درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

عیب یابی ارتباطات DirectAccess آخرین قسمت

0 نظرات

در این جلسه مشکلاتی که در حین اتصالات DirectAccess پیش می اید و همچنین راه حل آن را بیان می کنیم و همچنین چند ابزار و دستور که در حین پروسه عیب یابی استفاده می شود را برسی می کنیم. این جلسه آخرین جلسه می باشد هر چند در آینده نکات و قابلیتهای جدید DirectAccess (اگر آن قابلیت مورد نیاز و فراگیر شود ) آموزش می دهیم.

DirectAccess Connection


گاهی وقتا در تست های که انجام می دهم می بینم که کلاینتها نمی توانند با موفقیت به DirectAccess وصل شوند و با تعجب می بینم که از تانل Teredo استفاده می کنند!!! یا در بعضی از کتابهای تخصصی نوشته اند که اگر سه تانل IP-HTTPS, 6to4 AND Teredo در دسترس کلاینت باشد این کلاینت ممکن است بصورت اشتباه از یکی از این تانلها استفاده کند!!! راه حل این مشکل غیر فعال کردن تانلهای غیر ضروری می باشد. مثلا من در حال حاضر از تانل IP-HTTPS استفاده می کنم و دلیلی نداره تانلهای 6to4 یا Teredo فعال باشند. شما می توانید بصورت دستوری یا از طریق GPO این تانلهای را غیرفعال کنید:

netsh interface Tunnel set state disabled

یا از طریق GPO

Computer Configuration | Policies | Administrative Templates | Network |
TCPIP Settings | IPv6 Transition Technologies | 6to4 State = Disabled

Image

DirectAccess Client Connection Process


بهتره که یک دید کلی از نحوه اتصال DA Client با DA Server داشته باشید. این دید باعث تسهیل در روند عیب یابی می شود و زوتر مشکل را پیدا خواهید کرد.

  1. کلاینت در مرحله اول عضو گروهی مانند DirectAccess Clients Group می شود و از طریق GPO تنظیمات را دریافت و بر روی خود اعمال می کند.

  2. هنگامی که کلاینت استارت می خورد پروفایل Public در فایروال خود را فعال می کند و تشخیص می دهد درون سازمان می باشد یا بیرون از آن و تلاش می کند به سرور NLS وصل شود.

  3. اگر کلاینت توانست با موفقیت به NLS وصل شود پروفایل Domain خود را در فایروال فعال می کند و از DirectAccess استفاده نمی کند.

  4. اگر کلاینت تنواست با موفقیت به NLS وصل شود جدول NRPT را فعال می کند و سعی می کند به DirectAccess Server وصل شود.

  5. در این مرحله تانل مورد نظر برای کپسوله کردن ترافیک IPv6 انتخاب می شود و اتصال خود را با DirectAccess Server برقرار می کند.

  6. بعد از برقراری اتصال با DA Server کلاینت سعی می کند بوسیله رولهای CSR در ویندوز فایروال، خود را در Domain Controller احراز هویت کند. در فاز بعدی تانل IPsec برقرار می شود. در بیشتر پیاده سازهای که انجام می شود ما دو فاز احراز هویت مختلف داریم در فاز اولی بوسیله سرتیفیکت تمپلیت Computer و Computer Account در AD بوسیله متد NTLM احراز هویت می شود. در فاز دوم بوسیله سرتیفیکت تمپلیت Computer و User Account در AD بوسیله متد Kerberos احراز هویت می شود.

  7. اگر strong user authentication فعال باشد کلاینت در حین اتصال باید Credentialمعتبر خود را وارد کند.

  8. اگر مراحل بالا بصورت موفقیت پاس شود کلاینت می توانند به منابع سازمان دسترسی داشته باشد.

  9. Server and Client Configuration


قبل از عیب یابی ارتباطات DirectAccess باید مطمئن شویم که تنظیمات DA Client and Server دریافت و بر روی آنها اعمال شده است. به عنوال مثال DA Server باید تمام پیش نیازهای آن از جمله نصب کامپوننتها و Certificate ها نصب شود و ارتباط ان با اینترنت و همچنین شبکه داخلی فراهم باشد. همچنین تنظیمات برای DA Client and Server بوسیله GPO دریافت می شود.

برای اینکه مطمئن شویم DirectAccess Server تنظیمات را دریافت کرده دستور زیر را اجرا میکنیم:

gpresult /r /scope:computer

Image

و تمام کامپوننتهای آن بصورت صحیح در حال سرویس دادن باشند:

Image

ادمین می تواند با دستور زیرسلامت سرویسهای DA را چک کند:

Get-RemoteAccessHealth | Where-Object HealthState -NE Disabled | Format-Table –Autosize

Image

Firewall Profiles


وقتی DirectAccess دارای دو NIC باشد باید مطمئن شوید که NIC اکسترنال پروفایل Public بر روی آن فعال باشد و NIC اینترنال پروفایل Domain. برای چک کردن این موضوع دستور زیر را وارد کنید:

Get-NetConnectionProfile | Select-Object Name,NetworkCategory

همچنین باید مطمئن شوید که DA Server بتواند به منابع داخلی شبکه دسترسی داشته باشد. و همانطور ارتباط آن با دنیای اینترنت برقرار باشد. همچنین از صحت ریزالو شدن نام DNSی DirectAccess مطمئن شوید:

Resolve-DnsName DA_FQDN

Image

اگر کلاینتها هنگام اتصال به DirectAccess Server با مشکلی روبرو شده اند حتما چک کنید که ترافیک IP-HTTPS به دست DA Server می رسد.(اگر از این تانل استفاده می کنید) بر روی DA Client دستور زیر را اجرا کنید:

Test-NetConnection -Port 443 <FQDN>

نکته: اگر بر روی DA Server and Client انتی ویروس یا فایروالی نصب شده باشد. نباید Windows Firewall را غیرفعال کنید چون تانل های مورد نظر در Windows Firewall ایجاد می شود. و همچنان فایروالهای دیگر نباید مزاحم عملکرد DirectAccess شوند.

Image

برای اینکه DA Client بتوانند به منابع داخلی شبکه دسترسی داشته باشند DA Server باید تمام FQDN منابع داخلی را ریزالو کند. ارتباط DA Server و DNS داخلی را با دستور زیر چک کنید:

Resolve-DnsName <domain>

Authentication


ارتباط DirectAccess Server با Domain Controller لازمه احراز هویت DA Client می باشد پس ارتباط DA Server با DC را توسط دستور زیر چک کنید:

nltest.exe /sc_verify:<domain>

Image

Certificates


DA Server برای تانل IP-HTTPS از SSL Certificate استفاده می کند و برای تانل IPsec از سرتیفیکت تمپلیت Computer. SSL Certificate ی که برای DA Server درخواست می دهید باید مورد اعتماد و EKU آن دارای Server Authentication باشد و این سرتیفیکت در قسمت Personal خود DA-Server نصب شود. و همچنین Common Name باید با Internet FQDN دایرکت اکسس یکی باشد. همچنین این Certificate باید معتبر باشد (اکسپایر نشده باشد).

نکته: اگر از PKI سازمان خودتان استفاده می کنید لازم است لیست CRL ان را در اینترنت Publish کنید.

در بیشتر پیاده سازیهای DirectAccess برای راحتی متصل شدن تانل IPSec ادمین شبکه سرتیفیکت تمپلیت Computer را بر روی DA Server and Client نصب می کند.

IPv6


برای عملی کردن DirectAccess به هیچ وجه نباید IPv6 را بر روی سرور و کلاینت غیرفعال کنید.

Services


برای اینکه DA Server بتواند به خوبی کار کند سرویسهای پایین باید استارت باشند.

  1. IP Helper (IPHlpSvc)

  2. Windows Firewall (Mpssvc)

  3. Base Filtering Engine (BFE)

  4. IPsec Policy Agent (PolicyAgent)

  5. IKE and AuthIP IPsec Keying Modules (IKEEXT)

  6. KDC Proxy Server Services (KPSSVC)3

  7. RemoteAccess Management Services (RaMgmtSvc)

DirectAccess Client Connectivity


برای اینکه کلانتها بتوانند به DA Server وصل شوند در وهله اول باید ارتباط انها با اینترنت برقرار باشد ثانیا یک Computer Account در AD داشته باشند. برای چک کردن این موضوع، دستور زیر را برای ارتباط کللاینت با DC اجرا کنید:

nltest.exe /sc_verify:<domain>

برای اینکه چک کنید کلاینت از چه تانلی برای کپسوله کردن ترافیک IPv4 استفاده می کند از دستور Ipconfig استفاده کنید. همچنین برای اتصال موفقیت آمیز به DirectAccess Server سرویس های زیر باید بر روی کلاینت فعال باشد:

  1. IP Helper (IPHlpSvc)

  2. Windows Firewall (Mpssvc)

  3. Base Filtering Engine (BFE)

  4. IPsec Policy Agent (PolicyAgent)

  5. IKE and AuthIP IPsec Keying Modules (IKEEXT)

همچنین کلاینت برای اتصال به DA Server باید پروفایل Private or Public بر روی Windows Firewall فعال باشد. اگر اتصال کلاینت با سرور به هر دلیلی برقرار نشد کارهای زیر را انجام دهید:

Connection Security Rules


قسمت CSR در Windows Firewall را چک کنید. و بر روی DirectAccess Policy-ClientToInfra دابل کلیک کنید و در قسمت زیر

Image

چک کنید IP تانل IPsec با IP دایرکت اکسس یکی باشد:

Image

و همین کار را برای بقیه CSR ها انجام دهید.

همچنین تانل IPsec را پینگ کنید. برای پیدا کردن ادرس این تانل دستور زیر را اجرا کنید:

get-DAClientExperienceConfiguration

Image

نکته: برای Ping کردن ادرس فوق ترافیک ICMPv6 echo باید بر روی سرور آزاد باشد. اگر ادرس تانل پینگ می شود ولی ارتباط برقرار نمی شود تانلهای IP-HTTPS 6to4… را چک کنید. اگر تانل مورد نظر سالم و فعال باشد Name resolution. را چک کنید.

برای دیدن ارتباطات IPsec با DirectAccess Server در کنسول Windows Firewall

Image

اگر هیچگونه اتصالی در کنسول بالا مشاهده نکرده اید تنظیمات Certificate کلاینت را چک کنید و مطمئن شوید به درستی تنظیمات Certificate را انجام داده اید.

گاهی وقتا خودم به شخصه می بینم Windows Firewall Profile اشتباها تعقیر می کند ومانع اتصال ارتباط DirectAccess می شود. در یکی از تسهای که انجام دادم کلاینت در شبکه سازمان قرار داشت و با NLS Server در ارتباط بود ولی از DirectAccess استفاده می کرد که بعدا متوجه شدم پروفایل Public بر روی این کلاینت فعال می باشد و طبق این تعقیر ناخواسته کلاینت به خود تلقین می کرد (لامصب کامپیوتر نیست هوش مصنوعیه) در خارج از سازمان می باشد. که بعد از تعقیر پروفایل فایروال مشکل حل شد. برای تعقیر پروفایل فایروال بوسیله Power Shell لینک زیر را مطالعه کنید:

How to force a network type in Windows using PowerShell

http://windowsitpro.com/powershell/how-force-network-type-windows-using-powershell

Name Resolution


اگر کلاینت قادر به resolve کردن Namespace سازمان نباشد مشکل آن عدم احراز هویت کلاینت می باشد.و همچنین ممکن است جدول NRPT به درستی تنظیم نشده باشد. جدول NRPT باعث می شود فقط اسامی مربوط به سازمان به سمت DNS64 ارسال شود. در Windows 8 به بالا میتوانید توسط دستور زیر ورودی های این جدول را مشاهده کنید:

get-DnsClientNrptPolicy

Image

نکته: برای Resolve کردن اسامی داخلی سازمان می توانید از دستور Resolve-DNSName استفاده کنید.

نکته: ابزار NSlookup.exe در این ارتباط به خوبی کار نمی کند چون اطلاعی از تنظیمات جدول NRPT ندارد و درخواست خود را توسط ادرس DNSی که بر روی NIC آن ست شده ارسال می کند.

نکته: گاهی وقتا در DA Client ابزار NCA را می بینید که در مد Connecting… هستش (یعنی هنوز وصل نشده :) ولی کانکش DirectAccess وصل هستش و می توانید از آن استفاده کنید. علت این مشکل دسترسی نداشتن کلاینت به ادرس web-probe host می باشد (این URL در Step 1 هنگام کانفیگ DA ایجاد می شود) برای حل این مشکل مطمئن شوید این رکورد به درستی resolve شود و در دسترس کلاینتها قرار بگیرد.

نکته: برای دیدن وضعیت اتصال DirectAccess در کلاینت از دستور get-DAConnectionStatus استفاده کنید.

Firewall Logging


گاهی وقتا تمام کارهای بالا را انجام می دهید ولی باز هم کلاینتها وصل نمی شوند و شک دارید که این مشکل بوسیله Firewall در کلاینت یا در سرور ایجاد می شود. برای اینکه وضعیت فایروال را در حین اتصال کلاینتها چک کنید دستور زیر را اجرا کنید:

Set-NetFirewallProfile -All -LogFileName c:\firewalllog.txt -LogMaxSizeKilobytes 2767 -LogAllowed True -LogBlocked True

بصورت لحظه ای از فایروال لاگ برداری می کند و لاگها را در مسیر مشخص ذخیره می کند.

به نکته زیر توجه کنید:

There is a known issue with Windows 8.1 and Windows Server 2012 R2, where enabling firewall logging can cause the firewall service to freeze and crash.8 Before enabling firewall logging on these operating systems, ensure that the May 2016 update rollup for Windows 8.1 and Windows Server 2012 R2 (KB3156418) has been installed.

Helpful Tools


در اینجا چنتا ابزار مفید برای عیب معرفی می کنم که قطعا در این پروسه مفید و سودمند هستش. اولین ابزار Message Analyzer هستش.این ابزار به ادمین شبکه اجازه می دهد که ترافیک داخل تانل IPsec را مشاهده کند.

run the Message Analyzer as an administrator. Click Favorite Sessions and choose Loopback and Unencrypted IPSEC. Attempt to connect to the internal resource and stop the trace when complete. Once finished, network trace information from inside the IPsec tunnel will be visible.

Image

واقعا ابزار جالبیه حتما امتحانش کنید.

ابزار دیگه ای که اکثرا باهاش اشنا هستن Nmap هستش. اگر اشتباه نکنم بهش میگن چاقوی همه کاره سوئیسی :). برای تشخیص پورتهای باز سرور مورد استفاده قرار میگیرد. مانند پورتهای مورد استفاده تانل Teredo or IP-HTTPS و غیره

Image

اخرین ابزار هم DirectAccess Client Troubleshooting Tool می باشد به نظرم خودم بهتر از دو ابزار بالائی هستش ( هر کدام از این ابزارها در مواقع خاصی کاربرد دارد) چون تمام اطلاعتی که بهش نیاز دارید را در اختیار شما قرار می دهد.

Image

خب اینم از عیب یابی این سرویس قدرتمند. بصورت خیلی دقیق و ریز مطالب را برای شما توضیح دادم امیدوارم بهره کافی رو برده باشید.

در آخر هم اگر برای کسی مهمه که منبع این مقالات چی هستش می توانند از دو کتاب زیر استفاده بکنند:

Image

Image

حرفه ای باشید.

نویسنده: احمد جهلولی

آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 DirectAccess در Windows 2012 R2 قسمت اول رایگان
2 Direct Access در Windows 2012 R2 قسمت دوم رایگان
3 Direct Access در Windows 2012 R2 قسمت سوم رایگان
4 Direct Access در Windows 2012 R2 قسمت چهارم رایگان
5 مدیریت DirectAccess Clientها و پیکربندی تانل ISATAP رایگان
6 ایجاد High Availability و Load Balancing برای DirectAccess Server رایگان
7 عیب یابی ارتباطات DirectAccess آخرین قسمت رایگان
هیچ نظری ارسال نشده است

برای ارسال نظر ابتدا به سایت وارد شوید

arrow