Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Wdrażanie dostępu zdalnego z uwierzytelnianiem OTP

James McIllece|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Dotyczy: Windows Server 2016

Windows Server 2016 i Windows Server 2012 łączenia DirectAccess oraz Routing i dostęp zdalny (RRAS) sieci VPN w jedną rolę dostęp zdalny.

Opis scenariusza

W tym scenariuszu dostępu zdalnego serwer z włączoną funkcją DirectAccess jest skonfigurowany do uwierzytelniania użytkowników klientów funkcji DirectAccess za pomocą dwóch-hasła jednorazowego współczynnik (OTP) uwierzytelniania, oprócz standardowych poświadczeń usługi Active Directory.

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza Przejrzyj poniższą listę ważnych wymagań:

W tym scenariuszu

Scenariusz uwierzytelniania OTP obejmuje kilka kroków:

  1. Wdrożenia pojedynczego serwera DirectAccess z ustawieniami zaawansowanymi. Pojedynczy serwer dostępu zdalnego należy wdrożyć przed skonfigurowaniem uwierzytelniania OTP. Planowanie i wdrażanie pojedynczego serwera obejmuje projektowanie i Konfigurowanie topologii sieci, planowanie i wdrażanie certyfikatów, konfigurowanie usług DNS i usługi Active Directory, konfigurowanie ustawień serwera dostępu zdalnego, wdrażanie klientów funkcji DirectAccess i przygotowywanie serwerów intranetowych.

  2. Planowanie dostępu zdalnego z uwierzytelnianiem OTP. Oprócz planowania związanego z jednego serwera, uwierzytelnianie OTP wymaga zaplanowania urzędu certyfikacji firmy Microsoft (urzędu certyfikacji) i szablonów certyfikatów otp; oraz PROMIENIU-włączony serwer OTP. Planowanie może również obejmować wymagania dotyczące grup zabezpieczeń do wykluczenia określonych użytkowników z silnego (OTP lub przy użyciu karty inteligentnej) uwierzytelniania. Aby uzyskać informacje dotyczące konfigurowania uwierzytelniania OTP w wielu-lasu środowiska, zobacz skonfigurować wdrożenie wielu lasów.

  3. Konfigurowanie funkcji DirectAccess z uwierzytelnianiem OTP. Wdrożenie uwierzytelniania OTP składa się z kilku kroków konfiguracji, obejmujących przygotowanie infrastruktury do uwierzytelniania OTP, skonfigurowanie serwera OTP, skonfigurowanie ustawień OTP na serwerze dostępu zdalnego i zaktualizowanie ustawień klientów funkcji DirectAccess.

  4. [Rozwiązywanie problemów z wdrożeniem OTP] ((/troubleshoot/ Troubleshoot-an-OTP-Deployment.md). Opisuje rozwiązywania liczbę najbardziej typowych błędów, które mogą wystąpić podczas wdrażania dostępu zdalnego z uwierzytelnianiem OTP.

Zastosowania praktyczne

Zwiększenie zabezpieczeń przy użyciu uwierzytelniania OTP zwiększa bezpieczeństwo wdrożenia funkcji DirectAccess. W celu uzyskania dostępu do sieci wewnętrznej przez użytkownika wymagane są poświadczenia OTP. Użytkownik wprowadza poświadczenia OTP za pomocą połączeń z miejscem pracy dostępnych w połączeniach sieciowych na komputerze klienckim systemu Windows 10 lub Windows 8 lub przy użyciu Asystenta łączności funkcji DirectAccess (DCA) na komputerach klienckich z systemem Windows 7. Proces uwierzytelniania OTP działa w następujący sposób:

  1. Klient funkcji DirectAccess wprowadza poświadczenia domeny dostępu do serwerów infrastruktury funkcji DirectAccess (za pośrednictwem tunelu infrastruktury). Jeśli żadne połączenie z siecią wewnętrzną jest dostępne ze względu na określony błąd IKE, funkcja połączenia na komputerze klienckim informuje użytkownika są wymagane poświadczenia. Na komputerach klienckich z systemem Windows 7, pop-się żąda poświadczeń karty inteligentnej.

  2. Po wprowadzeniu poświadczeń OTP są one wysyłane za pośrednictwem protokołu SSL do serwera dostępu zdalnego, wraz z żądaniem krótki-termin certyfikatu logowania karty inteligentnej.

  3. Serwer dostępu zdalnego inicjuje weryfikację poświadczeń OTP z protokołem RADIUS-na podstawie serwera OTP.

  4. W przypadku powodzenia operacji serwer dostępu zdalnego podpisuje żądanie certyfikatu przy użyciu własnego certyfikatu urzędu certyfikacji i wysyła go do komputera klienckiego funkcji DirectAccess

  5. Komputer kliencki funkcji DirectAccess przekazuje żądanie z podpisanym certyfikatem do urzędu certyfikacji i przechowuje zarejestrowany certyfikat do użytku przez dostawcę SSP Kerberos\/AP.

  6. Używając tego certyfikatu, komputer kliencki niewidocznie przeprowadza uwierzytelnianie Kerberos standardowych kart inteligentnych.

Role i funkcje uwzględnione w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje wymagane dla tego scenariusza:

Rola\/funkcjiZnaczenie w tym scenariuszu
Rola zarządzania dostępem zdalnymRola jest instalowana i odinstalowywana przy użyciu konsoli Menedżera serwera. Ta rola obejmuje funkcję DirectAccess, na którym była wcześniej funkcją systemu Windows Server 2008 R2 oraz Routing i usługi Dostęp zdalny, które były wcześniej usługą roli w ramach zasad sieciowych i dostępu do usług (NPAS) roli serwera. Rolę serwera dostępu zdalnego składa się z dwóch części:

1. DirectAccess oraz Routing i usługi Dostęp zdalny (RRAS) funkcji DirectAccess sieci VPN i sieci VPN są ze sobą zarządzane w konsoli zarządzania dostępem zdalnym.
2. Funkcje routingu RRAS Routing-RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny.

Rolę serwera dostępu zdalnego jest zależna od następujących funkcji serwera:

-Internetowe usługi informacyjne (IIS) serwera sieci Web — Ta funkcja jest wymagana do skonfigurowania serwera lokalizacji sieciowej, korzystania z uwierzytelniania OTP i skonfigurowania domyślnego badania sieci web.
-Windows Database-Used wewnętrznej do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.
Funkcja narzędzi do zarządzania dostępem zdalnymTa funkcja jest instalowana w następujący sposób:

-Go jest instalowany domyślnie na serwerze dostępu zdalnego, gdy rolę serwera dostępu zdalnego jest zainstalowany i obsługuje interfejs użytkownika konsoli zarządzania zdalnego.
-Go można opcjonalnie zainstalować na serwerze z systemem nie roli serwera dostępu zdalnego. W takim przypadku służy do zdalnego zarządzania komputerem dostępu zdalnego z działającymi funkcjami DirectAccess i sieci VPN.

Funkcja narzędzi do zarządzania dostępem zdalnym składa się z następujących czynności:

-Remote Access graficznego interfejsu użytkownika i narzędzi wiersza polecenia
-Moduł zdalnego dostępu dla środowiska Windows PowerShell

Zależności obejmują:

— Konsola zarządzania zasadami grupy
-Zestaw administracyjny Menedżera połączeń RAS (zestawu administracyjnego Menedżera połączeń)
-Windows PowerShell 3.0
-Graficzne narzędzia do zarządzania i infrastruktury

Wymagania sprzętowe

Wymagania sprzętowe dla tego scenariusza obejmują następujące czynności:

  • Komputer, który spełnia wymagania sprzętowe dla systemu Windows Server 2016 lub Windows Server 2012.

  • Aby przetestować scenariusz, wymagane jest co najmniej jeden komputer z systemem Windows 10, Windows 8 lub Windows 7 skonfigurowany jako klient funkcji DirectAccess.

  • Serwer OTP z obsługą protokołu PAP za pośrednictwem usługi RADIUS.

  • OTP sprzętu lub oprogramowania tokenu.

Wymagania dotyczące oprogramowania

Istnieje kilka wymagań w tym scenariuszu:

  1. Wymagania dotyczące oprogramowania dla wdrożenia pojedynczego serwera. Aby uzyskać więcej informacji, zobacz wdrożenia jednego serwera DirectAccess z ustawieniami zaawansowanymi.

  2. Oprócz wymagań dotyczących oprogramowania dla pojedynczego serwera istnieje szereg OTP-określonych wymagań:

    1. Urząd certyfikacji dla protokołu IPsec uwierzytelniania w wdrożeniu uwierzytelniania OTP, które należy wdrożyć funkcję DirectAccess za pomocą protokołu IPsec dla maszyn certyfikatów wystawianych przez urząd certyfikacji. Uwierzytelnianie IPsec przy użyciu serwera dostępu zdalnego jako serwer proxy protokołu Kerberos nie jest obsługiwane we wdrożeniu uwierzytelniania OTP. Wymagany jest wewnętrzny urząd certyfikacji.

    2. Urząd certyfikacji firmy Microsoft A uwierzytelniania OTP urzędu certyfikacji przedsiębiorstwa (uruchomiony w systemie Windows Server 2003 lub nowszym) jest wymagany w celu wystawienia certyfikatu klienta OTP. Można tego samego urzędu certyfikacji, używany do wystawiania certyfikatów dla uwierzytelniania IPsec. Serwer urzędu certyfikacji musi być dostępny za pośrednictwem pierwszego tunelu infrastruktury.

    3. Zabezpieczeń grupy do identyfikacji użytkowników z silnego uwierzytelniania, grupę zabezpieczeń usługi Active Directory zawierająca tych użytkowników jest wymagany.

    4. Klient-wymagania po stronie — w systemie Windows 10 i Windows 8 klienta komputerów, Asystenta łączności sieciowej (NCA) usługi jest używana do wykrywania, czy są wymagane poświadczenia OTP. Jeśli tak jest, Menedżer nośników funkcji DirectAccess wyświetla monit o podanie poświadczeń. Asystent łączności Sieciowej jest dołączony w systemie operacyjnym, a nie instalacji wdrożenia jest wymagana ani. Dla komputerów klienckich systemu Windows 7, Asystenta łączności funkcji DirectAccess (DCA) 2.0 jest wymagany. Ta funkcja jest dostępna do pobrania na Microsoft Download Center.

    5. Należy pamiętać o następujących kwestiach:

      1. Uwierzytelniania OTP można używać równolegle z kart inteligentnych i Trusted Platform Module (TPM)-na podstawie uwierzytelniania. Włączenie uwierzytelniania OTP w konsoli zarządzania dostępem zdalnym również umożliwia korzystanie z uwierzytelniania za pomocą karty inteligentnej.

      2. Podczas konfigurowania dostępu zdalnego użytkownicy w określonej zabezpieczeń grupy mogą zostać wykluczeni z dwóch-uwierzytelniania dwuskładnikowego i w związku z tym uwierzytelnianie za pomocą nazwy użytkownika\/tylko hasło.

      3. Nowy numer PIN OTP tryby i następnego kodu tokenu nie są obsługiwane.

      4. W wielu lokacjach wdrożeniu dostępu zdalnego ustawienia OTP są globalne i zapewniają identyfikację dla wszystkich punktów wejścia. Jeśli dla uwierzytelniania OTP skonfigurowano wiele serwerów usługi RADIUS lub urzędów certyfikacji, są one sortowane przez każdy serwer dostępu zdalnego zależnie od dostępności i odległości.

      5. Podczas konfigurowania uwierzytelniania OTP w wielu dostępu zdalnego-środowisku lasu urzędy certyfikacji OTP powinny pochodzić od tylko do lasu zasobów i rejestracji certyfikatów powinny być skonfigurowane w ramach relacji zaufania między lasami. Aby uzyskać więcej informacji, zobacz usług AD CS: rejestrowanie certyfikatów między lasami w systemie Windows Server 2008 R2.

      6. Użytkownicy korzystający z tokenu KEY FOB OTP powinni wprowadzać numer PIN oraz kod tokenu (bez żadnych separatorów) w oknie dialogowym uwierzytelniania OTP funkcji DirectAccess. W oknie dialogowym, użytkownicy korzystający z tokenu PIN PAD OTP powinni wprowadzać tylko kod tokenu.

      7. Jeśli funkcja WEBDAV jest włączona powinny nie należy włączać uwierzytelniania OTP.

Znane problemy

Poniżej przedstawiono znane problemy, podczas konfigurowania scenariusza OTP:

  • Dostęp zdalny używa mechanizmu sondowania w celu weryfikacji łączności z serwera RADIUS-oparty na serwerach OTP. W niektórych przypadkach może to spowodować błąd wydaje się na serwerze OTP. Aby uniknąć tego problemu, wykonaj następujące czynności na serwerze OTP:

    • Utwórz konto użytkownika, który jest zgodny z nazwy użytkownika i hasła skonfigurowane na serwerze dostępu zdalnego dla mechanizmu sondowania. Nazwa użytkownika nie powinna definiować użytkownika usługi Active Directory.

      Domyślnie nazwa użytkownika na serwerze dostępu zdalnego to DAProbeUser, a hasło to DAProbePass. Te ustawienia domyślne można zmodyfikować w rejestrze na serwerze dostępu zdalnego przy użyciu następujących wartości:

      • HKEY_lokalnego_maszyny\oprogramowania\Microsoft\funkcji DirectAccess\OTP\RadiusProbeUser

      • HKEY_lokalnego_maszyny\oprogramowania\Microsoft\funkcji DirectAccess\OTP\ RadiusProbePass

  • Jeśli certyfikat główny IPsec w skonfigurowanym i uruchomionym wdrożeniu funkcji DirectAccess zostanie zmieniony, uwierzytelnianie OTP przestanie działać. Aby rozwiązać ten problem, na każdym serwerze funkcji DirectAccess, w wierszu polecenia programu Windows PowerShell, uruchom polecenie: iisreset

© 2017 Microsoft