در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Network Access Protection - قسمت دوم

در این مقاله و در ادامه مقاله قبلی در خصوص آماده سازی زیرساختارهای شبکه برای پیاده سازی سرویس Network Access Protection توضیح خواهیم داد . در مقاله قبلی در خصوص اینکه سرویس Network Access Protection چیست و همچنین دلایل اهمیت وجود چنین سرویسی صحبت کردیم .در این مقاله زیر ساختارهای شبکه ای که این سرویس برای فعالیت نیاز دارد را در قالب یک سناریو محیط واقعی با هم انجام خواهیم داد.

زیرساختار سرویس Network Access Protection


برای پیاده سازی سرویس NAP بایستی چندین Role را در کنار هم بکار بگیریم ، هر کدام از این Role ها در شبکه نقشی مستقل و بسزا برای فعالیت درست NAP خواهند داشت . همانطور که در تصویر مشاهده می کنید ما از سرویس های Routing and Remote Access ، سرویس Domain Controller و Network Policy سرور در سناریوی خود استفاده می کنیم.

سناریو Network Access Protection

تصویر الف : پیاده سازی ساختار Network Access Protection نیاز به چندین سرور مختلف دارد

همانطور که در تصویر مشاهده می کنید ، ویندوز سون با استفاده از لینک ارتباطی که در اینجا بستر اینترنت است به ویندوز سرور 2008 ای که سرویس RRAS بر روی آن نصب شده است متصل می شود ، این سرور در نقش VPN سروری است که در نقطه بیرونی شبکه قرار گرفته است ، ویندوز سون با این سرور بصورت عادی یک ارتباط VPN را برقرار می کند. زمانی که کلاینت ویندوز سون به سرور RRAS متصل می شود اطلاعات کاربری کاربر از قبیل رمز عبور و نام کاربری از طریق سرویس RRAS برای سرویس RADIUS ارسال می شوند تا احراز هویت در آن انجام شود . در اینجا RADUS همان Network Policy Server است ، این سرور اطلاعات کاربر و کلاینت را بررسی کرده و سپس در خصوص policy هایی را که بایستی به این کلاینت اعمال شوند تصمیم گیری می کند ، این دیگر وظیفه خود NPS است که تصمیم بگیرد چه policy اعمال شود و در صورت تناقض چه عملی بایستی انجام شود. در محیط لابراتوار شما می توانید از یک سرور فیزیکی هم به عنوان RRAS استفاده کنید و هم بر روی آن سرویس Network Policy را نصب و راه اندازی کنید . اما در محیط واقعی کار شما نبایستی سرویس NPS را بر روی همان سرور VPN ای نصب کنید که در نقطه بیرونی شبکه قرار دارد و این از لحاظ امنیتی درست نیست .

دامین کنترلر


همانطور که در شکل الف میبینید ، یکی از نقش هایی که در این سناریو مورد نیاز است نقش دامین کنترلر است . البته اینطور تصور نکنید که این یک سرور خالی است بلکه این یک زیرساخت کامل اکتیودایرکتوری است . من مطمئن هستم که شما هم می دانید که مهمترین جزء اکتیودایرکتوری DNS است و اکتیودایرکتوری بدون DNS توان فعالیت را ندارد .پس اگر به این دیاگرام بالا نگاه می کنید فرض کنید که قطعا ما در اینجا یک ساختار DNS و تمامی جزئیات یک ساختار اکتیودایرکتوری را بر روی یک دامین کنترلر موجود داریم . ما در اینجا سناریوی خود را در یک محیط تست و لابراتواری انجام می دهیم و در صورتیکه در محیط واقعی بخواهیم چنین سناریویی را داشته باشیم قطعا از چندین سرور دامین کنترلر و DNS سرور های تفیکیک شده استفاده خواهیم کرد.یکی دیگر از Role هایی که در پیاده سازی سناریوی ما نقش اساسی دارد اما در شکل مشاهده نمی شود Enterprise Certificate Authority یا به زبان ساده تر CA است . قطعا در محیط واقعی ما سروری را بصورت اختصاصی برای میزبانی این نقش در شبکه قرار می دهیم اما در سناریوی فعلی ما همان دامین کنترلر در نقش CA نیز ایفای نقش خواهد کرد.

نصب Enterprise Certificate Authority یا ECA


دستورالعمل نصب سرور Enterprise Certificate Authority بسته به نوع سیستم عاملی که بر روی آن کار می کنید متفاوت است ، شما می توانید این نقش را بر روی ویندوز سرور 2003 یا ویندوز سرور 2008 نصب و راه اندازی کنید ، به دلیل اینکه در اینجا سرور دامین کنترلی که قصد استفاده از آن به عنوان CA را داریم از ویندوز سرور 2008 به عنوان سیستم عامل سرور استفاده می کند بنابراین ما نیز از همین سیستم عامل برای توضیح فرآیند نصب و راه اندازی CA استفاده می کنیم .

قبل از اینکه به فرآیند نصب و راه اندازی Certificate Services بپردازیم لازم میدانم که اشاره کنم در یک محیط واقعی شما تمهیدات امنیتی بسیار زیادی برای حفظ امنیت و پایداری CA خود بایستی در نظر بگیرید و تمامی تخمین ها و پیشبینی های لازم را در همان بدو طراحی سیستم در نظر بگیرید . از لحاظ دیگر هیچوقت فراموش نکنید که اگر کسی CA شما را تخریب و یا به آن دسترسی پیدا کند رسما مالک شبکه شما محسوب می شود و شبکه شما هک شده محسوب می شود . به دلیل اینکه این مقاله در خصوص Network Access Protection نوشته شده است و در خصوص CA مطلب چندانی در آن عنوان نمی شود ما هم انرژی چندانی روی این موضوع نمی گذاریم و در حد نظب و راه اندازی یک CA عادی در شبکه به شما آموزش خواهیم داد ، قطعا در روزهای آتی در خصوص Certificate Services و ساختار PKI در سیستم عامل های مایکروسافت مطالبی در قالب مقاله ارائه خواهم کرد . در دنیای واقعی شما انرژی بسیاری برای طراحی یک CA بایستی قرار بدهید اما در اینجا شما نصب و راه اندازی یک CA آزمایشگاهی را در ادامه خواهید دید.

خوب کار خود را با وارد شدن به ویندوز سرور 2008 و رفتن به قسمت Server Manager و در نهایت قسمت Roles ادامه می دهیم .در قسمت Roles Summary گزینه Add Roles را انتخاب می کنیم . این کار شما را به ویزارد Add Roles خواهد برد . با زدن Next از Welcome Screen عبور کنید و در اینجاست که لیستی از Role های موجود را برای نصب مشاهده خواهید کرد ، همانند تصویر بعدی گزینه Active Directory Certificate Server را انتخاب کنید و بر روی Next کلیک کنید .

نصب Cetificate Authority

تصویر ب : ویندوز لیستی از نقش هایی که می تواند بر روی سیستم عامل نصب شود را به شما نمایش می دهد .

در این قسمت شما صفحه ای را مشاهده خواهید کرد که به شما توضیحاتی در خصوص certificate services و مواردی که بایستی به آنها توجه کنید را ارائه خواهد کرد . بر روی Next کلیک کنید تا به صفحه بعدی بروید ، در این صفحه است که شما می توانید Component هایی را که می خواهید نصب شوند را انتخاب کنید . قسمت های Certification Authority و Certificate Authority Web Enrollment را انتخاب کرده و تیک آنها را بزنید .

نصب Cetificate Authority

خوب الان تصویری همانند تصویر ج را مشاهده خواهید کرد ، در این قسمت به شما اعلام می شود که برای اینکه نقش مورد نظر شما به درستی کار کند بایستی یک سری feature یا قابلیت دیگر را نیز فعالی کنید ف از آنجاییکه در اینکه ما نقش Web Enrollment را خواسته ایم بنابراین نقش وب سرور IIS را نیز بایستی نصب کنیم که کاربران بتوانند از طریق وب نیز فعالیت های خود را انجام دهند . بر روی Add Required Role Service کلیک کرده و Next را می زنیم .

نصب Cetificate Authority

تصویر ج : نقش Certificate Services Web Enrollment بدون سرویس IIS قادر به ارائه سرویس نیست .

شما الان با صفحه ای مواجه خواهید شد که از شما می پرسد که آیا شما یک enterprise certificate authority می خواهید یا یک standalone certificate authority را می خواهید نصب کنید ؟ گزینه enterprise certificate authority را انتخاب کنید و Next را بزنید . در اینجا از شما سئوال می شود که سرور شما Root CA است یا Subordinate CA است که شما Root CA را انتخاب می کنید . بر روی Next کلیک می کنیم .

نصب Cetificate Authority

نصب Cetificate Authority

در ادامه از شما سئوال خواهد شد که آیا می خواهید یک Private Key جدید ایجاد کنید و یا از یک Private Key موجود استفاده کنید ؟ از آنجایی که شما تاکنون Private Key ای ایجاد نکرده اید بنابراین گزینه Create a New Private Key را انتخاب کنید و باز هم در خاطر داشته باشید که اینها در محیط لابراتوار است و در محیط واقعی تا حدی متفاوت هستند . بر روی Next کلیک کنید .

نصب Cetificate Authority

شما الان بایستی تصویری مشابه تصویر د را مشاهده کنید ، در اینجا از شما در خصوص انتخاب یک cryptographic service provider یا CSP و همچنین انتخاب طول کلید و الگوریتم Hashing مورد نظر شما سئوال خواهد شد . در محیط واقعی بایستی دقیقا به مواردی که در این قسمت مشاهده می کنید دقت کنید ، اما چون ما در اینجا ما در یک سناریوی فرضی از این سرویس استفاده می کنیم این مورد چندان برای ما مهم نیست و پیشفرض ها را انتخاب کرده و Next را می زنیم .

نصب Cetificate Authority

شکل د : انتخاب یک الگوریتم درست رمزنگاری در این قسمت در محیط واقعی از اهمیت زیادی برخوردار است .

صفحه بعدی از شما یک نام و یک پسوند ( Distinguished Name and Suffix ) برای انتخاب به عنوان اسم Certificate Server از شما می پرسد ، طبق معمول مقادیر پیشفرض را انتخاب کرده و Next را بزنید .

نصب Cetificate Authority

خوب الان شما صفحه ای را خواهید دید که از شما در خصوص مدت زمان اعتبار certificate ها سئوال می کند . مقدار پیشفرض آن 5 سال است که برای سناریوی ما همین مقدار زمان کفایت می کند ، پس Next را انتخاب کنید . در ادامه صفحه ای را مشاهده می کنید که محل قرار گیری پایگاه داده مربوط به Certificate Server و محل ذخیره سازی لاگ های آنها را نمایش می دهد ، در محیط های عملیاتی انتخاب زمان مناسب و محل مناسب برای ذخیره سازی این محتویات بسیار مهم است ضمن اینکه بایستی Fault Tolerance و Redundancy نیز برای آنها منظور شود . اما از آنجایی که ما در محیط لابراتوار هستیم همین مقادیر پیشفرض برای ما کفایت می کند بنابراین بر روی Next کلیک می کنیم .

نصب Cetificate Authority

همانطور که به خاطر دارید برای یکی از Role ها به نام Web Enrollment ما نیاز به نصب IIS داشتیم که در این قسمت به سراغ نصب این سرویس می رویم ، با تمامی گزینه ها موافقت کرده تا IIS با موفقیت نصب شود و به سراغ صفحه بعدی بروید ، البته در این صفحه حتما به این مسئله دقت کنید که تمامی نیازمندیهای مربوط به CA در Component های IIS بصورت کامل نصب شود . بعد از چک کردن این موضع بر روی Next کلیک کنید .در انتها با صفحه ای مواجه خواهید شد که جزئیات تمامی مواردی که شما برای نصب انتخاب کرده اید را به شما نمایش می دهد ، بر روی گزینه Install کلیک کنید تا ویندوز تمامی فایل های لازم برای نصب این سرویس ها را بر روی سیستم کپی کرده و عملیات نصب را آغاز کند . در صورتتیکه فرآیند نصب به درستی انجام شود سیستم به شما صفحه ای نمایش خواه داد که در آن از نصب درست سرویس CA خبر می دهد ، بر روی Close کلیک کنید تا فرآیند به درستی انجام شود . صفحه آخر را می توانید در تصویر پایین مشاهده کنید .

نصب Certificate Authority

شکل ه : زمانیکه فرآیند نصب به درستی انجام شد بر روی دکمه Close کلیک کنید .

نتیجه


در این مقاله با نصب و راه اندازی مقدماتی سرویس Certificate Authority آشنا شدید ، در مقاله بعدی به نصب و راه اندازی VPN سرور خواهیم پرداخت ، برای اینکه سناریو را به درستی تا انتها انجام دهید به ترتیب کلیه مراحل را انجام دهید . ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشرو کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#راه_اندازی_Certificate_Authority #راه_اندازی_NAP #آموزش_راه_اندازی_nap_مایکروسافت #کاربرد_nap_در_شبکه #سرویس_NAP #نصب_CA_در_ویندوز_سرور #NAP_چیست
عنوان
1 آموزش راه اندازی Network Access Protection - قسمت اول رایگان
2 آموزش راه اندازی Network Access Protection - قسمت دوم رایگان
3 آموزش راه اندازی Network Access Protection - قسمت سوم رایگان
4 آموزش راه اندازی Network Access Protection - قسمت چهارم رایگان
5 آموزش راه اندازی Network Access Protection - قسمت پنجم رایگان
6 آموزش راه اندازی Network Access Protection - قسمت ششم رایگان
7 آموزش راه اندازی Network Access Protection - قسمت هفتم رایگان
8 آموزش راه اندازی Network Access Protection – قسمت هشتم رایگان
9 آموزش راه اندازی Network Access Protection - قسمت نهم رایگان
زمان و قیمت کل 0″ 0
6 نظر
tara_chiki

سلام

من 2 تا ویندوز سرور 2008 روی vmware نصب کردم و همانطوری که گفتین روی یکی از آنها سرویس ها و سرورهای مدنظر را نصب کردم اما نه کامپیوترم اون 2 تا ویندوز را پینگ می کنه و نه اون 2 همدیگر را.

رنج ای پی adsl من 192.168.20.3 است من ای پی هر2 تا ویندوز سرور را توی این رنج قرار دادم و نتیجه ای نگرفتم.

اما به نظرم این 2 تا سرور لزومی نداره که به اینترنت وصل باشن. به همین دلیل من تنظیمات آنها رو به شکل زیر انجام دادم اما بازم نتیجه ای نگرفتم. من باید چکار کنم؟.واقعا کلافه شدم از ندونسته هام.

تنظیمات سرور ی که دامین کنترلر است(tcp/ip)

ip:192.168.150.10

subnet:255.255.255.0

default gateway:?

dns:127.0.0.1 این رو خودش داشت!!!

تنظیمات سرور بکر:

ip:192.168.150.11

subnet:255.255.255.0

defaultgateway:?

dns server:192.168.150.10

چند تا نکته ای که شاید کمک کنه یادآوری می کنم:

1) network adaptor هر 2 از نوع bridge هست

2)default gateway رو همونطور که بالا میبینید چیزی set نکردم چون نمی دونستم چی باید بگذارم.

محمد نصیری
  1. کارت شبکه شما به کجا Bridge شده ؟ به یک سویچ یا مستقیما به اینترنت ؟
  2. هر دو کارت شبکه رو در مد Host -Only قرار بدین و بعد نتیجه رو اعلام کنید.
tara_chiki

سلام

ممنون

هر 2 تا کارت شبکه رو در مد nat قرار دادم. فعلا مشکلم حل شد. الان از سرور vpn میتونم سرور dc رو پینگ کنم.

فقط 1 مساله ای هست

اینکه برای نصب vpn server نیاز به 2 تا کارت شبکه هست یکی external و یکی internal

برای کارت شبکه external که عملا باید سرور را به اینترنت وصل کنه چه مد ای باید قرار بدم؟ nat or bridge?

من bridge قرار دادم. و به صورت اتوماتیک خودش توی رنج ای پی adsl ام ای پی گرفته.

الان از سرور dc من نه vpn server و نه لپتاب خودم را نمی تونم پینگ کنم (به نظرم منطقی هست)

از سرور vpn من سرور dc رو می تونم پینگ کنم اما لپ تاب ام رو نه. با اینکه رنج ای پی کارت شبکه پل با رنج ای پی adsl من یکی هست

اگه ممکن هست یه مقدار در مورد این مدها توضیح بدین که چه زمانی ازشون استفاده می شه.؟

بعد یک مساله خیلی جالب دیگه برای من اینه که موقع نصب virtual machine دو تا VMware Network Adapter VMnet# تو network connection لپ تاب ام ساخته شده با 2 تا رنج ای پی مختلف که وقتی کارت شبکه nat اضافه می کنم خودش توی همون رنج، ای پی set میکنه که اگر من تغییرش ندم از سرور مربوطه می تونم لپ تاب ام رو پینگ کنم و حتی به اینترنت وصل شم.

ممنون میشم اگه بازم راهنمایی کنید.:)

tara_chiki

ببخشید اما اگر لطف کنید یکم زود جواب بدید ممنون می شم.

به هر حال هر مساله ای اگر سر وقت اش اتفاق نیفته ارزش خودش رو از دست میده.

tara_chiki

خیلی عالی می شد اگر من از همون اول این صفحه رو میدیدم :)

پیشنهاد میکنم اگر بزرگواری به مشکل من برخورد حتما یه سری به لینک زیر بزنه :)

تنظیمات شبکه VMware Workstation

behnam_gh

ممنون میشم لینک مقاله قبلی رو پیوست کنید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....