20411 D - LAB 8 B Preparación para la

configuración de Direct Accesspor Marcelo Giovinazzo

Requisitos en AD DS y DNS

Para limitar qué equipos pueden usar Direct Access la mejor forma es incluirlos en un Grupo. Ese grupo es el que luego se agrega durante el setup de Direct Access. En el laboratorio el grupo es DA_Clients y sus miembros LON-CL1 y LON-CL3.

En DNS se crean dos registros host (A) para el servidor NLS (Network Location Server) y para CRL (Certificate Revocation List)

Mediante DNSCMD se desbloquea la consulta al nombre ISATAP, que en forma predeterminada (junto con WPAD) está incluido en la Global Query Block List del DNS.

En la interfaz externa del servidor Direct Access (en nuestro ejemplo llamada Internet), se agrega el sufijo DNS Adatum.com.

Configuración de la Revocación de Certificados

En la entidad certificadora AdatumCA se configuran los valores de CDP (CRL Distribution Point) que son las rutas que utilizan los clientes para ubicar la CRL (lista de revocación de certificados)

Primero se establece una ruta mediante HTTP (para clientes externos)

Luego una ruta UNC para clientes internos

Exportación del certificado de la entidad certificante (AdatumCA)

Se exporta el certificado a un archivo llamado Root.cer

La utilidad de exportar este certificado es que luego se debe importar en los clientes para que AdatumCA les figure como una entidad certificante raíz de confianza (Trusted Root Certification Authority)

En general, esta configuración se distribuye mediante GPO.

A continuación se crea una Policy de AutoEnrollment, para que los equipos reciban los certificados de Computer en forma automática.En el ejemplo, el GPO se llamó CertAutoenrollment y se vinculó a Dominio.

Configuración de Certificados para los servidores

El equipo LON-SVR1 será el servidor NLS (se instala sobre IIS).

Mediante Gpupdate /Force se actualizan las directivas en ese servidor y luego se muestra el certificado de Computer obtenido mediante el GPO de autoenrollment

Posteriormente se hace una petición manual del certificado SSL para el servicio NLS. Se establece el Common Name del certificado como nls.adatum.comLuego se configura en IIS el Binding del sitio Web (puerto TCP 443) con el certificado NLS.

Se repite la operación para el servidor LON-RTR. En este caso y solamente para facilitar el laboratorio, el certificado se solicita a una dirección IP en lugar de usar un nombre. Se utiliza la IP 131.107.0.10 que es la IP externa del servidor de Direct Access.En una implementación real se usaría el nombre que se registró en el DNS público (que resuelve a la IP pública de la organización)A este último certificado se le configura como Friendly Name “IP-HTTPS Certificate”

Configuración de la CRL (Certificate Revocation List)

En el servidor LON-RTR, en el Default Web Site, se crea un directorio virtual llamado CRLDist donde estarán los archivos de la CRL (coincidente con el CDP configurado al principio)

En el Web Site deben configurarse algunas opciones de IIS para que sea funcional. Por ejemplo, se tiene que habilitar el Double Escaping porque la Delta CRL usa como parte del nombre el signo +.

Luego se configura el share para corresponder a la otra ruta creada en el CDP (la ruta UNC).Esa carpeta debe tener permisos totales para la cuenta del equipo que tiene el rol de CA, que en nuestro caso es LON-DC1.

Publicación de la CRL

Una vez creadas y configuradas las rutas de la CRL se procede a su publicación mediante la consola Certification Authority.

Luego de la publicación manual puede verse el archivo AdatumCA.crl dentro de la carpeta CRLDist del servidor LON-RTR.