درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      احمد جهلولی
      امتیاز: 37751
      رتبه:18
      0
      79
      37
      616
      دوره های مرتبط
      دوره های توسینسو آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      مدرس: پوریا تعبدی
      این دوره را در 1 قسط خریداری کنید
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      مدرس: میلاد فشی
      این دوره را در 4 قسط خریداری کنید
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      مدرس: صادق شعبانی
      این دوره را در 2 قسط خریداری کنید
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      مدرس: آرش ترابی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      مدرس: محمد عابدینی
      این دوره را در 5 قسط خریداری کنید
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      مدرس: صادق شعبانی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      مدرس: اسحاق احمدپور
      این دوره را در 37 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      مدرس: علی آقامیری
      این دوره را در 10 قسط خریداری کنید
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      مدرس: مریم علی زاده
      این دوره را در 10 قسط خریداری کنید
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      مدرس: پوریا تعبدی
      این دوره را در 3 قسط خریداری کنید
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      مدرس: محمد نصیری
      این دوره را در 64 قسط خریداری کنید
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      مدرس: کاظم تقندیکی
      این دوره را در 7 قسط خریداری کنید
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      مدرس: مجتبی اسمائی
      این دوره را در 25 قسط خریداری کنید
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      مدرس: ُسهیل قاسمی
      این دوره را در 14 قسط خریداری کنید
      دوره آموزشی مقدماتی نرم افزار Wireshark
      دوره آموزشی مقدماتی نرم افزار Wireshark
      مدرس: محمد عابدینی
      این دوره را در 8 قسط خریداری کنید
      دوره آموزشی سیسکو آسان است
      دوره آموزشی سیسکو آسان است
      مدرس: صادق شعبانی
      این دوره را در 35 قسط خریداری کنید
       آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      مدرس: جعفر قنبری شوهانی
      این دوره را در 9 قسط خریداری کنید
      دوره آموزشی جامع مانیتورینگ شبکه با  Solarwinds و ماژول ها
      دوره آموزشی جامع مانیتورینگ شبکه با Solarwinds و ماژول ها
      مدرس: جعفر قنبری شوهانی
      این دوره را در 6 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      مدرس: کاظم تقندیکی
      این دوره را در 11 قسط خریداری کنید

      Direct Access در Windows 2012 R2 قسمت دوم

      تاریخ 25 ماه قبل
      نظرات 0
      بازدیدها 286
      در این قسمت یاد میگیریم چگونه DirectAccess را در ساختار پیاده سازی کنیم و در چه توپولوژی قابل پیاده سازی می باشد و …… با ما همراه باشید.

      نحوه پیاده سازی یا دیزاین DA یکی از مهمترین بخشهای پیاده سازی این سرویس فوق العاده می باشد. DA در ثوپولوژهای مختلفی می تواند پیاده سازی شود. درک نحوه پیاده سازی DA برای راه اندازی این سرویس خیلی مهم می باشد.

      DirectAccess Server


      DA می تواند بر روی Windows Server 2012 and 2016 نسخه های Datacenter, Standard نصب شود. و DA باید بر روی یک سرور اختصاصی نصب شود. شما نمی توانید این سرویس را بر روی Domain Controller or ADCS and Exchange Server نصب کنید. ( در نصب شدن این سرویس بر روی سرویس های بالا می توان آن را نصب کرد ولی اختلال و خطاهای عجیب غریبی دریافت می کنید که می تونه کلا شما را از این دنیا نا امید کنه و به فکر خودکشی بندازه :) پس خواهشا Best Practice ها را رعایت کنید)
      گرچه شما می توانید در سناریوهای سرویس های VPN و Web application proxy را بر روی DA نصب کنید.

      System Requirements


      همانطور که قبلا گفته شد DA باید بر روی یک سرور مجزا نصب شود یا می توانید آن را بصورت یک VM بر روی Hyper-V یا VMware و غیره نصب کنید و حداقل سخت افزار توصیه شده برای نصب DA یک پردازنده 4 هسته ای با 8 گیگ رم و 60 گیگ فضای آزاد بر روی هارد می باشد.

      Domain Membership


      یکی از پیش نیازهای DA عضو کردن آن در Active Directory می باشد چون DA تنظمات خود و کلاینتها را از AD دریافت می کند و همچنین تانل IPsec بوسیله AD احراز هویت می شود.

      In addition, IPsec tunnels used by DirectAccess are authenticated via Active Directory

      همچنین شما می توانید DA را عضو هر دومینی در فارست کنید و لزومی ندارد در یک دومین خاص عضو شود.
      نکته: اگر سرور DA یا DA Client ها عضو فارست دیگری باشند باید بین این دو فارست یک تراست دو طرفه یا two-way transitive trust باشد.

      Windows Firewall


      یکی از پیش نیازهای مهم DA فعال بود Windows Firewall بر روی DA Server و DA Client می باشد. یعنی اگر شما فایروال ویندزتون رو بخاطر پینگ کردن دو سیستم غیرفعال کرده باشید نمی توانید از DA استفاده کنید. (شاید باور نکنید 80 درصد ادمین های ما بخاطر پینگ فایروال را خاموش می کنند)
      نکته: تانل IPsec در Security Rules Connection فایروال ایجاد می شود.
       Direct Access در Windows 2012 R2 قسمت دوم

      پس در نتیجه Firewall باید بر روی همه پروفایلها فعال باشد.

      IPv6


      تمام تبادل اطلاعات بین سرور و کلاینتها بر روی بستر IPv6 صورت میگیرد. همچنین استفاده از transition technologies باعث شده استفاده از IPv6 راحت باشد و نیازی به پیاده سازی آن بر روی شبکه داخلی نیست. ولی با این همه گاهی وقتا مشاهده شده بعضی از ادمین های عزیز IPv6 را بر روی سیستم ها غیرفعال می کنند شما با غیرفعال کردن این قابلیت کلا DA را فلج می کنید.
      پس خواهشا IPv6 را غیرفعال نکنید. اگر احیانا IPv6 مزاحمتهای در عملکرد بعضی از سرویس ها ایجاد می کند مانند nslookup.exe میتوانید اولویت IPv6 را به IPv4 تعقیردهد.

      Network Topology


      شما می توانید DA را در سه محیط و ساختار مختلف پیاده سازی کنید:

      • Edge facing
      • Perimeter/DMZ
      • LAN

      Edge Facing


      در این ساختار DA در لبه شبکه راه اندازی می شود و حتما باید دارای دو کارت شبکه باشد یکی به Internal شبکه لینک شده باشد و یکی به External یا اینترنت.
      نیازمندی های کارت شبکه External:
      • باید یک IP Public بر روی آن ست شود.
      • اگر میخواهید از تانل Teredo استفاده کنید باید دو IP Public بر روی کارت شبکه External ست کنید.
      نیازمندی های کارت شبکه Internal:
      • یک IP Private بر روی آن ست می شود که می تواند در رنج شبکه Perimeter/DMZ باشد یا شبکه LAN.
      • اگر کارت شبکه Internal در قسمت Perimeter باشد باید تمام پروتکلها و پورتها به شبکه LAN آزاد باشد.
      • بوسیله دستور Route.exe باید تمام Subnet های Internal شبکه را به DA معرفی کنیم.
      • Perimeter/DMZ


      DA می تواند بصورت یک یا دو کارت شبکه در قسمت Perimeter شبکه و پشت فایروال فعالیت کند.
      فرض کنید DA ما پشت فایروال باشد (بدون استفاده از قابلیت NAT) و دارای دو کارت شبکه باشد
      نیازمندیهای کارت شبکه External:
      • باید یک IP Public بر روی آن ست شود.
      • اگر میخواهید از تانل Teredo استفاده کنید باید دو IP Public بر روی کارت شبکه External ست کنید.
      نیازمندیهای کارت شبکه External پشت NAT:
      • به یک IP Private نیاز دارید.
      نیازمندی های کارت شبکه Internal:
      • یک IP Private بر روی آن ست می شود که می تواند در رنج شبکه Perimeter/DMZ باشد یا شبکه LAN.
      • اگر کارت شبکه Internal در قسمت Perimeter باشد باید تمام پروتکلها و پورتها به شبکه LAN آزاد باشد.
      • بوسیله دستور Route.exe باید تمام Subnet های Internal شبکه را به DA معرفی کنیم.
      • اگر DA ما دارای یک کارت شبکه باشد و در قسمت Perimeter نگهداری می شود فقط باید بر روی آن یک IP Private ست کنید.
      • LAN


      DA میتواند در قسمت LAN شبکه فعالیت کند که فقط نیاز به یک کارت شبکه و IP Private دارد.

      Edge Firewall Configuration


      اگر در قسمت Edge شبکه یک Firewall باشد باید پروتکل و پورتهای زیر بر روی فایروال باز باشد:

      • IP protocol 41
      • UDP port 3544
      • TCP port 443

      اگر DA دارای یک IPv6 بصورت Routable باشد (به اصطلاح دیگر IPv6 Public) باید پورت و پروتکل های زیر بر روی Firewall باز باشد:

      • IP protocol 41
      • UDP port 500

      اگر DA در قسمت DMZ شبکه قرار دارد و دارای یک IP Public باشد باید پروتکل و پورتهای زیر بر روی فایروال باز باشد:

      • IP protocol 41
      • UDP port 3544
      • TCP port 443

      اگر DA در قسمت DMZ و پشت NAT باشد باید پروتکل و پورتهای زیر بر روی Firewall باز باشد:

      • TCP port 443
      • Publish DirectAccess in firewall

      اگر DA در شبکه LAN باشد پروتکل و پورتهای زیر باید در firewall باز باشد:

      • TCP port 443
      • Publish DirectAccess in firewall

      نحوه Publish کرد DirectAccess را در TMG در یک قسمت جدا آموزش خواهم داد.

      Network Topology Considerations


      در سناریو و ساختارهای بسیار نادری مشاهده می کنید که DA را در قسمت Edge شبکه قرار می دهند. یکی از مزایای قرار دادن DA در قسمت Edge شبکه استفاده از سه تانل IPv6 می باشد (Teredo, 6to4 and IP-HTTPS) می باشد ولی از لحاظ امنیتی شما فقط Windows Firewall را دارید که از DA محافظت می کند. گرچه Windows Firewall از نوع خودش یک firewall کامل و جامع می باشد ولی شما یک لایه امنیتی بر روی DirectAccess دارید. پس توصیه می شود که DA را پشت یک Firewall در قسمت DMZ قرار دهید تا امنیت آن فراهم شود گرچه در این سناریو فقط می توانید از تانل IP-HTTPS استفاده کنید.

      Active Directory


      در این قسمت پیش نیازهای ساختار اکتیودایرکتوری برای پیاده سازی DA را مرور می کنیم.
      • شما می توانید DA را در هر نوع لول DFL/ FFL نصب کنید.
      • اگر Domain Controllerها برای Replication پوشه SYSVOL از متد File Replication Service (FRS) استفاده کنند نمی توان در این ساختار از DA استفاده کرد. DA فقط با متد DFS-R سازگار است.
      • DirectAccess از Read-Only Domain Controllers پشتیبانی نمی کند و باید با یک Write Domain Controller ارتباط داشته باشد.
      • کاربری که مسئول نصب و راه اندازی DA باشد باید عضو Domain Admins باشد.
      • در حین نصب DA یکسری GPO در ساختار ایجاد می شود اگر کاربری که مسئول نصب این سرویس باشد مجوز لازم را نداشته باشد باید بصورت دستی این GPO را ایجاد کند. شما به دو GPO نیاز دارید یکی برای DA Serverو یکی برای DA Client
      • علاوه بر GPO های بالا شما نیازمند یکسری GPO اضافی دارید که بعدا هنگام نصب و کانفیگ DA آنها را توضیح خواهیم داد
      • Certificates


      DA به سه نوع Certificate نیاز دارد:
      • یک Computer Certificate Template برای احراز هویت تانل IPsec بر روی کلاینت و سرور.
      • یک Certificate SSL برای تانل IP-HTTPS
      • و یکی برای وب سایت NLS. (بعدا میگم NLS چی هست)
      • Certification Authority


      شما به راحتی می توانید از یک CA Server داخلی استفاده کنید. چون تمام DA Client ها قبل از اتصال بوسیله Active Directory تنظیمات خود را دریافت می کنند همچنین می توانیم بعضی از Certificate Template ها را از این طریق به آنها اعمال کنیم.
      نکته: لازمه استفاده از CA Server داخلی Publish کردن لیست CRL آن می باشد چون وقتی کاربران خارج از سازمان باشند قبل از استفاده از Certificate باید لیست Certificate های باطل شده را دریافت کنند.
      برای Publish کردن لیست CRL در TMG می توانید از لینک زیر استفاده کنید:
      پابلیش کردن لیست CRL مربوط به CA Server در TMG

      Certificate Requirements


      اگر از CA Server داخلی استفاده می کنید باید سرتیفیکت تمپلیت Computer را بر روی DirectAccess Server and DA Client صادر و نصب کنید.
      نکته خیلی مهم: Certificate Template باید با FQDN و Hostname کلاینتها و سرور مچ باشد وگرنه با مشکلات زیادی رو به رو می شوید. همچنین باید این سرتیفیکت EKU آن دارای Client Authentication باشد.

      SSL Certificates


      برای پروتکل انتقال IP-HTTPS شما نیاز به یک SSL Certificate دارید که با FQDN ی که کاربران برای اتصال با DA استفاده می کنند یکی باشد. IP-HTPS از این Certificate برای احراز هویت و رمزگذاری اطلاعات استفاده می کند.
      نکته: اگر حوصله دنگ و فنگ CA Server و پابلیش کردن لیست CRL آن را ندارید می توانید از یک third-party CA درخواست Certificate دهید.

      Network Location Server


      ی سوال دارم: کلاینتها داخل سازمان تنظیم می شوند و وقتی که خارج از سازمان شدند به صورت اتوماتیک از طریق DA به شبکه داخلی سازمان متصل می شوند همانطور که می دانید در DA ما نه کانکشن دارم و نه تنظیمات خاصی همه چیز از طریق GPO اعمال می شود، با این تعاریف کلاینت چگونه متوجه شود که خارج یا داخل سازمان می باشد؟؟؟؟؟؟؟؟؟؟
      جواب سادس بوسیله NLS!!!!!! خب این NLS چی هست؟؟؟
      NLS یک web Siteی هستش که بر روی آن یک صفحه وبی میزبانی می شود. DA Client قبل از اینکه ارتباط خود را با DA برقرار کند اول چک می کند داخل سازمان است یا نه برای اینکار یک درخواست به سمت وب سرور NLS ارسال می کند، اگر توانست با NLS ارتباط برقرار کند متوجه می شود که داخل سازمان می باشد و از DA استفاده نمی کند درغیراین صورت متوجه می شود بیرون از سازمان هستش و از DA استفاده می کند. Got it???
      خب این وب سایت NLS هم نیازمند یک SSL Certificate می باشد و همچنین یک A Record و غیره که به وقتش آن را کامل توضیح می دهیم.

      DNS


      پیش نیازهای DNS برای استفاده از DirectAccess. ما دو سری رکورد داریم که باید در Internal DNS و در External DNS ایجاد شوند:
      رکوردهای که در هنگام نصب DirectAccess در DNSایجاد می شود عبارتند از:
       Direct Access در Windows 2012 R2 قسمت دوم

      در External DNS شما فقط نیازمند ایجاد یک A Record می باشد که کاربران خارج از سازمان از آن برای دسترسی به DirectAccess استفاده می کنند. این رکورد می تواند به IP Publicی که بر روی DA Server ست شده است اشاره کند یا به IP ی که بر روی Edge Firewall ست شده.
      اگر قسمت قبلی و این قسمت را با دقت مطالعه کرده باشید تا حدودی اطلاعاتی درباره DirectAccess کسب کردید و به نظرم از این مرحله به بعد اماده اید که بریم سراغ تنظیمات و کانفیگ این سرویس مهم.

      یا علی
      نویسنده: احمد جهلولی
      برچسب ها
      ردیفعنوان
      1DirectAccess در Windows 2012 R2 قسمت اول
      2 Direct Access در Windows 2012 R2 قسمت دوم
      3 Direct Access در Windows 2012 R2 قسمت سوم
      4Direct Access در Windows 2012 R2 قسمت چهارم
      5مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
      6ایجاد High Availability و Load Balancing برای DirectAccess Server
      7عیب یابی ارتباطات DirectAccess آخرین قسمت
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید