Technologie Direct Access, obsažená ve Windows Serveru 2008 R2 a Windows 7, umožní mobilní, transparentní a bezpečný přístup k intranetovým datům i aplikacím.
Autor: Miroslav Knotek (knotek@kpcs.cz), Microsoft MVP: Security, IT Senior Consultant KPCS CZ, s.r.o.
Trendem posledních let je stále rostoucí počet mobilních uživatelů, kteří potřebují, ať už jsou připojeni odkudkoliv, transparentní a bezpečný přístup k intranetovým datům i aplikacím. Z druhé strany i správci hledají možnosti, jak tyto mobilní počítače spravovat, kontrolovat či záplatovat, i když mnohdy takovýto počítač není třeba i několik dní připojen ve vnitřní síti.
Odpovědí na výše uvedené požadavky je zbrusu nová technologie Direct Access, která je obsažená ve Windows Serveru 2008 R2 a Windows 7. Protože o základních principech fungování a přínosech této služby byla napsána již celá řada textů, v tom článku se zaměříme na klíčové předpoklady pro nasazení služby Direct Access (DA).
Direct Access komponenty – instalační průvodce
DA klient
Klient pro využití služby Direct Access musí splňovat následující požadavky:
- Klient musí být členem Active Directory domény
- Minimální podporovaná verze OS klienta je Windows 7 Ultimate nebo Enterprise edice, případně Windows Server 2008 R2
DA server
Pro server je již seznam požadavků poněkud delší. Není složité je splnit, ale je potřeba o nich předem vědět a zahrnout je do návrhu celého řešení:
- Server musí být členem Active Directory domény
- Podporovaná verze OS serveru je Windows Server 2008 R2
- Server musí mít minimálně dvě síťová rozhraní – jedno pro připojení do intranetu a druhé do internetu
- Server musí mít nejméně dvě po sobě následující veřejné IPv4 adresy, které jsou dosažitelné pomocí překladu jmen externí služby DNS. Druhá IP adresa je nutná pro běh Teredo serveru, který zajišťuje konektivitu klientů, kteří jsou připojeni k Internetu pomocí IPv4 a navíc za NATem.
- DA server nesmí být umístěn za NATem
Nastavení sítě pro DA server
Infrastruktura
Z hlediska požadavků na existující infrastrukturu je nutné se zaměřit především na následující technologie:
PKI
Direct Access využívá dokonce hned několik různých typů digitálních certifikátů, navíc digitální certifikáty jsou základním prvkem autentizace v rámci DA přístupu. Před implementací DA je tedy nutné mít dobře navržené a funkční PKI, které bude umět poskytovat certifikáty pro DA v následujících scénářích:
- Každý DA klient musí mít vystaven platný počítačový certifikát pro úspěšnou IPSec autentizaci.
- V případě přístupového modelu jiného než end-to-edge musí mít takovýto certifikát pro IPSec autentizaci také každý server v intranetu, ke kterému budou DA uživatelé přistupovat.
- DA server musí mít platný SSL serverový certifikát. Tento certifikát je využíván v rámci přístupového protokolu IP-HTTPS. Certifikát musí být vystaven na jméno (FQDN), pod kterým je server publikován v Internetu. Dále musí obsahovat minimálně jedno CDP (CRL Distribution Point), které je platné a především dostupné z Internetu.
- Platný SSL serverový digitální certifikát musí být také vystaven pro tzv. Network Location Server – na tento server směřuje HTTPS URL, podle kterého DA klient poznává, zda se nachází ve vnitřní síti či na Internetu a měl by tak iniciovat připojení pomocí DA. U tohoto certifikátu dostačuje CDP dostupné v rámci vnitřní sítě.
- V případě integrace DA se službou pro kontrolu zdraví – NAP, musí být PKI také schopno vystavovat krátkodobé certifikáty pro počítače, které HRA (Health Registration Authority) označí jako zdravé.
- Volitelnou možností je autentizace IPSec tunelu pomocí čipových karet (Smart Cards). I pro tuto volbu je samozřejmě existence PKI nutností.
Active Directory / Group Policy
Active Directory je vyžadována především pro poskytování Kerberos autentizace, ale také např. i pro usnadnění konfigurace DA klientů pomocí Group Policy – nastavení IPSec politik, konfigurace brány Windows Firewall atd. Prostředí bez Active Directory není podporováno.
DNS / Doménový řadič
Minimálně jeden DNS server a doménový řadič musí splňovat požadavek na verzi OS:
- Windows Server 2008 SP2 a vyšší
- Windows Server 2008 R2
Externí IPv6 konektivita
Direct Access je služba zcela závislá na protokolu IPv6. Protože většina firem zatím ještě IPv6 plně nenasadila a ani připojení k Internetu nebývá běžně realizováno pomocí IPv6, je možno využívat řadu tranzitních technologií, které umožňují ustavit IPv6 spojení mezi DA serverem a DA klientem po IPv4 síti.
DA klient je připojen k Internetu pomocí: | Preferovaný způsob připojení: |
Globálně směrovatelné IPv6 adresy | Globálně směrovatelná IPv6 adresa |
Veřejné IPv4 adresy | 6to4 |
Privátní IPv4 adresy / NAT | Teredo |
Pokud se klient nedokáže připojit žádnou jinou metodou k DA serveru | IP-HTTPS |
Přístupové metody k DA serveru
Interní IPv6 konektivita
DA klient je schopen komunikovat pouze se servery v intranetu, které jsou dostupné pomocí protokolu IPv6. V zásadě existují tři způsoby jak interní IPv6 konektivitu zajistit:
- Nakonfigurovat vnitřní síť tak, aby nativně směrovala IPv6 protokol. Z hlediska verze OS Windows platí, že Windows Vista resp. Windows Server 2008 a vyšší mají podporu IPv6 zapnutou již ve výchozím nastavení. Ve Windows XP či Windows Serveru 2003 je možné IPv6 také zkonfigurovat. Podporu IPv6 můžeme dnes nalézt i v jiných typech operačních systémů.
- V případě, že interní servery sice mají IPv6 adresy, ale síť jako taková je z hlediska IPv6 nesměrovatelná, je možné využít tranzitního mechanismu ISATAP. ISATAP umí doručit IPv6 pakety pomocí tunelu, který je ustaven v rámci IPv4 sítě.
- Posledním řešením je implementace HW zařízení s podporou Network Address Translation–Protocol Translation (NAT-PT). NAT-PT poskytuje překladové služby, které v našem případě umožňují připojení DA klienta komunikujícího pomocí IPv6 s intranetovým serverem, který umí pouze IPv4.
Závěr
Direct Acces je poměrně převratnou novinkou a myslím, že má všechny předpoklady pro masivní nasazení v malých i velkých organizacích. Pro úspěšné nasazení je ale potřeba znát a rozumět všem požadavkům, které nasazení DA skrývá. Splnění těchto podmínek, ať už se jedná o PKI infrastrukturu, IPv6 konektivitu či další, by mělo být součástí každého návrhu DA řešení.
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.