در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Direct Access در Windows 2012 R2 قسمت دوم

در این قسمت یاد میگیریم چگونه DirectAccess را در ساختار پیاده سازی کنیم و در چه توپولوژی قابل پیاده سازی می باشد و …… با ما همراه باشید.

نحوه پیاده سازی یا دیزاین DA یکی از مهمترین بخشهای پیاده سازی این سرویس فوق العاده می باشد. DA در ثوپولوژهای مختلفی می تواند پیاده سازی شود. درک نحوه پیاده سازی DA برای راه اندازی این سرویس خیلی مهم می باشد.

DirectAccess Server


DA می تواند بر روی Windows Server 2012 and 2016 نسخه های Datacenter, Standard نصب شود. و DA باید بر روی یک سرور اختصاصی نصب شود. شما نمی توانید این سرویس را بر روی Domain Controller or ADCS and Exchange Server نصب کنید. ( در نصب شدن این سرویس بر روی سرویس های بالا می توان آن را نصب کرد ولی اختلال و خطاهای عجیب غریبی دریافت می کنید که می تونه کلا شما را از این دنیا نا امید کنه و به فکر خودکشی بندازه :) پس خواهشا Best Practice ها را رعایت کنید)

گرچه شما می توانید در سناریوهای سرویس های VPN و Web application proxy را بر روی DA نصب کنید.

System Requirements


همانطور که قبلا گفته شد DA باید بر روی یک سرور مجزا نصب شود یا می توانید آن را بصورت یک VM بر روی Hyper-V یا VMware و غیره نصب کنید و حداقل سخت افزار توصیه شده برای نصب DA یک پردازنده 4 هسته ای با 8 گیگ رم و 60 گیگ فضای آزاد بر روی هارد می باشد.

Domain Membership


یکی از پیش نیازهای DA عضو کردن آن در Active Directory می باشد چون DA تنظمات خود و کلاینتها را از AD دریافت می کند و همچنین تانل IPsec بوسیله AD احراز هویت می شود.

In addition, IPsec tunnels used by DirectAccess are authenticated via Active Directory

همچنین شما می توانید DA را عضو هر دومینی در فارست کنید و لزومی ندارد در یک دومین خاص عضو شود.

نکته: اگر سرور DA یا DA Client ها عضو فارست دیگری باشند باید بین این دو فارست یک تراست دو طرفه یا two-way transitive trust باشد.

Windows Firewall


یکی از پیش نیازهای مهم DA فعال بود Windows Firewall بر روی DA Server و DA Client می باشد. یعنی اگر شما فایروال ویندزتون رو بخاطر پینگ کردن دو سیستم غیرفعال کرده باشید نمی توانید از DA استفاده کنید. (شاید باور نکنید 80 درصد ادمین های ما بخاطر پینگ فایروال را خاموش می کنند)

نکته: تانل IPsec در Security Rules Connection فایروال ایجاد می شود.

 Direct Access در Windows 2012 R2 قسمت دوم

پس در نتیجه Firewall باید بر روی همه پروفایلها فعال باشد.

IPv6


تمام تبادل اطلاعات بین سرور و کلاینتها بر روی بستر IPv6 صورت میگیرد. همچنین استفاده از transition technologies باعث شده استفاده از IPv6 راحت باشد و نیازی به پیاده سازی آن بر روی شبکه داخلی نیست. ولی با این همه گاهی وقتا مشاهده شده بعضی از ادمین های عزیز IPv6 را بر روی سیستم ها غیرفعال می کنند شما با غیرفعال کردن این قابلیت کلا DA را فلج می کنید.

پس خواهشا IPv6 را غیرفعال نکنید. اگر احیانا IPv6 مزاحمتهای در عملکرد بعضی از سرویس ها ایجاد می کند مانند nslookup.exe میتوانید اولویت IPv6 را به IPv4 تعقیردهد.

Network Topology


شما می توانید DA را در سه محیط و ساختار مختلف پیاده سازی کنید:

  • Edge facing
  • Perimeter/DMZ
  • LAN

Edge Facing


در این ساختار DA در لبه شبکه راه اندازی می شود و حتما باید دارای دو کارت شبکه باشد یکی به Internal شبکه لینک شده باشد و یکی به External یا اینترنت.

نیازمندی های کارت شبکه External:

  • باید یک IP Public بر روی آن ست شود.
  • اگر میخواهید از تانل Teredo استفاده کنید باید دو IP Public بر روی کارت شبکه External ست کنید.

نیازمندی های کارت شبکه Internal:

  • یک IP Private بر روی آن ست می شود که می تواند در رنج شبکه Perimeter/DMZ باشد یا شبکه LAN.
  • اگر کارت شبکه Internal در قسمت Perimeter باشد باید تمام پروتکلها و پورتها به شبکه LAN آزاد باشد.
  • بوسیله دستور Route.exe باید تمام Subnet های Internal شبکه را به DA معرفی کنیم.
  • Perimeter/DMZ


DA می تواند بصورت یک یا دو کارت شبکه در قسمت Perimeter شبکه و پشت فایروال فعالیت کند.

فرض کنید DA ما پشت فایروال باشد (بدون استفاده از قابلیت NAT) و دارای دو کارت شبکه باشد

نیازمندیهای کارت شبکه External:

  • باید یک IP Public بر روی آن ست شود.
  • اگر میخواهید از تانل Teredo استفاده کنید باید دو IP Public بر روی کارت شبکه External ست کنید.

نیازمندیهای کارت شبکه External پشت NAT:

  • به یک IP Private نیاز دارید.

نیازمندی های کارت شبکه Internal:

  • یک IP Private بر روی آن ست می شود که می تواند در رنج شبکه Perimeter/DMZ باشد یا شبکه LAN.
  • اگر کارت شبکه Internal در قسمت Perimeter باشد باید تمام پروتکلها و پورتها به شبکه LAN آزاد باشد.
  • بوسیله دستور Route.exe باید تمام Subnet های Internal شبکه را به DA معرفی کنیم.
  • اگر DA ما دارای یک کارت شبکه باشد و در قسمت Perimeter نگهداری می شود فقط باید بر روی آن یک IP Private ست کنید.
  • LAN


DA میتواند در قسمت LAN شبکه فعالیت کند که فقط نیاز به یک کارت شبکه و IP Private دارد.

Edge Firewall Configuration


اگر در قسمت Edge شبکه یک Firewall باشد باید پروتکل و پورتهای زیر بر روی فایروال باز باشد:

  • IP protocol 41
  • UDP port 3544
  • TCP port 443

اگر DA دارای یک IPv6 بصورت Routable باشد (به اصطلاح دیگر IPv6 Public) باید پورت و پروتکل های زیر بر روی Firewall باز باشد:

  • IP protocol 41
  • UDP port 500

اگر DA در قسمت DMZ شبکه قرار دارد و دارای یک IP Public باشد باید پروتکل و پورتهای زیر بر روی فایروال باز باشد:

  • IP protocol 41
  • UDP port 3544
  • TCP port 443

اگر DA در قسمت DMZ و پشت NAT باشد باید پروتکل و پورتهای زیر بر روی Firewall باز باشد:

  • TCP port 443
  • Publish DirectAccess in firewall

اگر DA در شبکه LAN باشد پروتکل و پورتهای زیر باید در firewall باز باشد:

  • TCP port 443
  • Publish DirectAccess in firewall

نحوه Publish کرد DirectAccess را در TMG در یک قسمت جدا آموزش خواهم داد.

Network Topology Considerations


در سناریو و ساختارهای بسیار نادری مشاهده می کنید که DA را در قسمت Edge شبکه قرار می دهند. یکی از مزایای قرار دادن DA در قسمت Edge شبکه استفاده از سه تانل IPv6 می باشد (Teredo, 6to4 and IP-HTTPS) می باشد ولی از لحاظ امنیتی شما فقط Windows Firewall را دارید که از DA محافظت می کند. گرچه Windows Firewall از نوع خودش یک firewall کامل و جامع می باشد ولی شما یک لایه امنیتی بر روی DirectAccess دارید. پس توصیه می شود که DA را پشت یک Firewall در قسمت DMZ قرار دهید تا امنیت آن فراهم شود گرچه در این سناریو فقط می توانید از تانل IP-HTTPS استفاده کنید.

Active Directory


در این قسمت پیش نیازهای ساختار اکتیودایرکتوری برای پیاده سازی DA را مرور می کنیم.

  • شما می توانید DA را در هر نوع لول DFL/ FFL نصب کنید.
  • اگر Domain Controllerها برای Replication پوشه SYSVOL از متد File Replication Service (FRS) استفاده کنند نمی توان در این ساختار از DA استفاده کرد. DA فقط با متد DFS-R سازگار است.
  • DirectAccess از Read-Only Domain Controllers پشتیبانی نمی کند و باید با یک Write Domain Controller ارتباط داشته باشد.
  • کاربری که مسئول نصب و راه اندازی DA باشد باید عضو Domain Admins باشد.
  • در حین نصب DA یکسری GPO در ساختار ایجاد می شود اگر کاربری که مسئول نصب این سرویس باشد مجوز لازم را نداشته باشد باید بصورت دستی این GPO را ایجاد کند. شما به دو GPO نیاز دارید یکی برای DA Serverو یکی برای DA Client
  • علاوه بر GPO های بالا شما نیازمند یکسری GPO اضافی دارید که بعدا هنگام نصب و کانفیگ DA آنها را توضیح خواهیم داد
  • Certificates


DA به سه نوع Certificate نیاز دارد:

  • یک Computer Certificate Template برای احراز هویت تانل IPsec بر روی کلاینت و سرور.
  • یک Certificate SSL برای تانل IP-HTTPS
  • و یکی برای وب سایت NLS. (بعدا میگم NLS چی هست)
  • Certification Authority


شما به راحتی می توانید از یک CA Server داخلی استفاده کنید. چون تمام DA Client ها قبل از اتصال بوسیله Active Directory تنظیمات خود را دریافت می کنند همچنین می توانیم بعضی از Certificate Template ها را از این طریق به آنها اعمال کنیم.

نکته: لازمه استفاده از CA Server داخلی Publish کردن لیست CRL آن می باشد چون وقتی کاربران خارج از سازمان باشند قبل از استفاده از Certificate باید لیست Certificate های باطل شده را دریافت کنند.

برای Publish کردن لیست CRL در TMG می توانید از لینک زیر استفاده کنید:

پابلیش کردن لیست CRL مربوط به CA Server در TMG

Certificate Requirements


اگر از CA Server داخلی استفاده می کنید باید سرتیفیکت تمپلیت Computer را بر روی DirectAccess Server and DA Client صادر و نصب کنید.

نکته خیلی مهم: Certificate Template باید با FQDN و Hostname کلاینتها و سرور مچ باشد وگرنه با مشکلات زیادی رو به رو می شوید. همچنین باید این سرتیفیکت EKU آن دارای Client Authentication باشد.

SSL Certificates


برای پروتکل انتقال IP-HTTPS شما نیاز به یک SSL Certificate دارید که با FQDN ی که کاربران برای اتصال با DA استفاده می کنند یکی باشد. IP-HTPS از این Certificate برای احراز هویت و رمزگذاری اطلاعات استفاده می کند.

نکته: اگر حوصله دنگ و فنگ CA Server و پابلیش کردن لیست CRL آن را ندارید می توانید از یک third-party CA درخواست Certificate دهید.

Network Location Server


ی سوال دارم: کلاینتها داخل سازمان تنظیم می شوند و وقتی که خارج از سازمان شدند به صورت اتوماتیک از طریق DA به شبکه داخلی سازمان متصل می شوند همانطور که می دانید در DA ما نه کانکشن دارم و نه تنظیمات خاصی همه چیز از طریق GPO اعمال می شود، با این تعاریف کلاینت چگونه متوجه شود که خارج یا داخل سازمان می باشد؟؟؟؟؟؟؟؟؟؟

جواب سادس بوسیله NLS!!!!!! خب این NLS چی هست؟؟؟

NLS یک web Siteی هستش که بر روی آن یک صفحه وبی میزبانی می شود. DA Client قبل از اینکه ارتباط خود را با DA برقرار کند اول چک می کند داخل سازمان است یا نه برای اینکار یک درخواست به سمت وب سرور NLS ارسال می کند، اگر توانست با NLS ارتباط برقرار کند متوجه می شود که داخل سازمان می باشد و از DA استفاده نمی کند درغیراین صورت متوجه می شود بیرون از سازمان هستش و از DA استفاده می کند. Got it???

خب این وب سایت NLS هم نیازمند یک SSL Certificate می باشد و همچنین یک A Record و غیره که به وقتش آن را کامل توضیح می دهیم.

DNS


پیش نیازهای DNS برای استفاده از DirectAccess. ما دو سری رکورد داریم که باید در Internal DNS و در External DNS ایجاد شوند:

رکوردهای که در هنگام نصب DirectAccess در DNSایجاد می شود عبارتند از:

 Direct Access در Windows 2012 R2 قسمت دوم

در External DNS شما فقط نیازمند ایجاد یک A Record می باشد که کاربران خارج از سازمان از آن برای دسترسی به DirectAccess استفاده می کنند. این رکورد می تواند به IP Publicی که بر روی DA Server ست شده است اشاره کند یا به IP ی که بر روی Edge Firewall ست شده.

اگر قسمت قبلی و این قسمت را با دقت مطالعه کرده باشید تا حدودی اطلاعاتی درباره DirectAccess کسب کردید و به نظرم از این مرحله به بعد اماده اید که بریم سراغ تنظیمات و کانفیگ این سرویس مهم.

یا علی

نویسنده: احمد جهلولی

#راه_اندازی_directaccess #آموزش_نصب_directaccess #ساختار_کاری_directaccess #ِاصطلاحات_directaccess #پیش_نیازهای_directaccess #آموزش_دایرکت_اکسس
عنوان
1 DirectAccess در Windows 2012 R2 قسمت اول رایگان
2 Direct Access در Windows 2012 R2 قسمت دوم رایگان
3 Direct Access در Windows 2012 R2 قسمت سوم رایگان
4 Direct Access در Windows 2012 R2 قسمت چهارم رایگان
5 مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP رایگان
6 راه اندازی Load Balancing برای Direct Access Server مایکروسافت رایگان
7 عیب یابی ارتباطات DirectAccess آخرین قسمت رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....