Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

Implementar o acesso remoto com autenticação de OTP

James McIllece|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server 2016

Windows Server 2016 e Windows Server 2012 combinam DirectAccess e encaminhamento e o serviço de acesso remoto (RRAS) VPN para uma única função de acesso remoto.

Descrição do cenário

Neste cenário, um acesso remoto server com o DirectAccess ativado está configurada para autenticar os utilizadores de cliente DirectAccess com dois-palavra-passe monouso fator (OTP) autenticação, para além de credenciais do Active Directory padrão.

Pré-requisitos

Antes de começar a implementar neste cenário, reveja esta lista para importantes requisitos:

Neste cenário

O cenário de autenticação OTP inclui um número de passos:

  1. Implementar um único servidor DirectAccess com definições avançadas. Um único servidor de acesso remoto deve ser implementado antes de configurar a OTP. Planeamento e implementação de um único servidor incluem criar e configurar uma topologia da rede, planeamento e certificados de a implementar, configurar o DNS e do Active Directory, configurar definições do servidor de acesso remoto, implementar os clientes DirectAccess e servidores intranet a preparar.

  2. Plano de acesso remoto com autenticação de OTP. Para além do planeamento necessários para um único servidor, OTP requer o planeamento de uma autoridade de certificação Microsoft (CA) e modelos de certificado para OTP; e um RADIUS-compatíveis com o servidor OTP. Planeamento também poderá incluir um requisito para grupos de segurança de isenção de utilizadores específicos de strong (OTP ou smart card) autenticação. Para obter informações relacionadas com a configuração de OTP em uma várias-ambiente da floresta, consulte configurar uma implementação da floresta com vários.

  3. Configurar o DirectAccess com autenticação de OTP. Implementação OTP é composto por vários passos de configuração, incluindo a preparar a infraestrutura de autenticação OTP, configurar o servidor de OTP, configurar definições OTP no servidor de acesso remoto e atualizar as configurações do cliente DirectAccess.

  4. [Resolver uma implementação OTP] ((/troubleshoot/ Troubleshoot-an-OTP-Deployment.md). Esta secção resolução de problemas descreve um número dos erros mais comuns que podem ocorrer quando implementar o acesso remoto com autenticação de OTP.

Aplicações práticas

Aumente a segurança-utilizando OTP aumenta a segurança na implementação DirectAccess. Um utilizador requer OTP credenciais para obter acesso à rede interna. Um utilizador fornece as credenciais OTP através de ligações de área de trabalho disponível nas ligações de rede no computador cliente Windows 10 ou Windows 8 ou utilizando o DirectAccess conectividade assistente (DCA) em computadores cliente com o Windows 7. O processo de autenticação OTP funciona da seguinte forma:

  1. Ativa o cliente DirectAccess credenciais de domínio para aceder aos servidores de infraestrutura DirectAccess (até o encapsulamento infraestrutura). Se estiver disponível, devido a uma falha de IKE específica não ligação à rede interna, ligação da área de trabalho no computador cliente notifica o utilizador que as credenciais são necessárias. Em computadores cliente com o Windows 7, um pop-uma que pede credenciais do smart card é apresentada.

  2. Depois de tem sido introduzidas as credenciais OTP, são enviadas através de SSL para o servidor de acesso remoto, juntamente com um pedido para um pequeno-certificado de início de sessão de smart card termo.

  3. O servidor de acesso remoto inicia a validação das credenciais de OTP com o RAIO de-com base em servidor OTP.

  4. Se for concluída com êxito, o servidor de acesso remoto inicia o pedido de certificado a utilizar o certificado da autoridade de registo e envia-lo de volta ao computador cliente DirectAccess

  5. O computador cliente DirectAccess reencaminhar o pedido de certificado assinado para a autoridade de certificação e armazena o certificado associado para utilização pelo SSP Kerberos\/ponto de acesso.

  6. Utilizar este certificado no computador cliente transparente executa a autenticação Kerberos padrão smart card.

Funções e funcionalidades incluídas neste cenário

A tabela seguinte lista as funções e funcionalidades necessárias para o cenário de:

Função\/funcionalidadeComo ele suporta este cenário
Função de gestão de acesso remotaA função está instalada e desinstalado utilizando a consola de Gestor de servidor. Esta função abrange ambos os DirectAccess, que anteriormente estava uma funcionalidade do Windows Server 2008 R2 e encaminhamento e acesso aos serviços remoto que foi anteriormente um serviço de função sob a política de rede e acesso aos serviços (NPAS) função de servidor. A função de acesso remoto consiste em dois componentes:

1. DirectAccess e encaminhamento e acesso aos serviços remoto (RRAS) VPN-DirectAccess e VPN são geridas em conjunto da consola de gestão de acesso remoto.
2. Funcionalidades encaminhamento RRAS encaminhamento-RRAS são geridas na consola legada encaminhamento e acesso remoto.

A função de acesso remoto depende as seguintes funcionalidades de servidor:

-Serviços de informação Internet (IIS) servidor Web - esta funcionalidade é necessária para configurar o servidor de localização de rede, utilizar a autenticação de OTP e configurar o teste de web predefinido.
-Windows Database-Used interna para as estatísticas local no servidor de acesso remoto.
Funcionalidade de ferramentas de gestão de acesso remotaEsta funcionalidade está instalada da seguinte forma:

--Lo é instalada por predefinição no servidor de acesso remoto quando a função de acesso remoto está instalada e suporta a interface de utilizador da consola de gestão remota.
--Pode ser instalado, opcionalmente, num servidor não a executar a função de servidor de acesso remoto. Neste caso é utilizado para a gestão remota de um computador de acesso remoto com o DirectAccess e VPN.

A funcionalidade de ferramentas de gestão de acesso remoto consiste em dos seguintes procedimentos:

-Acesso remoto GUI e ferramentas de linha de comandos
-Remoto Module, módulo de acesso para o Windows PowerShell

Dependências incluem:

-Consola de gestão de políticas de grupo
-Kit de administração do Gestor de ligações RAS (CMAK)
-Windows PowerShell 3.0
-Infraestrutura e ferramentas de gestão gráfico

Requisitos de hardware

Requisitos de hardware para este cenário de incluem os seguintes itens:

  • Um computador que cumpra os requisitos de hardware para Windows Server 2016 ou Windows Server 2012.

  • Para testar o cenário de, pelo menos um computador com o Windows 10, Windows 8 ou Windows 7 configurada como um cliente DirectAccess é obrigatório.

  • Um servidor de OTP que suporte PAP através de RADIUS.

  • Um software ou hardware OTP token.

Requisitos de software

Há um número de requisitos para essa situação:

  1. Requisitos de software para a implementação de único servidor. Para mais informações, consulte implementar um único servidor DirectAccess com definições avançadas.

  2. Para além dos requisitos de software para um único servidor há um número de OTP-requisitos específicos:

    1. Autoridade de certificação para IPsec autenticação de uma implementação OTP que DirectAccess devem ser implementado utilizando IPsec máquinas certificados emitidos por uma autoridade de certificação. A autenticação de IPsec utilizando o servidor de acesso remoto como um proxy Kerberos não é suportada em uma implementação OTP. Uma autoridade de certificação interna é obrigatório.

    2. Autoridade de certificação para OTP autenticação-A Microsoft Enterprise CA (em execução no Windows Server 2003 ou posterior) é necessário para emitir o certificado de cliente OTP. Pode ser utilizada na mesma CA utilizada para a emissão de certificados de autenticação de IPsec. O servidor de CA tem de estar disponível até o encapsulamento infraestrutura primeiro.

    3. Segurança grupo-a isenção utilizadores de autenticação forte, um grupo de segurança do Active Directory que contém estes utilizadores é obrigatório.

    4. Cliente-requisitos lado-para o Windows 10 e Windows 8 computadores cliente, o Assistente de conectividade de rede (NCA) serviço é utilizado para detectar se credenciais OTP são necessárias. Se forem, o Gestor de multimédia DirectAccess pede credenciais. NCA está incluído no sistema operativo e não é necessária nenhuma instalação ou a implementação. Para computadores do cliente do Windows 7, o Assistente de conectividade DirectAccess (DCA) 2.0 é obrigatório. Esta funcionalidade está disponível como um download no Microsoft Download Center.

    5. Tenha em atenção o seguinte:

      1. Autenticação de OTP pode ser utilizada em paralelo com o smart card e Trusted Platform Module (TPM)-com base em autenticação. Ativar OTP autenticação na consola de gestão de acesso remoto também permite a utilização de autenticação de Smart Card.

      2. Durante os utilizadores de configuração de acesso remoto na segurança especificado grupo pode ser isento de duas-fator de autenticação e, consequentemente, autenticar com o nome de utilizador\/só palavra-passe.

      3. OTP novo PIN e o seguinte código token modos não são suportados

      4. Na implementação multissite acesso remoto, definições de OTP são globais e identificam para todos os pontos de entrada. Se vários servidores RADIUS ou CA configurados para OTP, eles são ordenados por cada servidor acesso remoto de acordo com a disponibilidade e proximidade.

      5. Quando configurar OTP no vários acesso remoto-floresta ambiente, devem ser OTP autoridades de certificação da floresta de recursos só, e a inscrição de certificados deve estar configurada em confianças de floresta. Para mais informações, consulte AD CS: Cross-floresta a inscrição de certificados no Windows Server 2008 R2.

      6. Os utilizadores que estão a utilizar um token de CHAVE FOB OTP devem insira o PIN seguido de código o token (sem qualquer separadores) na caixa de diálogo DirectAccess OTP. Os utilizadores que utilizem o token OTP de TECLADO do PIN devem inserir apenas o código de token na caixa de diálogo.

      7. Quando o WEBDAV é ativado OTP não deve ser ativado.

Problemas conhecidos

A seguir é conhecida problemas durante a configuração de um cenário OTP:

  • O acesso remoto usa um mecanismo de teste para verificar a conectividade de RADIUS-com base em servidores OTP. Em alguns casos, isto pode causar um erro ser emitido no servidor de OTP. Para evitar este problema, efetue o seguinte no servidor de OTP:

    • Crie uma conta de utilizador que corresponda ao nome de utilizador e palavra-passe configurados no servidor de acesso remoto para o mecanismo de teste. O nome de utilizador não deve definir um utilizador do Active Directory.

      Por predefinição, o nome de utilizador no servidor de acesso remoto é DAProbeUser e a palavra-passe é DAProbePass. Estas predefinições podem ser modificadas utilizando os seguintes valores no registo no servidor de acesso remoto:

      • HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MÁQUINA\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Se alterar o certificado de raiz IPsec em uma implementação de DirectAccess configurado e em execução, OTP deixa de funcionar. Para resolver este problema, em cada servidor DirectAccess, numa linha de Windows PowerShell, execute o comando: iisreset

© 2017 Microsoft