1 / 25

6ártalanul Forefront UAG + DirectAccess

6ártalanul Forefront UAG + DirectAccess. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Mi is a DirectAccess ?. Folyamatos , biztonságos, IPSec és IPv6 alapú kapcsolat Előnyök – üzemeltetői oldal

vivian
Download Presentation

6ártalanul Forefront UAG + DirectAccess

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 6ártalanulForefront UAG + DirectAccess Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország

  2. Mi is a DirectAccess? • Folyamatos, biztonságos, IPSec és IPv6 alapú kapcsolat • Előnyök – üzemeltetői oldal • Rugalmas, (akár) teljes hozzáférés a kliensek felé is - mindig • Granuláris szabályzás alkalmazás/szerver szinten • Előnyök - felhasználói oldal: • A „megszokott” hozzáférés – bárhonnan, interaktivitás nélkül, maximális UX • Szimultán kapcsolat (Internet / céges hálózat) • Kliensoldal: zéró teendő / szerveroldal: számos 

  3. Mi is a DirectAccess? A világ változik: „A hálózatunk nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Iroda Otthon / mobil Iroda Otthon / mobil

  4. DirectAccess - technikai pillérek Névfeloldás: DNS és NRPT Biztonság/adatvédelem : IPsec • Kapcsolat: IPv6

  5. DirectAccess – egy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés

  6. Mi is az a Forefront UAG?

  7. Az erőforrások elérése az UAG-gal Belső hálózat / Perimeter / Adatközpont Exchange CRM SharePoint IIS based IBM, SAP, Oracle Mobil Otthon,máshol, publikus helyen HTTPS / HTTP Terminal / Remote Desktop Services / VDI Layer3 VPN HTTPS (443) Internet DirectAccess Non-web, fájlszerver Partnerek, beszállítók, stb. AD, ADFS, RADIUS, LDAP…. NPS, FIM Felügyelt gépek (alkalmazottak)

  8. Demókörnyezet Kiosk Nem felügyelt kliens (W7) Ibiza UAG 2010 DirectAccess Denver DC+CA Rome Felügyelt kliens (W7) SydneySharepoint 2010

  9. Forefront UAG demó

  10. UAG ésDirectAccess – együtt finomabb • Amit a Forefront UAG ad a „Windows” DirectAccess-hez, az nem kevés: • Egyszerűbb tervezés és telepítés • Egy helyen a két termék • Magasabb rendelkezésre állás: • Tömbök és terheléselosztás – több DirectAccess kiszolgálóval • Failover – a DirectAccess kiszolgálók között • NAT64 támogatás - DA kliensek és a natív IPv4 erőforrások között • Végponti „egészségi szint” ellenőrzés – NAP is

  11. IPv6/IPv4 kapcsolódás Hálózati infrastruktúra IPSeccsatornák DNS Network Location Server Public Key Infrastructure Active Directory UAG DirectAccesskomponensek (7 in 1)

  12. IPv6 kapcsolódás – részletek • Külső IPv6 kapcsolódás • 6to4 relay – publikus IPv4 címekről • Teredo–NAT eszközök mögül • IP-HTTPS – tűzfalak és proxy-k mögül • Belső IPv6 kapcsolódás • ISATAP router –IPv6 kapcsolódás IPv4 „felett” az intraneten • Az ISATAP router egy szeparált kiszolgálón is lehet • NAT64/DNS64 –IPv6 kapcsolódásaz intranetes natív IPv4 erőforrásokhoz • A legjobb módszer, a külső IPv6-os kliens generálja a csatlakozást

  13. Hálózati infrastruktúra

  14. Egy mellékszál • Tényleg egy TMG van az UAG alatt? • Igen, de ez nem egy szokásos TMG • Elvileg csak az UAG „használja” • Pl. a publikálás szabályokat automatikusan konfigurálja • Mire használható ezen kívül? • Tűzfalként • Reverse proxyként • Publikálásra, de csak: Exchange SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, Office Communications Server (OCS) • Engedélyező tűzfalszabályok, de csak VPN-hez • Monitoring http://technet.microsoft.com/en-us/library/ee522953.aspx

  15. IPSec csatornák • A kapcsolódás = IPv6; biztonság = IPSec • IPv4 esetén IPv6 tranzíciós technológiák • 6to4, Teredo, IP-HTTPS • Hitelesítés > Infrastructure tunnel:tanúsítvány és NTLMv2, user hitelesítés nem szükséges • Hitelesítés > Intranet tunnel:tanúsítvány (gép), Kerberos ticket (user + gép) Infrastructure Tunnel Intranet Tunnel IPv6 Transition Technologies DC-k, DNS, HRA, SC szerverek Internet IPv4 via NAT64 IPv6 Native ISATAP Kliens gép IPv4 via NAT64 IPv6 Native ISATAP A többi gép a belső hálón UAG

  16. Name Resolution Policy Table (NRPT) Belső DNS kiszolgáló követelmények AAAA rekordok támogatása Dinamikus frissítés támogás ISATAP UAG DA belső IP vagy egy külön ISATAP router Global Query Block List! Publikus DNS kiszolgáló követelmények IP-HTTPS Server név (Common Name) CDP (az IP-HTTPS tanúsítványhoz) DNS

  17. Internet és Intranet forgalom • A split-tunneling már alap-értelmezésben is elérhető • A statikus, mini DNS szerverünkkel (NRPT) • De tiltható is(Force Tunneling)

  18. Hol is vagyunk? Egy állandóan elérhető HTTPS website legyen HTTP GET kérés > 200 OK > ha belül vannak a kliens Kívülről nem elérhető Network Location Server

  19. Számítógép tanúsítvány (IPSec Auth) Server Authentication tanúsítvány (IP-HTTPS) Online CRL publikálás (IP-HTTPS) Felhasználói tanúsítvány (Smart Card Auth) Public Key Infrastructure

  20. A DA szervert ésa klienseket GPO-kon keresztül konfigoljuk GPO-k automatikusan készülnek el az UAG DA varázslóval Active Directory

  21. DirectAccess Connectivity Assistant • Az OS alapértelmezés szerint semmit nem árul el a DA kapcsolódásról • De a letölthető DA CA igenhttp://technet.microsoft.com/en-us/library/ff384241.aspx • Amit látunk benne • A kapcsolat állapota • Egy troubleshooting link • Automatikus „hibacsomag” készítés • .msi = könnyű tömegesen telepíteni • Csoportházirend konfigurálás

  22. Minimum két opciót be kell állítani DTE Endpoints PING:2002::/128 A DA szerver 2 tunnel végpontjának 6to4 címei Corporate resource Egy belső erőforrás definiálása Egy belső webszerver vagy PING Vagy FILE:\\FS1\SHARE\FILE.TXT Csoportházirend sablonok a csomagban (.admx, .adml) DA CA GP beállítás

  23. UAG DA + DA CA demó

  24. UAG SP1 – fontos DA újdonságok • . • . • . • Sajnos, nem mondhatok el többet 

More Related