Archive for the ‘Forefront’ Category.

Forefront UAG – DirectAccess Part 9

Når man skal debugge eller logge DirectAcces traffik (6to4 – Teredo – IP-HTTPS), kan man med fordel gøre det indefra TMG (Threat Management Gateway).
Start her “Forefront TMG Management” og vælg “Logs & Reports”.

Under “Logging”, vælg “Edit Filter” og tilføj “Protocol” og “Source Network”. Konfigurer, som vist på nedenstående billede.

 

Klik på “Start Query”.


Man kan her se logs for DirectAccess transition traffik. Nedenstående Log-udsnit vises for 6to4.

 

Log udsnit for Teredo.

Log udsnit for IP-HTTPS.

For at få remote adgang til DirectAccess klienterne i forbindelse med support og helpdesk kald, kan man benytte følgende værktøjer.

– Remote Assistance i Windows 7
– Remote Desktop i Windows 7
– Teamviewer

For Remote Assistance i Windows 7, kan man lave en genvej ude på skrivebordet med følgende streng.
%windir%system32msra.exe /offerra

For at kunne lave en “Remote Assistance ” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/System/Remote Assistance

Nedenstående billeder viser “Remote Assistance” anmodninger ude på en DirectAccess klient.


For at kunne lave en “Remote Desktop” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Enable “Allow users to connect remotely using Remote Desktop Services”.

 

Man kan også vælge at benytte Teamviewer, som jeg personligt syntes er en rigtig god løsning.
http://www.teamviewer.com/da/

Da jeg skulle teste DirectAccess med en Windows 7 klient, kunne jeg ikke få “Teredo” til at virke.
Min test klient var på en anden lokation i et netværk med Active Directory.
Efter en del fejlsøgning, fandt jeg nedenstående link, som beskriver problemet.
http://technet.microsoft.com/en-us/library/ee844125(WS.10).aspx

If the Teredo state is offline and the error state is Client is in a managed network, the DirectAccess client has detected a local Active Directory domain. In this case, the Teredo client will not bring up the Teredo tunnel adapter unless the Teredo client has been configured as an enterprise client. You can view the Teredo client type from the netsh interface teredo show state command. If set to client, a reachable domain controller will prevent Teredo from becoming active. If it set to enterpriseclient, Teredo will be active even when a domain controller is reachable. You can change a Teredo client from client to enterpriseclient with the Computer ConfigurationPoliciesAdministrative TemplatesNetworkTCPIP SettingsIPv6 Transition TechnologiesTeredo State setting of the Group Policy object for DirectAccess clients or for an individual DirectAccess client with the netsh interface teredo set state enterpriseclient command.

Efter jeg satte “Teredo state” til “Enterprise Client”, virkede det uden problemer. Jeg brugte igen GPO’en WIN_DA_Client.

 

Et andet problem, som jeg også brugte en del tid på at fejlfinde, var at få IP-HTTPS til at virke for mine test klienter.
Nedenstående billede viser fejlmeddelsen ude på en DirectAccess klient.

Jeg havde købt et GoDaddy standard SSL certifikat og havde importeret det til UAG serveren inden installationen af UAG.
Så jeg vidste at “Certificate Revocation List (CRL)” var i orden og det således burde virke.
Jeg kørte først kommandoerne net stop iphlpsvc og net start iphlpsvc på selve UAG serveren og klienterne uden nogen possetiv effekt.
Jeg tjekkede flere gange GPO resultet på klienten med nedensående kommado og alt så fint ud.
gpresult /f /h c:report.html

Kommandoen netsh interface httpstunnel show interface på UAG serveren viste heller ingen fejl.

Kommandoen netsh http show sslcert på UAG serveren viste heller ingen tydlige fejl.

 

Jeg havde dog forinden lagt mærke til at UAG installationen smider et “Default Web Site” SSL certifikat ind i personal certifkat storen.
Dette er et internt/privat certifkat hvor CRL ikke er public.

Ved at sammenligne “Certificate Hash” og Thumbprint fra “Default Web Site”, kunne jeg se, at UAG serveren fejlagtigt havde brugt dette certifikat under “SSL Certificate bindings”.
Det betyder at DirectAccess klienterne ikke kan lave et CRL check på certifikatet og således vil fejle.

 

Opgaven bestod nu i, at ændre bindings tilbage til mit GoDaddy SSL certifikat.
Jeg kopierede først “Application ID” for IP:port 0.0.0.0:443 og [::]:443 og satte det ind i et tekstfil.
Herefter slettede jeg de eksisterende IPports, som vist på dette billede.

Næste step, var at kopiere “Certificate Hash” fra mit GoDaddy certifkat ind i nedenstående kommandoer.
Samtidig skulle jeg også indsætte de før kopierede” Application ID’s” så de passede med de rigtige IPport.
netsh http add sslcert ipport=0.0.0.0:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY dsmapperusage=enable
netsh http add sslcert ipport=[::]:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={1d40ebc7-1983-4ac5-82aa-1e17a7ae9a0e} certstorename=MY dsmapperusage=enable

Nedenstående billede viser at kommandoerne blev kørt igennem og “SSL certificate bindings” nu er ændret til mit GoDaddy SSL certifikat.

For at teste/force IP-HTTPS ude på en klient kørte jeg nedenstående kommandoer, som disabler “6to4” og “Teredo”.
netsh interface teredo set state disabled
netsh interface 6TO4 set state disabled

Jeg kørte til sidst kommandoen netsh interface httpstunnel show interface igen og kunne se, at der nu var hul igennem. Case closed….

Denne blog-post serie omkring UAG og DirectAccess er nu afsluttet.

Forefront UAG – DirectAccess Part 8

Jeg forsætter min blog-post serie og vil gennemgå følgende punkter i forbindelse med DirectAccess.

– DCA til DirectAccess klienter.
– Logning af DirectAccess traffik.
– Remote adgang til DirectAccess klienter.
– Fejlfinding på Teredo og IP-HTTPS.

Jeg starter her med et diagnostic tool som hedder “DirectAccess Connectivity Assistant (DCA)”.
http://www.microsoft.com/downloads/details.aspx?FamilyID=9A87EFE8-E254-4473-8A26-678ADEA6D9E9&displaylang=en

Det kan fortælle DirectAccess brugerne om de har forbindelse til firma netværket, samt generer logs til helpdesken om computer og netværks konfiguration.
Uden dette tool kommer der ingen besked til brugeren, om at forbindelsen til virksomhedsressourcer via DirectAccess er nede eller oppe igen.
Man installerer DCA klienten på de maskiner, som skal connecte via DirectAccess.
Nedenstående billede viser at DCA klienten er blevet installeret, men den mangler at blive konfigureret via group policies.

Opret en ny GPO, som jeg i dette tilfælde kalder “WIN_DA_Client”. Den skal også bruges til andre indstillinger, som kan være målrettet mod DA klienter.

Sæt “Security Filtering”, så den kun rammer DirectAccess computere og brugere.

Importer DCA GPO template i henhold til nedenstående link.
Deploying, Managing, and Using the DirectAccess Connectivity Assistant
http://technet.microsoft.com/en-us/library/ff453413(WS.10).aspx

Herefter kan vi se DCA templaten via GPO manageren.

 

De to DCA indstillinger, som skal konfigureres er “DTEs” og “Corporate Resources”.
For “DTE” sker det som følger.
Kør ipconfig på selve UAG serveren og kopier de to IPv6 adresser, som er listet under 6TO4 adapteren.

Enable policy og klik på knappen “Show”.

Indsæt de to IPv6 adresser med PING: foran.

 

Konfiguration af “Corporate Resources”, skal også konfigureres. Restern af DCA settings er valgfrie, men kan være nyttige at have med.
Feks kan man konfigurere support email adresse som brugerne kan sende log-filer til eller linke til en support portal.
Enable policy og klik på knappen “Show”.

Indtast de interne servere med FQDN. DirectAccess klienter får således en alert, hvis en af nedenstående servere i infrastrukturen ikke kan tilgås.
Igen skal man sætte PING: foran.

Nedenstående billede viser at DirectAccess klienten er connected og alle ressourcer kan tilgås.

Her har DirectAccess klienten mistet tilslutning til en af infrastruktur serverne.

Brugeren kan herefter højre musetast på DCA ikonet og vælge “Advanced Diagnostic”.

En support log bliver herefter genereret og brugeren kan sende den til support, ved at klikke på “Email logs”.
Support mail-adressen, kan som sagt også sættes via DCA GPO’en.

 

Support/Helpdesk kan hefter åbne log-filen og se, at en af fil-serverne har problemer.

 

Forefront UAG – DirectAccess Part 8 er nu afsluttet.

Forefront UAG – DirectAccess Part 7

Jeg er nået dertil, hvor jeg kan teste DirectAccess fra en række Windows 7 klienter.
Krav til Windows 7 klienterne er som følger.

Windows 7 skal være enterprise eller ultimate versionen.

Windows 7 klienten skal være medlem af firma domænet.

Klienten skal have et personligt computer certifikat.

Klienten skal have DirectAccess Client GPO’er påtrykt.

Med Forefront UAG og DirectAccess skal vi som sagt tidligere, ikke lave noget om i vores eksisternede infrastruktur.
DirectAccess klienterne vil via NAT64/DNS64 kunne connecte til Windows 2000/XP/2003, som stadigvæk er aktive i ens infrastruktur.
For mere info se nedenstående links.

Forefront UAG DirectAccess connection process.
http://technet.microsoft.com/en-us/library/ee809074.aspx

UAG DirectAccess – Don’t Fear the Reaper or IPv6.
http://blogs.technet.com/tomshinder/archive/2010/03/12/uag-directaccess-don-t-fear-the-reaper-or-ipv6.aspx

Jeg starter her med at teste en Windows 7 klient (WIN-PC-007), som sidder direkte på WAN.
Den har lavet en tunnel connection via transition 6to4, fordi klienten har en public IP adresse.
Dette sker helt transperant for brugeren uden brug af 3 parts software eller manuelle OS indstillinger/tweaks.

 

Jeg kan pinge mine interne servere på netbios navn.

Jeg har fået mappet mine netværksdrev op mod den eksisterende Windows 2003 R2 filserver.

 

Min outlook er online, så jeg kan sende og modtage mail, som jeg plejer.


Jeg kan tilgå mine interne Web servere (Sharepoint, Citrix Web Interface mfl).

Jeg kan administrerer Active Directory via RSAT.

 

Nedenstående billede viser en Windows 7 klient der sidder bag en NAT/Firewall enhed med en privat IP adresse.
I dette tilfælde vil klienten benytte “Teredo IPv6 transition technology”. Det kræver dog at der tilllades udgående UPD traffik på port 3544.

 

Hvis DirectAccess klienten ikke kan benytte 6to4 eller Teredo, vil den falde tilbage på IP-HTTPS.
Nedestående billede viser dette.

 

Forefront UAG – DirectAccess Part 7 er nu afsluttet.

Forefront UAG – DirectAccess Part 6

Jeg er nu klar til at konfigurere DirectAccess. Start “UAG Management” og klik på “DirectAccess” linket.
Under “Client”, klik på knappen “Configure”.

Klik på “Add” og vælg den føroprettese sikkerhedsgruppe “DirectAcces”. Det er kun computere i denne gruppe der kan benytte DirectAccess.
Klik “Finish”.

Under “DirectAccess Server”, klik på knappen “Configure”.
Vælg public ip adresse fra “Internet-facing” dropdown. Vælg Private IP adresse fra “Internal” dropdown. Klik “Next”.
Den finder selv den anden public IP adresse, som jeg har bundet SSL certifikatet “da.jravn.dk” op på.

Klik “Next” til default indstillinger.

Jeg vælger her “Root Certificate” fra min interne Enterprise CA.
For IP-HTTPS vælger jeg mit public SSL certifikat fra GoDaddy. Klik herefter “Finish”.

Under “Infrastructure Servers””, klik på knappen “Configure”.
Jeg indtaster link til NLS serveren og klikker på knappen “Validate”. Klik “Next”.

Klik “Next” til default indstillinger.

Vælg det interne domæne og klik på knappen “Finish”.

Under “Application Servers””, klik på knappen “Configure”.
Klik “Finish” for default indstilling.

Klik på knappen “Generate Policies”.

 

Klik på knappen “Apply Now”.

 

Klik “OK”.

Afslut med at starte “Group Policy Management” og se at de nye DirectAccess policy er oprettet.

Man kan se udfra “Security Filtering”, at den nye DA client policy kun rammer de klienter der medlem af sikkerhedsgruppen “DirectAccess”.
Ligeledes rammer DA server policy kun UAG serveren.


Forefront UAG – DirectAccess Part 6 er nu afsluttet.

Forefront UAG – DirectAccess Part 5

Jeg er nu kommet til det punkt, hvor jeg vil konfigurere og aktiverer Forefront UAG netværks-opsætning.
Start “Forefront UAG Management”. Klik på “Configure Network Settings”.

Vælg “Next”.

Vælg som vist på nedenstående billede.

Klik “Next”.

Klik “Finish”.

Klik på “Define Server Topology”.

Klik på “Next”.

Vælg “Single server”. Klik “Next”.

Klik på “Join Microsoft Update”.

Vælg “Use Microsoft Update…”. Klik “OK”.

 

Klik “Yes”.

Indtast password og klik “Next”.

Klik på “Activate”.

Klik på Finish.

 

Man får herefter adgang til UAG management console.

Forefront UAG – DirectAccess Part 5 er nu afsluttet.