درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37801
رتبه:19
0
79
37
617

Direct Access در Windows 2012 R2 قسمت سوم

تاریخ 29 ماه قبل
نظرات 1
بازدیدها 479
در این قسمت مقدمات و پیش نیازهای نصب DirectAccess را آموزش خواهیم داد.

DirectAccess Server


بعد از انتخاب نوع سرور، فیزیکی یا بیستر مجازی اقدام به نصب DA کنید. شما می توانید DA را علاوه بر محیط GUI در Windows Server 2012 and 2016 در نسخه Core نصب کنید ولی نصب DA در نسخه Core در Windows Server 2008 R2 امکان پذیر نمی باشد. توصیه شده بعد از نصب و کانفیگ DirectAccess محیط GUI را پاک کنید ( آن را به Windows Server core تبدیل کنید).
نکته: اگر DirectAccess را بر روی Hyper-V نصب می کنید گذینه MAC address spoofing را بر روی آن VM فعال کنید.
 Direct Access در Windows 2012 R2 قسمت سوم

Operating System Installation


بعد از تعیین نوع توپولوژی و اقدامات لازم سیستم عامل DirectAccess را نصب می کنیم. من در این سری آموزشی چیزی که در بیشتر سازمانها روال هستش را انتخاب می کنم و آن هم مدل Perimeter/DMZ با یک کارت شبکه می باشد.
نکته: چه در محیط تست یا در محیط واقعی جدا از DVD های که در بازار مرسوم هستش که به همراه نصب سیستم عامل یسری برنامه دیگر را نصب می کند خوداری کنید.
نکته: از نصب فایروالها و انتی ویروس های third-party بر روی DAخوداری کنید. اگر به هر دلیلی مجبور به نصب چنین برنامه های شدید باید مطمئن شوید اینگونه برنامه ها مزاحم عملکرد DirectAccess نشوند و بعد از نصب و جواب دادن DA این برنامه ها را نصب کنید تا مراحل عیب یابی تا حدودی آسان شود.

Dual-NIC Configuration


برای آن دسته از دوستانی که می خواهند DA را در مد Edge Facing پیاده سازی کنند مراحل زیر را انجام دهند:
سرور باید دو کارت شبکه داشته باشد یکی Internal و یکی External. کارت شبکه Internal می تواند به شبکه DMZ یا LAN متصل شود و دارای یک IP Private می باشد.
نکته: بر روی کارت شبکه Internal دیفالت گیت وی تعریف نکنید. در ویندوز فقط مجاز به تعریف یک Default gateway هستیم. اگر چندین Default gateway نیاز باشد از دستور Route.exe دیفالت گیت وی ها را مشخص می کنیم.
 Direct Access در Windows 2012 R2 قسمت سوم

و بر روی کارت شبکه External یک IP Public ست می کنیم و یک Default Gateway.
نکته: طبق Best Practice ها بر روی این کارت شبکه DNSی ست نکنید.
 Direct Access در Windows 2012 R2 قسمت سوم

اگر می خواهید از تانل Teredo استفاده کنید باید یک IP public دیگر علاوه بر IP بالا ست کنید. برای اینکار دکمه Advanced را کلیک کنید و
 Direct Access در Windows 2012 R2 قسمت سوم

و گذینه Register this connection’s addresses in DNS غیرفعال کنید
 Direct Access در Windows 2012 R2 قسمت سوم

و همچنین پروتکل NetBIOS را بر روی این کارت شبکه غیرفعال کنید
 Direct Access در Windows 2012 R2 قسمت سوم

و همچنین مطمئن شوید کارت شبکه Internal در تنظیمات Adapters and Bindings اولین گذینه باشد.
 Direct Access در Windows 2012 R2 قسمت سوم

 Direct Access در Windows 2012 R2 قسمت سوم

Static Routes


بعد از انجام مراحل بالا اگر DirectAccess ما در قسمت DMZ شبکه باشد باید راه دسترسی به شبکه LAN را به این سرور معرفی کنیم. سناریوی زیر را در نظر بگیرید:
 Direct Access در Windows 2012 R2 قسمت سوم

پس ما بوسیله دستور زیر به سرور DA می گویم برای دسترسی به شبکه 192.168.100.0/24 ترافیک را به سمت Back-End Firewall ارسال کند.
نکته: ایپی 10.10.10.1 ادرس کارت شبکه Back-End Firewall می باشد:
Route add 192.168.100.0 mask 255.255.255.0 10.10.10.1 –P
اگر دو قسمت قبلی را خوانده باشید شاید تعجب بکنید چرا ما هیچ گونه IPv6 ی را تنظیم نمی کنیم!!!! خوبی DirectAccess همینه با تنظیم و نصب DA ادرسهای IPv6 بصورت اتوماتیک انجام می شود و شما هیچگونه کار خواصی لازم نیست انجام دهید. اگر ساختار شما با IPv6 پیکربندی شده باشد نور علی نوره DA از این تنظیمات استفاده می کند.

Join Domain and Apply Updates


یکی از پیش نیازهای DA عضو شدن در Active Directory می باشد. لطفا قبل از Join شدن این سرور یک اسم مناسب به Hostname این سرور اختصاص دهید. همچنین بعد از جوین کردن سرور آن را ابدیت کنید. (اونور ابیا توصیه کردن حتما اینکار را انجام دهید. دوست داشتید سرور را ابدیت کنید)

Create Groups


دوتا گروه ایجاد کنید. یک گروه شامل کامپیوترهای هستش که قراره از DirectAccess استفاده کنند و تنظیمات DA بر روی آنها اعمال شود و یک گروه شامل سرورهای DA. بعدا فایده اینکار را متوجه می شوید.
 Direct Access در Windows 2012 R2 قسمت سوم

Certificates


سرور DA نیاز به دو سرتیفیکت دارد یکی برای تانل IPsec و یکی برای پروتکل IP-HTTPS. برای IPsec می توانید ار تمپلیت Computer استفاده کنید ولی نه بهتر است تمپلیت سفارشی برای اینکار ایجاد کنیم.
خواهشا اگر هیچگونه اطلاعاتی درباره Certificate و Certificate Template ها ندارید توصیه می کنم لینک زیر را مطالعه کنید و بعد ادامه مطالب را بخوانید:
آموزش: Active Directory Certificate Services قسمت ششم
پس برای اینکار در کنسول مربوطه بر روی تمپلت Workstation Authentication راست کلیک کنید و گذینه Duplicate Template را انتخاب کنید و مراحل زیر را انجام دهید:
 Direct Access در Windows 2012 R2 قسمت سوم

 Direct Access در Windows 2012 R2 قسمت سوم

 Direct Access در Windows 2012 R2 قسمت سوم

 Direct Access در Windows 2012 R2 قسمت سوم

در کادر بالا گروه Authentication User and Domain computers را پاک کنید و گروه های که شامل DA Server و DA Client هستند را اضافه کنید و مجوز بالا را بر روی آنها ست کنید.
نکته: اگر مجوز Autoenroll را به گروه ها دادید پالاسی زیر را بر روی این کامپیوتر فعال کنید. پلاسی زیر نحوه دریافت Certificate و نحوه Renew کردن آن را بصورت اتوماتیک انجام می دهد.
 Direct Access در Windows 2012 R2 قسمت سوم

برای فعال کردن این پالاسی از لینک بالا که معرفی کردم استفاده کنید.
اجازه بدید ی داستان کوتاه و عاشقانه برای شما تعریف کنم که خالی از لطف نیست:)

یکی از دوستام برام تعریف می کرد که یک وب سرور در پتروشیمی ..... بنا به دلایلی از کار افتاد این وب سایت اطلاعات را بصورت HTTPS ارسال و دریافت می کرد، قسمت انفورماتیک آن پتروشیمی بعد از سه چهار روز سرو کله زدن نتوانستن مشکل را حل کنند این ور صدای مسئولین درامده بود که چرا تا حالا این مشکل حل نشده..... خلاصه چند نفر خوشتیپ از شعبه اصلی شرکت اومدن تا مشکل را حل کنند ولی بازم مشکل حل نشد!!!!! همه چیز خوب و صحیح ست شده بود ولی نمی دانستند چرا کسی نمی توانست به این وب سروروصل شود!!!! دیگر خواستند دست به دامن رمال و دعا نویس شوند که یکی از نفرات آن قسمت گفت اقا میشه SSL Certificate وب سایت را چک کنید......
اره درست حدس زدید، Certificate اکسپایر شده بود و به ذهن هیچ کس نمی رسید که مشکل از آن باشد، خب فرتی این خوشتپبا Certificate را Renew کردن و مشکل حل شد.....
وقتی Certificateی 2 یا 5 سال اعتبار دارد بعد از این مدت اکسپایر می شود بعد از این همه مدت یاد اوری این مسئله خیلی سخته در نتیجه تنظیمات بالا بسیار حیاتی و ضروری هستش. بعد از انجام تنظیمات بالا DA Server and DA Client باید این Certificate را بصورت اتوماتیک دریافت کنند.
 Direct Access در Windows 2012 R2 قسمت سوم

SSL Certificate


SSL Certificate برای پروتکل IP-HTTPS لازم و ضروری هستش. توصیه شده این سرتیفیکت را از یک third-party ca دریافت کنید ولی می توانید از یک CA Server داخلی استفاده کنید. وقتی که همه کلاینتها به CA داخلی اعتماد دارند و لیست CRL پابلیش شده و می توانم از اینترنت بهش دسترسی داشته باشم دیگه چه دردی دارم از CA دیگه ای سرتیفیکت درخواست بدم؟؟؟
برای درخواست این سرتیفیکت از لینک زیر استفاده کنید: (آموزش زیر را برای این منظور ایجاد کردم)
آموزش: ایجاد Certificate Signing Request بوسیله کنسول MMC

Installing the DirectAccess-VPN Role


بعد از انجام مراحل بالا نوبت به نصب این سرویس می رسد. شما به دو صورت می توانید این سرویس را نصب کنید با استفاده از GUI یا Power Shell. من Power Shell را ترجیح می دهم. برای نصب این سرویس دستور زیر را در Power Shell اجرا کنید:
Install-WindowsFeature DirectAccess-VPN –IncludeManagementTools

That’s it….

 Direct Access در Windows 2012 R2 قسمت سوم

اگر چندین DirectAccess Server داشته باشید و همه عضو یک Cluster هستن کارهای بالا باید بر روی تک تک آنها انجام شود. انشالله در قسمت بعدی شروع به تنظیم این سرویس مهم می کنیم.
به امید خدا قسمت بعدی از این سری آموزش بعد از 15 یا 20 روز دیگر اماده می شود چون واقعا سرم شلوغه و ازهمه دوستان بابت این مسئله عذرخواهی میکنم.

یا علی
نویسنده: احمد جهلولی

برچسب ها
ردیف عنوان
1 DirectAccess در Windows 2012 R2 قسمت اول
2 Direct Access در Windows 2012 R2 قسمت دوم
3 Direct Access در Windows 2012 R2 قسمت سوم
4 Direct Access در Windows 2012 R2 قسمت چهارم
5 مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
6 ایجاد High Availability و Load Balancing برای DirectAccess Server
7 عیب یابی ارتباطات DirectAccess آخرین قسمت
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • سلام
    بی صبرانه منتظر ادامه این آموزش هستم ...
    موفق باشید .

برای ارسال نظر ابتدا به سایت وارد شوید