Microsoft DirectAccess mit Forefront UAG

Präsentation zum Thema: "Microsoft DirectAccess mit Forefront UAG"—  Präsentation transkript:

1 Microsoft DirectAccess mit Forefront UAG
Jörg Riether

2 Micrsoft DirectAccess - Das VPN der Zukunft?

3 DirectAccess Immer online - kein „VPN“ mehr nötig
komplett via GPO´s administrierbar Kommunikation läuft über IPv6-over- IPsec Externe Win7 Ent/Ult Maschine ist von Corporate aus erreichbar, noch bevor sich ein Benutzer anmeldet

4 DirectAccess mit Forefront UAG
NAT64 und DNS64 kommen zum Einsatz Kein W2008R2 DC/DNS im Netzwerk nötig, nur die UAG Maschine muss W2008R2 sein. Ohne UAG ist das anders, siehe Native IPv4-Clients können von extern aus via IPv6 erreicht werden.

5 DirectAccess - mal eben installiert und alles funktioniert?

6 Annahme Im Unternehmensnetzwerk kommt zum aktuellen Zeitpunkt reines IPv4 zum Einsatz DNS Server sind mindestens auf Windows 2003 und dynamische DNS- Aktualisierungen sind zugelassen

7 Vorbereitungen DA/UAG W2008R2 Maschine mit zwei NICs bereitstellen
interne PKI muss ausgerollt werden spezielle Zertifikatsvorlagen müssen erstellt werden Zertifikatssperrliste muss konfiguriert und extern wie intern verfügbar gemacht werden

8 Vorbereitungen (2) Maschinenzertifikate für DA-Clients ausrollen
SSL-Zertifikat für DA/UAG-Server ausrollen hochverfügbaren Network Location Server (NLR) bereitstellen (ein IIS mit HTTPS reicht aus) SSL-Zertifikat für NLS Server ausrollen

9 Vorbereitungen (3) zwei öffentliche IPv4 IP-Adressen auf dem öffentlichen NIC bereitstellen (Teredo bedingt, um die Art des NAT zu bestimmen, 32#ixzz0eqN70TBH) ...diese IPv4 IP-Adressen müssen numerisch aufeinander folgend sein (Windows Teredo-Implementations bedingt) ...und mussten anfangs auch nach lexikographischen Regeln aufeinander folgend gültig sein (zumindest zur „early adopter“-Zeit)

10 Vorbereitungen (4) Die öffentliche NIC muss ein Gateway besitzen, sollte aber keinen öffentlichen DNS Server eingetragen haben (DNS64 Konflikt, us/library/dd aspx) Etwaige interne Routen müssen ergo manuell via ,route -p add ...‘ oder ,netsh inerface ipv4 add route..‘ hinzugefügt werden.

11 Ein paar Dinge im Detail

12 PKI eine erreichbare Zertifikatssperrliste ist ein K.O.-Kriterium für DA und muss sauber konfiguriert sein ( us/library/ee649168(WS.10).aspx) Spezielle Vorlagen für DA-Clients und SSL-Server müssen angelegt werden ( us/library/ee649249(WS.10).aspx)

13

14

15

16

17

18

19

20 NLS Der Network Location Server ist ein Instrument des DA-Clients. Der DA- Client versucht, den NLS zu erreichen um zu testen, ob er sich intern oder extern von Corporate befindet. Der NLS muss einfach nur eine Website aktiviert haben (Inhalt völlig egal) und ein von der CA vertrautes SSL Zertifikat besitzen.

21 All diese Schritte müssen komplett erledigt sein.

22 Erst dann hat es Sinn, den UAG-DA Assistenten überhaupt auszuführen.

23 Es geht los.

24

25

26

27

28 “Aha, wir möchten also gemäß Anleitung jetzt mal eben ISATAP aus der globalen DNS-Sperrliste entfernen und einen A-Eintrag erstellen?” (

29 Und was hat das für Konsequenzen für unser Netzwerk?

30 Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk fährt seine virtuellen ISATAP Interfaces hoch und benutzt sie auch, wenn er kann.

31

32 “. naja, das muss ja nichts bedeuten
“...naja, das muss ja nichts bedeuten.” Pingen wir doch mal irgendeinen (IPv4) Rechner…

33 ...na also, alles ganz normal. Oder etwa doch nicht?

34 Na dann pingen wir mal einen anderen IPv4 Rechner
Na dann pingen wir mal einen anderen IPv4 Rechner. Diesmal zufällig einen, wo Windows Vista, Windows 7 oder Windows 2008 installiert ist.

35 oh.

36 war das etwa gerade IPv6-ISATAP-Kommunikation
...war das etwa gerade IPv6-ISATAP-Kommunikation? Das sah aber bis vor einer Minute noch ganz anders aus!

37 “Ach, das ist sicher nichts
“Ach, das ist sicher nichts. Das muss sicher irgendwas mit dieser lokalen Auto-Konfiguration zu tun haben…..”

38 oh.

39 “Na ja. Macht ja nichts weiter
“Na ja. Macht ja nichts weiter. Meine Vista, Windows 7, Windows 2008 Systeme kommunizieren ab jetzt eben untereinander über IPv6.”

40 Ist doch super!

41 Das war ja einfach.

42 Oder etwa doch nicht?

43 “Warum funktionieren auf einmal einige Programme im Netzwerk nicht mehr? Spontan fällt uns hier Ontrack Powercontrols auf.”

44 “Die werden doch sicher so schlau sein, IPv4 zu benutzen, wenn sie mit IPv6 noch nicht klarkommen?!”

45 “Und wenn ich nach nur einem Tag schon einen Fall im Testlabor bemerke, wie viele sind es dann in meinem ganzen Netzwerk?”

46 Fragen wir doch mal den Hersteller....

47 http://social. technet. microsoft

48 Yaniv Naor, Microsoft, 10. Januar „Hi, Legally we are not allowed to explicitly publish which applications are compatible and which are not. As to Microsoft products, I know that Office Communication Server doesn't work with IPv6“

49 Aha. Und nun?

50 ISATAP muss nicht zwangsläufig über DNS aktiviert werden
Der entsprechende Testlabor-Client für ISATAP muss lediglich den Host „ISATAP“ irgendwie auflösen können, völlig egal, wie. Dies kann auch über einen einfachen hosts Eintrag passieren.

51 Sie wollen aber ISATAP unbedingt im DNS haben?
Man kann ISATAP pro Rechner selektiv deaktiveren. „netsh interface isatap set state disbabled“ deaktiviert ISATAP auf dem entsprechenden Rechner, auch, wenn ISATAP via DNS, WINS oder hosts aufgelöst werden kann.

52 „....das will ich aber nicht bei allen meinen Clients machen müssen!“

53 Beispiel Powercontrols
Es reicht aus, auf dem Windows Server, ISATAP zu deaktivieren. Ab dann werden auch ISATAP-aktivierte Clients automatisch in IPv4 zurück gezwungen, wenn Sie versuchen mit dem Server zu sprechen.

54 MUSS ich ISATAP im Netzwerk zwingend aktivieren, wenn ich DirectAccess mit UAG benutzen möchte?

55 Nein. Dank UAG´s NAT64 und DNS64 müssen Sie das nicht unbedingt. Behalten Sie aber die Performance bei hohen DA-Clientzahlen im Auge. Das sagt Microsoft. Ich selbst habe dazu keine Erfahrungswerte Es gibt aber zu diesem Thema einen Thread von mir: a32a-1b89435ec39f

56 Empfehlung für die ersten Versuche mit DA
Legen Sie ganz am Anfang noch keinen A Eintrag für ISATAP in Ihrem AD-DNS an. Fangen Sie klein an. Aktvieren Sie nur auf den Rechnern, welche Sie zum Testen aktiv nutzen wollen einen ISATAP-Eintrag in der lokalen hosts Datei.

57 ...na dann weiter mit dem DirectAccess Assistenten...

58

59

60

61

62

63

64

65

66

67

68

69

70

71 Ein DA-Client nimmt Verbindung auf...

72 DA-Client (Windows 7 Enterprise & Ultimate) startet irgendwo extern, hinter einem NAT-Router.

73 Der UAG/DA Client geht diese Schritte:
1. Bin ich etwa intern? Prüfe via NLS. 2. Nein? Schön, dann bin ich extern. 3. direkt im Internet / kein NAT: nutze 6to4 4. hinter NAT und UDP geht: nutze Teredo 5. hinter NAT, aber UDP blockiert: nutze HTTPS-Tunnel über reines TCP-443

74 Der erste IPsec Tunnel wird bereits vor der Benutzeranmeldung etabliert.
DA-Client UAG Tunnel 1: DA-Client Auth: Computerzertifikat + Computeraccount GPOs, Patches, komplettes Client-Management

75 Benutzeranmeldung...

76

77

78 Der externe DA-Client macht einen Ping auf einen IPv4-Host im Corpnet.

79

80 ...zu kryptisch? - nein, eigentlich gar nicht!

81 c2=194, 19=25, 74=116, 8d=141 ...macht zusammen: 8001= NAT64/DNS64 ist am Werk ac=172, 10=16, 64=100, 01=1 ...macht zusammen:

82 Direkt vom UAG Team-Blog

83 Ping auf einen ISATAP-Host (Vista, Win7 oder W2008)

84

85 Kein NAT64/DNS64 notwendig.
ISATAP ist am Werk. Kein NAT64/DNS64 notwendig.

86 DNS

87 Name Resoltion Policy Table (NRPT)
Feature von Win7 / 2008 DNS-Server-Policies werden ermöglicht (Welcher DNS-Server ist bei Anfrage X zu befragen und welcher bei Anfrage Y)

88 NRPT kann Anfragen beispielsweise an zsphaina.msft an den UAG-DNS, alle anderen Anfragen aber an den DNS des Clients übergeben. kann Ausnahmen zulassen (NLS)

89 NLS

90 ...leiten wir doch mal eine 6to4-IPv6-Adresse aus einer IPv4-Adresse ab.

91 ..so ist das hier (in 6to4 Notation)...
Wenn das hier... ..Ihre IPv4 Adresse ist.. ..so ist das hier (in 6to4 Notation)... ..Ihre IPv6 Adresse!

92 Konnektivität

93

94

95

96

97

98

99

100 Wie sehe ich aktive Verbindungen auf dem UAG Server?

101 http://social. technet. microsoft

102 Windows Advanced Firewall GUI auf dem UAG Server

103

104 ,netsh advfirewall monitor show mmsa‘ auf dem UAG-Server

105

106 ,netsh advfirewall monitor show mmsa‘ auf dem DA-Client

107

108 Stolpersteine

109 HTTP/S Interface auf dem UAG kann nicht starten. Timeout.

110 Lösung: Server neu installieren.

111 Oh Ja. Natürlich. Nicht nur UAG. Der ganze Server bitte einmal neu.

112 Externe DA Clients vom Corpnet aus verwalten
Externe DA Clients vom Corpnet aus verwalten. RDP, Antivirus, AD, alles gut. Aber ich kann keine c$ shares verbinden.

113 http://social. technet. microsoft

114

115 Viele Roadwarriors, welche über WWAN reinkommen, bekommen keinen DirectAccess Aufbau zustande. Warum das?

116 http://social. technet. microsoft

117 Der DA-Client sieht sich direkt im Internet, kein NAT, schaltet also direkt auf 6to4. Prüft aber nicht, ob 6to4 eventuell blockiert wird.

118 Microsoft sagt dazu: “The 6to4 protocol provides no way of discovering if it is blocked on a network: the interface comes online whenever a global IPv4 address is present. “

119 Viele WWAN Provider lassen aber 6to4 Verkehr nicht zu. Und nun?

120 6to4 via GPO deaktivieren
6to4 via GPO deaktivieren. Oder selektiv mit ,netsh interface 6to4 set state disabled‘.

121 Performance Verglichen mit einer direkten PPTP Verbindung (auf einen Astaro 625 Cluster) ist eine direkte Teredo wie auch IP-HTTPS Verbindung zu DirectAccess bei einem SMB-Transfer ca. 40% langsamer. Dies muss natürlich nicht überall so sein. Aber bei uns ist es so.

122 http://social. technet. microsoft

123 Performance Am UAG Server wird es kaum liegen (DELL R710, 15K-SAS-Platten, Raid 10, 16 Gig, Dual XEON 5520, auf dem Server läuft nur UAG, sonst nichts)

124 Sie wollen nur mit IP-HTTPS arbeiten und haben gerade eine Idee, etwaige Performance betreffend?

125 ...Sie denken daran, dass wir ja HTTPS haben und theoretisch IPsec deaktivieren könnten?

126 Durchaus machbar. Nicht via Assistent aber via GPO (Windows Firewall mit erweiterter Sicherheit)

127 In diesem Fall würde die Authentifizierung nach wie vor über IPsec laufen, die Verschlüsselung im Tunnel aber nicht mehr.

128 Aber... Vergessen Sie diesen Tweak auf keinen Fall jemals.
Sollte in Zukunft jemand beispielsweise 6to4 aktivieren, würde ALLES unverschlüsselt über das Netz gehen.

129 Wir haben solch einen Tweak nicht ausprobiert und können ergo auch keine Benchmarkangaben machen.

130 Die Idee an sich stammt ebenso wenig von uns - John Craddock hat diese Möglichkeit auf der TechEd Europe geäußert.

131 Unser Fazit

132 UAG mit DA ist sowohl für die IT als auch für die Benutzer ein kleiner Segen.

133 Der Implementationsaufwand darf aber keinesfalls unterschätzt werden.

134 Danke.

135 Ich verspreche, ich verlasse die folgende Abendveranstaltung erst, wenn ich ALLE Fragen beantwortet habe.

136 PS – sehr wichtige Links
Deep dive into UAG DirectAccess (Tweaking the GPOs) dive-into-uag-directaccess-tweaking-the-gpos.aspx When Good Network Location Servers Go Bad – Preparing Against NLS Failure network-location-servers-go-bad-preparing-against-nls-failure.aspx Designing a DNS Infrastructure for Forefront UAG DirectAccess Designing Your Intranet for Corporate Connectivity Detection Network Location Awareness us/library/cc753545(WS.10).aspx