در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Network Access Protection - قسمت هفتم

در این مقاله از سری مقالات انجام تنظیمات و راه اندازی سرویس Network Access Protection شما را با شیوه تست کردن و همچنین درخواست کردن یک Computer Certificate مرتبط با VPN Server آشنا می کنیم . در مقالات قبلی تا حدود زیادی با Network Policy Server کار کردید ، در حقیقت تا حد زیادی تا اینجا تنظیمات ما به پایان رسیده است . کلاینت ویندوز سون الان می تواند توسط VPN Server و همچنین پروتکل احراز هویت (Protected EAP ( PEAP احراز هویت شود . قبل از اینکه بتوانیم از پروتکل PEAP استفاده کنیم ما بایستی Computer Certificate خود را با VPN Server هماهنگ کنیم . خوب تا این مرحله یاد گرفتیم که چگونه یک Enterprise Certificate Authority را برای اینکار ایجاد کنیم . در این مقاله نحوه درخواست Certificate و هماهنگ کردن آن با VPN Server را آموزش می بینیم.

درخواست یک Certificate


در این سناریو ما از پروتکل PEAP به عنوان پروتکل احراز هویت سمت سرور استفاده می کنیم . برای اینکه این مکانیزم به درستی کار کند بایستی برای VPN Server از طریق Certificate Authority که قبلا ایجاد کردیم درخواست یک Certificate کنیم . برای انجام اینکار در قسمت RUN سیستم عامل دستور MMC را وارد کنید . زمانیکه کنسول Microsoft Management Console باز شد از طریق منوی اول گزینه Add //Remove Snap-in را انتخاب کنید و از لیست باز شده گزینه Certificates را انتخاب کنید و گزینه Add را زده و سپس دکمه Finish را می زنیم.کنسول به شما Snap-in مربوط به Certificate Templates را نمایش خواهد داد .container مربوط به Certificate Templates را بازکنید ( اینکار ممکن است کمی طول بکشد ) ، در قسمت Details صفحه Computer Template را بیابید . بر روی Computer Template راست کلیک کرده و گزینه Duplicate Template را از منوی باز شده انتخاب کنید .

ویندوز در اینجا از شما سئوال می کند که آیا یک Certificate برای ویندوز سرور 2003 می خواهید یا برای ویندوز سرور 2008 ، گزینه Windows Server 2008 را انتخاب کنید و سپس OK را بزنید . در این لحظه ویندوز به شما Properties مربوط به صفحه New Template را نمایش می دهد.اولین چیزی که شما بایستی در اینجا وارد کنید قرار دادن یک نام برای این Template است . نامش را هر چیزی که می خواهید می توانید قرار دهید ، این امری کاملا سلیقه ای است ، با توجه به هدفی که ما در این سناریو پیگیری می کنیم نام این Template را VPN می گذاریم . در اینجا مدت زمان اعتبار یا validity period را برای Template تعیین کنید و گزینه های Publish Certificate in Active Directory و همچنین Allow Private key to be Exported را انتخاب کنید .

حال به تب Request Handling و مطمئن شوید که قسمت Purpose به حالت Signature and Encryption در آمده است. شما همچنین بایستی تیک مربوط به Add Read Permissions to Network Service را نیز انتخاب کنید و در نهایت به تب Security بروید و دکمه Add را بزنید ، زمانی که ویندوز به شما صفحه Select Users, Computers, or Groups را نمایش می دهد مطمئن شوید که در قسمت From this Location نام دامین شما قرار داشته باشد . در قسمت Enter the Object Names to Select نام Administrators را وارد کنید و بر روی Check Names کلیک کنید تا ویندوز از درستی نام گروه و موجودیت آن در دامین اطمینان حاصل کند و سپس OK را بزنید . در نهایت گزینه Allow Full Control را برای گروه Administrators انتخاب کنید و OK را بزنید.

حال کنسول Certificate Templates را بسته و از قسمت منوی Administrative Tools گزینه Certificate Authority را انتخاب کنید . با اینکار کنسول Certificate Authority برای شما باز خواهد شد ، در این لحظه Container ای که نام سرور شما بر روی آن قرار دارد را باز کرده و Certificate Template ای که ساخته اید را در اینجا بایستی مشاهده کنید.بر روی container مربوط به Certificate Template راست کلیک کنید ، سپس از منوی باز شده گزینه New | Certificate Template Issue را انتخاب کنید . با اینکار ویندوز به شما صفحه Enable Certificate Templates را نمایش می دهد . از لیست باز شده به دنبال Template ای بگردید که قبلا خود ایجاد کرده اید ، آنرا انتخاب کرده و OK را بزنید .

شما الان قادر هستید ه certificate template مربوطه را با سرور ارتباط دهید . برای انجام اینکار از طریق Run دستور MMC را وارد کنید . زمانی که کنسول Microsoft Management Console باز شد از طریق منوی File گزینه Add / Remove Snap-in را انتخاب کرده و از لیست Snap-in های موجود Certificates را انتخاب کنید و دکمه Add را بزنید.در اینجا ویندوز از شما سئوال می کند که آیا این certificate را برای یک user ، یک Computer و یا یک Service می خواهید ؟ در اینجا مهم است که توجه کنید که گزینه Computer حتما انتخاب شود . گزینه Next و در ادامه Finish و OK را بزنید و در اینجاست که ویندوز به شما کنسول Certificates را نمایش خواهد داد .

مرحله قبلی از این فرآیندی که در پیش گرفته ایم شامل باز کردن Container مربوط به ( Certificates ( Local Computer و مشاهده محتویات آن بود ، در اینجا بر روی Container به نام Personal راست کلیک کرده و از قسمت All Tasks گزینه Request New Certificate را از منوی باز شده انتخاب می کنیم ، با اینکار ویندوز به شما صفحه ویزارد Certificate Enrollment را نمایش خواهد داد .در اینجا ابتدا Next را انتخاب کنید که صفحه Welcome Screen رد شود و بعد از آن شما صفحه ای را مشاهده خواهید کرد که در آن انواع Template هایی که برای Enroll شدن موجود هستند را مشاهده خواهید کرد . چک باکس مربوط به Template ای که خودتان ایجاد کرده اید را انتخاب کنید و دکمه Enroll را بزنید . فرآیند Enrollment ممکن است چند دقیقه ای طول بکشد ، زمانیکه این فرآیند تمام شده بر روی دکمه Finish کلیک کنید ، شما الان می توانید کنسول Certificates را ببندید.

خوب الان ما برای سرور خود یک certificate داریم ، حال نوبت به آن می رسد که تنظیمات مربوط به connection request policy مربوط به آن را برای استفاده از certificate انجام دهیم . برای انجام اینکار کنسول Network Policy Server را باز کنید و به قسمت NPS ( Local ) Policies و قسمت Connection Request Policies بروید . در اینجا شما لیستی از connection request policy هایی که وجود دارند را مشاهده خواهید کرد ، شما در اینجا یک policy با اسم NAP VPN یا چیزی مشابه را که قبلا در همین سری مقالات ایجاد کرده ایم را بایستی مشاهده کنید .بر روی policy با اسم NAP VPN راست کلیک کرده و Properties را انتخاب کنید ، با اینکار تنظیمات مربوط به NAP VPN نمایش داده خواهد شد ، به تب Settings بروید و بر روی قسمت Authentication Method کلیک کنید . مانند شکل زیر شما بایستی در قسمت EAP Types گزینه( Microsoft: Protected EAP (PEAP را مشاهده کنید .اگر این گزینه را مشاهده نمی کنید از دکمه Add برای اضافه کردن آن استفاده کنید .

راه اندازی Network Access Protection

شکل الف : گزینه Microsoft Protected EAP بایستی در لیست EAP Types موجود باشد.

حال بر روی قسمت( Microsoft Protected EAP (PEAP کلیک کرده و دکمه Edit را انتخاب کنید . مطمئن شوید که certificate ای که قبلا انتخاب کرده اید در اینجا وجود دارد . همچنین بایستی مطمئن شوید که گزینه های Enable Fast Reconnects و Enable Quarantine انتخاب شده اند. فیلد EAP Types در قسمت پایین تصویر بایستی به حالت ( Secure Password ( EAP MSCHAP V2 درآمده باشد .اگر اینطور نیست با استفاده از دکمه Add اینکار را انجام دهید . پس از اتمام آنقدر OK بزنید که تمامی مراحل کامل شود ..

نتیجه


در این مقاله در خصوص چگونگی درخواست یک Certificate از نوع Computer Certificate از CA و سرویس Enrollment صحبت کردیم و در ادامه چگونگی مرتبط کردن آن با VPN Server را نیز به شما آموزش دادیم .در مقاله بعدی از این سری آموزشی در خصوص تنظیمات پیشرفته تری از این موراد و همچنین جزئیات بیشتری از این تنظیمات را به شما آموزش خواهیم داد ، امیدوارم که مورد توجه شما قرار گرفته باشد.ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#درخواست_Certificate_از_CA #راه_اندازی_NAP #سرویس_NAP #NAP_چیست
عنوان
1 آموزش راه اندازی Network Access Protection - قسمت اول رایگان
2 آموزش راه اندازی Network Access Protection - قسمت دوم رایگان
3 آموزش راه اندازی Network Access Protection - قسمت سوم رایگان
4 آموزش راه اندازی Network Access Protection - قسمت چهارم رایگان
5 آموزش راه اندازی Network Access Protection - قسمت پنجم رایگان
6 آموزش راه اندازی Network Access Protection - قسمت ششم رایگان
7 آموزش راه اندازی Network Access Protection - قسمت هفتم رایگان
8 آموزش راه اندازی Network Access Protection – قسمت هشتم رایگان
9 آموزش راه اندازی Network Access Protection - قسمت نهم رایگان
زمان و قیمت کل 0″ 0
10 نظر
irpersian20

سلام

ببخشید هنگامی که mmc ما گزینه certificate را انتخاب کرده و گزینه Add را می زنیم. 3 گزینه میاورد

My user account

Service account

Computer account

کدام را انتخاب کرده؟ من هر گزینه را میزنم اما Certificate Template را نمیبنیم.

لطفا راهنمایی بفرمائید

محمد نصیری

شما الان دقیقا دارید روی کدوم سرور اینکار رو انجام می دید ؟ بایستی روی CA این Template رو ابتدا ایجاد کنید.

irpersian20

سلام

من با همان سروری که پالیسی های مربوط به complaint و non-complaint رو ایجاد کردیم.

متاسفانه هر چند بار سعی کردم این گزینه برای من نیست و

3 گزینه میاورد

My user account

Service account

Computer account

آورده و من هر گزینه را میزنم اما Certificate Template را نمیبنیم.

امکان دارد عکس یا راهنمایی بکنید ممنون

محمد نصیری

در سروری که قصد مدیریت Template های CA رو دارید مراحل زیر رو دنبال کنید :

  1. وارد Server Manager شوید .
  2. از قسمت Features Summary گزینه Add Feature را انتخاب کنید.
  3. قسمت Remote Server Administration Tools را باز کنید و به قسمت Role Administration Tools بروید.
  4. تیک Active Directory Certificate Services را انتخاب کنید و Next و Install را بزنید.
  5. Close را بزنید و اینبار وارد MMC شوید.
  6. الان بایستی بتوانید Certificate Templates را مشاهده کنید.
irpersian20

سلام

من طبق توضیحات و تنظیمات رفتم. اما در قسمت ( Certificates ( Local Computer سپس personal و new

3 enroll میاید و خبری از VPN که ما ساختیم نیست تا انتخاب کنم. :(

nazi fatemeh

سلام

من با همان سروری که پالیسی های مربوط به complaint و non-complaint رو ایجاد کردیم.

متاسفانه هر چند بار سعی کردم این گزینه برای من نیست و

3 گزینه میاورد

My user account

Service account

Computer account

آورده و من هر گزینه را میزنم اما Certificate Template را نمیبنیم.

این تنظیمات رو هم انجام داده ام

وارد Server Manager شوید .

از قسمت Features Summary گزینه Add Feature را انتخاب کنید.

قسمت Remote Server Administration Tools را باز کنید و به قسمت Role Administration Tools بروید.

تیک Active Directory Certificate Services را انتخاب کنید و Next و Install را بزنید.

Close را بزنید و اینبار وارد MMC شوید.

الان بایستی بتوانید Certificate Templates را مشاهده کنید.

amir foladi

سلام جناب مهندس من تمام مراحل تو این آموزش رو تز اول تا اینجا رفتم و گیر نداده این مورد اولین مشکل منه لطفا کمکم کنید

من وقتی در قسمت enroll کردن certificate ها میخوام عمل انرول رو روی certificate خودم به نام vpn انجام بدم همچین مشکلی مصابق عکس پایین پیش میاد

وب سایت توسینسو

که certificate که درست کردم به یوزر جاری یا همان Administrator توانایی enroll کردن رو نمیده

این مشکل در حالی پیش میائ که من در هنگام درست کردن این Certificate در تب security مجوز لازم به گروه administrator و خود ادمین رو دادم و چند بار هم چک کردم

اگه کمکم کنید ممنون میشم

محمدرضا رسولیان

سلام استاد خسته نباشید میخواستم بگم من تا به اینجای کار قدم ب قدم انجام دادم اما چیزی که شما تو مقاله بالا گفتید اصن ندیدم

لطفا راهنمایی کنید

شما در اینجا یک policy با اسم NAP VPN یا چیزی مشابه را که قبلا در همین سری مقالات ایجاد کرده ایم را بایستی مشاهده کنید

امیرحسین کریم پور

قبل از اینکه بتوانیم از پروتکل PEAP استفاده کنیم ما بایستی Computer Certificate خود را با VPN Server هماهنگ کنیم .

این کارهارو تو ویندوز کلاینت انجام میدیم؟

محمد نصیری

خیر این کارها در VPN سرور و در CA انجام میشه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....