درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      احمد جهلولی
      امتیاز: 37751
      رتبه:18
      0
      79
      37
      616
      دوره های مرتبط
      دوره های توسینسو آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      مدرس: پوریا تعبدی
      این دوره را در 1 قسط خریداری کنید
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      مدرس: میلاد فشی
      این دوره را در 4 قسط خریداری کنید
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      مدرس: صادق شعبانی
      این دوره را در 2 قسط خریداری کنید
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      مدرس: آرش ترابی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      مدرس: محمد عابدینی
      این دوره را در 5 قسط خریداری کنید
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      مدرس: صادق شعبانی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      مدرس: اسحاق احمدپور
      این دوره را در 37 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      مدرس: علی آقامیری
      این دوره را در 10 قسط خریداری کنید
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      مدرس: مریم علی زاده
      این دوره را در 10 قسط خریداری کنید
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      مدرس: پوریا تعبدی
      این دوره را در 3 قسط خریداری کنید
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      مدرس: محمد نصیری
      این دوره را در 64 قسط خریداری کنید
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      مدرس: کاظم تقندیکی
      این دوره را در 7 قسط خریداری کنید
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      مدرس: مجتبی اسمائی
      این دوره را در 25 قسط خریداری کنید
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      مدرس: ُسهیل قاسمی
      این دوره را در 14 قسط خریداری کنید
      دوره آموزشی مقدماتی نرم افزار Wireshark
      دوره آموزشی مقدماتی نرم افزار Wireshark
      مدرس: محمد عابدینی
      این دوره را در 8 قسط خریداری کنید
      دوره آموزشی سیسکو آسان است
      دوره آموزشی سیسکو آسان است
      مدرس: صادق شعبانی
      این دوره را در 35 قسط خریداری کنید
       آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      مدرس: جعفر قنبری شوهانی
      این دوره را در 9 قسط خریداری کنید
      دوره آموزشی جامع مانیتورینگ شبکه با  Solarwinds و ماژول ها
      دوره آموزشی جامع مانیتورینگ شبکه با Solarwinds و ماژول ها
      مدرس: جعفر قنبری شوهانی
      این دوره را در 6 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      مدرس: کاظم تقندیکی
      این دوره را در 11 قسط خریداری کنید

      عیب یابی ارتباطات DirectAccess آخرین قسمت

      تاریخ 24 ماه قبل
      نظرات 0
      بازدیدها 179
      در این جلسه مشکلاتی که در حین اتصالات DirectAccess پیش می اید و همچنین راه حل آن را بیان می کنیم و همچنین چند ابزار و دستور که در حین پروسه عیب یابی استفاده می شود را برسی می کنیم. این جلسه آخرین جلسه می باشد هر چند در آینده نکات و قابلیتهای جدید DirectAccess (اگر آن قابلیت مورد نیاز و فراگیر شود ) آموزش می دهیم.

      DirectAccess Connection



      گاهی وقتا در تست های که انجام می دهم می بینم که کلاینتها نمی توانند با موفقیت به DirectAccess وصل شوند و با تعجب می بینم که از تانل Teredo استفاده می کنند!!! یا در بعضی از کتابهای تخصصی نوشته اند که اگر سه تانل IP-HTTPS, 6to4 AND Teredo در دسترس کلاینت باشد این کلاینت ممکن است بصورت اشتباه از یکی از این تانلها استفاده کند!!! راه حل این مشکل غیر فعال کردن تانلهای غیر ضروری می باشد. مثلا من در حال حاضر از تانل IP-HTTPS استفاده می کنم و دلیلی نداره تانلهای 6to4 یا Teredo فعال باشند. شما می توانید بصورت دستوری یا از طریق GPO این تانلهای را غیرفعال کنید:
      netsh interface Tunnel set state disabled
      
      یا از طریق GPO
      Computer Configuration | Policies | Administrative Templates | Network |
      TCPIP Settings | IPv6 Transition Technologies | 6to4 State = Disabled
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      DirectAccess Client Connection Process


      بهتره که یک دید کلی از نحوه اتصال DA Client با DA Server داشته باشید. این دید باعث تسهیل در روند عیب یابی می شود و زوتر مشکل را پیدا خواهید کرد.
      1. کلاینت در مرحله اول عضو گروهی مانند DirectAccess Clients Group می شود و از طریق GPO تنظیمات را دریافت و بر روی خود اعمال می کند.
      2. هنگامی که کلاینت استارت می خورد پروفایل Public در فایروال خود را فعال می کند و تشخیص می دهد درون سازمان می باشد یا بیرون از آن و تلاش می کند به سرور NLS وصل شود.
      3. اگر کلاینت توانست با موفقیت به NLS وصل شود پروفایل Domain خود را در فایروال فعال می کند و از DirectAccess استفاده نمی کند.
      4. اگر کلاینت تنواست با موفقیت به NLS وصل شود جدول NRPT را فعال می کند و سعی می کند به DirectAccess Server وصل شود.
      5. در این مرحله تانل مورد نظر برای کپسوله کردن ترافیک IPv6 انتخاب می شود و اتصال خود را با DirectAccess Server برقرار می کند.
      6. بعد از برقراری اتصال با DA Server کلاینت سعی می کند بوسیله رولهای CSR در ویندوز فایروال، خود را در Domain Controller احراز هویت کند. در فاز بعدی تانل IPsec برقرار می شود. در بیشتر پیاده سازهای که انجام می شود ما دو فاز احراز هویت مختلف داریم در فاز اولی بوسیله سرتیفیکت تمپلیت Computer و Computer Account در AD بوسیله متد NTLM احراز هویت می شود. در فاز دوم بوسیله سرتیفیکت تمپلیت Computer و User Account در AD بوسیله متد Kerberos احراز هویت می شود.
      7. اگر strong user authentication فعال باشد کلاینت در حین اتصال باید Credentialمعتبر خود را وارد کند.
      8. اگر مراحل بالا بصورت موفقیت پاس شود کلاینت می توانند به منابع سازمان دسترسی داشته باشد.
      9. Server and Client Configuration


      قبل از عیب یابی ارتباطات DirectAccess باید مطمئن شویم که تنظیمات DA Client and Server دریافت و بر روی آنها اعمال شده است. به عنوال مثال DA Server باید تمام پیش نیازهای آن از جمله نصب کامپوننتها و Certificate ها نصب شود و ارتباط ان با اینترنت و همچنین شبکه داخلی فراهم باشد. همچنین تنظیمات برای DA Client and Server بوسیله GPO دریافت می شود.
      برای اینکه مطمئن شویم DirectAccess Server تنظیمات را دریافت کرده دستور زیر را اجرا میکنیم:
      gpresult /r /scope:computer
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      و تمام کامپوننتهای آن بصورت صحیح در حال سرویس دادن باشند:
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      ادمین می تواند با دستور زیرسلامت سرویسهای DA را چک کند:
      Get-RemoteAccessHealth | Where-Object HealthState -NE Disabled | Format-Table –Autosize
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      Firewall Profiles


      وقتی DirectAccess دارای دو NIC باشد باید مطمئن شوید که NIC اکسترنال پروفایل Public بر روی آن فعال باشد و NIC اینترنال پروفایل Domain. برای چک کردن این موضوع دستور زیر را وارد کنید:
      Get-NetConnectionProfile | Select-Object Name,NetworkCategory
      
      همچنین باید مطمئن شوید که DA Server بتواند به منابع داخلی شبکه دسترسی داشته باشد. و همانطور ارتباط آن با دنیای اینترنت برقرار باشد. همچنین از صحت ریزالو شدن نام DNSی DirectAccess مطمئن شوید:
      Resolve-DnsName DA_FQDN
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      اگر کلاینتها هنگام اتصال به DirectAccess Server با مشکلی روبرو شده اند حتما چک کنید که ترافیک IP-HTTPS به دست DA Server می رسد.(اگر از این تانل استفاده می کنید) بر روی DA Client دستور زیر را اجرا کنید:
      Test-NetConnection -Port 443 <FQDN>
      
      نکته: اگر بر روی DA Server and Client انتی ویروس یا فایروالی نصب شده باشد. نباید Windows Firewall را غیرفعال کنید چون تانل های مورد نظر در Windows Firewall ایجاد می شود. و همچنان فایروالهای دیگر نباید مزاحم عملکرد DirectAccess شوند.
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      برای اینکه DA Client بتوانند به منابع داخلی شبکه دسترسی داشته باشند DA Server باید تمام FQDN منابع داخلی را ریزالو کند. ارتباط DA Server و DNS داخلی را با دستور زیر چک کنید:
      Resolve-DnsName <domain>
      

      Authentication


      ارتباط DirectAccess Server با Domain Controller لازمه احراز هویت DA Client می باشد پس ارتباط DA Server با DC را توسط دستور زیر چک کنید:
      nltest.exe /sc_verify:<domain>
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      Certificates


      DA Server برای تانل IP-HTTPS از SSL Certificate استفاده می کند و برای تانل IPsec از سرتیفیکت تمپلیت Computer. SSL Certificate ی که برای DA Server درخواست می دهید باید مورد اعتماد و EKU آن دارای Server Authentication باشد و این سرتیفیکت در قسمت Personal خود DA-Server نصب شود. و همچنین Common Name باید با Internet FQDN دایرکت اکسس یکی باشد. همچنین این Certificate باید معتبر باشد (اکسپایر نشده باشد).
      نکته: اگر از PKI سازمان خودتان استفاده می کنید لازم است لیست CRL ان را در اینترنت Publish کنید.
      در بیشتر پیاده سازیهای DirectAccess برای راحتی متصل شدن تانل IPSec ادمین شبکه سرتیفیکت تمپلیت Computer را بر روی DA Server and Client نصب می کند.

      IPv6


      برای عملی کردن DirectAccess به هیچ وجه نباید IPv6 را بر روی سرور و کلاینت غیرفعال کنید.

      Services


      برای اینکه DA Server بتواند به خوبی کار کند سرویسهای پایین باید استارت باشند.

      1. IP Helper (IPHlpSvc)
      2. Windows Firewall (Mpssvc)
      3. Base Filtering Engine (BFE)
      4. IPsec Policy Agent (PolicyAgent)
      5. IKE and AuthIP IPsec Keying Modules (IKEEXT)
      6. KDC Proxy Server Services (KPSSVC)3
      7. RemoteAccess Management Services (RaMgmtSvc)

      DirectAccess Client Connectivity


      برای اینکه کلانتها بتوانند به DA Server وصل شوند در وهله اول باید ارتباط انها با اینترنت برقرار باشد ثانیا یک Computer Account در AD داشته باشند. برای چک کردن این موضوع، دستور زیر را برای ارتباط کللاینت با DC اجرا کنید:
      nltest.exe /sc_verify:<domain>
      
      برای اینکه چک کنید کلاینت از چه تانلی برای کپسوله کردن ترافیک IPv4 استفاده می کند از دستور Ipconfig استفاده کنید. همچنین برای اتصال موفقیت آمیز به DirectAccess Server سرویس های زیر باید بر روی کلاینت فعال باشد:

      1. IP Helper (IPHlpSvc)
      2. Windows Firewall (Mpssvc)
      3. Base Filtering Engine (BFE)
      4. IPsec Policy Agent (PolicyAgent)
      5. IKE and AuthIP IPsec Keying Modules (IKEEXT)

      همچنین کلاینت برای اتصال به DA Server باید پروفایل Private or Public بر روی Windows Firewall فعال باشد. اگر اتصال کلاینت با سرور به هر دلیلی برقرار نشد کارهای زیر را انجام دهید:

      Connection Security Rules


      قسمت CSR در Windows Firewall را چک کنید. و بر روی DirectAccess Policy-ClientToInfra دابل کلیک کنید و در قسمت زیر
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      چک کنید IP تانل IPsec با IP دایرکت اکسس یکی باشد:
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      و همین کار را برای بقیه CSR ها انجام دهید.
      همچنین تانل IPsec را پینگ کنید. برای پیدا کردن ادرس این تانل دستور زیر را اجرا کنید:
      get-DAClientExperienceConfiguration
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      نکته: برای Ping کردن ادرس فوق ترافیک ICMPv6 echo باید بر روی سرور آزاد باشد. اگر ادرس تانل پینگ می شود ولی ارتباط برقرار نمی شود تانلهای IP-HTTPS 6to4… را چک کنید. اگر تانل مورد نظر سالم و فعال باشد Name resolution. را چک کنید.
      برای دیدن ارتباطات IPsec با DirectAccess Server در کنسول Windows Firewall
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      اگر هیچگونه اتصالی در کنسول بالا مشاهده نکرده اید تنظیمات Certificate کلاینت را چک کنید و مطمئن شوید به درستی تنظیمات Certificate را انجام داده اید.
      گاهی وقتا خودم به شخصه می بینم Windows Firewall Profile اشتباها تعقیر می کند ومانع اتصال ارتباط DirectAccess می شود. در یکی از تسهای که انجام دادم کلاینت در شبکه سازمان قرار داشت و با NLS Server در ارتباط بود ولی از DirectAccess استفاده می کرد که بعدا متوجه شدم پروفایل Public بر روی این کلاینت فعال می باشد و طبق این تعقیر ناخواسته کلاینت به خود تلقین می کرد (لامصب کامپیوتر نیست هوش مصنوعیه) در خارج از سازمان می باشد. که بعد از تعقیر پروفایل فایروال مشکل حل شد. برای تعقیر پروفایل فایروال بوسیله Power Shell لینک زیر را مطالعه کنید:

      How to force a network type in Windows using PowerShell

      http://windowsitpro.com/powershell/how-force-network-type-windows-using-powershell
      

      Name Resolution


      اگر کلاینت قادر به resolve کردن Namespace سازمان نباشد مشکل آن عدم احراز هویت کلاینت می باشد.و همچنین ممکن است جدول NRPT به درستی تنظیم نشده باشد. جدول NRPT باعث می شود فقط اسامی مربوط به سازمان به سمت DNS64 ارسال شود. در Windows 8 به بالا میتوانید توسط دستور زیر ورودی های این جدول را مشاهده کنید:
      get-DnsClientNrptPolicy
      
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      نکته: برای Resolve کردن اسامی داخلی سازمان می توانید از دستور Resolve-DNSName استفاده کنید.
      نکته: ابزار NSlookup.exe در این ارتباط به خوبی کار نمی کند چون اطلاعی از تنظیمات جدول NRPT ندارد و درخواست خود را توسط ادرس DNSی که بر روی NIC آن ست شده ارسال می کند.
      نکته: گاهی وقتا در DA Client ابزار NCA را می بینید که در مد Connecting… هستش (یعنی هنوز وصل نشده :) ولی کانکش DirectAccess وصل هستش و می توانید از آن استفاده کنید. علت این مشکل دسترسی نداشتن کلاینت به ادرس web-probe host می باشد (این URL در Step 1 هنگام کانفیگ DA ایجاد می شود) برای حل این مشکل مطمئن شوید این رکورد به درستی resolve شود و در دسترس کلاینتها قرار بگیرد.
      نکته: برای دیدن وضعیت اتصال DirectAccess در کلاینت از دستور get-DAConnectionStatus استفاده کنید.

      Firewall Logging


      گاهی وقتا تمام کارهای بالا را انجام می دهید ولی باز هم کلاینتها وصل نمی شوند و شک دارید که این مشکل بوسیله Firewall در کلاینت یا در سرور ایجاد می شود. برای اینکه وضعیت فایروال را در حین اتصال کلاینتها چک کنید دستور زیر را اجرا کنید:
      Set-NetFirewallProfile -All -LogFileName c:\firewalllog.txt -LogMaxSizeKilobytes 2767 -LogAllowed True -LogBlocked True
      
      بصورت لحظه ای از فایروال لاگ برداری می کند و لاگها را در مسیر مشخص ذخیره می کند.
      به نکته زیر توجه کنید:

      There is a known issue with Windows 8.1 and Windows Server 2012 R2, where enabling firewall logging can cause the firewall service to freeze and crash.8 Before enabling firewall logging on these operating systems, ensure that the May 2016 update rollup for Windows 8.1 and Windows Server 2012 R2 (KB3156418) has been installed.

      Helpful Tools


      در اینجا چنتا ابزار مفید برای عیب معرفی می کنم که قطعا در این پروسه مفید و سودمند هستش. اولین ابزار Message Analyzer هستش.این ابزار به ادمین شبکه اجازه می دهد که ترافیک داخل تانل IPsec را مشاهده کند.

      run the Message Analyzer as an administrator. Click Favorite Sessions and choose Loopback and Unencrypted IPSEC. Attempt to connect to the internal resource and stop the trace when complete. Once finished, network trace information from inside the IPsec tunnel will be visible.

      عیب یابی ارتباطات DirectAccess آخرین قسمت

      واقعا ابزار جالبیه حتما امتحانش کنید.
      ابزار دیگه ای که اکثرا باهاش اشنا هستن Nmap هستش. اگر اشتباه نکنم بهش میگن چاقوی همه کاره سوئیسی :). برای تشخیص پورتهای باز سرور مورد استفاده قرار میگیرد. مانند پورتهای مورد استفاده تانل Teredo or IP-HTTPS و غیره
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      اخرین ابزار هم DirectAccess Client Troubleshooting Tool می باشد به نظرم خودم بهتر از دو ابزار بالائی هستش ( هر کدام از این ابزارها در مواقع خاصی کاربرد دارد) چون تمام اطلاعتی که بهش نیاز دارید را در اختیار شما قرار می دهد.
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      خب اینم از عیب یابی این سرویس قدرتمند. بصورت خیلی دقیق و ریز مطالب را برای شما توضیح دادم امیدوارم بهره کافی رو برده باشید.
      در آخر هم اگر برای کسی مهمه که منبع این مقالات چی هستش می توانند از دو کتاب زیر استفاده بکنند:
      عیب یابی ارتباطات DirectAccess آخرین قسمت

      عیب یابی ارتباطات DirectAccess آخرین قسمت


      حرفه ای باشید.
      نویسنده: احمد جهلولی
      برچسب ها
      ردیفعنوان
      1DirectAccess در Windows 2012 R2 قسمت اول
      2 Direct Access در Windows 2012 R2 قسمت دوم
      3 Direct Access در Windows 2012 R2 قسمت سوم
      4Direct Access در Windows 2012 R2 قسمت چهارم
      5مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP
      6ایجاد High Availability و Load Balancing برای DirectAccess Server
      7عیب یابی ارتباطات DirectAccess آخرین قسمت
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید