Martijn Bellaard

RSS
Overzicht van artikelen >

Installatie Direct Access Deel 1: De voorbereiding

Geplaatst op 2-2-2010 19:37 door Martijn Bellaard

Ik ga in een aantal aankomende blogs aandacht besteden aan hoe je DirectAccess moet configureren. Voor meer informatie over wat DirectAccess is kijk op:

NGN Evenement
"Windows 7; uitdagingen en kansen
 van de nieuwe werkplek." op 15 april
Je kan je hier inschrijven

Martijn Bellaard presenteert daar
ook en behandelt oa Direct Access,
bitlocker en IPv6
Leden slechts €50,-
Niet-leden €99,-
Lid worden kan hier

http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx

In mijn eerste blog behandel ik de stappen die je moet ondernemen om jou omgeving voor te bereiden op DirectAccess. In de twee blog sta ik dan stil bij PKI voor DirectAccess en in mijn laatste blog doorlopen we de DirectAccess Wizard.

Voordat je aan deze blog begint is het verstandig om je in een aantal IPv6 technieken te verdiepen. Ik behandel ze namelijk niet in deze blog. De volgende IPv6 technieken komen in de blogs voor:

  • IPv6 routing
  • IPv6 nummers
  • IPv6 Teredo
  • IPv6 6to4
  • IPv6 ISATAP

Software

Direct Access is een nieuwe functionaliteit van Windows 2008 R2 en combinatie met Windows 7. Deze twee operating systems heb je dan ook nodig voor DirectAccess. DirectAccess werkt niet samen met een andere OS (versie).

Basis Setup

In de basis setup ga ik uit van minimaal 3 servers en een werkstation. De eerste server is een Windows 2008 R2 Domain Controller (DC) en Certificate Authoritie (CA/PKI). De tweede server is een Windows 2008 R2 Direct Access Server, de derde server is een Windows 2008 R2 IIS server die zowel intern als extern te benaderen is. De client is minimaal Windows 7 Enterprise Domain member.

DC/CA setup

De basis setup van de DC/CA is een Windows 2008 R2 Enterprise editie. Om een volledige ondersteuning te krijgen voor de CA is een Enterprise editie noodzakelijk.

http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx

Voordat we kunnen beginnen moet je eerst een Windows 2008 R2 met de volgende rollen installeren:

  • -Active Directory Domain Service (ADDS)
    • Zorg voor een werkende domain, inclusief DNS.
  • DHCP Server
    • Zorg dat deze een scope heeft om uit te delen.
  • Active Directory Certification Services (ADCS)

Config IPv6

IPv6 is een voorwaarde om van DirectAccess gebruik te kunnen maken. In deze guide maak ik gebruik van de Unique Local Address range FC00:1310:1969:0001/64. Geef DC de volgende IPv6 config:

IPv6 Nummer: FC00:1310:1969:0001::1/64
Gateway FC00:1310:1969:0001:1::1
DNS: FC00:1310:1969:0001::1

Dit is voorlopig alle configuratie die we doen voor IPv6 op de Domain Controller

Configuratie van Active Directory Domain Service (ADDS)

Nu we IPv6 hebben geconfigureerd op de DC kunnen we de ADDS gaan voorbereiden op DirectAccess. Hierbij ga ik er vanuit dat je al een draaiende Domain hebt.

DirectAccess is een nieuwe “dienst” voor je gebruikers. Nu zul je standaard niet willen dat elke gebruiker/computer toegang krijgt via DirectAccess. Via een Global Security Group geef je de computers toegang met DirectAccess tot het netwerk. Daarnaast zal ik straks ook een aantal policy’s moeten maken voor Direct Access. Hiervoor maak ik een aparte OU aan. Als laatste plaats ik DirectAccess Global Security Group in de OU.

  • Log in op de Domain Controller
  • Open Active Directory Users and Computer
  • Selecteer het domain
    • ActionNew - Organizational Unit
    • Name: DirectAccessOU
  • Selecteer DirectAccessOU
  • Action – New - Group
    • Group name: DAComp
    • Group Scope: Global

DNS config

Direct Access maakt gebruik van verschillend IPv6 in IPv4 tunnel technieken om IPv6 verkeer over een IPv4 netwerk te transporteren. Eén van die technieken is ISATAP. We moeten er voor zorgen dat ISATAP wordt ondersteund door de DNS server.

  • Log in op de Domain controller
  • Open een command prompt als Administrator
  • Voer het volgende commando in: Dnscmd /config /globalqueryblocklist wpad

Windows Firewall

Als laatste moeten we de Windows firewall aanpassen zodat Teredo ICMPv4 en ICMPv6 verkeer doorgelaten wordt. Dit moeten we doen via een GPO, zodat niet alleen de server, maar ook werkstations worden aangepast.

  • Open de Group Policy Management Console
  • Selecteer het domain
  • Action è Create a GPO in this domain, and link it here
    • Name: DirectAccess
  • Selecteer DirectAccess
  • Action - Edit
  • Ga naar Computer\Configuration\Policies\Windows Settings\Windows Firewall with Advanced Security\ Windows Firewall with Advanced Security

ICMPv4 Inbound

  • Inbound Rule
  • Action - New
  • Custom
  • Next, Next
  • Protocol type ICMPv4
  • Customize
  • Selecteer Specify ICMP type, Echo Request
  • OK
  • 4x Next
  • Name: ICMPv4 inbound 
  • Finish

ICMPv6 Inbound

  • Inbound Rule
  • Action - New
  • Custom
  • Next, Next
  • Protocol type ICMPv6
  • Customize
  • Selecteer Specify ICMP type, Echo Request
  • OK
  • 4x Next
  • ICMPv6 inbound
  • Finish

ICMPv4 Outbound

  • Outbound Rule
  • Action è New
  • Custom
  • Next, Next
  • Protocol type ICMPv4
  • Customize
  • Selecteer Specify ICMP type, Echo Request
  • OK
  • 4x Next
  • ICMPv4 Outbound
  • Finish

ICMPv6 Outbound

  • Outbound Rule
  • Action - New
  • Custom
  • Next, Next
  • Protocol type ICMPv6
  • Customize
  • Selecteer Specify ICMP type, Echo Request
  • OK
  • 4x Next
  • ICMPv6 Outbound 
  • Finish

De eerste stap naar DirectAccess is gezet. In mijn volgende blog behandel ik de PKI infrastructuur voor DirectAccess

Martijn Bellaard



Share/Save/Bookmark

Reacties

Reageer op dit artikel

Naam:
Uw Email adres:
Titel:
Bericht: