palais des congrès Paris
7, 8 et 9 février 2012
Arnaud Lheureux Stanislas Quastana Benoit SautièrePremier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP Enterprise SecurityMicrosoft UK Microsoft France Exakis
Retour d'expérience sur DirectAccess, bonnes pratiques & dépannage
Refaire un point sur DirectAccess : les technologies & produits à mettre en œuvre
Vous donner la bonne approche projet à suivre pour réussir votre déploiement DirectAccess
Vous faire gagner du temps en détaillant les problèmes classiques et rencontrés fréquemment
Vous préparer à une méthodologie de dépannage le cas échéant
Bref : vous faire profiter de nos expériences sur DirectAccess
Objectifs de cette session
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
Architecture de DirectAccess (version simplifiée avec Windows Server 2008 R2 uniquement)
DC/DNS (WS2008 et >)
Autres serveurs
ServeurDirectAccess
IPv6 / IPsec
Client Windows 7(Entreprise
ou Intégrale)
NPSInternetRéseau
entreprise
IPv6 / (IPsec)
IPv4
Architecture de DirectAccess (version simplifiée avec Forefront UAG 2010)
DC/DNS
Autres serveurs
ServeurDirectAccessClient
Windows 7 (Entreprise
ou Intégrale)
NPSInternetRéseau
entreprise
IPv4 ou 6 / (IPsec)
IPv6 / IPsecIPv4
ServeurDirectAccess[UAG 2010]
Tunnel IPsec ESP [Infra]
Client DA Windows 7
Internet
Autres serveurs
DC/DNSmanagement
Tunnel IPsec ESP[User]
Réseau entreprise
DirectAccess aujourd’hui = Forefront UAG 2010 SP1
Montée en chargeHaute disponibilitéMoins d’impacts sur l’infrastructure IP+ simple à déployer et administrerIntégration de fonctionnalités complémentaires Support d’authentification OTP DirectAccess Connectivity Assistant
Plus de détails : cf. la session des TechDays 2011 http://tinyurl.com/78jzwwg
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceQuelques points classiques d’exploitationDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
« J’adore qu’un plan se déroule sans accroc »Hannibal – Directeur de projet
« J’ai NATé de partout, la sécurité c’est mon métier »Futé – ingénieur réseau
« moi j’ai tout tuné et sans lire les docs Monsieur»Barracuda – ingénieur système
« je comprends pas ça ne marche pas »Looping – utilisateur Pilote de DA
Un projet DirectAccess ça peut aussi finir comme ça !!!
Impliquer toutes les bonnes personnes Responsables Windows / Plateformes Responsables réseau Responsables applicatifs Responsables sécurité Support utilisateurs
Et les points de vues différents Sécurité / Réseau Applicatifs Haute disponibilité
C’est un vrai projet - interlocuteurs
Le déploiement de DirectAccess n’est pas trivial, les prérequis sont importants et cela nécessite une planification forte
Un certain nombre de dénominateurs communs aux problématiques rencontrées les plus fréquemment…
Les 7 péchés capitaux
Orgueil Gourmandise Avarice Envie
Colère Impureté Paresse
Plus de détails : la session des TechDays 2011 http://tinyurl.com/75ten6g
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
Les incontournables : code d’erreur 40
Les incontournables : code d’erreur 40
Les incontournables : absence d’enregistrement DNS
DCA : DirectAccess Connectivity AssistantAttention aux ressources testéesN’est actualisé que toutes les 30 secondes
Les incontournables : DCA pas à jour
Protocole relativement peu utiliséProtocole non disponible avec le HLBProtocole en cours de dépréciation http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-
historic-05 http://www.ietf.org/id/draft-ietf-6man-rfc3484-
revise-05.txt
Quand IPv6 s’en mêle - Connectivité 6to4
Quand IPv6 s’en mêle - Connectivité 6to4
S’active en parallèle d’IPHTTPSPourtant Teredo peut se désactiver par erreur_ldap._tcp.dc._msdcs.DnsDomainName
Quand IPv6 s’en mêle – Connectivité Teredo
Quand IPv6 s’en mêle – Connectivité Teredo
Choisir une AC nativement reconnueUne CRL, ça se publieUn jour, un certificat ça expirePossible d’utiliser un certificat Wildcard (*)
Quand IPv6 s’en mêle – Connectivité IPHTTPS
Quand IPv6 s’en mêle – Connectivité IPHTTPS
Code erreur Signification
0x800b0109 Certificat délivré par une autorité de certification non reconnue
0x80092012 Impossible de vérifier la non révocation du certificat.
0x80092013 Impossibilité d'accéder à la CRL
0x80090328 Certificat expiré
0x80090324 Synchronisation des horloges entre client et serveur
IPv6 sur le LAN ? Nécessaire ?
Quand IPv6 s’en mêle – Connectivité ISATAP
Quand IPv6 s’en mêle – Connectivité ISATAP
Quand IPv6 s’en mêle – Flux entrants non sollicités
Quand IPv6 s’en mêle – Flux entrants non sollicités
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceQuelques points classiques d’exploitationDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
Rappel
Split tunneling / Force tunneling
Split tunneling / Force tunneling
Impact utilisateur Pas possible de désactiver DirectAccess Pas possible de contourner les tunnels Accès Internet via proxy
Alternative Imposer un proxy par stratégie de groupe (GPO)
Split tunneling / Force tunneling
Lync n’est pas encore IPv6 ready Secure Real-time Transport Protocol (RFC 3711)
Implique la mise en œuvre d’un Lync Edge Access Edge service Web Conferencing Edge service A/V Edge service
Masquer l’infrastructure interne
Split tunneling / Force tunneling – Le cas Lync
Split tunneling / Force tunneling – Le cas Lync
Split tunneling / Force tunneling – Le cas Lync
FQDN Usage _sipinternaltls._tcp.<yourdomainname> (SRV)
Sign-in for Lync clients for Internal TLS connections
_sipinternal._tcp. <yourdomainname> (SRV)
Sign-in for Lync clients for Internal TCP connections
_sip._tls. <yourdomainname> (SRV)
For Telephony feature purpose
_sip._tcp. <yourdomainname> (SRV)
For Telephony feature purpose
sip. <yourdomainname> Lync Pool Front-End
sipinternal. <yourdomainname>
Internal SIP access
sipexternal. <yourdomainname>
External SIP Access
Multiples causes Client Citrix : IPv6 oui mais uniquement avec la
Citrix Access Gateway Serveur XenApp : Pas d’accès possible en
DNS64/NAT64
Solution : Déployer une Citrix Access Gateway Masquer la ferme Citrix XenApp Imposer l’accès via la Citrix Access Gateway
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp
Subtilité de la résolution DNS
Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceQuelques points classiques d’exploitationDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
Supervision & Dépannage
Journaux d’évènements sécurité A configurer par GPO ou localement
(auditpol.exe)WebMonitorPowershell Archivage intégré TMG ImportrDaLogFilter.xml
Supervision et audit
Les étapes de base1. Vérifier les GPOs DirectAccess2. Vérifier le statut de connectivite3. Vérifier la NRPT4. Vérifier les adresses IPv65. Vérifier les règles IPsec6. Vérifier les credentiels et l’authentification7. Vérifier la résolution de nom et l'accès aux
ressources
Dépannage de la connectivité
1. Vérifier les GPOs DirectAccess gpresult /h gpreport.html /scope computer
2. Vérifier le status NLS Netsh name show effective
3. Vérifier la NRPT Netsh name show policy
4. Vérifier les adresses IPv6 Ipconfig /all Adresses autres que FE80::/64
Dépannage de la connectivité 2
4. Vérifier les règles Ipsec netsh advf consec show rule name=all
type=dynamic 5. Vérifier les credentiels et l’authentification
Certutil –viewstore My : au moins un certificat avec “Client authentication”
6. Vérifier la résolution de nom et l'accès aux ressources nslookup <intranet DNS server FQDN>
<DNS server IPv6 address>
Dépannage de la connectivité 3
Teredo Netsh int teredo show state On y attend un état qualified, le type de NAT détecté, IP/ports
du NAT6to4 Netsh int 6to4 show state Status de 6to4: activé
IP-HTTPS Netsh interface httpstunnel show interface
0x80092013: The revocation function was unable to check revocation because the revocation server was offline.
0x2AFC: Destination host is unreachable. 0x274C: A connection attempt failed because the connected party
did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Focus sur les technologies de transition
Démarche générale en cas de problèmes sérieux:1. Stopper le service « IP Helper »
Net stop IPhlpSvc2. Purger les caches
Ipconfig /flushdns, klist purge3. Démarrer une trace
Netsh trace start scenario=directaccess capture=yes
4. Redémarrer le « IP Helper » Net start IPhlpSvc
5. Reproduire le problème Utilisation d’un partage, etc.
6. Stopper la trace Netsh trace stop
7. Se régaler!
Suivons la trace!
Le cas du cluster disponible… mais pas trop!
Les utilisateurs qui se connectent sur le nœud 1 n’ont accès a aucune ressource du réseau corporate…
Le pitch
Client Machine
Corporate network
AMS UAG
UAG
UAG
N L B
N L B
Notre environment de test
Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceQuelques points classiques d’exploitationDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles
Agenda
Procéder avec méthode C’est un projet Mise en place par itération Exploiter le rapport du DAC La technique est au service de la
méthode
Agir de manière proactive Superviser DirectAccess DirectAccess Health Check par Microsoft
Conclusion
Blog de Stanislas http://blogs.technet.com/b/stanislas/archive/tags/directaccess/Blog de Benoit http://danstoncloud.com/blogs/simplebydesign/archive/tags/DirectAccess/default.aspx Blog de Lionel http://security.sakuranohana.fr/search/label/DirectAccess
Ressources utiles
DirectAccess Mobilité & nomadisme
Par Benoit & Lionelhttp://tinyurl.com/6vwtnfs