Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

1 420 vues

Publié le

En 2011, nous avions insisté sur la nécessité de l'approche Projet pour DirectAccess. Maintenant que l'équipe projet a réussi avec succès sa mise en production, il faut gérer le quotidien. Cette session s'adressera donc aux exploitants de la solution DirectAccess. Cette solution reposant sur un assemblage de plusieurs technologies, une bonne compréhension de chacune d'elle facilite le dépannage. Plusieurs cas de troubleshooting seront développés ainsi que les bonnes pratiques en matière d'exploitation des plateformes DirectAccess.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 420
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
35
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Retour d'expérience sur DirectAccess, bonnes pratiques, dépannage

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Retour dexpérience surDirectAccess, bonnes pratiques& dépannageArnaud Lheureux Stanislas Quastana BenoitSautièrePremier Field Engineer , CISSP Architecte Infrastructure, CISPP MVP EnterpriseSecurityMicrosoft UK Microsoft France Exakis
  3. 3. Objectifs de cette session Refaire un point sur DirectAccess : les technologies & produits à mettre en œuvre Vous donner la bonne approche projet à suivre pour réussir votre déploiement DirectAccess Vous faire gagner du temps en détaillant les problèmes classiques et rencontrés fréquemment Vous préparer à une méthodologie de dépannage le cas échéant Bref : vous faire profiter de nos expériences sur DirectAccess
  4. 4. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  5. 5. Architecture de DirectAccess (version simplifiée avec Windows Server 2008 R2 uniquement) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS (WS2008 et >) Client Serveur Windows 7 DirectAccess (Entrepriseou Intégrale) Autres serveurs
  6. 6. Architecture de DirectAccess (version simplifiée avec Forefront UAG 2010) Réseau Internet NPS entreprise IPv4 IPv6 / IPsec DC/DNS Serveur Client DirectAccess Windows 7 (Entrepriseou Intégrale) Autres serveurs
  7. 7. Internet Réseau entreprise DC/DNS Tunnel IPsec ESP [Infra] management Tunnel IPsec ESP[User]Client DA ServeurWindows 7 DirectAccess [UAG 2010] Autres serveurs
  8. 8. DirectAccess aujourd’hui= Forefront UAG 2010 SP1 Montée en charge Haute disponibilité Moins d’impacts sur l’infrastructure IP + simple à déployer et administrer Intégration de fonctionnalités complémentaires  Support d’authentification OTP  DirectAccess Connectivity AssistantPlus de détails : cf. la session des TechDays 2011  http://tinyurl.com/78j
  9. 9. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  10. 10. « J’adore qu’un plan sedéroule sans accroc »Hannibal – Directeur de projet
  11. 11. « J’ai NATé de partout, lasécurité c’est mon métier »Futé – ingénieur réseau
  12. 12. « moi j’ai tout tuné et sanslire les docs Monsieur»Barracuda – ingénieur système
  13. 13. « je comprends pas çane marche pas »Looping – utilisateur Pilote de DA
  14. 14. Un projet DirectAccess çapeut aussi finir comme ça!!!
  15. 15. C’est un vrai projet - interlocuteurs Impliquer toutes les bonnes personnes  Responsables Windows / Plateformes  Responsables réseau  Responsables applicatifs  Responsables sécurité  Support utilisateurs Et les points de vues différents   Sécurité / Réseau  Applicatifs  Haute disponibilité
  16. 16. Les 7 péchés capitaux Le déploiement de DirectAccess n’est pas trivial, les prérequis sont importants et cela nécessite une planification forte Un certain nombre de dénominateurs communs aux problématiques rencontrées les plus fréquemment… Orgueil Gourmandise Avarice Envie Colère Impureté Paresse Plus de détails : la session des TechDays 2011  http://tinyurl.com/75te
  17. 17. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  18. 18. Les incontournables : code d’erreur 40
  19. 19. Les incontournables : code d’erreur 40
  20. 20. Les incontournables : absenced’enregistrement DNS
  21. 21. Les incontournables : DCA pas à jour DCA : DirectAccess Connectivity Assistant Attention aux ressources testées N’est actualisé que toutes les 30 secondes
  22. 22. Quand IPv6 s’en mêle - Connectivité6to4 Protocole relativement peu utilisé Protocole non disponible avec le HLB Protocole en cours de dépréciation  http://tools.ietf.org/html/draft-ietf-v6ops-6to4-to-historic- 05  http://www.ietf.org/id/draft-ietf-6man-rfc3484-revise- 05.txt
  23. 23. Quand IPv6 s’en mêle - Connectivité6to4
  24. 24. Quand IPv6 s’en mêle – ConnectivitéTeredo S’active en parallèle d’IPHTTPS Pourtant Teredo peut se désactiver par erreur _ldap._tcp.dc._msdcs.DnsDomainName
  25. 25. Quand IPv6 s’en mêle – ConnectivitéTeredo
  26. 26. Quand IPv6 s’en mêle – ConnectivitéIPHTTPS Choisir une AC nativement reconnue Une CRL, ça se publie Un jour, un certificat ça expire Possible d’utiliser un certificat Wildcard (*)
  27. 27. Quand IPv6 s’en mêle – ConnectivitéIPHTTPS Code erreur Signification0x800b0109 Certificat délivré par une autorité de certification non reconnue0x80092012 Impossible de vérifier la non révocation du certificat.0x80092013 Impossibilité daccéder à la CRL0x80090328 Certificat expiré0x80090324 Synchronisation des horloges entre client et serveur
  28. 28. Quand IPv6 s’en mêle – ConnectivitéISATAP IPv6 sur le LAN ? Nécessaire ?
  29. 29. Quand IPv6 s’en mêle – ConnectivitéISATAP
  30. 30. Quand IPv6 s’en mêle – Flux entrantsnon sollicités
  31. 31. Quand IPv6 s’en mêle – Flux entrantsnon sollicités
  32. 32. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  33. 33. Split tunneling / Force tunneling Rappel
  34. 34. Split tunneling / Force tunneling
  35. 35. Split tunneling / Force tunneling Impact utilisateur  Pas possible de désactiver DirectAccess  Pas possible de contourner les tunnels  Accès Internet via proxy Alternative  Imposer un proxy par stratégie de groupe (GPO)
  36. 36. Split tunneling / Force tunneling – Lecas Lync Lync n’est pas encore IPv6 ready  Secure Real-time Transport Protocol (RFC 3711) Implique la mise en œuvre d’un Lync Edge  Access Edge service  Web Conferencing Edge service  A/V Edge service Masquer l’infrastructure interne
  37. 37. Split tunneling / Force tunneling – Lecas Lync
  38. 38. Split tunneling / Force tunneling – Lecas Lync FQDN Usage Sign-in for Lync clients for Internal TLS_sipinternaltls._tcp.<yourdomainnam connectionse> (SRV)_sipinternal._tcp. Sign-in for Lync clients for Internal TCP<yourdomainname> (SRV) connections_sip._tls. <yourdomainname> (SRV) For Telephony feature purpose _sip._tcp. <yourdomainname> For Telephony feature purpose(SRV)sip. <yourdomainname> Lync Pool Front-Endsipinternal. <yourdomainname> Internal SIP accesssipexternal. <yourdomainname> External SIP Access
  39. 39. Split tunneling / Force tunneling : le casde la ferme Citrix XenApp Multiples causes  Client Citrix : IPv6 oui mais uniquement avec la Citrix Access Gateway  Serveur XenApp : Pas d’accès possible en DNS64/NAT64 Solution :  Déployer une Citrix Access Gateway  Masquer la ferme Citrix XenApp  Imposer l’accès via la Citrix Access Gateway
  40. 40. Split tunneling / Force tunneling : le casde la ferme Citrix XenApp
  41. 41. Split tunneling / Force tunneling : le casde la ferme Citrix XenApp Subtilité de la résolution DNS
  42. 42. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  43. 43. Supervision & Dépannage
  44. 44. Supervision et audit Journaux d’évènements sécurité  A configurer par GPO ou localement (auditpol.exe) WebMonitor Powershell Archivage intégré TMG  Importr DaLogFilter.xml
  45. 45. Dépannage de la connectivité Les étapes de base 1. Vérifier les GPOs DirectAccess 2. Vérifier le statut de connectivite 3. Vérifier la NRPT 4. Vérifier les adresses IPv6 5. Vérifier les règles IPsec 6. Vérifier les credentiels et l’authentification 7. Vérifier la résolution de nom et laccès aux ressources
  46. 46. Dépannage de la connectivité 2 1. Vérifier les GPOs DirectAccess  gpresult /h gpreport.html /scope computer 2. Vérifier le status NLS  Netsh name show effective 3. Vérifier la NRPT  Netsh name show policy 4. Vérifier les adresses IPv6  Ipconfig /all  Adresses autres que FE80::/64
  47. 47. Dépannage de la connectivité 3 4. Vérifier les règles Ipsec  netsh advf consec show rule name=all type=dynamic 5. Vérifier les credentiels et l’authentification  Certutil –viewstore My : au moins un certificat avec “Client authentication” 6. Vérifier la résolution de nom et laccès aux ressources  nslookup <intranet DNS server FQDN> <DNS server IPv6 address>
  48. 48. Focus sur les technologies de transition Teredo  Netsh int teredo show state  On y attend un état qualified, le type de NAT détecté, IP/ports du NAT 6to4  Netsh int 6to4 show state  Status de 6to4: activé IP-HTTPS  Netsh interface httpstunnel show interface  0x80092013: The revocation function was unable to check revocation because the revocation server was offline.  0x2AFC: Destination host is unreachable.  0x274C: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
  49. 49. Suivons la trace! Démarche générale en cas de problèmes sérieux: 1. Stopper le service « IP Helper »  Net stop IPhlpSvc 2. Purger les caches  Ipconfig /flushdns, klist purge 3. Démarrer une trace  Netsh trace start scenario=directaccess capture=yes 4. Redémarrer le « IP Helper »  Net start IPhlpSvc 5. Reproduire le problème  Utilisation d’un partage, etc. 6. Stopper la trace  Netsh trace stop 7. Se régaler!
  50. 50. Le cas du cluster disponible…mais pas trop!
  51. 51. Le pitch Les utilisateurs qui se connectent sur le nœud 1 n’ont accès a aucune ressource du réseau corporate… AMS UAG N N Client L L Machine B UAG B Corporate network UAG
  52. 52. Notre environment de test
  53. 53. Agenda Rappels sur DirectAccess Bonnes pratiques pour un projet DirectAccess Les problèmes courants résolus par l’expérience Quelques points classiques d’exploitation Dépannage de la connectivité globale : méthodologie & mise en pratique Conclusion Ressources utiles
  54. 54. Conclusion Procéder avec méthode  C’est un projet  Mise en place par itération  Exploiter le rapport du DAC  La technique est au service de la méthode Agir de manière proactive  Superviser DirectAccess  DirectAccess Health Check par Microsoft
  55. 55. Ressources utiles Blog de Stanislas http://blogs.technet.com/b/stanislas/archive/tags/directacce ss/ Blog de Benoit http://danstoncloud.com/blogs/simplebydesign/archive/tags /DirectAccess/default.aspx Blog de Lionel http://security.sakuranohana.fr/search/label/DirectAccess DirectAccess Mobilité & nomadisme Par Benoit & Lionel http://tinyurl.com/6vwtnfs

×