Настраиваем шлюз удаленного доступа Forefront UAG

Статья написана для журнала Xakep

Современная корпоративная сеть предоставляет большое количество сервисов. Часть из них должна быть видна из интернет, поэтому админу необходимо решить эту проблему, опубликовав ресурсы на файере. Но для некоторых служб и приложений без Forefront UAG это будет сделать весьма непросто.

Назначение Forefront UAG

Продукт Forefront Unified Access Gateway (UAG) позиционируется как средство предоставления доступа ко внутренним ресурсам сети, через единую точку входа. Буквально за пару щелчков мышкой можно обеспечить клиенту подключение к самым разнообразным приложениям и сервисам разработанным как в недрах Microsoft, так и сторонних производителей. По сравнению с Intelligent Application Gateway (IAG 2007) на платформе которого построен UAG, список публикации внутренних ресурсов расширен — Remote Desktop Services, SharePoint и Exchange (Outlook Web App и Anywhere) и так далее.

Еще одна фишка — политики доступа при помощи которых админ задает подключающимся к узлу UAG клиентским системам требования: платформа, ОС, настройки системы и безопасности, наличие обновлений и т.д. Установка политик производится непосредственно в консоли управления UAG, также возможно использование политик NAP (Network Access Protection — технология, позволяющая контролировать доступ к сети, исходя из информации о состоянии системы клиентского хоста), расположенных на NPS сервере (Network Policy Server позволяет централизованно настраивать и управлять сетевыми политиками, используя для этого RADIUS-сервер, RADIUS-прокси и сервер политик NAP).
UAG может использоваться в трех вариантах:

Причем UAG существенно расширяет возможности, заложенные в DirectAccess. В частности, упрощается доступ к практически любым серверам, поддерживающим IPv4, которые изначально не поддерживают эту технологию, в том числе устаревшим версиям Win2k3, и построенных на не-Windows платформе. Аналогичная ситуация и с другой стороны сети. Изначально DirectAccess поддерживают только Win7 и 2k8R2, применение UAG обеспечивает SSL VPN доступ для клиентов XP/Vista, *nix/Mac OS X систем и различного рода мобильных девайсов. Применение UAG позволяет админам изменять настройки в удаленных системах, устанавливать обновления, изменять групповые политики, даже если пользователь еще не зарегистрировался в системе.

Мастер установки Forefront UAG очень прост

Мастер установки Forefront UAG очень прост


При работе в NLB (Network Load Balancing) массиве настройка производится из консоли UAG, при этом один из серверов назначается основным (master), все произведенные на нем настройки автоматически подхватываются остальными серверами. Причем UAG поддерживает NLB, предоставляемую службой Win2k8R2, которая обеспечивает одновременную работу связки из 8 серверов. И, как вариант, возможна работа с продуктами сторонних разработчиков, некоторые из них представлены на партнерской странице go.microsoft.com/fwlink/?LinkId=166184.
Публикация приложений производится при помощи транков (trunks). При этом подключение можно организовать по принципу «один ко многим», когда пользователь получает доступ ко всем приложениям с единого адреса. Вариант «один к одному» позволяет подключаться с одного IP на один опубликованный сервис.
Инструмент Forefront UAG 2010 Best Practices Analyzer Tool поможет разобраться с проблемами

Инструмент Forefront UAG 2010 Best Practices Analyzer Tool поможет разобраться с проблемами


Кроме этого, Forefront UAG умеет производить предварительную аутентификацию клиента еще до того, как он будет подключаться ко внутреннему ресурсу. Для чего UAG поддерживает большое количество протоколов аутентификации — LDAP, RADIUS, TACACS, сертификаты SSL, WINHTTP и другие.
Средствами UAG легко обеспечить единый вход (Single Sign-On) ко всем ресурсам, когда пользователь будет вводить пароль один раз. Для этого после авторизации на сервере UAG последний отсылает данные другим серверам для проверки подлинности, используя протоколы Kerberos, NTLM, HTTP и другие. Возможна аутентификация пользователя и средствами внутреннего сервера. Поддерживается совместная работа со службой федерации AD — Active Directory Federation Services (AD FS).
Учитывая сегодняшнюю мегапопулярность различного рода мобильных устройств, их поддержка изначально включена в UAG.
Веб-монитор Forefront UAG

Веб-монитор Forefront UAG


Самое главное, что при помощи UAG нельзя заменить Forefront TMG (Threat Management Gateway), обеспечивающий защиту периметра сети. Эти продукты направлены на решение разных задач, но принадлежность к единому семейству дает возможность совместного использования продуктов и управления из единой консоли. По сути, UAG расширяет функции TMG.

Установка Forefront UAG

Для установки потребуется сервер с CPU 2,66+ ГГц, 8+ Гб RAM (мастер установки выдаст предупреждение при наличии менее 4 Гб RAM), NIC 2+. Все это должно работать под управлением Win2k8R2 версий Standard или Enterprise. Последние бывают только x64-битные, поэтому и выбора как такового у нас нет. Никаких других ролей или приложений сервер содержать не должен, иначе это может вызвать сбои в работе мастера. Перед началом установки сервер должен быть подсоединен к домену.
На сайте доступна триал-версия, которая будет полнофункциональной в течение 120 дней. Проверить время до окончания пробного периода можно запустив утилиту Uagver.exe (лежит в корне ISO образа).
В окне приглашения программы установки доступен ряд ссылок, в частности, на сопутствующую документацию проекта и ресурса TechNet, в которой можно найти все требования, которые должны быть выполнены для инсталляции UAG. Также рекомендуется накатить все обновления, нажатие на ссылку «Run Windows Update» запустит соответствующий мастер.
Теперь выбираем «Install Forefront UAG«, после чего запускается Setup Wizard. По сути, ничего сложного в нем нет, просто жмем 5 раз кнопку Next. По окончании соглашаемся с перезагрузкой сервера, после которой обнаружим ряд новых запущенных сервисов (названия содержат Forefront).

Конфигурируем транк в Forefront UAG

Конфигурируем транк в Forefront UAG


В меню Пуск появляется подменю, где собраны ссылки для запуска TMG и UAG. Выбираем консоль управления Forefront UAG Management. При первом запуске стартует мастер Getting Started Wizard, состоящий из трех шагов, выбор каждого проводит к запуску еще одного мастера. На этапе «Configure Network Setup» мастер проверяет настройки сетевых карт и выводит их список в небольшом окне. Устанавливаем чекеры из Unassigned в Internal и External и в случае необходимости настраиваем сетевой интерфейс. Далее в «Define server Topology» выбираем топологию сервера UAG — одиночный Single server или массив серверов Array member. Если компьютер не присоединен к домену, то будет доступен только вариант Single server. И, наконец, третий шаг — «Join Microsoft Update» — опциональный, он позволяет подключиться к сервису обновлений Microsoft Update для получения последних апдейтов. Все, активируем конфигурацию и устанавливаем пароль для бэкапа файлов.

Консоль конфигурации Forefront UAG

После загрузки консоли следует выбрать свой узел в корне сайта. Здесь будут отображены основные сообщения и проблемы, мешающие нормальной работе UAG, если таковые будут обнаружены.
Установки в консоли конфигурации UAG разделены на три группы, в которых производятся настройки HTTP/HTTPS подключений и DirectAccess. Первые две используются для создания новых транков, в терминологии ISA/TMG это называлось «публикация ресурсов«, что позволяет настроить доступ к таким сервисам как Outlook Web App, IIS и некоторым другим приложениям.
Перед созданием HTTPS транка необходимо сгенерировать сертификат в Certificate Manager, который будет использоваться для проверки подлинности сервера (подробно о создании сертификата смотри в статье). Для возможности SSO необходимо иметь настроенный Kerberos.

Добавляем приложение в транк

Добавляем приложение в транк


Удобно, что большинство нужных ссылок, позволяющих корректно настроить необходимые для работы UAG параметры, собраны в меню Admin. Некоторые из произведенных здесь установок затем будут доступны при работе мастеров. Так в Admin можно настроить сервер аутентификации и авторизации (Authentication and Authorization Servers), сервер сетевой политики (Network Policy Servers – NPS), параметры балансировки нагрузки (Load Balancing), настройки SSL (SSL Protocol Setting), доступ к файлам (File Access) и многое другое.
Принцип создания транка очень прост, выбираем в меню New Trunk и следуем указаниям мастера. В процессе установок необходимо будет выбрать тип транка. Если отметить Portal trunk, то аутентификация будет производиться средствами UAG. Если планируем использовать для аутентификации средства Active Directory, ставим флажок на ADFS trunk. Флажок «Publish Exchange applications via the portal» позволяет публиковать в транке приложения Exchange.
Затем указываем название транка (оно должно быть уникальным), имя удаленного узла, к которому будет производиться подключение и IP-адрес/порт. Опционально можно редиректить HTTP трафик на HTTPS порт, для этого нужно просто установить соответствующий флажок. Следующий шаг — выбор сервера аутентификации и авторизации, отмечаем в списке нужный, или, нажав кнопку Add, производим настройку. В предложенном списке указываем протокол авторизации, данные сервера и пароль для доступа. Шаг 5 позволяет настроить использование политик доступа — внутренние (Forefront UAG access policies) или NAP (сервер NAP должен быть настроен). Политики UAG предлагаются по умолчанию, если их оставляем, далее указываем политики для привилегированных и анонимных пользователей. При необходимости новую политику можно создать прямо в окне мастера, указав платформу или приложения. Но при первичных настройках лучше выбрать предложенные по дефолту. Если создаем HTTPS транк, добавляется один шаг — выбор сертификата.
Все, транк создан, он будет показан в окне менеджера управления UAG. Аналогичным образом создаем и другие транки, если в них есть необходимость. Все произведенные настройки транка легко отредактировать. Выбираем нужный в окне менеджера и нажимаем кнопку Configure, в области Trunk Configuration. В нескольких вкладках открывшегося окна мы можем указать максимальное количество подключений, изменить настройки аутентификации, настроить параметры сессии, проверку URL, парсинг и замену контента и другие настройки. Большая часть параметров понятна и без подсказки, поэтому остановлюсь лишь на некоторых. Во вкладке Portal настраиваем поиск и замену текста в URL, список URL, для которых такой анализ производиться не будет (например локальный узел). Плюс здесь же вручную указываем список адресов, при вызове которых клиент будет перенаправляться на другой URL.
Вкладка URL Inspection позволяет задать список валидных методов для доступа к URL (POST, GET, PUT, DELETE и т.п.), установить ограничение по размеру для POST/PUT, указать список символов, которые разрешены в URL.
Переходим к URL Set, где определяются правила проверки URL: задаются шаблоны и указывается действие Accept или Reject (URL, не попадающий под шаблон, будет блокирован). Сами правила могут быть первичными (Primary) и Exclude, которые позволяют установить исключения для Primary.
Во вкладке Global URL Settings уточняются общие правила, которые добавляются к настройкам, произведенным в URL Set.
Теперь можем публиковать приложение на сервере UAG. Выбираем транк и в контекстном меню пункт «Add Apllication», после чего запускается визард. На первом шаге выбираем приложение. Здесь пять пунктов — Built-in services (файловый сервис, веб монитор), Web (Exchange, SharePoint, Dynamics CRM и т.д.), Client/server and legacy, Browser-embedded (Citrix XenApp), Terminal services (TS)/Remote Desktop Services (RDS). Выбираем любой, после чего в раскрывающемся списке приложение (см. выше в скобках). Дальнейшие настройки мастера будут зависеть от выбранных здесь установок. И наконец выбираем, каких пользователей будем авторизовать.
Выполненные настройки система сохранит в хранилище TMG. На их основе автоматически создаются новые правила брандмауэра, в этом можно убедиться, открыв менеджер TMG: мы увидим все правила, соответствующие нашим установкам.

Настройка DirectAccess

Так как поддержка DirectAccess является одной из основных функций, которая отличает UAG от IAG 2007 (Intelligent Application Gateway), рассмотрим его настройку. В начале должны быть выполнены обязательные требования, все они описаны в документе «Forefront UAG DirectAccess prerequisites«, но его структура довольно запутана, со множеством переходов, поэтому изложу все краткой форме. Так компьютер обязательно должен быть подключен к домену, иметь две сетевых карты, внешний сетевой интерфейс должен иметь два «белых» IPv4 адреса (подробности go.microsoft.com/fwlink/?LinkId=169486). Для удобства управления лучше создать отдельное подразделение в AD, все учетные записи клиентских компьютеров и серверов, входящие в него, будут получать доступ к DirectAccess. Также следует обязательно настроить автоматическую подачу заявок на сертификаты (AutoEnrollment), позволяющую автоматом регистрировать сертификаты клиентов. Для этого запускается консоль Certification Authority и во вкладке Manage — Certificate Templates выбираем Workstation Authentication. Далее заносим в список доменные группы, которые будут использоваться при подключении к DirectAccess, и устанавливаем разрешения Autoenroll и Enroll. В редакторе групповых политик создаем новый GPO (DirectAccess IPsec Certificate AutoEnrollment), затем в «Computer Configuration — Policies — Windows Settings — Security Settings» выбираем «Public Key Policies – Certificate Services Client — Autoenrollment«. Вызываем окно редактирования и устанавливаем флажки Renew expired certificates и Update certificates that use certificate templates. В Security Filtering добавляем группы, которые будут работать с DirectAccess, все остальные группы, прописанные здесь, по умолчанию удаляем.

Правила UAG созданные в Forefront TMG

Правила UAG созданные в Forefront TMG


Еще один важный пункт — настройка DNS инфраструктуры. Частично настройки рассмотрены в статье, посвященной DirectAccess, нам лишь остается при помощи GPO установить DNS суффиксы для клиентов, подключающихся посредством DirectAccess. Переходим в Computer Configuration — Policies — Administrative Templates — Network, выбираем DNS Client и вызываем на редактирование Primary DNS Suffix, где вводим DNS суффикс нашего домена. Теперь все, можно переходить непосредственно к настройкам DirectAccess в консоли управления UAG.
Все установки DirectAccess производятся в соответствующем меню.
Нам предстоит последовательно пройти три шага. Первый шаг — настройка клиентов, здесь указываем Active Directory, которую мы создали для компьютеров, работающих через DirectAccess. На следующем шаге настраивается сервер, для которого указываем внешний и внутренний интерфейсы. Проверяем, чтобы были установлены флажки в параметрах «Enable UAG DirectAccess NAT64» и «Enable UAG DirectAccess DNS64«. Далее указываем сертификаты (корневой и HTTPS), которые будут использованы для проверки подлинности. И, наконец, третий этап — «Infrastructure Servers Configuration» — здесь настраиваем все сервера, представляющие услуги клиентам. Просто перечисляем их имена и DNS суффиксы в предложенных полях. Далее выводится список серверов, участвующих в аутентификации, здесь должен быть виден контроллер домена. Добравшись до «Application Servers», настраиваем собственно серверы приложений. Нажимаем кнопку «Generate Policies», после того как политики будут созданы, нажимаем «Apply Now«, чтобы их применить. Закрываем окно и форсируем события, введя «gpupdate /force«. После всех настроек клиенты смогут подключаться из внешней сети ко внутренним серверам.
Осталось добавить, что созданную конфигурацию можно экспортировать и импортировать, в меню Admin находится пункт настройки бэкапа.
Из панели доступен Web Monitor (порт 5002), позволяющий просмотреть список событий (система, защита, приложения), мониторить сервера в массиве, пользователей и приложения.
В комплект также входит консоль Activation Monitor, которая показывает процесс активации конфигурации в реальном времени, что позволяет контролировать статус членства в массиве UAG и ряд других параметров, таких как настройки сетевых интерфейсов, политики, состояние связанных сервисов и другие.

Решаем проблемы

Не смотря на то, что в настройке транков, приложений и прочих параметров UAG помогают мастера, выдающие внятные подсказки, с первого раза все запустить не всегда получается. Уж слишком много сервисов завязано в единый узел. Проблемы, которые касаются текущего узла, отображаются в консоли управления UAG. Проанализировать ситуацию в комплексе поможет инструмент Forefront UAG 2010 Best Practices Analyzer (BPA) Tool, который можно скачать с сайта корпорации Microsoft. Проведя ряд тестов, BPA выдает отчеты, в которых показывается текущая ситуация, ключевые моменты в настройках и потенциальные проблемы. Кроме этого, выполняя рекомендации, выданные BPA, можно достичь большей производительности. Для Forefront TMG доступен подобный инструмент — Forefront TMG BPA Tool.

Заключение

Как видишь UAG предоставляя большую функциональность довольно прост в настройках. Многие операции по конфигурированию не потребуют чтения документации. Из минусов наверное можно назвать сумарную стоимость лицензий на софт и ОС. Хотя если организация завязана на продукцию MS более удобной альтеранативы не найти.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)