SmartIT Services AGWillkommenSmartIT Zmorge28. Mai 2015Herzlich Willkommen.

AgendaSmartIT Zmorge, 28. Mai 2015

08.45 – 09.00 Uhr Begrüssung und EinleitungRoberto Valentini, Geschäftsleitung SmartIT

09.00 – 09.15 Uhr Remote Access: Aktuelle Erfahrungen und Problemstellung

09.15 – 10.15 Uhr Was ist Direct Access

10.15 – 10.30 Uhr Pause

10.30 – 11.30 Uhr Live-Demo Direct Access

11.30 – 12.00 Uhr Diskussion

SmartIT Services AGWillkommenWeshalb und wann Direct AccessMotivation

_ Ärger mit bestehender Remote Access Lösung?

_ Fehlende Funktionalität der bestehenden Remote Access Anlage?

_ Für Benutzer ist aktuelle Remote Access Lösung zu umständlich oder nicht immer brauchbar?

_ Erfahrungsaustausch zu DirectAccess?

_ Interesse an neuen Technologien?

_ Morgenessen und KollegInnen?

Alle Motivationen sind OK und werden heute «abgeholt».

Spannendes Thema

Persönliche Begeisterung

Let’s go DirectAccess !!

DirectAccessMotivation

Was hat Sie/Dich bewogen, heute DA näher kennenzulernen?

_ VPN

PPTP

L2TP / IPSec

SSL / SSTP

IKEv2

_ Citrix ICA mit Netscaler

_ MS RDS mit RDS Gateway

_ Teamviewer &Co

_ ……

…und jetzt auch noch DirectAccess ??!!

Remote Access Varianten

…von VPN über Proxy Server bis DirectAccess

SmartIT Services AGWillkommenWas man über DA wissen muss…Pro und Contra

_ «Always ON Connection»Kein umständliches Prozedere zum Verbindungsaufbau. «Internet da – DA da» automatisch

_ «Gemanagte Nomaden PCs»PCs von Aussendienst Mitarbeitenden sind stets verwaltet und aktuell auch ohne Bürobesuch

_ «Auch die Maschine verbindet sich»Verbindung auf Maschinenebene zur Verwaltung besteht bereits vor der Anmeldung eines Users

_ «Weniger Supportaufwand»Weil DA einfach da ist und die User «nichts» wissen müssen, gibt’s weniger Supportaufwand

_ «Zugriffspfade immer gleich»Über DA Verbindungen sind die internen Ressourcen unter denselben Namen erreichbar wie lokal

_ «Auch im Hotel läufts»DA 2012 R2 verwendet per Default IP-https, das läuft auch vom Hotelzimmer aus

_ «DA wird mitgeliefert»Direct Access ist mit Windows Server 2012 R2 und Windows Enterprise Clients dabei

_ «Security»End to End Authentication und Verschlüsselung sowie One Time Passwort (z.B. RSA) möglich

Direct Access USP’s (Unique Selling Proposition)

Was Direct Access ausmacht….

_ «Domain Members only»Nur für Client PCs, die Mitglied einer Active Directory Domain sind, d.h. nur Firmen PCs

_ «Nur ein Ziel: Nach Hause»DA verbindet sich stets mit dem eigenen Netzwerk

_ «Windows PCs only»Keine Direct Access Verbindung z.B. von iPads oder Android Geräten aus

_ «IPv6 fähige Client SW»Auf Clients geht ohne IPv6 nichts, die Apps müssen IPv6 enabled sein

_ «Zertifikate, Zertifikate, Zertifikate»Es werden etliche Zertifikate benötigt, d.h. in den meisten Fällen braucht’s eine interne PKI

_ «Alles geht über die Namen»Interne Ressourcen müssen stets per Namen angegeben sein. IP Adresse als Ziel läuft nicht !

_ Per Default «Split Tunneling»

Was man über DA auch noch wissen muss…

Die Grenzen von DA

_Ohne IPv6 fähige Client Software geht nichts !z.B. SAP GUI SAP_IPv6_ACTIVE =1

_Die Client SW muss Ressourcen mit Namen ansprechen !IPv4 Adressen in Config-Files etc. bringen Probleme mit sich

Was man sich über DA merken muss…

Wichtig also:

SmartIT Services AGWillkommenTechnischer Aufbau Direct Access Wie läufts

Direct Access Komponenten

Die Elemente

DA

Server

W7 / W8 / W8.1

Direct Access Komponenten

Die Elemente

Direct Access Komponenten

Die Protokolle (Quelle: MSXFAQ)

Zugriff IPv4 interne Resourcenüber NAT64/DNS64

2012 R2 mit W8.1 Default IP-https für alle Kommunikationsvarianten

Für Manage Out ist intern IPv6 oder ISATAP notwendig

Wenn NLS erreichbar intern

Direct Access Komponenten

NRPT

Namespace per NRPT alsintern erkannt: 1 2 3

Namespace in NRPT nichtaufgeführt: 4

Wichtig: nls.corp.net ist alsAusnahme in NRPT gespeichertso dass externe Clients den NetworkLokation Server auch bei fertigaufgebauter DA Verbindung nicht«sehen» können

DA Komponenten

Group Policies…

DA Server erstelltautomatisch zwei GPOs

GPO Filtering W7 / W8Clients

NRPT in GPO

SmartIT Services AGWillkommenDirect Access SetupWie man DA einrichtet…

_ Gewünschte Funktionalität und Client Typen bestimmen:• Nur W8 oder W7 + W8 Wenn W7, dann müssen ALLE Clients ein Client Zertifikat erhalten• Wenn Manage Out Intern IPv6 oder ISATAP zu den Management Servern• Ein DA Server oder mehrere DA Server mit NLB

_ Netzwerktopologie bestimmen:• DA Server mit zwei Netzwerkkarten (DMZ/Intern) – Eine Netzwerkkarte (DMZ + «Löcher» in FW)• DA Server mit Pubilc IPs oder hinter NAT (IP-https only, disable other Protocolls per GPO)

_ IP Adressen:• Falls Teredo nötig Zwei aneinander liegende öffentliche IPv4 Adressen erforderlich

_ Zertifikate• Falls W7 Auf eigener PKI auto Enrollment für Client Zertifikate einrichten• DA Server Zertifikat mit externem FQDN wie z.B. da.smartit.ch oder Public IP in Common Name• Zertifikats Sperrliste für DA Server Zertifikat muss extern erreichbar sein (CDP, Double Escaping)

_ NLS Server:

• NLS Zertifikat bereitstellen (z.B. mit Common Name nls.corp.smartit.ch)

• Zertifikat auf IIS in https Bindings aufnehmen

Direct Access Setup

Vorbereitungsarbeiten

Setup Direct Access

Es geht los…

Wichtig: Auf Direct Access Server muss Windows Firewall aktiv sein !!

Setup Direct Access

Wizard

Setup Direct Access

Client Setup (Step 1)

Welche Computer Accounts«erhalten» DA

«Nur» Maschinen-Verwaltung

«Alles» geht über DA –Internet Traffic machtUmweg über Firma

Setup Direct Access

Client Setup (Step 1) Connectivity Assistant

DCA Einstellungen nur für Windows 8 wirksam.W7 braucht zusätzliche GPO Settings (…folgen)

Im Notfall lässt sichDA «abhängen»

Anzeige DAConnection

Welche Verbindungentestet der DCA nachfertig aufgebauterDA Connection zurStatusanzeige

Setup Direct Access (Step 2)

Direct Access Server

DA Server Zertifikat

Topologie

Interfaces

Externer FQDN (…oder IP Adresse)DA Server

Setup Direct Access (Step 2)

DA Server - Authentication

W7 Clients

CA für Auto-Enrollment

_ Network Location Server

Setup Direct Access (Step 3)

Infrastructure Servers NLS

Setup Direct Access (Step 3)

Infrastructure Servers – DNS Suffixes

Aus diesen Angaben wirdNRPT (Name Resolution PolicyTable) gebildet

Interne Namespaces

_ Download: http://www.microsoft.com/en-us/download/details.aspx?id=29039

Install: http://www.ivonetworks.com/news/2013/08/windows-7-dca-with-server-2012-directaccess/

_ Bereitstellen ADMX/ADML Files für W7 DA Connectivity Assistant

_ GPO für W7 Clients Erstellen und konfigurieren

Windows 7 Direct Access Connectivity Assistant

Handarbeit…

Direct Access Security

Was das BSI dazu sagt…

SmartIT Services AGWillkommenDirect Access Funktionskontrolle…Funktionskontrolle und Fehlersuche

Direct Access Funktionalitätsübersicht

_ Übersicht, was läuft:

Dashboard

_ Schrittweises Vorgehen zur Fehleranalyse

_ Artikel: 7 Steps for Troubleshooting DirectAccess Clientshttp://www.windowsnetworking.com/articles-tutorials/trouble/7-Steps-Troubleshooting-DirectAccess-Clients.html

Direct Access Funktionalitätstests

…wenn’s mal nicht so läuft, wie gewünscht:

_ Netsh dns show state:

Feststellen, ob Client sich ausserhalb oder innerhalb des Firmennetzwerkes «fühlt»NLS Server Funktionalität

Direct Access Troubleshooting

Die Befehle

_ Netsh namespace show effectivepolicy

Feststellen, ob Client die NRPT Table erhalten hat und wie sie konfiguriert istNLS Server muss DirectAccess (DNS Servers) leer aufweisen !!

Direct Access Troubleshooting

Die Befehle…

_ ipconfig

Ist iphttpsinterface aktiv und ist eine ipv6 Adresse zugeordnet

_ Windows Firewall

Sind IPSec SA (Security Associations) vorhanden

Direct Access Troubleshooting

Die Befehle…

_ nltest /dsgetdc:

Ist DC über DNS und Direct Access erreichbar

_ Ping «Servername»

Sind interne Server erreichbar (Name eingeben, nicht IP !!)

Direct Access Troubleshooting

Die Befehle

Direct Access Funktionalitätstests

Test Sperrliste

_ Überprüfung DA Server Zertifikat Sperrliste

_ Wichtig: Funktioniert nur auf Clients mit ENGLISCHER Spracheinstellung !!

_ Download: http://www.microsoft.com/en-us/download/details.aspx?id=41938

Direct Access Troubleshooting Tool

Schneller Überblick zur DA Funktionalität des Clients…

_ http://blogs.technet.com/b/jasonjones/archive/2013/11/13/the-evolution-of-collecting-directaccess-client-diagnostic-log-information.aspx

_ Windows 7: %SystemDrive%\Users\%Username%\AppData\Local\Microsoft\DCA\

_ Windows 8: %SystemDrive%\Users\%Username%\AppData\Local\Temp\Microsoft DirectAccess Logs\

_ Windows 8.1: %SystemDrive%\Users\%Username%\AppData\Local\Temp with a default filename of%COMPUTERNAME%-%Date% %Time%-DirectAccess Logs.html

Windows 8.1:

Direct Access Logs

Protokolldateien auf Clients

Merci !

Fragen / Pause

Merci

Demo