Teil 27c: DirectAccess-Zertifikate und Web Server konfigurieren

Die Schritte für die Konfiguration von Zertifikaten und Web Server habe ich in den Teilen Teile 6ff, Teile 26ff detailliert beschrieben. Die Vorlagen für die Computer- und Web Server-Zertifikate können wie beschrieben verwendet werden, es sind keine Änderungen notwendig. Das Hinzufügen von Host (A)- und Alias (CNAME)-Einträgen am DNS Server habe ich ebenfalls schon öfter beschrieben (siehe z.B. Teil 12b: SSL mit WSUS verwenden). Deshalb habe ich in diesem Teil das Konfigurieren der DirectAccess-Zertifikate und Web Server etwas zusammengefasst.

DirectAccess-Zertifikate und Web Server konfigurieren – Schritte:

  • CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren
  • Am externen DNS Host (A oder AAAA)-Einträge für pki und da hinzufügen
  • Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen
  • Computer-Zertifikat auf den DirectAccess-Clients
  • Webseite für den NLS (Network Location Server) konfigurieren

CDP am Server DA1 für den Zugriff aus dem Internet konfigurieren

Weil DA1 aus dem Internet erreichbar ist – Netzwerk-Adapter Extern1 mit 131.107.0.10 – muss ich die CRL hier verfügbar machen. Diese Schritte können bei einem Drittanbieter-Zertifikat übersprungen werden, weil die vorhandene Infrastruktur des Drittanbieters (z.B. StartSSL) verwendet wird.

  1. Als Administrator an DA1 anmelden
  2. Den Ordner C:\CertEnroll erstellen und freigeben
  3. Die Gruppe Cert Publishers und das Computerobjekt der SubCA1 (APP1) berechtigen (Ändern)
    DA_CERT-0001
  4. Die CA-Zertifikate nach C:\CertEnroll kopieren
    DA_CERT-0002
  5. Im IIS Manager ein virtuelles Verzeichnis CertEnroll anlegen
    DA_CERT-0003
  6. Directory Browsing und Double Escaping aktivieren (siehe Teil 6)
  7. In den Eigenschaften der SubCA1 die CDPs und AIAs hinzufügen
  8. Der CDP für http://pki.einfaches-netzwerk.at/CertEnroll und file:///da1.intern.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0004
  9. Der AIA-Eintrag für http://pki.einfaches-netzwerk.at/CertEnroll
    DA_CERT-0005
  10. Den Dienst certsvc neu starten
  11. Die CRL neu veröffentlichen, diese wird sowohl auf APP1 > C:\CertEnroll als auch auf DA1 > C:\CertEnroll kopiert (für die interne Hochverfügbarkeit der CRL kann man diese zwei Server mittels Network Load Balancing zusammenführen, dazu mehr in einem späteren Teil)DA_CERT-0006
  12. Die interne Erreichbarkeit der CRL testen
    DA_CERT-0007

Am externen DNS Host (A)-Einträge für pki und da hinzufügen

  1. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für pki.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-010
  2. Am externen DNS Server (hier INET1) einen Host (A)-Eintrag für da.einfaches-netzwerk.at / 131.107.0.10 anlegen (vom ISP anlegen lassen)
    DA_CERT-009
  3. Die externe Erreichbarkeit der CRL testen
    DA_CERT-011

Passt soweit! 🙂

Ein Computer- und Web Server-Zertifikat auf DA1 ausstellen und im IIS Manager hinzufügen

Wie in Teil 27 beschrieben braucht DA1 für die IPsec-Verbindung das Computer-, für die IP-HTTPS-Verbindung das Web Server-Zertifikat.

  1. Eine MMC mit dem Snap-in Certificates für den Computer account starten
  2. Das Computer- und folgendes Web Server-Zertifikat ausstellen
    DA_CERT-004

    1. Subject name
      1. Type: Common name
      2. Value: da.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: da.einfaches-netzwerk.at
        DA_CERT-002
    3. Friendly name: IP-HTTPS Web Server Certificate
      DA_CERT-003
    4. MMC mit den ZertifikatenDA_CERT-006
  3. Alle Fenster schließen
  4. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-007
    DA_CERT-008
  5. Alle Fenster schließen

Computer-Zertifikat auf den DirectAccess-Clients

Weil ich die Computer-Zertifikate mittels Gruppenrichtlinen automatisch ausrolle (siehe Teil 6i), ist auf den Clients alles erledigt. 🙂
DA_CERT-012

Webseite für den NLS (Network Location Server) konfigurieren

Für die Webseite des NLS gilt als Best Practice nicht die IIS Standard Webseite zu verwenden. Aus diesem Grund erstelle ich eine einfache html-Datei.

  1. Als Administrator an APP1 anmelden
  2. Die Datei index.html mit folgendem Inhalt in C:\inetpub\wwwroot erstellen
    <html>
        <body>
            <a href="http://app1.intern.einfaches-netzwerk.at">www.einfaches-netzwerk.at</a>
        </body>
    </html>
  3. Am DNS Server einen neuen Host (A)-Eintrag für nls.intern.einfaches-netzwerk.at anlegen
    DA_SERVER-024
  4. Folgendes Web Server-Zertifikat ausstellen
    1. Subject name
      1. Type: Common name
      2. Value: nls.intern.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: nls.intern.einfaches-netzwerk.at
        DA_CERT-016
    3. Friendly name: NLS Web Server Certificate
      DA_CERT-017
  5. Fenster schließen
  6. Das Web Server-Zertifikat im IIS Manager unter Bindings hinzufügen
    DA_CERT-018
  7. Der Aufruf mittels https://nls.intern.einfaches-netzwerk.at/DA_CERT-019

In diesem Teil ist viel geschehen: Ich habe die CRL für die DirectAccess-Clients aus dem Internet erreichbar gemacht. Außerdem habe ich für IP-HTTPS, IPsec und den NLS alle notwendigen Zertifikate installiert und die Web Server konfiguriert. Schon ist es soweit: Im nächsten Teil werde ich auf DA1 die Server-Rolle für DirectAccess installieren und konfigurieren.

Teil 27b: DirectAccess-Gruppenrichtlinienobjekte vorbereiten

Der Wizard von DirectAccess erstellt alle notwendigen Einstellungen für die erfolgreiche Verindung in Gruppenrichtlinienobjekten. Weil ich die Sicherheitsfilterung und die verknüpften OUs vorher festlegen möchte, muss ich die DirectAccess-Gruppenrichtlinienobjekte vorbereiten. Diese einfachen Schritte sind schnell erledigt.

DirectAccess-Gruppenrichtlinienobjekte vorbereiten – Schritte:

  • Sicherheitsgruppen in Active Directory erstellen
  • Gruppenrichtlinienobjekte erstellen und verknüpfen

Sicherheitsgruppen in Active Directory erstellen

Wie in Teil 27 beschrieben, werde ich drei Sicherheitsgruppen für DirectAccess erstellen. Damit auf den DirectAccess-Server keine anderen Gruppenrichtlinieneinstellungen wirken, erstelle ich eine eigene OU. Bei dieser OU werde ich dann die Vererbung deaktivieren.

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
  4. In der OU Sicherheitgruppen folgende Gruppen erstellen
    1. DirectAccess Computers
    2. DirectAccess Servers
    3. DirectAccess ISATAP
      DA_ADDS-001
  5. Das Computerobject CLIENT1 zur Gruppe DirectAccess Computers hinzufügen
  6. Das Computerobjekt DA1 zur Gruppe DirectAccess Servers und IIS Web Server hinzufügen
  7. In der OU Servers eine weitere OU DirectAccess erstellen
  8. Das Computerobject DA1 in die OU DirectAccess verschieben
    DA_ADDS-002
  9. Fenster schließen

Gruppenrichtlinienobjekte erstellen und verknüpfen

  1. Server Manager > Tools > Group Policy Management
  2. intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Folgende Gruppenrichtlinienobjekte erstellen
    1. DirectAccess Computers Custom
    2. DirectAccess Computers Wizard
    3. DirectAccess Servers
    4. DirectAccess ISATAP

    Weiterlesen

Teil 27a: DirectAccess-Server installieren und konfigurieren

DirectAccess-Server installieren und konfigurieren – Schritte:

  • In Hyper-V eine virtuelle Maschine erstellen und Windows Server 2012 R2 installieren
  • Empfohlene Update für Windows Server 2012 R2 DirectAccess installieren
  • Die Server-Rolle Web Server (IIS) installieren
  • Netzwerk-Adapter konfigurieren
  • Bindings konfigurieren
  • Netzwerkprofil Public für den externen Netzwerk-Adapter konfigurieren
  • Statische Route ins interne Netzwerk hinzufügen

In Hyper-V eine virtuelle Maschine erstellen und Windows Server 2012 R2 installieren

  1. Im Hyper-V-Manager folgende virtuelle Maschine erstellen:
    1. Name: DA1
    2. Generation 2
    3. zwei Netzwerk-Adapter
      1. Adapter 1 im Corpnet, Adapter 2 im Internet
      2. Single-root I/O virtualization aktiviert (benötigt spezielle Hardware, die ich nicht habe – darum deaktiviert; siehe Overview of Single Root I/O Virtualization)
        DA_SERVER-001
      3. Enable MAC address spoofing aktiviert
        DA_SERVER-002
  2. Windows Server 2012 R2 wie in Teil 19c beschrieben aufsetzen

Empfohlene Update für Windows Server 2012 R2 DirectAccess installieren

  1. Alle Updates für Windows Server 2012 R2 von folgender Webseite installieren: Recommended hotfixes and updates for Windows Server 2012 DirectAccess and Windows Server 2012 R2 DirectAccess

Die Server-Rolle Web Server (IIS) installieren

  1. Die Server-Rolle Web Server (IIS) mit Standardeinstellungen installieren (Wizard einfach durchklicken)
    DA_SERVER-023

Netzwerk-Adapter konfigurieren

  1. Als Administrator an DA1 anmelden
  2. Network and Sharing Center öffnen > Change adapter settings
  3. Den internen Adapter nach Intern1 umbenennen
  4. Den externen Adapter nach Extern1 umbenennen, damit die Netzwerk-Adapter in den Dialogfenstern leichter unterschieden werden können
    DA_SERVER-003
  5. Den internen Netzwerk-Adapter (Intern1) konfigurieren
    1. Intern1 rechts anklicken > Properties
    2. Internet Protocol Version 4 markieren > Properties
    3. Internet Protocol Version 4 Properties
      1. IP address: 192.168.150.10
      2. Subnet mask: 255.255.255.0
      3. Default gateway: KEIN GATEWAY
      4. Preffered DNS server: 192.168.150.1
        DA_SERVER-004
    4. Alle Fenster mit OK schließen
  6. Den externen Netzwerk-Adapter (Extern1) konfigurieren
    1. Extern1 rechts anklicken > Properties
    2. Extern1 Properties
      1. Client for Microsoft Network deaktivieren
      2. File and Printer Sharing for Microsoft Network deaktivieren
        DA_SERVER-005
    3. Internet Protocol Version 4 markieren > Properties
    4. Internet Protocol Version 4 Properties
      1. IP address: 131.107.0.10
      2. Subnet mask: 255.255.255.0
      3. Default gateway: 131.107.0.1
      4. Preferred DNS server: KEIN DNS SERVERDA_SERVER-006
    5. Auf Advanced… klicken
      Weiterlesen