Anasayfa > Güvenlik, Makaleler, Servers, Windows 2012 Server > Direct Access Install-Direct Access Kurulumu

Direct Access Install-Direct Access Kurulumu

Merhaba.. Bu makale daha önceki makalelerimde bahsettiğim DirectAccess 2012 Yenilikleri Nelerdir?  makalesine ilave olarak MS Direct Access Nasıl kurulur konusu üzerinde biraz durmaya çalışacağım. Bu konuyu anlatırken birden farklı bölümler olduğu için konuyu bir kaç bölümde açıklamaya çalışacağım. Bunlar; Etki Alanı Sunucusu üzerindeki ayarlar(Domain Controller), Uygulama ve Web Sunucular üzerindeki ayarlar(Application & Web Server), Direct Access Sunucu Kurulumu(Direct Access Server Install), İstemcilerin hazırlanması(Client Preparetions)

DirectAccess kullanıcılara Internet erişimine sahip oldukları zaman şirket ağına sorunsuzca bağlanmalarına imkan veren yeni bir özelliktir. DirectAccess ile mobil bilgisayarlar Internet bağlantısı sağlandıklarında kolayca yönetilebilir, sistem durumu ve ilkeleri güncellenebilir.

Ayrıca DirectAccess kullanıcıları, VPN bağlantısı gerçekleştirmeden güvenli bir şekilde şirket kaynaklarına ( e-mail sunucusu, intranet web siteleri, paylaşılmış klasörler vb) erişebilirler.

Aşağıdaki görselde DirectAccess in çalışma mantığı gösterilmektedir.

Makalemiz 2 Ana ve 10 alt başlıkda toparlanmıştır;

1) Forefront UAG 2010 Yüklenmesi :

1-A) Forefront UAG Server Sistem Gereksinimleri

1-B) Forefront UAG Client Sistem Gereksinimleri

1-C) Forefront UAG DirectAccess Sistem Gereksinimleri

1-D) Windows Server 2008 R2 üzerine Forefront UAG Kurulumu ve Demo Ortamının
Incelenmesi

2) Direct Access Yüklenmesi :

2-A) DirectAccess Server Clientları için Global Grupların Oluşturulması

2-B) IPSec Computer Sertifikaları için AutoEnrollment Konfigürasyonu

2-C) DirectAccess Clientlari için DNS Suffix Konfigürasyonu

2-D) DirectAccess Sunucusu için IPSec Sertifika Kaydı (Enrollment)

2-E) Önkoşulların Kontrolü ve Forefront DirectAccess Server’in Konfigüre edilmesi

2-F) DirectAccess Bağlantısının Doğrulanması

1- Forefront UAG 2010 Yüklenmesi

1-A) Forefront UAG Server Sistem Gereksinimleri;

Hardware requirements

Processor 2.66 gigahertz (GHz) or faster processor. Dual core CPU
Memory 4 GB
Hard drive 2.5 gigabyte (GB) (in addition to Windows requirements)
Network adapters Two network adapters that are compatible with the computer operating system. These network adapters are used for communication with the internal corporate network, and the external network (Internet). Note that deploying Forefront UAG with a single network adapter is not supported.

  Software requirements 

Operating system Forefront UAG can be installed on computers running the Windows Server 2008 R2 Standard or Windows Server 2008 R2 Enterprise 64-bit operating systems.
Windows roles and features The following roles and features are installed by Forefront UAG, and are required for Forefront UAG to function properly.1. Network Policy Server

2. Routing and Remote Access Services

3. Active Directory Lightweight Directory Services Tools

4. Message Queuing Services

5. Web Server (IIS) Tools

6. Network Load Balancing Tools

7. Windows PowerShell

Roles and features installed during Forefront UAG setup are not uninstalled automatically if you uninstall Forefront UAG. They must be removed manually after uninstalling Forefront UAG.

Other software Forefront UAG automatically installs and uses the following applications:1. Microsoft .NET Framework 3.5 SP1

2. Windows Web Services API

3. Windows Update

4. Microsoft Windows Installer 4.5

5. SQL Server Express 2005

6. Forefront TMG is installed as a firewall during Forefront UAG setup. Following setup, Forefront TMG is configured to protect the Forefront UAG server. For information about running Forefront TMG with Forefront UAG, see Supported Forefront TMG configurations.

7. The Windows Server 2008 R2 DirectAccess component is automatically installed. For more information, see the Forefront UAG DirectAccess technical overview.

  Software deployment requirements 

Remote installation Remote installation of Forefront UAG from a network location is not supported. You can run setup from a local folder accessed over a Remote Desktop Connection using IPv4. An IPv6 connection is not supported.
Array deployment If you want to deploy an array of multiple Forefront UAG servers, each server that will join the array must be installed as a domain member before beginning Forefront UAG installation. For more information about array deployment requirements, see Multiple server infrastructure design.
Co-located applications The computer on which you are installing Forefront UAG should have a clean Windows Server 2008 R2 installation, with no other applications installed on it. For considerations on running antivirus products on Forefront UAG, see Considerations when using antivirus software on Forefront Edge products (http://go.microsoft.com/fwlink/?LinkId=193579).
Installation permissions When installing Forefront UAG, you must have administrator permissions on the local server. You must also be a domain user in the domain to which the Forefront UAG server belongs.
Domain and workgroup considerations If the Forefront UAG server is a member of a workgroup, ensure that a DNS suffix is defined for the workgroup.
Some deployment scenarios require Forefront UAG to be installed as a domain member. For more information, see Joining the Forefront UAG server to a domain or a workgroup.
Virtual requirements Forefront UAG is supported on Hyper-V running on computers with Windows Server 2008 with SP2, or Windows Server 2008 R2. Both host and guest operating systems must be 64-bit.
For more information on virtual support, see Security considerations with Forefront Edge virtual deployments(http://go.microsoft.com/fwlink/?LinkId=193580).

 1-B) Forefront UAG Client Sistem Gereksinimleri

Forefront UAG DirectAccess client A Forefront UAG DirectAccess client must be:· Running Windows 7 Enterprise, or Windows 7 Ultimate.

· Joined to an Active Directory domain.

1-C) Forefront UAG DirectAccess Sistem Gereksinimleri

Prerequisite Details
Infrastructure servers You must have at least one domain controller running Windows Server 2003 or later, and a Domain Name System (DNS) server that supports dynamic updates. You can use DNS servers that do not support dynamic updates, but entries must be manually updated.For more information, see Designing a DNS infrastructure for Forefront UAG DirectAccess.
Machine Certificates · You must install and configure a Certification Authority (CA) for issuing client authentication certificates, if one does not already exist.· You must provision a machine certificate to all Forefront UAG DirectAccess servers and DirectAccess clients.

 Note:
You may choose to provision the certificates by enabling domain certificate autoenrollment for Forefront UAG DirectAccess clients, using their security group and group policy.You may choose to provision the certificates by enabling domain certificate autoenrollment for Forefront UAG DirectAccess servers and clients, using security groups, OUs and group policy.

· Forefront UAG DirectAccess servers and clients must trust the CA chain that issues root and intermediate certificates.

For more information, see Designing your PKI for Forefront UAG DirectAccess.

IP-HTTPS certificates You can use two types of IP-HTTPS certificates:· Public—Supplied by a 3rd party.

A Web site certificate used for IP-HTTPS authentication. The certificate subject must be the externally resolvable FQDN URL used only for the Forefront UAG DirectAccess server IP-HTTPS connections.

 Note:
This certificate must be copied to all array nodes.

· Private

The following are required, if they do not already exist:

· A Web site certificate used for IP-HTTPS authentication. The certificate subject should be the URL of the Forefront UAG DirectAccess server.

 Note:
This certificate must be copied to all array nodes.

· For more information on setting up PKI, see Active Directory Certificate Services(http://go.microsoft.com/fwlink/?LinkId=154397).

· A certificate revocation list (CRL) distribution point that is reachable from a publicly resolvable fully qualified domain name (FQDN).

For more information, see Planning the placement of CRL distribution points.

Forefront UAG DirectAccess server The Forefront UAG DirectAccess server has the following requirements:· It must be running Windows Server 2008 R2 Standard (RTM release), or Windows Server 2008 R2 Enterprise (RTM release).

· It must be joined to an Active Directory domain.

· It must have at least two physical network adapters installed.

 Note:
One network adapter should be configured as Internal, and one as External in the Forefront UAG Getting Started Wizard.

· IPv6 transition technologies should not be disabled.

For more information on transition technologies, see IPv6 Transition Technologies(http://go.microsoft.com/fwlink/?LinkId=154382).

Forefront UAG DirectAccess client A Forefront UAG DirectAccess client must be:· Running Windows 7 Enterprise, or Windows 7 Ultimate.

· Joined to an Active Directory domain.

Global or universal security groups or Organizational Units (OUs) for Forefront UAG DirectAccess clients You can also use existing global or universal groups.For more information, see Create a New Group (http://go.microsoft.com/fwlink/?LinkId=154396).
Network location server with an HTTPS based URL This should be on a server with high availability, and a valid SSL certificate trusted by the DirectAccess clients.

 Warning:
You must not configure your Forefront UAG DirectAccess server or your domain controller as the network location server.

For more information, see Specifying the network location server.

Routing Configure routing as follows:· When native IPv6 is deployed in the organization, add a route so that the routers on the internal network route IPv6 traffic back through the Forefront UAG DirectAccess server.

· Manually configure organization IPv4 and IPv6 routes on the Forefront UAG DirectAccess servers. Add a published route so that all traffic with an organization (/48) IPv6 prefix is forwarded to the internal network. In addition, for IPv4 traffic, add explicit routes so that IPv4 traffic is forwarded to the internal network.

For more information, see Designing addressing and routing for the Forefront UAG DirectAccess server.

When using additional firewalls When using additional firewalls, apply the following Internet-facing firewall exceptions for Forefront UAG DirectAccess traffic when the Forefront UAG DirectAccess server is on the IPv4 Internet:· Teredo traffic—User Datagram Protocol (UDP) destination port 3544 inbound, and UDP source port 3544 outbound.

· 6to4 traffic—IP Protocol 41 inbound and outbound

· IP-HTTPS—Transmission Control Protocol (TCP) destination port 443, and TCP source port 443 outbound

 Note:
For Teredo and 6to4 traffic, these exceptions should be applied for both of the Internet-facing consecutive public IPv4 addresses on the Forefront UAG DirectAccess server. For IP-HTTPS the exceptions need only be applied for the first of the Internet-facing consecutive public IPv4 addresses.

For more information, see Packet filtering for the Internet firewall.

When using additional firewalls, apply the following Internet-facing firewall exceptions for Forefront UAG DirectAccess traffic when the Forefront UAG DirectAccess server is on the IPv6 Internet:

· IP Protocol 50

· UDP destination port 500 inbound, and UDP source port 500 outbound

· Internet Control Message Protocol for IPv6 (ICMPv6) traffic inbound and outbound

For more information, see Packet filtering for the Internet firewall.

When using additional firewalls, apply the following internal network firewall exceptions for Forefront UAG DirectAccess traffic:

· ISATAP—Protocol 41 inbound and outbound

· TCP/UDP for all IPv4/IPv6 traffic

· ICMP for all IPv4/IPv6 traffic

For more information, see Packet filtering for intranet firewalls.

Network interface settings for a single server Forefront UAG DirectAccess deployment. The following network interface settings are required for a single server Forefront UAG DirectAccess deployment:· Two Internet-facing consecutive public static IPv4 addresses.

 Important:
When configuring your TCP/IP properties on the Forefront UAG DirectAccess server, do not configure Internet DNS servers on any of the Forefront UAG DirectAccess server interfaces, as this could cause DNS64 performance degradation.

· If your organization has an internal IPv6 deployment, make sure that you configure an internal static IPv6 address.

· An internal static IPv4 address for NAT64.

 Note:
These addresses are configured by using the Change adapter settings in the Windows Networking and Sharing Center.
Network interface settings for network load balanced Forefront UAG DirectAccess server in an array. When configuring network interface settings, you must configure static virtual IP addresses (VIPs), and dedicated IP addresses (DIPs). A DIP is the existing per node unique IP address. The following network interface settings are required for a network load balanced Forefront UAG DirectAccess server in an array:· Two Internet-facing consecutive public IPv4 addresses (VIPs).

· An Internet-facing static IPv4 address (DIP).

 Important:
When configuring your TCP/IP properties on the Forefront UAG DirectAccess server, do not configure Internet DNS servers on any of the Forefront UAG DirectAccess server interfaces, as this could cause DNS64 performance degradation.

· An internal network facing static IPv6 address (DIP).

· An internal network facing IPv6 address (VIP). This must be on the same subnet as the internal network facing IPv6 DIP.

· An internal network facing static IPv4 address (DIP).

· An internal network facing IPv4 address (VIP). This must be on the same subnet as the internal network facing IPv4 DIP.

 Note:
DIPs are configured by using the Change adapter settings in the Windows Networking and Sharing Center, and VIPs in the Forefront UAG Network Load Balancing configuration. VIPs are only configured on the array manager.

· For more information, see Configuring NLB for a Forefront UAG DirectAccess array in SP1.

 

1-D) Windows Server 2008 R2 üzerine Forefront UAG Kurulumu ve Demo Ortamının   Incelenmesi

Demo Ortamı,Sunucular ve Network Yapılandırması:

Demo ortamı için 3 adet Hyper-V host’u kurulu;

1) Widows Server 2008 R2 SP1 üzerinde Active Directory, DNS ve CA (Enterprise – Root) rolü yüklenmiş şekilde.

2) Windows Server 2008 R2 SP1 üzerinde 2 Eth kartina sahip 4GB Ram li UAG ve TMG yüklencek olan sunucumuz

3) 1 Adet Windows 7 Ultimate SP1 kurulu DirectAccess Clientimiz

Test ortamımızı hazırladıktan sonra  Download Microsoft Forefront Unified Access Gateway 2010 SP1 linkini kullanarak UAG 2010 SP1 i sunucumuza indirip kuruluma başlıyoruz

 

Klasik Windows Kurulum sihirbazımız. Next, Next ile ilerliyoruz.

 

Forefront UAG bizim için Sunucumuza gerekli Rolleri ve bileşenleri ekliyor.

Daha sonra sunucumuzu yeniden başlatıyoruz.

2- Direct Access Yüklenmesi

2-A) DirectAccess Server Clientları için Global Grupların Oluşturulması Active Directory (DC) üzerinde DirectAccess için 1 Adet DOU2 ve içerisinde 2 adet Security Group oluşturuyoruz.
1. Grubumuz UAG serverlar için, 2.Grubunuz UAG Clientlarımız için ve bu gruplar içerisine Computer objelerini Memeber olarak ekleyeceğiz.

 

Aynı şekilde Client grubumuz içerisine DirectAccess bağlantısı gerçekleştirecek Computer objelerimizi ekliyoruz.

2-B) IPSec Computer Sertifikaları için AutoEnrollment Konfigürasyonu

2-C) DirectAccess Clientlari için DNS Suffix Konfigürasyonu

IPSec Computer Sertifikaları için AutoEnrollment Konfigürasyonu videosunda bulunan GPO oluşturma adımlarını DNS Suffix için de gerçekleştiriyoruz.

Öncelikle yeni bir GPO si oluşturuyoruz ve bir isim veriyoruz

 

Daha sonra Primary DNS Suffix ve Connection-Spesific DNS Suffix ayarlarını düzenliyoruz.
Enable seçip domain adımızı belirtiyoruz (ben domain adım olan “da.com” verdim)

Son olarak bu policy’nin Sadece oluşturdupum Client security ve Domain Admins grubuna etki etmesi için Security Filtering bölümünü düzenledim. Bütüm adımlarım tamamlandıktan sonra gpupdate /force komutunu çalıştırıyoruz.

2-D) DirectAccess Sunucusu için IPSec Sertifika Kaydı (Enrollment)

 

Bildiğiniz üzere TMG ilk kurulduğunda networkde ki internet ve local erişimi bloklar.
UAG DirectAccess güvenli erişimi için Sertifika Sunucumuzda Enrollment işlemi gerçekleştirmemiz gerekiyor , Fakat TMG bunu ile önce izin vermeyecek ve bize “ The PRC Server is Unavailable” hatası verecektir.

Öncelikle bu hatayı gidermek için Link deki blogu ziyaret edip, TMG Sunucumuzu yapılandırmalıyız.

TMG üzerindeki yapılandırmamızı tamamladıktan sonra Artık DirectAccess Sunucusu için IPSec Sertifika Kaydı (Enrollment) işlemine başlayabiliriz.

UAG Server üzerinde;

Start /Run /MMC /File /Add/Remove Snap-in/ Certificates /Computer Account /Next /Finish /OK adımlarını takip ediyoruz.

Personal / Certficates store içerisinde All Task / Request New Certificate sihirbazını çalıştırıyoruz.

Workstation Authenticaion’ı seçiyoruz

 

Enrollment Shirbazımız tamamlanıyor.

 

Daha sonra IIS üzerinde Server Certificates bölümünü açıp “Create Domain Certificate” seçiyoruz.

 

Wildcard Sertifikamız için Şirket bilgilerimizi giriyoruz.

 

Next ile bir sonraki ekranımıza geçiyoruz

 

CA sunucumuzu seçip Sertifikamız için Friendly Name belirtip Sihirbazımızı sonlandırıyoruz.

 

 

MMC konsolu üzerinden Personal Store u konrol ettiğimizde *.da.com Wildcard sertifikamızın oluştuğunu görebiliyouz.

2-E) Önkoşulların Kontrolü ve Forefront DirectAccess Server’in Konfigüre edilmesi ; Bu başlık altında Client’a uygulanacak GPO lerinin otomatik olarak oluşturulması ve DirectAccess için bir connection verifier oluşturulmasını göreceğiz.

 

2-E1 Step 1) Clients And GPO’s

 

 

Policylerin otomatik olarak oluşturulmasını sağlıyoruz

Policy uygulanacak olan Security grubumuzu belirtiyoruz. Bu gruba DirectAccess ile bağlanacak Clientları daha onceden eklemiştik.

Finish ile bu adımı sonlandırıyoruz.

Daha sonra “Additional” olan  Connectivity Assistant ı çalıştırıyoruz.

Dc üzerinde Everyone grubuna tam yetki verilmiş olan bir paylaşılmış klasor içierisindeki txt uzantılı dosyayı gosteriyoruz. DirectAccess bağlantısının çalışıp çalışmadığını bu dosya ya erişimi test ettirterek belirliyoruz.

 

Son olarak sonucu mail olarak gondereceği mail hesabını belirtiyoruz.

2-E) Önkoşulların Kontrolü ve Forefront DirectAccess Server’in Konfigüre edilmesi ; Bu bölümde DirectAccess Sunucumuzun Ic ve Dis bacaklarinin belirtilmesi ve oluşturduğumuz wildcard sertifikanın client ile aramızdaki sertifika olduğunu gösteriyoruz.

2-E1 Step 2) DirectAccess Server

Internet-facting kısmında Dış Ip mizi, Internal da iç ip mizi belirtiyoruz.

Dana onceden oluşturduğumuz Ip-Https sertifikasını UAG e belirtiyoruz

Sertifika için bir URL belirtiyoruz.

Daha onceden oluşturduğumuz IPSec sertifikasını UAG e tanımlıyoruz.

2-E) Önkoşulların Kontrolü ve Forefront DirectAccess Server’in Konfigüre edilmesi ; Bu bölümde NSL server için yapılandırmayı göreceğiz

2-E1 Step 3 ) Infrastructrue Server

IIS rolu yüklü domain e dahil herhangi bir Winows Server 2008 R2 (her zaman ulaşılabilir olmak zorunda) NLS Server rolunu üstlenebilir. Biz test ortamımızda yeterli koşulu sağlamadığımızdan UAG server’i NLS server olarak belirtiyoruz.

NLS Server; Eğer client makinalar NLS server URL sine ulaşabilirlerse Ic networkde olduklarını anlayabilecekler, Eğer bağlanamazlarsa dış network de olduklarını anlayacaklar.

Son olarak yapılandımamızı gozden geçirdikten sonra Sihirbazı tamamlıyoruz.

2-E) Önkoşulların Kontrolü ve Forefront DirectAccess Server’in Konfigüre edilmesi

2-E3 Step 4 ) End-to-End Access (Optional) ; DirectAccess ile DirectAccess clientları arasındaki trafik otomatik olarak IPsec ile şifrleniyor, eğer başka Uygulama sunucularınız var ise ve bu trafiği de şifrelemek isterseniz bu seçeneği aktif edebilirsiniz.

2-E3 Step 4 ) End-to-End Access (Optional) ; DirectAccess ile DirectAccess clientları arasındaki trafik otomatik olarak IPsec ile şifrleniyor, eğer başka Uygulama sunucularınız var ise ve bu trafiği de şifrelemek isterseniz bu seçeneği aktif edebilirsiniz.

 

 

 

Bütün adımları tamamladıktan sonra Apply Policy seçeneği ile değişiklikleri UAG sunucumuza uygulatabiliriz.

 

 

Yapılandırmamızda herhangi bir sıkıntı yok ise scriptimiz yukarıdaki gibi tamamlanacaktır.

Yaptığımız değişikliklerin kaydolması için Sunucumuzu Active  ediyoruz.

 

Aktivasyonumuz tamamlandı. Gpupdate /force komutu çalıştırıyoruz.

 

Gpupdate /force komutundan sonra UAG Firewall özelliklerine baktığımızda “Connection Security Rules” altıda Firewall policylerinin oluştuğunu görebiliyoruz.

2-F) DirectAccess Bağlantısının Doğrulanması ; Clientimiza UAG DVD si içerisinden DirectAccess Connectivity Assistan ı kuruyoruz.

Client tarafında yapmamız gereken ilk işlem Gpupdate /force komutunu çalıştırmak olacak.

Policy ile birlikte Client imiza UAG için oluşturduğumuz kurallar geldi.

Daha sonra Screencast de izlediğimiz üzere network kartinin yapılandırmasını gerçekleştiriyoruz.

 

Clientimizi diş network e dahil ediyoruz.

Work Network seçiyoruz.

Daha sonra “Netsh namespace show effective” komutunu çalıştırıyoruz.

Görüldüğü üzere oluşturuğumuz bağlantılar Clientimiza DirectAccess ile kaydolmuş.
Artık şirket kaynaklarına sorunsuzca erişebiliriz.

DirectAccess bağlantısında sorun olduğunda yukarıdaki gibi bir ekran görüntüsü alırsınız. Eğer “Start DirectAccess troubleshooting” e tıklarsanız, sihirbaz size hangi aksiyonları yada nerelerde eksiklik olduğunu belirtecektir.

Sorunsuz bir network bağlantısında Aşağıdaki gibi bir ekran ile karşılacaksınızdır.

Böylelikle DirectAccess Kurulumumuzu ve testlerimizi gerçekleştirmiş oluyoruz.

Biraz uzunca bir makale oldu ancak umarım faydalı olmuştur.

 

Kaynakça;

http://technet.microsoft.com/en-us/library/dd903051.aspx

http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx

DirectAccess Datasheet_May09_Final.pdf

http://technet.microsoft.com/en-us/library/gg274304.aspx

http://blog.msedge.org.uk/2010/04/recommended-network-card-configuration_14.html

http://technet.microsoft.com/en-us/evalcenter/dd183100

http://blogs.technet.com/b/edgeaccessblog/archive/2010/04/22/deep-dive-into-uag-directaccess-certificate-enrollment.aspx

  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: