Содержание статьи
Современная корпоративная сеть предоставляет большое количество сервисов. Часть из них должна быть видна из интернета, и админу необходимо решить эту проблему, опубликовав ресурсы на файере. Но для некоторых служб и приложений без Forefront UAG это будет сделать весьма непросто.
Назначение FOREFRONT UAG
Продукт Forefront Unified Access Gateway (UAG) позиционируется как средство предоставления доступа к внутренним ресурсам сети через единую точку входа. Буквально за пару щелчков мышкой можно обеспечить клиенту подключение к самым разнообразным приложениям и сервисам, разработанным как в недрах Microsoft, так и сторонними производителями. По сравнению с Intelligent Application Gateway (IAG 2007), на платформе которого построен UAG, расширен список внутренних ресурсов, подлежащих публикации: Remote Desktop Services, SharePoint и Exchange (Outlook Web App и Anywhere), Dynamics CRM, Citrix XenApp, файловый сервис и так далее.
Еще одна фишка — политики доступа, при помощи которых админ задает требования для подключающихся клиентских систем: платформа, ОС, настройки системы и безопасности, наличие обновлений и т.д. Установка политик производится непосредственно в консоли управления UAG, также возможно использование политик NAP, расположенных на NPS-сервере (см. врезку «NAP & NPS»).
UAG может использоваться в трех вариантах:
- сервер публикаций (publishing server) — публикация корпоративных приложений и ресурсов и обеспечение доступа к ним;
- сервер DirectAccess — позволяет подключаться ко внутренней сети и ее ресурсам из любого места; в отличие от VPN, все настройки произ водятся автоматически, не требуя вмешательства пользователя;
- смешанный сервер (или несколько серверов), обеспечивающий обе функции.
Что особенно важно, UAG существенно расширяет возможности, заложенные в DirectAccess. В частности, упрощается доступ к практически любым серверам, которые изначально не поддерживают эту технологию, в том числе устаревшим версиям Win2k3 и серверам, построенным на не-Windows платформе. Аналогичная ситуация и с другой стороны сети. Изначально DirectAccess поддерживают только Win7 и Win2k8R2, применение UAG обеспечивает SSL VPN доступ для клиентов XP/Vista, *nix/Mac OS X систем и различного рода мобильных девайсов. Применение UAG позволяет админам изменять настройки на клиентах, устанавливать обновления, изменять групповые политики, даже если пользователь еще не зарегистрировался в системе.
При работе в NLB (Network Load Balancing) массиве настройка производится из консоли UAG, при этом один из серверов назначается основным (master), все произведенные на нем настройки автоматически подхватываются остальными серверами. UAG поддерживает NLB, предоставляемую службой Win2k8R2. Как вариант возможна работа с продуктами сторонних разработчиков, некоторые из них представлены на партнерской странице — go.microsoft.com/fwlink/?LinkId=166184.
Публикация приложений производится при помощи транков (trunks). При этом подключение можно организовать по принципу «один ко многим», когда пользователь получает доступ ко всем приложениям с единого адреса. Вариант «один к одному» позволяет подключаться с одного IP на один опубликованный сервис. Кроме того, Forefront UAG умеет производить предварительную аутентификацию клиента еще до того, как он будет подключаться ко внутреннему ресурсу. Для чего UAG поддерживает большое количество протоколов аутентификации: LDAP, RADIUS, TACACS, сертификаты SSL, WINHTTP.
Средствами UAG легко обеспечить единый вход (Single Sign-On) ко всем ресурсам, когда пользователь будет вводить пароль один раз. Для этого после авторизации на сервере UAG последний отсылает данные другим серверам для проверки подлинности, используя протоколы Kerberos, NTLM, HTTP. Возможна аутентификация пользователя и средствами внутреннего сервера. Поддерживается совместная работа со службой федерации AD — Active Directory Federation Services (AD FS).
Отмечу, что UAG никак не заменяет Forefront TMG (Threat Management Gateway, напомню, обеспечивает защиту периметра сети). Эти продукты направлены на решение разных задач, но принадлежность к единому семейству дает возможность их совместного использования и управления из единой консоли. По сути, UAG расширяет функции TMG.
Установка FOREFRONT UAG
Для установки потребуется сервер с CPU 2,66+ ГГц, 8+ Гб RAM (мастер установки выдаст предупреждение при наличии менее 4 Гб RAM), NIC 2+. Все это должно работать по д управлением Win2k8R2 версии Standard или Enterprise. Последние бывают только 64-битными, поэтому и выбора, как такового, у нас нет. Никаких других ролей или приложений сервер содержать не должен, иначе это может вызвать сбои в работе мастера. Перед началом установки сервер должен быть подсоединен к домену.
На сайте доступна триал-версия, которая будет полнофункциональна в течение 120 дней. Проверить время до окончания пробного периода можно, запустив утилиту Uagver.exe (лежит в корне ISOобраза).
В окне приглашения программы установки доступен ряд ссылок, в частности на сопутствующую документацию проекта и ресурс TechNet, где можно найти все требования, которые должны быть выполнены для инсталляции UAG. Также рекомендуется накатить все обновления — нажатие на ссылку «Run Windows Update» запустит соответствующий мастер.
Теперь выбираем «Install Forefront UAG», после чего запускается Setup Wizard. По сути, ничего сложного в нем нет, просто пять раз жмем кнопку «Next». По окончании соглашаемся с перезагрузкой сервера, после которой обнаружим ряд новых запущенных сервисов (названия содержат Forefront).
В меню Пуск появляется подменю, где собраны ссылки для запуска консолей TMG и UAG. Выбираем консоль управления Forefront UAG Management. При первом запуске стартует мастер Getting Started Wizard, состоящий из трех шагов, выбор каждого приводит к запуску еще одного мастера. На этапе «Configure Network Setup» мастер проверяет настройки сетевых карт и выводит их список в небольшом окне. Устанавливаем чекеры из Unassigned в Internal и External и в случае необходимости настраиваем сетевой интерфейс. Далее в «Define server Topology» выбираем топологию сервера UAG — одиночный (Single server) или член массива серверов (Array member). Если компьютер не присоединен к домену, то будет доступен только вариант Single server. И, наконец, третий шаг — «Join Microsoft Update» — опциональный, он позволяет подключиться к сервису обновлений Microsoft Update для получения последних апдейтов. Все, активируем конфигурацию и устанавливаем пароль для бэкапа файлов.
Консоль конфигурации FOREFRONT UAG
После загрузки консоли следует выбрать свой узел в корне сайта. Здесь будут отображены основные сообщения и проблемы, мешающие нормальной работе UAG, если таковые будут обнаружены.
Установки в консоли конфигурации UAG разделены на три группы, в которых производятся настройки HTTP/HTTPS-подключений и DirectAccess. Первые две используются для создания новых транков (в терминологии ISA/TMG — «публикация ресурсов»), что позволяет настроить доступ к таким сервисам, как Outlook Web App, IIS, RDS, Citrix XenApp и некоторым другим приложениям.
Перед созданием HTTPS-транка необходимо сгенерировать сертификат в Certificate Manager, который будет использоваться для проверки подлинности сервера (подробно о создании сертификата смотри в статье «Слоеный VPN», опубликованной в ][ 08.2008). Для возможности SSO необходимо иметь настроенный Kerberos.
Удобно, что большинство нужных ссылок, позволяющих корректно настроить необходимые для работы UAG параметры, собраны в меню Admin. Некоторые из произведенных здесь установок затем будут доступны при работе мастеров. Так, в Admin можно настроить сервер аутентификации и авторизации (Authentication and Authorization Servers), сервер сетевой политики NPS, параметры балансировки нагрузки (Load Balancing), определить настройки SSL (SSL Protocol Settings), доступ к файлам (File Access) и многое другое.
Принцип создания транка очень прост: выбираем в меню New Trunk и следуем указаниям мастера. В процессе установок необходимо выбрать тип транка. Если отметить Portal trunk, то аутентификация будет производиться средствами UAG. Если планируем использовать для аутентификации средства Active Directory, ставим флажок напротив ADFS trunk. Флажок «Publish Exchange applications via the portal» позволяет публиковать в транке приложения Exchange.
Затем указываем название транка (оно должно быть уникальным), имя удаленного узла, к которому будет выполняться подключение, и IP-адрес/порт. Опционально можно редиректить HTTP-трафик на HTTPS-порт, для этого нужно просто установить соответствующий флажок. Следующий шаг — выбор сервера аутентификации и авторизации: отмечаем в списке нужный или, если список пуст, нажав кнопку Add, производим настройку. В предложенном списке указываем протокол авторизации, данные сервера и пароль для доступа. Шаг 5 позволяет настроить использование политик доступа — внутренние политики (Forefront UAG access policies) или NAP (сервер NAP должен быть настроен). Политики UAG предлагаются по умолчанию, если их оставляем, то нужно указать политики для привилегированных и анонимных пользователей. При необходимости новую политику можно создать прямо в окне мастера, указав платформу или приложения. Если создаем HTTPS-транк, добавляется еще один шаг — выбор сертификата.
Все, транк создан, он будет показан в окне менеджера управления UAG. Аналогичным образом создаем и другие транки, если в них есть необходимость. Все произведенные настройки транка легко отредактировать. Выбираем нужный в окне менеджера и нажимаем кнопку Configure в области Trunk Configuration. В нескольких вкладках открывшегося окна можно указать максимальное количество подключений, изменить настройки аутентификации, настроить параметры сессии, проверку URL, парсинг и замену контента и другие настройки. Большая часть параметров понятна и без подсказки, поэтому остановлюсь лишь на некоторых. Во вкладке Portal настраиваем поиск и замену текста в URL, список URL, для которых такой анализ производиться не должен (например, локальный узел). Плюс здесь же вручную указываем список адресов, при вызове которых клиент будет перенаправляться на другой URL.
Вкладка URL Inspection позволяет задать список валидных методов для доступа к URL (POST, GET, PUT, DELETE и т.п.), установить ограничение по размеру для POST/PUT, указать список символов, которые разрешены в URL.
Переходим к URL Set, где определяются правила проверки адресов. Здесь можно задавать шаблоны и указывать действие Accept или Reject (URL, не попадающий под шаблон, будет блокирован). Сами правила могут быть Primary (первичными) и Exclude (позволяют установить исключения для Primary).
Во вкладке Global URL Settings уточняются общие правила, которые добавляются к настройкам, произведенным в URL Set.
Теперь можем публиковать приложение на сервере UAG. Выбираем транк и пункт «Add Application» в контекстном меню, после чего запускается визард. На первом шаге выбираем приложение. Здесь пять пунктов: Built-in services (файловый сервис, веб-монитор), Web (Exchange, SharePoint, Dynamics CRM и т.д.), Client/server and legacy, Browser-embedded (Citrix XenApp), Terminal services (TS)/Remote Desktop Services (RDS). Выбираем любой, после чего в раскрывающемся списке приложение (см. выше в скобках). Дальнейшие настройки мастера будут зависеть от выбранных здесь установок. И наконец, отмечаем, каких пользователей будем авторизовывать.
Выполненные настройки система сохранит в хранилище TMG. На их основе автоматически создаются новые правила брандмауэра, в этом можно убедиться, открыв менеджер TMG: мы увидим все правила, соответствующие нашим установкам.
Настройка DIRECTACCESS
Так как поддержка технологии DirectAccess является одной из основных функций, которая отличает UAG от IAG 2007, рассмотрим ее настройку. Сначала должны быть выполнены обязательные требования, все они описаны в документе «Forefront UAG DirectAccess prerequisites», но его структура довольно запутана, с множеством переходов, поэтому изложу все в краткой форме. Так, компьютер обязательно должен быть подключен к домену, иметь две сетевые карты, а внешний сетевой интерфейс обладать двумя «белыми» IPv4-адресами (подробности по адресу go.microsoft.com/fwlink/?LinkId=169486). Для удобства управления лучше создать отдельное подразделение в AD, все учетные записи клиентских компьютеров и серверов, входящих в него, будут получать доступ к DirectAccess.
Также следует настроить автоматическую подачу заявок на сертификаты (AutoEnrollment), позволяющую автоматом регистрировать сертификаты клиентов. Для этого запускается консоль Certification Authority, и во вкладке Manage –> Certificate Templates выбираем Workstation Authentication. Далее заносим в список доменные группы, которые будут использоваться при подключении к DirectAccess, и устанавливаем разрешения Autoenroll и Enroll. В редакторе групповых политик создаем новый GPO (DirectAccess IPsec Certificate AutoEnrollment), затем в «Computer Configuration –> Policies –> Windows Settings –> Security Settings» выбираем «Public Key Policies –> Certificate Services Client –> Autoenrollment». Вызываем окно редактирования и устанавливаем флажки «Renew expired certificates» и «Update certificates that use certificate templates». В Security Filtering добавляем группы, которые будут работать с DirectAccess, все остальные группы, прописанные здесь по умолчанию, удаляем.
Еще один важный пункт — настройка DNS-инфраструктуры. Частично настройки были рассмотрены в статье «Синхронный заплыв на дальнюю дистанцию», опубликованной в ][ 11.2009, нам лишь остается при помощи GPO установить DNS-суффиксы для клиентов, подключающихся посредством DirectAccess.
SYN/ACK NAP & NPS
Network Access Protection — технология, позволяющая контролировать доступ к сети, исходя из информации о состоянии системы клиентского хоста.
Network Policy Server позволяет централизованно настраивать и управлять сетевыми политиками, используя для этого RADIUS-сервер, RADIUS-прокси и сервер политик NAP.
Решаем проблемы
Несмотря на то, что в настройке транков, приложений и прочих параметров UAG помогают мастера, выдающие внятные подсказки, с первого раза все запустить не всегда получает ся. Уж слишком много сервисов завязано в единый узел. Проблемы, которые касаются текущего узла, отображаются в консоли управления UAG. Проанализировать ситуацию в комплексе поможет инструмент Forefront UAG 2010 Best Practices Analyzer (BPA) Tool, который можно скачать с сайта Microsoft. Проведя ряд тестов, BPA выдает отчеты, в них будет отражена текущая ситуация, ключевые моменты в настройках и потенциальные проблемы. Кроме того, выполняя рекомендации, выданные BPA, можно достичь большей произ водительности. Для Forefront TMG доступен аналогичный инструмент — Forefront TMG BPA Tool.
Network, выбираем DNS Client и вызываем на редактирование Primary DNS Suffix, где вводим DNS-суффикс нашего домена. Теперь можно переходить непосредственно к настройкам DirectAccess в консоли управления UAG.
Все установки DirectAccess производятся в соответствую щем меню. Многие вопросы совпадают с настройками DirectAccess, о которых рассказывалось в указанной выше статье. Сейчас нам предстоит последовательно пройти три этапа. Первый шаг — настройка клиентов, здесь указываем Active Directory, которую мы создали для компьютеров, работающих через DirectAccess. На следующем шаге настраивается сервер, для которого указываем внешний и внутренний интерфейсы.
Проверяем, чтобы были установлены флажки в параметрах «Enable UAG DirectAccess NAT64» и «Enable UAG DirectAccess DNS64». Далее указываем сертификаты (корневой и HTTPS), которые будут использованы для проверки подлинности. И, наконец, третий этап — «Infrastructure Servers Configuration» — здесь настраиваем все сервера, предоставляющие услуги клиентам. Просто перечисляем их имена и DNS-суффиксы в предложенных полях. Далее выводится список серверов, участвующих в аутентификации, здесь должен быть виден контроллер домена. Добравшись до «Application Servers», настраиваем собственно серверы приложений. Нажимаем кнопку «Generate Policies», а после того, как политики будут созданы, нажимаем «Apply Now», чтобы их применить. Закрываем окно и форсируем события, введя команду «gpupdate /force».
После всех настроек клиенты смогут подключаться из внешней сети к внутренним серверам. Осталось добавить, что созданную конфигурацию можно экспортировать и импортировать, в меню Admin находится пункт настройки бэкапа. Из панели доступен Web Monitor (порт 5002), позволяющий просмотреть список событий (система, защита, приложения), мониторить работу серверов в массиве, приложений и пользователей.
В комплект также входит консоль Activation Monitor, которая в реальном времени позволяет контролировать статус членства в массиве UAG и ряд других параметров, таких как настройки сетевых интерфейсов, политики, состояние связанных сервисов.
Заключение
Как видишь, имея множество функций, UAG на самом деле довольно прост в настройках. Многие операции по конфигурированию не потребуют чтения документации. Из минусов, наверное, можно назвать суммарную стоимость лицензий на софт и ОС. Хотя, если организация завязана на продукцию MS, более удобной альтернативы не найти.
Links
- Страница Forefront UMG — www.microsoft.com/forefront/unifiedaccessgateway