Mihajlovic Stefan
Windows 10 Client mit DirectAccess Client & Server einrichten
Durchführung: 18.04.2016 bis 20.05.2016
Umfeld
Diese Arbeit wurde im Rahmen der mir zur Verfügung stehenden Ressourcen, die mir die novalink GmbH gewährt hat, durchgeführt.
Momentan wählen sich die Mitarbeiter, die viel unterwegs oder von zu Hause aus arbeiten, über ein klassisches VPN in das Firmennetzwerk ein. Die Authentifizierung erfolgt über die AD-Credentials des Benutzers, sowie einem OTP-Code. Um den VPN Tunnel aufzubauen, wird clientseitig die Software des Firewallherstellers installiert. Dort müssen die Angaben zum VPN-Server, sowie der Benutzername und das Passwort eingetragen werden. Änderungen an der Firewall, die das VPN betreffen, müssen den Usern kommuniziert werden, was nicht immer reibungslos funktioniert.
Ziel der Arbeit
Ziel der Arbeit ist es, DirectAccess von Microsoft im Betrieb auszurollen und für die Aussendienstmitarbeiter bereitzustellen. Mit DirectAccess muss der Benutzer keine zusätzlichen Aktionen unternehmen, um eine Verbindung zum Firmennetzwerk herzustellen. Der Benutzer muss nur noch sicherstellen, dass er eine funktionierende Internetverbindung hat und meldet sich dann mit seinen normalen AD-Credentials an. Nach einer kurzen Wartezeit ist dann der Client über DirectAccess mit dem Firmennetzwerk verbunden und es kann normal auf alle benötigten Ressourcen, wie z.B. Fileserver, Terminalserver etc. zugegriffen werden.
Umsetzung
Um das Potenzial von DirectAccess zum grössten Teil ausnutzen zu können, wurde die IPA in zwei Teile unterteilt: Der Implementation einer neuen Zertifikatsumgebung und der Implementation von DirectAccess.
Zertifikatsumgebung
Im ersten Teil wurde eine neue Microsoft Zertifikatsumgebung installiert. Die vorhandene Infrastruktur war für diese Arbeit nicht geeignet und wurde somit ersetzt. Die neue Infrastruktur wurde in einer zweistufigen Architektur implementiert und bietet auch Zugriff von Ausserhalb, welches wichtig für DirectAccess ist.
Alle Computer erhalten nun automatisch ein Computer-Zertifikat, welches automatisch erneuert wird. Somit ist kein manuelles Eingreifen nötig.
DirectAccess
Im zweiten Teil der IPA wurde dann die eigentliche Hauptarbeit, die Implementation von DirectAccess, durchgeführt. Dank der neuen Zertifikatsumgebung, konnte die Sicherheit mit DirectAccess erhöht werden, da nun nebst den Benutzer-Credentials auch ein gültiges Computer-Zertifikat vonnöten ist, um eine erfolgreiche Verbindung aufzubauen. Ist das Zertifikat widerrufen worden, so ist keine Verbindung möglich.
Ergebnis
Als Ergebnis steht nun eine neue Zertifikatsumgebung, sowie DirectAccess. Die Benutzer müssen nun keine Software mehr auf den Clients installiert haben und müssen nur das tun, was sich auch im Büro tun würden, um eine Verbindung zum Firmennetzwerk aufzubauen, AD-Credentials angeben und darauf achten, eine funktionierende Internetverbindung zu haben.