تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش راه اندازی Direct Access در ویندوز سرور قسمت 3

در این قسمت مقدمات و پیش نیازهای نصب DirectAccess را آموزش خواهیم داد.

DirectAccess Server

بعد از انتخاب نوع سرور، فیزیکی یا بیستر مجازی اقدام به نصب DA کنید. شما می توانید DA را علاوه بر محیط GUI در Windows Server 2012 and 2016 در نسخه Core نصب کنید ولی نصب DA در نسخه Core در Windows Server 2008 R2 امکان پذیر نمی باشد. توصیه شده بعد از نصب و کانفیگ DirectAccess محیط GUI را پاک کنید ( آن را به Windows Server core تبدیل کنید).

  • نکته: اگر DirectAccess را بر روی Hyper-V نصب می کنید گذینه MAC address spoofing را بر روی آن VM فعال کنید.
وب سایت توسینسو

Operating System Installation

بعد از تعیین نوع توپولوژی و اقدامات لازم سیستم عامل DirectAccess را نصب می کنیم. من در این سری آموزشی چیزی که در بیشتر سازمانها روال هستش را انتخاب می کنم و آن هم مدل Perimeter/DMZ با یک کارت شبکه می باشد.نکته: چه در محیط تست یا در محیط واقعی جدا از DVD های که در بازار مرسوم هستش که به همراه نصب سیستم عامل یسری برنامه دیگر را نصب می کند خوداری کنید.

  • نکته: از نصب فایروالها و انتی ویروس های third-party بر روی DAخوداری کنید. اگر به هر دلیلی مجبور به نصب چنین برنامه های شدید باید مطمئن شوید اینگونه برنامه ها مزاحم عملکرد DirectAccess نشوند و بعد از نصب و جواب دادن DA این برنامه ها را نصب کنید تا مراحل عیب یابی تا حدودی آسان شود.

Dual-NIC Configuration

برای آن دسته از دوستانی که می خواهند DA را در مد Edge Facing پیاده سازی کنند مراحل زیر را انجام دهند:

سرور باید دو کارت شبکه داشته باشد یکی Internal و یکی External. کارت شبکه Internal می تواند به شبکه DMZ یا LAN متصل شود و دارای یک IP Private می باشد.

  • نکته: بر روی کارت شبکه Internal دیفالت گیت وی تعریف نکنید. در ویندوز فقط مجاز به تعریف یک Default gateway هستیم. اگر چندین Default gateway نیاز باشد از دستور Route.exe دیفالت گیت وی ها را مشخص می کنیم.
وب سایت توسینسو

و بر روی کارت شبکه External یک IP Public ست می کنیم و یک Default Gateway.

  • نکته: طبق Best Practice ها بر روی این کارت شبکه DNSی ست نکنید.
وب سایت توسینسو

اگر می خواهید از تانل Teredo استفاده کنید باید یک IP public دیگر علاوه بر IP بالا ست کنید. برای اینکار دکمه Advanced را کلیک کنید و

وب سایت توسینسو

و گذینه Register this connection’s addresses in DNS غیرفعال کنید

وب سایت توسینسو

و همچنین پروتکل NetBIOS را بر روی این کارت شبکه غیرفعال کنید

وب سایت توسینسو

و همچنین مطمئن شوید کارت شبکه Internal در تنظیمات Adapters and Bindings اولین گذینه باشد.

وب سایت توسینسو
وب سایت توسینسو

Static Routes

بعد از انجام مراحل بالا اگر DirectAccess ما در قسمت DMZ شبکه باشد باید راه دسترسی به شبکه LAN را به این سرور معرفی کنیم. سناریوی زیر را در نظر بگیرید:

وب سایت توسینسو

پس ما بوسیله دستور زیر به سرور DA می گویم برای دسترسی به شبکه 192.168.100.0/24 ترافیک را به سمت Back-End Firewall ارسال کند.

  • نکته: ایپی 10.10.10.1 ادرس کارت شبکه Back-End Firewall می باشد:
Route add 192.168.100.0 mask 255.255.255.0 10.10.10.1 –P

اگر دو قسمت قبلی را خوانده باشید شاید تعجب بکنید چرا ما هیچ گونه IPv6 ی را تنظیم نمی کنیم!!!! خوبی DirectAccess همینه با تنظیم و نصب DA ادرسهای IPv6 بصورت اتوماتیک انجام می شود و شما هیچگونه کار خواصی لازم نیست انجام دهید. اگر ساختار شما با IPv6 پیکربندی شده باشد نور علی نوره DA از این تنظیمات استفاده می کند.

Join Domain and Apply Updates

یکی از پیش نیازهای DA عضو شدن در Active Directory می باشد. لطفا قبل از Join شدن این سرور یک اسم مناسب به Hostname این سرور اختصاص دهید. همچنین بعد از جوین کردن سرور آن را ابدیت کنید. (اونور ابیا توصیه کردن حتما اینکار را انجام دهید. دوست داشتید سرور را ابدیت کنید)

Create Groups

دوتا گروه ایجاد کنید. یک گروه شامل کامپیوترهای هستش که قراره از DirectAccess استفاده کنند و تنظیمات DA بر روی آنها اعمال شود و یک گروه شامل سرورهای DA. بعدا فایده اینکار را متوجه می شوید.

وب سایت توسینسو

Certificates

سرور DA نیاز به دو سرتیفیکت دارد یکی برای تانل IPsec و یکی برای پروتکل IP-HTTPS. برای IPsec می توانید ار تمپلیت Computer استفاده کنید ولی نه بهتر است تمپلیت سفارشی برای اینکار ایجاد کنیم.خواهشا اگر هیچگونه اطلاعاتی درباره Certificate و Certificate Template ها ندارید توصیه می کنم لینک زیر را مطالعه کنید و بعد ادامه مطالب را بخوانید:

پس برای اینکار در کنسول مربوطه بر روی تمپلت Workstation Authentication راست کلیک کنید و گذینه Duplicate Template را انتخاب کنید و مراحل زیر را انجام دهید:

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

در کادر بالا گروه Authentication User and Domain computers را پاک کنید و گروه های که شامل DA Server و DA Client هستند را اضافه کنید و مجوز بالا را بر روی آنها ست کنید.

  • نکته: اگر مجوز Autoenroll را به گروه ها دادید پالاسی زیر را بر روی این کامپیوتر فعال کنید. پلاسی زیر نحوه دریافت Certificate و نحوه Renew کردن آن را بصورت اتوماتیک انجام می دهد.
وب سایت توسینسو

برای فعال کردن این پالاسی از لینک بالا که معرفی کردم استفاده کنید.اجازه بدید ی داستان کوتاه و عاشقانه برای شما تعریف کنم که خالی از لطف نیست:) یکی از دوستام برام تعریف می کرد که یک وب سرور در پتروشیمی ..... بنا به دلایلی از کار افتاد این وب سایت اطلاعات را بصورت HTTPS ارسال و دریافت می کرد، قسمت انفورماتیک آن پتروشیمی بعد از سه چهار روز سرو کله زدن نتوانستن مشکل را حل کنند این ور صدای مسئولین درامده بود که چرا تا حالا این مشکل حل نشده.....

خلاصه چند نفر خوشتیپ از شعبه اصلی شرکت اومدن تا مشکل را حل کنند ولی بازم مشکل حل نشد!!!!! همه چیز خوب و صحیح ست شده بود ولی نمی دانستند چرا کسی نمی توانست به این وب سروروصل شود!!!! دیگر خواستند دست به دامن رمال و دعا نویس شوند که یکی از نفرات آن قسمت گفت اقا میشه SSL Certificate وب سایت را چک کنید...... اره درست حدس زدید، Certificate اکسپایر شده بود و به ذهن هیچ کس نمی رسید که مشکل از آن باشد، خب فرتی این خوشتپبا Certificate را Renew کردن و مشکل حل شد.....

وقتی Certificateی 2 یا 5 سال اعتبار دارد بعد از این مدت اکسپایر می شود بعد از این همه مدت یاد اوری این مسئله خیلی سخته در نتیجه تنظیمات بالا بسیار حیاتی و ضروری هستش. بعد از انجام تنظیمات بالا DA Server and DA Client باید این Certificate را بصورت اتوماتیک دریافت کنند.

وب سایت توسینسو

SSL Certificate

SSL Certificate برای پروتکل IP-HTTPS لازم و ضروری هستش. توصیه شده این سرتیفیکت را از یک third-party ca دریافت کنید ولی می توانید از یک CA Server داخلی استفاده کنید. وقتی که همه کلاینتها به CA داخلی اعتماد دارند و لیست CRL پابلیش شده و می توانم از اینترنت بهش دسترسی داشته باشم دیگه چه دردی دارم از CA دیگه ای سرتیفیکت درخواست بدم؟؟؟ برای درخواست این سرتیفیکت از لینک زیر استفاده کنید: (آموزش زیر را برای این منظور ایجاد کردم)

Installing the DirectAccess-VPN Role

بعد از انجام مراحل بالا نوبت به نصب این سرویس می رسد. شما به دو صورت می توانید این سرویس را نصب کنید با استفاده از GUI یا Power Shell. من Power Shell را ترجیح می دهم. برای نصب این سرویس دستور زیر را در Power Shell اجرا کنید:

Install-WindowsFeature DirectAccess-VPN –IncludeManagementTools

That’s it….

وب سایت توسینسو

اگر چندین DirectAccess Server داشته باشید و همه عضو یک Cluster هستن کارهای بالا باید بر روی تک تک آنها انجام شود. انشالله در قسمت بعدی شروع به تنظیم این سرویس مهم می کنیم.به امید خدا قسمت بعدی از این سری آموزش بعد از 15 یا 20 روز دیگر اماده می شود چون واقعا سرم شلوغه و ازهمه دوستان بابت این مسئله عذرخواهی میکنم.

یا علی

نویسنده: احمد جهلولی

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند