Seriál: Nasazujeme Direct Access – instalace WS 2008 R2 (část 2.)


Pro potřeby technologie DirectAccess je vyžadována běžná instalace Windows Server 2008 R2 serveru. Jen je dobré dodržet některé běžné zásady pro instalaci. Pro přehlednost doporučuji pojmenovat jednotlivá síťová rozhraní jednoznačnými jmény, např. Internal a External. Dále nastavte statické adresy na jednotlivých síťových kartách. Pokud je nutné nastavit routovací pravidla, pak je nastavte.

Pokud budete veškeré potřebné komponenty instalovat na jeden server, pak po instalaci přidáme IIS pomocí konfigurace rolí na serveru.

da2_1

da2_2

da2_3

da2_4

V konfiguraci IIS přidáme pouze IP and Domain Restrictions. Tuto součást využijeme při konfiguraci NLS.

Dále si připravíme adresář a webovou aplikaci pro distribuci CRL. Spustíme IIS Manager a zvolíme „Default Web Site“ a kontextovém menu zvolíme Add –> Virtual Directory. Samozřejmě si můžeme vytvořit samostatnou webovou aplikaci, pokud je to vyžadováno. V následujícím okně zapíšeme název virtuálního adresáře, v našem případě CRLD. V položce Physical Path, zvolíme požadovanou cestu a následně vytvoříme nový adresář CRLDist, který budeme využívat pro kopírování CRL.

clip_image010

Po vytvoření virtuálního adresáře, je nutné nakonfigurovat volbu allowDoubleEscaping. Toto provedeme tak, že v levé části vybereme nově vytvořený adresář a v části Management spustíme Configuration Editor. Ve vrchním stromečku vybereme sekci system.webServer\security\requestFiltering – vybereme allowDoubleEscaping a změníme z False na True.

clip_image012

Po konfiguraci IIS je ještě nutné pro adresář CRLDist nastavit sdílení. Najdeme si adresář pomocí průzkumníka, zvolíme z kontextového menu Properties - > záložka Sharing -> Advanced Sharing. K názvu adresáře přidáme znak $ a následně přidáme práva pro počítačový účet naší certifikační autority. V mém případě se Certifikační autorita jmenuje DC1. Celý postup potvrdíme OK.

da2_5

Příprava Active Directory

Úpravy, které jsou nutné provést v ActiveDirectory nejsou nikterak složité. Při konfiguraci DirectAccess vznikají v ActiveDirectory dva GPO objekty. Tyto objekty jsou následně využívány pro konfiguraci DirectAccess Serveru. Pokud pro konfiguraci DirectAccess budeme využívat průvodce, pak nám tyto objety vytvoří Direct Access průvodce sám.

Pro aplikaci GPO je doporučeno vytvořit skupinu, kterou budeme využívat pro filtrování GPO objektů.

Vytvořte tedy obdobně jako na následujícím obrázku bezpečnostní skupinu. Bude sloužit pro klienty DirectAccess.

clip_image016

Konfigurace certifikační autority

Jak již bylo napsáno pro korektní fungování DirectAccess je nezbytné využívání certifikátů. Zapotřebí je hned několik certifikátů. Než se ovšem pustíme do generování a konfigurování certifikátů, je nutná úprava distribuce revokačních listů certifikační autority (CRL). Revokační listy musí být pro korektní fungování DirectAccess dostupné přímo z internetu. Bez tohoto by nebyl funkční tunel přes HTTPS.

Úprava publikace CRL

Otevřeme konzolu Certifikační autority, označíme naší certifikační autoritu a z kontextového menu volíme Properties.

clip_image018

Na záložce Extensions musíme dokonfigurovat distribuci CRL na náš DirectAccess server, nebo jiný server, který bude dostupný z internetu přes HTTP. Pro přidání distribučního bodu CRL zvolme Add. A do políčka Location napíšeme adresu pro CRL např. http://crl.organizace.cz/crld/ . Dále pomocí tlačítka insert postupně zvolíme <CAName> , <CRLNameSuffix>, <DeltaCRLAllowed>. Na konec řádky Location připíšeme .crl a potvrdíme tlačítkem OK.

clip_image020

Na záložce extensions máme nyní o jeden řádek více. Tento řádek si označíme a nastavíme tyto dvě položky:

  • Include in CRLs. Clients use this to find Delta CRL locations
  • Include in the CDP extension of issued certificates

clip_image022

Znovu zvolíme Add a přidáme UNC cestu k distribuci CRL. V následujícím dialogu do políčka Location napíšeme UNC cestu k distribuci CRL. Dále pomocí tlačítka insert postupně zvolíme <CAName> , <CRLNameSuffix>, <DeltaCRLAllowed>. Na konec řádky Location připíšeme .crl a potvrdíme tlačítkem OK.

Na záložce extensions máme nyní o další řádek více. Tento řádek si označíme a nastavíme tyto dvě položky:

  • Publish CRLs to this location
  • Publish Delta CRLs to this location

clip_image024

Potvrdíme tlačítkem OK a restartujeme službu certifikační autority.

- Jan Slavík

Další díly seriálu:
Seriál: Nasazujeme Direct Access - příprava a konfigurace DirectAccess Connectivity Assistant (část 6. - poslední) (vychází 24. 6. 2010)
Seriál: Nasazujeme Direct Access - nastavení firewallu (část 5.) (vychází 25. 6. 2010)
Seriál: Nasazujeme Direct Access - vygenerování certifikátů na DirectAccess Serveru (část 4.)
Seriál: Nasazujeme Direct Access - automatická distribuce klientských certifikátů (část 3.)
Seriál: Nasazujeme Direct Access - úvod a požadavky (část 1.)

Comments (0)

Skip to main content