IPv6 in der Praxis: Microsoft Direct Access

IPv6 in der Praxis: Microsoft Direct Access Frankfurt, 07.06.2013 IPv6-Kongress 1

Über mich Thorsten Raucamp IT-Mediator Berater Infrastruktur / Strategie KMU Projektleiter, spez. Workflowanwendungen im Microsoft-Umfeld E-Mail: tr@raucamp-consulting.de Web: www.raucamp-consulting.de Frankfurt, 07.06.2013 IPv6-Kongress 2

Agenda Was ist DirectAccess Voraussetzungen Version 2008 / 2012 Minimal-Installation In 3 Schritten eingerichtet DirectAccess Security: von KMU bis Enterprise Fazit Frankfurt, 07.06.2013 IPv6-Kongress 3

Was ist Direct Access Transparenter und sicherer Remotezugriff ohne VPN-Zwang Automatischer Verbindungsaufbau vor der Benutzeranmeldung Client Remote Verwaltung, selbst wenn kein Benutzer angemeldet ist. IP-HTTPS: SSL/TLS-Verbindung wird zwischen Client und Server hergestellt, IP-Traffic mit IPSec verschlüsselt Frankfurt, 07.06.2013 IPv6-Kongress 4

Demo Frankfurt, 07.06.2013 IPv6-Kongress 5

Agenda Was ist Direct Access Voraussetzungen Version 2008 / 2012 Minimal-Installation In 3 Schritten eingerichtet Direct Access Security: für jeden was dabei Fazit Frankfurt, 07.06.2013 IPv6-Kongress 6

DirectAccess in Windows 2008 R2 Anforderungen: DirectAccess Server (Server 2008 R2) mit 2 Netzwerkkarten Clients: Windows 7 (Ultimate / Enterprise) Public-Key Infrastruktur Firewall muss Teredo-Pakete durchlassen ISATAP-Infrastruktur einrichten NAT64 für IPv4 Ressourcen muss installiert und konfiguriert werden 2 öffentliche, aufeinander folgende IPv4-Adressen Frankfurt, 07.06.2013 IPv6-Kongress 7

DirectAccess in Windows 2008 R2 10.0.0.12 Applikationen (SQL/SharePoint) Router DynIP INTERNET 193.99.143.85 193.99.143.86 10.0.0.1 10.0.0.11 192.168.x.x DirectAccess Gateway AD DNS DHCP Fileserver Zertifikatsdienste 10.0.0.13 Notebook 192.168.178.101 NLS PKI Sperrlisten Verteilpunkt Frankfurt, 07.06.2013 IPv6-Kongress 8

DirectAccess in Windows 2012 Raucamp Consulting 10.0.0.12 Applikationen (SQL/SharePoint) Router 192.168.x.x DynIP INTERNET DynIP Router 10.0.0.1 10.0.0.11 AD DNS DHCP Fileserver Zertifikatsdienste DirectAccess Notebook 192.168.178.101 Frankfurt, 07.06.2013 IPv6-Kongress 9

Verbesserungen in Server 2012 DirectAccess Server hinter Firewall Vereinfachte Bereitstellung und Konfiguration Installation auf DC möglich (nicht empfohlen) Verbesserte Performance (insb. mit Win 8 Clients) Größere Skalierbarkeit (Unterstützung von Network Load Balancing) Unterstützung mehrerer Standorte DNS64 und NAT64 (Zugriff auf IPv4-Only Netze) Frankfurt, 07.06.2013 IPv6-Kongress 11

IP-HTTPS Notebook 192.168.178.101 Router DynIP INTERNET DynIP Router HTTPS-Connection zu sbsrv.dtdns.net DA SSL/TLS Connection über HTTPS IPv6 Automatischer Aufbau sobald Internet-Verbindung besteht Windows 8: SSL-Tunnel ohne Verschlüsselung 2 Wege Kommunikation: Benutzerzugriff und Remote-Management Frankfurt, 07.06.2013 IPv6-Kongress 12

Technical Detail: NAT64/DNS64 NAT64/DNS64 is the reason DA works on IPv4 Networks 172.16.0.20 Native IPv4 traffic IPv4-only Server Native IPv6 traffic fd00:fefe:2::172.16.0.20 SERVER IN IPv6 Prefix - fd00:fefe:2::/96 IPv4 SERVER AAAA TCP port Internal IN FD00:FEFE:2::172.16.0.20 Address A 80172.16.0.20s 172.16.0.100 IPv6 Network 172.16.0.101 TCP port 1060 IPv4 Network 172.16.0.20 TCP port 80 NAT64/DNS64 gateway (DA) fd00:fefe:1::bef1:2002, TCP port 1025 IPv6 Client fd00:fefe:1::bef1:2002 8. 1. 2. NAT64 IPv6 gateway Client device sends configured forwards translates AAAA with DNS the /96 IPv6 packet 9. 6. 3. 4. DNS64 Server converts device informs sends DNS that A DNS IPv4 no A AAAA response query IPv6 record for query prefix to Server IPv4- an to to only and exists 5. 7. 9. NAT64 authoritative IPv4, DNS IPv6 IPv4-only IPv4 Server AAAA for Server Client dynamically gateway Server sends translates replies address Server one, DNS replies connection adding pool Server associating to the the with IPv6 Server s the packet IPv4 dynamic /96 prefix IPv4 source packet to IPv6 IPv4 to IPv6 IPv6 address using address associated used the with information by the an to IPv4 NAT64 the address in IPv4 gateway the receiver translation from the table pool DNS Server 172.16.0.2 Chad Duffey and Tristan Kington

Agenda Was ist Direct Access Voraussetzungen Version 2008 / 2012 Minimal-Installation In 3 Schritten eingerichtet Direct Access Security: für jeden was dabei Fazit Frankfurt, 07.06.2013 IPv6-Kongress 14

In 3 Schritten zu DirectAccess Raucamp Consulting Frankfurt, 07.06.2013 IPv6-Kongress 15

Na ja, nicht ganz: Die restliche Infrastruktur muss richtig eingerichtet sein: Firewall (Port 443 forwarding) Active Directory Zertifikatsdienste DHCP IPv6 ganz oder gar nicht! DNS!!! Frankfurt, 07.06.2013 IPv6-Kongress 16

Agenda Was ist Direct Access Voraussetzungen Version 2008 / 2012 Minimal-Installation In 3 Schritten eingerichtet Direct Access Security: für jeden was dabei Fazit Frankfurt, 07.06.2013 IPv6-Kongress 17

Security Plug n Pray ohne PKI Zertifikate, Smartcards und virtuelle Smartcards (TPM) OTP-Unterstützung (Token-Basierte Authentifizierung) NAP-Unterstützung Tunnelerzwingung möglich Frankfurt, 07.06.2013 IPv6-Kongress 18

Enterprise Features und Skalierung Remote-Verwaltung der Clients Einheitliche Verwaltung von Direct Access und RRAS Lastenausgleichsunterstützung / Clusterfähig Unterstützung mehrerer Standorte (Multisite Deployment) Frankfurt, 07.06.2013 IPv6-Kongress 19

Enterprise Features und Skalierung Einheitliche Verwaltung von Direct Access und RRAS Remote-Verwaltung der Clients Lastenausgleichsunterstützung / Clusterfähig Unterstützung mehrerer Standorte (Multisite Deployment) Frankfurt, 07.06.2013 IPv6-Kongress 20

Agenda Was ist Direct Access Voraussetzungen Version 2008 / 2012 Minimal-Installation In 3 Schritten eingerichtet Direct Access Security: für jeden was dabei Fazit Frankfurt, 07.06.2013 IPv6-Kongress 21

Fazit: Technik wie sie sein sollte: - transparent für den Benutzer - gut administrierbar - skalierbar auf die jeweiligen Bedürfnisse Frankfurt, 07.06.2013 IPv6-Kongress 22

Vielen Dank für Ihre Aufmerksamkeit! Frankfurt, 07.06.2013 IPv6-Kongress 23