Externe toegang met OTP-verificatie implementeren
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
Windows Server 2012 combineert DirectAccess en RRAS-VPN (Routing and Remote Access Service) in één rol voor externe toegang. Externe toegang kan worden geïmplementeerd in diverse bedrijfsscenario's. Dit overzicht vormt een inleiding in het bedrijfsscenario voor de implementatie van gebruikersverificatie via DirectAccess met een eenmalig wachtwoord (OTP) in Windows Server 2012.
Scenariobeschrijving
In dit scenario wordt een server voor externe toegang waarvoor DirectAccess is ingeschakeld geconfigureerd om gebruikers met DirectAccess-clients te verifiëren met tweeledige verificatie met een eenmalig wachtwoord, naast de standaard Active Directory-referenties.
Vereisten
Controleer deze lijst met belangrijke vereisten voordat u dit scenario gaat implementeren:
- Eén DirectAccess-server implementeren met geavanceerde instellingen moet worden geïmplementeerd voordat u OTP implementeert.
- Windows 7-clients moeten DCA 2.0 gebruiken ter ondersteuning van OTP.
- OTP biedt geen ondersteuning voor het wijzigen van de pincode.
Een infrastructuur met openbare sleutels moet zijn geïmplementeerd.
Zie Test Lab Guide Mini-Module: Basic PKI for Windows Server 2012 (Engelstalig) voor meer informatie.
- Beleidswijzigingen buiten de DirectAccess-beheerconsole of met PowerShell-cmdlets worden niet ondersteund.
In dit scenario
Het scenario met OTP-verificatie omvat een aantal stappen:
Eén DirectAccess-server implementeren met geavanceerde instellingen: Eén RAS-server moet worden geïmplementeerd voordat u OTP configureert. Voor het plannen en implementeren van één server moet u een netwerktopologie ontwerpen en configureren, certificaten plannen en implementeren, DNS en Active Directory instellen, RAS-serverinstellingen configureren, DirectAccess-clients implementeren en intranetservers voorbereiden.
Externe toegang met OTP verificatie plannen: Naast de vereiste planning voor één server vereist OTP het plannen van een Microsoft-certificeringsinstantie (CA) en certificaatsjablonen voor OTP, en een OTP-server waarvoor RADIUS is ingeschakeld. Planning kan ook een vereiste voor beveiligingsgroepen omvatten waarmee specifieke gebruikers kunnen worden vrijgesteld van geavanceerde verificatie (OTP of smartcard). Zie Een implementatie met meerdere forests configureren voor informatie over de configuratie van OTP in een omgeving met meerdere forests.
DirectAccess met OTP-verificatie configureren: OTP-implementatie bestaat uit een aantal configuratiestappen, waaronder de infrastructuur voorbereiden voor OTP-verificatie, de OTP-server configureren, OTP-instellingen configureren op de RAS-server en DirectAccess clientinstellingen bijwerken.
Problemen met de implementatie van een OTP: In dit gedeelte voor probleemoplossing worden enkele van de meest voorkomende fouten beschreven die zich voordoen bij het implementeren van externe toegang met OTP-verificatie.
Praktische toepassingen
Betere beveiliging: met OTP verhoogt u de beveiliging van uw DirectAccess-implementatie. Een gebruiker heeft OTP-referenties nodig om toegang te krijgen tot het interne netwerk. Een gebruiker verstrekt OTP-referenties via de werkplekverbindingen die beschikbaar zijn in de netwerkverbindingen op de Windows 8-clientcomputer of via DirectAccess-connectiviteitshulp (DCA) op clientcomputers met Windows 7. Het OTP-verificatieproces werkt als volgt:
De DirectAccess-client voert domeinreferenties in om toegang te krijgen tot DirectAccess-infrastructuurservers (via de infrastructuurtunnel). Als er geen verbinding met het interne netwerk beschikbaar is als gevolg van een specifieke IKE-fout, meldt de werkplekverbinding op de clientcomputer aan de gebruiker dat referenties zijn vereist. Op clientcomputers met Windows 7 verschijnt een pop-upvenster waarin om smartcardreferenties wordt gevraagd.
Nadat de OTP-referenties zijn ingevoerd, worden ze via SSL naar de RAS-server verzonden, samen met een verzoek om een kortetermijncertificaat voor smartcardaanmelding.
De RAS-server initieert validatie van de OTP-referenties met de op RADIUS gebaseerde OTP-server.
Als dit lukt, ondertekent de RAS-server de certificaataanvraag met het certificaat van de registratie-instantie en wordt deze teruggestuurd naar de DirectAccess-clientcomputer
De DirectAccess-clientcomputer stuurt de ondertekende certificaataanvraag door naar de CA en slaat het ingeschreven certificaat op voor gebruik door de Kerberos-SSP/AP.
Met behulp van dit certificaat voert de clientcomputer op transparante wijze een standaard Kerberos-verificatie met een smartcard uit.
Rollen en functies in dit scenario
In de volgende tabel ziet u de benodigde functies en onderdelen voor dit scenario:
Functie/onderdeel |
Hoe deze dit scenario ondersteunt |
---|---|
Beheer van externe toegang (rol) |
Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze rol omvat zowel DirectAccess, dat voorheen een functie was in Windows Server 2008 R2, en Routering en RAS die eerder een rolservice waren onder de serverrol Services voor netwerkbeleid en -toegang (NPAS). De functie Externe toegang bestaat uit twee onderdelen:
De RAS-rol is afhankelijk van de volgende serverfuncties:
|
De functie Programma's voor beheer van externe toegang |
Deze functie wordt als volgt geïnstalleerd:
De functie Programma’s voor beheer van externe toegang bestaat uit het volgende:
Afhankelijkheden zijn:
|
Hardwarevereisten
De hardwarevereisten voor dit scenario zijn:
Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.
Voor het testen van dit scenario is ten minste één computer met Windows 8 of Windows 7 geconfigureerd als een DirectAccess-client vereist.
Een OTP-server die PAP via RADIUS ondersteunt.
Een OTP-hardwaretoken of -softwaretoken.
Softwarevereisten
Er gelden een aantal vereisten voor dit scenario:
Softwarevereisten voor implementatie met één server. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor meer informatie.
Naast de softwarevereisten voor één server zijn er enkele specifieke vereisten voor OTP:
Certificeringsinstantie voor IPSec-verificatie: in een OTP-implementatie moet DirectAccess worden geïmplementeerd met IPsec-apparaatcertificaten die zijn uitgegeven door een certificeringsinstantie. IPSec-verificatie waarbij de RAS-server als een Kerberos-proxy wordt gebruikt, wordt niet ondersteund in een OTP-implementatie. Een interne CA is vereist.
Certificeringsinstantie voor OTP-verificatie: een Microsoft Enterprise-CA (met Windows 2003 Server of hoger) is vereist om het OTP-clientcertificaat uit te geven. Dezelfde CA die wordt gebruikt voor het uitgeven van certificaten voor IPSec-verificatie kan worden gebruikt. De CA-server moet beschikbaar zijn via de eerste infrastructuurtunnel.
Beveiligingsgroep: als u gebruikers wilt vrijstellen van geavanceerde verificatie, is een Active Directory-beveiligingsgroep met deze gebruikers vereist.
Vereisten voor de client: voor Windows 8-clientcomputers wordt de NCA-service (assistent voor netwerkverbindingen) gebruikt om te detecteren of OTP-referenties vereist zijn. Als dat het geval is, wordt door DirectAccess-mediabeheer om referenties gevraagd. NCA maakt deel uit van het besturingssysteem Windows 8 en er is geen installatie of implementatie nodig. Voor clientcomputers met Windows 7 is DirectAccess-connectiviteitshulp (DCA) 2.0 vereist. Deze kan worden gedownload via het Microsoft Downloadcentrum.
Houd rekening met het volgende:
OTP-verificatie kan worden gebruikt in combinatie met smartcards en verificatie op basis van TPM (Trusted Platform Module). Als OTP-verificatie wordt ingeschakeld in de beheerconsole voor externe toegang, wordt ook het gebruik van smartcardverificatie ingeschakeld.
Tijdens de RAS-configuratie kunnen gebruikers in een opgegeven beveiligingsgroep worden vrijgesteld van tweeledige verificatie en zich dus alleen verifiëren met een gebruikersnaam en een wachtwoord.
De OTP-modi nieuwe pincode en volgende tokencode worden niet ondersteund
In een RAS-implementatie op meerdere locaties zijn OTP-instellingen globaal en worden ze voor alle toegangspunten toegepast. Als meerdere RADIUS- of CA-servers zijn geconfigureerd voor OTP, worden ze door elke RAS-server gesorteerd op basis van beschikbaarheid en nabijheid.
Wanneer OTP wordt geconfigureerd in een RAS-omgeving met meerdere forests, mogen OTP-CA's alleen afkomstig zijn uit het bronforest en moet certificaatinschrijving worden geconfigureerd tussen forestvertrouwensrelaties. Zie AD CS: Cross-forest Certificate Enrollment with Windows Server 2008 R2 (Engelstalig) voor meer informatie.
Gebruikers die een KEY FOB OTP-token gebruiken, moeten de pincode, gevolgd door de tokencode (zonder scheidingstekens) invoeren in het dialoogvenster DirectAccess OTP. Gebruikers die een PIN PAD OTP-token gebruiken, hoeven alleen de tokencode in te voeren in het dialoogvenster.
Als WEBDAV is ingeschakeld, mag OTP niet worden ingeschakeld.
Bekende problemen
Hier volgen enkele bekende problemen bij het configureren van een OTP-scenario:
Bij externe toegang gebruikt wordt een testmechanisme gebruikt om de verbinding met op RADIUS gebaseerde OTP-servers te controleren. In sommige gevallen kan dit ertoe leiden dat de OTP-server een fout geeft. Doe het volgende op de OTP-server om dit probleem te voorkomen:
Maak een gebruikersaccount dat overeenkomt met de gebruikersnaam en het wachtwoord die zijn geconfigureerd op de RAS-server voor het testmechanisme. De gebruikersnaam mag geen Active Directory-gebruiker definiëren.
Standaard is DAProbeUser de gebruikersnaam op de RAS-server en DAProbePass het wachtwoord. Deze standaardinstellingen kunnen worden gewijzigd via de volgende waarden in het register op de RAS-server:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbePass
Als u het IPsec-basiscertificaat in een geconfigureerde en actieve DirectAccess-implementatie wijzigt, werkt OTP niet meer. U lost dit probleem op door op elke DirectAccess-server in een Windows PowerShell-venster de volgende opdracht uit te voeren: iisreset