Windows Server 2008 R2: Podmínky pro Direct Access

Technologie Direct Access, obsažená ve Windows Serveru 2008 R2 a Windows 7, umožní mobilní, transparentní a bezpečný přístup k intranetovým datům i aplikacím.

Autor: Miroslav Knotek (knotek@kpcs.cz), Microsoft MVP: Security, IT Senior Consultant KPCS CZ, s.r.o.

Trendem posledních let je stále rostoucí počet mobilních uživatelů, kteří potřebují, ať už jsou připojeni odkudkoliv, transparentní a bezpečný přístup k intranetovým datům i aplikacím. Z druhé strany i správci hledají možnosti, jak tyto mobilní počítače spravovat, kontrolovat či záplatovat, i když mnohdy takovýto počítač není třeba i několik dní připojen ve vnitřní síti.

Odpovědí na výše uvedené požadavky je zbrusu nová technologie Direct Access, která je obsažená ve Windows Serveru 2008 R2 a Windows 7. Protože o základních principech fungování a přínosech této služby byla napsána již celá řada textů, v tom článku se zaměříme na klíčové předpoklady pro nasazení služby Direct Access (DA).

Image1.jpg
Direct Access komponenty – instalační průvodce

DA klient

Klient pro využití služby Direct Access musí splňovat následující požadavky:

  • Klient musí být členem Active Directory domény
  • Minimální podporovaná verze OS klienta je Windows 7 Ultimate nebo Enterprise edice, případně Windows Server 2008 R2

DA server

Pro server je již seznam požadavků poněkud delší. Není složité je splnit, ale je potřeba o nich předem vědět a zahrnout je do návrhu celého řešení:

  • Server musí být členem Active Directory domény
  • Podporovaná verze OS serveru je Windows Server 2008 R2
  • Server musí mít minimálně dvě síťová rozhraní – jedno pro připojení do intranetu a druhé do internetu
  • Server musí mít nejméně dvě po sobě následující veřejné IPv4 adresy, které jsou dosažitelné pomocí překladu jmen externí služby DNS. Druhá IP adresa je nutná pro běh Teredo serveru, který zajišťuje konektivitu klientů, kteří jsou připojeni k Internetu pomocí IPv4 a navíc za NATem.
  • DA server nesmí být umístěn za NATem
Image2.jpg
Nastavení sítě pro DA server

Infrastruktura

Z hlediska požadavků na existující infrastrukturu je nutné se zaměřit především na následující technologie:

PKI

Direct Access využívá dokonce hned několik různých typů digitálních certifikátů, navíc digitální certifikáty jsou základním prvkem autentizace v rámci DA přístupu. Před implementací DA je tedy nutné mít dobře navržené a funkční PKI, které bude umět poskytovat certifikáty pro DA v následujících scénářích:

  • Každý DA klient musí mít vystaven platný počítačový certifikát pro úspěšnou IPSec autentizaci.
  • V případě přístupového modelu jiného než end-to-edge musí mít takovýto certifikát pro IPSec autentizaci také každý server v intranetu, ke kterému budou DA uživatelé přistupovat.
  • DA server musí mít platný SSL serverový certifikát. Tento certifikát je využíván v rámci přístupového protokolu IP-HTTPS. Certifikát musí být vystaven na jméno (FQDN), pod kterým je server publikován v Internetu. Dále musí obsahovat minimálně jedno CDP (CRL Distribution Point), které je platné a především dostupné z Internetu.
  • Platný SSL serverový digitální certifikát musí být také vystaven pro tzv. Network Location Server – na tento server směřuje HTTPS URL, podle kterého DA klient poznává, zda se nachází ve vnitřní síti či na Internetu a měl by tak iniciovat připojení pomocí DA.  U tohoto certifikátu dostačuje CDP dostupné v rámci vnitřní sítě.
  • V případě integrace DA se službou pro kontrolu zdraví – NAP, musí být PKI také schopno vystavovat krátkodobé certifikáty pro počítače, které HRA (Health Registration Authority) označí jako zdravé.
  • Volitelnou možností je autentizace IPSec tunelu pomocí čipových karet (Smart Cards). I pro tuto volbu je samozřejmě existence PKI nutností.

Active Directory / Group Policy

Active Directory je vyžadována především pro poskytování Kerberos autentizace, ale také např. i pro usnadnění konfigurace DA klientů pomocí Group Policy – nastavení IPSec politik, konfigurace brány Windows Firewall atd. Prostředí bez Active Directory není podporováno.

DNS / Doménový řadič

Minimálně jeden DNS server a doménový řadič musí splňovat požadavek na verzi OS:

  • Windows Server 2008 SP2 a vyšší
  • Windows Server 2008 R2

Externí IPv6 konektivita

Direct Access je služba zcela závislá na protokolu IPv6. Protože většina firem zatím ještě IPv6 plně nenasadila a ani připojení k Internetu nebývá běžně realizováno pomocí IPv6, je možno využívat řadu tranzitních technologií, které umožňují ustavit IPv6 spojení mezi DA serverem a DA klientem po IPv4 síti.

 

DA klient je připojen k Internetu pomocí:Preferovaný způsob připojení:
Globálně směrovatelné IPv6 adresyGlobálně směrovatelná IPv6 adresa
Veřejné IPv4 adresy6to4
Privátní IPv4 adresy / NATTeredo
Pokud se klient nedokáže připojit žádnou jinou metodou k DA serveruIP-HTTPS
Přístupové metody k DA serveru

Interní IPv6 konektivita

DA klient je schopen komunikovat pouze se servery v intranetu, které jsou dostupné pomocí protokolu IPv6. V zásadě existují tři způsoby jak interní IPv6 konektivitu zajistit:

  • Nakonfigurovat vnitřní síť tak, aby nativně směrovala IPv6 protokol. Z hlediska verze OS Windows platí, že Windows Vista resp. Windows Server 2008 a vyšší mají podporu IPv6 zapnutou již ve výchozím nastavení. Ve Windows XP či Windows Serveru 2003 je možné IPv6 také zkonfigurovat. Podporu IPv6 můžeme dnes nalézt i v jiných typech operačních systémů.
  • V případě, že interní servery sice mají IPv6 adresy, ale síť jako taková je z hlediska IPv6 nesměrovatelná, je možné využít tranzitního mechanismu ISATAP. ISATAP umí doručit IPv6 pakety pomocí tunelu, který je ustaven v rámci IPv4 sítě.
  • Posledním řešením je implementace HW zařízení s podporou Network Address Translation–Protocol Translation (NAT-PT). NAT-PT poskytuje překladové služby, které v našem případě umožňují připojení DA klienta komunikujícího pomocí IPv6 s intranetovým serverem, který umí pouze IPv4.

Závěr

Direct Acces je poměrně převratnou novinkou a myslím, že má všechny předpoklady pro masivní nasazení v malých i velkých organizacích. Pro úspěšné nasazení je ale potřeba znát a rozumět všem požadavkům, které nasazení DA skrývá. Splnění těchto podmínek, ať už se jedná o PKI infrastrukturu, IPv6 konektivitu či další, by mělo být součástí každého návrhu DA řešení.


Sledujte Živě na Facebooku

celkem 2

Poslední komentáře Komentáře

Diky, presne tenhle vycuc k DA byl potreba...... kaspikk 28.  7.  2009 13:25
Konečně služba, která bude i firmy motivovat k... zajDee 28.  7.  2009 11:08
Přidat příspěvek Zobrazit vše


Další podobné články

Budoucnost Windows: v cloudu za předplatné

Budoucnost Windows: v cloudu za předplatné

Microsoft se svým operačním systémem zaspal dobu. Konkurence již nabízí OS zdarma s častými aktualizacemi. Jakým směrem se bude Windows ubírat v následujících letech?

Včera  |  Janů Stanislav  |  26

Další Update pro Windows 8.x dorazí nejspíše v srpnu

Další Update pro Windows 8.x dorazí nejspíše v srpnu

23.  4.  2014  |  Čížek Jakub  |  19
Microsoft představil vzdálenou plochu pro Windows Phone 8.1

Microsoft představil vzdálenou plochu pro Windows Phone 8.1

23.  4.  2014  |  Čížek Jakub  |  4
SurroundWeb chce proměnit obývací pokoj v Minority Report

SurroundWeb chce proměnit obývací pokoj v Minority Report

18.  4.  2014  |  Čížek Jakub  |  6
MySQL a Oracle, třeste se. Je tu nový Microsoft SQL Server 2014

MySQL a Oracle, třeste se. Je tu nový Microsoft SQL Server 2014

17.  4.  2014  |  Čížek Jakub  |  9

DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN