Meister aller Klassen: Installation von DirectAccess in mehreren Schritten
Nur weil Sie Teil eines kleinen Unternehmens sind, bedeutet nicht, dass Sie Ihr Netzwerk über das Internet mit DirectAccess erweitern können nicht.
Greg Shields
Mein Laptop, hier in diesem Café, sitzen ist auf meiner Firma Domain. Wenn ich den H: Doppelklicken Laufwerk, sehe ich die Dateien und Ordner auf meine interne Datei-Server. Wenn ich ein Gpupdate/force oder Wuauclt/detectnow ein laufen, es gilt Gruppenrichtlinien und erkennt Updates vom internen Domänencontroller und Windows Server Update Services (WSUS)-Server. Kurz gesagt, bin ich mit DirectAccess und lieben es.
Meine Firma ist eine kleine und mittelständische Unternehmen (KMU) und ein bemerkenswert kleine SMB dazu. Wir haben nicht viele Server, aber die, die wir haben, sind äußerst wichtig. Alles, was wir getan haben, um das Ausführen von DirectAccess ist ein neuer Server und eine Handvoll von Konfigurationen hinzufügen. Plötzlich, ich bin im Büro, während ich hier in diesem Kaffee Shop — oder anderswo.
DirectAccess? Für KMUs? Ja, ja, und setzen sie zusammen war zwar weniger an, als wir dachten. Es war nicht trivial, aber es war sicherlich nicht unmöglich.
Sind Sie bereit, Ihrem LAN auf das Internet sicher zu erweitern? Schnappen Sie sich einen Windows Server 2008 R2-Server mit zwei Netzwerkkarten, zwei aufeinander folgende öffentliche IP-Adressen und diese Anleitung für einen schrittweisen Prozess heute, dass Willenskraft bis eigener DirectAccess-virtuelles privates Netzwerk (VPN) implementiert werden können.
Schritt 1: Erstellen und bereitstellen ein DirectAccess-Server
Start durch Bereitstellung eines Windows Server 2008 R2-Computers mit zwei Netzwerkkarten. Stellen Sie sicher, dass es ein Mitglied Ihrer internen Active Directory-Domäne ist. Die zwei Netzwerkkarten, zu einem externen Subnetz und die andere mit dem internen Netzwerk herstellen. Als nächstes werden Sie Zertifikate und die DirectAccess-Komponenten installieren. Weil dieser Server die inneren und äußeren Netzwerk Brücke wird, überprüfen Sie erneut, um sicherzustellen, dass sie alle erforderlichen Updates hat.
Sie müssen auch zwei aufeinander folgende, statische öffentliche IP-Adressen. Beispielsweise könnte diese zwei Adressen 98.34.120.34 und 98.34.120.35. Das wichtigste ist, dass sie in Folge sind. Diese Adressen können für eine kleine IT-Abteilung eine Herausforderung sein. Sie benötigen einen Internetanbieter, die mit Ihnen arbeiten.
Seien Sie vorsichtig über die beiden Adressen Sie gegeben sind. Es ist eine wenig bekannte Gotcha berichtet in der TechNet Library , die skizziert einige Sonderregeln für was DirectAccess als "hintereinander." Alphabetisch sortiert die DirectAccess-Verwaltungskonsole die öffentlichen IPv4-Adressen, die dem Internet-Adapter zugewiesen. DirectAccess berücksichtigt daher nicht die folgenden Sätze von aufeinander folgenden Adressen: w.x.y.9 und w.x.y.10, die als w.x.y.10 sortiert sind, w.x.y.9; w.x.y.99 und w.x.y.100, die als w.x.y.100 sortiert sind, w.x.y.99; w.x.y.1, w.x.y.2 und w.x.y.10, die als w.x.y.1, w.x.y.10, w.x.y.2 sortiert sind. Sie müssen eine andere Gruppe aufeinander folgender Adressen verwenden.
Konfigurieren Sie die zwei externen Adressen für den externen Adapter des DirectAccess-Servers. Machen Sie dasselbe für die einzelnen internen Adresse auf seine internen Adapter. Es ist eine gute Idee, benennen den Adapter, um Sie daran erinnern, welcher Adapter welche Verbindung entspricht. Legen Sie den internen Adapter-DNS-Suffix für diese Verbindung auf Ihre internen Suffix.
Schritt 2: Externe DNS-Datensätze erstellen
Für DirectAccess sind externe Auflösung für ein paar externe DNS A-Datensätze erforderlich. Beide zeigen sollten Sie auf die erste der zwei aufeinander folgenden IP-Adressen (nicht die zweite, und nicht beide). Während beide auf die gleiche Adresse verweisen werden, wird nur für DirectAccess verwendet werden. Andererseits wird eine Zertifikatwiderrufsliste (CRL) suchen, die Sie in Kürze eingerichtet werden.
Beispielsweise sind die beiden A-Einträge für meine Umgebung: DirectAccess.Company.com und crl.company.com. Möglicherweise arbeiten Sie mit Ihrem Internet-Provider diese A-Datensätze erstellen.
Schritt 3: Richten Sie eine PKI mit Active Directory-Zertifikatdienste
Das DirectAccess-Sicherheitsmodell gehört die gegenseitigen Authentifizierung mit eine Certificate Services public Key-Infrastruktur (PKI). Die Active Directory Certificate Services (ADCS) Rolle und Rollendienst (Certification Authority, CA) auf einem verfügbaren Server, wie z. B. ein DC hinzufügen. Als eine Unternehmens-Stammzertifizierungsstelle richten Sie ein, erstellen Sie einen neuen privaten Schlüssel, und akzeptieren Sie die Standardeinstellungen der Installation um die Installation abzuschließen.
Als nächstes müssen Sie eine Vorlage für das Webserverzertifikat zu erstellen. Navigieren Sie im Server-Manager zu der Rolle des ADCS und klicken Sie dann auf Zertifikatvorlagen. Maustaste auf die Web Server-Vorlage und wählen Sie Doppelte Vorlage.
Erstellen Sie eine Windows Server 2008 Enterprise-Vorlage und bringen Sie die Konsole "Eigenschaften". Wählen Sie unter der Registerkarte Anforderungsverarbeitung exportiert werden von privatem Schlüssel zulassen aus. Unter der Registerkarte Sicherheit die Domänencomputer und authentifizierte Benutzer Gruppen lesen und registrieren Berechtigungen zu erteilen. Beenden Sie die Konsole "Eigenschaften" und mit der rechten Maustaste der Vorlage, die Sie gerade erstellt haben. Wählen Sie Namen geben einen Anzeigenamen ändern.
Hinzufügen die Vorlage zu Ihrem CA Certificate Templates-Ordner durch Rechtsklick auf den Ordner und wählen Sie New | Auf Auszustellende Zertifikatvorlage. Wählen Sie und geben Sie die Vorlage, die Sie gerade erstellt haben.
Schritt 4: Richten Sie eine CRL auf dem DirectAccess-Server
Die Zertifikate von die eine PKI verwendet benötigen Zugriff auf eine Zertifikatsperrliste. Diese Liste gibt gesperrte Zertifikate, die jetzt ungültig sind. Sie müssen in der Lage, auf die Zertifikatsperrliste zugreifen aus dem Internet und Intranet, also der DirectAccess-Server der perfekte Gastgeber ist sein.
Starten Sie die IIS-Rolle mit Standardrollendienste installieren. Erstellen Sie im IIS-Manager ein neues virtuelles Verzeichnis mit dem Namen CRLD, die auf den Pfad C:\inetpub\wwwroot\crld verweist. Aktivieren Sie das Feature Verzeichnis durchsuchen in den Eigenschaften des virtuellen Verzeichnisses.
Als Nächstes erstellen Sie eine Freigabe mit dem Namen CRLD$ auf dem Weg C:\inetpub\wwwroot\crld. Erteilen der CA Computer Konto Vollzugriff auf die Freigabe.
Zurück in das virtuelle Verzeichnis Eigenschaften Bildschirm, wählen Sie den Configuration Editor und navigieren Sie zu system.webserver/security/request filtern. Einmal dort, kann doppelte Escapezeichen auf true fest.
Erstellen Sie als nächstes die Pfad-Clients, die aufgelöst wird, um die CRL von internen und externen Netzwerken zu finden. Zurück auf dem DC die Zertifizierungsstelle-Konsole starten und mit der rechten Maustaste auf die CA-Server-Eigenschaften anzuzeigen. Wählen Sie auf der Registerkarte Erweiterungen die Erweiterung (CRL Distribution Point, CDP) genannt. Klicken Sie auf hinzufügen, und geben Sie die externe Adresse verwendete externe Clients die Zertifikatsperrliste Zugriff auf.
Meine Adresse ist http://crl.company.com/crld/ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> CRL. Ihnen wird ähnlich für alle aber Ihr Server vollständig qualifizierten Domänennamen (FQDN) sein. Überprüfen Sie alle Felder am unteren Rand der Seite der Konsole. Klicken Sie auf Hinzufügen zum Erstellen der Verbindungs für interne Clients erneut. Geben Sie den UNC Pfad interne Clients können Sie die CRL zuzugreifen.
Mein Weg ist \\crl.company.internal\crld$\ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> CRL. Da diese interne Verbindung wo die Zertifikatsperrliste veröffentlicht ist ist, überprüfen Sie die markierten Felder Veröffentlichen von CRLs auf dieser Position und Deltasperrlisten veröffentlichen an diesem Speicherort.
Zurück in der CA-Konsole Maustaste auf gesperrte Zertifikate, und wählen Sie alle Tasks | Veröffentlichen. Wenn Sie alles richtig getan haben, sollten Sie zwei CRL Dateien in der Freigabe angezeigt.
Schritt 5: Installieren von Zertifikaten auf dem DirectAccess und Network Location Server
Früher haben Sie Zertifikatvorlagen erstellt. Jetzt ist es Zeit, die Zertifikate selbst erstellen. Der DirectAccess- und seine internen Network Location Server benötigen Webserverzertifikate für die gegenseitige Authentifizierung.
Öffnen Sie die MMC-Konsole Zertifikate auf dem DirectAccess-Server und navigieren Sie zu Zertifikate | Persönlichen Speicher. Mit der rechten Maustaste auf Zertifikate, und wählen Sie alle Tasks | Neues Zertifikat anfordern. Die Zertifikatregistrierung-Konsole wählen Sie das Zertifikat, das Sie in Schritt 3 erstellt haben.
Ein Link wird angezeigt, woraufhin Sie für weitere Informationen erforderlich, um für dieses Zertifikat registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren. Klicken Sie auf den Link und wählen Sie die Thema Registerkarte in dem daraufhin angezeigten Fenster. Fügen Sie einen gemeinsamen Namen und einen alternativen DNS-Namen. Letztere werden externe DirectAccess-FQDN des Servers (z. B. mine ist directaccess.company.com). Klicken Sie auf OK, dann registrieren um das Zertifikat zu registrieren.
Ihre Network Location Server (NLS) ist eine interne Server mit der IIS-Rolle. Die NLS erfordert nur wenige Ressourcen, damit Sie sie sicher auf einem vorhandenen Server installieren können. Wiederholen Sie den zuvor beschriebenen Vorgang zum Installieren des Zertifikats von Schritt 3 auf der NLS. Gibt es einen leichten Unterschied, obwohl. Statt der externen DirectAccess-FQDN eingeben, müssen Sie einen intern auflösbaren vollqualifizierten Domänennamen zur Verfügung zu stellen.
Für mein System ich den Namen nls.company.internal erstellt und als einen CNAME für den tatsächlichen Servernamen über meine NLS hinzugefügt, die DNS. DirectAccess interagiert mit seiner NLS über HTTPS, so Sie eine HTTPS-Bindung für die CNAME auf der IIS-Standardwebsite erstellt müssen.
Schritt 6: Die Clients mithilfe der Gruppenrichtlinie bereit
DirectAccess-Clients erfordern einige Firewall- und Zertifikat automatische Registrierung-Einstellungen, die am einfachsten mithilfe von Gruppenrichtlinien festgelegt werden. Die erste Einstellung erstellt ICMPv6 eingehende und ausgehende Regeln aktivieren Sie IPv6 Ping Unterstützung für DirectAccess.
In der Gruppenrichtlinienverwaltungs-Editor, navigieren Sie zu Computerkonfiguration | Politik | Windows-Einstellungen | Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit | Windows-Firewall mit erweiterter Sicherheit. Erstellen Sie eine neue eingehende Regel. Wählen Sie eine benutzerdefinierte Regel für alle Programme, mit ICMPv6 als Protokolltyp und Echo-Anfrage als bestimmte ICMP-Typ (Sie finden diese unter ICMP-Einstellungen).
Diese Regel keine lokalen oder remote-IP-Adressen zuordnen und die Verbindung auf jedes der drei Profile zu aktivieren. Geben Sie der Regel einen Namen, und klicken Sie auf Fertig stellen. Wiederholen Sie diese Schritte, um eine neue ausgehende Regel mit den gleichen Einstellungen zu erstellen.
Sie können die zweite Clientkonfiguration in der gleichen Gruppenrichtlinienobjekt (GPO) oder ein neues Objekt erstellen. Diese Zeit, in der Gruppenrichtlinienverwaltungs-Editor, navigieren Sie zu Computerkonfiguration | Politik | Windows-Einstellungen | Sicherheitseinstellungen | Öffentlichen Schlüssel Richtlinien und Ansicht Eigenschaften für Zertifikatdiensteclient-automatische Registrierung. Legen Sie die Konfigurationsmodell auf aktiviert, überprüfen die zwei Kontrollkästchen, die angezeigt werden, und klicken Sie auf OK.
Hier finden Sie Ihre letzte Einstellung für die Gruppenrichtlinien unter Richtlinien öffentlicher Schlüssel | Einstellungen für die automatische Zertifikatanforderung. Mit der rechten Maustaste und wählen Sie neu | Automatische Zertifikatanforderung. Dadurch wird der automatische Zertifikat anfordern Setup-Assistent gestartet. Dies sagt dem Computer die Arten von Zertifikaten, die es automatisch anfordern soll. Wählen Sie die Vorlage Computer und klicken Sie, um den Assistenten zu beenden.
Gelten Sie diese Gruppenrichtlinie zu Ihrer Domäne, damit alle Computer empfangen und der Richtlinie anwenden werden. Ermöglichen Sie genug Zeit für Computer um die Richtlinie anzuwenden, bevor Sie mit den letzten beiden Schritten.
Schritt 7: Vorbereiten der Domänendienste
Es gibt drei kleinere Einstellungen, die für das Arbeiten mit DirectAccess-Domänendienste vorzubereiten. Für den ersten müssen Sie eine globale Gruppe erstellen. DirectAccess wird später an die Mitglieder dieser globalen Gruppe externen Zugriff gewähren. Fügen Sie die Computerkonten für alle Clients, die Sie Zugriff gewähren möchten.
Ihre Dynamic Host Configuration Protocol (DHCP) Server führt die zweite Einstellung. Wenn Sie IPv6 noch nicht in Ihrer Umgebung implementiert, Ändern des DHCP-Servers auf statusfreien DHCPv6-Modus deaktivieren.
Die dritte Einstellung ändert DNS. In DirectAccess werden die Intra-Site Automatic Tunneling Adresse Protocol (ISATAP) für einige ihrer Mitteilung. Dieses Protokoll ist normalerweise Teil eines DNS-Servers global Block List. Sie müssen entfernen Sie ISATAP aus der Sperrliste für es ordnungsgemäß funktioniert. Um ISATAP zu entfernen, navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters auf DNS-Servern und entfernen Sie den ISATAP-Eintrag. Starten Sie seine Dienste neu, nachdem Sie diese Änderung vorgenommen.
Schritt 8: Installieren von DirectAccess
Mit unserer Handvoll Konfigurationen abgeschlossen sind wir bereit, DirectAccess installieren. Sie sollten dies tun, über den Server-Manager. Einmal installiert, starten Sie die DirectAccess-Verwaltungskonsole, und wählen Sie den Knoten Setup. Einrichten von DirectAccess erfordert vier Schritte:
- Geben Sie die globale Gruppe, die die Computerkonten enthält, die externen Zugriff gewährt wird.
- Das Internet und interne Netzwerk-Schnittstellen, sowie CA und externe Serverzertifikat angeben. Dies sollte einfach, wenn Sie Ihre Schnittstellen und Zertifikate mit nützlich, einfach zu merkenden Namen umbenannt haben.
- Geben Sie die Infrastrukturserver, die interagieren können mit externen Kunden. Hier bieten Sie die NLS-URL, sowie den Namen und die IPv6-Informationen für die DNS, DC und andere Server, dass Clients wie WSUS oder System Center Server verwalten können. Diese Server müssen alle IPv6 aktiviert haben.
- Beenden Sie die Konfiguration durch die Identifizierung von anderen Servers, auf die externe Clients zugreifen können. Diese Server sind diejenigen, die Sie für Client-Anwendungen verwenden.
Die Installation wird abgeschlossen, wenn Sie diese vier Schritte abgeschlossen haben. Als Teil des Installationsvorgangs wird DirectAccess zwei weitere Gruppenrichtlinienobjekte (zusätzlich zu denen Sie zuvor erstellt haben) erstellen, die Verknüpfung mit der Domäne benötigen. Diese GPOs weiter konfigurieren die DirectAccess-Erfahrung Verbinden von Clients.
8 Schritte zur überall Zugriff
Dies ist nicht trivial, sicher, aber es ist nicht unmöglich. Es gibt mehr als eine Handvoll von Konfigurationen, aber der schwierigste Teil wird die zwei statischen aufeinander folgenden IP-Adressen von Ihrem Internet-Anbieter erhalten.
Die Ergebnisse sind absolut gelohnt. Angesichts der heutigen überall und immer auf Geschäftsanforderungen, DirectAccess stellt eine ausgezeichnete Lösung für Ihre Benutzer zu halten verbunden — auch für die kleinsten der SMB-Netzwerken.
.jpg)
Greg ShieldsMVP, ist Partner bei Concentrated Technology. Mehr von Shields Hansdampf in allen Gassen-Tipps und Tricks bei ConcentratedTech.com.