Externe toegang met OTP-verificatie implementeren

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 combineert DirectAccess en RRAS-VPN (Routing and Remote Access Service) in één rol voor externe toegang. Externe toegang kan worden geïmplementeerd in diverse bedrijfsscenario's. Dit overzicht vormt een inleiding in het bedrijfsscenario voor de implementatie van gebruikersverificatie via DirectAccess met een eenmalig wachtwoord (OTP) in Windows Server 2012.

Scenariobeschrijving

In dit scenario wordt een server voor externe toegang waarvoor DirectAccess is ingeschakeld geconfigureerd om gebruikers met DirectAccess-clients te verifiëren met tweeledige verificatie met een eenmalig wachtwoord, naast de standaard Active Directory-referenties.

Vereisten

Controleer deze lijst met belangrijke vereisten voordat u dit scenario gaat implementeren:

  • Windows 7-clients moeten DCA 2.0 gebruiken ter ondersteuning van OTP.
  • OTP biedt geen ondersteuning voor het wijzigen van de pincode.
  • Beleidswijzigingen buiten de DirectAccess-beheerconsole of met PowerShell-cmdlets worden niet ondersteund.

In dit scenario

Het scenario met OTP-verificatie omvat een aantal stappen:

  1. Eén DirectAccess-server implementeren met geavanceerde instellingen: Eén RAS-server moet worden geïmplementeerd voordat u OTP configureert. Voor het plannen en implementeren van één server moet u een netwerktopologie ontwerpen en configureren, certificaten plannen en implementeren, DNS en Active Directory instellen, RAS-serverinstellingen configureren, DirectAccess-clients implementeren en intranetservers voorbereiden.

  2. Externe toegang met OTP verificatie plannen: Naast de vereiste planning voor één server vereist OTP het plannen van een Microsoft-certificeringsinstantie (CA) en certificaatsjablonen voor OTP, en een OTP-server waarvoor RADIUS is ingeschakeld. Planning kan ook een vereiste voor beveiligingsgroepen omvatten waarmee specifieke gebruikers kunnen worden vrijgesteld van geavanceerde verificatie (OTP of smartcard). Zie Een implementatie met meerdere forests configureren voor informatie over de configuratie van OTP in een omgeving met meerdere forests.

  3. DirectAccess met OTP-verificatie configureren: OTP-implementatie bestaat uit een aantal configuratiestappen, waaronder de infrastructuur voorbereiden voor OTP-verificatie, de OTP-server configureren, OTP-instellingen configureren op de RAS-server en DirectAccess clientinstellingen bijwerken.

  4. Problemen met de implementatie van een OTP: In dit gedeelte voor probleemoplossing worden enkele van de meest voorkomende fouten beschreven die zich voordoen bij het implementeren van externe toegang met OTP-verificatie.

Praktische toepassingen

Betere beveiliging: met OTP verhoogt u de beveiliging van uw DirectAccess-implementatie. Een gebruiker heeft OTP-referenties nodig om toegang te krijgen tot het interne netwerk. Een gebruiker verstrekt OTP-referenties via de werkplekverbindingen die beschikbaar zijn in de netwerkverbindingen op de Windows 8-clientcomputer of via DirectAccess-connectiviteitshulp (DCA) op clientcomputers met Windows 7. Het OTP-verificatieproces werkt als volgt:

  1. De DirectAccess-client voert domeinreferenties in om toegang te krijgen tot DirectAccess-infrastructuurservers (via de infrastructuurtunnel). Als er geen verbinding met het interne netwerk beschikbaar is als gevolg van een specifieke IKE-fout, meldt de werkplekverbinding op de clientcomputer aan de gebruiker dat referenties zijn vereist. Op clientcomputers met Windows 7 verschijnt een pop-upvenster waarin om smartcardreferenties wordt gevraagd.

  2. Nadat de OTP-referenties zijn ingevoerd, worden ze via SSL naar de RAS-server verzonden, samen met een verzoek om een kortetermijncertificaat voor smartcardaanmelding.

  3. De RAS-server initieert validatie van de OTP-referenties met de op RADIUS gebaseerde OTP-server.

  4. Als dit lukt, ondertekent de RAS-server de certificaataanvraag met het certificaat van de registratie-instantie en wordt deze teruggestuurd naar de DirectAccess-clientcomputer

  5. De DirectAccess-clientcomputer stuurt de ondertekende certificaataanvraag door naar de CA en slaat het ingeschreven certificaat op voor gebruik door de Kerberos-SSP/AP.

  6. Met behulp van dit certificaat voert de clientcomputer op transparante wijze een standaard Kerberos-verificatie met een smartcard uit.

Rollen en functies in dit scenario

In de volgende tabel ziet u de benodigde functies en onderdelen voor dit scenario:

Functie/onderdeel

Hoe deze dit scenario ondersteunt

Beheer van externe toegang (rol)

Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze rol omvat zowel DirectAccess, dat voorheen een functie was in Windows Server 2008 R2, en Routering en RAS die eerder een rolservice waren onder de serverrol Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen:

  1. DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.

  2. RRAS-routering: functies voor RRAS-routering worden beheerd in de verouderde Routering en RAS-console.

De RAS-rol is afhankelijk van de volgende serverfuncties:

  • IIS-webserver (Internet Information Services): deze functie is vereist om de netwerklocatieserver te configureren, OTP-verificatie te gebruiken en de standaard webtest te configureren.

  • Interne database van Windows: wordt gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

  • De functie wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer.

  • Deze kan desgewenst worden geïnstalleerd op een server die niet de rol van RAS-server vervult. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma’s voor beheer van externe toegang bestaat uit het volgende:

  • GUI en opdrachtregelprogramma's voor externe toegang

  • RAS-module voor Windows PowerShell

Afhankelijkheden zijn:

  • Console Groepsbeleidsbeheer

  • CMAK (Administration Kit voor Verbindingsbeheer) van RAS

  • Windows PowerShell 3.0

  • Grafische beheerprogramma's en infrastructuur

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn:

  • Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.

  • Voor het testen van dit scenario is ten minste één computer met Windows 8 of Windows 7 geconfigureerd als een DirectAccess-client vereist.

  • Een OTP-server die PAP via RADIUS ondersteunt.

  • Een OTP-hardwaretoken of -softwaretoken.

Softwarevereisten

Er gelden een aantal vereisten voor dit scenario:

  1. Softwarevereisten voor implementatie met één server. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor meer informatie.

  2. Naast de softwarevereisten voor één server zijn er enkele specifieke vereisten voor OTP:

    1. Certificeringsinstantie voor IPSec-verificatie: in een OTP-implementatie moet DirectAccess worden geïmplementeerd met IPsec-apparaatcertificaten die zijn uitgegeven door een certificeringsinstantie. IPSec-verificatie waarbij de RAS-server als een Kerberos-proxy wordt gebruikt, wordt niet ondersteund in een OTP-implementatie. Een interne CA is vereist.

    2. Certificeringsinstantie voor OTP-verificatie: een Microsoft Enterprise-CA (met Windows 2003 Server of hoger) is vereist om het OTP-clientcertificaat uit te geven. Dezelfde CA die wordt gebruikt voor het uitgeven van certificaten voor IPSec-verificatie kan worden gebruikt. De CA-server moet beschikbaar zijn via de eerste infrastructuurtunnel.

    3. Beveiligingsgroep: als u gebruikers wilt vrijstellen van geavanceerde verificatie, is een Active Directory-beveiligingsgroep met deze gebruikers vereist.

    4. Vereisten voor de client: voor Windows 8-clientcomputers wordt de NCA-service (assistent voor netwerkverbindingen) gebruikt om te detecteren of OTP-referenties vereist zijn. Als dat het geval is, wordt door DirectAccess-mediabeheer om referenties gevraagd. NCA maakt deel uit van het besturingssysteem Windows 8 en er is geen installatie of implementatie nodig. Voor clientcomputers met Windows 7 is DirectAccess-connectiviteitshulp (DCA) 2.0 vereist. Deze kan worden gedownload via het Microsoft Downloadcentrum.

    5. Houd rekening met het volgende:

      1. OTP-verificatie kan worden gebruikt in combinatie met smartcards en verificatie op basis van TPM (Trusted Platform Module). Als OTP-verificatie wordt ingeschakeld in de beheerconsole voor externe toegang, wordt ook het gebruik van smartcardverificatie ingeschakeld.

      2. Tijdens de RAS-configuratie kunnen gebruikers in een opgegeven beveiligingsgroep worden vrijgesteld van tweeledige verificatie en zich dus alleen verifiëren met een gebruikersnaam en een wachtwoord.

      3. De OTP-modi nieuwe pincode en volgende tokencode worden niet ondersteund

      4. In een RAS-implementatie op meerdere locaties zijn OTP-instellingen globaal en worden ze voor alle toegangspunten toegepast. Als meerdere RADIUS- of CA-servers zijn geconfigureerd voor OTP, worden ze door elke RAS-server gesorteerd op basis van beschikbaarheid en nabijheid.

      5. Wanneer OTP wordt geconfigureerd in een RAS-omgeving met meerdere forests, mogen OTP-CA's alleen afkomstig zijn uit het bronforest en moet certificaatinschrijving worden geconfigureerd tussen forestvertrouwensrelaties. Zie AD CS: Cross-forest Certificate Enrollment with Windows Server 2008 R2 (Engelstalig) voor meer informatie.

      6. Gebruikers die een KEY FOB OTP-token gebruiken, moeten de pincode, gevolgd door de tokencode (zonder scheidingstekens) invoeren in het dialoogvenster DirectAccess OTP. Gebruikers die een PIN PAD OTP-token gebruiken, hoeven alleen de tokencode in te voeren in het dialoogvenster.

      7. Als WEBDAV is ingeschakeld, mag OTP niet worden ingeschakeld.

Bekende problemen

Hier volgen enkele bekende problemen bij het configureren van een OTP-scenario:

  • Bij externe toegang gebruikt wordt een testmechanisme gebruikt om de verbinding met op RADIUS gebaseerde OTP-servers te controleren. In sommige gevallen kan dit ertoe leiden dat de OTP-server een fout geeft. Doe het volgende op de OTP-server om dit probleem te voorkomen:

    • Maak een gebruikersaccount dat overeenkomt met de gebruikersnaam en het wachtwoord die zijn geconfigureerd op de RAS-server voor het testmechanisme. De gebruikersnaam mag geen Active Directory-gebruiker definiëren.

      Standaard is DAProbeUser de gebruikersnaam op de RAS-server en DAProbePass het wachtwoord. Deze standaardinstellingen kunnen worden gewijzigd via de volgende waarden in het register op de RAS-server:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbePass

  • Als u het IPsec-basiscertificaat in een geconfigureerde en actieve DirectAccess-implementatie wijzigt, werkt OTP niet meer. U lost dit probleem op door op elke DirectAccess-server in een Windows PowerShell-venster de volgende opdracht uit te voeren: iisreset