آموزش :: Direct Access در Windows 2012 R2 قسمت چهارم
درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من

جهت دریافت مدرک با مراجعه به به این بخش و ورود به دوره مورد نظر، بر روی گزینه دریافت مدرک کلیک کرده، اطلاعات خود را تکمیل کنید تا پروسه صدور مدرک برای شما طی شود.

صدور مدرک تنها برای دوره هایی که به صورت کامل خریداری شده و قیمت آن ها بالای 100،000 تومان باشد انجام خواهد شد.

جشنواره تخفیف شگفت انگیز زمستانه توسینسو

تا سقف 70 درصد تخفیف + ترافیک نیم بها + پشتیبانی محصولات توسط اساتید + ارائه گواهینامه پایان دوره

تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37763
رتبه:19
0
79
37
616

Direct Access در Windows 2012 R2 قسمت چهارم

تاریخ 27 ماه قبل
نظرات 0
بازدیدها 291
در قسمتهای قبلی ما DirectAccess را تعریف و سناریو و نحوه پیاده سازی آن و همچنین قابلیت ها و تنظیمت های اولیه آن را توضیح دادیم. در این قسمت تنظیمات بعد از نصب این سرویس را آموزش خواهیم داد.
برای اجرای DA کنسول Server Manager را اجرا کنید و گذینه زیر را کلیک کنید:
Direct Access در Windows 2012 R2 قسمت چهارم

Direct Access در Windows 2012 R2 قسمت چهارم

در بالا دو گذینه دارید. به شدت توصیه می کنم گذینه Getting started wizard را انتخاب نکنید انتخاب این گذینه تنظیمات ناخواسته ای در ساختار ایجاد می کند و از Windows 7 پشتیبانی نمی کند و یک Certificate بصورت Self-Singe اعمال می کند و تنظیمات DA را بر روی همه کلاینتها ست می کند و .....
در عوض گذینه Remote Access Setup Wizard را انتخاب کنید با انتخاب این گذینه دست شما باز می باشد و DirectAccess را متناسب با خواسته های سازمان میتوانید تنظیم کنید.
نکته: وقتی تنظیمات اولیه را انجام دادید کادر بالا دیگر برای شما ظاهر نمی شود.
با کلیک گذینه remote access… کادر زیر نمایش داده می شود:
Direct Access در Windows 2012 R2 قسمت چهارم

گذینه اول DA and VPN را با هم نصب و کانفیگ می کند. گذینه دوم فقط DA را نصب و کانفیگ می کند. گذینه سوم هم فقط VPN را نصب و تنظیم می کند. ما گذینه دوم را انتخاب میکنیم.
Direct Access در Windows 2012 R2 قسمت چهارم

همانطور که می بینید برای تنظیم DA چهار مرحله پیش رو داریم که هر کدام از این مراحل بر روی تنظیمات خاصی زوم می کند.

Step 1: Remote Clients


در این قسمت کلاینتهای که باید تنظیمات DirectAccess بر روی آنها اعمال شود را مشخص می کنیم و همچنین تنظیمات Network Connectivity Assistant را بر روی Windows 8 and 10 را مشخص می کنیم.
دکمه Configure را در Step 1 را کلیک کنید:
Direct Access در Windows 2012 R2 قسمت چهارم

با انتخاب گذینه اول کامپیوترها و یوزرهای که از اینترنت بوسیله DA به منابع داخلی وصل می شوند دسترسی کامل دارند (طبق پرمیژن های که برای آنها ست می کنیم) و همچنین ادمین می تواند به کامپیوترهای آنها Remote بزند.
گذینه دوم برعکس گذینه اول می باشد DA Client ها نمی توانند به منابع شبکه دسترسی داشته باشند و فقط به منظور Remote زدن به آنها از DA استفاده می شود. Next می کنیم
Direct Access در Windows 2012 R2 قسمت چهارم

در کادر بالا باید مشخص کنیم تنظیمات DA Client بر روی چه کامپیوترهای اعمال شود. همانطور که در قسمتهای قبلی اشاره کردیم ما باید دو گروه داشته باشیم یک گروه برای کامپیوترهای که همیشه بیرون سازمان هستن و گاه گاهی در سازمان فعالیت می کنند. که باید تنظیمات DA Client بر روی چنین کامیپوترهای اعمال شود. و گروهی که شامل DA Server ها می باشد که تنظیمات DA Server مخصوص سرورها بر روی آنها اعمال شود.(یادتون باشه این گروه را نباید بر روی پلاسی DirectAccess Server Setting اضافه کرد. شما لازم نیست کاری خاصی انجام دهید تمام تنظیمات بصورت اتوماتیک انجام می شود. گروه سرورهای DA فقط برای دادن مجوز Certificate Enrollment و غیره می باشد) در کادر بالا ما گروه DA Client ها را Add می کنیم.
دو گذینه در پایین کادر وجود دارد، گذینه اول یک WMI Filter در گروپ پلاسی ایجاد می کند برای DA Client ها.
گذینه دوم باعث میشه DA Clientها چه خارج از سازمان باشند یا داخل سازمان از DirectAccess استفاده کنند و همچنین ترافیک اینترنت چنین کامپیوترهای از DirectAccess عبور می کند.
Direct Access در Windows 2012 R2 قسمت چهارم

در کادر بالا ما NCA را برای کلاینتها میتوانیم تنظیم کنیم NCA ابزاری می باشد که در Windows 8 به بالا برای مدیریت ومانیتور کردن ارتباط DirectAccess بوجود آمده است. برای اطلاع بیشتر:

Network Connectivity Assistant

https://blogs.technet.microsoft.com/tip_of_the_day/2013/11/13/tip-of-the-day-network-connectivity-assistant/
در کادر Resources that validate connectivity to the internal network ما می توانیم ادرس یا URL به NCA معرفی کنیم تا با چک کردن آن ادرس NCA مطمئن شود بصورت موفقیت آمیز به DA Server وصل می باشد.
ویندوز 8 و ویندوز 10 در اولین ارتباط با DA سرور، URL آن را چک و Resolve می کنند و نیازی نیست در کادر بالا چیزی ایجاد کنیم. و همچنین در پایین می توانیم ایمیلی به NCA معرفی کنیم که اگر کلاینتی قادر به اتصال با DA Server نباشد بتواند با این ایمیل با ادمین مکاتبه کند. و گذینه اخر که واضح می باشد.
Finish را کلیک کنید تا به Step 2 برویم

Step 2: Remote Access Server


با کلیک کردن Configure در Step 2 کادر زیر ظاهر می شود:
Direct Access در Windows 2012 R2 قسمت چهارم

در بالا باید مشخص کنیم از چه توپولوژی استفاده می کنیم؟ که سرور DA خود تشخیص داد که دارای یک NIC و پشت فایروال می باشد.
در آخر هم باید یک FQDN اینترنتی یا یک IPv4 بصورت Public به DA Server معرفی کنیم. DA Client بوسیله این ادرس به DA Server وصل می شوند.
نکته: گرچه مجاز به وارد کردن IP هستید ولی هیچوقت اینکار را انجام ندهید.
Direct Access در Windows 2012 R2 قسمت چهارم

در کادر بالا کارت شبکه و Certificateی که برای IP-HTTPS استفاده می شود بصورت اتوماتیک تشخیص داده می شوند. Certificateی انتخاب می شود که ما قبلا برای DA از CA داخلی سازمان با نام DA.Mahshaher.Com درخواست کردیم.
نکته: اگر فایروال ویندوز خاموش یا پروفایل Domain کانکت نباشد نمی توانید Next کنید و باید در همین مرحله این مشکلات را حل کنید.
Direct Access در Windows 2012 R2 قسمت چهارم

در قسمت بالا باید مشخص کنیم DA Client ها چگونه احراز هویت شوند؟ که در بالا انتخاب کردم که اینکار بوسیله Active Directory انجام شود یعنی هر کسی که می خواهد از خدمات DA استفاده کند باید یک User/Pass در اکتیو دایرکتوری داشته باشد. و همچنین علاوه بر احراز هویت فوق کلاینتها بوسیله سرتیفیکت Computer که بر روی آنها اعمال شده احراز هویت می شوند. ( همه این کلاینتها باید سرتیفیکت تمپلیت Computer بر روی آنها اعمال شود) به عبارت دیگر یوزر و کامپیوتر هر دو بصورت جدا احراز هویت می شوند.
در کادر بالا باید CA Server داخلی را مشخص کنیم اگر علاوه بر Root CA یک Intermediate CA در ساختار داشته باشیم که Certificate به Subject ها Issue می کند آن را نیز باید معرفی کنیم.
و در آخر به Windows 7 اجازه دادیم از خدمات DA کند. و همچنین می توانید از پلاسی های که در سرویس NAP می باشد استفاده کنید.
Finish را کلیک کنید و به Step 3 بروید.

Step 3: Infrastructure Servers


Direct Access در Windows 2012 R2 قسمت چهارم

در اولین کادر شما باید وب سرور NLS را به DA معرفی کنید. اگر اطلاعی از NLS ندارید قسمت دوم این سری آموزش را مطالعه کنید. در بالا دو گذینه وجود دارد گذینه اول که گذینه پیشنهادی می باشد NLS بر روی یک Web Server جدا راه اندازی شده است که باید ادرس آن را در کادر مربوطه بنویسید و گذینه دوم NLS را بر روی خود DA راه اندازی می کند. تا می توانید از گذینه دوم اجتناب کنید.
نکته: وب سرور NLS یک صفحه خالی یا با متن می باشد و هیچ نیازی نیست که برید یک page طراحی کنید و غیره DA Client فقط میخوان چک کنند به این وب سرور دسترسی دارند یا نه.
نکته: NLS نیازمند یک SSL Certificate می باشد که همنام FQDNی باشد که DA Client ها از آن برای اتصال به این سرور استفاده کنند. (اگردوستان در راه اندازی این سرویس با مشکلی بر به رو شدن در قسمت نظرات اعلام کنند تا آن را آموزش دهیم)
Direct Access در Windows 2012 R2 قسمت چهارم

نکته مهم: ICMPv4 and ICMPv6 باید بر روی فایروال NLS در Inbound and Outbound فعال باشد. بعد از وارد کردن ادرس NLS و زدن دکمه Validate در صورت موفقیت نکست کنید.
Direct Access در Windows 2012 R2 قسمت چهارم

توضیح تنظیمات بالا نیاز به یک مقاله مجزا دارد ولی سعی می کنم بصورت مختصر اینجا توضیح دهم.
وقتی که DA Client ها از اینترنت به سازمان بوسیله کانکشن DA متصل می شوند Name Resolution Policy Table (NRPT) درخواست DNS آنها را برای استفاده از منابع سازمان به DNS Server داخلی سازمان ارسال می کند.
در در وهله اول شما باید NRPT و نحوه عملکرد آن را بدانید برای شروع می توانید از لینک زیر استفاده کنید:
https://technet.microsoft.com/en-us/library/ee649207(v=ws.10).aspx
در کادر بالا ما مشخص می کنیم که برای هر دامنه از چه DNS Server ی استفاده کنیم. مثلا درخواستهای دامنه Mahshaher.local به سمت DNS Server ی به ادرس 10.10.10.55 ارسال می شود که ادرس DirectAccess می باشد.
نکته مهم: ارسال درخواستهای DNS مربوط به DA Client بوسیله IPv6 انجام می شود و این درخواستها به سمت DirectAccess Server هدایت می شود. چون رول DNS64 بر روی این سرور نگهداری می شود. اگر اطلاعی از این رول ندارید به قسمت اول رجوع کنید.
در بالا مشاهده می کنید که ادرس NLS فاقد ادرس DNS سرور می باشد. قانونی در NRPTوجود دارد که اگر مقابل یک Namespace ادرس DNSی ست نشود آن Namespace از طریق کانکش DirectAccess قابل دسترسی نمی باشد. (یعنی اگر بیرون از سازمان باشید و بوسیله DA به سازمان متصل شوید نمی توانید به سرور NLS متصل شوید)
ساختار و نحوه دیزاین Namespace در سازمان برای پیاده سازی DirectAccess خیلی مهم می باشد. به عنوان مثال اگر از Split-Brain DNS استفاده می کنید تنظیمات خاصی در کادر بالا باید انجام دهید و همچنین این تعریف برای Non Split-Brain DNS صدق میکند. امیدوارم با این اصطلاحات اشنا باشید.
وقتی ساختار DNS شما بصورت Split-Brain DNS باشد و DA Client ها بیرون از سازمان باشند NRPT درخواست DNS آنها را برای دسترسی به منابع سازمان به DNS محلی ارسال می کند. معمولا NRPT برای Namespaceی که DA Client از آن استفاده می کنند یکسری قوانین ایجاد می کند.
خب شما فرض کنید از Split-Brain DNS استفاده می کنید و دو وب سرور دارید یک وب سرور برای پرسنل سازمان و داخل سازمان و یک وب سرور برای کاربران اینترنت. اگر شما تنظیمات را بصورت زیر انجام دهید:
Direct Access در Windows 2012 R2 قسمت چهارم

کاربرانی که بوسیله DA به سازمان وصل می شوند فقط توانائی دسترسی به وب سرور داخلی را دارند و نمی توانند به وب سرور اینترنتی دسترسی داشته باشند.
اگر می خواهید DA Client ها به وب سرور اینترنتی دسترسی داشته باشند باید تنظیمات را بصورت انجام دهید:
Direct Access در Windows 2012 R2 قسمت چهارم

ولی الان DA Client ها دیگر نمی توانند به وب سرور داخلی دسترسی داشته باشند. بخاطر همین دلایل همیشه توصیه می کنیم که دامنه اینترنتی با دامنه داخلی یکی نباشد. مایکروسافت درباره این روش می گوید:

For split-brain DNS deployments, you must list the FQDNs that are duplicated on the Internet and intranet and decide which resources the DirectAccess client should reach, the intranet version or the public (Internet) version. For each name that corresponds to a resource for which you want DirectAccess clients to reach the public version, you must add the corresponding FQDN as an exemption rule to the NRPT for your DirectAccess clients.

ولی وقتی که از Split-Brain DNS استفاده نکنیم اوضاع فرق می کنه تنظیمات راحتی داریم چون دامنه داخلی با خارجی متفاوت هستن. دامنه داخلی و DNS Server آن را مشخص می کنیم و سرویس های که اینترنتی هستن را وارد نمی کنیم درضمن DA Client ها می توانند به ریسورهای داخلی و خارجی سازمان دسترسی داشته باشند. پس در نتیجه تنظیمات ما بدین صورت می باشد:
Direct Access در Windows 2012 R2 قسمت چهارم

With a non-split-brain DNS deployment, because there is no duplication of FQDNs for intranet and Internet resources, there is no additional configuration needed for the NRPT. DirectAccess clients can access both Internet and intranet resources for their organization.

خب اومدیم و DA Client ها نتوانستند رکوردهای خود را توسط DNS پیدا کنند یا DNS در دسترس نبود!!! این کلاینت بدبخت چکار کند؟؟؟؟
از IPv6 Link-Local Multicast Name Resolution (LLMNR) and NetBIOS over TCP/IP protocols استفاده می کنند. هااااا چتونه؟؟؟ چرا همچین نگاه می کنید؟؟؟ خب باید این رو یاد بگیرید هر سرویسی یسری سختی های داره.
برای LLMNR لینک زیر را مطالعه کنید:

An Overview of Link Local Multicast Name Resolution

http://www.windowsnetworking.com/articles-tutorials/windows-server-2008/Overview-Link-Local-Multicast-Name-Resolution.html
کلاینتها اگر نتوانند از DNS استفاده کنند از LLMNR و NetBIOS بصورت Broadcast and Multicast استفاده می کنند و به کامپیوتر مقصد وصل می شوند. پروتکل LLMNR برای هر دو IPv4 and IPv6 مورد استفاده قرار می گیرد و قابل Route نیست و فقط در یک سگمنت فعالیت می کند به خاطر همین یک ادم بیکار (هکر) می تواند اطلاعات LLMNR را کپچر کند و Hostname های سرویس ها را بدست آورد و کارهای ناخواسته ای انجام دهد. برای همین ماکروسافت تدابیر امنیتی زیر را در نظر گرفته:
Direct Access در Windows 2012 R2 قسمت چهارم

گذینه اول: این گذینه از بقیه گذینه ها امنیتی بالائی دارد با انتخاب این گذینه DA Client وقتی نتوانند رکوردی را بوسیله Internal DNS ریزالو کنند از LLMNR و NetBIOS استفاده می کنند. اگر Internal DNS در دسترس نباشد (به هر دلیلی) Hostname های سرور های سازمان بوسیله LLMNR و NetBIOS ریزالو نمی شوند.
گذینه دوم: این گذینه در صورتی به DA Clientها اجازه استفاده از LLMNR و NetBIOS می دهد که Internal DNS در دسترس نباشد.
گذینه سوم: این گذینه در هر حالتی که Internal DNS توانائی سرویس دادن به DA Client ها را ندارد به DA Client ها اجازه استفاده از LLMNR و NetBIOS را می دهد.
Direct Access در Windows 2012 R2 قسمت چهارم

اگر Suffix دیگری در سازمان دارید می توانید در کادر بالا اضافه کنید. و با فعال کردن گذینه Configure DirectAccess clients with DNS client suffix search list می توانید ادرسهای که با Hostname خالی یا single-label names به عنوان مثال https://itpro باشند بصورت اتوماتیک Suffix دومین به آنها ضافه کنید.
نکته زیر را رعایت کنید:

To ensure that unqualified, single-label names resolve to the same intranet resources whether DirectAccess clients are connected to the intranet or the Internet, your DNS suffix search list should match the namespace rules in your NRPT. As a general rule, each DNS suffix for an intranet namespace should correspond to a namespace rule in your NRPT.

Direct Access در Windows 2012 R2 قسمت چهارم

در کادر بالا می توانید سرور و سرویسهای را معرفی کنید که به محض کانکت شدن DA Client به آنها متصل می شوند.
نکته: سرویس های که رکورد SRV در DNS ایجاد می کنند مانند WSUS and SCCM و غیره نیازمند معرفی کردن در کادر بالا ندارند و بصورت اتوماتیک به محض متصل شدن DA Client ، به آنها متصل می شوند.
بعد از اتمام شدن تنظیمات مرحله سوم Finish را کلیک کنید و بعد از آن دوباره دکمه Finish پایین را کلیک کنید:
Direct Access در Windows 2012 R2 قسمت چهارم

بعد از Finish کردن کادری باز می شود که خلاصه ی تنظیماتی که انجام دادید را نشان می دهد.
Direct Access در Windows 2012 R2 قسمت چهارم

شما در کادر بالا می توانید تنظیمات را در صورت نیاز تعقیر دهید.
Direct Access در Windows 2012 R2 قسمت چهارم

در بالا مشاهده می کنید تنظیماتی که بر روی DA Client اعمال می شود با نام DirectAccess Client Setting و تنظیماتی که بر روی DA Server اعمال می شود با نام DirectAccess Server Setting می باشد.
اگر تنظیمات را از قبل انجام دادید و می خواهید GPO دیگری را انتخاب کنید Browse کنید و آن GPO را انتخاب کنید.
بعد از Apply کردن تنظیمات ایجاد و اعمال می شوند:
Direct Access در Windows 2012 R2 قسمت چهارم

بعد از اتمام شدن پروسه بالا بر روی گذینه زیر کلیک کنید:
Direct Access در Windows 2012 R2 قسمت چهارم

اگر خطائی یا هشداری مشاهده کردید آن را حل کنید و ادامه تنظیمات را انجام دهید
Direct Access در Windows 2012 R2 قسمت چهارم

تمام تنظیمات بالا بوسیله دستورات و اسکریپتهای Power Shell ایجاد شده اند شما می توانید این فرامین و اسکریپتها را در فایلی ذخیره کنید.
Direct Access در Windows 2012 R2 قسمت چهارم

Confirm Policy Application


بعد از تمام شدن تنظیمات بالا شما میتوانید Optionهای را در سمت چپ کنسول مشاهده کنید. بر روی Operations Status کلیک کنید تا از وضعیت سرویس های DirectAccess مطلع شوید.
Direct Access در Windows 2012 R2 قسمت چهارم

همچنین یسری گذینه دیگری هم دارد که ساده و نیازی به توضیح ندارند.

Step 4: Application Servers (Optional)


آخرین بخش از تنظیمات DA می باشد که بصورت اختیاری هستش. بصورت پیش فرض فقط ارتباطات بین DA Client و DA Server احراز هویت و رمزگذاری می شود و ارتباطات DA Server و Host درون شبکه داخلی رمزگذاری و احراز هویت نمی شود.
اگر می خواهید یک ارتباط End-to-End بصورت امن داشته باشید باید این Host یا سرور را در DA معرفی کنید. برای اینکار قسمت چهارم را Edit کنید و :
Direct Access در Windows 2012 R2 قسمت چهارم

گذینه Extend authentication to… را انتخاب و گروهی که شامل سرورها می باشد را Add کنید.
در کادر بالا دو گذینه دیگر هم دارید که توضیحات آن را نوشته و نیازی به توضیح ندارد.
نکته: برای اینکه شما یک ارتباط امن بصورت End-to-End داشته باشید بر روی آن سرورها باید IPv6 ست کنید. اگر IPv6 را در ساختار پیاده سازی نکرده باشید می توانید از ISATAP IPv6 transition protocol استفاده کنید. (در قسمت های قبلی درباره ISATAP توضیحات کافی دادم)
تبریک میگم DirectAccess شما آمادس. فقط باید آن را بر روی فایروال Publish کنید. برای Publish کردن DirectAccess در TMG لینک زیر را کلیک کنید:
آموزش: پابلیش کردن سرور DirectAccess در فایروال TMG

موفق و پیروز باشید.
نویسنده: احمد جهلولی
برچسب ها
ردیف عنوان
1 DirectAccess در Windows 2012 R2 قسمت اول
2 Direct Access در Windows 2012 R2 قسمت دوم
3 Direct Access در Windows 2012 R2 قسمت سوم
4 Direct Access در Windows 2012 R2 قسمت چهارم
5 مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
6 ایجاد High Availability و Load Balancing برای DirectAccess Server
7 عیب یابی ارتباطات DirectAccess آخرین قسمت
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید