Situatie
Direct Access este o tehnologie de remote access proprietara Microsoft implementata prima oara in Windows Server 2008R2, insa nu este utilizata des datorita dificultatii de configurare in 2008R2, fiind necesar ca serverul de DirectAccess sa fie edge device si sa aiba doua ip-uri publice consecutive si IPv6 implementat in reteaua locala.
In Windows Server 2012 s-a modificat modul de implementare, si anume: trei tipologii de configurare, trei protocoale de conectare si posbilitatea de a configura DirectAccess fara a avea neaparat IPv6 in reteaua locala, desi conexiunea va functiona tot pe IPv6 prin protocoale de tranzitionare NAT64 si DNS64.
1 – Serverul DirectAccess este configurat ca si edge device cu doua interfete de retea (una externa si cealalta interna) si poate folosi toate cele trei protocoale de conectare:
– Teredo si 6to4, atunci cand serverul are pe interfata externa doua IP-uri publice consecutive. Pentru ca Teredo sa functioneze este necesar sa existe cele doua ip-uri consecutive iar in Windows Firewall sa se creeze o regula de Allow ICMP Echo Request pe toate echipamentele cu care se doreste ca clientii sa comunice (necesar neaparat pe interfata externa a serverului si pe Domain Controller).
Teredo se va folosi atunci cand clientul se afla in spatele unui router care foloseste NAT, iar 6to4 atunci cand clientul este direct conectat la internet avand ip public.
2 – Serverul DirectAccess este configurat in spatele unui device care foloseste NAT si are doua interfete, una aflandu-se in DMZ si una in reteaua interna, in cazul acesta se foloseste protocolul IP-HTTPS si trebuie forwardat portul 443 catre server.
3 – Serverul DirectAccess este configurat in spatele unui device care foloseste NAT si are o singura interfata de retea, si trebuie de asemenea forwardat portul 443 catre server si va folosi IP-HTTPS. Acesta este si demo-ul pe care il voi prezenta.
Pentru a beneficia de aceasta tehnologie clientii care se conecteaza trebuie sa aibe ca OS versiunea Enterprise de Windows 7, 8.1 sau 10 iar in reteaua interna trebuie sa existe un Domain Controller pentru ca la configurare se vor aplica GPO-uri pe client si pe server.
Lab-ul prezentat este configurat in VMware Workstation iar ca si client se va folosi Windows 10 Enterprise pe care il vom conecta fie la reteaua interna, fie la cea externa.
Mai jos se afla o diagrama a retelei configurate.
Backup
Trebuie creat in Active Directory un grup pe care se vor aplica GPO-urile, in cazul de fata DirectAccess Clients care are ca si membru WIN10-ENT1
Solutie
Pasi de urmat
Se va merge pe serverul pe care vrem sa-l configuram cu rolul de Direct Acces si se va da click pe Manage, apoi Add Roles and Features.
Se va bifa ca rol Remote access, apoi Next.
Se bifeaza DirectAccess and VPN(RAS) apoi Next.
Va aparea un scurt rezumat a ceea ce va urma sa se instaleze. Se va apasa pe butonul Install.
Dupa instalare va aparea un link prin care se poate accesa wizard-ul prin care se poate configura DirectAccess. Se va da click pe Open the Getting Started Wizard.
Va aparea o noua fereasta unde se va da click pe Deploy DirectAccess only.
Se va deschide wizard-ul unde vor aparea cele trei tiplogii descrise anterior. In cazul de fata Behind an edge device (with a single network adapter) si se va trece numele inregistrat in DNS-ul extern pentru serverul de DirectAccess sau IP-ul (neaparat ip public), apoi se va da click pe Next.
Va aparea o noua fereastra, insa nu se va da click pe Finish, se va edita configuratia prin click pe “here” incadrat mai jos in chenarul rosu.
In fereastra care apare se va edita grupul de pc-uri care se vor conecta prin DirectAccess nu se va lasa default-ul Domain Computers.
Se va da Remove la Domain Computers si se va debifa Enable DirectAccess for mobile computer only.
Se va adauga prin butonul Add, grupul creat in Active Directory la inceputul demo-ului, dupa care se va da click pe Next, OK, apoi Finish.
Putem vedea ca se aplica GPO-urile pentru clienti si server. Este important ca toate sa aiba o bifa verde.
Dupa ce s-au aplicat setarile si s-au replicat in Domain Controller putem verfica statusul configuratiei.
Pe serverul extern s-a configurat rolul DHCP si DNS. In DNS am creat o noua zona respectiv bogdan.net unde am creat un resource record pentru da.bogdan.net cu ip-ul 130.100.0.3 care se afla pe interfata externa a gateway-ului si care a fost configurata in wizard-ul DirectAccess-ului.
Urmatorul pas este de a updata politicile pe WIN10-ENT1 prin rularea comenzii gpupdate /force in cmd si vizualizarea politicilor aplicate prin comanda gpresult /r. Comand prompt trebuie deschis cu privilegii de administrator pentru a putea vizualiza ce politici au fost aplicate pe partea de Computer Settings.
Urmatorul pas este de a accesa Settings apoi click pe Network & Internet unde va aparea o noua conexiune si anume DirectAcces. WIN10-ENT1 se afla in reteaua locala acest lucru fiind indentificat imediat si de catre DirectAccess.
Dupa ce am mutat WIN10-ENT1 in reteaua 130.100.0.0/24 se poate vedea ca DirectAccess isi va da seama automat ca pc-ul nu se mai afla in reteaua interna si va incerca sa creeze o conexiune cu serverul.
Dupa aproximativ 10 secunde conexiunea este deja stabilita.
Pentru a testa conectivitatea se va deschide cmd unde se va rula comanda ipconfig /all, unde se va vedea interfata IPHTTPS. Se va testa conectivitatea catre Domain Controller prin comanda ping. Dupa cum am spus DirectAccess foloseste IPv6 si creeaza doua tunele (unul pentru user si altul pentru pc).
Leave A Comment?