Покрокова установка directaccess

Я сиджу у кав`ярні зі своїм мобільним комп`ютером, який є членом корпоративного домена. Після клацання букви диска H: я можу побачити файли і папки на внутрішньому файлом сервері. При виконанні команди gpupdate / force або wuauclt / detectnow застосовуються групові політики і перевіряється наявність оновлень, що надходять з внутрішніх контролерів домену та WSUS-серверів. Коротше кажучи, я використовую DirectAccess і мені це подобається.

Компанія, де працюю відноситься до класу підприємств середнього і малого розміру, причому її можна віднести до дуже малим компаніям. У нас трохи серверів, але ті, що є, виключно важливі. Щоб запустити DirectAccess нам треба було всього лише встановити новий сервер і налаштувати декількох конфігурацій. Я в будь-який момент можу бути в офісі і в кав`ярні або будь-якому іншому місці.

DirectAccess? Для компанії середнього або малого розміру? Та й ще раз так, і установка не так складна, як вважається. Це було нетривіально, але не неможливо.

Крок 1. Створіть і підготуйте сервер DirectAccess

Почніть з підготовки машини під управлінням Windows Server 2008 R2 з двома мережевими картами. Ця машина повинна бути членом внутрішнього домену Active Directory. Одну мережеву карту підключіть до зовнішньої підмережі, а іншу - до внутрішньої мережі. Далі потрібно встановити сертифікати і компоненти DirectAccess. Так як цей сервер буде служити мостом між зовнішньою і внутрішньою мережею має бути забезпечено, щоб на ньому були присутні всі необхідні оновлення.

Також будуть потрібні два послідовних IP-адреси, наприклад 98.34.120.34 і 98.34.120.35. Дуже важливо, щоб вони були послідовними. Отримання таких адрес може виявитися складним завданням для ІТ-відділу невеликої компанії. Потрібно дуже акуратно підходити до вибору Інтернет-провайдера.

До вибору адрес треба поставитися дуже уважно. Вся справа в тому, які адреси вважаються «послідовними». В консолі DirectAccess Management в алфавітному порядку перераховуються всі відкриті IPv4-адреси, призначені Інтернет-адаптера. Тому в DirectAccess наступні пари адрес не зважають послідовними: wxy9 і wxy10 (бо вони упорядковуються, як wxy10, wxy9), wxy99 і wxy100 (вони упорядковуються, як wxy100, wxy99), wxy1, wxy 2 і wxy10 (вони сортуються, як wxy1, wxy10, wxy2). У цих випадках вам будуть потрібні інші набори послідовних адрес.

Відео діє до: 2012 R2 Direct Access Setup

Налаштуйте ці зовнішні адреси на зовнішньому адаптері сервера DirectAccess, а також внутрішній адресу на внутрішньому адаптер. Непогано при цьому перейменувати адаптери, щоб не забути, які адаптери відносяться до яких підключень. DNS-суфікс цього підключення задайте рівним внутрішньому суффиксу.

Крок 2. Створення зовнішніх записів DNS

Для DirectAccess потрібно, щоб дозвіл пари зовнішніх адрес виконувалося з використанням зовнішніх DNS-записів типу A. Обидві записи повинні вказувати на перший з пари послідовних IP-адрес (не на другий і не на обидва). Хоча вони обидві і вказують на одну адресу, використовуватися для DirectAccess буде тільки одна. Друга знадобиться для пошуку відкликання сертифікатів (CRL), який ми невдовзі налаштуємо.

Припустимо, в середовищі є два записи A - directaccess.company.com і crl.company.com. Для створення цих записів може знадобитися допомога вашого Інтернет-провайдера.

Крок 3. Створення інфраструктури PKI за допомогою служб Active Directory Certificate Services

Одна з компонентів безпеки DirectAccess - взаємна перевірка достовірності засобами служб Certificate Services інфраструктури відкритих ключів (PKI). Додайте роль Active Directory Certificate Services (ADCS) і службу ролі Certification Authority (CA) на наявний сервер, наприклад на контролер домену. Налаштуйте його як кореневої CA і створіть новий закритий ключ, залишивши всі інші параметри зі значеннями за замовчуванням.

Відео: Windows Server 2012 DirectAccess

Далі треба створити шаблон сертифікату веб-сервера. В консолі Server Manager перейдіть до ролі ADCS і клацніть Certificate Templates. Клацніть правою кнопкою Web server template і виберіть Duplicate Template.

Створіть шаблон Windows Server 2008 Enterprise і відкрийте консоль властивостей. На вкладці Request Handling виберіть Allow private key to be exported. На вкладці Security надайте групам Domain Computers і Authenticated Users дозволу Read і Enroll. Вийдіть з консолі Properties і клацніть правою кнопкою щойно створений шаблон. Виберіть Change Names і задайте шаблоном зрозуміле ім`я.

Додайте шаблон в папку CA Certificate Templates, для чого клацніть правою кнопкою папку і виберіть New / Certificate Template to Issue. Виберіть і випустіть щойно створений шаблон.

Крок 4. Встановіть список CRL на сервері DirectAccess

Використовуваному інфраструктурою PKI сертифікату потрібен доступ до списку CRL. Список містить перелік відкликаних сертифікатів, які стали недійсними. Ви повинні мати доступ до списку CRL як з Інтернету, так і з локальної мережі, тому ваш сервер DirectAccess як не можна краще підходить для їх розміщення.

Почніть з установки ролі IIS зі складом служб ролей за замовчуванням. У диспетчері IIS Manager створіть нову віртуальну папку на ім`я CRLD, яка «дивиться» на папку C: inetpub wwwroot crld. Увімкніть функцію Directory Browsing на сторінці властивостей віртуальної папки.

Далі створіть загальну папку C: inetpub wwwroot crld під ім`ям CRLD $. Надайте облікового запису комп`ютера CA дозвіл Full Control для доступу до цієї загальнодоступному місці.

Поверніться на сторінку властивостей віртуального каталогу, виберіть Configuration Editor і перейдіть до system.webserver / security / request Filtering. Надайте параметру Double Escaping значення True.

Далі створіть шлях для клієнтів, які будуть виконувати дозвіл для виявлення CRL як з внутрішніх, так і зовнішніх мереж. Поверніться на контролер домену, відкрийте консоль Certification Authority і клацніть правою кнопкою кореневої вузол консолі і відкрийте вікно властивостей сервера CA. На вкладці Extensions виберіть розширення CRL Distribution Point (CDP). Клацніть Add і введіть зовнішній адресу, які зовнішні клієнти будуть використовувати для отримання списку CRL.

Я використовую таку адресу: https://crl.company.com/crld/lt;сервер_CAgt;.crl. Вашу адресу буде схожим за винятком повного імені сервера. Встановіть всі прапорці в нижній частині сторінки. Знову натисніть кнопку Add, щоб створити підключення для внутрішніх клієнтів. Введіть шлях UNC, які внутрішні клієнти можуть використовувати для доступу до CRL.

Мій шлях такий: crl.company.internal crld $ lt; сервер_CAgt;.crl. Так як це внутрішнє підключення до мережі, де опубліковано список CRL, потрібно встановити прапорці Publish CRLs і Publish Delta CRLs.

Поверніться в консоль CA, клацніть правою кнопкою Revoked Certificates і послідовно виберіть All Tasks / Publish. Якщо ви все зробили правильно, ви повинні побачити в загальнодоступному місці два файли списків CRL.

Крок 5. Встановлення сертифікатів на серверах DirectAccess і мережевих розташувань

Раніше ви вже створили шаблони сертифікатів. Тепер час створити самі сертифікати. Сервера DirectAccess і відповідного серверу мережевих розташувань для взаємної перевірки автентичності потрібні сертифікати веб-сервара.

Відкрийте MMC-консоль Certificates на сервері DirectAccess і перейдіть до сховища Certificates / Personal. Клацніть правою кнопкою Certificates і послідовно виберіть All Tasks / Request New Certificate. В консолі Certificate Enrollment виберіть сертифікат, створений на кроці 3.

Відкриється посилання з пропозицією ввести додаткову інформацію для запиту сертифіката. Клацніть посилання і у вікні, виберіть вкладку Subject. Задайте загальне ім`я і альтернативне ім`я DNS. Остання являє собою зовнішнє повне зовнішнє ім`я вашого сервера DirectAccess (наприклад, у мене це ім`я directaccess.company.com). Послідовно натисніть OK і Enroll, щоб відправити заявку на сертифікат.

Сервер мережевих розташувань (NLS) є внутрішнім сервером, на якому встановлена роль IIS. NLS не потрібно багато ресурсів, тому його без побоювання можна встановити на існуючому сервері. У такому ж порядку встановіть створений на кроці 3 сертифікат на сервері NLS. Однак на цей раз є невелика різниця. Замість внутрішнього повного імені сервера DirectAccess треба вказати повне ім`я, разрешаемое в локальній мережі.

У моєму випадку це ім`я nls.company.internal, яке я додав в DNS як CNAME, в якому вказав реальне ім`я сервера NLS. DirectAccess спілкується в NLS по протоколу HTTPS, тому треба створити прив`язку HTTPS до цього CNAME на веб-сайті за замовчуванням.

Крок 6. Підготовка клієнтів засобами групових політик

Для DirectAccess потрібно налаштувати ряд параметрів брандмауера і системи автоматичної подачі заявок на сертифікати, що найпростіше зробити за допомогою групових політик. Насамперед треба створити вхідні та вихідні правила для ICMPv6, які забезпечать підтримку ping-запитів протоколу IPv6, необхідних для нормальної роботи DirectAccess.

В консолі Group Policy Management Editor перейдіть до вузла Computer Configuration / Policies / Windows Settings / Security Settings / Windows Firewall with Advanced Security / Windows Firewall with Advanced Security. Створіть нове правило вхідних підключень. Виберіть правило типу Custom для All programs, в поле Protocol виберіть ICMPv6, а в поле Echo request - конкретний тип ICMP.

Застосуйте це правило до всіх локальних або віддалених IP-адресами і активуйте підключення у всіх трьох профілях. Задайте ім`я правила і клацніть Finish. Повторивши ці ж операції, створіть правило вихідних підключень з такими ж параметрами.

Можна створити ще одну конфігурацію клієнтів в тому ж або новому об`єкті групової політики (GPO). На цей раз в редакторі групових політик перейдіть до вузла Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies і перегляньте властивості політики Certificate Services Client - Auto-Enrollment. В Configuration Model встановіть прапорець Enabled, а також встановіть два прапорці, які стануть доступними. Клацніть ОК.

Останній параметр групової політики ви знайдете в вузлі Public Key Policies / Automatic Certificate Request Settings. Клацніть його правою кнопкою і виберіть New / Automatic Certificate Request. Відкриється майстер налаштування автоматичного запиту сертифікатів (Automatic Certificate Request Setup Wizard). Він дозволяє задати типи сертифікатів, які комп`ютер буде запитувати автоматично. Виберіть шаблон Computer і пройдіть майстер.

Застосуйте отриману групову політики до свого домену, щоб все встановити і застосувати її на всіх комп`ютерах. Перед виконанням наступних двох кроків зробіть паузу, достатню для того, щоб політика застосувати на всіх комп`ютерах.

Крок 7. Підготовка доменних служб

Є три невеликих операції по налаштуванню, які дозволяють підготувати доменні служби для роботи з DirectAccess. По-перше, треба створити глобальну групу. DirectAccess надаватиме зовнішній доступ членам цієї глобальної групи. Додайте в цю групу облікові записи комп`ютерів, яким повинен надаватися доступ.

По-друге, треба змінити налаштування DHCP-сервера. Якщо у вашому середовищі не реалізований протокол IPv6, змініть настройку DHCP-сервера - відключіть на сервері режим DHCPv6 без відстеження стану.

По-третє треба змінити DNS. У деяких випадках для роботи DirectAccess потрібно протокол ISATAP (Intra-Site Automatic Tunneling Address Protocol). Цей протокол зазвичай входить в глобальний список блокування на DNS-сервері, тому ISATAP над видалити з цього списку. Для цього в редакторі реєстру на кожному DNS-сервері перейдіть вузлу HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters і видаліть запис ISATAP. Після цього треба перезапустити служби.

Крок 8. Установка DirectAccess

Тепер ми готові встановлювати DirectAccess. Ця операція виконується засобами диспетчера сервера (Server Manager). Після установки відкрийте консоль DirectAccess і перейдіть до вузла Setup. Налаштування DirectAccess складається з чотирьох кроків:

Відео: Introduction to DirectAccess

1. Задайте глобальну групу, яка містить облікові записи комп`ютерів, яким треба надати зовнішній доступ.
2. Вкажіть мережеві інтерфейси Інтернету і внутрішньої мережі, а також сервер CA і зовнішній сервер сертифікатів. Це просто, якщо ви перейменували інтерфейси і сертифікати, задавши їм легкі для запам`ятовування імена.
3. Вкажіть інфраструктурні сервери, які можуть взаємодіяти з зовнішніми клієнтами. Тут треба вказати URL-адресу сервера NLS, а також ім`я та параметри IPv6 сервер DNS, контролера домену та будь-яких інших серверів, які ви використовуєте для управління клієнтами, наприклад серверів WSUS або System Center. На всіх серверах повинна бути включена підтримка IPv6.
4. Завершіть конфігурація, вказавши всі інші послуги, до яких треба надати доступ зовнішнім клієнтам. Це сервери, які обслуговують клієнтські програми.

По завершенні цих операцій установку можна вважати завершеною. В процесі установки DirectAccess будуть створені два об`єкти GPO (на додаток до тих, що ви створили раніше), які потрібно буде прив`язати до домену. Ці об`єкти групових політик налаштовують DirectAccess на підключаються клієнтів.

Відео: DirectAccess and Windows 10 in Action