Esperto a tutto tondo: Procedura dettagliata di installazione di DirectAccess

Solo perché sei parte di una piccola azienda non significa che non è possibile estendere la tua rete su Internet con DirectAccess.

Greg Shields

Il mio computer portatile, seduto qui in questo negozio di caffè, è il mio dominio aziendale. Quando io fare doppio clic la h: in auto, vedo i file e cartelle sul mio server di file interno. Se corro un gpupdate /force o wuauclt /detectnow, esso applica i criteri di gruppo e rileva gli aggiornamenti dal controller di dominio interno e i server di Windows Server Update Services (WSUS). Insomma, sto utilizzando DirectAccess e amarla.

La mia azienda è una piccole e medie imprese (SMB) e un piccolo notevolmente SMB in quel. Non abbiamo molti server, ma quelli che abbiamo sono estremamente importanti. Tutto quello che abbiamo fatto per eseguire DirectAccess è aggiungere un nuovo server e una manciata di configurazioni. Improvvisamente, io sono in ufficio, mentre io sono qui in questo caffè — o in qualsiasi altro luogo.

DirectAccess? Per un SMB? Sì, in effetti, e mettere insieme era certamente meno impegnativo di quanto pensassimo. Non era banale, ma certamente non era impossibile.

Siete pronti per estendere in modo sicuro la vostra LAN su Internet? Afferra un server Windows Server 2008 R2 con due schede di rete, due consecutivi indirizzi IP pubblici e questa guida per una descrizione dettagliata del processo che è possibile implementare oggi quella volontà di potenza fino il proprio DirectAccess sempre sulla rete privata virtuale (VPN).

Passaggio 1: Generare ed eseguire il provisioning di un Server DirectAccess

Avviare una macchina Windows Server 2008 R2 con due schede di rete di provisioning. Assicurarsi che sia membro del dominio di Active Directory interna. Collegare le due schede di rete, uno a una subnet esterna e l'altra alla rete interna. Successivamente, si sarà installare i certificati e i componenti di DirectAccess. Perché questo server colmerà gli interni e la rete esterna, ricontrollare munito di tutti gli aggiornamenti necessari.

Inoltre avrete bisogno di due indirizzi IP consecutivi, statici, pubblici. Ad esempio, questi due indirizzi potrebbero essere 98.34.120.34 e 98.34.120.35. La cosa importante è che sono consecutivi. Entrare questi indirizzi può essere una sfida per un piccolo negozio IT. Avrete bisogno di un Internet provider che lavorerà con voi.

Attenzione su due indirizzi di cui sei dato. C'è un trabocchetto poco conosciuto segnalati nella libreria TechNet che delinea alcune regole speciali per che cosa DirectAccess ritiene di essere "consecutivi". La console di gestione DirectAccess ordina alfabeticamente gli indirizzi IPv4 pubblici assegnati alla scheda di Internet. Pertanto, DirectAccess non considerare i seguenti set di indirizzi come consecutivi: w.x.y.9 e w.x.y.10, che sono classificate come w.x.y.10, w.x.y.9; w.x.y.99 e w.x.y.100, che sono classificate come w.x.y.100, w.x.y.99; w.x.y.1, w.x.y.2 e w.x.y.10, che sono classificate come w.x.y.1, w.x.y.10, w.x.y.2. Sarà necessario utilizzare un diverso insieme di indirizzi consecutivi.

Configurare i due indirizzi esterni dell'adattatore esterno del server DirectAccess. Fare lo stesso per il singolo indirizzo interno sulla sua scheda interna. È una buona idea per rinominare gli adattatori per ricordarvi quale scheda corrisponde al quale connessione. Impostare il suffisso interno suffisso DNS della scheda interna per la connessione.

Passaggio 2: Creare record DNS esterni

DirectAccess richiede la risoluzione esterna per un paio di record DNS A esterni. Entrambi deve puntare al primo dei vostri due indirizzi IP consecutivi (non al secondo e non a entrambi). Mentre entrambi punterà allo stesso indirizzo, verrà utilizzato solo per DirectAccess. L'altro consente di trovare un certificato Revocation List (CRL) che verrà istituito poco.

Ad esempio, questi sono i due record per il mio ambiente: DirectAccess.Company.com e crl.company.com. È necessario lavorare con provider di Internet per creare questi record.

Passaggio 3: Istituire una PKI con servizi certificati Active Directory

Il modello di sicurezza di DirectAccess comporta l'autenticazione reciproca utilizzando una certificato servizi infrastruttura a chiave pubblica (PKI). Aggiungere un server disponibile, come ad esempio un DC il ruolo di Active Directory Certificate Services (ADC) e il servizio di ruolo di autorità di certificazione (CA). Impostare come un'impresa Root CA, creare una nuova chiave privata e accettare le impostazioni predefinite di installazione per completare l'installazione.

Successivamente, sarà necessario creare un modello di certificato Web server. In Server Manager, individuare il ruolo di ADC e fare clic su modelli di certificato. Destro il modello del server Web, scegliere Duplica modello.

Creare un modello di Windows Server 2008 Enterprise e far apparire la console di proprietà. Nella scheda Gestione richiesta, selezionare Rendi la chiave privata da esportare. Nella scheda protezione, concedere il computer del dominio e i gruppi di utenti autenticati lettura ed Enroll autorizzazioni. L'uscita della console di proprietà e fare clic destro il modello che appena creato. Selezionare Modifica nomi per dargli un nome descrittivo.

Aggiungere quel modello nella tua cartella di modelli di certificato CA facendo clic destro la cartella e scegliere nuovo | Modello di certificato alla questione. Selezionare e l'emissione del modello che appena creato.

Passaggio 4: Istituito un CRL sul DirectAccess Server

I certificati che utilizza una PKI richiedono l'accesso a un CRL. Questa lista identifica i certificati revocati che ora non sono validi. È necessario essere in grado di accedere al CRL da Internet e intranet, quindi il server DirectAccess è l'ospite perfetto.

Per avviare l'installazione del ruolo IIS con servizi ruolo predefinito. In Gestione IIS, creare una nuova Directory virtuale denominata CRLD che punta al percorso C:\inetpub\wwwroot\crld. Attivare la funzionalità di esplorazione Directory nelle proprietà della directory virtuale.

Successivamente, creare una condivisione denominata $ CRLD sul percorso di C:\inetpub\wwwroot\crld. Concedere la CA computer account pieno controllo le autorizzazioni sulla condivisione.

Torna nella schermata di proprietà della directory virtuale, selezionare l'Editor di configurazione e passare alla system.webserver/security/request Filtering. Una volta lì, insieme consentono Escaping Double su True.

Successivamente, creare i clienti di percorso che risolveranno per trovare il CRL da reti interne ed esterne. Torna sul controller di dominio, avviare la console di autorità di certificazione e il pulsante destro del mouse per visualizzare le proprietà del Server CA. Nella scheda estensioni, selezionare l'estensione chiamato punto di distribuzione CRL (CDP). Fare clic su Aggiungi, quindi immettere l'indirizzo esterno client esterno verrà utilizzato per accedere al CRL.

Il mio indirizzo è http://crl.company.com/crld/ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> CRL. Vostro saranno simile per tutti ma del server dominio nome completo (FQDN). Selezionare tutte le caselle nella parte inferiore della pagina console. Fare clic su Aggiungi nuovo per creare la connessione per i clienti interni. Immettere l'UNC client interni di percorso possono utilizzare per accedere al CRL.

Il mio percorso è \\crl.company.internal\crld$\ <CaName> <CRLNameSuffix> <DeltaCRLAllowed> CRL. Poiché questa connessione interna è dove è pubblicato il CRL, verificare che i campi contrassegnati CRL pubblicare questa posizione e pubblicare Delta CRL per questa posizione.

Torna nella console di CA, fare clic destro certificati revocati e scegliere tutte le attività | Pubblicare. Se hai fatto tutto correttamente, si dovrebbero vedere due file CRL appaiono nella condivisione.

Passaggio 5: Installare certificati sul server di rete locale e DirectAccess

All'inizio è stato creato modelli di certificato. Ora è il momento di creare dei certificati. Sia il DirectAccess e sua rete interna Location Server richiedono certificati server Web per l'autenticazione reciproca.

Aprire la console MMC certificati sul server DirectAccess e passare ai certificati | Archivio personale. Destro sui certificati, scegliere tutte le attività | Richiesta nuovo certificato. Nella console di registrazione dei certificati, selezionare il certificato che è stato creato nel passaggio 3.

Un link apparirà richiedere per ulteriori informazioni necessarie per registrare questo certificato. Clicca qui per configurare le impostazioni. Clicca sul link e seleziona la scheda del soggetto nella finestra risultante. Aggiungere un nome comune e un nome alternativo di DNS. Quest'ultimo sarà esterni DirectAccess FQDN del tuo server (ad esempio, il mio è directaccess.company.com). Fare clic su OK, quindi Enroll a registrare il certificato.

Vostra rete locale Server (NLS) è un server interno in esecuzione il ruolo IIS. Le NLS richiede poche risorse, quindi può essere installato in modo sicuro su un server esistente. Ripetere il processo descritto in precedenza per installare il certificato dal passaggio 3 sul NLS. Ci sarà una lieve differenza, però. Invece di inserire il nome FQDN DirectAccess esterni, è necessario fornire un FQDN internamente risolvibile.

Per il mio sistema, creato il nome nls.company.internal e aggiunto al DNS come un CNAME per il nome effettivo del server del mio NLS. DirectAccess interagisce con sua NLS su HTTPS, quindi avrete bisogno di creare un'associazione HTTPS per quel CNAME sul sito Web predefinito di IIS.

Passaggio 6: Pronti i vostri clienti con criteri di gruppo

DirectAccess client richiedono alcune impostazioni di autoregistrazione firewall e certificato che sono più facili da impostare tramite criteri di gruppo. La prima impostazione crea ICMPv6 Inbound e regole in uscita per consentire IPv6 ping supportano per DirectAccess.

In Group Policy Management Editor, passare alla configurazione Computer | Politiche | Impostazioni di Windows | Le impostazioni di sicurezza | Windows Firewall con protezione avanzata | Windows Firewall con protezione avanzata. Creare una nuova regola in entrata. Scegliere una regola personalizzata, per tutti i programmi, con ICMPv6 come il tipo di protocollo e la richiesta Echo come tipo specifico ICMP (troverete questo sotto impostazioni ICMP).

Mappa di tale regola a qualsiasi indirizzo IP locale o remoto e attivare la connessione su tutti e tre i profili. Dare la regola un nome e fare clic su fine. Ripetere questi passaggi per creare una nuova regola in uscita con le stesse impostazioni.

È possibile creare la seconda configurazione del client in un nuovo oggetto o stesso oggetto (criteri di gruppo). Questa volta, in Group Policy Management Editor, passare alla configurazione Computer | Politiche | Impostazioni di Windows | Le impostazioni di sicurezza | Proprietà chiave di politiche e vista pubbliche per il Client Servizi certificati-registrazione automatica. Impostare il modello di configurazione su controllo abilitato, le due caselle di controllo che appaiono e fare clic su OK.

Troverete la vostra ultima impostazione di criteri di gruppo in criteri chiave pubblica | Impostazioni automatiche richiesta certificato. Pulsante destro del mouse e scegliere nuovo | Richiesta di certificato automatico. Verrà avviata l'automatica certificato richiedere installazione guidata. Questo dice il computer i tipi di certificati che dovrebbe richiedere automaticamente. Selezionare il modello di Computer e fare clic su attraverso al termine della procedura guidata.

Applicare questo criterio di gruppo al vostro dominio, affinché tutti i computer riceverà e applicare il criterio. Consentire un tempo sufficiente per i computer applicare il criterio prima di passare le due fasi finali.

Passaggio 7: Preparazione di servizi di dominio

Ci sono tre impostazioni minori che preparano i servizi di dominio per lavorare con DirectAccess. Per la prima volta, è necessario creare un gruppo globale. DirectAccess più tardi concederà accesso esterno ai membri di questo gruppo globale. Aggiungere gli account computer per tutti i clienti a cui si desidera concedere l'accesso.

Vostro server Dynamic Host Configuration Protocol (DHCP) esegue l'impostazione secondo. Se è non hanno implementato IPv6 nel proprio ambiente, modificare l'impostazione per disattivare la modalità apolidi DHCPv6 del server DHCP.

La terza impostazione modifica DNS. DirectAccess utilizza l'Intra-Site Automatic Tunneling indirizzo Protocol (ISATAP) per alcune delle sua comunicazione. Tale protocollo è normalmente parte della lista di blocco globale di un server DNS. Sarà necessario rimuovere ISATAP dalla lista bloccata per il corretto funzionamento. Per rimuovere ISATAP, passare a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters sul server DNS e rimuovere la voce ISATAP. Riavviare i servizi dopo aver fatto questo cambiamento.

Passaggio 8: Installare DirectAccess

Con il nostro manciata di configurazioni completi, siamo pronti a installare DirectAccess. Si dovrebbe farlo tramite Server Manager. Una volta installato, avviare la console di DirectAccess e selezionare il nodo di Setup. Creazione di DirectAccess richiede quattro passi:

1. Specificare il gruppo globale che contiene gli account computer che verranno garantiti accesso esterno.
2. Specificare Internet e le interfacce di rete interna, così come la CA e certificato server esterno. Questo dovrebbe essere facile, se hai rinominato le interfacce e certificati con nomi utili, facile da ricordare.
3. Specificare i server di infrastruttura in grado di interagire con i clienti esterni. Qui si provvederemo a fornire l'URL NLS, nonché il nome e le informazioni IPv6 per il DNS, DC e gli altri server si utilizza per gestire i client, ad esempio i server WSUS o System Center. Questi server devono tutti avere IPv6 abilitato.
4. Finitura fuori la configurazione identificando gli altri server che client esterni possono accedere. Questi altri server sono quelle usate per le applicazioni client.

L'installazione completa quando hai finito di ciascuno di questi quattro punti. Come parte del processo di installazione, DirectAccess creerà due ulteriori GPO (in aggiunta a quelli che creato in precedenza) che richiederà che collega al dominio. Questi GPO ulteriormente configurare l'esperienza di DirectAccess sul collegamento in clienti.

8 Passi per accesso ovunque

Questo non è banale, di sicuro, ma non è impossibile, neanche. Ci sono più di una manciata di configurazioni, ma la parte più difficile sarà ottenere i due indirizzi IP consecutivi statici dal tuo provider Internet.

I risultati sono assolutamente valsa la pena. Se si considera ovunque e delle esigenze sempre in business di oggi, DirectAccess presenta un'ottima soluzione per mantenere gli utenti collegato — anche per la più piccola delle reti SMB.

Greg ShieldsMVP, è un partner al concentrato di tecnologia. Ottenere più di 'Shields Trades suggerimenti e trucchi a ConcentratedTech.com.

Contenuto correlato

• Protezione in Windows 7
• Il rompiscatole: DirectAccess con protezione accesso alla rete (NAP)
• BranchCache e DirectAccess: miglioramento dell'esperienza delle succursali