Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

palais des congrès Paris

7, 8 et 9 février 2012

Arnaud Lheureux Stanislas Quastana Benoit SautièrePremier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP Enterprise SecurityMicrosoft UK Microsoft France Exakis

Retour d'expérience sur DirectAccess, bonnes pratiques & dépannage

Refaire un point sur DirectAccess : les technologies & produits à mettre en œuvre

Vous donner la bonne approche projet à suivre pour réussir votre déploiement DirectAccess

Vous faire gagner du temps en détaillant les problèmes classiques et rencontrés fréquemment

Vous préparer à une méthodologie de dépannage le cas échéant

Bref : vous faire profiter de nos expériences sur DirectAccess

Objectifs de cette session

Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles

Agenda

Architecture de DirectAccess (version simplifiée avec Windows Server 2008 R2 uniquement)

DC/DNS (WS2008 et >)

Autres serveurs

ServeurDirectAccess

IPv6 / IPsec

Client Windows 7(Entreprise

ou Intégrale)

NPSInternetRéseau

entreprise

IPv6 / (IPsec)

IPv4

Architecture de DirectAccess (version simplifiée avec Forefront UAG 2010)

DC/DNS

Autres serveurs

ServeurDirectAccessClient

Windows 7 (Entreprise

ou Intégrale)

NPSInternetRéseau

entreprise

IPv4 ou 6 / (IPsec)

IPv6 / IPsecIPv4

ServeurDirectAccess[UAG 2010]

Tunnel IPsec ESP [Infra]

Client DA Windows 7

Internet

Autres serveurs

DC/DNSmanagement

Tunnel IPsec ESP[User]

Réseau entreprise

DirectAccess aujourd’hui = Forefront UAG 2010 SP1

Montée en chargeHaute disponibilitéMoins d’impacts sur l’infrastructure IP+ simple à déployer et administrerIntégration de fonctionnalités complémentaires Support d’authentification OTP DirectAccess Connectivity Assistant

Plus de détails : cf. la session des TechDays 2011 http://tinyurl.com/78jzwwg

Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceQuelques points classiques d’exploitationDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles

Agenda

« J’adore qu’un plan se déroule sans accroc »Hannibal – Directeur de projet

« J’ai NATé de partout, la sécurité c’est mon métier »Futé – ingénieur réseau

« moi j’ai tout tuné et sans lire les docs Monsieur»Barracuda – ingénieur système

« je comprends pas ça ne marche pas »Looping – utilisateur Pilote de DA

Un projet DirectAccess ça peut aussi finir comme ça !!!

Impliquer toutes les bonnes personnes Responsables Windows / Plateformes Responsables réseau Responsables applicatifs Responsables sécurité Support utilisateurs

Et les points de vues différents Sécurité / Réseau Applicatifs Haute disponibilité

C’est un vrai projet - interlocuteurs

Le déploiement de DirectAccess n’est pas trivial, les prérequis sont importants et cela nécessite une planification forte

Un certain nombre de dénominateurs communs aux problématiques rencontrées les plus fréquemment…

Les 7 péchés capitaux

Orgueil Gourmandise Avarice Envie

Colère Impureté Paresse

Plus de détails : la session des TechDays 2011 http://tinyurl.com/75ten6g

Rappels sur DirectAccessBonnes pratiques pour un projet DirectAccessLes problèmes courants résolus par l’expérienceDépannage de la connectivité globale : méthodologie & mise en pratiqueConclusionRessources utiles

Agenda

Les incontournables : code d’erreur 40

Les incontournables : code d’erreur 40

Les incontournables : absence d’enregistrement DNS

DCA : DirectAccess Connectivity AssistantAttention aux ressources testéesN’est actualisé que toutes les 30 secondes

Les incontournables : DCA pas à jour

Protocole relativement peu utiliséProtocole non disponible avec le HLBProtocole en cours de dépréciation http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-

historic-05 http://www.ietf.org/id/draft-ietf-6man-rfc3484-

revise-05.txt

Quand IPv6 s’en mêle - Connectivité 6to4

Quand IPv6 s’en mêle - Connectivité 6to4

S’active en parallèle d’IPHTTPSPourtant Teredo peut se désactiver par erreur_ldap._tcp.dc._msdcs.DnsDomainName

Quand IPv6 s’en mêle – Connectivité Teredo

Quand IPv6 s’en mêle – Connectivité Teredo

Choisir une AC nativement reconnueUne CRL, ça se publieUn jour, un certificat ça expirePossible d’utiliser un certificat Wildcard (*)

Quand IPv6 s’en mêle – Connectivité IPHTTPS

Quand IPv6 s’en mêle – Connectivité IPHTTPS

Code erreur Signification

0x800b0109 Certificat délivré par une autorité de certification non reconnue

0x80092012 Impossible de vérifier la non révocation du certificat.

0x80092013 Impossibilité d'accéder à la CRL

0x80090328 Certificat expiré

0x80090324 Synchronisation des horloges entre client et serveur

IPv6 sur le LAN ? Nécessaire ?

Quand IPv6 s’en mêle – Connectivité ISATAP

Quand IPv6 s’en mêle – Connectivité ISATAP

Quand IPv6 s’en mêle – Flux entrants non sollicités

Quand IPv6 s’en mêle – Flux entrants non sollicités


Agenda

Rappel

Split tunneling / Force tunneling


Impact utilisateur Pas possible de désactiver DirectAccess Pas possible de contourner les tunnels Accès Internet via proxy

Alternative Imposer un proxy par stratégie de groupe (GPO)


Lync n’est pas encore IPv6 ready Secure Real-time Transport Protocol (RFC 3711)

Implique la mise en œuvre d’un Lync Edge Access Edge service Web Conferencing Edge service A/V Edge service

Masquer l’infrastructure interne

Split tunneling / Force tunneling – Le cas Lync



FQDN Usage _sipinternaltls._tcp.<yourdomainname> (SRV)

Sign-in for Lync clients for Internal TLS connections

_sipinternal._tcp. <yourdomainname> (SRV)

Sign-in for Lync clients for Internal TCP connections

_sip._tls. <yourdomainname> (SRV)

For Telephony feature purpose

_sip._tcp. <yourdomainname> (SRV)

For Telephony feature purpose

sip. <yourdomainname> Lync Pool Front-End

sipinternal. <yourdomainname>

Internal SIP access

sipexternal. <yourdomainname>

External SIP Access

Multiples causes Client Citrix : IPv6 oui mais uniquement avec la

Citrix Access Gateway Serveur XenApp : Pas d’accès possible en

DNS64/NAT64

Solution : Déployer une Citrix Access Gateway Masquer la ferme Citrix XenApp Imposer l’accès via la Citrix Access Gateway

Split tunneling / Force tunneling : le cas de la ferme Citrix XenApp


Subtilité de la résolution DNS



Agenda

Supervision & Dépannage

Journaux d’évènements sécurité A configurer par GPO ou localement

(auditpol.exe)WebMonitorPowershell Archivage intégré TMG ImportrDaLogFilter.xml

Supervision et audit

Les étapes de base1. Vérifier les GPOs DirectAccess2. Vérifier le statut de connectivite3. Vérifier la NRPT4. Vérifier les adresses IPv65. Vérifier les règles IPsec6. Vérifier les credentiels et l’authentification7. Vérifier la résolution de nom et l'accès aux

ressources

Dépannage de la connectivité

1. Vérifier les GPOs DirectAccess gpresult /h gpreport.html /scope computer

2. Vérifier le status NLS Netsh name show effective

3. Vérifier la NRPT Netsh name show policy

4. Vérifier les adresses IPv6 Ipconfig /all Adresses autres que FE80::/64

Dépannage de la connectivité 2

4. Vérifier les règles Ipsec netsh advf consec show rule name=all

type=dynamic 5. Vérifier les credentiels et l’authentification

Certutil –viewstore My : au moins un certificat avec “Client authentication”

6. Vérifier la résolution de nom et l'accès aux ressources nslookup <intranet DNS server FQDN>

<DNS server IPv6 address>

Dépannage de la connectivité 3

Teredo Netsh int teredo show state On y attend un état qualified, le type de NAT détecté, IP/ports

du NAT6to4 Netsh int 6to4 show state Status de 6to4: activé

IP-HTTPS Netsh interface httpstunnel show interface

0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

0x2AFC: Destination host is unreachable. 0x274C: A connection attempt failed because the connected party

did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Focus sur les technologies de transition

Démarche générale en cas de problèmes sérieux:1. Stopper le service « IP Helper »

Net stop IPhlpSvc2. Purger les caches

Ipconfig /flushdns, klist purge3. Démarrer une trace

Netsh trace start scenario=directaccess capture=yes

4. Redémarrer le « IP Helper » Net start IPhlpSvc

5. Reproduire le problème Utilisation d’un partage, etc.

6. Stopper la trace Netsh trace stop

7. Se régaler!

Suivons la trace!

Le cas du cluster disponible… mais pas trop!

Les utilisateurs qui se connectent sur le nœud 1 n’ont accès a aucune ressource du réseau corporate…

Le pitch

Client Machine

Corporate network

AMS UAG

UAG

UAG

N L B

N L B

Notre environment de test


Agenda

Procéder avec méthode C’est un projet Mise en place par itération Exploiter le rapport du DAC La technique est au service de la

méthode

Agir de manière proactive Superviser DirectAccess DirectAccess Health Check par Microsoft

Conclusion

Blog de Stanislas http://blogs.technet.com/b/stanislas/archive/tags/directaccess/Blog de Benoit http://danstoncloud.com/blogs/simplebydesign/archive/tags/DirectAccess/default.aspx Blog de Lionel http://security.sakuranohana.fr/search/label/DirectAccess

Ressources utiles

DirectAccess Mobilité & nomadisme

Par Benoit & Lionelhttp://tinyurl.com/6vwtnfs

Technology

Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage