Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 1)
Введение
Это серия из трех статей о настройке Forefront UAG в качестве сервера DirectAccess. В части I я покажу вам, как настроить предварительные условия для использования Forefront UAG в качестве сервера DirectAccess. Часть II покажет вам, как настроить Forefront UAG в качестве сервера DirectAccess. Часть III этой серии статей покажет вам, как устранять неполадки с клиентскими подключениями DirectAccess и как отслеживать клиенты DirectAccess с помощью Forefront UAG.
Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.
Давайте начнем
DirectAccess — это новая функция, встроенная в Windows Server 2008 R2 и Windows 7 Ultimate и Enterprise. DirectAccess предоставляет технологию под названием «всегда включен», что означает, что клиент постоянно подключен к корпоративной сети при наличии подключения к Интернету. С помощью DirectAccess пользователи могут получить доступ ко всем корпоративным ресурсам.
Это бесшовное подключение, обеспечиваемое DirectAccess, также позволяет администраторам управлять своими мобильными компьютерами за пределами внутренней сети. Ноутбуки могут обновлять параметры групповой политики, получать обновления программного обеспечения, обновления Windows и сообщать о событиях безопасности в любое время при наличии подключения к Интернету, даже если пользователь не вошел в систему. DirectAccess использует безопасность протокола Интернета (IPsec) для обеспечения целостности и шифрования данных. DirectAccess выполняет проверку подлинности как компьютера, так и пользователя, и может быть настроен на требование двухфакторной проверки подлинности пользователя для доступа к корпоративной сети с использованием смарт-карт и OTP.
Рис. 1. Обзор DirectAccess (Источник: MOC — 50402A-ENU_Module08.pptx)
Требования к инфраструктуре DirectAccess
Для успешной реализации DirectAccess необходимо настроить несколько компонентов внутренней ИТ-инфраструктуры:
Клиент DirectAccess
Присоединенный к домену компьютер под управлением Windows 7 Корпоративная или Windows 7.
Ultimate, клиенты DirectAccess взаимодействуют с корпоративной сетью с помощью Интернет-протокола версии 6 (IPv6) и IPsec, инкапсулированных с помощью технологий перехода IPv4 (6to4, Teredo или IP-HTTPS).
сервер DirectAccess
Присоединенный к домену компьютер под управлением Windows Server 2008 R2 или, как в этой серии статей, использующий Forefront UAG поверх, который принимает подключения от клиентов DirectAccess и устанавливает связь с ресурсами интрасети. Сервер DirectAccess выполняет аутентификацию клиентов DirectAccess и выступает в качестве туннельного маршрутизатора/шлюза IPsec для внешнего трафика, а также в качестве маршрутизатора IPv6/DNS64/NAT64, перенаправляющего сетевой трафик между клиентами, подключенными к Интернету, и клиентами и серверами во внутренней сети. сеть.
Внутренние клиенты и сервер
Внутренние серверы и клиенты также подключены к сети IPv6 и взаимодействуют с клиентами DirectAccess через сервер DirectAccess. Для устаревших приложений и серверов, отличных от Windows, которые не поддерживают IPv6, Forefront UAG преобразует входящий трафик IPv6 в IPv4 с помощью NAT64/DNS64.
NAP-сервер
Вы можете использовать защиту доступа к сети (NAP) в качестве дополнительного компонента для клиентов DirectAccess, которые подключаются к внутренней сети через Forefront UAG.
Консоль DirectAccess в Forefront UAG
На первый взгляд консоль управления DirectAccess в Forefront UAG похожа на консоль Windows Server 2008 R2, но есть некоторые важные отличия. Я покажу вам отличия и способы настройки DirectAccess с помощью Forefront UAG во второй части этой серии статей.
Примечание:
Вам следует пройти через мастер DirectAccess после того, как будут выполнены все необходимые условия. Если не все предварительные условия выполнены, DirectAccess НЕ будет функционировать после завершения шагов мастера.
Рисунок 2: Мастер DirectAccess в Forefront UAG
Требования к Active Directory
Требования Active Directory относительно просты. Forefront UAG создает групповые политики для клиентов DirectAccess, которые могут быть связаны с помощью фильтрации безопасности групповой политики с группой Windows или организационным подразделением Active Directory (OU). В большинстве моих реализаций DirectAccess мы использовали глобальную группу окон, содержащую все ноутбуки Windows 7, которые должны быть включены для DirectAccess. Мастер Forefront UAG DirectAccess создает необходимые объекты групповой политики. Групповая политика для клиентов DirectAccess будет связана с верхним уровнем домена Active Directory с фильтрацией безопасности групповой политики для указанной группы Windows.
Рисунок 3: Группа пользователей Active Directory для ноутбуков DirectAccess
Требования к DNS-серверу
Внутренние клиенты, которые должны подключаться к клиентам DirectAccess в Интернете, должны быть включены для ISATAP. Если клиент/сервер может получить доступ к имени ISATAP, которое указывает на Forefront TMG маршрутизатора ISATAP, клиент активирует свой интерфейс ISATAP и теперь может взаимодействовать с клиентами DirectAcess.
Использование ISATAP не требуется для всей организации. Microsoft не рекомендует включать ISATAP во всей организации. Подробнее об этом заявлении можно прочитать здесь. ISATAP будет использоваться для управляемых возможностей. Клиенты с поддержкой ISATAP смогут взаимодействовать с клиентами DirectAccess, если они не поддерживают собственные протоколы IPv6. Поэтому, если вы хотите включить внутренние клиенты для ISATAP, создайте запись в файле HOSTS на клиенте с именем ISATAP, которое указывает на внутренний IP-адрес сервера Forefront UAG.
Если вы хотите включить ISATAP для всей организации, мы должны создать новую запись хоста с именем ISATAP во внутренней зоне прямого просмотра DNS вашей Active Directory, для которой должен быть включен DirectAccess. Запись хоста ISATAP должна быть связана с внутренним IP-адресом сервера Forefront UAG.
DNS-сервер Windows Server 2008 или более поздней версии не отвечает на запросы следующих имен: ISATAP и WPAD. Поскольку DirectAccess использует ISATAP (протокол автоматической туннельной адресации внутри сайта) в качестве технологии перехода IPv6 для внутренних клиентов и серверов, вы должны удалить ISATAP из глобального черного списка запросов DNS. После удаления ISATAP из черного списка все клиенты и серверы Windows с поддержкой IPv6 активируют свой интерфейс ISATAP и зарегистрируют IP-адрес IPv6 на внутреннем DNS-сервере. Этот IP-адрес будет использоваться для связи между этими клиентами и серверами с клиентом DirectAccess.
Примечание:
Если вы не хотите глобально активировать ISATAP на всех клиентах и серверах, также можно создать запись ISATAP с IP-адресом сервера Forefront UAG в локальном файле HOSTS на клиенте/сервере. На следующем снимке экрана показано, как отключить глобальный черный список запросов DNS.
Рисунок 4. Отключите черный список глобальных запросов DNS.
Центр сертификации
Для развертывания Forefront UAG DirectAccess требуются следующие сертификаты:
Клиентский компьютер DirectAccess
Для каждого клиентского компьютера DirectAccess требуется сертификат компьютера, который используется для установления туннеля IPSEC между клиентом и сервером Forefront UAG, а также при использовании IP-HTTPS для подключения клиента DirectAccess к серверу Forefront UAG, если другие технологии перехода IPV6/IPv4 не могут использоваться из-за ограничений или ограничений в общедоступной сетевой инфраструктуре.
сервер DirectAccess
Серверу DirectAccess требуется сертификат компьютера для установления соединений IPsec с клиентскими компьютерами DirectAccess.
IP-HTTPS-сервер
IP-HTTPS — это технология перехода IPv6, которая позволяет клиентам DirectAccess подключаться к серверу DirectAccess через Интернет IPv4. Forefront UAG действует как веб-сервер IP-HTTPS. Для веб-сайта IP-HTTPS требуется сертификат веб-сервера, и клиенты DirectAccess должны иметь возможность загрузить список отзыва сертификатов (CRL) для сертификата.
Сервер сетевого расположения (NPS)
NPS-сервер — это веб-сервер с привязкой HTTPS, расположенный во внутренней сети. Клиент DirectAccess пытается подключиться к серверу политики сети. Если клиент может получить доступ к серверу DirectAccess, клиент не использует DirectAccess. Если клиент не может подключиться к серверу политики сети, будет включен клиент DirectAccess. Клиент DirectAccess должен иметь возможность загрузить CRL для сертификата, выданного серверу NPS, из внутреннего центра сертификации.
Защита доступа к сети (NAP)
NAP — это необязательный компонент Forefront UAG для повышения безопасности. Сервер центра регистрации работоспособности (HRA) получает сертификаты работоспособности от имени клиентов NAP, определенных как соответствующие требованиям работоспособности сети. Эти сертификаты работоспособности позже используются для проверки подлинности клиентов NAP для обмена данными, защищенными с помощью IPsec, с другими клиентами NAP в интрасети.
OTP-аутентификация
Это также дополнительный параметр конфигурации, позволяющий настроить Forefront UAG DirectAccess с двухфакторной проверкой подлинности с использованием одноразового пароля (OTP).
Проверка подлинности смарт-карты
При желании вы можете реализовать двухфакторную аутентификацию с помощью смарт-карт.
Для всех требований к сертификатам рекомендуется использовать внутренний центр сертификации, интегрированный в Active Directory. Если вы используете внутренний центр сертификации (ЦС), ЦС также опубликует CRL (список отозванных сертификатов).
Клиент DirectAccess должен иметь доступ к CRL, когда он подключается к Интернету, чтобы проверить сертификаты на предмет отзыва, а также когда необходимо установить туннель IPsec или использовать IP-HTTPS в качестве крайней меры для перехода IPv6/IPv4. Поскольку CDP (точка распространения CRL) по умолчанию для HTTP доступна только для внутренних клиентов, мы должны расширить ЦС с помощью CRL, используя общедоступное DNS-имя, доступное из Интернета. Чтобы расширить CDP, запустите консоль управления центром сертификации, перейдите к свойствам ЦС и добавьте дополнительный CDP из типа HTTP, как показано на следующем снимке экрана.
Рисунок 5: Добавьте общедоступное имя хоста для доступа CRL к ЦС
опубликовать список отзыва сертификатов
После того, как ЦС был расширен новой общедоступной CDP для HTTP, мы должны создать решение, которое предоставит клиентам из Интернета доступ к CDP. Есть два распространенных способа сделать это. Для публикации CRL можно использовать Forefront TMG или Forefront UAG.
Для получения дополнительной информации о том, как опубликовать CRL с помощью Forefront TMG, прочитайте следующую статью. Дополнительные сведения о том, как опубликовать CRL с помощью Forefront UAG, см. в следующей статье.
Сервер политики сети (NPS)
Сервер политик сети (NPS) — это веб-сервер с привязкой HTTPS и сертификатом, выданным вашим внутренним ЦС, который используется клиентами DirectAccess для определения того, подключены ли они к корпоративной сети или к Интернету. Если клиент не может получить доступ к URL-адресу HTTPS сервера NPS, клиент активирует свою конфигурацию DirectAccess и пытается установить IPsec-соединение DirectAccess через Forefront UAG с внутренней сетью. Из-за важности доступного сервера NPS корпорация Майкрософт рекомендует обеспечить отказоустойчивость для серверов NPS. Например, вы можете использовать балансировку сетевой нагрузки или виртуализацию для обеспечения высокой доступности.
Конфигурация сервера NPS довольно проста. Установите Windows Server/клиент с ролью IIS (Internet Information Server) и выдайте сертификат веб-сервера для NPS из вашего внутреннего центра сертификации, а также добавьте привязку HTTPS к веб-сайту по умолчанию с ранее выпущенным сертификатом.
Вывод
В этой первой статье мы говорили о предварительных требованиях для реализации DirectAccess с помощью Forefront UAG. Я показал вам, как настроить ваш внутренний центр сертификации и как опубликовать список отозванных сертификатов. Мы также удалили ISATAP из черного списка глобальных запросов DNS, создали запись хоста для ISATAP и создали необходимую группу Active Directory с клиентами DirectAccess.
Ссылки по теме
- Руководство по развертыванию Forefront UAG DirectAccess
- Руководство по планированию Forefront UAG DirectAccess
- Технический обзор Forefront UAG DirectAccess
- Безопасная публикация CDP с помощью Forefront TMG и HTTP-фильтра
- Планирование ЦС и сертификатов для Forefront UAG DirectAccess SP1
- Microsoft Forefront UAG — обзор Microsoft Forefront UAG
- Технический обзор Forefront UAG