سلام بر دوستان عزیز آیتی پرویی و علاقهمندان به مباحث شبکه. بحث دسترسیهای Remote و یا همان Remote Accessها به منابع شبکه، شاید تاکنون مورد استفاده خیلی از دوستان بوده است اما استفاده از آن محدود به استفاده از RRAS مانده است. امروز با تکنولوژی جدیدی در کنار RRAS از خانواده Remote Access ها آشنا میشویم که اگرچه مایکروسافت این سرویس را در ویندوز سرور 2008R2 لحاظ کرده است اما وجود مشکلاتی، استفاده از آن را غیرممکن ساخته بود تا این که در ویندوز سرور 2012 بابرطرف شدن این باگها استفاده از این سرویس نیز در بین علاقهمندان شدت گرفته است. DirectAccess همانند RRAS، یکی از تکنولوژیهای موجود در مفهوم Remote Access است که در اینجا اجمالا به معرفی و آشنایی با آن پرداختهایم.
Remote Access چیست؟
در ویندوز سرور 2012R2، رول مربوط به Remote Access Server، شامل یک گروه منطقی از تکنولوژیهای دسترسی به شبکه میشود که همگی جزو سرویسهای ارائه شده در این رول بهحساب میآیند:
- DirectAccess: این تکنولوژی برقراری ارتباط با منابع شبکه یک شرکت را بدون نیاز به ارتباطات مرسوم و رایج VPN، مهیا میسازد.
- (Routing and Remote Access service(RRAS: این تکنولوژی با استفاده از کانالهای VPN و یا Dial-up کاربر ریموت و ارتباط Site-to-Site را پشتیبانی میکند.همچنین این تکنولوژی به شما امکان این را میدهد تا بتوانید چندین Gateway را تعریف کنید و ترافیک را بین Subnet های مختلف مسیردهی نمایید.
- Web Application Proxy: این تکنولوژی عملکردی معکوس در مورد مسیر پروکسی برنامههای تحت وب را اجرا میکند و بدین وسیله به کاربران با هر دیوایسی اجازه میدهد تا از خارج از شبکه به برنامه تحت وب شما ارتباط برقرار کنند. Web Application Proxy دسترسی به برنامههای تحت وب را بوسیله (Active Directory Federation Services (AD FS از پیش احراز هویت (Pre-Authenticate) میکند و به عنوان یک AD FS Proxy عمل میکند.
در ویندوز سرور 2012، رول Remote Access، شامل DirectAccess و RRAS بوده و همچنین قابلیت مدیریت مرکزی، ساختاربندی و مانیتورینگ DirectAccess، Routing و VPN ( در سرویس remote access) را هم داراست.در ویندوز سرور 2008، ویندوز سرور 2003 و ویندوز سرور 2000، Remot Access محدود به RRAS میشد که در آن هم فقط سرویسهای Dial-up، VPN، NAT و Routing را ارائه شده بود.
DirectAccess چیست ؟
این سرویس که به Unified remote Access هم خوانده میشود، تکنولوژیای شبیه به VPN است که ارتباط اینترنت برای کامپیوترهای کلاینت برقرار میسازد. بر خلاف ارتباطات سنتی و رایج VPN که بایستی حتما توسط کاربر آغاز میشد و خاتمه مییابید، ارتباطات DirectAccess طوری طراحی شدهاند که به محض وصل شدن به اینترنت، بطور خودکار شروع به کار کنند. این سرویس که در ویندوز سرور 2008R2 معرفی شد، سرویس خود را برای ویندوز 7 و ویندوز 8 ارائه میکند.
در سال 2010 همگام با انتشار(Microsoft Forefront Unified Access (UAG پیاده سازی DirectAccess در ویندوز سرور 2008R2 بسیار سادهتر شد چرا که این نرم افزار شامل قابلیتهای اضافهتری بود که یکپارچهسازی را بدون نیاز به استفاده از IPv6 بسیار ساده میکرد و همچنین یک واسط کاربری اختصاصی را جهت ساختاربندی و مانیتورینگ در اختیار یوزر میگذاشت.برخی محدودیتها و پیشنیازها که بخشی از طراحی DirecAccess در ویندوز سرور 2008R2 و UAG بود، تغیر یافته است که در زیر به آنها اشاره خواهد شد.
از آنجایی که DirectAccess بر اساس تکنولوژی مایکروسافت ایجاد شده است، استفاده از این سرویس در یونیکس و لینوکس با نرم افزارهای Third-party امکان پذیر است. در ویندوز سرور 2012،DirectAccess کاملا در سیستمعامل یکپارچه سازی شده است و علاوه برپشتیبانی IPv6 و IPv4، واسط کاربری را جهت ساختاربندی به کاربر عرضه کرده است.
تکنولوژی مورد استفاده در Direct Access
این تکنولوژی تونلهای IPsec را از کلاینت به سرور DirectAccess برقرار کرده و از IPv6 برای دسترسی به منابع اینترنتی یا دیگر کلاینتهای DirecyAccess استفاده میکند. این تکنولوژی بستههای IPv6 را تحت IPv4 (که توانایی دسترسی به اینترنت از طریق اینترانت را دارند) جاسازی(Encapsulate) میکند.پس تمام ترافیکهای اینترانت توسط IPsec رمزنگاری شده و در قالب بستههای IPv4، جاسازی میشوند و این بدان معنی است که در اکثر موارد هیچ ساختاربندی خاصی برای فایروال و یا پروکسی نیاز نمیباشد.
یک DirectAccess Client فقط میتواند از یکی از شیوههای متعدد تکنولوژی Tunneling استفاده کند و آنهم بسته به نوع شبکهای است که به آن وصل است. کلاینت میتواند از 6to4، Teredo tunneling یا IP-HTTPS بسته به این که سرور برای استفاده از کدامیک از آنها ساختاربندی شده است، استفاده کند. برای مثال کلاینتی که بطور مستقیم به اینترنت وصل است، از 6to4 استفاده میکند اما اگر این کلاینت بواسطه یک شبکه NAT شده، اینترنت را دریافت کند، از Teredo tunneling استفاده کرده است. علاوه بر این ویندوز سرور2012 دو سرویس سازگار DNS64 و NAT64 را ارائه کرده است که به DirectAccess Client این اجازه را میدهد تا در کنار شبکه شرکت، بتواند با سرورها نیز تعامل داشته باشد و تنها شرط آن این است که سرورها بر پایه IPv4 کار کنند.
پیش نیازهای راه اندازی Direct Access
برای استفاده از سرویس DirectAccess در ویندوز سرور2008R2 و UAG، پیش نیازهای زیر مورد نیاز است:
- سرور(های) DirectAccess که بر روی پلتفرم سرور ویندوز 2008R2 اجرا میشوند باید دو کارت شبکه داشته باشند: یکی که مستقیما به اینترنت وصل است و دیگری به اینترانت.
- بر روی سرور DirectAccess حداقل دو IP آدرس معتبر (Public) و متوالی باید به کارت شبکهای که به اینترنت وصل است، اختصاص داده شده باشد.
- کلاینت مورد نظر بایستی دارای پلتفرم ویندوز7 با ادیشنهای "Ultimate" یا "Enterprise" و یا ویندوز 8 با ادیشن "Enterprise" باشد.
- حداقل یکی از سرورهای DC و DNS باید دارای سیستم عامل ویندوز سرور 2008SP2 یا 2008R2 باشند.
- PKI که به Certificateها اختصاص داده شود.
DirectAccess در ویندوز سرور 2012 به موارد زیر نیازمند است:
- سرورهای DirectAccess دارای ویندوز سرور 2012 و یک یا بیش از یک کارت شبکه باشند.
- حداقل یکی از سرورهای DC و DNS باید دارای سیستم عامل ویندوز سرور 2008SP2 یا 2008R2 باشند.
- کلاینت مورد نظر بایستی دارای پلتفرم ویندوز7 با ادیشنهای "Ultimate" یا "Enterprise" و یا ویندوز 8 با ادیشن "Enterprise" باشد.
- PKI برای کلاینتهایی که از ویندوز 8 استفاده میکنند، نیاز نیست.
مشکلات
مشکلاتی در عملکرد DirectAccess در ویندوز سرور 2008R2 وجود دارد که در زیر به آنها اشاره خواهد شد : نسخه DirectAccess موجود در ویندوز سرور 2008R2 (نسخه موجود در UAG مد نظر نمیباشد) اجبارا شما را در هردوطرف ارتباط مجبور به استفاده از IPv6 میکند. این در حالی که مایکروسافت سرویس NAT64 (تبدیل IPv6 به IPv4) را در بنیان نسخه DirectAccess موجود در ویندوز سرور 2008R2لحاظ نکرده است. که این موضوع در مورد UAG صدق نمیکند و سرویس NAT64 در DirectAccess آن موجود میباشد. مایکروسافت این نقیصه را در نسخه DirectAccess سرور 2012 خود برطرف نموده است و تماما IPv4 پشتیبانی میشود.
پیروز و مانا باشید
خواهش میکنم محسن جان. امیدوارم مفید بوده باشه
مرسی