Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 2)

Опубликовано: 7 Апреля, 2023

  • Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 1)

Введение

Это серия статей из трех частей. В части I я объяснил, как настроить предварительные условия для использования Forefront UAG в качестве сервера DirectAccess. В этой статье показано, как настроить Forefront UAG в качестве сервера DirectAccess. Часть III этой серии статей покажет вам, как устранять неполадки с клиентскими подключениями DirectAccess и как отслеживать клиенты DirectAccess с помощью Forefront UAG.


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

Давайте начнем

В первой части этой серии статей мы завершили установку всех необходимых компонентов для успешной реализации Forefront UAG DirectAccess. Пришло время использовать консоль управления Forefront UAG, чтобы включить DirectAccess для вашей организации.

Начнем с шага 1.


Рис. 1. Консоль DirectAccess в Forefront UAG

Мы хотим разрешить клиентам DirectAccess подключаться к корпоративным ресурсам и включить удаленное управление компьютерами DirectAccess, как показано на следующем снимке экрана. В качестве дополнительного шага также можно включить DCA (помощник по подключению клиента DirectAccess). DCA устанавливает небольшой программный пакет (пакет MSI) на клиенте DirectAccess, и на панели задач клиентов создается символ программы. DCA сообщает об активности клиента DirectAccess для конечного пользователя и предлагает некоторые дополнительные шаги по устранению неполадок, когда DirectAccess работает не так, как ожидалось.


Рисунок 2. Включите DirectAccess для доступа к внутренним ресурсам

Включите DirectAccess для клиентских компьютеров в вашей инфраструктуре Active Directory и выберите домен(ы), для которых вы хотите включить DirectAccess.

Forefront UAG автоматически создает три объекта групповой политики, которые позже будут связаны с верхним уровнем домена Active Directory и отфильтрованы с помощью фильтрации безопасности групповой политики. Администраторы могут изменять настройки по умолчанию.


Рисунок 3. Автоматическое создание объектов групповой политики

Можно включить DirectAccess для группы безопасности Active Directory или организационных единиц (OU). Я рекомендую применять DirectAccess к группе безопасности, потому что это более гибко.


Рисунок 4. Включение DirectAccess для группы окон

Для Forefront UAG DirectAccess требуются два проводящих общедоступных IPv4-адреса, выходящих в Интернет, а для внутреннего IP-адреса сервера Forefront UAG Server необходимо создать запись узла с именем ISATAP во внутренней зоне прямого просмотра DNS вашей инфраструктуры Active Directory. Мы сделали это в части I этой серии статей, а также удалили ISATAP из списка блокировки глобальных запросов DNS.


Рисунок 5: Конфигурация IP-адреса DirectAccess

Далее мы должны выбрать сертификат сервера, используемый для аутентификации клиентов DirectAccess. Этот сертификат используется для IP-HTTPS — последней технологии перехода, используемой клиентом DirectAccess, когда собственное подключение IPv6 или подключение Teredo невозможно. Прежде чем можно будет выбрать этот сертификат в мастере Forefront UAG DirectAccess, мы должны запросить сертификат компьютера через оснастку MMC сертификата локального компьютера у внутреннего центра сертификации. Клиенты DirectAccess должны доверять выдающему центру сертификации. Это должно быть правдой, когда вы используете интегрированный в Active Directory ЦС, где сертификат корневого ЦС будет автоматически распространяться каждому клиенту, присоединенному к домену.

CDP (точка распространения CRL) должна быть доступна для клиентов DirectAccess в Интернете. Мы изменили CDP ЦС и опубликовали CDP в части I этой серии статей.


Рисунок 6: Сертификат для IP-HTTPS

Выберите ЦС, который будет выдавать сертификаты для проверки подлинности IPsec. Forefront UAG и клиенты должны доверять ЦС, а клиентам DirectAccess требуется сертификат компьютера для установления туннеля инфраструктуры IPsec. Мы сделали это в части I нашей серии статей.

Одно дополнительное примечание:
 При наличии большого количества клиентов DirectAccess также можно использовать автоматическую регистрацию сертификатов компьютеров для автоматической подачи заявок на сертификаты компьютеров.


Рис. 7. Укажите внутренний корневой ЦС

В качестве следующего шага мы должны указать URL-адрес, используемый клиентами DirectAccess, чтобы определить, подключены ли они к корпоративной сети или к Интернету. Сервер NLS (Network Location Server) — это веб-сервер в корпоративной сети с привязкой HTTPS и сертификатом веб-сервера, выданным внутренним центром сертификации. Мы говорили о реализации сервера NLS в первой части этой серии статей.

Пожалуйста, обрати внимание:
 Сервер NLS будет исключен для доступа клиентов DirectAccess из Интернета. Таким образом, в типичных средах следует использовать выделенный сервер NLS без требуемой функциональности от клиентов DirectAccess, подключенных к Интернету.


Рисунок 8. Проверка доступности сервера NPS

Следующий шаг важен для внутреннего разрешения имен DNS для клиентов DirectAccess, подключенных к Интернету. DNS-суффиксы, указанные здесь, будут разрешены Forefront UAG DNS64. Forefront UAG устанавливает собственный DNS-сервер, который отвечает за разрешение имен записей IPv4/IPv6 A и AAAA.


Рис. 9. Внутренний DNS-суффикс для разрешения имен DNS64 через Forefront UAG

Мы хотим включить DirectAccess для локального домена Active Directory.

Следующий шаг мастеров Forefront UAG DirectAccess позволяет администраторам добавлять внутренние серверы управления. Эти серверы управления могут получить доступ к клиенту DirectAccess после того, как будет установлен первый туннель IPsec (туннель инфраструктуры).


Рисунок 10: Список серверов инфраструктуры

Шаг 4 является необязательным и позволяет администраторам настроить сквозную аутентификацию и шифрование трафика на выбранные серверы приложений.

После того, как все этапы настройки будут успешно настроены, нажмите «Применить политику». Forefront UAG позволяет просмотреть этапы настройки до того, как Forefront UAG создаст объекты групповой политики. Перед применением конфигурации внимательно проверьте настройки.


Рисунок 11: Параметры групповой политики, созданные мастером DirectAccess

Нажмите Применить сейчас.

Forefront UAG теперь создает объекты групповой политики в Active Directory. Если сервер Forefront UAG не имеет необходимых разрешений для создания объектов групповой политики, вы можете экспортировать параметры в сценарий, а другой пользователь с соответствующими разрешениями Active Directory может использовать Windows PowerShell для создания объектов групповой политики с помощью созданного ранее сценария.


Рисунок 12: Создание сценария групповой политики

Щелкните Активировать, чтобы активировать конфигурацию DirectAccess на сервере Forefront UAG. Forefront UAG теперь вносит некоторые изменения в конфигурацию и активирует, например, свои собственные службы DNS64/NAT64.

Если вы хотите создать резервную копию конфигурации Forefront UAG перед ее активацией, установите соответствующий флажок.


Рисунок 13: Активация и резервное копирование DirectAccess

После успешной активации проверьте объекты групповой политики, созданные Forefront UAG. Запустите консоль управления групповой политикой на сервере Forefront UAG или контроллере домена Active Directory и найдите объекты групповой политики DirectAccess.

Кончик:
 Чтобы лучше понять, как работает DirectAccess, очень полезно ознакомиться с различными настройками групповой политики.


Рисунок 14: Объекты групповой политики, созданные Forefront UAG

Последним шагом является применение групповой политики UAG DirectAccess: Clients к записной книжке DirectAccess. Подключите ноутбук к корпоративной сети и запустите GPUPDATE /force из командной строки, перезагрузите машину и проверьте, успешно ли применена групповая политика DirectAccess к клиенту. После этого отключите клиент от корпоративной сети, включите доступ к общедоступному провайдеру Интернет-услуг и проверьте, может ли Ноутбук получить доступ к корпоративным сетевым ресурсам. Если подключение не было успешным или если вы хотите отслеживать клиентов DirectAccess, подключающихся к серверу Forefront UAG, вам следует прочитать часть III этой серии статей.

Вывод

Во второй статье мы рассмотрели активацию DirectAccess в Forefront UAG. Я выполнил необходимые шаги для успешной реализации DirectAccess с помощью Forefront UAG. В части III этой серии статей я покажу вам, как отслеживать и устранять неполадки подключения DirectAccess на стороне клиента и с помощью Forefront UAG.

Ссылки по теме

  • Руководство по развертыванию Forefront UAG DirectAccess
  • Руководство по планированию Forefront UAG DirectAccess
  • Технический обзор Forefront UAG DirectAccess
  • Безопасная публикация CDP с помощью Forefront TMG и HTTP-фильтра
  • Планирование ЦС и сертификатов для Forefront UAG DirectAccess SP1
  • Microsoft Forefront UAG — обзор Microsoft Forefront UAG
  • Технический обзор Forefront UAG

  • Microsoft Forefront UAG — настройка Forefront UAG в качестве сервера DirectAccess (часть 1)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023