Archive for July 2009

Windows 2008 R2 – DirectAccess Part 3

Jeg er nu nået til den sidste del i denne blog-post serie omkring DirectAccess.
Jeg vil her prøve at connecte udefra med nogle Windows 7 klienter.
Jeg har forinden sikeret mig følgende:

Windows 7 klienterne er medlem af mit domæne “win.local”.
De har alle et personligt computer certifikat.
De har kørt gpupdate /force, så de har modtaget de nye DirectAccess group policies.
De har afviklet nedenstående reg-fil, der disabler certifikat CRL tjek.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesiphlpsvcParameters]
“NoCertRevocationCheck”=dword:00000001

Lad os se på den Windows 7 client, som hedder WIN-DACLI-001.
Den sidder direkte på WAN siden.
Den har lavet en tunnel connection via transition 6to4.
Læg også mærke til at gateway adressen er den samme som IPv6 adressen for DirectAcess serveren WIN-DASRV-001.
 

Ok. lad os så kigge på WIN-DACLI-002.
Den sidder bag en NAT/Firewall device på en anden lokation og med et andet subnet.
win.local domænet benytter et subnnet = 192.168.35.0
WIN-DACLI-002 sidder på subnettet = 192.168.50.0.
Nedenstående viser udsnit af ipconfig for WIN-DACLI-002.
 

Man kan også se, at den har skabt en IPv6-over-IPv4 tunnel via IP-HTTPS.
 

Jeg prøver nu at pinge min Domain Controller (WIN-DC-001) på det interne netbios-navn.
Jeg får svar tilbage fra en IPv6 adresse. Det er sgu da lidt sejt.

Jeg pinger herefter min applikationsserver på det interne netbios-navn.

Jeg tilgår herefter default website for WIN-APP-001, samt sharen \win-app-001shares.

For client management kan jeg ligeledes pinge/tilgå WIN-DACLI-002 fra en af min Windows 7 eller Windows 2008/R2 servere.
Jeg kan feks lave en remote desktop til den for support. Det kræver at jeg forinden tillader det i en GPO.


Som Admin vil jeg kunne sidde udefra og styre min infrastruktur/domain via RSAT og GPO management console.
Mulighederne er de samme, som var jeg connected internt på LAN’et.

Jeg har nu fået bekræftet at clienterne kan connecte ind til min backend struktur via interne IP adresser og netbios navne.
Næste udfordring kunne så være at implementere 2 faktor validering (Kræver R2 forest level) og Network Access protection (NAP).
Som afslutning kan jeg kort opsumerer hvikle fordele der er ved DirectAccess, som jeg ser det.

1. Transperant og sikker forbindelse for brugerne. Det kræver ingen form for special hardware eller software.
2. Fungere igennem NAT/firewall devices. Brugerne vil således altid være online på domænet.
3. Nemmere remote management, herunder AV og sikkerhedsopdateringer. Reducering af helpdesk opkald.
4. Mulighed for enkel domain og server isolation.
5. Simpel og standardiseret edge løsning. Det hele bliver styret via de velkendte Group policies.
6. NAP integration.

Windows 2008 R2 – DirectAccess Part 2

Domain controlleren og applikationsserveren er installeret og konfigureret.
Næste step er at installere DirecAccess serveren (OS skal her være Windows 2008 R2). Den bliver opsat som følger.

Installer Windows 2008 R2 Std. x64 som en member server. Den skal være konfigureret med 2 netkort.
Computername = WIN-DASRV-001. Sikre at Firewall er enablet, men at den har fået firewall GPO settings.
På WAN netkortet skal man angive 2 public IPv4 adresser.

Angiv IP adresser som følger.

LAN: (private IP)
IP = 192.168.35.10
Subnet = 255.255.255.0
Gateway = Blank
DNS = Interne DNS adresser
DNS suffix = win.local

WAN: (Public IP)
IP = 87.61.11.194 og 87.61.11.195
Subnet = 255.255.255.192
Gateway = 87.61.8.149
DNS = Blank
DNS suffix = jravn.dk


DirectAccess serveren vil i dette tilfælde benytte den Public IP adresse 87.61.11.195.
Opret en public host A-record med navnet da.jravn.dk. Vi skal herefter lave et "custom certifikate", som binder sig til dette navn(FQDN).
Følg samme procedure fra blog-post Part 1, hvor jeg lavede et custom certificate (nls.win.local) til WIN-DC-001.
Efter vi har implementeret det ser det ud, som på nedenstående billede.

Jeg er nu klar til at installere selve DirectAccess Management Console, som er en Feature der skal installerers.
Under "Add Features Wizard", vælg her, som vist på nedenstående billede.

Efter installationen, start "DirectAccess Management Console" og klik på Setup. Der er her 4 konfigurationsstep man skal igennem.
 

Klik på knappen Configure og vælg den tidligere oprettet sikkerhedsgruppe "DirectAccess" og klik Finish. Den indeholder de computer der skal kunne benytte DirectAccess.

Under Step 2, klik på knappen Configure og Vælg Next

Vælg det interne rod certifikat (WIN Root CA) og det public SSL certifikat med tilhørende public Host A-record, klik finish.

Under Step 3, klik på knappen Configure og angiv link til NLS serveren, som i dette tilfælde er min DC WIN-DC-001. Klik Validate og Vælg Next
 

Dobbeltklik på "Name Suffix" win.local og vælg Validate ud fra de 2 DNS servere, klik Apply – Next.

 

Dobbeltklik på IP Adress/Prefix og angiv FQDN på DC’eren WIN-DC-001 (NLS). Klik OK – Finsih.
 
 

Under Step 4, klik på knappen Configure og vælg, som vist på nedenstående billede. Klik Finish – Save – Finish.
 

Efter jeg har klikket Finish den sidste gang, fremkommer der nu en konfigurationsrapport, som jeg kan gemme. Klik til sidst Apply.
 

Der bliver herefter lavet 2 DirectAcess GPO’er.
 

Næste step er opsætte DirectAccess Monitoring. højre musetast på Monitoring og vælg Configure. Klik Ok.
 

Klik på Monitoring igen. Nedenstående billede fremkommer og man kan her se de aktive connection for de enkelte transition services.
Normalt skal der ikke være nogle (undtagen ISATAP) før at de enkelte Windows 7 klienter får påtrykt de nye DirectAccess group policies.

For mere info til ovenstående Transition (Teredo,6to4,ISATAP, mfl) se dette link.
Support for IPv6 in Windows Server 2008 R2 and Windows 7.
http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx

Vi er nu færdige med at installere og konfigurere DirectAccess serveren.
Næste blog-post vil omhandle DirectAccess og Windows 7 klienterne. Jeg skal her se om jeg er i stand til at lave en connection fra WAN og bag NAT/firewall devices.

Windows 2008 R2 – DirectAccess Part 1

DirectAccess er en ny feature i Windows 7 og Windows 2008 R2, som giver en sikker forbindelse (IPsec) ind til virksomhedens interne IT ressoucer.
Dette sker helt transperant for brugerne og vil således også give en række management fordele, idet brugerne altid er tilsluttet til virksomhedens interne netværk.
DirectAcces er baseret på IPv6 teknologi enten via “Native” eller  “Transition” (feks. Taredo, ISATAP, 6to4, IP-HTTPS).
Fore mere generel info omkring DirectAccess se nedenstående links.

What is DirectAccess?.
http://www.microsoft.com/servers/directaccess.mspx

DirectAccess.
http://technet.microsoft.com/en-us/network/dd420463.aspx

DirectAccess – Anywhere Access With Windows.
http://download.microsoft.com/download/5/E/6/5E66B27B-988B-4F50-AF3A-C2FF1E62180F/ENT-T619_WH08.pptx

Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2.
http://www.microsoft.com/downloads/details.aspx?FamilyID=64966e88-1377-4d1a-be86-ab77014495f4&DisplayLang=en

IPv6.
http://technet.microsoft.com/en-us/network/bb530961.aspx

Jeg vil i denne blog-post opsætte og konfigurere et test-miljø, som er forberedt til DirecAccess.
Jeg har fulgt nedenstående step-by-step guide til det meste af min test-opsætning.
http://www.microsoft.com/downloads/details.aspx?FamilyID=8D47ED5F-D217-4D84-B698-F39360D82FAC&displaylang=en

Mit test-setup vil bestå af følgende noder/services.

Internet domæne = win.local
Eksternt domæne = jravn.dk
LAN – En Domain Controller (Windows 2008 eller R2). Den har rollerne DHCP – DNS – CA Enterprise – Network Location Server.
LAN – En Applications server med IIS og file shares (Windows 2008 eller R2) . Den er domain member.
LAN/WAN – DirectAccess server (WIN-DASRV-001) med to netkort til LAN og WAN. OS skal her være Windows 2008 R2. Den er domain member.
WAN – Windows 7 Client.

Grafisk, ser det ud, som vist på nedenstående billede.

 
Nedenstående opsumere ovenstående process. (taget fra Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2).

DirectAccess clients access the intranet using IPv6 and IPsec.
The DirectAccess client establishes two IPsec tunnels.

IPsec Encapsulating Security Payload (ESP) tunnel using a computer certificate.
This tunnel provides access to an intranet DNS server and domain controller, allowing the computer to download Group Policy objects and to request authentication on the user’s behalf.

IPsec ESP tunnel using both a computer certificate and user credentials.
This tunnel authenticates the user and provides access to intranet resources and application servers.
For example, this tunnel would need to be established before Microsoft Outlook could download e-mail from the intranet Microsoft Exchange Server.

After the tunnels to the DirectAccess server are established, the client can send traffic to the intranet through the tunnels.
You can configure the DirectAccess server to control which applications remote users can run and which intranet resources they can access.

Domain Controller (WIN-DC-001).

IP = 192.168.35.7
Subnet = 255.255.255.0
Gateway = 192.168.35.1
DNS = 192.168.35.7
DNS suffix = win.local

Installer Windows 2008 eller R2. I mit tilfælde er det R2.
Dcpromo med DNS + GC. Installer DHCP + IIS + Enterprise CA.
Opret en sikkerhedsgruppe (DirectAccess) med de Windows 7 computer der skal kunne anvende DirectAccess.

Opret herefter en “custom certificate template”.
Start “Certification Authority Console” på CA dc’eren (WIN-DC-001) og højre musetast på  “Certificate Templates”.
Jeg vælger manage og “Certificates Templates Console” bliver herefter åbnet.

Marker Web Server og vælg “Duplicate Template”.

Vælg “Windows Server 2008 Enterprise”.

I “Template display name” skriv Web Server 2008.
 

Gå til Security fanebladet og Add “Authenticated Users” og “Domain Computers” og giv dem “Enroll” rettigheder.

Gå til “Request Handling ” fanebladet og sæt hak i “Allow private key to be exported”.
 

Luk herefter “Certificate Templates Console”.
Højre musetast på “Certificate Templates” og vælg “Certificate Template to Issue” – Ok – Luk herefter “Certification Authority console”.

Næste step er at oprette og aktiverer firewall regler for ICMPv4 and ICMPv6 traffik.
Se her i step-by-step guiden afsnit “Create and enable firewall rules for ICMPv4 and ICMPv6 traffic”, fra side 19.

Kør herefter kommandoen dnscmd /config /globalqueryblocklist wpad på alle de interne DNS servere. I mit tilfælde er det WIN-DC-001 og WIN-DC01.
Denne kommando fjerner ISATAP fra DNS’ens globale “query block list”.

Aktiver auto-deployment af computer certifikater. Dette kopirere jeg direkte fra step-by-step guiden.

Click Start, click Administrative Tools, and then click Group Policy Management.
2.    In the console tree, open Forest: corp.contoso.comDomainscorp.contoso.com.
3.     In the console tree, right-click Default Domain Policy, and then click Edit.
4.    In the console tree of the Group Policy Management Editor, open Computer ConfigurationPoliciesWindows SettingsSecurity SettingsPublic Key Policies.
5.    In the details pane, right-click Automatic Certificate Request Settings, point to New, and then click Automatic Certificate Request.
6.    In the Automatic Certificate Request Wizard, click Next.
7.     On the Certificate Template page, click Computer, click Next, and then click Finish.
8.     Close the Group Policy Management Editor and Group Policy Management consoles.

Opret en Host A-record i den interne DNS (win.local) med navnet  “nls.win.local”. Den peger på IP-addressen på DC’eren WIN-DC-001.
Den skal have rollen som “Network Location Server”.

Vi er nu klar til at oprette et Certifikat til “Network Location Server” rollen (WIN-DC-001) med værdien “nls.win.local”.
Start MMC – Add/Remove Snap-in – Vælg Certificates – Vælg Computer account – Gå til “Certificates (Local Computer)PersonalCertificates”.
Højre musetast på Certificates – Vælg “All Tasks” – Vælg “Request New Certificate” – Next – Next.
Klik på linket “Web Server 2008, and then click More information is required to enroll for this certificate”.

 

Under “Subject name, vælg her “Common Name”
Angiv Value til nls.win.local.

Under “Alternative name”, vælg her DNS.
Angiv Value til nls.win.local.

Klik på Add for “Subject name” og “Alternative name”.
 

Klik på kappen Enroll, og klik Finish. Tjek at certifikatet nls.win.lokal, er af typen “Server Authentication”.

Afslut installation og konfiguration for WIN-DC-001 med at enable “HTTPS security binding”.
Start IIS Manager – Vælg “default Web Site” – Vælg Bindings under “Actions”.
Klik på Add under “Site Bindings”- Vælg Https – Vælg det føroprettede cedrtifikat “Network Location Server” – Close – Luk IIS manageren.


 

Applikations Server (WIN-APP-001).

IP = 192.168.35.16
Subnet = 255.255.255.0
Gateway = 192.168.35.1
DNS = 192.168.35.7
DNS suffix = win.local

Installer Windows 2008 eller R2. I mit tilfælde er det R2.
Installer IIS + Opret file shares, med nødvendige rettigheder til de test brugere der skal benytte DirectAccess udefra.
Tjek at den har fået de ønskede firewall settings og computer certifikat fra GPO’erne.
Applikations serveren  indgår kun i testen som ressouce server, hvor vi skal teste om vi kan tilgå interne IT ressoucer udefra og pinge på det interne navn “WIN-APP-001”.

Næste blog-post vil omhandle installation og konfiguration af DirectAccess serveren.