در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Direct Access در ویندوز سرور قسمت 1

بعد از فارغ شدن از بحث سرتیفیکت سرور قصد دارم بحث جالب و دوست داشتی Direct Access را بصورت خیلی واضح و ساده توضیح و آموزش دهم. مطمئن هستم خیلی از ما هنوز با تئوری ، اصطلاحات و تکنولوژی های که در Direct Access بکار رفته اشنا نیستیم و چون Direct Access از IPv6 استفاده می کند خیلیا برای یاد گرفتن آن طفره میرن. در این سری آموزش در ابتدا نگاهی مختصر به بعضی از اصطلاحات و تکنولوژی های به کار رفته در Direct Access می اندازیم و در مقاله های آتی بصورت عملی و کامل آنها را یاد خواهیم گرفت.

Direct Access چیست؟

رول Remote Access که در Windows Server 2008 R2 معرفی شده است شامل چندین بخش می باشد ما در این سری آموزش فقط با Direct Access سرو کار داریم و به آموزش آن می پردازیم.در بیشتر سازمانها پرسنل های وجود دارند که برای انجام کار سازمان به بیرون از آن سازمان می روند مانند کارشناسان فروش یا خرید و غیره، که در چنین حالیتهای آن پرسنل گاهی مجبور می شوند که از بیرون به شبکه سازمان وصل شوند و داده های خود را ابدیت کند. برای چنین سناریوهای راه حلی های وجود داشت مثل استفاده از Remote access VPN connection.استفاده از Remote access VPN connection معایبی داشت مانند:

  • گاهی وقتا خود کاربر مجبور می شد که کانکشن VPN را ایجاد کند و تنظیمات آن را انجام دهد.
  • برای هر بار اتصال کاربر باید صفحه Network and share center را باز می کرد و کانکش را اجرا می کرد. کانکشن بصورت اتوماتیک اجرا نمی شود.
  • در بعضی از سناریوها برای ایجاد Remote access VPN connection نیاز به خرید سخت افزار و برنامه های خاصی می باشید. ( حتما الان دارید داااااد می زنید نخیر ما بوسیله خود رول Remote Access می تونیم یک VPN سرور ایجاد کنیم و نیازی به هزینه اضافی نیست!!!!!! درسته حق باشماست ولی چند درصد از این سازمانها یک Windows Server با رول VPN & NAT را در قسمت Edge شبکه قرار می دهند؟؟؟؟؟)
  • هر کاربری میتواند با تنظیم کانکشن VPN خود به resource های شبکه دسترسی داشته باشد. که از لحاظ امنیت و مدیریت می تواند عملکرد آن سازمان را مختل کند.
  • امینت VPN کمتر از Direct Access می باشد. (خیلی جای بحث داره که در مقاله های آتی مفصل درباره آن توضیح خواهم داد)
وب سایت توسینسو

در ادامه مزایای استفاده از Direct Access و همچنین معایب استفاده از VPN را بیشتر توضیح می دهیم. اولین بار DA در Windows Server 2008 R2 معرفی شده است و مانند VPN برای دسترسی به منابع شبکه از بیرون سازمان استفاده می شود. خیلی از IT Man ها خیال می کنند این تکنولوژی نسخه پیشرفته VPN می باشد در صورتی که از لحاظ تکنولوژی و کارکرد هر دو آنها با هم فرق می کنند.

DA برخلاف VPN که باید بصورت دستی اجرا و تنظیم شود بصورت کاملا خودکار اجرا و متصل می شود و نیازی به هیچ گونه نرم افزارخاصی ندارد. وقتی کلاینت متوجه شد که بیرون از سازمان می باشد ( چگونه متوجه می شود را در مقاله های بعدی توضیح می دهم) و دسترسی به اینترنت دارد بصورت اتوماتیک ارتباط خود را بصورت امن با DA Server برقرار می کند و از منابع شبکه استفاده میکند.

Not a Protocol به چه معناست؟

نکته: DA پروتکل نیست یک مجموعه ای از تکنولوژی های هستش که درون Windows ایجاد شده اند که بتوان یک ارتباط امن با شبکه سازمان داشت. DA از IPv6 برای انتقال داده ها و از IPsec برای امن کردن ارتباطات و از Active Directory ، Certificate ، Kerberos و NTLM برای احراز هویت استفاده می کند و در DA Client از Windows Firewall with Advanced Security (WFAS) and the Name Resolution Policy Table (NRPT) استفاده می کند.

IPv6 چیست؟

IPv6 یکی از اجزای یکپارچه و مهم در Direct Access می باشد. DA Server و DA Client تمام اطلاعات خود را با استفاده از IPv6 انتقال می دهند. نگرن نباشید ما بصورت کلی IPv6 را پیاده سازی نمی کنیم و همچنین ماشین های که با IPv4 کار می کنند می توانند از DA استفاده کنند. در DA سولوشن های وجود دارد که استفاده از IPv6 را ساده و راحت می کند. (به خواندن ادامه دهید)

IPv6 Transition Technologies

در بیشتر سناریوها بستر نقل و انتقالات Packet ها در شبکه ها استفاده از IPv4 می باشد. حالا اگر بخواهیم از DA استفاده کنیم چگونه بتوانیم به Resource های که از IPv4 استفاده می کنند دسترسی داشته باشیم؟؟؟ DA برای حل این مشکل از Tunnel استفاده می کند. بدین صورت که ترافیک IPv6 را در IPv4 کپسوله می کند و آنها را منتقل می کند. در DA ما سه نوع تانل انتقال داریم:

  • 6to4: این تانل وقتی استفاده می شود که کلاینتها یک IPv4بصورت Public بر روی آنها ست شود. کلاینت با استفاده از این تانل ترافیک IPv6 را در IPv4 کپسوله و ارسال می کند. (خیلی کم استفاده می شود) وقتی که DA پشت فایروال باشد و از NAT استفاده می کند نمی توان از این روش استفاده کرد.
  • Teredo: وقتی استفاده می شود که کلاینت یک Private IPداشته باشد و پشت NAT فعالیت می کند. یا وقتی که 6to4 در دسترس نباشد. کلاینت با استفاده از این تانل ترافیک IPv6 را در IPv4 کپسوله و با استفاده از پورت UDP 3544 آن را به سمت DA Server ارسال می کند. برای اینکه از این روش استفاده کنید DA Serverباید در قسمت Edge سازمان قرار بگیرد و دو عدد IP Public بر روی کارت شبکه External آن ست شود. وقتی که DA پشت فایروال باشد و از NAT استفاده می کند نمی توان از این روش استفاده کرد.
  • IP-HTTPS: وقتی این تانل انتخاب می شود که کلاینت یک Private IP داشته باشد وپشت NAT فعالیت می کند. وقتی که تانل Teredo and 6to4 در دسترس نباشند از این تانل استفاده می شود. در این تانل کلاینت ترافیک IPv6 را در IPv4 کپسوله می کند و توسط HTTP و SSL/TLS رمزگذاری و انتقال می دهد. وقتی که DA Server پشت فایروال باشد و از NAT استفاده می کند می توان از این روش استفاده کرد.

دوستان بصورت مختصر DA به دو صورت نصب می شود:

  • با یک کارت شبکه و پشت firewall
  • با دو کارت شبکه و بصورت مستقیم به اینترنت وصل می باشد. (Edge Server)

شما در روش اولی نمی توانید از تانل 6to4 and Teredo استفاده کنید. ولی در روش دومی می توانید از هر سه تانل که در دسترس کلاینت می باشد استفاده کنید. اینو یادتون نره....

وب سایت توسینسو

Outbound Management

گاهی وقتا لازم میشه Help Disk ها بتوانند به DA Client که بیرون از سازمان می باشد ارتباط داشته باشند و آن کامپیوتر را عیب یابی کنند. ولی بصورت پیش فرض نمی توان وصل شد!!!! علتش هم اینه که کامپیوترهای داخل سازمان هیچ گونه IPv6ی بر روی آنها ست نیست که بتوانند با DA Client ارتباط برقرار کنند. برای حل این مشکل دو راهکار دارید:

  • بصورت اصولی IPv6 را بر روی کل کامپیوترهای سازمان پیاده سازی کنید.
  • از Intrasite Automatic Tunnel Addressing Protocol (ISATAP) استفاده کنید.

ISATAP مکانیزمی می باشد که بصورت اتوماتیک یک IPv6 معتبر روی کامپیوتر ایجاد می کند و آن را به ISATAP Router وصل می کند و ISATAP Router آن به بیرون هدایت می کند. (حتما الان تعجب کردید که واااای خدای من باید یک ISATAP Router هم بخریم؟؟؟؟؟؟ بهترین قسمت ماجرا اینجاست که ISATAP Router شما همان Direct Access می باشد و بصورت پیش فرض تمام ترافیک ISATAP را دریافت و منتقل می کند.)

  • نکته: فقط برای ارتباط با DA Client ها به ISATAP نیاز داریم. (به یاد داشته باشید)
  • نکته مهم: روش ISATAP وقتی عملی هستش که از یک DA Server استفاده کنیم اگر بیشتر از یک DA Server داشته باشیم نمی توانیم از ISATAP استفاده کنیم.

IPv6 Translation Components

همانطور که قبلا گفتیم DA Client ها برای ارتباط از IPv6 استفاده می کنند، ولی Resource های شبکه سازمان از IPv4 استفاده می کنند!!! الان چگونه DA Client ها بتوانند به Recourse های داخل سازمان دسترسی داشته باشند؟؟ وقتی شما DA Server را نصب می کنید علاوه بر سرویس DA کامپوننت های زیر بر روی آن نصب می شود:

  • DNS64:(آن را DNS six-to-Four تلفظ کنید) این کامپوننت به عنوان یک DNS Proxy عمل می کند بدین گونه که وقتی DA Clientی درخواست name-resolution را برای دسترسی به منابع شبکه سازمان را به سمت DA Server ارسال کند DNS64 درخواست را به DNS سازمان ارسال می کند و قاعدتا یک ادرس IPv4 دریافت می کند، سپس ادرس IPv4 را به IPv6 تبدیل و آن را برای DA Client ارسال می کند.
  • NAT64: (آن را NAT Six-to-Four تلفظ کنید) مانند DNS64 بر روی DA Server نصب می شود و کاربرد آن ترجمه و تبدیل IPv6 to IPv4 و برعکس می باشد. NAT64 درخواست IPv6 را از DA Client ها دریافت و آنها را به IPv4 تبدیل و به سمت Resource های شبکه سازمان ارسال می کند.

بوسیله کامپوننت های بالا و تانل های مورد استفاده، شما نیازی به داشتن دانش IPv6 و همچنین پیاده سازی آن در شبکه سازمان را ندارید.

  • نکته: بیشتر کامپوننت های بالا در Windows Server 2012 ایجاد شده اند.

گرچه برای پیاده سازی DA شما نیازی به IPv6 ندارید و همه این اتفاقات بصورت اتوماتیک صورت می گیرد ولی همانطور که برای یاد گرفتن IPv4 وقت گذاشتیم برای IPv6 هم وقت بگذارید. برای اینکار توصیه می کنم کتاب زیر را حتما بخوانید:

وب سایت توسینسو

How Direct Access Works

وقتی که کلاینتی تشخیص دهد که بیرون از سازمان می باشد چه نیاز داشته باشد و چه نیاز نداشته باشد بصورت اتوماتیک سرویس DA Client بر روی آن کلاینت فعال و بصورت امن (Ipsec Tunnel) به DA Server وصل می شود. در بیشتر سناریوها کلاینت دارای یک IPv4 می باشد پس در نتیجه برای اینکه بتواند ارتباط خود را با DA Server برقرار کنید از تانل های Teredo, 6to4 and IP-HTTP استفاده و ترافیک IPv6 را در IPv4 کپسوله و به سمت DA Server هدایت می کنند. DA Server ترافیک کلاینتها را بوسیله NAT64 and DNS64 به IPv4 و بر عکس تبدیل می کند و یک ارتباط مستقیم بین DA Client و منابع شبکه سازمان برقرار می کند. بعد از برقراری ارتباط بوسیله Certificate, NTLM و غیره کلاینت را احراز هویت می کنند و دسترسی به منابع شبکه را به می دهند. خلاصه کارکرد Direct Access را بصورت خیلی ساده و روان توضیح دادیم.

DirectAccess Supported Clients

متاسفانه DA فقط بر روی کلاینتهای اعمال می شود که عضو Domain باشند!!!! به احتمال زیاد الان خشکتون زده!! این همه دنگ و فنگ فقط برای کامپیوترهای که Join to Domain هستش؟؟؟ نه دوستان به این معنی نیست که از داخل خود سازمان ما از DA استفاده کنیم، بدین معنی می باشد که ما برای اینکه از DA استفاده کنیم مجبوریم یک سری تنظیمات بر روی سرور DA و کلاینتها انجام دهیم و ما این تنظیمات را از طریق Group Policy انجام می دهیم که لازمه آن Join to Domain هستش. فرض کنید یک مامور خرید برای اینکه بتواند از DA استفاده کند برای یکبار که شده باید Lab Top این اقا را جوین دومین کنیم. و بعد از اعمال تعقیرات و فعال شدن DA بر روی این Lab Top می تواند از هر جای جهان به DA وصل شود.

نسخه های ویندوز که DirectAccess را پشتیبانی می کنند عبارتند از:

  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 8.x Enterprise
  • Windows 7 Enterprise
  • Windows 7 Ultimate

نسخه های سرور هم:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

DirectAccess Security

DA برای امن کردن ارتباطات بین DA Server و DA Client از تانل IPSec استفاده می کند IPSec در بعضی از سناریوها از دو تانل متفاوت استفاده می کند:

  • Infrastructure tunnel: در این نوع تانل بصورت امن به سازمان وصل می شویم و بصورت محدود می توانیم از منابع سازمان استفاده کنیم به عنوان مثال Domain Controller. در این نوع تانل احراز هویت در دو مرحله انجام می شود:
  1. DA Client بوسیله Certificate و ساختار PKI احراز هویت می شود.
  2. Computer Account کلاینت در Active Directly بوسیله NTLM احراز هویت می شود.

اگرکلاینت هر دو متد را پاس کند می تواند از منابع از پیش مشخص شده استفاده کند.

  • Intranet tunnel: توسط این متد کلاینت دسترسی کامل بر روی همه منابع سازمان دارد. مانند متد قبلی دو مرحله احراز هویت داریم Certificate و Active Directory که اینبار توسط Kerberos انجام می شود.

DirectAccess vs. VPN

ایجاد وتنظیم کانکشن VPN در بیشتر اوقات توسط کاربر انجام می شود و هر گاه کاربر نیاز داشت این کانکشن را اجرا میکند. ولی DirectAccess بصورت یکپارچه در در خود سیستم عامل تعبیه شده است و بصورت اتوماتیک بدون نیاز به اجرا و وصل می شود.تنظیم فایروال برای بعضی از پروتکل های VPN توسط کاربر سخت و گاهی غیرممکن است و این مانع ایجاد یک ارتباط امن می شود. ولی DirectAccess بصورت امن از پروتکل https که پروتکل رایج و ساده می باشد استفاده می کند و همچنین در بیشتر Firewall ها این ترافیک آزاد می باشد.

در بعضی از سناریوها راه اندازی VPN Server نیازمند سخت افزار و برنامه های جانبی می باشد که نیازمند به خرید لایسنس و تنظیمات خاصی می باشد. ولی DirectAccess را می توان در قسمت DMZ و بصورت مجازی اجرا و عملی کرد. VPN نیازمند نرم افزاری به نام VPN Connection می باشد که بتواند به VPN سرور وصل شود که ایجاد و تنظیم این نوع کانکشنها می تواند در بعضی مواقع سخت و غیر ممکن باشد. ولی DirectAccess نیازمند به هیچ گونه نرمافزاری نیست و تمام تنظیمات آن از طریق Group Policy ایجاد و تنظیم می شود.

DirectAccess Limitations and Drawbacks

محدودیت و اشکلات DirectAccess شامل:

  • بر روی نسخه های خاصی از ویندوز اعمال می شود.
  • فقط پلتفرم های ویندوزی را پشتیبانی می کند.
  • فقط برای کاربران Domain to Join کاربرد دارد.
  • نمی توان از DA در Windows Phone ها از آن استفاده کرد. چون نمی توان با آنها به Active Directory وصل و تنظیمات GPO را دریافت کرد.
  • برخی از نرمافزارها قابلیت استفاده از IPv6 را ندارند و فقط با IPv4 کار می کنند پس در نتیجه فاتحه این گونه نرم افزارها را بخوانید. (برای حل این مشکل راه حلی وجود دارد اگر درخواست های در این باب شود آموزش آن را خواهم گذاشت)

در این مقاله تا حدودی با DirectAccess اشنا شدیم و کامپوننت های آن را برسی کردیم، و بعضی از اصطلاحات و تکنولوژی های منحصربفرد آن را توضیح دادیم. در مقالات آتی نوع Plan های آن و سناریو های که از DA استفاده می شود را برسی می کنیم.

موفق و پیروز باشید.

نویسنده: احمد جهلولی

عنوان
1 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 1 رایگان
2 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 2 رایگان
3 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 3 رایگان
4 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 4 رایگان
5 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 5 رایگان
6 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 6 رایگان
7 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 7 رایگان
زمان و قیمت کل 0″ 0
2 نظر
کاویان صرافیون

مرسی دوست عزیز

ممنون میشم قسمت های بعدی ارسال بشه

احمد جهلولی

خواهش می کنم.

ارسال که میشه ولی کمی با تاخیر. چون واقعا سرم شلوغه. انشالله با همدیگه این مجموعه آموزشی را تکمیل می کنیم.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....