Windows Server 2012 ja DirectAccess

Kirjoitettu julkaissut mikkoniskanen

Windows Server 2012:n DirectAccess uudistaa ja helpottaa tapaa konfiguroida etäyhteyksiä ja monissa tapauksissa renderöi myös UAG:n turhaksi. Useat UAG:sta löytyneet ominaisuudet löytyvät sisäänrakennettuna Windows Server 2012:sta. UAG:lla on silti vielä paikkansa, varsinkin uuden SP3:lla varustettuna, jolloin saadaan tuki myös uusimmille käyttöjärjestelmille ja laitteille.

DA00

Windows Server 2012 DirectAccess:in uusia ominaisuuksia ovat mm.

  • DirectAccess:in ja RRAS:in yhteiselo. Edellisessä versiossa samalle koneelle asennetut DA ja RRAS aiheuttivat konflikteja, jos VPN käyttää IKEv2:sta. Silloin DA:n IPv6 liikenne blokataan.
  • Erittäin yksinkertainen DirectAccess:in hallinta. Täysiveristä PKI:tä ei enää tarvita, vaan voidaan käyttää (pienissä toteutuksissa) self-signed sertifikaattia. Käyttöön on saatu myös Kerberos Proxy, joka asentuu DA-palvelimelle. Kerberos Proxy nimensä mukaisesti välittää autentikointipyynnöt edelleen Domain Controller:eille. Myös itse setup wizard on erittäin helppokäyttöinen, jolloin käyttöönotto sujuu nopeasti ja tehokkaasti.
  • Sisäänrakennettu tuki NAT64 ja DNS64:lle. Aikaisemmin tarvittiin UAG hoitamaan konversio client:in IPv6:n ja sisäverkon IPv4 resurssien välillä.
  • DirectAccess-palvelin voidaan asentaa NAT-laitteen taakse. Enää ei tarvita kahta julkista IP-osoitetta Teredon vuoksi, vaan DA-palvelin voidaan asentaa ilman julkista IPv4-osoitetta, käyttäen vain yhtä verkkokorttia.
  • Windows Server 2012:ssa on sisäänrakennettu Windows Network Load Balancing tuki Direct Accessille. Deployment Wizardilla voidaan muutamalla hiiren klikkauksella rakentaa täydellisiä korkeasti käytettäviä ja skaalautuvia ratkaisuja.
  • Useiden toimialueiden tuki. DirectAccess-palvelin voi nyt tukea client:tejä, jotka kuuluvat eri toimialueisiin.
  • OTP (One Time Password). Windows Server 2012 tukee nyt two factor autentikointia joko smart cardeilla tai OTP token-pohjaisilla ratkaisuilla.
  • Multi-Site tuki. Nyt eri site:ille voidaan asentaa DirectAccess-palvelimia, jolloin client:it voivat muodostaa yhteyksiä aina lähimmälle toimipaikalle.
  • Monitorointi Dashboard. Käyttäjien ja palvelimien terveydentila selviää yhdellä vilkaisulla Dashboardista, johon kerätään tietoa olennaisista Performance Monitorin Counter:eista ja muista käyttöasteita lokittavista lähteistä.

Asennus

Direct Accessin asennus on erittäin helppo ja suoraviivainen:

Avataan Server Manager ja lisätään Remote Access Rooli, sekä lisätään kaikki vaaditut, automaattisesti tarjottavat Featuret.

DA1

Valitaan halutut Remote Access Roolin palvelut, eli tässä tapauksessa DirectAccess and VPN (RAS).

DA7

Ja boottia perään vielä, niin päästään konffaamaan DA:ia.

DA91

Koneen uudelleen käynnistyksen jälkeen Server Manager:ista löytyy Remote Access Rooli ja sen eri palvelut. Asennuksen jälkeen DA vaatii konfigurointia ja siitä kerrotaan Roolin hallintakonsolissa.

DA92 DA93

DA94

Käynnistetään Getting Started Wizard ja valitaan asennettavat etäyhteysmetodit. Tässä tapauksessa pelkästään DirectAccess.

DA95

Asennus tarkistaa automaattisesti täyttyvätkö kaikki esivaatimukset koneella. Jos on muistanut konffata koneellensa kiinteät IP:t, molemmille verkkokorteille, välttyy ao. ilmoitukselta.

DA96

DA97

Kun kiinteät IP:t on konffattu kohdilleen, valitaan missä päin maailmaa asennettava DA-palvelin sijaitsee: Ollaanko yhdellä jalalla yhteydessä suoraan julkiseen verkkoon (Edge), vai ollaanko NAT:n takana(Behind an edge) yhdellä vai kahdella verkkokortilla?

DA996

Kun valitaan 2 verkkokorttia, kerrotaan vielä kumpi korteista osoittaa ulospäin ja kumpi sisäverkkoon. Tässä kohtaa on hyvä kertoa setupista sen verran, että NAT:taavan palomuurin takana ollaan ja palomuurista ohjataan portti 443 (IP-HTTPS) virtuaalikoneelle, joka toimii DA-palvelimena. Siltä päästään Hyper-V Hostilla pyörivään Internal-tyyppiseen verkkoon, jossa infran palvelut sijaitsevat. Client:ina toimii W8 virtuaalikone, joka asennetaan Internal-verkkoon ja loppujen lopuksi siirretään pyörimään fyysiselle W8-koneelle Clinet Hyper-V:n päälle External-verkkoon. Tai miksei Azureen pyörimään? Tässä pikku deployment:issa käytetään oletuksena tarjottavaa self-signed sertifikaattia. Laajemmassa/ oikeassa tapauksessa haetaan Browse… napin takaa varta vasten DA:ta varten varattu sertifikaatti.

Julkisesta DNS:tä vastaa tässä tapauksessa Dyndns, joka on ikävä kyllä muuttunut maksulliseksi. Trial-versio on voimassa 14 päivää. Mielenkiintoinen poikkeus on kuitenkin D-link:in tarjoama dlinkddns.com-palvelu, johon voi luoda omat tunnukset, ainakin D-linkin tuotteen omistajat. Iloisena yllätyksenä tulee se, että samoilla tunnuksilla voi kirjautua Dyndns.com:iin ja lisätä 2 hostia palveluun ilmaiseksi. Dlinkddns.com kun käyttää Dyndns:ää palvelunsa toteutuksessa.

DA997

Sen jälkeen perusasennus onkin jo valmis. Piece of cake. Mutta toki asetuksia halutaan vielä konffata tarkemminkin.

DA99

DA991

Klikkaamalla linkkiä GPO Settings Change… päästään konfiguroimaan Group Policy-asetuksia, jos niihin halutaan tehdä muutoksia. Oletusasetukset toimivat hyvin ja silloin policyt linkitetään domain:in root:tiin. Jos asetuksia ei haluta voimaan toimialueen kaikkiin (kannettaviin oletuksena) koneisiin, valitaan Remote Clients Change… linkki ja määritellään oma security group käytettäväksi, johon kuuluvat koneet perivät policyn asetukset. Tässä vaiheessa huomataan myös täppä ruudussa ’Enable DirectAccess for mobile computers only’, joka aiheuttaa luotavan policyn WMI-filtteröinnin pelkästään kannettaviin koneisiin. Jos siis halutaan käyttää DA:ia myös pöytäkoneiden kanssa, poistetaan täppä ruudusta, tai myöhemmin GPMC:n kautta poistetaan WMI-filtteri.

DA992

Network Connectivity Assistant (entinen DCA) antaa meidän määrittää NLS:n sijainnin, joka voi olla nyt myös itse DA-palvelin. Vaihtoehtoisesti URL:n sijaan voidaan määrittää PING:attava host, kuten alla tehdään. DA Client Setup wizardissa voidaan myös sallia paikallista nimenselvitystä laittamalla täppää ruutuun (NRPT).

DA995

Konfiguroinnin jälkeen todetaan asetukset oikeiksi ja jatketaan OK:lla, jolloin muutokset tulevat voimaan.

DA998

DA999

Kun client-koneet vielä lisätään luotuun security grouppin ja päivitellään muutamaan otteeseen ’Gpudate /force’:lla koneen asetuksia, niin asennus ja käyttöönotto kaikkein yksinkertaisimmillaan on valmis. Kun yhteydet vielä testataan toimiviksi ulkomaailmasta käsin, vaikka varmistamalla yhteydentila uusilla PowerShell cmdlet:eilla, kuten Get-DAconnectionstatus, palvelin päässä terveydentilat ja yhteydet voidaan lueskella Remote Access Dashboard:ista. Se löytyy Server Managerista Remote Access-konsolista, palvelimen nimeä hiiren oikealla klikkaamalla ja valitsemalla menu kontekstista Remote Access Dashboard.

DA9991

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

Gravatar
WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Peruuta

Muodostetaan yhteyttä palveluun %s

Julkaissut mikkoniskanen