DirectAccess یا AOVPN، کدامیک در ویندوز سرور 2019 عملکرد بهتری دارند؟

برای مطالعه قسمت قبل آموزش رایگان ویندوز سرور 2019 اینجا کلیک کنید. 

مشکلات مربوط به گذرواژه‌ها و ورود از طریق شبکه خصوصی مجازی سنتی

اگر به عنوان یک کارشناس helpdesk در شرکتی کار کرده باشید که ارتباطاتش بر پایه یک شبکه خصوصی مجازی برقرار می‌شد، به خوبی می‌دانید من درباره چه چیزی صحبت می‌کنم. در چنین شرکتی باید به تماس‌هایی پاسخ می‌دادید که مشکلات حول محور شبکه خصوصی مجازی و گذرواژه‌ها بودند. گاهی اوقات کاربر گذرواژه خود را فراموش کرده بود، گذرواژه منقضی شده و نیاز به تغییر داشت! شبکه خصوصی مجازی در چنین سناریوهایی عملکرد خوبی ندارد. در برخی موارد کارمندی به دلیل منقضی شدن زمان تعیین شده، گذرواژه خود را در محل کار تغییر داده بود، اما زمانی‌که به خانه رسیده بود و قصد داشت از راه دور به شبکه سازمان متصل شود به درستی به یاد نمی‌آورد از چه گذرواژه‌ای استفاده کرده است. راه‌حل مشکلات مربوط به گذرواژه‌ها در شبکه خصوصی مجازی چیست؟ گذرواژه کاربر را مجدداً تنظیم کنید و سپس به کاربر اجازه دهید در محل کار از لپ‌تاپ شرکت استفاده کند. یک کارشناس helpdesk در طول روز باید به تماس‌هایی این چنینی پاسخ دهد که واقعا  تاسف‌آور است، اما یک مشکل بالقوه واقعی در مورد شبکه‌های خصوصی مجازی قدیمی وجود دارد. راه‌حل‌های جدید دسترسی از راه دور مایکروسافت این نوع مشکل را ندارند! از آن‌جایی که DA و AOVPN بخشی از سیستم‌عامل هستند این قابلیت را دارند که هر زمان ویندوز آنلاین شد، آماده به کار شوند. این حالت در ارتباط با صفحه ورود به سیستم نیز صدق می‌کند! حتی اگر من روی صفحه ورود یا قفل قرار داشته باشم و سیستم منتظر باشد تا نام کاربری و گذرواژه خود را وارد کنم، زمانی که به اینترنت متصل می‌شوم، بازهم یک یک تونل DirectAccess یا حالت Always On VPN Device Tunnel در اختیار دارم. این بدان معنا است که می‌توانم به درستی کارهای مربوط به مدیریت گذرواژه را انجام دهم. اگر گذرواژه منقضی شده و باید آن‌را به‌روز کنم قادر به انجام این‌کار خواهم بود. اگر گذرواژه خود را فراموش کرده باشم و قادر به ورود به لپ‌تاپ‌ام نباشم، می‌توانم با مرکز پاسخ‌گویی سازمان تماس بگیرم و به سادگی از آن‌ها درخواست کننم تا گذرواژه من را ریست کنند و  بدون تاخیر از داخل خانه وارد لپ‌تاپی شوم که DA یا AOVPN روی آن فعال است. یکی دیگر از کارکردهای جالب این تکنیک یکپارچه امکان ورود به حساب کاربری جدید است. آیا تاکنون این موضوع را آزمایش کرده‌اید که به لپ‌تاپ خود با استفاده از یک حساب کاربری دیگر وارد شوید؟ باید بگوییم که DA و AOVPN در این مورد هم بدون مشکل کار می‌کنند.

توجه به این نکته مهم است که می‌توانید هر دو اتصال DirectAccess و VPN را روی ویندوز سرور 2019 که ویژگی Remote Access Server روی آن نصب شده است اجرا کنید. این قابلیت اجازه می‌دهد به دستگاه‌های کلاینتی که از DA، AOVPN و وی‌پی‌ان سنتی استفاده می‌کنند اجازه دهید به شبکه متصل شوند.

درگاه‌های مسدود شده با دیوارآتش

یکی دیگر از تماس‌های رایج و مرتبط با شبکه‌های خصوصی مجازی که یک کارشناس helpdesk به آن‌ها پاسخ می‌دهد، این است که ارتباط من با شبکه خصوصی مجازی از طریق هتل یا (به ندرت خانه) برقرار نمی‌شود. متأسفانه، بیشتر پروتکل‌هایی که شبکه‌های خصوصی مجازی برای اتصال از آن‌ها استفاده می‌کنند با دیوارهای آتش همخوانی ندارند. روترهای خانگی در اغلب موارد اجازه می‌دهند هرگونه ترافیکی وارد شود، در نتیجه از طریق اینترنت خانگی و بر مبنای پروتکل شبکه خصوصی مجازی قادر به برقراری اتصال خواهید بود، اما به محض این‌که لپ‌تاپ را به مکان دیگری همچونه یک کافی‌شاپ عمومی، هتل یا فرودگاه می‌برید و سعی در برقراری ارتباط دارید، ناگهان شبکه خصوصی مجازی یک خطای عجیب نشان می‌دهد و ارتباط برقرار نمی‌شود. این مشکل معمولاً در ارتباط با ارتباطات اینترنتی عمومی رخ می‌دهد که ترافیک آن‌ها از طریق یک دیوارآتش مسدودکننده درگاه برقرار می‌شود. برخی از دیوارهای آتش محدودیت‌هایی در ارتباط با دسترسی‌های وارد یا خارج شونده اعمال می‌کنند که این موضوع در مورد ICMP و UDP که ممکن است باعث ایجاد تداخل در ارتباطات شبکه خصوصی مجازی شوند نیز صدق می‌کند. در شرایط بدتر، دیوارهای آتش ممکن است تنها به دو پورت خروجی TCP 80 برای HTTP و TCP 443 برای ترافیک وب سایت HTTPS اجازه دسترسی بدهند و همه چیز را مسدود کنند. در صورتی که پشت یک دیوارآتش مسدودکننده یک درگاه قرار گرفته‌اید چه کاری انجام می‌دهید؟ چگونه فناوری‌های دسترسی از راه دور جدید به این مسئله رسیدگی می‌کنند؟

DirectAccess برای این مشکل نیز راهکاری دارد. سه پروتکلی که DA برای برقراری اتصال از آن‌ها استفاده می‌کند را به یاد می‌آورید؟ یکی از آن پروتکل‌ها،  IP-HTTPSاست که ترافیک آن از طریق TCP 443 جریان پیدا می‌کند. بنابراین، زمانی که ارتباط شما در پشت یک دیوارآتش سخت‌گیر قرار گرفته باشد، DA به شکل خودکار و بدون تردید ارتباط را برقرار می‌کند.

Always On VPN به‌طور کلی با بهترین الگوهایی که تصورش را می‌کنید مستقر می‌‌شود که شامل اولویت‌بندی IKEv2 به عنوان پروتکل اتصال شبکه خصوصی مجازی است. در حقیقت، برخی از شرکت‌ها AOVPN را فقط همراه با IKEv2 مستقر می‌کنند. برای این افراد، یک دیوارآتش محدودکننده پورت برای یک ارتباط VPN که تنها از IKEv2 استفاده می‌کند دردسرآفرین است. پس بهتر است به این نکته دقت کنید که هنگام تنظیم AOVPN اطمینان حاصل کنید که اقدامات لازم را برای فعال‌سازی اتصال SSTP VPN به عنوان یک روش بازگشتی را در نظر گرفته باشید. SSTP نیز ترافیک را از طریق TCP 443 انتقال می‌دهد که می‌تواند حتی از میان سخت‌گیرترین دیوارهای آتش نیز ترافیک را انتقال دهد.

برخی مواقع، مدیران شبکه مطمئن نیستند که بهتر است از DirectAccess یا Always On VPN به منظور برقراری ارتباط از راه دور دستگاه‌ها استفاده کنند. به‌طور مثال، شرکتی را فرض کنید که پروژه‌ای منعقد کرده و قرار است تعدادی کامپیوتر برای مطلب پزشکان و بیمارستانی آماده کند و قرار است به کامپیوترها اجازه دهد به‌طور خودکار به مرکز داده اصلی متصل شوند. در این سناریو، DirectAccess یا Always On VPN گزینه‌های ایده‌آلی هستند. اما برای این‌که انتخاب درستی داشته باشید باید آزمایشی انجام دهید. به‌طور مثال، در یک آزمایش ممکن است متوجه شوید برخی از شبکه‌های بیمارستانی دسترسی به اینترنت را همراه با محدودیت‌هایی ارائه می‌کنند. تنها راهی که DA می‌تواند بر این مشکل غلبه کند از طریق IP-HTTPS است و تنها راهی که AOVPN اجازه برقراری ارتباط را می‌دهد از طریق SSTP است. به نظر مشکل خاصی وجود ندارد، درست است؟ تنها مشکلی که وجود دارد این است که این ایستگاه‌های کاری از راه دور اغلب به عنوان کیوسک‌هایی استفاده می‌شوند که ممکن است پزشکان مختلفی به آن‌ها لاگین کنند. به عبارت دقیق‌تر ممکن است پزشکان یا کاربرانی که هیچ‌گاه به این کامپیوترها وارد نشده‌اند و اعتبارنامه آن‌ها درون کامپیوترها ذخیره نشده از این کامپیوترها استفاده کنند.

اگر با چنین مشکلی برخورد کردید، چاره‌ای جز این ندارید که به سراغ راهکار DirectAccess بروید. DA همیشه در صفحه لاگین متصل است، حتا زمانی که از حالت بازگشتی روش IP-HTTPS استفاده می‌کند. Always On VPN می‌تواند فقط از IKEv2 پس از ورود به سیستم استفاده کند، زیرا Device Tunnel به IKEv2 نیاز دارد که از UDP که توسط دیوارآتش مسدود می‌شود، استفاده می‌کند، بنابراین تنها راهی که AOVPN می‌تواند همواره متصل شود به‌کارگیری SSTP است، اما تا زمانی که User Tunnel راه‌اندازی شود این امکان وجود ندار، در نتیجه پس از ورود کاربر به سیستم این تکنیک جواب می‌دهد.

قطع دستی

اگر هنوز هم متقاعد نشده‌اید که شبکه‌های خصوصی مجازی سنتی دیگر جواب‌گوی نیازهای امروز نیستند، اجازه دهید به نمونه دیگری اشاره کنیم. هنگامی که از شبکه‌های خصوصی مجازی استفاده می‌کنید که نیاز دارند کاربر به شکل دستی ارتباط را برقرار کند، در حقیقت اتصال شما به کاربر وابسته است تا به صورت دستی ارتباط را فعال کند. بدون شک، سیستم‌‌های خودکاری همچون WSUS ، SCCM و Group Policy دارید که این کار را انجام می‌دهند، اما هنگامی که لپ‌تاپ خاموش است و درون شبکه محلی قرار ندارید، آن سیستم‌های مدیریتی فقط وقتی کاربر تصمیم به برقراری اتصال با شبکه خصوصی مجازی می‌گیرند، قادر هستند کارهای خود را انجام دهند. این امکان وجود دارد که یک لپ‌تاپ هفته‌ها خارج از شبکه شرکت قرار داشته باشد و یک کارمند از طریق هات‌اسپات‌ها غیر ایمن و از راه دور کارهای خود را انجام دهد و پس از گذشته چند هفته به شبکه محلی از طریق شبکه خصوصی مجازی متصل شود تا برخی از کارها را انجام دهد، در این حالت به درستی نمی‌دانید این همان کاربر شما است که مدت زمان طولانی آفلاین بوده و انواع مختلفی از نرم‌افزارها روی لپ‌تاپش نصب شده است یا خیر.

برای حل چنین مشکلاتی گزینه اتصال خودکار همچون Always On VPN یا DirectAccess استفاده می‌شوند که اجازه می‌دهند لپ‌تاپ در تمام روزهی تعطیل متصل باقی بماند و تمامی خط‌مشی‌های امنیتی را دریافت کند.

در واقع، برای آنکه یک قدم روبه‌جلو روی یک دستگاه متصل به DirectAccess بردارید نباید به کاربر اجازه دهید تا تونل‌های DA خود را غیرفعال کند. شما این توانایی را دارید که یک دکمه Disconnect برای آن‌ها ارائه کنید که البته دکمه فوق به کاربر نشان می‌دهد که ارتباط قطع شده و DA آفلاین شده است، در حالی که تونل‌های IPsec هنوز در پس‌زمینه فعال هستند و کار عادی خود را انجام می‌دهند.

قابلیت‌های تعادل بار بومی

کنسول Remote Access Management در ویندوز سرور 2019 به قابلیت‌هایی برای پیکربندی و مدیریت آرایه‌هایی از سرورهای DA تجهیز شده است. می‌توانید چند سرور DA روی یکدیگر پشته کنید، آن‌ها را به یکدیگر گره بزند و آرایه‌ای متعادل از آن‌ها به وجود آورید بدون آن‌که هیچ‌گونه سخت‌افزار اضافی یا سنتی برای انجام این‌کار نیاز باشد. این امکان نیز وجود دارد تا موجودیتی به‌نام DirectAccess multisite را پیکربندی کنید که اجازه می‌دهد سرورهای DirectAccess که در مکان‌های مختلف جغرافیایی قرار دارند را پیکربندی کنید و آرایه‌ای انعطاف‌پذیر از آن‌ها به وجود آورید. تقریبا هر شرکتی که DirectAccess را اجرا می‌کند یک محیط کاربری اضافی را برای متعادل‌سازی بار داخلی درون شرکتی یا چندجزیی پیکربندی می‌کند، زیرا قابلیت‌های از پیش ساخته شده به آسانی قابل تنظیم هستند. متأسفانه، این قابلیت‌ها هنوز به دنیای Microsoft VPN مایکروسافت وارد نشده‌اند. این‌که کلاینت‌های مجهز به ویندوز سرور 7 از یک ارتباط شبکه خصوصی مجازی سنتی استفاده می‌کنند یا کلاینت‌ها از ویندوز 10 و ویژگی Always On VPN استفاده می‌کنند، در هر دو حالت زیرساخت ستون فقرات را RRAS VPN شکل می‌دهد.

در شماره آینده آموزش رایگان ویندوز سرور 2019 مبحث فوق را ادامه خواهیم رفت.

برای مطالعه تمام بخش‌های آموزش ویندوز سرور 2019 روی لینک زیر کلیک کنید:

آموزش رایگان ویندوز سرور 2019