6 rtalanul forefront uag directaccess n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
6ártalanul Forefront UAG + DirectAccess PowerPoint Presentation
Download Presentation
6ártalanul Forefront UAG + DirectAccess

Loading in 2 Seconds...

play fullscreen
1 / 25

6ártalanul Forefront UAG + DirectAccess - PowerPoint PPT Presentation


  • 75 Views
  • Uploaded on

6ártalanul Forefront UAG + DirectAccess. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Mi is a DirectAccess ?. Folyamatos , biztonságos, IPSec és IPv6 alapú kapcsolat Előnyök – üzemeltetői oldal

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '6ártalanul Forefront UAG + DirectAccess' - vivian


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
6 rtalanul forefront uag directaccess

6ártalanulForefront UAG + DirectAccess

Gál Tamás

v-tagal@microsoft.com

IT üzemeltetési szakértő

Microsoft Magyarország

mi is a directaccess
Mi is a DirectAccess?
  • Folyamatos, biztonságos, IPSec és IPv6 alapú kapcsolat
  • Előnyök – üzemeltetői oldal
    • Rugalmas, (akár) teljes hozzáférés a kliensek felé is - mindig
    • Granuláris szabályzás alkalmazás/szerver szinten
  • Előnyök - felhasználói oldal:
    • A „megszokott” hozzáférés – bárhonnan, interaktivitás nélkül, maximális UX
    • Szimultán kapcsolat (Internet / céges hálózat)
  • Kliensoldal: zéró teendő / szerveroldal: számos 
mi is a directaccess1
Mi is a DirectAccess?

A világ változik:

„A hálózatunk nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.”

vs.

Iroda

Otthon / mobil

Iroda

Otthon / mobil

directaccess technikai pill rek
DirectAccess - technikai pillérek

Névfeloldás:

DNS és NRPT

Biztonság/adatvédelem : IPsec

  • Kapcsolat: IPv6
directaccess egy teljes rendszer
DirectAccess – egy teljes rendszer

IPv4 eszközök

IPv6 eszközök

IPv4 támogatás(pl. 6to4, NAT-PT, NAT64)

IT desktop felügyelet

Natív IPv6 + IPSec

Lehetővé teszi a DirectAccesskliensek felügyeletét

DA: transzparens, biztonságos kapcsolat VPN nélkül

Group Policy, NAP, WSUS

IPv6 / IPv4 átalakítás

Internet

Közvetlen kapcsolat a belső IPv6 erőforrásokkal

DirectAccess

Server

Windows 7kliens

IPSec titkosítás és hitelesítés

az er forr sok el r se az uag gal
Az erőforrások elérése az UAG-gal

Belső hálózat / Perimeter / Adatközpont

Exchange

CRM

SharePoint

IIS based

IBM, SAP, Oracle

Mobil

Otthon,máshol, publikus helyen

HTTPS / HTTP

Terminal / Remote Desktop Services / VDI

Layer3 VPN

HTTPS (443)

Internet

DirectAccess

Non-web, fájlszerver

Partnerek, beszállítók, stb.

AD, ADFS,

RADIUS, LDAP….

NPS, FIM

Felügyelt gépek (alkalmazottak)

slide8

Demókörnyezet

Kiosk

Nem felügyelt kliens (W7)

Ibiza

UAG 2010

DirectAccess

Denver

DC+CA

Rome

Felügyelt kliens (W7)

SydneySharepoint 2010

uag s directaccess e gy tt finomabb
UAG ésDirectAccess – együtt finomabb
  • Amit a Forefront UAG ad a „Windows” DirectAccess-hez, az nem kevés:
    • Egyszerűbb tervezés és telepítés
      • Egy helyen a két termék
    • Magasabb rendelkezésre állás:
      • Tömbök és terheléselosztás – több DirectAccess kiszolgálóval
      • Failover – a DirectAccess kiszolgálók között
    • NAT64 támogatás - DA kliensek és a natív IPv4 erőforrások között
    • Végponti „egészségi szint” ellenőrzés – NAP is
uag directaccess komponensek 7 in 1

IPv6/IPv4 kapcsolódás

Hálózati infrastruktúra

IPSeccsatornák

DNS

Network Location Server

Public Key Infrastructure

Active Directory

UAG DirectAccesskomponensek (7 in 1)
ipv6 kapcsol d s r szletek
IPv6 kapcsolódás – részletek
  • Külső IPv6 kapcsolódás
    • 6to4 relay – publikus IPv4 címekről
    • Teredo–NAT eszközök mögül
    • IP-HTTPS – tűzfalak és proxy-k mögül
  • Belső IPv6 kapcsolódás
    • ISATAP router –IPv6 kapcsolódás IPv4 „felett” az intraneten
      • Az ISATAP router egy szeparált kiszolgálón is lehet
    • NAT64/DNS64 –IPv6 kapcsolódásaz intranetes natív IPv4 erőforrásokhoz
      • A legjobb módszer, a külső IPv6-os kliens generálja a csatlakozást
egy mell ksz l
Egy mellékszál
  • Tényleg egy TMG van az UAG alatt?
    • Igen, de ez nem egy szokásos TMG
    • Elvileg csak az UAG „használja”
    • Pl. a publikálás szabályokat automatikusan konfigurálja
  • Mire használható ezen kívül?
    • Tűzfalként
    • Reverse proxyként
    • Publikálásra, de csak: Exchange SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, Office Communications Server (OCS)
    • Engedélyező tűzfalszabályok, de csak VPN-hez
    • Monitoring

http://technet.microsoft.com/en-us/library/ee522953.aspx

ipsec csatorn k
IPSec csatornák
  • A kapcsolódás = IPv6; biztonság = IPSec
  • IPv4 esetén IPv6 tranzíciós technológiák
    • 6to4, Teredo, IP-HTTPS
  • Hitelesítés > Infrastructure tunnel:tanúsítvány és NTLMv2, user hitelesítés nem szükséges
  • Hitelesítés > Intranet tunnel:tanúsítvány (gép), Kerberos ticket (user + gép)

Infrastructure Tunnel

Intranet Tunnel

IPv6 Transition Technologies

DC-k, DNS, HRA, SC szerverek

Internet

IPv4 via NAT64

IPv6 Native

ISATAP

Kliens gép

IPv4 via NAT64

IPv6 Native

ISATAP

A többi gép a

belső hálón

UAG

slide16

Name Resolution Policy Table (NRPT)

Belső DNS kiszolgáló követelmények

AAAA rekordok támogatása

Dinamikus frissítés támogás

ISATAP

UAG DA belső IP vagy egy külön ISATAP router

Global Query Block List!

Publikus DNS kiszolgáló követelmények

IP-HTTPS Server név (Common Name)

CDP (az IP-HTTPS tanúsítványhoz)

DNS
internet s intranet forgalom
Internet és Intranet forgalom
  • A split-tunneling már alap-értelmezésben is elérhető
    • A statikus, mini DNS szerverünkkel (NRPT)
    • De tiltható is(Force Tunneling)
network location server

Hol is vagyunk?

Egy állandóan elérhető HTTPS website legyen

HTTP GET kérés > 200 OK > ha belül vannak a kliens

Kívülről nem elérhető

Network Location Server
public key infrastructure

Számítógép tanúsítvány (IPSec Auth)

Server Authentication tanúsítvány (IP-HTTPS)

Online CRL publikálás (IP-HTTPS)

Felhasználói tanúsítvány (Smart Card Auth)

Public Key Infrastructure
active directory

A DA szervert ésa klienseket GPO-kon keresztül konfigoljuk

GPO-k automatikusan készülnek el az UAG DA varázslóval

Active Directory
directaccess connectivity assistant
DirectAccess Connectivity Assistant
  • Az OS alapértelmezés szerint semmit nem árul el a DA kapcsolódásról
  • De a letölthető DA CA igenhttp://technet.microsoft.com/en-us/library/ff384241.aspx
  • Amit látunk benne
    • A kapcsolat állapota
    • Egy troubleshooting link
    • Automatikus „hibacsomag” készítés
  • .msi = könnyű tömegesen telepíteni
    • Csoportházirend konfigurálás
da ca gp be ll t s

Minimum két opciót be kell állítani

DTE Endpoints

PING:2002::/128

A DA szerver 2 tunnel végpontjának 6to4 címei

Corporate resource

Egy belső erőforrás definiálása

Egy belső webszerver vagy PING

Vagy FILE:\\FS1\SHARE\FILE.TXT

Csoportházirend sablonok a csomagban (.admx, .adml)

DA CA GP beállítás
uag sp1 fontos da jdons gok
UAG SP1 – fontos DA újdonságok
  • .
  • .
  • .
  • Sajnos, nem mondhatok el többet 