Seriál: Nasazujeme Direct Access - úvod a požadavky (část 1.)

  • Article

Tento seriál popisuje základní konfiguraci a požadavky pro nasazení technologie Direct Acess na Windows Serveru 2008 R2. Ucelená verze seriálu bude v závěru ke stažení ve formátu PDF.

DirectAccess je zcela nová technologie Windows 7 a Windows 2008 R2, díky které můžete přistupovat a využívat tak prostředků ve vaší organizaci bez VPN klienta. DirectAccess vytvoří zabezpečené obousměrné spojení mezi každým klientem, který má dostatečné síťové připojení do internetu. Technologie DirectAccess je zcela závislá na protokolu IPv6.

V tomto dokumentu si popíšeme základní prvky instalace a konfigurace jednotlivých komponent DirectAccess technologie. Určitě zde nemohou být pokryty veškeré možnosti konfigurace, nicméně konfigurace a instalace DirectAccess komponent není nikterak složitá, ale je velmi důležité vše velmi dobře připravit a rozmyslet. Nasazení DirectAccess je velkým zásahem do stávajících infrastruktury, hlavně z důvodu nutnosti využívání a nasazení IPv6 protokolu do vaší infrastruktury.

Komponenty Direct Access

V následujícím odstavci se podíváme blíže na jednotlivé komponenty, na kterých je DirectAccess závislý. Tuto technologii můžeme nasadit v různých scénářích, mezi které patří následující:

  • Full Intranet access – V tomto případě jsou ustaveny 2 IPSEC tunely mezi klientem a DA serverem. Jeden je tzv. infrastrukturní, který slouží pro komunikaci s doménovými řadiči a DNS servery a druhý tunel je využíván pro přístup do interní sítě obecně
  • Full Intranet access with Smart Cards – Stejně konfigurované IPSEC tunely jako v předchozím případě, ale druhý tunel pro komunikaci do interní sítě je ustavován za pomoci Smart karty
  • Selected Servers access – Také zde jsou vytvořeny 2 IPSEC tunely, jeden je infrastrukturní a druhý je ustavován přímo proti serverům v interní síti. Druhý tunel tedy není terminován na DirectAccess Serveru, ale je pouze „propuštěn“ na servery v interní síti
  • End-to-End Access – V tomto případě je IPSEC ustavován mezi klientem a servery v interní síti vždy. V tomto případě není používán infrastrukturní tunel a IPSEC tunely jsou propouštěny přes DirectAccess server.

V našem dokumentu se zaměříme na první zmiňovaný scénář, který je pro demonstraci DirectAccess technologie asi nejlepší.

Jak již bylo napsáno v úvodu, tato technologie vyžaduje nasazení IPv6. V tomto případě máte na výběr ze dvou možností:

  • Využití automatického tunelovacího mechanizmu ISATAP
  • Nasazení IPv6 na stávající síti bez využití tunelování

Obě varianty jsou použitelné pro nasazení DirectAccess a jsou tedy funkční. Využívání ISATAP adaptérů a tunelování obchází některé požadavky, které jsou nutné při plné implementaci IPv6 na interní síti. Na druhé straně je ISATAP protokolu vyčítána závislost na protokolu vyšší vrstvy, což může v některých případech způsobovat problémy.

Technologie DirectAccess dále vyžaduje nasazení následujících služeb, požadavky na jejich přesnou konfiguraci rozebereme níže v dalších kapitolách tohoto dokumentu.

  • Certifikační autorita
  • Active Directory a GPO
  • NLS – Network Location Service
  • ISATAP router v případě využívání technologie ISATAP

Tyto služby mohou být nasazeny ve zhuštěné konfiguraci na dvou serverech, nebo může být infrastruktura distribuovaná ve výrazně složitější konfiguraci. Obě varianty jsou znázorněny na následujících obrázcích. V případě, že se rozhodnete pro nasazení pouze jednoho serveru pro DA a další služby, důrazně doporučuji využívat alespoň virtualizačních technologií k dosažení požadované dostupnosti celého řešení.

Volitelnou součástí je implementace NAP technologie, se kterou DirectAccess dokáže velmi úzce spolupracovat. V poslední řadě bych zmínil možnost využívání čipových karet k zabezpečení celého procesu.

da1_1

Jedna z možných variant distribuovaného řešení

da1_2

Varianta s nejjednodušší možnou konfigurací

Další možné varianty jsou pro nasazení DirectAccess v topologiích s více pobočkami. V těchto případech je možné nasadit více DirectAccess serverů, které jsou klienty vybrány pomocí tzv. geo-locator služby. Popis těchto konfigurací je už nad rámec tohoto dokumentu a v případě potřeby můžete využít následující odkaz: https://technet.microsoft.com/en-us/library/ff625682(WS.10).aspx

Požadavky

Nároky na software

DirectAccess vyžaduje edice Windows 7 Enterprise, nebo Ultimate na straně klienta a Windows 2008 R2 na straně serveru.

DNS servery a globální katalog musí běžet na Windows 2008 nebo R2. Pro Windows 2008 je nutná instalace hotfixu - 958194 https://go.microsoft.com/fwlink/?LinkId=159951.

Veškeré servery nebo aplikace, které mají být dostupné přes technologii DirectAccess musí být schopné komunikovat přes IPv6. Pozor tedy na aplikace běžící výhradně na IPv4 síťovém stacku. Typickým příkladem takových aplikací mohou být např. staré aplikace provozované na Windows NT, nebo UNIX systémech. Takové aplikace mohou být dále dostupné přes technologie jako je NAT64 a podobné, ale jejich nasazení je většinou dost náročné. Můžete případně sáhnout po instalaci klientů na Terminálové servery Windows Serveru, což je v mnoha případech nejlepší možné řešení.

Nároky na síťovou infrastrukturu

V závislosti na zvolené topologii pro instalaci je nutná podpora pro IPV6 na síťových prvcích uvnitř organizace, nebo alespoň nasazení ISATAP pro tunelování IPv6 na vnitřní síti.

Dále jsou nutné dvě veřejné (po sobě jdoucí v abecedním pořadí) IPv4 adresy, které budou sloužit pro přístup klientů přes DirectAccess.

Stručně o IPv6

V následujících odstavcích se velmi stručně seznámíme s protokolem IPv6, ukážeme si různé druhy adres a možností tunelování IPv6 přes IPv4 sítě. Pro fungování DirectAccess je tato technologie naprosto klíčová, proto je velmi důležité se seznámit s tímto protokolem. Toto téma je natolik složité že jej zde nebudeme rozebírat do hloubky, nicméně v poslední kapitole je obsaženo několik odkazů na externí zdroje, kde se k této problematice můžete dozvědět podstatně více.

IP verze 6 je nástupcem stávajícího protokolu IPv4. Tento protokol by měl do budoucna odstranit problém s vyčerpáním IPv4 adresního prostoru a tímto umožnit další rozvoj. Protokol IPv6 není zpětně kompatibilní s protokolem IPv4. Díky tomuto problému vzniklo mnoho podpůrných technologií, které umožnují převod či postupný přechod k protokolu IPv6.

Adresy v IPv6
Adresy v IPv6 jsou 128 bitové, tak aby nedošlo k podobným problémům jako u IPv4. Díky tomu, že jsou adresy dlouhé a jen těžko zapamatovatelné, se přešlo ke zjednodušení zápisu k hexadecimální soustavě, kde se každá čtveřice odděluje pomocí znaku dvojtečky. I takto upravený zápis je velmi složitě zapamatovatelný.

Příklad IPv6 adresy: 2001:4860:8009:0000:0000:0000:0000:0068

Stejnou IP můžeme zapsat také ve zjednodušeném formátu, kdy se mohou vypustit nulové skupiny v adrese, ty jsou pak nahrazeny dvojicí dvojteček. Stejná IP adresa pak ve zjednodušeném formátu vypadá takto: 2001:4860:8009::68

Zápis prefixů je stejný nebo obdobný jako u IPv4 tedy adresa/délka.

Stejně jako u IPv4 jsou vybrány druhy adres (prefixů), které jsou vymezeny pro různé účely.

prefix

Použití

::1/128

loopback

fe80::/10

Lokální linkové adresy.Link-local

fc00::/7

Unikátní individuální lokální adresy (Unique lolcal address (ULA))

2001::/32

Prefix využívaný pro Teredo

2002:/16

Prefix vyhrazený pro 6to4.

Teredo
Teredo je automatický tunelovací mechanizmus, který využívá přenosu přes IPv4. Jeho obrovskou výhodou je možnost automaticky se vypořádat s NAT na IPv4. K přenosu využívá velmi složitý systém adres. Přenos dat mezi Teredo klientem a IPv6 světem zajišťuje tzv. Teredo relay. Výhodou protokolu je, že můžeme téměř všude komunikovat pomocí IPv6, ale na druhou stranu jsou přenosy dosti pomalé, právě z důvodů využívání Teredo serverů.

ISATAP
Tunelovací mechanizmus, který je určen pro provoz na interních sítích. Je odvozen od zkratky Intra Site Automatic Tuneling Adapter. Adresy jsou odvozovány od IPv4 adres a jejich formát tedy je:

UnicastPrefix:0:5EFE:w.x.y.z, nebo UnicastPrefix:200:5EFE:w.x.y.z, kde w.x.y.z je IPv4 adresa.

6to4
Tunelovací mechanizmus, který umožňuje propojit dvě nebo více IPv6 sítí. V tomto případě mají adresy prefix 2002:XXXX:XXXX::/48, kde XXXX:XXXX je IPv4 adresa.

6over4
Přenos paketů přes IPv4 využívající multicast. Jeho použití je velmi limitované.

NAT-64
Technologie určená k usnadnění přechodu mezi IPv4 a IPv6. Díky této technologii je možné přistupovat k IPv4 prostředkům přes IPv6 síť. NAT64 je novější variantou od NATPT, ale je pouze jednosměrný.

NAT-PT
Obdobná technologie jako NAT-64, která je starší a měla spousty nevýhod. Obecným problémem byla obousměrnost komunikace, kterou tato technologie chtěla zaručit.

- Jan Slavík

Další díly seriálu:
Seriál: Nasazujeme Direct Access - příprava a konfigurace DirectAccess Connectivity Assistant (část 6. - poslední) (vychází 24. 6. 2010)
Seriál: Nasazujeme Direct Access - nastavení firewallu (část 5.) (vychází 25. 6. 2010)
Seriál: Nasazujeme Direct Access - vygenerování certifikátů na DirectAccess Serveru (část 4.)
Seriál: Nasazujeme Direct Access - automatická distribuce klientských certifikátů (část 3.)
Seriál: Nasazujeme Direct Access - instalace WS 2008 R2 (část 2.)