使用 OTP 驗證部署遠端存取
適用於: Windows Server 2012 R2, Windows Server 2012
Windows Server 2012 將 DirectAccess 以及「路由及遠端存取服務」(RRAS) VPN 合併成一個遠端存取角色。 在多個企業案例中,我們可以部署「遠端存取」。 這個概觀會介紹企業案例是如何使用部署 Windows Server 2012 DirectAccess 的一次密碼 (OTP) 使用者驗證。
案例描述
除了標準 Active Directory 驗證以外,在這個案例中,具備 DirectAccess 的遠端存取伺服器還會被設定成使用雙因素 OTP 驗證,來驗證 DirectAccess 用戶端使用者的身分。
必要條件
開始部署這個案例之前,請先檢閱這份重要需求清單:
- 使用進階設定部署單一 DirectAccess 伺服器 必須在 OTP 之前部署。
- Windows 7 用戶端需要使用 DCA 2.0 來支援 OTP。
- OTP 不支援 PIN 變更。
必須部署公開金鑰基礎結構。
如需詳細資訊,請參閱:測試實驗室指南小單元:Windows Server 2012 的基本 PKI。
- 不支援在 DirectAccess 管理主控台以外或使用 PowerShell Cmdlet 來變更原則。
在這個案例中
OTP 驗證案例包含一些步驟:
使用進階設定部署單一 DirectAccess 伺服器 - 設定 OTP 之前,必須先部署一個遠端存取伺服器。 規劃以及部署單一伺服器的過程包含設計和設定網路拓樸、規劃以及部署憑證、設定 DNS 和 Active Directory、設定遠端存取伺服器、部署 DirectAccess 用戶端以及準備內部網路伺服器。
規劃遠端存取使用 OTP 驗證 - 除了需要計劃單一伺服器之外,OTP 需要計劃 Microsoft 憑證授權單位 (CA)、OTP 的憑證範本以及具有 RADIUS 功能的 OTP 伺服器。 規劃也可以要求一定要有安全性群組,讓特定使用者不需要進行增強式 (OTP 或智慧卡) 驗證。 如需在多樹系環境中設定 OTP 的相關資訊,請參閱<設定多樹系部署>。
設定 DirectAccess 使用 OTP 驗證 - OTP 部署由多個設定步驟所組成,包括準備 OTP 驗證的基礎結構、設定 OTP 伺服器、設定遠端存取伺服器的 OTP 設定,以及更新 DirectAccess 用戶端設定。
疑難排解部署 OTP - 此疑難排解章節說明多個在使用 OTP 驗證部署「遠端存取」時最常發生的錯誤。
實際應用
增加安全性 - 使用 OTP,為部署的 DirectAccess 提高安全性。 使用者一定要有 OTP 認證,才能連通內部網路。 使用者可透過 Windows 8 用戶端電腦的網路連線功能中的「工作地點連線」,或者使用 Windows 7 用戶端電腦上的 DirectAccess 連線助理 (DCA),來提供 OTP 憑證。 OTP 驗證程序運作方式如下:
DirectAccess 用戶端會輸入網域認證,以連接 DirectAccess 基礎結構伺服器 (透過基礎結構通道)。 如果因為特定的 IKE 失敗而無法連接內部網路,用戶端電腦上的「工作地方連線」會通知使用者務必準備好認證。 在執行 Windows 7 的用戶端電腦上會顯示一個快顯視窗,要求提供智慧卡認證。
OTP 認證在輸入之後,將會連同短期智慧卡登入憑證的要求,透過 SSL 傳送至遠端存取伺服器。
遠端存取伺服器會開始透過 RADIUS 式 OTP 伺服器,負責 OTP 認證的驗證工作。
如果成功,遠端存取伺服器會使用其登錄授權單位憑證簽署憑證要求,然後傳回至 DirectAccess 用戶端電腦
DirectAccess 用戶端電腦會將已簽署的憑證要求轉送至 CA,並儲存已註冊的憑證供 Kerberos SSP/AP 使用。
使用這個憑證時,用戶端無形中就是在執行標準智慧卡 Kerberos 驗證。
這個案例包含的角色與功能
下表列出本案例必備的角色和功能:
角色/功能 |
如何支援本案例 |
|---|---|
遠端存取管理角色 |
這個角色是利用伺服器管理員主控台安裝和解除安裝。 這個角色包含 DirectAccess (以前是 Windows Server 2008 R2 的功能)、 路由及遠端存取服務 (以前是網路原則與存取服務 (NPAS) 伺服器角色底下的角色服務)。 遠端存取角色包含兩個元件:
遠端存取角色需要以下伺服器功能:
|
遠端存取管理工具功能 |
這個功能的安裝方式如下:
遠端存取管理工具功能包含以下各項:
依存項目包括:
|
硬體需求
本案例需要的硬體如下所示:
一部符合 Windows Server 2012 硬體需求的電腦。
為了測試這個案例,至少一定要有一部執行 Windows 8 或 Windows 7 的電腦設定作 DirectAccess 用戶端。
一部 OTP 伺服器,支援透過 RADIUS 進行 PAP。
OTP 硬體或軟體權杖。
軟體需求
本案例的一些需求:
部署單一伺服器時的軟體需求。 如需詳細資訊,請參閱使用進階設定部署單一 DirectAccess 伺服器。
除單一伺服器的軟體需要之外,還有一些 OTP 相關的需求:
驗證 IPsec 時會用到的 CA - 在部署的 OTP 時,必須使用 CA 簽發的 IPsec 機器憑證去部署 DirectAccess。 在部署的 OTP 中,不支援將遠端存取伺服器當作 Kerberos Proxy,負責驗證工作。 需要內部 CA。
OTP 驗證需要的 CA - 請準備 Microsoft Enterprise CA (在 Windows 2003 Server 或更新的版本上執行), 以簽發 OTP 用戶端憑證。 為了驗證 IPsec 而負責簽發憑證的同一個 CA,也是可以使用的。 CA 伺服器必須可透過第一個基礎結構通道來使用。
安全性群組 - 為了讓使用者免於增強式驗證驗證,一定要有一個 Active Directory 安全性群組包含這些使用者。
用戶端需求 - 對於 Windows 8 用戶端電腦,會使用網路連線助理 (NCA) 服務來偵測是否需要 OTP 認證。 如果它們是 DirectAccess 媒體管理員,則會出現認證的提示。Windows 8 作業系統已經有 NCA,所以不需要安裝或部署。 至於 Windows 7 用戶端電腦,一定要有 DirectAccess 連線助理 (DCA) 2.0。 您可以從 Microsoft 下載中心加以取得。
請注意以下幾點:
OTP 驗證可以與智慧卡和信賴平台模組 (TPM) 式驗證並行使用。 在遠端存取管理主控台中啟用 OTP 驗證,也可以啟用智慧卡驗證。
設定遠端存取伺服器時,指定安全性群組中的使用者可以不用經過雙因素驗證,所以只要輸入使用者名稱/密碼進行驗證即可。
支援 OTP 新的 PIN 以及下一個 tokencode 模式
在遠端存取多站台部署中,OTP 設定是全系統通用的而且會識別所有進入點。 如果為 OTP 設定多個 RADIUS 或 CA 伺服器,每一個遠端存取伺服器就會根據可用性和遠近關係排序它們。
在遠端存取多重樹系環境設定 OTP 時,OTP CA 只能來自資源樹系,而且應該跨樹系設定憑證註冊。 如需詳細資訊,請參閱 AD CS:將跨樹系憑證註冊到 Windows Server 2008 R2。
KEY FOB OTP 權杖使用者應該在 DirectAccess OTP 對話方塊中,插入 PIN 後面的 tokencode (不需要任何分隔字元)。 PIN PAD OTP 權杖使用者只能在對話方塊中插入 tokencode。
如果已啟用 WEBDAV,則不應啟用 OTP。
已知問題
以下是設定 OTP 案例的已知問題:
遠端存取會使用探查機制來驗證 RADIUS 式 OTP 伺服器的連線。 在某些情況下,這可能會導致 OTP 伺服器發出錯誤。 若要避免這個問題,請在 OTP 伺服器上執行下列作業:
建立與遠端存取伺服器上針對探查機制而設定的使用者名稱和密碼相符的使用者帳戶。 此使用者名稱不應定義 Active Directory 使用者。
根據預設,遠端存取伺服器上的使用者名稱會是 DAProbeUser,密碼是 DAProbePass。 這些預設設定可以使用遠端存取伺服器的下列登錄值來修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass
如果您在已設定並執行中的 DirectAccess 部署中變更 IPsec 根憑證,OTP 將會停止運作。 若要解決此問題,請在每個 DirectAccess 伺服器上的 Windows PowerShell 視窗中執行下列命令:iisreset