teched 2009 Direct Access Technical Drilldown PArt 2 Putting it all together

Warum ist die Session zweigeteilt ?

Der Direct Access Wizard funktioniert nur dann gut, wenn die Teile der ersten Session verstanden und richtig konfiguriert wurden !

d.h. bevor ich 6to4, Teredo und IPHTTPS nicht verstanden, konfiguriert und getestet habe, brauche ich den Direct Access Wizard nicht ausführen

 

IPSec

Secure the tunnel – es muss verschlüsselt sein und wir müssen dem Computer vertrauen

Wir reden hier von Authentication auf Netzwerkebene, nicht  auf Benutzerebene/Logon

IPSec ist gemanaged durch IWndows Firewall mit Advanced Security – am besten deployed mit Group Policy

Connetion Rules erzeugen: den Authentication Tunnel (authentication and encrypted) und Authentication connects (computer and user authentication)

Traffice Profile – Rules based on traffic profile

Main Mode – über diesen Kanal wird die Verbindung aufgebaut

Quick Mode – hier werden die Daten transportiert und die Authentifizierung (Computer/User) – dieser Key wird regelmässig ausgetauscht

 

Um ehrlich zu sein – beim Rest habe ich irgendwann abgeschalten….

 

Direct Access Wizard – Tipps

  • remove DNS isatap block
  • Computer certificates must bei issued to computers (wirklich ?)
  • Server certificates must be issued to
    • DA server with external DNS name in certificate
    • NLS web server with nls url address in certificate
  • CRL distribution should be configured in certificate
    • CRL distribution location must bei available on both the INternet and Intranet
  • Wenn der DA Server ausfällt, steht das ganze DA – lass es in einer hochverfüpgbaren VM laufen
  • Loadbalancing möglich mit Forefront UAG

 

Wenn ich das richtig verstanden habe, kann ich mit den vorhanden Bordmittel über DA nur Rechner im Corp-Netz erreichen, die IPv6 installiert haben (unabhängig ob sie auch IPv4 installiert haben) – und ich brauche als EndPoint Server mind. Server 2008.  Um reine IPv4 Rechner erreichen zu können, benötige ich UAG oder 3th Party Lösungen.

Beide Sessions sind eine super Anleitung, wie man Direct Access von Anfang bis zum Ende einrichtet – Folien und Aufzeichnung stelle ich (wenn ich es habe) gerne zur Verfügung.

Auch ist das eine super Troubleshooting Anleitung – wenn man seine Schritte vom Anfang bis zum ENde durchgeht, findet man (wahrscheinlich )den Fehler – wenn ich IPv6, IPv4, Kerberos, IPSec usw. kenne ;)

 

 

Christian – live von der teched in Berlin