPS network
interface cannot be enabled.
Server neu installieren
Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin
Shares (c$) geht nicht:
Allow edge traversal auf einer spezifischen Firewall rule
erlauben:
http://technet.microsoft.com/en-us/library/ee809076.aspx
27 Workd IPv6 Day @ Digicomp – 8. Juni 2011
28. Fazit
Direct Access mit dem Always-On Ansatz bietet eine mögliche
Lösung zu den jetzigen VPN Umgebungen
Bidirectional
Vor dem Login verfügbar
Transparent für den Benutzer
ABER ….
Der Implementierungsaufwand darf nicht unterschätzt
werden!!!
28 Workd IPv6 Day @ Digicomp – 8. Juni 2011
29. Ausbildung
Zur Zeit sind folgende Kurse im Angebot:
2-tägiger IPv6 Essentials Hands-On Workshop
Wird bei Digicomp Academy in Zürich durchgeführt.
Nächster Kurs 23./24. Juni 2011
2-tägiges IPv6 Essentials Seminar
Öffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage
für alle Leute innerhalb der Organisation, welche mit der Planung und
Integration von IPv6 zu tun haben.
Auf www.sunny.ch/education/f_seminars.htm
sind alle aktuellen Kurse zu finden.
29 Workd IPv6 Day @ Digicomp – 8. Juni 2011
30. Vielen Dank für die Aufmerksamkeit
IPv6 Grundlagen, Funktionalität,
Integration
von Silvia Hagen, Deutsch
2. Auflage, Sunny Edition, 2009
ISBN 978-3-9522942-2-2
IPv6 Essentials
by Silvia Hagen, English
2nd Edition, O'Reilly, May 2006
ISBN 978-0-596-10058-2
30 Workd IPv6 Day @ Digicomp – 8. Juni 2011