En 2011, nous avions insisté sur la nécessité de l'approche Projet pour DirectAccess. Maintenant que l'équipe projet a réussi avec succès sa mise en production, il faut gérer le quotidien. Cette session s'adressera donc aux exploitants de la solution DirectAccess. Cette solution reposant sur un assemblage de plusieurs technologies, une bonne compréhension de chacune d'elle facilite le dépannage. Plusieurs cas de troubleshooting seront développés ainsi que les bonnes pratiques en matière d'exploitation des plateformes DirectAccess.
2. Retour d'expérience sur
DirectAccess, bonnes pratiques
& dépannage
Arnaud Lheureux Stanislas Quastana Benoit
Sautière
Premier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP Enterprise
Security
Microsoft UK Microsoft France Exakis
3. Objectifs de cette session
Refaire un point sur DirectAccess : les technologies &
produits à mettre en œuvre
Vous donner la bonne approche projet à suivre pour
réussir votre déploiement DirectAccess
Vous faire gagner du temps en détaillant les problèmes
classiques et rencontrés fréquemment
Vous préparer à une méthodologie de dépannage le cas
échéant
Bref : vous faire profiter de nos expériences sur
DirectAccess
4. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
5.
6. Architecture de DirectAccess
(version simplifiée avec Windows Server 2008 R2
uniquement)
Réseau
Internet NPS
entreprise
IPv4 IPv6 / IPsec
DC/DNS (WS2008 et >)
Client Serveur
Windows 7 DirectAccess
(Entreprise
ou Intégrale)
Autres serveurs
7. Architecture de DirectAccess
(version simplifiée avec Forefront UAG 2010)
Réseau
Internet NPS
entreprise
IPv4 IPv6 / IPsec
DC/DNS
Serveur
Client
DirectAccess
Windows 7
(Entreprise
ou Intégrale)
Autres serveurs
8. Internet Réseau entreprise
DC/DNS
Tunnel IPsec ESP [Infra] management
Tunnel IPsec ESP[User]
Client DA Serveur
Windows 7 DirectAccess
[UAG 2010] Autres serveurs
9. DirectAccess aujourd’hui
= Forefront UAG 2010 SP1
Montée en charge
Haute disponibilité
Moins d’impacts sur l’infrastructure IP
+ simple à déployer et administrer
Intégration de fonctionnalités complémentaires
Support d’authentification OTP
DirectAccess Connectivity Assistant
Plus de détails : cf. la session des TechDays 2011 http://tinyurl.com/78j
10. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Quelques points classiques d’exploitation
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
11. « J’adore qu’un plan se
déroule sans accroc »
Hannibal – Directeur de projet
12. « J’ai NATé de partout, la
sécurité c’est mon métier »
Futé – ingénieur réseau
13. « moi j’ai tout tuné et sans
lire les docs Monsieur»
Barracuda – ingénieur système
14. « je comprends pas ça
ne marche pas »
Looping – utilisateur Pilote de DA
16. C’est un vrai projet - interlocuteurs
Impliquer toutes les bonnes personnes
Responsables Windows / Plateformes
Responsables réseau
Responsables applicatifs
Responsables sécurité
Support utilisateurs
Et les points de vues différents
Sécurité / Réseau
Applicatifs
Haute disponibilité
17. Les 7 péchés capitaux
Le déploiement de DirectAccess n’est pas
trivial, les prérequis sont importants et cela
nécessite une planification forte
Un certain nombre de dénominateurs communs
aux problématiques rencontrées les plus
fréquemment…
Orgueil Gourmandise Avarice Envie
Colère Impureté Paresse
Plus de détails : la session des TechDays 2011 http://tinyurl.com/75te
18. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
22. Les incontournables : DCA pas à jour
DCA : DirectAccess Connectivity Assistant
Attention aux ressources testées
N’est actualisé que toutes les 30 secondes
23. Quand IPv6 s’en mêle - Connectivité
6to4
Protocole relativement peu utilisé
Protocole non disponible avec le HLB
Protocole en cours de dépréciation
http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-historic-
05
http://www.ietf.org/id/draft-ietf-6man-rfc3484-revise-
05.txt
25. Quand IPv6 s’en mêle – Connectivité
Teredo
S’active en parallèle d’IPHTTPS
Pourtant Teredo peut se désactiver par erreur
_ldap._tcp.dc._msdcs.DnsDomainName
27. Quand IPv6 s’en mêle – Connectivité
IPHTTPS
Choisir une AC nativement reconnue
Une CRL, ça se publie
Un jour, un certificat ça expire
Possible d’utiliser un certificat Wildcard (*)
28. Quand IPv6 s’en mêle – Connectivité
IPHTTPS
Code erreur Signification
0x800b0109 Certificat délivré par une autorité de certification non reconnue
0x80092012 Impossible de vérifier la non révocation du certificat.
0x80092013 Impossibilité d'accéder à la CRL
0x80090328 Certificat expiré
0x80090324 Synchronisation des horloges entre client et serveur
29. Quand IPv6 s’en mêle – Connectivité
ISATAP
IPv6 sur le LAN ? Nécessaire ?
33. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Quelques points classiques d’exploitation
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
36. Split tunneling / Force tunneling
Impact utilisateur
Pas possible de désactiver DirectAccess
Pas possible de contourner les tunnels
Accès Internet via proxy
Alternative
Imposer un proxy par stratégie de groupe (GPO)
37. Split tunneling / Force tunneling – Le
cas Lync
Lync n’est pas encore IPv6 ready
Secure Real-time Transport Protocol (RFC 3711)
Implique la mise en œuvre d’un Lync Edge
Access Edge service
Web Conferencing Edge service
A/V Edge service
Masquer l’infrastructure interne
39. Split tunneling / Force tunneling – Le
cas Lync
FQDN Usage
Sign-in for Lync clients for Internal TLS
_sipinternaltls._tcp.<yourdomainnam connections
e> (SRV)
_sipinternal._tcp. Sign-in for Lync clients for Internal TCP
<yourdomainname> (SRV) connections
_sip._tls. <yourdomainname> (SRV) For Telephony feature purpose
_sip._tcp. <yourdomainname> For Telephony feature purpose
(SRV)
sip. <yourdomainname> Lync Pool Front-End
sipinternal. <yourdomainname> Internal SIP access
sipexternal. <yourdomainname> External SIP Access
40. Split tunneling / Force tunneling : le cas
de la ferme Citrix XenApp
Multiples causes
Client Citrix : IPv6 oui mais uniquement avec la Citrix
Access Gateway
Serveur XenApp : Pas d’accès possible en
DNS64/NAT64
Solution :
Déployer une Citrix Access Gateway
Masquer la ferme Citrix XenApp
Imposer l’accès via la Citrix Access Gateway
41. Split tunneling / Force tunneling : le cas
de la ferme Citrix XenApp
42. Split tunneling / Force tunneling : le cas
de la ferme Citrix XenApp
Subtilité de la résolution DNS
43. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Quelques points classiques d’exploitation
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
45. Supervision et audit
Journaux d’évènements sécurité
A configurer par GPO ou localement (auditpol.exe)
WebMonitor
Powershell
Archivage intégré TMG
Importr
DaLogFilter.xml
46. Dépannage de la connectivité
Les étapes de base
1. Vérifier les GPOs DirectAccess
2. Vérifier le statut de connectivite
3. Vérifier la NRPT
4. Vérifier les adresses IPv6
5. Vérifier les règles IPsec
6. Vérifier les credentiels et l’authentification
7. Vérifier la résolution de nom et l'accès aux
ressources
47. Dépannage de la connectivité 2
1. Vérifier les GPOs DirectAccess
gpresult /h gpreport.html /scope computer
2. Vérifier le status NLS
Netsh name show effective
3. Vérifier la NRPT
Netsh name show policy
4. Vérifier les adresses IPv6
Ipconfig /all
Adresses autres que FE80::/64
48. Dépannage de la connectivité 3
4. Vérifier les règles Ipsec
netsh advf consec show rule name=all
type=dynamic
5. Vérifier les credentiels et l’authentification
Certutil –viewstore My : au moins un certificat
avec “Client authentication”
6. Vérifier la résolution de nom et l'accès aux
ressources
nslookup <intranet DNS server FQDN> <DNS
server IPv6 address>
49. Focus sur les technologies de transition
Teredo
Netsh int teredo show state
On y attend un état qualified, le type de NAT détecté,
IP/ports du NAT
6to4
Netsh int 6to4 show state
Status de 6to4: activé
IP-HTTPS
Netsh interface httpstunnel show interface
0x80092013: The revocation function was unable to check
revocation because the revocation server was offline.
0x2AFC: Destination host is unreachable.
0x274C: A connection attempt failed because the connected
party did not properly respond after a period of time, or
established connection failed because connected host has failed
to respond.
50. Suivons la trace!
Démarche générale en cas de problèmes sérieux:
1. Stopper le service « IP Helper »
Net stop IPhlpSvc
2. Purger les caches
Ipconfig /flushdns, klist purge
3. Démarrer une trace
Netsh trace start scenario=directaccess
capture=yes
4. Redémarrer le « IP Helper »
Net start IPhlpSvc
5. Reproduire le problème
Utilisation d’un partage, etc.
6. Stopper la trace
Netsh trace stop
7. Se régaler!
52. Le pitch
Les utilisateurs qui se connectent sur le nœud 1 n’ont
accès a aucune ressource du réseau corporate…
AMS UAG
N N
Client L L
Machine B UAG B
Corporate
network
UAG
54. Agenda
Rappels sur DirectAccess
Bonnes pratiques pour un projet DirectAccess
Les problèmes courants résolus par l’expérience
Quelques points classiques d’exploitation
Dépannage de la connectivité globale :
méthodologie & mise en pratique
Conclusion
Ressources utiles
55. Conclusion
Procéder avec méthode
C’est un projet
Mise en place par itération
Exploiter le rapport du DAC
La technique est au service de la méthode
Agir de manière proactive
Superviser DirectAccess
DirectAccess Health Check par Microsoft
56. Ressources utiles
Blog de Stanislas
http://blogs.technet.com/b/stanislas/archive/tags/directacce
ss/
Blog de Benoit
http://danstoncloud.com/blogs/simplebydesign/archive/tags
/DirectAccess/default.aspx
Blog de Lionel
http://security.sakuranohana.fr/search/label/DirectAccess
DirectAccess
Mobilité & nomadisme
Par Benoit & Lionel
http://tinyurl.com/6vwtnfs