Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

В первой части этого цикла статей о мастере UAG DirectAccess мы разглядели главные понятия DirectAccess и обсудили некие достоинства использования UAG в качестве решения DirectAccess сервера. Желаю отметить, что, если вы не сможете использовать UAG в качестве решения сервера DirectAccess, вы всегда сможете использовать Windows DirectAccess решение; это решение не просит дополнительного программного обеспечения, так как DirectAccess встроена в Windows Server 2008 R2. Но в производственной среде следует ждать, что UAG будет употребляться почти всегда из-за того, что высочайшая доступность и централизованные функции опции доступны исключительно в UAG DirectAccess.

Сейчас давайте разглядим мастера UAG DirectAccess. Я настроила UAG DirectAccess массив, содержащий два DirectAccess сервера, и включила NLB для массива. В этой статье мы не будем рассматривать конфигурацию NLB, но я напишу о том, как настроить DirectAccess NLB массив в дальнейшем. В этой статье мы просто разглядим мастера и его способности.

Примечание: эта статья не рассматривает все шаги, нужные для развертывания рабочего DirectAccess решения. Есть ряд компонент инфраструктуры, которые нужно иметь, до того как DirectAccess сумеет работать. Сюда входят сертификаты, сервер Network Location Server, и, может быть, IPv6 инфраструктура (зависимо от того, каковы ваши цели для этой установки). Но все это будет рассмотрено в другой статье (либо 2-ух).

Давайте вернемся к мастеру. На сервере UAG откройте консоль UAG. В левой панели консоли UAG нажмите на узле DirectAccess. В правой панели консоли вы увидите панель Forefront UAG DirectAccess Configuration, как показано на рисунке 1 ниже.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 1

Нажмите кнопку в разделе Клиенты (Clients) (заглавие кнопки будет Настроить (Configure), если вы еще не настроили DirectAccess, или Поменять (Edit), если вы уже настроили DirectAccess на сервере. В этом примере мы уже настроили массив, потому кнопка именуется Поменять, как показано на рисунке 2.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 2

На страничке UAG DirectAccess Client Configuration введите имя группы либо групп компов, к которым принадлежат учетные записи компов DirectAccess клиентов. Вам придется создавать эти группы без помощи других, так как мастер DirectAccess не делает этого заместо вас. После сотворения группы либо групп клиентов DirectAccess, вы используете эту страничку для прибавления этих групп, как показано на рисунке 3. Объекты групповой политики DirectAccess GPO будут использованы к этим группам при помощи фильтрации безопасности групповой политики. Нажмите кнопку Добавить (Add) и у вас раскроется диалог выбора группы (Select Group). Тут вы вводите группу либо группы, содержащие машины, которые вы желаете сделать клиентами DirectAccess.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 3

Последующим шагом будет настройка характеристик сервера DirectAccess. Нажмите кнопку в разделе DirectAccess Server, чтоб настроить политики подключения и безопасности для сервера UAG DirectAccess, как показано на рисунке 4.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 4

Если вы настроили UAG DirectAccess массив, первым шагом в мастере UAG DirectAccess Server Configuration будет оценка того, поддерживает ли ваш массив NLB. Направьте внимание, что тут есть две функции:

Windows Network Load Balancing - когда вы выбираете эту опцию, High Availability (HA) будет включена с внедрением интегрированной функции NLB, включенной в Windows, которая была настроена на работу с DirectAccess. Направьте внимание, что хотя UAG поддерживает одноадресную, многоадресную и IGMP многоадресную NLB, если вы желаете включить NLB для массива DirectAccess, вам придется использовать одноадресную балансировку. Если вы желаете развернуть UAG DirectAccess в виртуальной среде, Hyper-V поддерживает одноадресную балансировку NLB.
External Load Balancing - используйте эту опцию, если желаете использовать наружный компенсатор нагрузки. В данном случае функции NLB не будут включены.

Тут есть компонент проверки, и если все на месте, вы увидите сообщение понизу, говорящее: Массив отвечает всем требованиям избранного способа балансировки нагрузки (The array has all the required prerequisites for the selected Load Balancing method), как показано на рисунке 5.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 5

На страничке Подключение (Connectivity) странички UAG DirectAccess Server Configuration вам необходимо настроить IP адреса внутренних и наружных интерфейсов сервера UAG. В разделе С подключением к вебу (Internet-facing) изберите 1-ый из 2-ух поочередных IP адресов наружного интерфейса на сервере UAG. Два поочередных общественных IP адреса нужны для корректной работы Teredo, и если вы не настроите сервер либо массив UAG на внедрение 2-ух поочередных общественных IP адресов, мастер выведет состояние ошибки и не сумеет продолжить работу. Направьте внимание, что после выбора первого адреса, у вас появится 2-ой адресок.

В разделе Внутренний (Internal) изберите IP адресок внутреннего интерфейса сервера UAG DirectAccess. Фактически во всех случаях у вас будет один IP адресок внутреннего интерфейса. Если вы используете свою IPv6 адресацию, у вас будет возможность избрать Внутренний IPv6 адресок. Если нет, то сервер UAG DirectAccess будет настроен в качестве ISATAP роутера и будет назначать для себя IPv6 ISATAP адресок.

Понизу странички есть принципиальное примечание: Технологии туннелирования ISATAP IPv6 будут включены на сервере UAG DirectAccess. Зарегте DNS имя ISATP с [адресом] на DNS во всех доменах для включения способности подключения IPv6 в этих доменах. Также удостоверьтесь, что ISATAP не заблокирован в блэклисте глобальных запросов на всех DNS серверах (ISATAP IPv6 transition technologies will be enabled on the UAG DirectAccess server. Register the DNS name ISATP with [addresses]on the DNS in all domains to enable IPv6 connectivity on these domains. In addition ensure that ISATAP is not blocked in the Global Query Block List on all DNS servers), как показано на рисунке 6. Это принципиальная информация, так как узлы ISATAP во внутренней сети обязаны иметь возможность разрешать имена ISATAP в IP адреса на внутреннем интерфейсе сервера UAG DirectAccess, чтоб получать информацию о том, как настраивать свои собственные сетевые адаптеры ISATAP. Чтоб сделать это, узлы ISATAP во внутренней сети должны разрешать имя ISATAP. По дефлоту Windows DNS серверы будут опускать запросы на имя ISATAP, потому вам необходимо пользоваться dndcmd командой, чтоб включить запросы для ISATP. Дополнительную информацию о том, как это сделать, можно отыскать тут.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 6

На последующей страничке мастера у вас есть возможность включить DNS64 и NAT64, как показано на рисунке 7. Эти две технологии позволяют вам иметь во внутренней сети только IPv4 узлы. Если вы не включите эти технологии преобразования IPv6 в IPv4, клиент DirectAccess в вебе не сумеет вести взаимодействие с серверами и службами только для IPv4. Это происходит поэтому, что DirectAccess клиент всегда употребляет IPv6 для взаимодействия с ресурсами через UAG DirectAccess сервер. Но сервер UAG DirectAccess, на котором включены DNS64 и NAT64, сумеет ‘подделывать’ адреса серверов с поддержкой только IPv4, и позволит клиентам DirectAccess вести взаимодействие с такими серверами.

Почти всегда нужно оставлять эти технологии включенными. Но если у вас есть собственная инфраструктура IPv6 в вашей корпоративной сети, эти технологии вам не пригодятся, и вы сможете отключить их.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 7

На страничке Функции проверки подлинности (Authentication Options) окна опции сервера UAG DirectAccess Server Configuration изберите сертификаты, которые употребляются в качестве корневого сертификата для проверки сертификатов, посылаемых клиентами DirectAccess и для IP-HTTPS слушателя.

В разделе Обзор и выбор корневого либо промежного сертификата, который инспектирует сертификаты, отправляемые DirectAccess клиентами (Browse and select a root or intermediate certificate that verifies certificates sent by DirectAccess clients) вы сможете избрать опцию Использовать корневой сертификат (Use root certificate), либо опцию Использовать промежный сертификат (Use intermediate certificate), как показано на рисунке 8. После выбора функции необходимо надавить кнопку Обзор (Browse) и избрать сертификат, как показано на рисунке 9 ниже.

В разделе Выбор сертификата, который аутентифицирует UAG DirectAccess сервер для клиентов, подключаемых по IP-HTTPS (Select the certificate that authenticates the UAG DirectAccess server to a client connecting using IP-HTTPS) нажмите кнопку Обзор, чтоб избрать сертификат, который будет употребляться IP-HTTPS слушателем. Направьте внимание, что DirectAccess не делает сертификат ‘ вам придется создавать этот сертификат, до того как запускать DirectAccess мастера.

На этой страничке еще есть две функции:

Клиенты, входящие при помощи смарт-карты PKI (Clients that log on using a PKI smart card) - если выбрана эта функция, она принуждает юзеров использовать смарт-карты с сертификатами юзеров, хранящимися на ней. В Microsoft употребляется данная функция для своей установки DirectAccess.
Компы, надлежащие NAP политике вашей организации (Computers that comply with your organization’s NAP policy) – если у вас в сети развернута NAP, компу DirectAccess клиента будет предоставлен доступ в сеть, только если он пройдет проверку безопасности NAP политики.

Обрастите внимание, что инфраструктура смарт-карт и NAP должна быть установлена до того, как сумеет работать с DirectAccess. Мастер DirectAccess не настраивает эти службы, но если они уже имеются, UAG DirectAccess сервер будет работать с ними, если вы изберите эти функции.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 8

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 9

Последующим шагом будет настройка серверов инфраструктуры (Infrastructure servers). Нажмите кнопку Поменять (Edit) в разделе Infrastructure servers, чтоб найти серверы инфраструктуры, такие как DNS, контроллеры домена и серверы управления, требуемые для DirectAccess клиентов, как показано на рисунке 10.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 10

В мастере Настройка сервера инфраструктуры (Infrastructure Server Configuration) на страничке Сервер сетевого расположения (Network Location Server) введите FQDN сервера Network Location Server (NLS). Клиент DirectAccess употребляет NLS для определения того, находится ли он в корпоративной сети либо нет. Если клиент DirectAccess может подключиться к серверу NLS при помощи SSL, он считает, что находится в корпоративной сети, и отключает свои составляющие DirectAccess клиента. Если клиент не может подключиться к серверу NLS через SSL соединение, он считает, что размещен за пределами корпоративной сети, и включает свои составляющие DirectAccess клиента и подключается к сети через UAG DirectAccess сервер.

На рисунке 11 ниже видно, что URL адресок сервера NLS настроен. Можно надавить кнопку Подтвердить (Validate), чтоб подтвердить, что вы сможете подключиться к NLS серверу. Как говорится на этой страничке, рекомендуется использовать сервер сетевого расположения высочайшей доступности, так как, если HTTPS URL адресок недоступен, клиентское соединение будет отключено. Это принципиальный момент и нужно убедиться, что ваши NLS серверы повсевременно доступны; в неприятном случае DirectAccess клиенты, перемещенные в корпоративную сеть, не сумеют подключиться к главным ресурсам, таким как контроллеры домена, зависимо от конфигурации.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess
Прирастить

Набросок 11

На страничке Суффиксы DNS (DNS Suffixes) можно настроить DNS суффиксы для имен, которые должны отчаливать по туннелю DirectAccess. Мастер DirectAccess автоматом настроит главные записи, но вы можете добавлять записи по мере надобности. Это интерфейс опции для таблицы политики разрешения имен (Name Resolution Policy Table – NRPT), который употребляется клиентом DirectAccess для определения того, какие имена необходимо разрешать в имена ресурсов в корпоративной сети, а какие имена должны разрешаться в форме ресурсов, доступных в вебе. Для подробной инфы о том, как DirectAccess клиенты употребляют NRPT, смотрите посты на блоге Тома Шиндера по теме The Edge Man Blog тут.

Снизу на этой страничке есть три функции, определяющие то, как разрешение имен должно производиться в случае сбоя запроса на имя, как показано на рисунке 12. Сюда включены последующие функции:

Использовать разрешение только для локальных имен, если имя отсутствует в DNS (более строгая функция)
Обратиться к разрешению локальных имен, если имя не существует в DNS либо DNS серверы недосягаемы, когда клиентский компьютер находится в личной сети (рекомендовано)
Обратиться к разрешению локальных имен для хоть какого типа ошибок DNS разрешения (меньшая безопасность)

Тут необходимо подчеркнуть, что ‘разрешение локальных имен (local name resolution)’ относится к именам с одним ярлычком (single-label names). Если сбой запроса происходит для FQDN, то тут нет способности использования аварийной системы разрешения имен. Том ведает об этом тщательно в собственных постах на блоге, потому если вам нужна подробная информация, непременно перейдите по вышеуказанной ссылке.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 12

На страничке серверов управления и контроллеров домена (Management Servers and DCs) можно указывать, какие машины являются серверами управления и контроллерами домена, которые должны быть доступны для DirectAccess клиентов при подключении DirectAccess клиента через DirectAccess IPsec туннели из веба. Направьте внимание, что мастер UAG DirectAccess автоматом обнаруживает контроллеры домена, как показано на рисунке 13 ниже. Если вам необходимо добавить дополнительные домены либо серверы (к примеру, SCCM либо другие серверы управления), вы сможете пользоваться клавишами Добавить сервер (Add Server) либо Добавить домен (Add Domain).

Принципиальным моментом тут будет то, что машины, перечисленные на этой страничке, будут доступны через туннель инфраструктуры. Клиент DirectAccess делает туннель инфраструктуры до того, как юзер заходит в систему, используя сертификат компьютера и проверку подлинности NTLMv2 с учетной записью компьютера в Active Directory. Туннель инфраструктуры является двунаправленным, потому клиент DirectAccess будет доступен из корпоративной сети, и если сотрудникам ИТ нужно подключиться к клиенту для управления либо контроля, они сумеют это сделать через туннель инфраструктуры, даже если юзеры не вошли в систему собственных компов. Для получения такового подключения есть дополнительные требования, но эти задачи мы обсудим в последующих статьях.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 13

Итак, мы фактически окончили. Последним шагом будет настройка серверов приложений (Application Servers). Нажмите кнопку Поменять (Edit) в разделе серверов приложений (Application Servers), как показано на рисунке 14, чтоб избрать серверы приложений, которым может потребоваться дополнительная проверка подлинности и шифрование.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 14

На страничке опции серверов приложений (Application Server Configuration) у вас есть две функции:

Добиваться аутентификации и шифрования от внутреннего к пограничному (Require end-to-edge authentication and encryption) – эта функция делает защищенный IPsec туннель меж клиентом DirectAccess и сервером UAG DirectAccess. После разрыва этого соединения на сервере UAG DirectAccess все подключения перебегают в незапятнанный режим ‘(in the clear)’ в корпоративной сети.
Добиваться аутентификации и шифрования от внутреннего к внутреннему для обозначенных серверов приложений (Require end-to-end authentication and encryption to specified application servers) - эта функция позволяет вам использовать подключения IPsec в транспортном режиме меж DirectAccess клиентом и серверами предназначения в корпоративной сети. Если в корпоративной сети имеются серверы, требующие защищенного подключения для внутренних машин, изберите эту опцию, как показано на рисунке 15, и укажите, для каких серверов требуется такая аутентификация и шифрование.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess

Набросок 15

Когда вы нажимаете на ссылку Поменять характеристики шифрования IPsec (Edit IPsec cryptography settings), вы можете узреть стандартные характеристики IPsec для туннеля внутренних подключений меж DirectAccess клиентом и защищенными серверами корпоративной сети. Направьте внимание на рисунке 16, что ESP является протоколом по дефлоту, SHA-256 употребляется в протоколе целостности (протоколе хэша), также употребляется NULL шифрование. NULL шифрование употребляется по дефлоту, чтоб промежные устройства в вашей корпоративной сети могли делать проверку подключений по мере надобности. Как и в случае с методом хэширования, этот тип шифрования вы тоже сможете поменять.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess
Прирастить

Набросок 16

Когда все готово, нажмите кнопку Сделать политики (Generate Policies), набросок 17, и объекты GPO и характеристики будут настроены мастером. После чего можно надавить кнопку, чтоб развернуть объекты GPO (мастер UAG делает это автоматом, но при желании вы сможете сделать это без помощи других). Не забудьте активировать конфигурацию после развертывания объектов GPO; я забыла это сделать, после этого мне пришлось находить делему, потому что мое подключение не работало.

Мастер Forefront Unified Access Gateway DirectAccess – часть 2: Рассмотрение опций мастера UAG DirectAccess
Прирастить

Набросок 17

Заключение

В этой статье мы разглядели мастер UAG DirectAccess, также имеющиеся в нем функции. Хотя мастер UAG DirectAccess делает основную часть тяжеленной работы за вас, в процессе опции еще есть масса работы, которую вам нужно делать для машин заднего плана. Настройка этих устройств заднего плана не является сложной, но все эти опции должны быть выполнены, до того как ваше решение DirectAccess сумеет работать. В последующей части этого цикла мы побеседуем об этой инфраструктуре заднего плана и разглядим все требования, также убедимся, что эти опции не настолько сложны, как может показаться.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.