In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

IPv6 in der Praxis - Raucamp Consulting

Werbung 
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
IPv6 in der Praxis:
Microsoft Direct Access
Frankfurt, 07.06.2013
IPv6-Kongress
1
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Über mich
Thorsten Raucamp
•
•
•
IT-Mediator
Berater Infrastruktur / Strategie KMU
Projektleiter,
spez. Workflowanwendungen im Microsoft-Umfeld
•
E-Mail: [email protected]
Frankfurt, 07.06.2013
Web: www.raucamp-consulting.de
IPv6-Kongress
2
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Agenda
•
•
•
•
•
Was ist DirectAccess
Voraussetzungen Version 2008 / 2012
Minimal-Installation In 3 Schritten eingerichtet
DirectAccess Security: von KMU bis Enterprise
Fazit
Frankfurt, 07.06.2013
IPv6-Kongress
3
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Was ist Direct Access
• Transparenter und sicherer Remotezugriff
ohne VPN-Zwang
• Automatischer Verbindungsaufbau vor der
Benutzeranmeldung
• Client Remote Verwaltung, selbst wenn kein
Benutzer angemeldet ist.
• IP-HTTPS: SSL/TLS-Verbindung wird zwischen
Client und Server hergestellt, IP-Traffic mit
IPSec verschlüsselt
Frankfurt, 07.06.2013
IPv6-Kongress
4
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Demo
Frankfurt, 07.06.2013
IPv6-Kongress
5
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Agenda
•
•
•
•
•
Was ist Direct Access
Voraussetzungen Version 2008 / 2012
Minimal-Installation In 3 Schritten eingerichtet
Direct Access Security: für jeden was dabei
Fazit
Frankfurt, 07.06.2013
IPv6-Kongress
6
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
DirectAccess in Windows 2008 R2
Anforderungen:
– DirectAccess Server (Server 2008 R2) mit 2
Netzwerkkarten
– Clients: Windows 7 (Ultimate / Enterprise)
– Public-Key Infrastruktur
– Firewall muss Teredo-Pakete durchlassen
– ISATAP-Infrastruktur einrichten
– NAT64 für IPv4 Ressourcen muss installiert und
konfiguriert werden
– 2 öffentliche, aufeinander folgende IPv4-Adressen
Frankfurt, 07.06.2013
IPv6-Kongress
7
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
DirectAccess in Windows 2008 R2
10.0.0.12
Applikationen
(SQL/SharePoint)
Router
DynIP
192.168.x.x
INTERNET
193.99.143.85
193.99.143.86
10.0.0.1
10.0.0.11
AD
DNS
DHCP
Fileserver
Zertifikatsdienste
DirectAccess Gateway
10.0.0.13
Notebook
192.168.178.101
NLS
PKI Sperrlisten Verteilpunkt
Frankfurt, 07.06.2013
IPv6-Kongress
8
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
DirectAccess in Windows 2012
10.0.0.12
Applikationen
(SQL/SharePoint)
Router
DynIP
INTERNET
10.0.0.1
DynIP
10.0.0.11
Router
AD
DNS
DHCP
Fileserver
Zertifikatsdienste
DirectAccess
192.168.x.x
Notebook
192.168.178.101
Frankfurt, 07.06.2013
IPv6-Kongress
9
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Verbesserungen in Server 2012
•
•
•
•
•
DirectAccess Server hinter Firewall
Vereinfachte Bereitstellung und Konfiguration
Installation auf DC möglich (nicht empfohlen)
Verbesserte Performance (insb. mit Win 8 Clients)
Größere Skalierbarkeit
(Unterstützung von Network Load Balancing)
• Unterstützung mehrerer Standorte
• DNS64 und NAT64 (Zugriff auf IPv4-Only Netze)
Frankfurt, 07.06.2013
IPv6-Kongress
11
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
IP-HTTPS
Router
DynIP
INTERNET
DynIP
Router
Notebook
192.168.178.101
DA
HTTPS-Connection zu sbsrv.dtdns.net
SSL/TLS Connection über HTTPS
IPv6
Automatischer Aufbau sobald Internet-Verbindung besteht
Windows 8: SSL-Tunnel ohne Verschlüsselung
2 Wege Kommunikation: Benutzerzugriff und Remote-Management
Frankfurt, 07.06.2013
IPv6-Kongress
12
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Technical Detail: NAT64/DNS64
NAT64/DNS64 is the reason DA works on IPv4 Networks
172.16.0.20
IPv4-only Server
Native IPv4 traffic
Native IPv6 traffic
fd00:fefe:2::172.16.0.20
IPv6 Prefix
- fd00:fefe:2::/96
SERVER IN
AAAA
FD00:FEFE:2::172.16.0.20
TCP port
80 172.16.0.20s
SERVER
IN
A
IPv4
Internal
Address
– 172.16.0.100
172.16.0.101
TCP port
1060
172.16.0.20
TCP port 80
IPv4 Network
IPv6 Network
NAT64/DNS64
gateway (DA)
fd00:fefe:1::bef1:2002, TCP port 1025
IPv6 Client
fd00:fefe:1::bef1:2002
•
8.2.NAT64
gateway
translates
theAAAA
IPv6 packet
NAT64
device
forwards
DNS
query
to
3.
DNS
Server
informs
that
no
AAAA
record
1.
IPv6
Client
sends
DNS
AAAA
query
for
IPv46.
DNS64
converts
DNS
A
IPv4
response
to
an
4.
NAT64
device
sends
DNS
query
for
Server
NAT64
device
configured
with
/96
IPv6
prefix
9.
9.NAT64
IPv4-only
gateway
Server
translates
replies
toA
the
the
IPv4
dynamic
packet
IPv4
to
7.
IPv6
Client
sends
connection
packet
to
IPv6
to
IPv4,
dynamically
associating
the
source
5.
DNS
Server
replies
with
Server’s
IPv4
authoritative
DNS
Server
exists
for
Server
only
Server
IPv6
AAAA
one,
IPv6in
/96
prefix
and
IPv4
address
pool
IPv6
address
using
used
the
information
byadding
the
NAT64
gateway
thereceiver
translation
address
associated
the
IPv4
IPv6
address
with
antoIPv4
address
from the
address
table
pool
Chad Duffey and Tristan Kington
DNS Server
172.16.0.2
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Agenda
•
•
•
•
•
Was ist Direct Access
Voraussetzungen Version 2008 / 2012
Minimal-Installation In 3 Schritten eingerichtet
Direct Access Security: für jeden was dabei
Fazit
Frankfurt, 07.06.2013
IPv6-Kongress
14
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
In 3 Schritten zu DirectAccess
Frankfurt, 07.06.2013
IPv6-Kongress
15
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
… Na ja, nicht ganz:
• Die restliche Infrastruktur muss richtig
eingerichtet sein:
– Firewall (Port 443 forwarding)
– Active Directory
– Zertifikatsdienste
– DHCP
– IPv6 ganz oder gar nicht!
– DNS !!!
Frankfurt, 07.06.2013
IPv6-Kongress
16
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Agenda
•
•
•
•
•
Was ist Direct Access
Voraussetzungen Version 2008 / 2012
Minimal-Installation In 3 Schritten eingerichtet
Direct Access Security: für jeden was dabei
Fazit
Frankfurt, 07.06.2013
IPv6-Kongress
17
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Security
• Plug‘n Pray ohne PKI
• Zertifikate, Smartcards und virtuelle
Smartcards (TPM)
• OTP-Unterstützung (Token-Basierte
Authentifizierung)
• NAP-Unterstützung
• Tunnelerzwingung möglich
Frankfurt, 07.06.2013
IPv6-Kongress
18
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Enterprise Features und Skalierung
• Remote-Verwaltung der Clients
• Einheitliche Verwaltung von Direct Access und
RRAS
• Lastenausgleichsunterstützung / Clusterfähig
• Unterstützung mehrerer Standorte
(Multisite Deployment)
Frankfurt, 07.06.2013
IPv6-Kongress
19
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Enterprise Features und Skalierung
• Einheitliche Verwaltung von Direct Access und
RRAS
• Remote-Verwaltung der Clients
• Lastenausgleichsunterstützung / Clusterfähig
• Unterstützung mehrerer Standorte
(Multisite Deployment)
Frankfurt, 07.06.2013
IPv6-Kongress
20
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Agenda
•
•
•
•
•
Was ist Direct Access
Voraussetzungen Version 2008 / 2012
Minimal-Installation In 3 Schritten eingerichtet
Direct Access Security: für jeden was dabei
Fazit
Frankfurt, 07.06.2013
IPv6-Kongress
21
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Fazit:
• Technik wie sie sein sollte:
- transparent für den Benutzer
- gut administrierbar
- skalierbar auf die jeweiligen Bedürfnisse
Frankfurt, 07.06.2013
IPv6-Kongress
22
Raucamp Consulting
IT-Mediation, IT-Projekte & Strategie
Vielen Dank für Ihre Aufmerksamkeit!
Frankfurt, 07.06.2013
IPv6-Kongress
23
Zugehörige Unterlagen
Robert Hueber beruflich Werbung und Marktkommunikation
Robert Hueber beruflich Werbung und Marktkommunikation
Engagierte/r Mitarbeiter/in im Bereich Marketing & Kommunikation
Engagierte/r Mitarbeiter/in im Bereich Marketing & Kommunikation
Details - Consulting Agency
Details - Consulting Agency
Details - Consulting Agency
Details - Consulting Agency
DOC - Europa.eu
DOC - Europa.eu
Näher dran... - Halter Personal Consulting
Näher dran... - Halter Personal Consulting
Pressemeldung Online Kundenservice – Segen oder Fluch
Pressemeldung Online Kundenservice – Segen oder Fluch
AD - Human
AD - Human
„Was machen Sie genau?“ – Eine gefährliche
„Was machen Sie genau?“ – Eine gefährliche
Document
Document
Langsamer Datenimport und/oder Datenabfrage - b
Langsamer Datenimport und/oder Datenabfrage - b
Das sollte Ihr Server können
Das sollte Ihr Server können
Herunterladen
Werbung