Touche-à-tout informatique : Installation pas à pas de DirectAccess
Juste parce que vous faites partie d'une petite entreprise ne veut pas dire que vous ne pouvez pas étendre votre réseau sur Internet avec DirectAccess.
Greg Shields
Mon ordinateur portable, assis ici dans ce café, est le domaine de mon entreprise. Quand je double-cliquez le H: lecteur, je vois les fichiers et dossiers sur mon serveur de fichier interne. Si je fais tourner un /detectnow de gpupdate /force ou wuauclt, il applique des stratégies de groupe et détecte les mises à jour de contrôleurs internes et des serveurs Windows Server Update Services (WSUS). En bref, je suis à l'aide de DirectAccess et adore ça.
Mon entreprise est une petites et moyennes entreprises (PME) et un SMB remarquablement petit à qui. Nous n'avons pas beaucoup de serveurs, mais ceux qui que nous avons sont extrêmement importantes. Tout ce que nous avons fait exécuter DirectAccess est ajouter un nouveau serveur et une poignée de configurations. Tout à coup, je suis au bureau, alors que je suis ici dans ce café — ou n'importe où ailleurs.
DirectAccess ? Pour une PME ? Oui, en effet, et vue d'ensemble est certes moins difficile qu'on ne le pensait. Ce n'est pas négligeable, mais ce n'est certainement pas impossible.
Vous êtes prêt à étendre en toute sécurité votre LAN sur Internet ? Prenez un serveur Windows Server 2008 R2 avec deux cartes réseau, deux adresses consécutives d'IP publiques et ce guide pour un processus étape par étape, que vous pouvez implémenter cette volonté aujourd'hui jusqu'à votre propre DirectAccess toujours-le réseau privé virtuel (VPN).
Étape 1 : Construire et de fournir un serveur DirectAccess
Commencez par la fourniture d'une machine Windows Server 2008 R2 avec deux cartes réseau. Assurez-vous qu'il est un membre de votre domaine Active Directory interne. Relier les deux cartes réseau, un à un sous-réseau externe et l'autre à votre réseau interne. Ensuite, vous allez installer les certificats et les composants de DirectAccess. Parce que ce serveur comblera le réseau de l'extérieur et intérieur, revérifier pour s'assurer qu'elle a toutes les mises à jour requises.
Vous aurez également besoin de deux consécutifs, statiques, publics les adresses IP. Par exemple, ces deux adresses pourraient être 98.34.120.34 et 98.34.120.35. L'important, c'est qu'ils sont consécutifs. Ces adresses peut être un défi pour une petite boutique d'informatique. Vous aurez besoin d'un fournisseur Internet qui travaille avec vous.
Soyez prudent sur les deux adresses vous êtes donné. Il y a un piège n peu connu signalé dans la bibliothèque TechNet qui énonce des règles spéciales pour que DirectAccess considère « consécutifs. » La console de gestion de DirectAccess trie par ordre alphabétique les adresses IPv4 publiques attribuées à la carte de l'Internet. Par conséquent, DirectAccess ne considère les ensembles suivants d'adresses comme consécutives : w.x.y.9 et w.x.y.10, qui sont classés comme w.x.y.10, w.x.y.9 ; w.x.y.99 et w.x.y.100, qui sont classés comme w.x.y.100, w.x.y.99 ; w.x.y.1, w.x.y.2 et w.x.y.10, qui sont classés comme w.x.y.1, w.x.y.10, w.x.y.2. Vous aurez besoin d'utiliser un ensemble différent d'adresses consécutives.
Configurer les deux adresses externes sur la carte externe de votre serveur DirectAccess. Faire de même pour l'unique adresse interne sur la carte interne. C'est une bonne idée de renommer les adaptateurs pour vous rappeler quelle carte correspond à quelle connexion. Définissez le suffixe DNS pour cette connexion de la carte interne votre suffixe interne.
Étape 2 : Créer un enregistrement DNS externe
DirectAccess nécessite résolution externe pour une paire d'enregistrements DNS A externes. Les deux doivent pointer vers le premier de vos deux adresses IP consécutives (pas à la seconde et pas à la fois). Alors que les deux pointera vers la même adresse, un seul sera utilisé pour DirectAccess. L'autre localisera un certificat de révocation liste (CRL) que vous aurez mis en place peu de temps.
Par exemple, ce sont les deux enregistrements a pour mon environnement : directaccess.Company.com et crl.company.com. Vous devrez peut-être travailler avec votre fournisseur Internet pour créer ces enregistrements de A.
Étape 3 : Mettre en place une ICP avec les Services de certificat Active Directory
Le modèle de sécurité de DirectAccess implique l'authentification mutuelle, à l'aide d'une infrastructure à clé publique Services de certificats (ICP). Ajouter le rôle Active Directory certificat Services (ADC) et le service de rôle d'autorité de Certification (AC) à un serveur disponible, tel qu'un contrôleur de domaine. Mis en place comme un CA racine de l'entreprise, de créer une nouvelle clé privée et accepter les valeurs par défaut d'installation pour terminer l'installation.
Ensuite, vous aurez besoin créer un modèle de certificat de serveur Web. Dans le gestionnaire de serveur, naviguez vers le rôle de l'ADC et cliquez sur modèles de certificats. Un clic droit sur le modèle de serveur Web et choisissez modèle à dupliquer.
Créer un modèle de Windows Server 2008 Enterprise et font remonter la console de propriétés. Sous l'onglet traitement de demande, sélectionnez autoriser la clé privée à exporter. Sous l'onglet sécurité, accordez les ordinateurs du domaine et les groupes d'utilisateurs authentifiés lecture et autorisations d'inscription. Sortie de la console de propriétés et cliquez sur le modèle que vous venez de créer. Sélectionnez les noms de changement pour lui donner un nom convivial.
Ajouter ce modèle dans votre dossier modèles de certificats CA en cliquant le dossier et en choisissant New | Modèle de certificat à la question. Sélectionnez et délivrer le modèle que vous venez de créer.
Étape 4 : Mettre en place une CRL sur le serveur DirectAccess
Les certificats QU'ICP utilise nécessitent l'accès à une CRL. Cette liste énumère les certificats révoqués qui sont maintenant invalides. Vous devez être en mesure d'accéder à la CRL de l'Internet et l'intranet, votre serveur DirectAccess est l'hôte parfait.
Commencez par installer le rôle IIS avec les services de rôle par défaut. Dans le gestionnaire IIS, créez un nouveau répertoire virtuel nommé CRLD qui pointe vers le chemin d'accès C:\inetpub\wwwroot\crld. Activer la fonctionnalité de navigation de répertoire dans les propriétés de ce répertoire virtuel.
Ensuite, créez un partage nommé CRLD$ sur le chemin d'accès C:\inetpub\wwwroot\crld. Accorder des autorisations de contrôle total compte informatique sur le partage de CA.
Retour dans l'écran des propriétés du répertoire virtuel, sélectionnez l'éditeur de Configuration et naviguez jusqu'à system.webserver/security/request filtrage. Une fois là, ensemble permettent à Double échapper à True.
Ensuite, créez les clients de chemin d'accès qui résoudront pour trouver de la CRL de réseaux internes et externes. Retour sur le DC, lancer la console Autorité de Certification et cliquez pour afficher les propriétés du serveur de la CA. Sous l'onglet Extensions, sélectionnez l'extension appelée Point de Distribution CRL (CDP). Cliquez sur Ajouter, puis entrez l'adresse externe extérieur clients utilisent pour accéder à la CRL.
Mon adresse est http://crl.company.com/crld/ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> .crl. Vôtre sera semblable pour tous, mais votre serveur domaine nom (FQDN). Cocher toutes les cases au bas de la page de la console. Cliquez sur Ajouter pour créer la connexion pour les clients internes. Entrez l'UNC chemin interne clients peuvent utiliser pour accéder à la CRL.
Mon chemin est \\crl.company.internal\crld$\ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> .crl. Car cette connexion interne est où la LCR est publié, cochez que les cases marquées LCR de publier à cet emplacement et publier Delta CRLs à cet endroit.
Retour dans la console CA, clic droit sur certificats révoqués et sélectionnez toutes les tâches | Publier. Si vous avez tout fait correctement, vous devriez voir deux fichiers LCR apparaissent dans le partage.
Étape 5 : Installer les certificats sur DirectAccess pour les serveurs d'emplacement réseau
Plus tôt vous avez créé des modèles de certificats. Il est maintenant temps de créer les certificats eux-mêmes. La DirectAccess et son serveur d'emplacement réseau interne exigent des certificats de serveur Web pour l'authentification mutuelle.
Ouvrez la console MMC certificats sur le serveur DirectAccess et accédez aux certificats | Magasin personnel. Cliquez sur certificats et sélectionnez toutes les tâches | Demande de nouveau certificat. Dans la console d'inscription de certificat, sélectionnez le certificat que vous avez créé à l'étape 3.
Un lien apparaîtra vous invite pour plus de renseignements requis pour s'inscrire à ce certificat. Cliquez ici pour configurer les paramètres. Cliquez sur le lien et sélectionnez l'onglet d'objet dans la fenêtre qui en résulte. Ajouter un nom commun et un nom DNS. Ce dernier sera FQDN de DirectAccess externe de votre serveur (par exemple, la mine est directaccess.company.com). Cliquez sur OK, puis inscrire pour s'inscrire au certificat.
Votre serveur d'emplacement réseau (NLS) est un serveur interne le rôle IIS en cours d'exécution. Le SNA nécessite peu de ressources, donc vous pouvez l'installer en toute sécurité sur un serveur existant. Répétez le processus décrit précédemment pour installer le certificat de l'étape 3 sur le SNA. Il y aura une légère différence, bien que. Au lieu d'entrer le FQDN de DirectAccess externe, vous devrez fournir un FQDN interne résolubles.
Pour mon système, je créé le nls.company.internal de nom et ajouté à la DNS comme un CNAME pour le nom de serveur réel de mon NLS. DirectAccess interagit avec son NLS https, donc vous aurez besoin pour créer une liaison HTTPS pour ce CNAME sur le site Web par défaut de IIS.
Étape 6 : Prêts de vos Clients avec la stratégie de groupe
Les clients DirectAccess nécessitent certains paramètres pare-feu et certificat d'auto-enrollment qui sont plus faciles à définir à l'aide de la stratégie de groupe. Le premier paramètre crée ICMPv6 entrant et règles sortantes pour activer ping IPv6 soutiennent DirectAccess.
Dans le groupe politique gestion éditeur, accédez à la Configuration de l'ordinateur | Politiques | Paramètres Windows | Paramètres de sécurité | Pare-feu Windows avec sécurité avancée | Pare-feu Windows avec sécurité avancée. Créer une nouvelle règle de trafic entrant. Choisir une règle personnalisée, pour tous les programmes, avec ICMPv6 comme le type de protocole et de la demande d'écho que le type ICMP spécifique (vous trouverez ceci sous paramètres ICMP).
Carte de cette règle à toutes les adresses IP locales ou distantes et permettre la connexion sur tous les profils de trois. Donnez un nom à votre règle, puis cliquez sur Terminer. Répétez ces étapes pour créer une nouvelle règle de trafic sortant avec les mêmes paramètres.
Vous pouvez créer la seconde configuration client à l'objet même stratégie de groupe (GPO) ou un nouvel objet. Cette fois, dans le groupe politique gestion éditeur, accédez à la Configuration de l'ordinateur | Politiques | Paramètres Windows | Paramètres de sécurité | Politiques clés et la vue propriétés publiques pour le Client de Services de certificat – Auto-Enrollment. Définissez le modèle de Configuration activé, cocher les deux cases à cocher qui apparaissent, puis cliquez sur OK.
Vous trouverez votre dernier paramètre de stratégie de groupe dans le cadre de stratégies de clé publique | Paramètres de demande automatique de certificat. Faites un clic droit et sélectionnez Nouveau | Demande de certificat automatique. Cela va lancer l'Assistant de configuration demande de certificat automatique. Cela indique à l'ordinateur les types de certificats, qu'il devrait demander automatiquement. Sélectionnez le modèle de l'ordinateur et cliquez sur terminer l'Assistant.
Appliquer cette stratégie de groupe pour votre domaine, afin que tous les ordinateurs recevra et appliquer la stratégie. Prévoir suffisamment de temps pour les ordinateurs d'appliquer la politique avant de rejoindre les deux dernières étapes.
Étape 7 : Préparation des Services de domaine
Il y a trois paramètres mineurs qui préparent les services de domaine pour avoir travaillé avec DirectAccess. Pour la première, vous aurez besoin de créer un groupe global. DirectAccess sera plus tard l'accès externe aux membres de ce groupe global. Ajouter les comptes d'ordinateurs pour tous les clients auxquels vous voulez accorder l'accès.
Votre serveur DHCP Dynamic Host Configuration Protocol () effectue le deuxième paramètre. Si vous n'avez pas mis en oeuvre IPv6 dans votre environnement, modifiez le paramètre pour désactiver le mode sans état DHCPv6 de serveur DHCP.
Le troisième paramètre modifie DNS. DirectAccess utilise le Intra-Site Automatic Tunneling adresse Protocol (ISATAP) pour une partie de sa communication. Ce protocole est normalement partie de la liste global du serveur DNS. Vous devrez supprimer ISATAP de la liste bloquée pour lui permettre de fonctionner correctement. Pour supprimer ISATAP, naviguez jusqu'à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters sur vos serveurs DNS et supprimer l'entrée ISATAP. Redémarrage de ses services après ce changement.
Étape 8 : Installation de DirectAccess
Avec notre poignée de configurations complètes, nous sommes prêts à installer DirectAccess. Vous devez donc faire par l'intermédiaire du gestionnaire de serveur. Une fois installé, lancez la console DirectAccess et sélectionnez le nœud Configuration. Configuration DirectAccess nécessite quatre étapes :
- Spécifiez le groupe global qui contient les comptes d'ordinateurs qui seront accordés l'accès externe.
- Spécifiez Internet et interfaces de réseau interne, ainsi que le CA et le certificat de serveur externe. Cela devrait être facile si vous avez renommé votre interfaces et des certificats avec des noms utiles, faciles à mémoriser.
- Spécifier les serveurs d'infrastructure qui peuvent interagir avec des clients externes. Ici vous allez fournir l'URL de NLS, ainsi que le nom et les informations IPv6 pour le DNS, DC et tous les autres serveurs vous permet de gérer des clients tels que les serveurs WSUS ou System Center. Ces serveurs doivent tous avoir IPv6 activé.
- Terminer par la configuration par l'identification de tous les autres serveurs qui peuvent accéder à des clients externes. Ces autres serveurs sont ceux qui que vous utilisez pour les applications clientes.
L'installation complète une fois que vous avez fini de chacune de ces quatre étapes. Dans le cadre de la procédure d'installation, DirectAccess créera deux GPO plus (en plus de ces vous créé précédemment) qu'il faudra relier le domaine. Ces GPO plus configurer l'expérience DirectAccess sur la connexion des clients.
8 Étapes pour accès partout
Ce n'est pas négligeable, bien sûr, mais il n'est pas impossible, soit. Il y a plus qu'une poignée de configurations, mais la partie la plus difficile téléchargerai les deux adresses IP consécutives statiques de votre fournisseur Internet.
Les résultats sont absolument vaut l'effort. Considérant la partout et des besoins de l'entreprise de toujours, DirectAccess présente une excellente solution pour garder vos utilisateurs connectés, même pour le plus petit des réseaux SMB.
.jpg)
Greg ShieldsMVP, est associé au concentré de technologie. Obtenir plus de conseils touche-à-tout des boucliers et des astuces à ConcentratedTech.com.