Xulosalar Savollar ipv6-ga kirish
Haqiqiy konturni sozlash - Onlayn
Download 458.46 Kb.
|
6-labaratoriya
- Bu sahifa navigatsiya:
- NAT orqasida ornatish
- Https: //nls.contoso.local
|
Haqiqiy konturni sozlash - Onlayn
DirectAccess Server tashqi NIC-ni to'g'ridan-to'g'ri Internetga ulaganingizda, ushbu NIC-da haqiqiy umumiy IP-manzilni joylashtirishingiz mumkinligiga kafolat berasiz. Shunday qilib, ushbu DirectAccess mijoz kompyuterlari o'zaro eng yaxshi aloqa opsiyasini tanlab olishlari uchun yuqori oqimdagi daraxtga tunnellashtirilgan protokollarni o'tkazishga imkon yaratasiz . Haqiqiy cheklash usulini o'rnatishda siz bunday tashqi NIC-ga nafaqat bitta, balki ikkita umumiy IP-manzilni joylashtirishingiz kerak. Ochiq manzillaringiz bir vaqtda bo'lishiga ishonch hosil qiling, chunki bu Teredo uchun talab . Sizning DirectAccess serveringizda tashqi NIC-ga tayinlangan ikkita parallel, umumiy IP-manzillar mavjud bo'lganda, bu Teredo protokoliga ulanishlarni baham ko'rishga imkon beradi . NAT orqasida o'rnatish Sizning tarmoq tarmog'ingiz uchun ko'proq tez-tez uchraydigan narsa, DirectAccess Serverning tashqi NIC- ni DMZ ichidagi xavfsizlik devori orqasida joylashtirishni xohlash bo'ladi. Bu odatda almashinuvni serveringizga etkazish uchun qandaydir NAT yaratishni anglatadi. Bu DirectAccess serverini o'zini butun dunyodagi Internetdan yaxshiroq himoya qilishi mumkin bo'lsa-da, bu katta salbiy tomonga ega. DA serveringizni NAT orqasida o'rnatganingizda, Teredo endi ishlamaydi. Darhaqiqat, DirectAccess konfiguratsiya ustasi tashqi NIC-da ro'yxatdan o'tgan ma'lum bir shaxsiy IP-manzilingiz bo'lmaganida va hatto Teredo- ni yoqishga urinmasligini tan oladi. Chunki bu IP-HTTPS ga qaraganda samaraliroq protokol. Qachon yog'och qurti paketlarini tunnel, u oddiygina IPv4 doirasida IPv6 o'rar. DirectAccess trafigining o'zi allaqachon va har doim IPsec bilan shifrlangan, shuning uchun Teredo protokoli uchun qo'shimcha shifrlash talab qilinmaydi. Boshqa tomondan, IP-HTTPS paketlarni tunnellashda, u allaqachon shifrlangan IPsec trafigini oladi va SSL yordamida ikkinchi marta shifrlaydi. Barcha bu vosita barcha kiruvchi paketlar qo'shimcha ishlov berish va CPU tsikllari tortiladi va ulanish sekinlashadi tomon harakat qilmoqda. Bundan tashqari, DirectAccess serverining o'ziga qo'shimcha qo'shimcha yuk tushadi , chunki endi u shifrlash jarayonini ikki marta boshqaradi. Mijoz kompyuterida o'rnatilgan Windows 7-ni ishlayotganingizda, bu ayniqsa aniq muammo . Shunday qilib, er-xotin shifrlash jarayoni sizning foydalanuvchilaringiz uchun ulanishni ancha sekinlashtiradi. DirectAccess hali ham yaxshi ishlaydi, lekin agar siz IP-HTTPS ulanishiga ega noutbuk yonida Teredo ulanishi bo'lgan noutbukda o'tirsangiz , bu ikkalasi orasidagi tezlik farqini sezasiz. In Windows 8 va Windows 10 tezlikda bu nomuvofiqlik yordam ba'zi qarshi qo'shilgan edi. Ushbu yangi operatsion tizimlar IP-HTTPS tunnelining SSL qismini nolinchi shifrlash yordamida rad eta oladigan darajada aqlli, ya'ni IP-HTTPS qayta shifrlamaydi va uning ishlashi Teredo-ga juda yaqin . Biroq, bu faqat yangi mijoz operatsion tizimlari bilan ishlaydi va hali ham ba'zi hollarda ishlamaydi. Misol uchun, siz server kirganingizda DirectAccess ham VPN ulanishlarni qo'llab-quvvatlash uchun, yoki bir martalik parol tizimini foydalanishni tanlasangiz ( OTP , o'tgan The-Password ) bilan birga DirectAccess bu vaziyatda u bo'lishi mumkin, chunki, keyin, algoritm nogiron bo'ladi nol ba'zi xavfsizlik xavfi, shuning uchun ham IP-HTTPS orqali ulanganingizda Windows 8 va Windows 10 kompyuterlaringiz ikki marta shifrlashni amalga oshiradi. Ko'rib turganingizdek, Teredo yoqilganligi va shu sababli uni Teredo orqali bunday aloqani o'rnatishi mumkin bo'lgan barcha kompyuterlarga taqdim etishi muhim ustunlik bo'ladi . Xulosa qilish uchun, albatta, NAT-ning orqasida DirectAccess serveringizning tashqi NIC-ni o'rnatishingiz mumkin , ammo barcha mijoz kompyuterlaringiz IP-HTTPS yordamida ulanishini unutmang va ushbu dasturning barcha jihatlarini tushunish muhimdir. Tarmoq joylashuvi serveri DirectAccess infratuzilmasidagi ushbu asosiy komponent DA-serverning o'zida mavjud bo'lmagan narsadir yoki hech bo'lmaganda narsalarni to'g'ri o'rnatgan bo'lsangiz ham bo'lmasligi kerak. NLS ( Network Location Server ) bu shunchaki sizning korporativ tarmoq muhitida ishlaydigan veb-sayt. Bu server emas hisobot bor miet internetga kirish uchun qobiliyatini, albatta, bo'lishi kerak emas. NLS DirectAccess mijoz kompyuterlarida ichki / tashqi aniqlash mexanizmining bir qismi sifatida ishlatiladi . DA mijozi har doim tarmoqqa ulanishni qabul qilganda, ushbu NLS veb-saytini qidirishni boshlaydi. Agar u ushbu saytni ko'rsa, demak u o'zining korporativ tarmoq muhitida ekanligini biladi va DirectAccess talab qilinmaydi, shuning uchun u o'zini o'chiradi. Ammo, agar sizning NLS bilan bog'lanish imkoni bo'lmasa, demak, siz o'zingizning korporativ tarmoq muhitingizdan tashqarida bo'lasiz va DirectAccess komponentlaringiz sozlashni boshlaydi. Ushbu shartni qondirish oson; siz qilishingiz kerak bo'lgan narsa - VM-ni aylantirish va unga yangi veb-saytni joylashtirish uchun IIS-ni o'rnatish, yoki siz o'zingizning tarmoq muhitingizda mavjud veb-serverga yangi veb-sayt qo'shishingiz mumkin. NLS veb-saytini o'rnatishda faqat ikkita narsani hisobga olish kerak. Birinchisi, bu HTTPS sayti bo'lishi kerak va shuning uchun unga biron bir SSL sertifikati kerak. Biz ushbu bobning keyingi qismida DA-da sertifikatlarni, shu jumladan ushbu sertifikatlarni ishlatishni muhokama qilamiz . Bundan tashqari, ushbu veb-saytga HTTPS orqali kirishni ta'minlash uchun siz ushbu veb-sayt bilan o'zaro aloqada bo'lgan DNS nomining o'ziga xosligini ta'minlashingiz kerak. Siz buni albatta amalga oshirishni xohlaysiz, chunki ushbu NLS veb-sayti uchun har qanday nomni tanlaganingizda, mijoz kompyuteringiz sizning korporativ tarmoq muhitingizdan tashqarida bo'lganda hal qilinmasligi kerak. Bu loyihaning bir qismi bo'lishi kerak, chunki siz o'zingizning DA mijozlaringiz uzoqdan ishlayotganda sizning NLS veb-saytingiz bilan muvaffaqiyatli aloqada bo'lishlarini istamaysiz , chunki bu ularning DirectAccess ulanishini o'chirib qo'yadi. Ushbu noyob DNS nomini kiritishimning sababi shundaki, men DirectAccess ma'murlarini mavjud ichki veb-saytni o'zlarining NLS veb-saytlari sifatida ishlatishini tez-tez ko'rib turaman . masalan , SharePoint sayti sifatida ishlaydigan https: // intranet tarmog'iga ega bo'lsangiz, uni shunchaki DA sozlamalarida NLS serveringiz ta'rifi sifatida ishlatishingiz mumkin. Agar bo'lsa, konfiguratsiya buni, siz tez hech kim sizning kirishingiz mumkin hech ish deb topasiz // intranet: https sayt . Buning sababi me'moriy sababdir, chunki sizning DA sizning intranet veb-saytingizni NLS-server deb hisoblaydi va siz uning nomini mobil holda hal qila olmaysiz. Ushbu muammoning echimi qanday? Ushbu NLS veb-saytida foydalanish uchun yangi DNS nomini tanlaganingizga ishonch hosil qiling . Https: //nls.contoso.local kabi bir narsa amalga oshiriladi . DA sozlash ustasini ishlayotganingizda, biz sizga NLS-ni belgilaydigan ekran bilan kutib olamiz, bu tavsiya etiladi, lekin u ushbu NLS veb-saytini to'g'ridan-to'g'ri DirectAccess- serveringizda joylashtirish imkoniyatini beradi . DA serverida NLS-ni birgalikda joylashtirganda juda ko'p yomon narsalar yuz berishi mumkin, shuning uchun bundan uzoqroq turing. Serverdagi DA haqida NLS ijrosi, shuningdek, uchun salohiyatini cheklab DirectAccess ba'zi rivojlangan sozlash DA deb, kelajakda tebuyut Assalamu siz juda birinchi o'rnatish da o'ng darhol uni, albatta, mumkin, shuning uchun sizni baribir, siz server DA dan olib tashlash uchun NLS. DA ishlab chiqarishda bo'lganingizdan so'ng veb-saytingizni o'zgartirish juda qiyin bo'lishi mumkin va ko'pincha noto'g'ri bo'ladi. Men kompaniyalari ko'p keyin ularning NLS sayt ko'chirish yordami kerak edi ayting ro'yobga ular qo'lidan ularni DA serverda emas CO-mezbon NLS bo'lsa va ular ikkinchi qo'shish istagan paytda DirectAccess server o'sish yoki ishdan uchun. NLS manzilini tanlagan DA sozlash ustangizdagi ushbu bo'limning ekran tasviri, siz eng yaxshi tanlov bilan qolganingizga ishonch hosil qiling! Rasm 3 DirectAccess-da ishlatiladigan sertifikatlar DirectAccess-ning IPv6- dan qanday foydalanishini o'qish va tushunmaslikdan tashqari, DirectAccess- ni sinab ko'rishga qiziqqan ma'murlar uchun yana bir katta o'chirish mavjud . DA qanday ishlashi haqida o'qishni boshlaganingizda, sertifikatlar bir nechta turli joylarda talab qilinishini tezda anglaysiz. Ammo TechNet orqali qaerga borganingizda qanday sertifikatlar kerakligini aniqlash qiyin , shuning uchun ushbu bo'lim DirectAccess sertifikatlari atrofida yuzaga kelishi mumkin bo'lgan barcha chalkashliklarni bartaraf etishga xizmat qiladi . Aslida, nima qilish kerakligini va nima qilmaslik kerakligini bilsangiz, bu juda qiyin emas. Asosiy shart - bu sizning tarmoq muhitingizda Windows CA-serveringiz bo'lishi . Sizning PKI dasturining sifati DirectAccess uchun unchalik muhim emas . Bizga DA-serveringiz va mijozlaringiz uchun sertifikatlar berish imkoniyati kerak. DirectAccess-da sertifikatlar ishlatiladigan uchta joy mavjud, ulardan ikkitasi SSL sertifikatlari. Download 458.46 Kb. Do'stlaringiz bilan baham: 
|