smartit zmorge präsentation directaccess 28.05...agenda smartit zmorge, 28. mai 2015 08.45 –09.00...
TRANSCRIPT
AgendaSmartIT Zmorge, 28. Mai 2015
08.45 – 09.00 Uhr Begrüssung und EinleitungRoberto Valentini, Geschäftsleitung SmartIT
09.00 – 09.15 Uhr Remote Access: Aktuelle Erfahrungen und Problemstellung
09.15 – 10.15 Uhr Was ist Direct Access
10.15 – 10.30 Uhr Pause
10.30 – 11.30 Uhr Live-Demo Direct Access
11.30 – 12.00 Uhr Diskussion
_ Ärger mit bestehender Remote Access Lösung?
_ Fehlende Funktionalität der bestehenden Remote Access Anlage?
_ Für Benutzer ist aktuelle Remote Access Lösung zu umständlich oder nicht immer brauchbar?
_ Erfahrungsaustausch zu DirectAccess?
_ Interesse an neuen Technologien?
_ Morgenessen und KollegInnen?
Alle Motivationen sind OK und werden heute «abgeholt».
Spannendes Thema
Persönliche Begeisterung
Let’s go DirectAccess !!
DirectAccessMotivation
Was hat Sie/Dich bewogen, heute DA näher kennenzulernen?
_ VPN
PPTP
L2TP / IPSec
SSL / SSTP
IKEv2
_ Citrix ICA mit Netscaler
_ MS RDS mit RDS Gateway
_ Teamviewer &Co
_ ……
…und jetzt auch noch DirectAccess ??!!
Remote Access Varianten
…von VPN über Proxy Server bis DirectAccess
_ «Always ON Connection»Kein umständliches Prozedere zum Verbindungsaufbau. «Internet da – DA da» automatisch
_ «Gemanagte Nomaden PCs»PCs von Aussendienst Mitarbeitenden sind stets verwaltet und aktuell auch ohne Bürobesuch
_ «Auch die Maschine verbindet sich»Verbindung auf Maschinenebene zur Verwaltung besteht bereits vor der Anmeldung eines Users
_ «Weniger Supportaufwand»Weil DA einfach da ist und die User «nichts» wissen müssen, gibt’s weniger Supportaufwand
_ «Zugriffspfade immer gleich»Über DA Verbindungen sind die internen Ressourcen unter denselben Namen erreichbar wie lokal
_ «Auch im Hotel läufts»DA 2012 R2 verwendet per Default IP-https, das läuft auch vom Hotelzimmer aus
_ «DA wird mitgeliefert»Direct Access ist mit Windows Server 2012 R2 und Windows Enterprise Clients dabei
_ «Security»End to End Authentication und Verschlüsselung sowie One Time Passwort (z.B. RSA) möglich
Direct Access USP’s (Unique Selling Proposition)
Was Direct Access ausmacht….
_ «Domain Members only»Nur für Client PCs, die Mitglied einer Active Directory Domain sind, d.h. nur Firmen PCs
_ «Nur ein Ziel: Nach Hause»DA verbindet sich stets mit dem eigenen Netzwerk
_ «Windows PCs only»Keine Direct Access Verbindung z.B. von iPads oder Android Geräten aus
_ «IPv6 fähige Client SW»Auf Clients geht ohne IPv6 nichts, die Apps müssen IPv6 enabled sein
_ «Zertifikate, Zertifikate, Zertifikate»Es werden etliche Zertifikate benötigt, d.h. in den meisten Fällen braucht’s eine interne PKI
_ «Alles geht über die Namen»Interne Ressourcen müssen stets per Namen angegeben sein. IP Adresse als Ziel läuft nicht !
_ Per Default «Split Tunneling»
Was man über DA auch noch wissen muss…
Die Grenzen von DA
_Ohne IPv6 fähige Client Software geht nichts !z.B. SAP GUI SAP_IPv6_ACTIVE =1
_Die Client SW muss Ressourcen mit Namen ansprechen !IPv4 Adressen in Config-Files etc. bringen Probleme mit sich
Was man sich über DA merken muss…
Wichtig also:
Direct Access Komponenten
Die Protokolle (Quelle: MSXFAQ)
Zugriff IPv4 interne Resourcenüber NAT64/DNS64
2012 R2 mit W8.1 Default IP-https für alle Kommunikationsvarianten
Für Manage Out ist intern IPv6 oder ISATAP notwendig
Wenn NLS erreichbar intern
Direct Access Komponenten
NRPT
Namespace per NRPT alsintern erkannt: 1 2 3
Namespace in NRPT nichtaufgeführt: 4
Wichtig: nls.corp.net ist alsAusnahme in NRPT gespeichertso dass externe Clients den NetworkLokation Server auch bei fertigaufgebauter DA Verbindung nicht«sehen» können
DA Komponenten
Group Policies…
DA Server erstelltautomatisch zwei GPOs
GPO Filtering W7 / W8Clients
NRPT in GPO
_ Gewünschte Funktionalität und Client Typen bestimmen:• Nur W8 oder W7 + W8 Wenn W7, dann müssen ALLE Clients ein Client Zertifikat erhalten• Wenn Manage Out Intern IPv6 oder ISATAP zu den Management Servern• Ein DA Server oder mehrere DA Server mit NLB
_ Netzwerktopologie bestimmen:• DA Server mit zwei Netzwerkkarten (DMZ/Intern) – Eine Netzwerkkarte (DMZ + «Löcher» in FW)• DA Server mit Pubilc IPs oder hinter NAT (IP-https only, disable other Protocolls per GPO)
_ IP Adressen:• Falls Teredo nötig Zwei aneinander liegende öffentliche IPv4 Adressen erforderlich
_ Zertifikate• Falls W7 Auf eigener PKI auto Enrollment für Client Zertifikate einrichten• DA Server Zertifikat mit externem FQDN wie z.B. da.smartit.ch oder Public IP in Common Name• Zertifikats Sperrliste für DA Server Zertifikat muss extern erreichbar sein (CDP, Double Escaping)
_ NLS Server:
• NLS Zertifikat bereitstellen (z.B. mit Common Name nls.corp.smartit.ch)
• Zertifikat auf IIS in https Bindings aufnehmen
Direct Access Setup
Vorbereitungsarbeiten
Setup Direct Access
Es geht los…
Wichtig: Auf Direct Access Server muss Windows Firewall aktiv sein !!
Setup Direct Access
Client Setup (Step 1)
Welche Computer Accounts«erhalten» DA
«Nur» Maschinen-Verwaltung
«Alles» geht über DA –Internet Traffic machtUmweg über Firma
Setup Direct Access
Client Setup (Step 1) Connectivity Assistant
DCA Einstellungen nur für Windows 8 wirksam.W7 braucht zusätzliche GPO Settings (…folgen)
Im Notfall lässt sichDA «abhängen»
Anzeige DAConnection
Welche Verbindungentestet der DCA nachfertig aufgebauterDA Connection zurStatusanzeige
Setup Direct Access (Step 2)
Direct Access Server
DA Server Zertifikat
Topologie
Interfaces
Externer FQDN (…oder IP Adresse)DA Server
Setup Direct Access (Step 3)
Infrastructure Servers – DNS Suffixes
Aus diesen Angaben wirdNRPT (Name Resolution PolicyTable) gebildet
Interne Namespaces
_ Download: http://www.microsoft.com/en-us/download/details.aspx?id=29039
Install: http://www.ivonetworks.com/news/2013/08/windows-7-dca-with-server-2012-directaccess/
_ Bereitstellen ADMX/ADML Files für W7 DA Connectivity Assistant
_ GPO für W7 Clients Erstellen und konfigurieren
Windows 7 Direct Access Connectivity Assistant
Handarbeit…
_ Schrittweises Vorgehen zur Fehleranalyse
_ Artikel: 7 Steps for Troubleshooting DirectAccess Clientshttp://www.windowsnetworking.com/articles-tutorials/trouble/7-Steps-Troubleshooting-DirectAccess-Clients.html
Direct Access Funktionalitätstests
…wenn’s mal nicht so läuft, wie gewünscht:
_ Netsh dns show state:
Feststellen, ob Client sich ausserhalb oder innerhalb des Firmennetzwerkes «fühlt»NLS Server Funktionalität
Direct Access Troubleshooting
Die Befehle
_ Netsh namespace show effectivepolicy
Feststellen, ob Client die NRPT Table erhalten hat und wie sie konfiguriert istNLS Server muss DirectAccess (DNS Servers) leer aufweisen !!
Direct Access Troubleshooting
Die Befehle…
_ ipconfig
Ist iphttpsinterface aktiv und ist eine ipv6 Adresse zugeordnet
_ Windows Firewall
Sind IPSec SA (Security Associations) vorhanden
Direct Access Troubleshooting
Die Befehle…
_ nltest /dsgetdc:
Ist DC über DNS und Direct Access erreichbar
_ Ping «Servername»
Sind interne Server erreichbar (Name eingeben, nicht IP !!)
Direct Access Troubleshooting
Die Befehle
_ Wichtig: Funktioniert nur auf Clients mit ENGLISCHER Spracheinstellung !!
_ Download: http://www.microsoft.com/en-us/download/details.aspx?id=41938
Direct Access Troubleshooting Tool
Schneller Überblick zur DA Funktionalität des Clients…
_ http://blogs.technet.com/b/jasonjones/archive/2013/11/13/the-evolution-of-collecting-directaccess-client-diagnostic-log-information.aspx
_ Windows 7: %SystemDrive%\Users\%Username%\AppData\Local\Microsoft\DCA\
_ Windows 8: %SystemDrive%\Users\%Username%\AppData\Local\Temp\Microsoft DirectAccess Logs\
_ Windows 8.1: %SystemDrive%\Users\%Username%\AppData\Local\Temp with a default filename of%COMPUTERNAME%-%Date% %Time%-DirectAccess Logs.html
Windows 8.1:
Direct Access Logs
Protokolldateien auf Clients