Directaccess 2012

Mikä on Directaccess?

Directaccess on Microsoftin palvelinkäyttöjärjestelmän (2008, 2012) mukana tuleva etäyhteysteknologia. Directaccesin parhaita puolia on automaattisuus. Työasemaan ei tarvitse asentaa minkäänlaista yhteysohjelmistoa (vpn client). Yhteysohjelmisto on valmiiksi integroitu tuetuissa käyttöjärjestelmissä. Yhteys on myös automatisoitu niin, että se tunnistaa milloin ollaan yrityksen verkossa ja milloin muussa verkossa, ja tämän perusteella käynnistää yhteyden yrityksen verkkoon. Loppukäyttäjältä ei vaadita mitään toimenpiteitä yhteyden muodostamiseen.

Mitä sillä voi tehdä?

Directaccesia voi käyttää etätyöskentelyyn. Etäyhteyden päästä toimii niin verkkojaot, outlook ja ylipäätään miltei kaikki mitä sisäverkossakin.

Kun suunnittelet Directaccesin implementoimista ympäristöösi, muistathan, että koska Directaccess on ipv6 teknologiaa, käytettävät sovellukset (Lync, Exchange jne) täytyy tukea ipv6-teknologiaa (ipv6-aware). Nämä on hyvä käydä asennusprojektin esimäärityksissä läpi ettei tule yllätyksiä.

Henkilökohtaisesti olen testannut Lync 2010 ja Exchange 2010 toimivuutta directaccess asennuksissa ja toimii moitteetta.

Topologia ja tietoturva

Directaccess on huomattavasti suoraviivaisempi konfiguroida 2012 versiossa. 2008 R2 versiossa esim. PKI-Infrastruktuuri oli pakollinen, ja esimerkiksi Windows 8 versiota ei tuettu.

Directaccess 2012 tukee Windows 7 ja Windows 8 enterprise versioita. Windows 7 versiota tukeakseen tarvitaan edelleen PKI. Kasin kanssa riittää autentikointiin Kerberos proxy.

Directaccess on IPV6 teknologiaa hyödyntävä sovellus. IPV4 verkossa directaccessin yhteys muodostuu käyttäen yhtä kolmesta protokollasta. Näitä ovat:

– 6to4

– Teredo

– IPHTTPS

Näiden protokollien avulla tapahtuu ipv6 muunnos jonka avulla Directaccesia voidaan käyttää ipv4 verkon yli. Toisin sanoen voit hyödyntää Directaccesiä täysin vaikka teillä ei olisi yhtäkään ipv6 osoitetta olemassa. Directaccess tukee ipv4 ympäristöä 100%:sti.

IPHTTPS on näistä ainoa joka toimii täysin NATin takaa ja esim. yhdellä verkkokortilla. Tällöin ei tarvita kuin ohjata portti 443 ulkoverkosta palomuurin läpi sisäverkkoon DA-palvelimelle.

Directaccess palvelimet sijoitetaan yleensä DMZ:lle. Mutta kuten yllä mainittiin, tukee myös NAT:ia.

Yhteys tapahtuu ipv4:n sisällä jossa muodostuu infrastruktuuri- ja intranettunneli yhteyden muodostamiseen. Itse yhteys on suojattu käyttäen ipsec-protokollaa, PKI (windows 7) ja kerberos proxy autentikointia (windows 8).

Directaccess asetukset työasemille jaellaan tutulla tavalla group policyn kautta.

Directaccess voi olla yhden palvelimen konfiguraatio pienelle käyttäjäjoukolle, tai palvelinklusteri (farmi) suurelle käyttäjämäärälle ja vikasietoisuuden tavoittelemiselle.

 

Yhteysprosessi

Yksinkertaistettuna yhteys muodostuu seuraavasti:

  1. Työasema tunnistaa verkkoyhteyden
  2. Työasema tarkistaa onko verkko omaa sisäverkkoa (intranet), vai ulkoverkkoa (internet). Jos on jälkimmäisessä, Directaccess yhteyttä aletaan muodostamaan.
  3. Työasema ottaa yhteyden DA-palvelimeen (6to4, iphttps tai teredo)
  4. Kun yhteys DA-palvelimeen on saatu, autentikoi työasema ja DA-palvelin itsensä joko konetilisertifikaatilla tai kerberos proxyllä (infrastruktuuritunneli).
  5. Autentikoinnin jälkeen käytetään käyttäjän tunnuksia (NTLMv2) ja konetilisertifikaattia pystyttämään intranettunneli.
  6. Nyt yhteys on valmis. Käyttäjälle määritetyt resurssit ovat käytettävissä Directaccesin kautta.

 IC355689

(Kuva lainattu technet.microsoft.com sivustolta)

 

Sertifikaatit

Directaccesin asentamiseen suosittelen vahvasti ostamaan SSL-sertifikaatin. Self-signed sertifikaatin kanssa ongelma syntyy jo siitä, että joudut julkaisemaan CRL-listan julkiverkkoon jotta clientit saavat yhteyden.

Julkinen sertifikaatti on turvallisempi ja kokonaiskustannuksia ajatellen järkevä valinta. NLS-sertifikaatti voi hyvin olla self-signed. 

 

Vähimmäisvaatimukset DA-ympäristön pystyttämiseen

 DA-ympäristöön tarvitset siis minimissään:

  • 1x domain controller, mielellään 2008 versio tai uudempi
  • 1x 2012 palvelimen (fyysinen tai virtuaalinen) jossa väh. 1 verkkokortti, 8GB muistia, dual core prosessori, kovalevytilaa 100GB
  • Työasema Windows 7 (lisäksi PKI) tai Windows 8 enterprise
  • Yksi julkinen SSL-sertifikaatti
  • Yksi self-signed sertifikaatti
  • Yksi julkinen ip-osoite jonka läpi voidaan ohjata portti 443 (esim. määritetty palomuuriin)
  • Domain osoite. Toimii yhteysosoitteena, voi olla esim. DA.yritysosoite.fi.
  • Internet yhteys
  • NAT
  • Jäätävän hyvä asentaja

Vikasietoisuus

Suurien käyttäjämäärien ja vikasietoisuuden tavoittamiseksi kannattaa harkita Directaccess-farmin asentamista suoraan. Tässä skenaariossa on useampi Directaccess-palvelin ja edessä Load-balancer jakamassa yhteyksiä.

Loppuun

Tässä oli lyhyesti Directaccesista. Lähinnä pintaa raapaistu ja käyty yleiskuvaa hieman läpi. Tästä aiheesta voisi kirjoittaa sivukaupalla tekstiä, mutta käydään niitä asioita mielummin läpi neuvottelupöydässä.

DA-terveisin,

Ville Henttu

Leave a Reply

Your email address will not be published. Required fields are marked *