آموزش :: مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من

جهت دریافت مدرک با مراجعه به به این بخش و ورود به دوره مورد نظر، بر روی گزینه دریافت مدرک کلیک کرده، اطلاعات خود را تکمیل کنید تا پروسه صدور مدرک برای شما طی شود.

صدور مدرک تنها برای دوره هایی که به صورت کامل خریداری شده و قیمت آن ها بالای 100،000 تومان باشد انجام خواهد شد.

جشنواره تخفیف شگفت انگیز زمستانه توسینسو

تا سقف 70 درصد تخفیف + ترافیک نیم بها + پشتیبانی محصولات توسط اساتید + ارائه گواهینامه پایان دوره

تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37763
رتبه:19
0
79
37
616

مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

تاریخ 26 ماه قبل
نظرات 4
بازدیدها 308
یکی از تفاوت های که بین اتصالات VPN و اتصالات DirectAccess وجود دارد دو طرفه بودن ارتباط DA Client و DA Server می باشد. علاوه بر اتصال DA Client ها به منابع سازمان ادمین می تواند از داخل شبکه به DA Client ریموت بزند و آن را مدیریت کند.
ارتباطات بین DA Client and Server استفاده از IPv6 می باشد بصورت مختصر برای اینکه ادمین و Help Disk ها بتوانند DA Client ها را مدیریت کنند باید یک IPv6 بر روی کامپیوترهای آنها ست شود. قبل از هر چیز به اتصال ادمین از درون شبکه به DirectAccess Client ها در اینترنت را Managing Out میگویند. به خاطر داشته باشید.

ISATAP


در IPv6 تانلی وجود دارد که پکتهای IPv6 را درون این تانل کپسوله می کند و با استفاده از بستر IPv4 آنها را منتقل می کند نام این تانل Intrasite Automatic Tunnel Addressing Protocol یا ISATAP می باشد که بصورت پیش فرض بر روی کلاینتها فعال می باشد:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

حتما برای شما سوال پیش اومده که فرق بین تانل های 6to4, Teredo and IP-HTTPS و تانل ISATAP در چیست؟؟؟
ما دو نوع تانل داریم:
  1. بعضی از تانل ها بر روی دیوایسی که در Edgeشبکه قرار دارند تنظیم می شوند و برای متصل کردن دو شبکه IPv6 با هم مورد استفاده قرار میگیرد.که تانل های to4, Teredo and IP-HTTPS6 در این گروه قرار می گیرند.
  2. و یک نمونه تانل داریم که درون شبکه یا سایت تنظیم می شود. و برای دادن یک Unicast IPv6 به کامپیوترها استفاده می شود. که ISATAP در این گروه قرار میگیرد. (در بعضی از سایتها و منابع آموزشی ذکرکردن که می توان از این تانل بین دو روتر استفاده کرده)
  3. Overlay tunnels can be configured between border routers or between a border router and a host. An automatic 6to4 tunnel allows isolated IPv6 domains to be connected over an IPv4 network to remote IPv6 networks. ISATAP is designed for transporting IPv6 packets within a site, not between sites.

    IPv6 Implementation Guide

    http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/xe-3s/ipv6-xe-36s-book/ip6-tunnel.html
    
برای اینکه ما بتوانیم از تانل ISATAP استفاده کنیم نیازمند یک ISATAP Router هستیم که تنظیمات IPv6 را به کلاینتهای درون شبکه واگذار کند.

ISATAP Router


خوشبختانه نیاز به خریدن روتر سخت افزاری ندارید چون خود DirectAccess Server نقش ISATAP Router را ایفا می کند. و با نصب DirectAccess این قابلیت بر روی آن نصب و کانفیگ می شود.
نکته اول: اگر شما DirectAccess را بصورت Cluster یا load balancing پیاده سازی کرده اید کلا بیخیال این مقاله بشید چون این روش در سناریوهای Clustering ساپورت نمی شود. و شما باید از یک ISATAP Router سخت افزاری استفاده کنید.
نکته دوم: اگر بین ادمین یا Help Disk و DirectAccess Server یک فایروال باشد باید ترافیک inbound and outbound IP protocol 41 را در فایروال بین این دو آزاد کنید.
بد نیست یک نگاهی به لینک زیر بندازید:
http://www.isaserver.org/articles-tutorials/general/implementing-windows-server-2012-directaccess-behind-forefront-tmg-part2.html

ISATAP Client


برای استفاده از روش Managing Out باید به کلاینتها حالی کنیم که از DirectAccess Server به عنوان یک ISATAP Router استفاده کنند. برای اینکار ما می توانیم تنظیمات را بصورت دستی (Power Shell) یا بصورت اتوماتیک (Group Policy) انجام دهیم که من روش اتوماتیک را انتخاب می کنم. ولی قبل از اینکار باید تنظیمات DNS را انجام دهیم.

DNS


در بالا گفتیم که تانل ISATAP بصورت پیش فرض بر روی ویندوزها فعال می باشد. خب مسئله بعدی اگر کلاینتها بتوانند اسم ISATAP در DNS را به IP ادرس ISATAP Router ریزالو کنند تمام تنظیمات را بصورت اتوماتیک از ISATAP Router دریافت و بر روی خود اعمال می کنند. پس ما یک اسم به نام ISATAP با IP ادرس DirectAccess Server در DNS ایجاد می کنیم:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

یادتون باشه بصورت پیش فرض DNS Server به درخواستهای ISATAP جواب نمی دهد چون ISATAP در لیست DNS Global Query Block list می باشد. برای حدف ISATAP از این لیست دستور زیر را در DNS Server وارد کنید:
Set-DnsServerGlobalQueryBlockList -List wpad
ولی این نوع تنظیمات، حرفه ای و به درد سازمانهای بزرگ نمی خورد فرض کنید Help Disk شما 50 نفر هستند شما باید دستی این دستورات را بر روی این 50 نفر اجرا کنید؟ یک مشکل دیگر هم وجود دارد و آن هم اینکه اگر کاربری بتواند ISATAP را بر روی کامپیوتر خود فعال کند بصورت اتوماتیک تنظیمات ISATAP را دریافت می کند و در صورت داشتن User/Pass میتواند به DirectAccess Client دسترسی داشته باشد. برای حل کردن این مشکلات راه حل زیر را انجام دهید.

Group Policy


بصورت پیش فرض کلاینتها برای دریافت تنظیمات ISATAP به دنبال رکوردی مشابه به ISATAP در DNS هستند و اگر این رکورد را پیدا کنند به ISATAP Router وصل می شوند. برای جلو گیری از اتصال کلاینتها به ISATAP Router ما اسم ISATAP را به اسم دیگری تعقیر می دهیم مانند ISATAP-DA و این اسم را به عنوان یک ISATAP Router به بعضی از کاربران معرفی می کنیم و همچنین ISATAP را نیز فعال می کنیم. جالبه همه این کارا را می توان بوسیله GPO انجام داد.
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

بعد از ایجاد رکورد بالا برای مدیریت بهتر, یک گروه می سازیم و کامپیوترهای که Managing Out را انجام می دهند را عضو این گروه می کنیم و بعد از آن Policy های زیر را بر روی آنها اعمال می کنیم:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

به مسیر بالا رفته و FQDN مربوطه به ISATAP Router را وارد کنید. در مثال بالا FQDN من:
ISATAP-DA.MAHSHAHER.LOCAL
بعد از آن باید ISATAP را بر روی این کامپیوترها فعال کنیم. برای اینکار در همان صفحه و انتخاب گذینه:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

و در آخر این Policy را بر روی گروه مورد نظر اعمال کنید.
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

Connectivity Testing


بعد از اعمال Policy بالا Help Disk ها باید تنظیمات ISATAP را دریافت کنند.
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

Windows Firewall


بعد از تنظیمات بالا شما باید ترافیک ICMPv6 وهمچنین ترافیک RDP یا برنامه مورد نظر خود را بر روی ویندوز فایروال DA Client آزاد کنید. برای اینکار ما از Group Policy استفاده می کنیم. برای اینکار:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

همچنین بوسیله GPO ریموت دسکتاپ را فعال کنید که فعال کردن و ایجاد رول های بالا یک امر بدیهی هستش ونیازی به توضیح خاصی ندارد.

DirectAccess Management Computers


مرحله بعدی باید درServer DirectAccess به کامپیوترهای Managing out اجازه اتصال به DA client ها را بدهیم. برای اینکار در Step 3 دکمه Edit را کلیک کنید
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

و FQDN های مورد نظر را وارد کنید. همچنین می توانید با یک دستور اینکار را انجام دهید:
Add-DAMgmtServer -MgmtServer [management server FQDN]

DNS Dynamic Updates


موضوع بعدی که از اهمیت زیادی برخورداره ثبت رکورد DA Client ها در DNS می باشد. برای اینکه ادمین بتواند به DA Client ها وصل شود DA Client ها باید AAA Record خود را در DNS ثبت کنند در غیر این صورت نمی توان به آنها وصل شد.
در سناریوی که انجام دادم در مرحله اول DA Client ها نتوانستند رکورد خود را ثبت کنند بعد از کمی سرچ کردن متوجه شدم که باید Policy زیر را تعقیر داد:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

بعد از اینکار DA Client ها توانستند رکورد خود را ثبت کنند:
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

آنهای که از Windows Server 2008 استفاده می کنند حتما لینک زیر را مطالعه کنند.

DNS server requirements for ISATAP

https://technet.microsoft.com/en-us/library/ee382323(v=ws.10).aspx
الان باید بتوانم DA Client را Ping کنم و همچنین به آن Remote بزنم
مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP

مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP


موفق و پیروز باشید.
نویسنده: احمد جهلولی
برچسب ها
ردیف عنوان
1 DirectAccess در Windows 2012 R2 قسمت اول
2 Direct Access در Windows 2012 R2 قسمت دوم
3 Direct Access در Windows 2012 R2 قسمت سوم
4 Direct Access در Windows 2012 R2 قسمت چهارم
5 مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
6 ایجاد High Availability و Load Balancing برای DirectAccess Server
7 عیب یابی ارتباطات DirectAccess آخرین قسمت
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • یعنی هر موقع احمد جهلولی مطلبی داخل وب سایت میزاره دوست دارم از ابتدا تا انتهاش کامل بخونم ... کامل و جامع و دقیق
  • ممنون مهندس نظر لطفتونه. خوشحالم مفید بوده
  • سلام. به نظر شما برای ارتباط 2 تا شبکه که روی edge هر کدوم کریو کنترل هست، بهتره از VPN خودِ کریو استفاده بشه یا از Direct Access ؟
  • این قابلیت برای اتصال دو شعبه مناسب نیست.

برای ارسال نظر ابتدا به سایت وارد شوید