Implementace technologie DirectAccess pro okamžitý přístup mobilních uživatelů do firemní sítě
Březen 31, 2011
V období hospodářského útlumu se společnost AVE CZ rozhodla otevřít hned několik projektů k modernizaci stávající úrovně IT infrastruktury. Jedním z cílů je získat náskok před konkurencí a snížit vlastní vnitrofiremní náklady na IT. Novinka DirectAccess nahradila původní PPTP řešení VPN přípojek mobilních uživatelů. Stala se jedním z nosných pilířů konceptu „office everywhere“. Tento koncept má zaručit rychlý, stabilní a okamžitý přístup k firemním datům a službám pro mobilní uživatele ať jsou kdekoliv. Direct Access bezezbytku naplňuje všechny tyto cíle.
Kategorie: Bezpečnost, Windows klient, Windows Server | Autor: Jan Pilař
Situace
Společnost AVE CZ patří do Rakouské skupiny AVE, která působí v devíti zemích Evropy. Na českém trhu působí společnost AVE CZ v oblastech odpadového hospodářství, obsluhuje zhruba 1.2 milionu obyvatel České republiky a 20 000 živnostníků, či průmyslových subjektů. V roce 2010 se společnost AVE CZ rozhodla investovat do IT infrastruktury a zajistit její celkovou modernizaci. Získává tím tak náskok před konkurencí, snižuje provozní náklady jak na IT samotné, tak v oblasti lidských zdrojů. Jedním z projektů, který byl v roce 2010 zahájen, je komplexní změna VPN technologie pro mobilní uživatele. V původním řešení bylo využíváno vytáčených připojení PPTP, či L2TP. Tato technologie, přes všechny své výhody, již nedokázala nadále plnit požadavky jak IT managementu, tak samotných mobilních uživatelů po flexibilním, neustálém a mobilním připojení k vnitrofiremní síti.
Cíle
Cílem projektu bylo nasazení robustního mechanismu pro zajištění bezobslužného připojení k vnitrofiremní síti. Požadovaná technologie musela zajišťovat připojení bez interakce uživatele, podporu skupinové správy, nebo integraci s dalšími technologiemi pro zajištění síťové bezpečnosti. Po analýze různých řešení bylo přistoupeno k implementaci technologie DirectAccess, která je součástí serverového operačního systému Windows Server 2008 R2 a na straně klienta je podporována operačním systémem Windows 7 Ultimate, nebo Enterprise.
Cíle pro projekt implementace DirectAccess:
- Plná automatizace instalace na straně klienta pomocí Group Policy
- Okamžité připojení k vnitrofiremní síti při aktivním připojení k síti Internet
- Snížení nákladů na správu mobilních připojení k vnitrofiremní síti
- Provázanost na další technologie z rodiny Windows Server, například technologie Síťové karantény (Network Access Protection) a další
- Možnost vzdálené správy mobilních počítačů v případě připojení přes DirectAccess pomocí technologií jako jsou Windows Software Update Server (WSUS) a System Center Configuration Manager (SCOM) 2007 R2
Stěžejními cíly se tak stalo bezzásahové sestavení zabezpečeného kanálu mezi klientským operačním systémem a vnitrofiremní sítí AVE CZ. Pro oblast uživatelů byli tedy cíle definovány takto:
- Zvýšení uživatelského komfortu
- Zrychlení práce uživatelů
- Navýšení bezpečnosti klientských počítačů
Řešení
Jak již bylo uvedeno pro řešení připojení mobilních uživatelů vnitropodnikové síti se použilo zcela nové technologie DirectAccess. Tato novinka byla vybrána hlavně z důvodu splnění všech požadovaných cílů a provázání své funkcionality s návaznými službami rodiny Windows Server System. Těmito službami se rozumí Active Directory Certification Services nebo Network Access Protection. Celkově DirectAccess využívá okolo 100 uživatelů a do pilotního testu bylo zařazeno 10 lidí z různých oddělení napříč organizační strukturou AVE CZ. Tato rozmanitost v testovacím režimu sloužila primárně pro získání komplexní zpětné vazby a definice oblastí pro zlepšení uživatelské zkušenosti s technologií DirectAccess. Konkrétní body řešení projektu „Implementace technologie Direct Access pro okamžitý přístup mobilních uživatelů do firemní sítě“ se dají definovat takto:
- Implementace IPv6 technologie ve vnitrofiremní síti
- Přizpůsobení stávající certifikační autority pro použití s technologií Direct Access
- Konfigurace Network Location Web
- Konfigurace zásad skupiny pro nasazení technologie Direct Access
- Politika určená pro servery
- Politika určená pro klienty
- Politika určená pro certifikáty
Obrázek 1: Datový tok klient > server
Z obrázku 1 je patrné, že pro nastavení datových toků z mobilních počítačů byl užit model, kdy veškeré interní dotazy jsou směrovány na DirectAccess server a dále do interní IT infrastruktury. Naproti tomu dotazy na servery v internetu jsou vyřizovány přes DNS servery poskytovale internetového připojení. Stejně se pak chová samotný datový kanál mezi klientem a sítí Internet. Veškerý provoz mířící do sítě Internet je tak separován od interní IT infrastruktury a nezatěžuje DirectAccess kanál.
Pro zjednodušení řešení problémů byl použit nástroj z rodiny Microsoft Solution Accelerator, konkrétně Microsoft DirectAccess Connectivity Assistant (http://technet.microsoft.com/en-us/library/ff384241.aspx).
|
Ikona upozorňovací oblasti
|
Stav
|
|
DirectAccess pracuje správně
|
 |
Nutný zásah
|
|
DirectAccess nepracuje správně
|
Tabulka 1: Microsoft DirectAccess Conectivity Assistant stavy
Tabulka 1 znázorňuje stavy, které jsou komunikovány uživateli skrze ikonu v oznamovací oblasti systému Windows. Dle této ikony a nástrojů obsažených v Microsoft DirectAccess Connectivity Assistant je uživatel schopen sám diagnostikovat problém s připojením k vnitrofiremní síti. Tento nástroj tak dále podporuje snižování nároků a nákladů na IT podporu.
|
ETAPA
|
Co je cílem ETAPY
|
|
1 – Vytvoření designu DA
|
Vytvoření dokumentu popisujícího konečný stav DA včetně návrhu konfigurace.
|
|
2 – Úprava PKI pro DA
|
Úprava PKI pro DA včetně externího přístupu k PKI.
|
|
3 – Šablona certifikátu
|
Vytvoření šablony certifikátu pro DA server.
|
|
4 – Vydání certifikátů (distribuce)
|
Distribuce certifikátů pro počítače pomocí GPO (Auto Enrollment).Vydaní dalších certifikátů pro DA server.
|
|
5 – Konfigurace Firewall NLS
|
Nastavení FW pravidel na NLS (Network Location Server).
|
|
6 – Health Check DNS serverů
|
Zkontrolovat verzi OS DNS serverů, případně nainstalovat potřebné aktualizace.
|
|
7 - Konfigurace DNS serverů
|
Nastavit všechny potřebné zóny.
|
|
8 – Instalace a konfigurace OS DA serveru
|
Nainstalovat OS MS Windows Server 2008 R2 a nakonfigurovat jej pro Direct Access.
|
|
9 – Instalace a konfigurace DA
|
Nainstalovat a nakonfigurovat službu Direct Access na DA serveru.
|
|
10 – Konfigurace IPv6
|
Nakonfigurovat ISATAP router a zkontrolovat konfiguraci všech interních serverů.
|
|
11 – Test IPv6 komunikace
|
Otestovat ISATAP komunikaci ve vnitřní síti.
|
|
12 – Konfigurace klientů
|
Vytvoření a konfigurace GPO pro Direct Access klienty.
|
|
13 – Test Direct Access
|
Otestovat Direct Access přístup pomocí všech dostupných typů připojení k internetu. Otestovat všechny požadované protokoly. Otestovat správnou detekci NATu, typu NATu a použití vhodného překladu.
|
|
14 – Uvedení do produkčního provozu
|
Ověřit výslednou sadu politik pomocí modelingu, případně upravit stávající politiky, a nalinkovat DA GPO na všechny klienty.
|
|
15 – Test DA klientů
|
Otestovat Direct Access přístup pomocí všech dostupných typů připojení k internetu, otestovat všechny požadované protokoly, otestovat na vybraných uživatelích („průřez organizací“). Ověřit funkčnost DA na min. 90% dostupných pracovních stanic (tedy 200*0,9=180).
|
|
16 – Po-implementační podpora
|
Technická podpora a řešení problémů
|
Tabulka 2: Časový harmonogram
Z jednotlivých etap je patrný celý průběh projektu nasazení technologie připojení k vnitrofiremní síti pomocí novinky DirectAccess. Pro úspěšné zvládnutí bylo nutné celou infrastrukturu nejdříve prověřit a udělat řadu „healt-check“ testů. Tyto testy byly klíčové pro pokračování v rámci etap projektu.
Licenční model
Enterprise Agreement se Software Assurance
Přínosy
Největší přínosem pro společnost AVE CZ bylo splnění všech plánovaných cílů a očekávání od nového řešení připojení mobilních uživatelů do vnitropodnikové sítě. Implementace nepřesáhla časový rámec definovaný partnerem a schváleným zákazníkem. Celý projekt se tak nesl v duchu maximální spokojenosti zákazníka s použitou technologií hlavně díky možnosti sestavení zabezpečeného kanálu mezi uživatelem a vnitrofiremní sítí i skrze několikanásobný NAT. Velkým přínosem dále bylo využití skupinových zásad pro automatizovanou konfiguraci technologie Direct Access či distribuci certifikátů.
Největší přínosy z pohledu společnosti AVE CZ:
- Připojení mobilních uživatelů i přes několikanásobný NAT
- Zvládnutí implementace v definovaném časovém rámci
- Integrace s dalším produkty společnosti Microsoft, jako například Network Access Protection, Windows Software Update Server a System Center Configuration Manager
- Bezobslužná konfigurace Direct Access na straně klientů pomocí zásad skupin
- Možnost správy a aplikace skupinových zásad určených pro počítače přes DirectAccess kanál
- Snížení časových nároků na IT oddělení a tím redukce nákladů
- Snížení nároků na interakci uživatele
- Snížení TCO pro oblast desktopových operačních systémů
Citace
„Díky projektu nasazení hromadné instalace Windows 7 jsme získali velmi jednoduchý způsob, jak standardizovat celé prostředí na moderní operační systém. Stávající prostředí Windows XP již nedokázalo reflektovat potřeby společnosti AVE CZ a díky Windows 7 ve spojení s Windows Server 2008 R2 získáme nové technologie, jako je Branch Cache nebo DirectAccess. Nejen tyto novinky nám pomohou získat náskok před konkurencí a úsporu nákladů. Specifické požadavky na způsob hromadné instalace se bezezbytku podařilo naplnit díky System Center Configuration Manager 2007.“
Jan Svatoš, IT ředitel AVE CZ
AVE_CZ-DirectAccess-Case_Study.pdf