Megosztás a következőn keresztül:

Távelérés központi telepítése egyszeri jelszavas hitelesítéssel

  • Cikk

 

Érvényes: Windows Server 2012 R2, Windows Server 2012

A Windows Server 2012-ben a DirectAccess és az útválasztás és távelérés szolgáltatás (RRAS) VPN egyetlen távelérési szerepkörben egyesül. A távelérés számos vállalati forgatókönyv részeként üzembe helyezhető. Ebben a tájékoztatóban bevezető információkat nyújtunk a(z) Windows Server 2012 DirectAccess vállalati környezetben, egyszeri jelszavas (OTP) felhasználóhitelesítéssel történő központi telepítéséről.

Forgatókönyv leírása

Ebben a forgatókönyvben a szabványos Active Directory hitelesítő adatokon túl a DirectAccess ügyfélszámítógépek felhasználóinak kétfaktoros, egyszeri jelszavas hitelesítéssel történő hitelesítésére olyan Távelérési kiszolgálót konfiguráltak, amelyen engedélyezve van a DirectAccess.

Előfeltételek

Mielőtt elkezdené a forgatókönyv telepítését, tekintse át a fontos követelmények alábbi listáját:

  • A Windows 7 ügyfeleknek az egyszeri jelszavas hitelesítés támogatásához DCA 2.0 rendszert kell használniuk.
  • Az egyszeri jelszavas hitelesítés nem támogatja a PIN-kód megváltoztatását.
  • A házirendek a DirectAccess kezelési konzolján kívüli vagy PowerShell-parancsmagok használatával történő módosítása nem támogatott.

Ebben az esetben

Az egyszeri jelszavas hitelesítési forgatókönyv több lépésből áll:

  1. DirectAccess-kiszolgáló központi telepítése speciális beállításokkal—Az egyszeri jelszó konfigurálása előtt egy önálló Távelérési kiszolgálót kell telepíteni. Egy önálló kiszolgáló tervezési és telepítése folyamatába beletartozik egy hálózati topológia megtervezése és konfigurálása, tanúsítványok tervezése és telepítése, a DNS és Active Directory beállítása, a Távelérési kiszolgálóbeállítások konfigurálása, a DirectAccess ügyfelek telepítése és az intranetkiszolgálók előkészítése.

  2. Távelérés terv OTP-hitelesítés—Egy önálló kiszolgálóhoz szükséges tervezésen túl az egyszeri jelszóhoz egy Microsoft hitelesítésszolgáltatóhoz (CA) és az egyszeri jelszóhoz tartozó tanúsítványsablonokhoz is tervezni kell, valamint egy RADIUS kezelésére képes egyszeri jelszavas kiszolgálóra is szükség van. A tervezésbe beletartozhat a biztonsági csoportok felé támasztott követelményként bizonyos felhasználók erős hitelesítés (egyszeri jelszavas vagy intelligens kártyás) alól történő felmentése is. Az egyszeri jelszó többerdős környezetben történő konfigurálásáról további információkat a(z) Többerdős telepítés konfigurálása című részben olvashat.

  3. DirectAccess OTP-hitelesítés konfigurálása—Az egyszeri jelszó telepítési folyamata számos konfigurálási lépésből áll, beleértve az infrastruktúra felkészítését az egyszeri jelszavas hitelesítésre, az egyszeri jelszavas kiszolgáló konfigurálását, az egyszeri jelszó beállításainak konfigurálását a Távelérési kiszolgálón és a DirectAccess ügyfélbeállítások frissítését.

  4. Egy OTP központi hibájának elhárítása—Ebben a hibaelhárítási szakaszban olyan, leggyakrabban előforduló hibákat ismertetünk, amely a Távelérés egyszeri jelszavas hitelesítéssel történő telepítése során léphet fel.

Gyakorlati alkalmazásmódok

Biztonság növelése—Az egyszeri jelszó használata növeli a DirectAccess telepítés biztonságát. Egy felhasználónak a belső hálózathoz történő hozzáféréshez egyszeri jelszavas hitelesítő adatokra van szüksége. A felhasználók az egyszeri jelszavas hitesítő adatokat a(z) Windows 8 ügyfélszámítógépen lévő hálózati kapcsolatokban elérhető Munkahelyi kapcsolatokon keresztül, vagy a Windows 7 rendszert futtató ügyfélszámítógépeken lévő DirectAccess kapcsolódási segéd (DCA) segítségével adják meg. Az egyszeri jelszavas hitelesítési folyamat az alábbi módon megy végbe:

  1. A DirectAccess ügyfél megadja a tartományi hitelesítő adatokat a DirectAccess infrastruktúra-kiszolgálók (infrastruktúra-alagúton keresztüli) eléréséhez. Ha a belső hálózathoz egy konkrét IKE-hiba miatt nincs elérhető kapcsolat, az ügyfélszámítógépen lévő Munkahelyi kapcsolat értesíti a felhasználót arról, hogy hitelesítő adatokra van szükség. Windows 7 rendszert futtató ügyfélszámítógépeken egy felugró ablakban jelenik meg az intelligens kártyás hitelesítő adatok iránti kérelem.

  2. Az egyszeri jelszavas hitelesítő adatok megadása után a rendszer azokat SSL-en keresztül a Távelérési kiszolgálóra küldi, és egy rövid lejáratú, intelligens kártyához tartozó bejelentkezési tanúsítványt kér.

  3. A Távelérési kiszolgáló RADIUS-alapú egyszeri jelszavas kiszolgálóval elindítja az egyszeri jelszavas hitelesítési adatok ellenőrzését.

  4. Sikeres ellenőrzés esetén a Távelérés regisztrációszolgáltatói tanúsítványának segítségével aláírja a tanúsítványkérelmet, és visszaküldi azt a DirectAccess ügyfélszámítógépnek

  5. A DirectAccess ügyfélszámítógép az aláírt tanúsítványkérelmet továbbítja a hitelesítésszolgáltató részére, és a regisztrált tanúsítványt a Kerberos SSP/AP számára eltárolja.

  6. Ezzel a tanúsítvánnyal az ügyfélszámítógép átlátható módon szabványos intelligens kártyás Kerberos hitelesítést végez.

A forgatókönyvben szereplő szerepkörök és szolgáltatások

Az alábbi táblázat a forgatókönyvhöz szükséges szerepköröket és szolgáltatásokat tartalmazza:

Szerepkör/szolgáltatás

Támogatás a forgatókönyv számára

Távelérés-kezelés szerepköre

A szerepkör telepítése és eltávolítása a Kiszolgálókezelő konzol használatával történik. A szerepkör magában foglalja a DirectAccess szolgáltatást, amely korábban a Windows Server 2008 R2 szolgáltatása volt, valamint az Útválasztás és távelérés szolgáltatást, amely korábban a Hálózati házirend- és elérési szolgáltatások (NPAS) kiszolgálói szerepkör alá tartozó szerepkör-szolgáltatás volt. A távelérési szerepkör két összetevőből áll:

  1. A DirectAccess és az Útválasztás és távelérés szolgáltatás (RRAS) VPN – A DirectAccess és a VPN felügyelete együtt, a Távelérés kezelési konzolján történik.

  2. RRAS-útválasztás – Az RRAS útválasztási szolgáltatások felügyelete az örökölt Útválasztás és távelérés konzolon történik.

A Távelérés szerepköre az alábbi kiszolgálói funkcióktól függ:

  • Internet Information Services- (IIS-) webkiszolgáló – Ez a szolgáltatás a hálózatihely-kiszolgáló konfigurálásához, az egyszeri jelszavas hitelesítés használatához és az alapértelmezett webes mintavétel konfigurálásához szükséges.

  • Belső Windows-adatbázis – Helyi nyilvántartásra szolgál a távelérési kiszolgálón.

Távelérés-kezelési eszközök szolgáltatás

A szolgáltatás telepítése az alábbiak szerint történhet:

  • A szolgáltatást alapértelmezés szerint egy távelérési kiszolgálón telepíti a rendszer a távelérési szerepkör telepítésekor, és a Távoli felügyelet konzol felhasználói felületét támogatja.

  • Telepíthető a Távelérés kiszolgálói szerepkört nem futtató kiszolgálókra is. Ebben az esetben egy DirectAccess és VPN szolgáltatást futtató távelérési számítógép távoli felügyeletére használható.

A Távelérés-kezelési eszközök szolgáltatás az alábbiakat foglalja magában:

  • Távelérési grafikus felhasználói felület és parancssori eszközök

  • Távelérési modul a Windows PowerShell szolgáltatáshoz

A függőségek az alábbiak:

  • Csoportházirend kezelése konzol

  • RAS - csatlakozáskezelő felügyeleti csomag (CMAK)

  • Windows PowerShell 3.0

  • Grafikus felügyeleti eszközök és infrastruktúra

Hardverkövetelmények

A forgatókönyv hardverkövetelményei az alábbiak:

  • A Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.

  • A forgatókönyv teszteléséhez szükséges legalább egy, Windows 8 vagy Windows 7 rendszerű számítógép, amely DirectAccess-ügyfélként van konfigurálva.

  • Olyan egyszeri jelszavas kiszolgáló, amely a RADIUS felett a PAP funkciót támogatja.

  • Egy egyszeri jelszavas hardver- vagy szoftvertoken.

Szoftverkövetelmények

A forgatókönyvre több követelmény is vonatkozik:

  1. Az egykiszolgálós telepítés szoftverkövetelményei. További információ: DirectAccess-kiszolgáló központi telepítése speciális beállításokkal.

  2. Az egykiszolgálós telepítés szoftverkövetelményei mellett az egyszeri jelszóra több követelmény is vonatkozik:

    1. Hitelesítésszolgáltató az IPsec-hitelesítéshez—Egy egyszeri jelszavas környezetben a DirectAccesst egy hitelesítésszolgáltató által kiadott IPsec géptanúsítványokkal kell telepíteni. Az IPsec-hitelesítés számára a Távelérés Kerberos-proxyként történő használata nem támogatott egyszeri jelszavas környezetben. Belső hitelesítésszolgáltató szükséges.

    2. Hitelesítésszolgáltató egyszeri jelszavas hitelesítéshez—Az egyszeri jelszavas ügyféltanúsítvány kiadásához Microsoft vállalati hitelesítésszolgáltató (amely Windows 2003 Server vagy újabb rendszert futtat) szükséges. Az IPsec hitelesítéshez tartozó tanúsítványok kiadásához használt azonos hitelesítésszolgáltató is használható. A hitelesítésszolgáltatói kiszolgálóknak elérhetőknek kell lenniük az első infrastruktúra-alagúton keresztül.

    3. Biztonsági csoport—Egyes felhasználók erős hitelesítés alól történő felmeréséhez szükség van egy Active Directory biztonsági csoportra, amely az ilyen felhasználókat tartalmazza.

    4. Ügyféloldali követelmények— A(z) Windows 8 ügyfélszámítógépek esetén a Hálózati csatlakozási segéd (NCA) szolgáltatás érzékeli, hogy szükség van-e egyszeri jelszavas hitelesítési adatokra. Ha igen, a DirectAccess médiakezelő elkéri a hitelesítő adatokat. Az NCA a(z) Windows 8 operációs rendszer része, nincs szükség annak telepítésére. A Windows 7 ügyfélszámítógépek esetében a Hálózati csatlakozási segéd (NCA) 2.0 verziójára van szükség. Ez a Microsoft letöltőközpontból letölthető.

    5. Vegye figyelembe a következőket:

      1. Az egyszeri jelszavas hitelesítés párhuzamosan használható intelligens kártyás és Platformmegbízhatósági modul (TPM) alapú hitelesítéssel. Az egyszeri jelszavas hitelesítés Távelérés-kezelési konzolban történő engedélyezésével szintén engedélyezi az intelligens kártyás hitelesítés használatát is.

      2. A Távelérés konfigurálása során egy adott biztonsági csoportba tartozó felhasználók mentesülhetnek a kétfaktoros hitelesítés alól, számukra a hitelesítéshez csak felhasználónév/jelszó szükséges.

      3. Az egyszeri jelszóhoz új PIN-kód és a következő tokenkód üzemmódok nem támogatottak

      4. Egy Távelérés többhelyes telepítése esetén az egyszeri jelszó beállításai globálisak, és minden belépési pontot azonosítanak. Ha több RADIUS vagy hitelesítésszolgáltatói kiszolgálót konfigurált az egyszeri jelszóhoz, azokat a rendszer rendelkezésre állás és közelhatás szerint az egyes Távelérési kiszolgálók alapján rendezi.

      5. Ha egyszeri jelszót konfigurál egy Távelérési többerdős környezetben, az egyszeri jelszó hitelesítésszolgáltatóinak eredete kizárólag az erőforráserdő legyen, és az erdőszintű megbízhatóságok között tanúsítványigénylést kell konfigurálni. További információkért lásd: AD CS: Erdők közötti tanúsítványigénylés a Windows Server 2008 R2 rendszerrel.

      6. Azoknak a felhasználóknak, akik KEY FOB egyszeri jelszavas tokent használnak, a tokenkódot követően egy PIN-kódot is be kell illeszteniük (elválasztók nélkül) a DirectAccess egyszeri jelszavas párbeszédablakába. Azoknak a felhasználóknak, akik PIN PAD egyszeri jelszavas tokent használnak, a párbeszédablakba csak a tokenkódot kell beilleszteniük.

      7. Ha a WEBDAV funkciót engedélyezte, az egyszeri jelszót is engedélyeznie kell.

Ismert problémák

Az alábbiakban egy egyszeri jelszavas forgatókönyv konfigurálásakor előforduló ismert problémákat olvashatja:

  • A Távelérés a RADIUS-alapú egyszeri jelszavas kiszolgálók ellenőrzésére vizsgálati mechanizmust alkalmaz. Néhány esetben ez hibát okozhat, amely az egyszeri jelszavas kiszolgálón jelenik meg. A probléma elkerüléséhez tegye az alábbiakat az egyszeri jelszavas kiszolgálón:

    • Hozzon létre egy olyan felhasználói fiókot, amely megegyezik a Távelérési kiszolgálón a vizsgálati mechanizmushoz konfigurált felhasználónévvel és jelszóval. A felhasználónévnek nem szabad egy Active Directory felhasználóra utalnia.

      Alapértelmezett beállításként a Távelérési kiszolgálón lévő felhasználónév DAProbeUser, a jelszó pedig DAProbePass. Ezek az alapértelmezett beállítások a Távelérési kiszolgálón, a beállításjegyzék alábbi értékeivel módosíthatók:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Ha megváltoztatja az IPsec gyökértanúsítványt egy konfigurált és futó DirectAccess környezetben, az egyszeri jelszó működése leáll. A probléma megoldásához az egyes DirectAccess kiszolgálókon, egy Windows PowerShell ablakban futtassa le az alábbi parancsot: iisreset