Seriál: Nasazujeme Direct Access - nastavení firewallu (část 5.)
Pro korektní fungování DirectAccess jsou nutné některé síťové prostupy, které jsou dány spíše technologií kterou DirectAccess využívá. Rozdělme tedy síťové požadavky na několik částí:
Internetová konektivita
Jak již bylo popsáno dříve, pro korektní fungování jsou nutné dvě po sobě jdoucí IP adresy. Dále je nutné povolit pro IPv4 :
- Protocol 41 inbound and outbound
- User Datagram Protocol (UDP) destination port 3544 inbound
- UDP source port 3544 outbound
- TCP destination port 443 inbound and TCP source port 443 outbound
Pokud máte již IPv6 připojení jsou to tyto porty a protokoly:
- Protocol 50
- UDP destination port 500 inbound and UDP source port 500 outbound
- UDP destination port 4500 inbound and UDP source port 4500 outbound
- ICMPv6 traffic inbound and outbound
Intranetová konektivita
- Veškeré IPv4 a IPv6 přenosy z a na DirectAccess server
- Protocol 41 inbound and outbound
Podrobněji o této tématice můžete najít na: https://technet.microsoft.com/en-us/library/ee382294(WS.10).aspx
Konfigurace ISATAP
Pokud nemáte nasazenou IPv6 uvnitř vaší organizace, pak je nutné nakonfigurovat protokol ISATAP. Konfiguraci IPv6 prefixu a konfiguraci ISATAP routeru za nás provedl průvodce konfigurací DirectAccessu. ISATAP je trochu zvláštní protokol, jedna z věcí která je mu vyčítána, je jeho závislost na protokolu vyšší vrstvy. Všichni klienti, kteří mají zapnutý tunelovací adaptéry ISATAP, hledají při startu záznam v DNS se jménem ISATAP. Pokud tento záznam najdou, automaticky adaptér nakonfigurují a spustí.
Z bezpečnostních důvodů je záznam ISATAP v Microsoft DNS blokován. Pokud tedy chceme začít využívat ISATAP adaptérů a tunelování IPv6 na interní síti musíme tento záznam odblokovat. A vašich DNS serverech musíte spustit nástroj regedit. Přejdeme do této cesty v registrech: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Najdeme klíč GlobalQueryBlockList a uvnitř vymažeme záznam isatap. Následně restartujeme DNS službu. Stejný postup zopakujeme na dalších DNS serverech, pokud jej máme.
Pokud vaše infrastruktura obsahuje více doménových řadičů a více různých IPv4 subnetů, nezapomeňte nakonfigurovat i IPv6 subnety pro jednotlivé AD Sites.
Konfigurace DirectAccess
Nyní bychom měli mít vše potřebné ke konfiguraci DirectAccess serveru připraveno. V bodech pro jistotu ještě uvádím, tak aby si každý mohl překontrolovat:
- Implementované IPv6 na interní síti nebo odblokovaný záznam ISATAP v DNS
- Vytvořený DNS záznam na interním DNS pro NLS
- Vytvořený záznam na externím DNS pro DirectAccess
- Vygenerované dva certifikáty (NLS server, IP-HTTPS)
- Natavení Firewallů
Pokud máme vše připravené, můžeme přidat komponentu DirectAccess Management Console.
Po přidání DirectAccess Management konzole můžeme přistoupit ke konfiguraci. Přejdeme do části Setup. Pokud jsou splněny veškeré předpoklady k úspěšné konfiguraci, můžeme začít prvním krokem, volbou Remote Clients.
Pomocí tlačítka Configure zobrazíme dialogové okno k přidání skupiny klientů. Tlačítkem Add přidáme skupinu, kterou jsme si dříve připravili pro klienty DirectAccess.
Druhým krokem je konfigurace DirectAccess Serveru. V následujícím průvodci jen překontrolujeme korektní přiřazení síťových rozhraní. Podle těchto adres bude následně nakonfigurován ISATAP router.
Ve druhém kroku musíme vybrat dva certifikáty. První výběr obsahuje volbu certifikační autority, ze které musí být vydávány certifikáty pro klientské počítače. Druhá volba je výběr certifikátu pro HTTPS tunel.
Třetím průvodcem je průvodce nastavení infrastruktury. Pokud máte, obdobně jako já, NLS server umístěn na serveru, vyberte druhou volbu. Na funkčnosti této části závisí korektní fungování DirectAccess klientů, proto je zde doporučeno instalovat NLS na vysoce dostupný server. Pokud bude tato komponenta nedostupná, nemusí klientské počítače fungovat v interní síti. NLS komponenta slouží pro detekci interní sítě. NLS není nic jiného než web server, který je dostupný pouze v případě, že je klient na interní síti. Důležité je zde zmínit, že je kontrolován i certifikát, který je instalován na konkrétní webové aplikaci. Následně jsou podle této detekce používána pravidla pro NRPT (Name Resolution Policy Table).
Druhým krokem je nastavení DNS serverů a jejich IPv6 adres. IPv6 prefix je průvodcem vygenerován automaticky. Tento prefix je odvozen od vaší externí adresy, která je převedena do šestnáctkové soustavy a doplněna prefixem 2002.
Třetím krokem je nastavení management serverů. Pokud je u vás využíván nějaký vzdálený management ke správě počítačů, pak nastavte IPv6 adresu.
V případě, že byste požadovali, aby byla komunikace šifrována i při komunikaci s dalšími servery, pak použijte skupinu, kterou jste si k tomuto účelu připravili. V tomto případě nepožadujeme další šifrování provozu, stačí nám bezpečná komunikace mezi klientem a DirectAccess serverem.
Následuje už jen závěrečný přehled, který si můžete uložit pro pozdější použití. Po stisknutí tlačítka OK jsou vaše nastavení přenesena do ActiveDirectory a na DirectAccess Server.
Po aplikaci změn doporučuji restartovat jednotlivé DNS servery tak, aby mohl být nakonfigurován ISATAP adaptér. Po těchto změnách by měla být funkční IPv6 konektivita mezi DirectAccess serverem a DNS servery. Toto můžeme ověřit po restartu DirectAccess serveru na stránce DirectAccess Monitoring.
Další díly seriálu:
Seriál: Nasazujeme Direct Access - příprava a konfigurace DirectAccess Connectivity Assistant (část 6. - poslední) (vychází 24. 6. 2010)
Seriál: Nasazujeme Direct Access - vygenerování certifikátů na DirectAccess Serveru (část 4.)
Seriál: Nasazujeme Direct Access - automatická distribuce klientských certifikátů (část 3.)
Seriál: Nasazujeme Direct Access - instalace WS 2008 R2 (část 2.)
Seriál: Nasazujeme Direct Access - úvod a požadavky (část 1.)