Bereitstellen des Remotezugriffs mit OTP-Authentifizierung

  • Artikel

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Durch Windows Server 2012 werden DirectAccess und RRAS-VPN (Routing und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst. Der Remotezugriff kann in einer Reihe von Unternehmensszenarios bereitgestellt werden. Diese Übersicht ist eine Einführung in das Unternehmensszenario für die Bereitstellung von Windows Server 2012 DirectAccess mit Benutzerauthentifizierung mit Einmalkennwort (One-time Password, OTP).

Beschreibung des Szenarios

In diesem Szenario wird ein RAS-Server, auf dem DirectAccess aktiviert ist, so konfiguriert, dass die Benutzer des DirectAccess-Clients zusätzlich zu ihren Standardanmeldeinformationen für Active Directory mit einer zweistufigen OTP-Authentifizierung authentifiziert werden.

Voraussetzungen

Bevor Sie mit der Bereitstellung dieses Szenarios beginnen, sollten Sie die Liste der wichtigen Anforderungen lesen:

  • Windows 7-Clients müssen DCA 2.0 verwenden, um OTP zu unterstützen.
  • OTP unterstützt nicht die PIN-Änderung.
  • Das Ändern von Richtlinien außerhalb der DirectAccess-Verwaltungskonsole oder von PowerShell-Cmdlets wird nicht unterstützt.

Inhalt dieses Szenarios

Das Szenario für die OTP-Authentifizierung besteht aus mehreren Schritten:

  1. Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen: Vor der OTP-Konfiguration muss ein einzelner RAS-Server bereitgestellt werden. Die Planung und Bereitstellung eines einzelnen Servers umfasst das Entwerfen und Konfigurieren einer Netzwerktopologie, das Planen und Bereitstellen von Zertifikaten, das Einrichten von DNS und Active Directory, das Konfigurieren von Remotezugriffsservereinstellungen, das Bereitstellen von DirectAccess-Clients und das Vorbereiten von Intranetservern.

  2. Planen des Remotezugriffs mit OTP-Authentifizierung: Zusätzlich zu der für den Einzelserver erforderlichen Planung erfordert OTP Planungen für eine Microsoft-Zertifizierungsstelle und Zertifikatvorlagen für OTP sowie einen RADIUS-fähigen OTP-Server. Die Planungen umfassen ggf. auch die Notwendigkeit von Sicherheitsgruppen, die bestimmte Benutzer von der sicheren Authentifizierung (per OTP oder Smartcard) ausnehmen. Informationen zur Konfiguration von OTP in einer Umgebung mit mehreren Gesamtstrukturen finden Sie unter Konfigurieren einer Bereitstellung mit mehreren Gesamtstrukturen.

  3. Konfigurieren von DirectAccess mit OTP-Authentifizierung: Die OTP-Bereitstellung besteht aus einer Reihe von Konfigurationsschritten. Dazu zählen das Vorbereiten der Infrastruktur für die OTP-Authentifizierung, das Konfigurieren des OTP-Servers und von OTP-Einstellungen auf dem RAS-Server sowie das Aktualisieren von DirectAccess-Clienteinstellungen.

  4. Problembehandlung bei einer OTP-Bereitstellung: In diesem Abschnitt zur Problembehandlung werden die häufigsten Fehler beschrieben, die bei Bereitstellung des Remotezugriffs mit OTP-Authentifizierung auftreten können.

Praktische Anwendungen

Sicherheit erhöhen: Die Verwendung von OTP erhöht die Sicherheit Ihrer DirectAccess-Bereitstellung. Ein Benutzer benötigt OTP-Anmeldeinformationen, um auf das interne Netzwerk zugreifen zu können. Der Benutzer gibt seine OTP-Anmeldeinformationen über die in den Netzwerkverbindungen enthaltenen Arbeitsplatzverbindungen auf dem Windows 8-Clientcomputer ein oder verwendet auf einem Clientcomputer mit Windows 7 den DirectAccess-Konnektivitäts-Assistenten. Der OTP-Authentifizierungsprozess läuft wie folgt ab:

  1. Der DirectAccess-Client gibt die Anmeldeinformationen für die Domäne ein, um auf die DirectAccess-Infrastrukturserver (über den Infrastrukturtunnel) zugreifen zu können. Wenn aufgrund eines bestimmten IKE-Fehlers keine Verbindung zum internen Netzwerk verfügbar ist, erhält der Benutzer über die Arbeitsplatzverbindungen des Clientcomputers eine Benachrichtigung, dass Anmeldeinformationen eingegeben werden müssen. Bei Clientcomputern mit Windows 7 wird ein Popupfenster angezeigt, in dem die Smartcard-Anmeldeinformationen abgefragt werden.

  2. Nach der Eingabe der OTP-Anmeldeinformationen werden diese (zusammen mit der Anforderung eines befristeten Zertifikats für die Smartcard-Anmeldung) an den RAS-Server gesendet.

  3. Der RAS-Server beginnt mit der Authentifizierung der OTP-Anmeldeinformationen mit dem RADIUS-basierten OTP-Server.

  4. Bei Erfolg signiert der RAS-Server die Zertifikatanforderung mithilfe seines Registrierungsstellenzertifikats und sendet sie an den DirectAccess-Clientcomputer zurück.

  5. Der DirectAccess-Clientcomputer leitet die signierte Zertifikatanforderung an der Zertifizierungsstelle weiter und speichert das registrierte Zertifikat für die Verwendung durch Kerberos-SSP/AP.

  6. Der Clientcomputer verwendet dieses Zertifikat für eine transparente Kerberos-Standardauthentifizierung mit einer Smartcard.

In diesem Szenario enthaltene Rollen und Features

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Rolle für die Remotezugriffsverwaltung

Diese Rolle wird mithilfe der Server-Manager-Konsole installiert und deinstalliert. Diese Rolle umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  1. DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  2. RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Die Remotezugriffsrolle ist von den folgenden Serverfeatures abhängig:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS): Dieses Feature ist erforderlich, um den Netzwerkadressenserver auf dem DirectAccess-Server und den Standardwebtest zu konfigurieren sowie die OTP-Authentifizierung zu verwenden.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Benutzeroberfläche für RAS und Befehlszeilentools

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

  • Um das Szenario testen zu können, ist mindestens ein als DirectAccess-Client konfigurierter Computer mit Windows 8 oder Windows 7 erforderlich.

  • Ein OTP-Server, der PAP über RADIUS unterstützt

  • Ein OTP-Hardware- oder Software-Token

Softwareanforderungen

Für dieses Szenario gelten eine Reihe von Anforderungen:

  1. Softwareanforderungen für die Bereitstellung auf einem Einzelserver. Weitere Informationen finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

  2. Zusätzlich zu den Softwareanforderungen für einen Einzelserver müssen einige OTP-spezifische Anforderungen erfüllt sein:

    1. Zertifizierungsstelle für die IPsec-Authentifizierung: Bei einer OTP-Bereitstellung muss DirectAccess für die Verwendung von IPsec-Computerzertifikaten, die von einer Zertifizierungsstelle herausgegeben werden, eingerichtet werden. Die IPsec-Authentifizierung mithilfe des RAS-Servers als Kerberos-Proxy wird bei der OTP-Bereitstellung nicht unterstützt. Eine interne Zertifizierungsstelle ist erforderlich.

    2. Zertifizierungsstelle für die OTP-Authentifizierung: Eine Microsoft Enterprise-Zertifizierungsstelle (die auf einem Server mit Windows 2003 oder höher ausgeführt wird) ist erforderlich, um OTP-Clientzertifikate auszustellen. Es kann dieselbe Zertifizierungsstelle verwendet werden, die auch die Zertifikate für die IPsec-Authentifizierung ausstellt. Der Zertifizierungsstellenserver muss über den ersten Infrastrukturtunnel erreichbar sein.

    3. Sicherheitsgruppe: Um Benutzer von der sicheren Authentifizierung auszunehmen, ist eine Active Directory-Sicherheitsgruppe mit diesen Benutzern erforderlich.

    4. Clientseitige Anforderungen: Bei Windows 8-Clientcomputern ist der Dienst "Netzwerkkonnektivitäts-Assistent (Network Connectivity Assistant, NCA)" erforderlich, um zu erkennen, ob die OTP-Anmeldeinformationen erforderlich sind. Falls ja, fordert der DirectAccess-Medien-Manager zur Eingabe von Anmeldeinformationen auf. Die NCA-Anwendung ist im Betriebssystem Windows 8 enthalten. Eine Installation oder Bereitstellung ist nicht erforderlich. Bei Clientcomputern mit Windows 7 ist der DirectAccess-Verbindungs-Assistent (DirectAccess Connectivity Assistant, DCA) 2.0 erforderlich. Dieser kann aus dem Microsoft Download Center heruntergeladen werden.

    5. Hinweis:

      1. Die OTP-Authentifizierung kann parallel zur Authentifizierung mit Smartcards oder dem Trusted Platform Module (TPM) verwendet werden. Das Aktivieren der OTP-Authentifizierung in der Remotezugriffsverwaltungskonsole ermöglicht auch die Verwendung der Smartcard-Authentifizierung.

      2. Während der Konfiguration des Remotezugriffs können Benutzer aus einer bestimmten Sicherheitsgruppe von der zweistufigen Authentifizierung ausgenommen werden und müssen sich nur mit ihrem Benutzernamen/Kennwort anmelden.

      3. Die OTP-Modi "Neue PIN" und "Nächster Tokencode" werden nicht unterstützt.

      4. Bei einer Remotezugriffsbereitstellung an mehreren Standorten sind die OTP-Einstellungen global und dienen zur Identifikation an allen Einstiegspunkten. Wenn mehrere RADIUS- oder Zertifizierungsstellenserver für OTP konfiguriert werden, müssen sie von jedem RAS-Server anhand ihrer Verfügbarkeit und Nähe sortiert werden.

      5. Bei der OTP-Konfiguration in einer Remotezugriffsumgebung mit mehreren Gesamtstrukturen müssen die OTP-Zertifizierungsstellen ausschließlich aus der Ressourcengesamtstruktur stammen, und die Zertifikatsregistrierung muss gesamtstrukturübergreifend konfiguriert werden. Weitere Informationen finden Sie unter AD CS: Gesamtstrukturübergreifende Zertifikatsregistrierung mit Windows Server 2008 R2.

      6. Benutzer, die einen KEY FOB OTP-Token verwenden, geben zunächst die PIN und dann den Tokencode (ohne Trennzeichen) in das OTP-Dialogfeld von DirectAccess ein. Benutzer, die einen PIN PAD OTP-Token verwenden, geben in diesem Dialogfeld nur den Tokencode ein.

      7. Bei aktiviertem WEBDAV darf OTP nicht aktiviert werden.

Bekannte Probleme

Im Folgenden finden Sie bekannte Probleme beim Konfigurieren eines OTP-Szenarios:

  • Der Remotezugriff verwendet einen Testmechanismus, um die Verbindung mit RADIUS-basierten OTP-Servern zu überprüfen. In einigen Fällen kann auf dem OTP-Server ein Fehler ausgelöst werden. Gehen Sie zur Vermeidung dieses Problems auf dem OTP-Server folgendermaßen vor:

    • Erstellen Sie ein Benutzerkonto entsprechend dem auf dem RAS-Server für den Testmechanismus konfigurierten Benutzernamen und Kennwort. Der Benutzername darf keinen Active Directory-Benutzer definieren.

      Standardmäßig ist der Benutzername auf dem RAS-Server "DAProbeUser", und das Kennwort lautet "DAProbePass". Diese Standardeinstellungen können mithilfe der folgenden Werte in der Registrierung auf dem RAS-Server geändert werden:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Wenn Sie das IPsec-Stammzertifikat in einer konfigurierten und ausgeführten DirectAccess-Bereitstellung ändern, funktioniert OTP nicht mehr. Um dieses Problem zu beheben, führen Sie auf allen DirectAccess-Servern in einem Windows PowerShell-Fenster den folgenden Befehl aus: iisreset