IT Blog – Jesper Ravn

Jeg forsætter min blog-post serie og vil gennemgå følgende punkter i forbindelse med DirectAccess.

- DCA til DirectAccess klienter.
- Logning af DirectAccess traffik.
- Remote adgang til DirectAccess klienter.
- Fejlfinding på Teredo og IP-HTTPS.

Jeg starter her med et diagnostic tool som hedder “DirectAccess Connectivity Assistant (DCA)”.
http://www.microsoft.com/downloads/details.aspx?FamilyID=9A87EFE8-E254-4473-8A26-678ADEA6D9E9&displaylang=en

Det kan fortælle DirectAccess brugerne om de har forbindelse til firma netværket, samt generer logs til helpdesken om computer og netværks konfiguration.
Uden dette tool kommer der ingen besked til brugeren, om at forbindelsen til virksomhedsressourcer via DirectAccess er nede eller oppe igen.
Man installerer DCA klienten på de maskiner, som skal connecte via DirectAccess.
Nedenstående billede viser at DCA klienten er blevet installeret, men den mangler at blive konfigureret via group policies.

Opret en ny GPO, som jeg i dette tilfælde kalder “WIN_DA_Client”. Den skal også bruges til andre indstillinger, som kan være målrettet mod DA klienter.

Sæt “Security Filtering”, så den kun rammer DirectAccess computere og brugere.

Importer DCA GPO template i henhold til nedenstående link.
Deploying, Managing, and Using the DirectAccess Connectivity Assistant
http://technet.microsoft.com/en-us/library/ff453413(WS.10).aspx

Herefter kan vi se DCA templaten via GPO manageren.

De to DCA indstillinger, som skal konfigureres er “DTEs” og “Corporate Resources”.
For “DTE” sker det som følger.
Kør ipconfig på selve UAG serveren og kopier de to IPv6 adresser, som er listet under 6TO4 adapteren.

Enable policy og klik på knappen “Show”.

Indsæt de to IPv6 adresser med PING: foran.

Konfiguration af “Corporate Resources”, skal også konfigureres. Restern af DCA settings er valgfrie, men kan være nyttige at have med.
Feks kan man konfigurere support email adresse som brugerne kan sende log-filer til eller linke til en support portal.
Enable policy og klik på knappen “Show”.

Indtast de interne servere med FQDN. DirectAccess klienter får således en alert, hvis en af nedenstående servere i infrastrukturen ikke kan tilgås.
Igen skal man sætte PING: foran.

Nedenstående billede viser at DirectAccess klienten er connected og alle ressourcer kan tilgås.

Her har DirectAccess klienten mistet tilslutning til en af infrastruktur serverne.

Brugeren kan herefter højre musetast på DCA ikonet og vælge “Advanced Diagnostic”.

En support log bliver herefter genereret og brugeren kan sende den til support, ved at klikke på “Email logs”.
Support mail-adressen, kan som sagt også sættes via DCA GPO’en.

Support/Helpdesk kan hefter åbne log-filen og se, at en af fil-serverne har problemer.

Forefront UAG – DirectAccess Part 8 er nu afsluttet.

Jeg er nået dertil, hvor jeg kan teste DirectAccess fra en række Windows 7 klienter.
Krav til Windows 7 klienterne er som følger.

Windows 7 skal være enterprise eller ultimate versionen.

Windows 7 klienten skal være medlem af firma domænet.

Klienten skal have et personligt computer certifikat.

Klienten skal have DirectAccess Client GPO’er påtrykt.

Med Forefront UAG og DirectAccess skal vi som sagt tidligere, ikke lave noget om i vores eksisternede infrastruktur.
DirectAccess klienterne vil via NAT64/DNS64 kunne connecte til Windows 2000/XP/2003, som stadigvæk er aktive i ens infrastruktur.
For mere info se nedenstående links.

Forefront UAG DirectAccess connection process.
http://technet.microsoft.com/en-us/library/ee809074.aspx

UAG DirectAccess – Don’t Fear the Reaper or IPv6.
http://blogs.technet.com/tomshinder/archive/2010/03/12/uag-directaccess-don-t-fear-the-reaper-or-ipv6.aspx

Jeg starter her med at teste en Windows 7 klient (WIN-PC-007), som sidder direkte på WAN.
Den har lavet en tunnel connection via transition 6to4, fordi klienten har en public IP adresse.
Dette sker helt transperant for brugeren uden brug af 3 parts software eller manuelle OS indstillinger/tweaks.

Jeg kan pinge mine interne servere på netbios navn.

Jeg har fået mappet mine netværksdrev op mod den eksisterende Windows 2003 R2 filserver.

Min outlook er online, så jeg kan sende og modtage mail, som jeg plejer.

Jeg kan tilgå mine interne Web servere (Sharepoint, Citrix Web Interface mfl).

Jeg kan administrerer Active Directory via RSAT.

Nedenstående billede viser en Windows 7 klient der sidder bag en NAT/Firewall enhed med en privat IP adresse.
I dette tilfælde vil klienten benytte “Teredo IPv6 transition technology”. Det kræver dog at der tilllades udgående UPD traffik på port 3544.

Hvis DirectAccess klienten ikke kan benytte 6to4 eller Teredo, vil den falde tilbage på IP-HTTPS.
Nedestående billede viser dette.

Forefront UAG – DirectAccess Part 7 er nu afsluttet.

Jeg er nu klar til at konfigurere DirectAccess. Start “UAG Management” og klik på “DirectAccess” linket.
Under “Client”, klik på knappen “Configure”.

Klik på “Add” og vælg den føroprettese sikkerhedsgruppe “DirectAcces”. Det er kun computere i denne gruppe der kan benytte DirectAccess.
Klik “Finish”.

Under “DirectAccess Server”, klik på knappen “Configure”.
Vælg public ip adresse fra “Internet-facing” dropdown. Vælg Private IP adresse fra “Internal” dropdown. Klik “Next”.
Den finder selv den anden public IP adresse, som jeg har bundet SSL certifikatet “da.jravn.dk” op på.

Klik “Next” til default indstillinger.

Jeg vælger her “Root Certificate” fra min interne Enterprise CA.
For IP-HTTPS vælger jeg mit public SSL certifikat fra GoDaddy. Klik herefter “Finish”.

Under “Infrastructure Servers”", klik på knappen “Configure”.
Jeg indtaster link til NLS serveren og klikker på knappen “Validate”. Klik “Next”.

Klik “Next” til default indstillinger.

Vælg det interne domæne og klik på knappen “Finish”.

Under “Application Servers”", klik på knappen “Configure”.
Klik “Finish” for default indstilling.

Klik på knappen “Generate Policies”.

Klik på knappen “Apply Now”.

Klik “OK”.

Afslut med at starte “Group Policy Management” og se at de nye DirectAccess policy er oprettet.

Man kan se udfra “Security Filtering”, at den nye DA client policy kun rammer de klienter der medlem af sikkerhedsgruppen “DirectAccess”.
Ligeledes rammer DA server policy kun UAG serveren.

Forefront UAG – DirectAccess Part 6 er nu afsluttet.

Jeg er nu kommet til det punkt, hvor jeg vil konfigurere og aktiverer Forefront UAG netværks-opsætning.
Start “Forefront UAG Management”. Klik på “Configure Network Settings”.

Vælg “Next”.

Vælg som vist på nedenstående billede.

Klik “Next”.

Klik “Finish”.

Klik på “Define Server Topology”.

Klik på “Next”.

Vælg “Single server”. Klik “Next”.

Klik på “Join Microsoft Update”.

Vælg “Use Microsoft Update…”. Klik “OK”.

Klik “Yes”.

Indtast password og klik “Next”.

Klik på “Activate”.

Klik på Finish.

Man får herefter adgang til UAG management console.

Forefront UAG – DirectAccess Part 5 er nu afsluttet.

Jeg har grundinstalleret Forefront UAG med update 1.
Inden jeg konfigurerer UAG netærks-topologi og DirectAccess, vil jeg forinden tjekke og optimerer netkorts-konfigurationen.
Jeg starter med at rename de to netkorts-interface, så de stemmer overens med den fysiske opkobling.

Tjek at LAN interfacet er konfigureret korrekt i forhold til blank gateway og intern DNS.

For LAN interface, tjek at DNS suffix er udfyldt med internt domæne navn.

For WAN interfacet fravælg “Client for Microsoft Networks” og “File and Printer Sharing for Microsoft Networks”.

Tjek at WAN interfacet står med korrekt IP informationer og blank DNS.

For WAN interfacet, sikre at det er de korrekte public IP adresser der er indtastet.

For WAN interface, tjek at DNS suffix er udfyldt med ekternt domæne navn og “Register this connection’s address in DNS” er fravalgt.

For WAN interface, tjek at “Enable LMHOSTS lookup” og “NetBIOS over TCP/IP” er fravalgt/disablet.

Gå til “Advanced” – “Advanced Settings”.

Konfigurer “connect order”, som vist på nedenstående billede.

Forefront UAG – DirectAccess Part 4 er nu afsluttet.