Pau pra toda obra: Instalação passo a passo do DirectAccess
Só porque você faz parte de um pequeno negócio não significa que você não pode estender sua rede através da Internet com o DirectAccess.
Greg Shields
Meu laptop, sentado aqui neste café, está no meu domínio da empresa. Quando faço duplo clique sobre o h: unidade, vejo os arquivos e pastas em meu servidor de arquivos internos. Se eu executar um gpupdate /force ou wuauclt /detectnow, ele aplica as diretivas de grupo e detecta as atualizações de controladores de domínio interno e servidores de Windows Server Update Services (WSUS). Em suma, estou usando o DirectAccess e amá-la.
Minha empresa é pequena ou empresa de médio porte (SMB) e um SMB notavelmente pequeno em que. Não temos muitos servidores, mas as que temos aqui são extremamente importantes. Tudo o que temos feito para executar o DirectAccess é adicionar um novo servidor e um punhado de configurações. De repente, eu estou no escritório enquanto eu estou aqui neste café — ou em qualquer outro lugar.
DirectAccess? Para uma PME? Sim, é verdade, e colocá-lo juntos foi reconhecidamente menos desafiador do que pensávamos. Não era trivial, mas certamente não era impossível.
Você está pronto para estender com segurança sua LAN para a Internet? Pegue um servidor Windows Server 2008 R2 com duas placas de rede, dois endereços IP públicos consecutivos e este guia para um processo passo a passo, que você pode implementar hoje que vai poder até seu próprio DirectAccess sempre em rede privada virtual (VPN).
Etapa 1: Criar e configurar um servidor DirectAccess
Iniciar o provisionamento de uma máquina de Windows Server 2008 R2 com duas placas de rede. Certificar-se de que é membro do domínio interno do Active Directory. Conecte as duas placas de rede, um para uma sub-rede externa e o outro à rede interna. Em seguida, você vai instalar certificados e os componentes do DirectAccess. Porque este servidor irá colmatar o interior e a rede externa, verifique novamente para certifique-se de todas as atualizações necessárias.
Você também precisará de dois endereços IP consecutivos, estáticos, públicos. Por exemplo, esses dois endereços poderiam ser 98.34.120.34 e 98.34.120.35. O importante é que eles são consecutivos. Obter esses endereços pode ser um desafio para uma pequena loja IT. Você vai precisar de um provedor de Internet que vai trabalhar com você.
Tenha cuidado sobre quais dois endereços você está dado. Há uma pegadinha pouco conhecido relatou na TechNet Library que descreve algumas regras especiais para o DirectAccess considera ser "consecutivos". O console de gerenciamento do DirectAccess classifica em ordem alfabética os endereços IPv4 públicos atribuídos ao adaptador de Internet. Portanto, o DirectAccess não considere os seguintes conjuntos de endereços como consecutivos: w.x.y.9 e w.x.y.10, que são classificados como w.x.y.10, w.x.y.9; w.x.y.99 e w.x.y.100, que são classificados como w.x.y.100, w.x.y.99; w.x.y.1, w.x.y.2 e w.x.y.10, que são classificados como w.x.y.1, w.x.y.10, w.x.y.2. Você precisará usar um conjunto diferente de endereços consecutivos.
Configure os dois endereços externos no adaptador externo do servidor DirectAccess. Faça o mesmo para o endereço interno único no seu adaptador interno. É uma boa idéia para renomear os adaptadores para lembrá-lo qual adaptador corresponde ao qual a conexão. Defina sufixo DNS do adaptador interno para esta conexão para seu sufixo interno.
Etapa 2: Criar registros DNS externos
DirectAccess requer resolução externa para um par de registros DNS A externos. Ambos devem apontar para o primeiro de seus dois endereços IP consecutivos (não o segundo e não ambos). Enquanto ambos irão apontar para o mesmo endereço, apenas um será usado para DirectAccess. O outro vai localizar uma lista de revogação de certificados (CRL) que você vai configurar em breve.
Por exemplo, estes são os dois registros para o meu ambiente: DirectAccess.Company.com e crl.company.com. Talvez você precise trabalhar com seu provedor de Internet para criar esses registros.
Etapa 3: Configurar uma PKI com serviços de certificado do Active Directory
Parte do modelo de segurança do DirectAccess envolve a autenticação mútua usando um certificado serviços public key infrastructure (PKI). Adicione a função Serviços de certificado do Active Directory (ADCS) e o serviço de função de autoridade de certificação (CA) para um servidor disponível, como um DC. Configurar uma autoridade de certificação raiz corporativa, criar uma nova chave privada e aceite os padrões de instalação para concluir a instalação.
Em seguida, você precisará criar um modelo de certificado de servidor Web. No Server Manager, navegue até o papel ADCS e clique em modelos de certificado. Direito-clique o modelo de servidor da Web e escolha Duplicar modelo.
Criar um modelo de Windows Server 2008 Enterprise e abrir o console de propriedades. Na guia tratamento de solicitação, selecione Permitir chave privada a ser exportado. Na guia segurança, conceda os computadores do domínio e grupos de usuários autenticados ler e permissões de registro. Sair do console de propriedades e o direito-clique o modelo que você acabou de criar. Selecione Alterar nomes para dar-lhe um nome amigável.
Adicionar esse modelo à pasta Modelos de certificado de CA, clicando com o botão direito na pasta e escolha novo | Modelo de certificado a ser emitido. Selecionar e emitir o modelo que você acabou de criar.
Etapa 4: Configurar uma CRL no servidor DirectAccess
Os certificados que PKI usa requerem acesso a uma lista de certificados revogados. Esta lista identifica certificados revogados que agora são inválidos. Você deve ser capaz de acessar a CRL de Internet e intranet, portanto o servidor DirectAccess é o anfitrião perfeito.
Comece por instalar o papel IIS com serviços de função padrão. No Gerenciador do IIS, crie um novo Diretório Virtual chamado CRLD que aponta para o caminho C:\inetpub\wwwroot\crld. Habilite o recurso pesquisa no diretório nas propriedades desse diretório virtual.
Em seguida, crie um compartilhar nomeado $ CRLD no caminho C:\inetpub\wwwroot\crld. O CA conceda permissões de controle total de conta de computador no compartilhamento.
Volta na tela de propriedades do diretório virtual, selecione o Editor de configuração e navegue até system.webserver/security/request a filtragem. Uma vez lá, conjunto permitir saída dupla para True.
Em seguida, crie os clientes do caminho que resolverão para localizar a CRL de redes internas e externas. Volta no DC, inicie o console autoridade de certificação e clique com botão direito para exibir propriedades do servidor de CA. Na guia Extensões, selecione a extensão chamada ponto de distribuição de CRL (CDP). Clique em Adicionar e, em seguida, introduza o endereço externo de clientes externos usarão para acessar a CRL.
Meu endereço é http://crl.company.com/crld/ <CaName> <CRLNameSuffix> <DeltaCRLAllowed>. CRL. Vocês serão semelhantes para todos, mas do seu servidor totalmente qualificado domínio Name (FQDN). Marque todas as caixas na parte inferior da página do console. Clique em Adicionar novamente para criar a conexão para os clientes internos. Digite o UNC caminho interno clientes podem usar para acessar a CRL.
Meu caminho é \\crl.company.internal\crld$\ <CaName> <CRLNameSuffix> <DeltaCRLAllowed>. CRL. Como esta conexão interna é onde a CRL é publicada, verificar que as caixas marcadas publicar CRLs para esse local e publicar listas de certificados revogados Delta neste local.
Volta na console do CA, clique em certificados revogados e selecione todas as tarefas | Publica. Se você tiver feito tudo corretamente, você deve ver dois arquivos de CRL aparecem no compartilhamento.
Etapa 5: Instalar certificados no DirectAccess e a rede local servidores
Inicialmente, você criou modelos de certificado. Agora é hora de criar os próprios certificados. O DirectAccess e seu servidor de local de rede interno exigem certificados de servidor da Web para autenticação mútua.
Abra o console de certificados MMC no servidor DirectAccess e navegue até os certificados | Armazenamento pessoal. Botão direito do mouse em certificados e selecione todas as tarefas | Solicite novo certificado. No console de registro de certificado, selecione o certificado que você criou na etapa 3.
Um link será exibida solicitando que você para obter mais informações necessárias para inscrever este certificado. Clique aqui para definir as configurações. Clique no link e selecione a guia do objecto na janela resultante. Adicione um nome comum e um nome DNS alternativo. Este vai ser o FQDN do servidor externo DirectAccess (por exemplo, meu é directaccess.company.com). Clique em OK e, em seguida, registrar para registrar o certificado.
Seu servidor de local de rede (NLS) é um servidor interno que executa a função de IIS. O NLS requer poucos recursos, portanto, você pode instalá-lo com segurança em um servidor existente. Repita o processo descrito anteriormente para instalar o certificado da etapa 3 com o NLS. Haverá uma pequena diferença, porém. Em vez de digitar o FQDN externo do DirectAccess, você precisará fornecer um FQDN resolvido internamente.
Para o meu sistema, criei o nls.company.internal nome e acrescentou que para o DNS como um CNAME para o nome real do servidor do meu NLS. DirectAccess interage com seu NLS em HTTPS, então você precisa criar uma ligação HTTPS para o CNAME no site do IIS padrão.
Etapa 6: Pronto seus clientes com diretiva de grupo
Os clientes DirectAccess requerem algumas configurações de registro automático de firewall e certificado que são mais fáceis de definir usando a diretiva de grupo. A primeira definição cria ICMPv6 de entrada e regras de saída para permitir ping IPv6 suportam para DirectAccess.
No Editor de gerenciamento de diretiva de grupo, navegue até configuração do computador | Políticas | Configurações do Windows | As configurações de segurança | O Firewall do Windows com segurança avançada | Firewall do Windows com segurança avançada. Crie uma nova regra de entrada. Escolha uma regra personalizada, para todos os programas, com ICMPv6 como o tipo de protocolo e solicitação de eco como o tipo de ICMP específico (você vai encontrar isso em configurações de ICMP).
Mapear regra para quaisquer endereços IP locais ou remotos e habilitar a conexão em todos os três perfis. Nomeie sua regra e clique em Concluir. Repita estas etapas para criar uma nova regra de saída com as mesmas configurações.
Você pode criar a segunda configuração de cliente no objeto de diretiva de grupo (GPO) mesmo ou um novo objeto. Desta vez, no Editor de gerenciamento de diretiva de grupo, navegue até configuração do computador | Políticas | Configurações do Windows | As configurações de segurança | Propriedades públicas de diretivas de chave e vista para o cliente de serviços de certificados-registro automático. Defina o modelo de configuração para habilitado, marcar as duas caixas de seleção exibidas e clique em OK.
Você encontrará sua última configuração de diretiva de grupo em diretivas de chave pública | Configurações de solicitação automática de certificado. Com o botão direito e selecione Novo | Pedido automático de certificado. Isso iniciará o assistente o certificado solicitar para instalação automática. Isso informa ao computador os tipos de certificados devem solicitar automaticamente. Selecione o modelo do computador e clicar para concluir o assistente.
Aplica esta diretiva de grupo para seu domínio, para que todos os computadores receberão e aplicar a diretiva. Permitir tempo suficiente para computadores aplicar a diretiva antes de passar para as duas últimas etapas.
Etapa 7: Preparando os serviços de domínio
Há três configurações menores que preparar os serviços de domínio para trabalhar com o DirectAccess. Pela primeira vez, você precisará criar um grupo global. DirectAccess mais tarde irá conceder acesso externo aos membros desse grupo global. Adicione as contas de computador para qualquer cliente que você deseja que conceder acesso.
O servidor DHCP Dynamic Host Configuration Protocol () executa a segunda definição. Se você ainda não implementou o IPv6 em seu ambiente, modificar a configuração do servidor DHCP para desativar o modo sem monitoração de estado do DHCPv6.
A terceira configuração modifica DNS. O DirectAccess usa o Intra-Site Automatic Tunneling endereço Protocol (ISATAP) para alguns da sua comunicação. Esse protocolo é normalmente parte da lista de bloqueio global do servidor DNS. Você terá que remover ISATAP de lista de bloqueios para que ele funcione corretamente. Para remover o ISATAP, navegue para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters em seus servidores DNS e remover a entrada ISATAP. Reinicie seus serviços após fazer essa alteração.
Etapa 8: Instalar o DirectAccess
Com nosso punhado de configurações completas, estamos prontos para instalar o DirectAccess. Você deve fazê-lo através do Gerenciador de servidores. Uma vez instalado, inicie o console de DirectAccess e selecionar o nó de configuração. Configurar o DirectAccess requer quatro etapas:
- Especifica o grupo global contendo as contas de computador que serão concedidas acesso externo.
- Especifica Internet e interfaces de rede interna, bem como a CA e certificado do servidor externo. Isso deve ser fácil se você tiver renomeado suas interfaces e certificados com nomes útil, fácil de lembrar.
- Especifica os servidores de infra-estrutura que podem interagir com clientes externos. Aqui você vai fornecer a URL de NLS, bem como o nome e informações de IPv6 para o DNS, DC e todos os outros servidores você usar para gerenciar clientes, como servidores WSUS ou System Center. Esses servidores devem ter IPv6 habilitado.
- Concluir a configuração, identificando qualquer outro servidor que os clientes externos podem acessar. Estes outros servidores são aqueles que você usa para aplicativos cliente.
A instalação será concluída assim que terminar cada uma destas quatro etapas. Como parte do processo de instalação, o DirectAccess irá criar dois GPOs mais (além do que aqueles você criado anteriormente) que exigem a vinculação ao domínio. Esses GPOs mais configurar a experiência do DirectAccess conectando clientes.
8 Passos para acesso em toda parte
Isso não é trivial, com certeza, mas não é impossível, tampouco. Há muito mais do que um punhado de configurações, mas a parte mais difícil será obter dois endereços estáticos de IP consecutivos de seu provedor de Internet.
Os resultados são absolutamente vale a pena o esforço. Considerando que de hoje em toda parte e sempre em negócios requisitos, DirectAccess apresenta uma excelente solução para manter seus usuários conectados — mesmo para os mais pequenos de redes SMB.
.jpg)
Greg ShieldsMVP, é um parceiro em Concentrated Technology. Obter mais de Shields Jack-of-all-trades dicas e truques em ConcentratedTech.com.