در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Direct Access در ویندوز سرور قسمت 5

یکی از تفاوت های که بین اتصالات VPN و اتصالات DirectAccess وجود دارد دو طرفه بودن ارتباط DA Client و DA Server می باشد. علاوه بر اتصال DA Client ها به منابع سازمان ادمین می تواند از داخل شبکه به DA Client ریموت بزند و آن را مدیریت کند.ارتباطات بین DA Client and Server استفاده از IPv6 می باشد بصورت مختصر برای اینکه ادمین و Help Disk ها بتوانند DA Client ها را مدیریت کنند باید یک IPv6 بر روی کامپیوترهای آنها ست شود. قبل از هر چیز به اتصال ادمین از درون شبکه به DirectAccess Client ها در اینترنت را Managing Out میگویند. به خاطر داشته باشید.

ISATAP

در IPv6 تانلی وجود دارد که پکتهای IPv6 را درون این تانل کپسوله می کند و با استفاده از بستر IPv4 آنها را منتقل می کند نام این تانل Intrasite Automatic Tunnel Addressing Protocol یا ISATAP می باشد که بصورت پیش فرض بر روی کلاینتها فعال می باشد:

وب سایت توسینسو

حتما برای شما سوال پیش اومده که فرق بین تانل های 6to4, Teredo and IP-HTTPS و تانل ISATAP در چیست؟؟؟

ما دو نوع تانل داریم:

    1. بعضی از تانل ها بر روی دیوایسی که در Edgeشبکه قرار دارند تنظیم می شوند و برای متصل کردن دو شبکه IPv6 با هم مورد استفاده قرار میگیرد.که تانل های to4, Teredo and IP-HTTPS6 در این گروه قرار می گیرند.
    2. و یک نمونه تانل داریم که درون شبکه یا سایت تنظیم می شود. و برای دادن یک Unicast IPv6 به کامپیوترها استفاده می شود. که ISATAP در این گروه قرار میگیرد. (در بعضی از سایتها و منابع آموزشی ذکرکردن که می توان از این تانل بین دو روتر استفاده کرده)

Overlay tunnels can be configured between border routers or between a border router and a host. An automatic 6to4 tunnel allows isolated IPv6 domains to be connected over an IPv4 network to remote IPv6 networks. ISATAP is designed for transporting IPv6 packets within a site, not between sites.

IPv6 Implementation Guide

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/xe-3s/ipv6-xe-36s-book/ip6-tunnel.html

برای اینکه ما بتوانیم از تانل ISATAP استفاده کنیم نیازمند یک ISATAP Router هستیم که تنظیمات IPv6 را به کلاینتهای درون شبکه واگذار کند.

ISATAP Router

خوشبختانه نیاز به خریدن روتر سخت افزاری ندارید چون خود DirectAccess Server نقش ISATAP Router را ایفا می کند. و با نصب DirectAccess این قابلیت بر روی آن نصب و کانفیگ می شود.

  • نکته اول: اگر شما DirectAccess را بصورت Cluster یا load balancing پیاده سازی کرده اید کلا بیخیال این مقاله بشید چون این روش در سناریوهای Clustering ساپورت نمی شود. و شما باید از یک ISATAP Router سخت افزاری استفاده کنید.
  • نکته دوم: اگر بین ادمین یا Help Disk و DirectAccess Server یک فایروال باشد باید ترافیک inbound and outbound IP protocol 41 را در فایروال بین این دو آزاد کنید.

بد نیست یک نگاهی به لینک زیر بندازید:

http://www.isaserver.org/articles-tutorials/general/implementing-windows-server-2012-directaccess-behind-forefront-tmg-part2.html

ISATAP Client

برای استفاده از روش Managing Out باید به کلاینتها حالی کنیم که از DirectAccess Server به عنوان یک ISATAP Router استفاده کنند. برای اینکار ما می توانیم تنظیمات را بصورت دستی (Power Shell) یا بصورت اتوماتیک (Group Policy) انجام دهیم که من روش اتوماتیک را انتخاب می کنم. ولی قبل از اینکار باید تنظیمات DNS را انجام دهیم.

DNS

در بالا گفتیم که تانل ISATAP بصورت پیش فرض بر روی ویندوزها فعال می باشد. خب مسئله بعدی اگر کلاینتها بتوانند اسم ISATAP در DNS را به IP ادرس ISATAP Router ریزالو کنند تمام تنظیمات را بصورت اتوماتیک از ISATAP Router دریافت و بر روی خود اعمال می کنند. پس ما یک اسم به نام ISATAP با IP ادرس DirectAccess Server در DNS ایجاد می کنیم:

وب سایت توسینسو

یادتون باشه بصورت پیش فرض DNS Server به درخواستهای ISATAP جواب نمی دهد چون ISATAP در لیست DNS Global Query Block list می باشد. برای حدف ISATAP از این لیست دستور زیر را در DNS Server وارد کنید:

Set-DnsServerGlobalQueryBlockList -List wpad

ولی این نوع تنظیمات، حرفه ای و به درد سازمانهای بزرگ نمی خورد فرض کنید Help Disk شما 50 نفر هستند شما باید دستی این دستورات را بر روی این 50 نفر اجرا کنید؟ یک مشکل دیگر هم وجود دارد و آن هم اینکه اگر کاربری بتواند ISATAP را بر روی کامپیوتر خود فعال کند بصورت اتوماتیک تنظیمات ISATAP را دریافت می کند و در صورت داشتن User/Pass میتواند به DirectAccess Client دسترسی داشته باشد. برای حل کردن این مشکلات راه حل زیر را انجام دهید.

Group Policy

بصورت پیش فرض کلاینتها برای دریافت تنظیمات ISATAP به دنبال رکوردی مشابه به ISATAP در DNS هستند و اگر این رکورد را پیدا کنند به ISATAP Router وصل می شوند. برای جلو گیری از اتصال کلاینتها به ISATAP Router ما اسم ISATAP را به اسم دیگری تعقیر می دهیم مانند ISATAP-DA و این اسم را به عنوان یک ISATAP Router به بعضی از کاربران معرفی می کنیم و همچنین ISATAP را نیز فعال می کنیم. جالبه همه این کارا را می توان بوسیله GPO انجام داد.

وب سایت توسینسو

بعد از ایجاد رکورد بالا برای مدیریت بهتر, یک گروه می سازیم و کامپیوترهای که Managing Out را انجام می دهند را عضو این گروه می کنیم و بعد از آن Policy های زیر را بر روی آنها اعمال می کنیم:

وب سایت توسینسو

به مسیر بالا رفته و FQDN مربوطه به ISATAP Router را وارد کنید. در مثال بالا FQDN من:

ISATAP-DA.MAHSHAHER.LOCAL

بعد از آن باید ISATAP را بر روی این کامپیوترها فعال کنیم. برای اینکار در همان صفحه و انتخاب گذینه:

وب سایت توسینسو

و در آخر این Policy را بر روی گروه مورد نظر اعمال کنید.

وب سایت توسینسو

Connectivity Testing

بعد از اعمال Policy بالا Help Disk ها باید تنظیمات ISATAP را دریافت کنند.

وب سایت توسینسو

Windows Firewall

بعد از تنظیمات بالا شما باید ترافیک ICMPv6 وهمچنین ترافیک RDP یا برنامه مورد نظر خود را بر روی ویندوز فایروال DA Client آزاد کنید. برای اینکار ما از Group Policy استفاده می کنیم. برای اینکار:

وب سایت توسینسو

همچنین بوسیله GPO ریموت دسکتاپ را فعال کنید که فعال کردن و ایجاد رول های بالا یک امر بدیهی هستش ونیازی به توضیح خاصی ندارد.

DirectAccess Management Computers

مرحله بعدی باید درServer DirectAccess به کامپیوترهای Managing out اجازه اتصال به DA client ها را بدهیم. برای اینکار در Step 3 دکمه Edit را کلیک کنید

وب سایت توسینسو

و FQDN های مورد نظر را وارد کنید. همچنین می توانید با یک دستور اینکار را انجام دهید:

Add-DAMgmtServer -MgmtServer [management server FQDN]

DNS Dynamic Updates

موضوع بعدی که از اهمیت زیادی برخورداره ثبت رکورد DA Client ها در DNS می باشد. برای اینکه ادمین بتواند به DA Client ها وصل شود DA Client ها باید AAA Record خود را در DNS ثبت کنند در غیر این صورت نمی توان به آنها وصل شد.در سناریوی که انجام دادم در مرحله اول DA Client ها نتوانستند رکورد خود را ثبت کنند بعد از کمی سرچ کردن متوجه شدم که باید Policy زیر را تعقیر داد:

وب سایت توسینسو

بعد از اینکار DA Client ها توانستند رکورد خود را ثبت کنند:

وب سایت توسینسو

آنهای که از Windows Server 2008 استفاده می کنند حتما لینک زیر را مطالعه کنند.

DNS server requirements for ISATAP

https://technet.microsoft.com/en-us/library/ee382323(v=ws.10).aspx

الان باید بتوانم DA Client را Ping کنم و همچنین به آن Remote بزنم

وب سایت توسینسو
وب سایت توسینسو

موفق و پیروز باشید.

نویسنده: احمد جهلولی

عنوان
1 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 1 رایگان
2 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 2 رایگان
3 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 3 رایگان
4 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 4 رایگان
5 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 5 رایگان
6 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 6 رایگان
7 آموزش راه اندازی Direct Access در ویندوز سرور قسمت 7 رایگان
زمان و قیمت کل 0″ 0
4 نظر
محمد نصیری

یعنی هر موقع احمد جهلولی مطلبی داخل وب سایت میزاره دوست دارم از ابتدا تا انتهاش کامل بخونم ... کامل و جامع و دقیق

احمد جهلولی

ممنون مهندس نظر لطفتونه. خوشحالم مفید بوده

صادق عبادالهی

سلام. به نظر شما برای ارتباط 2 تا شبکه که روی edge هر کدوم کریو کنترل هست، بهتره از VPN خودِ کریو استفاده بشه یا از Direct Access ؟

احمد جهلولی

این قابلیت برای اتصال دو شعبه مناسب نیست.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....