Konfigurera DirectAccess 2012 och anslut en workgroup dator på 10 steg

Idag lanseras Windows 8 och vi har även nya Windows Server 2012. Här finner vi mycket intressanta och användbara nyheter som hjälper oss i vardagen.

Naturligtvis tänker jag på favoritfunktioner som ökar säkerheten, men framförallt användarvänligheten. En av dessa funktioner är DirectAccess, men vi har också en annan intressant funktion vid namn Offline Domain Join som kom redan i 2008 R2 som vi kan kombinera till något riktigt snyggt.

Tänk dig följande scenario… Du har en verksamhet med flera resande klienter där det kontinuerligt skall in nya klienter till din infrastruktur som även skall få möjlighet att jobba på distans.

Tidigare har man bett klienterna komma till ett kontor med företagsnätverk (vilket kan innebära långa resor för många) för att ansluta sin dator, gå med i domänen och på så sätt få bland annat DirectAccess polices applicerade på maskinen.

Tänk om vi kunde slippa detta, att istället kunna ge ut en fil till användaren som då skulle kunna konfigurera en klientdator som aldrig varit i kontakt med företagsnätverket att både gå med i domänen och även få allt som behövs för att ansluta till din domän?

Det här är precis vad vi kan åstadkomma med Windows Server 2012 DirectAccess och funktionen Offline Domain Join.
Jag har skrivit ihop en enkel guide på endast 10 steg över hur du kan testa den här lösningen och göra en pilot i din egen miljö.
Den här guiden bygger på att jag har en Windows Server 2012 domänkontrollant samt ännu en Windows Server 2012 member server med dubbla nätverkskort, ett externt och internt. Till skillnad från UAG så räcker det med en publik IPv4 adress på denna DA server.
Mycket i Server 2012 är automatiserat för att göra det så enkelt som möjligt. När det kommer till DirectAccess, appliceras DA klientinställningar på alla members/datorer i domänen och i detta exempel så väljer vi att definiera en grupp av datorer för att kunna styra vilka maskiner som skall ha denna möjlighet.

I detta exempel kommer vi även nyttja en nyhet som bygger SelfSign Certifikat för IP-HTTPS trafiken, vilket gör det busenkelt att implementera DirectAccess i Server 2012. Dock är rekommendationen att bygga upp detta med en egen intern PKI lösning för öka säkerheten.

För att göra denna guide ännu enklare har jag även lagt in PowerShell kommandon för många av de steg som krävs.

image

Pilot av Windows Server 2012 DirectAccess och Offline Domain Join

Konfigurera DirectAccess

  • Börja med att skapa en säkerhetsgrupp för kommande DA klienter på en Server 2012 DC:
    New-ADGroup -GroupScope global -Name DAKLIENTER
  • Installera Remote Access rollen som inkluderar Direct Access och en traditionell VPN på en Server 2012:
    Install-WindowsFeature RemoteAccess –IncludeManagementTools

  • Kör Getting started Wizard för att enkelt konfigurera DA Rollen på servern.
    Ange att detta skall vara en Edge server och ange den externa IPv4 adressen på DA servern. Välj därefter att editera Wizard inställningarna för remote clients och ändra så att den här policyn dels inte slår för Mobile computers only (vilket är ett WMI filter för att hantera alla mobila klienter)  

  • Ändra också så att denna policy inte slår för ”Domain Computers” utan istället för den grupp du skapade (DAKLIENTER).

  • Under DA Client Setup välj Ping i drop down listan och peka ut din Server 2012 DC och ange ett passande namn för DA Anslutningen exempelvis ”Connection to my Company”

Sådär nu har vi gjort färdigt inställningarna för vår DA lösning, svårare än så är det inte Smile

Konfigurera Offline Domain Join

  • För att skapa ett offline domain join script logga in på din Windows Server 2012 DC och kopiera Unique ID för GPOn ”Direct Access Client Settings” som skapades av DA wizarden.
  • Kör sedan nedanstående PowerShellskrip på din DC:
    Djoin.exe /provision /domain <din domän> /machine <namn ny klient> /savefile offlineDAKonfig.txt /policynames “DirectAccess Client Settings” /POLICYPATHS “c:\windows\SYSVOL\sysvol\<din domän>\policies\<klistra in GPOns Unique ID>\Machine\Registry.pol”

  • Två saker har hänt nu, vi har dels fått ett nytt datorobjekt i Active Directory, detta lägger du med i den grupp som skapade tidigare, exempelvis även här med PS:
    Add-ADGroupMember -Identity DAKLIENTER -Members <datornamn>$

Vi har även fått en txt fil vid namn offlineDAKonfig som vi på ett eller annat sätt kan få ut till klienten

OBServera att denna txt fil bör hanteras med försiktighet, det är visserligen oläslig base64 metadata men den innehåller dock känslig information om din infrastruktur med bland annat SIDen till din domän och lösenordet till datorkontot för den kommande domänklienten.

Förslagsvis krypterar du denna fil och lägger den på en webbserver som kräver inloggning och laddas hem över SSL.
På det sättet kan du låta användaren själv ladda hem denna fil och även bifoga script som automatiserar nedanstående kommando.

  • När klient väl har fått denna fil kör följande kommando på klienten: Djoin.exe /requestodj /loadfile <sökväg till filen>\offlineDAKonfig.txt /windowspath %systemroot% /localos

Verifiera att du fått nedanstående resultatclip_image002

  • Starta sedan om klienten och vid nästa inloggning kan du nu logga in direkt över internet med en domänanvändare och tittar du på dina anslutningar ser du följande

clip_image003

Du kan nu också se i din DirectAccess server att det finns en ansluten klient över DA mot din domän.

image

Vi har nu alltså full kontroll på den här klienten och kan med andra ord applicera fler group policies samt rulla ut allt ifrån Endpoint Protection till andra programvaror.

Riktigt snyggt! Smile

Annonser
Det här inlägget postades i Windows 8, Windows Server 2012 och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s