اطلاعاتی درباره تکنیکها و روشهای مختلف پیاده سازیDirectAccess در ویندوز سرور 2019

مرسوم است که تیم شبکه بخواهد کارت شبکه خارجی سرورDirectAccess را پشت یک دیوارآتش و درون یکDMZ قرار دهد.این راهکار به معنای ایجاد یکNAT است که ترافیک را به سمت سرور هدایت م یکند. درست است که راهکار فوق قابل اجرا است وبه سرورDirectAccess اجازه میدهد از خود به شکل بهتری در زمان اتصال به اینترنت محافظت میکند، اما در عمل سرعت افت بسیار محسوسی خواهد داشت. هنگامی که کارت شبکه خارجی سرورDirectAccess خود را مستقیما به اینترنت وصل میکنید به خودتان این توانایی را م یدهید که آدرسهای آ یپی عمومی را روی کارت شبکه قرار دهید. با انجام این کار ، شما میتوانید هر سه پروتکل قبلی تونل سازی انتقال را فعال کنید، به گون های که کامپیوترهای کلاینتDirectAccess بتوانند از بین آنها بهترین نوع اتصال را انتخاب کنند اما هریک از روش های فوق چه مزایا و معایبی دارد؟

نصب در لبه واقعی- روی اینترنت

هنگامی که کارت شبکه خارجی سرورDirectAccess خود را مستقیما به اینترنت وصل میکنید به خودتان این توانایی را میدهید که آدر سهای آیپی عمومی را روی کارت شبکه قرار دهید. با انجام این کار ، شما میتوانید هر سه پروتکل قبلی تونل سازی انتقال را فعال کنید، به گونهای که کامپیوترهای کلاینتDirectAccess بتوانند از بین آنها بهترین نوع اتصال را انتخاب کنند. هنگام نصب از طریق روش لبه واقعی، نه تنها یک آدرس اینترنتی بلکه دو آدرس آیپی عمومی روی کارت شبکه خارجی خواهید داشت. اطمینان حاصل کنید که آدر سهای آیپی عمومی به صورت متقارن باشند، زیرا یکی از پیش نیازهای اصلیTeredo هستند. هنگامی که سرورDirectAccess دارای دو آدرس آیپی عمومی متقارن است که به کارت شبکه خارجی اختصاص داده شده، سرور پروتکل Teredo را برای اتصالها فعال میکند. کارت شبکه لزوماً لازم نیست مستقیماً به این ترنت وصل شود تا کار کند. بسته به قابلیتهای دیوارآتش، ممکن است یک ارتباطDMZ Bridged را زمان یکه از هیچ ارتباطNAT استفاده نمی کنید منتشر کنید. در این زمینه باید از تولیدکننده دیوارآتش سوال کنید که آیا گزینهای در این ارتباط برای سازمان شما دارند یا خیر. در این سناریو، شما هنوز هم میتوانید آدرسهای آیپی واقعی را در کارت شبکه خارجی پیکربندی کنید، اما برای محافظت و مدیریت ترافیک، استریمهای دادهای ابتدا باید از دیوارآتش عبور کنند.

نصب پشت یکNAT 

مرسوم است که تیم شبکه بخواهد کارت شبکه خارجی سرورDirectAccess را پشت یک دیوارآتش و درون یکDMZ قراردهد. این راهکار به معنای ایجاد یکNAT است که ترافیک را به سمت سرور هدایت میکند. درست است که راهکار فوق قابل اجرا است و به سرورDirectAccess اجازه میدهد از خود به شکل بهتری در زمان اتصال به اینترنت محافظت میکند، اما در عمل سرعت افت بسیار محسوسی خواهد داشت. وقتی سرورDA را پشت یکNAT نصب میکنید پروتکلTeredo دیگر کار نمیکند .در حقیقت، ویزاد پیکربندیDirectAccess هنگامی که یک آدرس آیپی خصوصی در کارت شبکه خارجی مشخص کرده باشید آنرا تشخیص میدهد و حتا پروتکل oTered را فعال نمیکند. هنگامی کهTeredo در دسترس نباشد، تمامی کلاین تهای DirectAccess شما با استفاده از پروتکلIP-HTTPS متصل میشوند. چرا در دسترس نبودن پروتکلTeredo مشکل خاصی ایجاد میکند؟ به دلیل اینکه این پروتکل کارآمدتر ازIP-HTTPS است. هنگامی که Teredo برای بسته ها یک تونل زنی انجام میدهد به سادگیIPv6 را درونIPv4 کپسوله میکند. جریان ترافیکDirectAccess همواره با الگویIPsec رمزگذاری میشوند، بنابراین نیازی به تونلTeredo برای رمزگذاری بیشتر نیست. از طرف دیگر، هنگامی کهIP-HTTPS برای بسته ها تونل زنی میکند، جریان ترافیکIPsec که از قبل رمزگذاری شده را دریافت میکند و بازهم با استفاده ازSSL آنها را رمزگذاری میکند .این بدان معنا است که تمام بسته هایی که می آیند و میروند در معرض یک رمزگذاری مضاعف قرار میگیرند که باعث افزایش چرخه پردازشی و فعالیت ب یش از اندازه پردازنده میشوند که اتصال کندتری را به وجود می آورند. همچنین بار سخت افزاری اضافی روی خود سرورDirectAccess ایجاد میشود، زیرا یک پردازش رمزگذاری دوبرابری را انجام میدهد. مضاعف رمزگذاری باعث ایجاد اتصالی به مراتب کندتر برای کاربران میشود. DirectAccess هنوز هم خوب کار م یکند، اما اگر یک لپ تاپ متصل بهTeredo در کنار یک لپتاپ متصل بهIP-HTTPS قرار دهید، تفاوت سرعت بین این دو را مشاهده خواهید کرد. خوشبختانه، در ویندوز 8 و ویندوز 10 برخی تمهیدات اضافی در نظر گرفته شده تا این اختلاف سرعت کمتر شود. این سیستم عاملهای جدید کلاینتی به اندازه کافی هوشمند هستند تا بتوانند با بخشSSL تونلIP-HTTPS با استفاده از الگوریتم رمزگذاریNULL مذاکره کنند تاIP-HTTPS رمزگذاری دوم را انجام ندهد، اما در مقابل عملکردIP-HTTPS همطراز با terodoشود
با این حال، این تکنیک تنها در ارتباط با سیستم عامل های کلاینتی جدید کار میکند در ویندوز 7 همیشهIP-HTTPS یک رمزنگاری تکراری رمزگذاری میدهد .و در برخی نیز ممکن است به درستی کار نکند. به عنوان مثال، هنگامی که شما سرور DirectAccess خود را فعال میکنید و اتصال شبکه خصوصی مجازی را فراهم میکنید یا اگر تصمیم دارید که یک سیستم گذرواژه یکبارمصرف(OTP) را در کنارDirectAccess قررا دهید، الگوریتمNULL غیرفعال میشود، زیرا در این مواقع یک خطر امنیتی شکل میگیرد و بنابراین حتی کامپیوترهای ویندوز 8 و ویندوز 10 نیز هنگام اتصال از طریقIP-HTTPS رمزگذاری مضاعف را انجام م یدهند. هما نگونه که ممکن است حدس زده باشید فعال بودن پروتکل و در دسترس بودنTeredo روی هر کامپیوتری مفید است و در صورت امکان باید از آن استفاده کرد. بهطور خلاصه، شما مطمئناً میتوانید کارت شبکه خارجی سرور DirectAccess خود را در پشت یکNAT نصب کنید، اما توجه داشته باشید که تمام کامپیوترهای کلاینتDA با استفاده از پروتکلIP-HTTPS متصل میشوند و درک اثر جانبی احتمالی در زمان پیاده سازی مهم است.

Network Location Server

Network Location Server یک مؤلفه اصلی در یک زیرساختDirectAccess است که حتا در خود سرورDA وجود ندارد یا حداقل اگر شما به درستی تنظیم کنید، نباید اینگونه باشد. سرور موقعیت یابی شبکه(NLS) سرنامNetwork Location Server به بیان ساده و بسایتی است که درون شبکه سازمانی اجرا میشود و برای دسترسی به آن نیازی به اینترنت نیست و بهتر است اینگونه نباشد. NLS به عنوان بخشی از یک مکانیسم تشخیص داخل یا خارج در کامپیوترهای کلاینتDirectAccess بوده و
به یک DA است. هر زمان که یک کلاینت Always On VPN برای Trusted Detection Network عملکرد آن مشابه با شبکه وصل میشود، به دنبال و بسایتNLS است. اگر بتواند سایت را ببیند، میداند که شما در داخل شبکه سازمانی هستید و DirectAccess مورد نیاز نیست، بنابراین آنرا خاموش میکند. با این حال، اگر با و بسایتNLS ارتباط برقرار نکند، به این معنی است که خارج از شبکه شرکت است، در این حالت مؤلف ههایDirectAccess خود را روشن میکنند.این پیش شرط به راحتی برآورده میشود. تمام کاری که باید انجام دهید این است که یکVM را ایجاد کنید وIIS را روی آن نصب کنید تا این وبسایت جدید را میزبان کند یا حتا میتوانید یک وب سایت جدید به یک وب سرور موجود در شبکه خود اضافه کنید. در تنظیم وبسایتNLS فقط باید به دو مورد دقت کنید. مورد اول این است که باید یک سایتHTTPS داشته باشید، بنابراین به یک گواهینامهSSL نیاز نیاز دار ید که درDA از آن استفاده کنید و دوم آ نکه اطمینان حاصل کنید که دسترسی به و بسایت از طریقHTTPS انجام میشود،همچنین باید اطمینان حاصل کنید که نامDNS که برای تماس با این وبسایت استفاده می کنید منحصر ب هفرد باشد. همچنین باید در
انتخاب نام برای وبسایتNLS دقت کنید، هنگامی که کامپیوترهای کلاینت در خارج از شبکه شرکتی قرار بگیرند، این نام قابل ویرایش نیست. این موضوع به دلیل طراحی است، زیرا شما به شکل صریح و روشن نمیخواهید کلاینتهایDA بتوانند هنگام کار از راه دور با موفقیت به و بسایتNLS متصل شوند، به دلیل اینکه در این حالت اتصالDirectAccess غیر فعال میشود.
دلیل اینکه نامDNS منحصر به فرد را مطرح میکنیم این است که اغلب مدیرانDirectAccess را مشاهده میکنیم که از یک و بسایت داخلی موجود به عنوان و بسایتNLS استفاده م یکنند. به عنوان مثال، اگرhttps: // intranet به عنوان یک سایت SharePoint در حال اجرا است، به سادگی از این تعریف در تنظیماتDA و به عنوان تعریف سرورNLS استفاده میکنند. پس از انجام اینکار به سرعت متوجه م یشوند که هیچ کلاینتی که از راه دور کار میکند قادر نیست به و بسایتhttps: // intranet دسترسی پیدا کند. این مشکل به دلیل طراحی است، زیرا محیطDA فعلی و بسایتintranet شما را سرورNLS میداند و زمان یکه در وضعیت ثابت قرار ندارید، فرآیندresolve را نمیتوانید انجام دهید. راه حل این مشکل چیست؟ اطمینان حاصل کنید که یک نام جدیدDNS را برای استفاده در و بسایتNLS انتخاب کرده اید. چیزی شبیه به https://nls.contoso.localمناسب است.
مهم ترین نکتهای که در مورد سرور موقعیت یابی شبکه باید به آن دقت کنید این است که باید این وبسایت را کاملاً در سرور شبکه و نه در سرورDirectAccess پیاده سازی کنید. هنگامی که از ویزاد پیکربندیDA استفاده میکنید، روی صفحه مکانی کهNLS درآن تعریف میشود را مشاهده میکنید که توصیه میکندNLS را روی یک وب سرور از راه دور مستقر کنید، اما این امکان را نیز به شما میدهد که وب سایتNLS را به صورت مستقیم در سمت خود و روی خود سرورDirectAccess قرار دهید. اما بهتر است این کار را نکنید! هنگامی کهNLS را در سرورDA میزبانی میکنید، پارامترهای مختلفی وجود دارند که ممکن است اشتباه شوند اجرایNLS روی سرورDA در آینده محدودیت هایی برایDirectAccess به وجود می آورد، زیرا برخی از تنظیمات پیشرفته DA وجود دارند که به آنها نیاز دارید و ممکن است بخواهید یکسری تنظیماتNLS که درون سرورDA قرار دارند حذف کنید، بنابراین بهتر است اولین باری که آن را تنظیم میکنید به این موارد دقت کنید. تغییر وب سایتNLS پس از اجرایDA کار چندان راحتی نیست و اغلب با ترفندهای خاصی تغییرات در آن اعمال میشوند. من به شركت های مختلفی کمک کردم تا و بسایتNLS خود را بعد از اینكه متوجه شدند كه نمیتوانندNLS را در سرورDA میزبانی كنند انتقال دهند، به ویژه زمانی که برای رشد کسب وکار یا افزونگی، مجبور بودند یك سرورDirectAccess دوم اضافه كنند. در تصویر زیر بخشی از ویزاد پیکربندیDA جایی که مکانNLS انتخاب شده است را مشاهده میکنید.

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای اجباری مشخص شده اند *
شما می توانید از این تگ های HTML و ویژگی ها استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>