در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

رفع مشکلات معمول سرویس Secure NAT در TMG قسمت 2

در قسمت اول از این سری مقاله دو بخشی ، ما در خصوص چگونگی رفع اشکال TMG Secure NAT Client ها صحبت کردیم که شامل مباحثی در خصوص پروتکل های پیچیده یا Complex Protocols و مشکلات دسترسی به وب سایت ها و همچنین مشکلات کلی در برقراری ارتباط با اینترنت بود. همانطور که در انتهای مقاله قبلی نیز عنوان کردیم یکی دیگر از مشکلات بسیار مهم در رفع اشکال مشکلات ناشی از DNS یا بهتر بگوییم Name Resolution نادرست است. در قسمت دوم از این سری مقاله در خصوص مشکلات مربوط به Name Resolution و DNS و همچنین شیوه طراحی یک ساختار مناسب Name Resolution برای شبکه داخلی و خارجی بسته به محل قرار گیری DNS سرور شما صحبت خواهیم کرد. پس تا انتهای مقاله با ما باشید.
رفع مشکلات معمول سرویس Secure NAT  در Forefront TMG 2010 - قسمت دوم

مشکلات Name Resolution در فایروال TMG 2010


اولین نکته ای که در خصوص Name Resolution باید بدانید این است که Secure NAT Client ها نمی توانند از فایروال TMG برای Resolve کردن اسامی وب سایت ها استفاده کنند. به این نکته توجه کنید که بر خلاف TMG Firewall Client ها و Web Proxy Client ها که می توانند فرآیند Name Resolution را به گردن فایروال TMG بیاندازند ، Secure NAT Client ها نمی توانند چنین کاری کنند.نکته قابل توجه در این خصوص این است که در حالت Secure NAT Client درخواست های DNS با استفاده از آدرس DNS ای انجام می شود که بر روی کامپیوتر کلاینت ها تعریف شده است. در این حالت DNS سروری که مشخص شده است می تواند یک DNS سرور داخلی باشد یا یک DNS سرور خارج از شبکه که در اینترنت وجود دارد. مشکلاتی که مربوط به Name Resolution برای Secure NAT Client ها وجود دارد می تواند بر حسب سناریوی موجود متفاوت باشد ، شرایط کلی زیر در خصوص شیوه قرار گیری DNS سرور ممکن است وجود داشته باشد :

  • یک DNS سرور که در شبکه داخلی قرار گرفته است
  • یک DNS سرور که در شبکه اینترنت قرار گرفته است

خوب با توجه به شرایط بالا ادامه مقاله را جلو می بریم ، در خصوص مشکلاتی که در هر یک از سناریو های بالا ممکن است پیش بیاید صحبت خواهیم کرد و راهکارهای رفع اشکال هر کدام را نیز به شما ارائه خواهیم داد. لطفا به مفاهیمی که در ادامه عنوان می شود به دقت توجه کنید.



سناریوی فایروال TMG در حالتی که DNS سرور در شبکه داخلی قرار دارد


اگر Secure NAT Client شما بر روی کارت شبکه خود آدرس IP یک DNS سرور را دارد که در شبکه داخلی قرار گرفته است ، شما باید مطمئن شوید که این DNS سرور می تواند آدرس های IP وب سایت ها و منابع اینترنتی که در خارج از شبکه داخلی قرار گرفته اند را Resolve کند. البته بیشتر DNS سرورهای ویندوز های سرور شرکت مایکروسافت این قابلیت را دارند که بتوانند از طریق Query گرفتن از DNS سرورهای اینترنتی آدرس IP مقصد مورد نظر را پیدا کنند .

البته این در حالی است که در داخل فایل cache.dns مستقر بر روی سرور ویندوز آدرس Root سرورهای DNS اینترنتی وجود داشته باشد. همچنین DNS سرورهای ویندوز می توانند از قابلیتی به نام forwarders یا Conditional Forwarders برای بدست آوردن آدرس های IP وب سایت های اینترنتی استفاده کنند و به جای DNS سرورهای داخلی کار کنند . همانطور که گفتم و باز هم تاکید می کنم اگر Secure NAT Client شما به گونه ای تعریف شده است که از DNS سرور داخلی استفاده می کند باید این DNS سرور به تنهایی عملیات Resolve آدرس های اینترنتی را انجام دهد. اگر نتواند DNS سرور شبکه داخلی این عملیات را انجام دهید و به گونه ای نیز پیکربندی نشده است که از قابلیت های Forwarder و Conditional Forwarding استفاده کند ، ممکن است مشکلات زیر برای شما پیش آمده باشد:


  • DNS سرور شبکه داخلی به عنوان یک Domain Controller برای اکتیودایرکتوری نصب شده است و DNS نیز در همین حین توسط ویزارد نصب اکتیودایرکتوری یا همان Active Directory DNS Configuration Wizard انجام شده است.
  • Access Rule مناسبی برای عبور کردن Query های DNS برای دریافت اطلاعات بر روی TMG تعریف نشده است.
خوب حالا در خصوص مشکلات احتمالی در این خصوص اطلاعاتی داریم ، بهتر است به سراغ درست کردن این مشکلات برویم ، در همین حین اگر تا کنون اطلاعات دقیقی در خصوص قابلیت های Forwarder و Conditional Forwarding در DNS ندارید می توانید به مقاله زیر از مهندس رمضانی مراجعه کنید که بصورت بسیار جامع و کامل در خصوص این قابلیت های ویندوز سرور توضیح داده اند :




تنظیمات DNS در TMG زمانیکه DNS سرور بر روی Domain Controller شبکه داخلی قرار دارد


مشکلی که در خصوص استفاده از DNS سرورهای داخلی که بر روی Active Directory و بر روی Domain Controller نصب می شوند به محدودیت های برخی از نسخه های ویزارد نصب یا همان Active Directory DNS Wizard بر می گردد. خوب ببینیم در این حین چه اتفاقی می افتد ، اگر در حین نصب DNS ویزارد نتواند به اینترنت و به ویژه DNS سرورهای Root دسترسی پیدا کند ، ویزارد DNS بصورت خودکار خود همین DNS سرور را به عنوان DNS سرور ریشه یا Root تعیین می کند. زمانیکه این اتفاق می افتد ویزارد نمی تواند Root Hint ها را با نام و آدرس IP هایشان که مربوط به DNS سرورهای ریشه اینترنتی است دور هم یکجا جمع کند و در یک فایل قرار دهد. بنابراین همین عمل باعث می شود که DNS سرور شما نتواند برای Resolve کردن اسامی سرورها Query به DNS سرورهای اینترنتی ارسال کند و آدرس های IP متناظر با اسم را پیدا کند. خوشبختانه برای برطرف کردن این مشکل چند راهکار وجود دارد که به شکل زیر می باشند :

  • زمانیکه می خواهید کامپیوتری را به Domain Controller تبدیل کنید Zone مورد نظر را بصورت دستی ایجاد کنید. اگر یک Zone ریشه به عنوان نقطه یا ( . ) در کنسول DNS مشاهده شد شما باید این Zone را بصورت دستی حذف کرده و کامپیوتر را Restart کنید.
  • زمانیکه می خواهید کامپیوتری را به Domain Controller تبدیل کنید مطمئن شوید که به اینترنت دسترسی دارد ، در این حالت در هنگام نصب Active Directory به هیچ عنوان root zone برای شما ایجاد نخواهد شد.

اولین گزینه ای که عنوان کردیم به این معناست که شما باید Zone خود را قبل از اینکه با استفاده از دستور dcpromo ایجاد شود بصورت دستی در DNS سرور خود بر روی Domain Controller ایجاد کنید . در این حالت باید به چند نکته توجه داشته باشید ، اول اینکه مطمئن شوید که در Zone شما قابلیت dynamic update فعال است و همچنین نوع Zone از Standard Primary می باشد. بعد از اینکه فرآیند dcpromo انجام شد کامپیوتر Restart می شود. اگر ویزارد در حین نصب نتواند به اینترنت دسترسی پیدا کند و به ویژه نتواند به Root Server های اینترنتی دسترسی پیدا کند یک zone به نام نقطه به عنوان Root در DNS سرور شما ایجاد می کند. اگر چنین چیزی مشاهده کردید حتما این Zone را حذف کنید و مجددا مطمئن شوید که به اینترنت دسترسی دارید و سپس کامپیوتر را مجددا Restart کنید با اینکار DNS سرور شما می تواند عملیات Query گرفتن از Root DNS های اینترنتی را به درستی انجام دهد.

همانطور که مشاهده کردید در دومین راهکار کار بسیار ساده تر است ، چون شما اصلا نیازی نیست کار خاصی انجام دهید و همه مواردی که گفته شد به یکباره توسط ویزارد انجام می شود. در این حالت شما باید مطمئن باشید که DNS سرور شما می تواند فرآیند گرفتن Query از DNS سرورهای ریشه اینترنتی را به درستی انجام دهد. توجه کنید که صرفا داشتن اینترنت برای سرور کافی نیست ، شما باید مطمئن شوید که بر روی فایروال شما که در اینجا احتمالا TMG است سرور شما می تواند از طریق پورت شماره 53 UDP به اینترنت دسترسی داشته باشد تا بتواند Query های DNS را به درستی انجام دهد. قطعا برای اینکار یک Access Rule در TMG باید نوشته شود.



DNS سرور داخلی نمی تواند از DNS سرورهای خارجی Query بگیرد


برخی اوقات این مشکل برای شما پیش می آید که DNS سرور داخلی شما نمی تواند از DNS سرورهای خارجی Query بگیرد. زمانیکه این اتفاق رخ می دهد به احتمال بسیار زیاد فایروال TMG ترافیک خروجی پروتکل DNS یا همان DNS Outbound Traffic را مسدود کرده است. اینکار به دو روش انجام می شود ، دسترسی بصورت کامل با استفاده از یک Deny Rule مسدود شده است و یا اینکه هیچ Rule ای برای Allow کردن این ترافیک نوشته نشده است ، در هر صورت سناریو یکی است. در هر کدام از این شرایط پروتکل DNS بر روی پورت 53 نمی تواند از DNS سرورهای اینترنتی Query بگیرد و ترفیک خود را نمی تواند عبور دهد. راهکار این مشکل بسیار آسان است ، شما فقط باید بر روی فایروال TMG خود یک Rule اضافه کنید که دسترسی پورتی شماره 53 UDP که پورت ویژه DNS می باشد به شبکه External را ایجاد کنید . اما قبل از اینکه اینکار را بکنید تنظیمات DNS سرور خود را آزمایش کنید اینکار را به روش زیر انجام دهید :
Nslookup www.tosinso.com با استفاده از این دستور تنظیمات را تست کنید  
  • نکته مهم : توجه کنید که حتما دامنه انتهایی که در اینجا .ir است را در هنگام استفاده از nslookup استفاده کنید ، اگر دامنه های com. و ir. و تمامی Top Level Domain ها را در هنگام استفاده از Nslookup قرار ندهید ، این دستور دامنه مورد نظر شما را FQDN محسوب نکرده و درون دامنه یا همان شبکه داخلی خود به دنبال سرور مورد نظر می گردد و درخواست شما از شبکه خارجی Query گرفته نمی شود.



DNS سرور شبکه داخلی به عنوان یک Forwarder پیکربندی شده است


خوب تا اینجا قطعا متوجه شده اید که DNS سرور شبکه داخلی شما می تواند در نقش یک Forwarder نیز عمل کند اگر فقط این قسمت را مطالعه می کنید پیشنهاد می کنم مقاله بالا از مهندس رمضانی در خصوص Forwarder ها در DNS را مطالعه کنید. با استفاده از Forwarder ها شما فرآیند Name Resolution را در واقع تفکیک اختیار می کنید و به DNS سرورهای اینترنتی واگذاری می کنید که خارج از شبکه شما هستند. برخی اوقات DNS سرور شبکه داخلی شما نمی تواند با آدرسی که به عنوان Forwarder تعریف شده است ارتباط برقرار کند. اگر مشکلی در برقراری ارتباط با Forwarder ها وجود داشته باشد شما باید مطمئن شوید که Query های DNS می تواند از طریق TMG به اینترنت فرستاده شود . علاوه بر این شما باید مطمئن باشید که آدرس IP ای که برای Forwarder در DNS تعریف شده است به درستی وارد شده است.بسیاری اوقات این مشکلات به خاطر وارد کردن آدرس IP نادرست است ، به قول یکی از همکاران یک بزرگ و کوچک را درست وارد نکرده اید !!! ( گرفتن کلید Shift و وارد کردن عدد 1 = یک بزرگ ) به خدااااااا ... :D



Secure NAT Client ها آدرس DNS سرورهای اینترنتی را روی کارت شبکه خود دارند


برخی اوقات ممکن است آدرس IP سرورهای DNS اینترنتی بصورت مستقیم روی کارت شبکه های Secure NAT Client ها قرار گرفته باشد. البته این در شرایط یک سازمان طراحی درستی نیست اما به هر حال این موارد نیز دیده می شود ، اگر کلاینت شما در این حالت برای دسترسی به اینترنت مشکل داشته باشد باید مطمئن شوید که Access Rule متناسب به دسترسی کلاینت به DNS سرورهای اینترنتی در فایروال TMG تعریف شده باشد. در اینجا هم باز همان مورد قبلی را بررسی کنید که آیا آدرس درستی برای سرور DNS اینترنتی وارد شده است یا خیر ، در برخی اوقات در سازمان های مختلفی دیده ام که آدرس IP مربوط به DNS سرورهای شرکت Sun با آدرس 4.2.2.2 یا 4.2.2.3 را به عنوان آدرس DNS سرور قرار داده اند اما خوب قبل از این مورد باید بررسی کنید که آیا بصورت کامل این سرورها ایران را پشتیبانی می کنند یا خیر ؟ در بسیاری موارد متاسفانه DNS سرورهای بین المللی با آدرس های DNS ایران با پسوند ir. مشکل دارند.

خلاصه


در این دو مقاله شما متوجه شدید که Secure NAT Client بهترین گزینه برای اینترنت دار کردن کلاینت هایی است که دارای سیستم عامل های شرکت مایکروسافت نیستند ، کلاینت هایی مانند Linux و Mac و امثال اینها درکی از روش های دیگر ارتباطی TMG ندارند یا اگر دارند با دشواری های زیادی همراه است. موارد بسیار زیادی پیش می آید که شما کلاینت های خود را در حالت Secure NAT Client قرار می دهید تا براحتی بتوانند از اینترنت استفاده کنند. به هر حال در این میان مشکلات زیادی ممکن است پیش بیاید که Secure NAT Client شما دچار اختلال یا مشکل شود و شما نیاز به این دارید که درک کلی از مفهوم و شیوه کارکرد این حالت داشته باشید تا بتوانید آن را رفع اشکال کنید. در این دو مقاله ضمن اینکه راجع به ساختار کلی Secure NAT صحبت کردیم روش های رفع اشکال و اختلالات احتمالی آن را نیز با هم مرور کردیم. در بسیاری اوقات به محض اینکه متوجه بشوید که مشکل از کجاست با توجه به مطالب گفته شده براحتی می توانید مشکل را حل کنید. در این دو مقاله در خصوص مشکلات Secure NAT با پروتکل های پیچیده ، دسترسی به برخی وب سایت ها ، عدم دسترسی به هر گونه پروتکل و همچنین مشکلات Name Resolution آشنا شدیم . امیدوارم مورد توجه شما دوستان قرار گرفته باشد. ITPRO باشید.

نویسنده : محمد نصیری

منبع : جزیره فایروال وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#آموزش_راه_اندازی_tmg #برطرف_کردن_مشکلات_tmg #آموزش_tmg_2010 #رفع_مشکلات_tmg_در_شبکه #آموزش_رفع_اشکال_tmg #مشکلات_dns_در_فایروال_tmg #رفع_مشکلات_secure_nat_در_tmg #آموزش_نصب_و_راه_اندازی_tmg #آموزش_گام_به_گام_نصب_tmg
عنوان
1 رفع مشکلات معمول سرویس Secure NAT در TMG قسمت 1 رایگان
2 رفع مشکلات معمول سرویس Secure NAT در TMG قسمت 2 رایگان
زمان و قیمت کل 0″ 0
1 نظر
سید مصطفی حسینی

سلام استاد و خسته نباشید...

بسیار عالی بود هر چی بیشتر می خونم بیشتر علاقه مند میشم

(درس معلم ار بود زمزمه محبتی ...... جمعه به مکتب آورد طفل گریز پا را)

لطفا در مورد exchange server هم مطلب بنویسید...

تشکر

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....