آموزش کانفینگ Network Policy Server) NPS) در ویندوز سرور

کانفینگ nps یکی مواردی است که در هنگام راه اندازی VPN انجام می شود. پالسی های این بخش زمانی اعمال می گردد که ارتباط کلاینت با شبکه یا همان RAS یا Vpn سرور برقرار شده است و این سرور کلاینت را به شبکه متصل می کند. پالسی ها مشخص می کند که تحت چه شرایطی می توانید از Resource های این شبکه استفاده کنید. در این محتوا قصد داریم به بررسی کانفینگ nps در شبکه بپردازیم و پس از بررسی آن با نحوه نصب و راه اندازی Network Policy Server) NPS) آشنا شویم. در این آموزش تصویری همراه Goexam باشید.

آشنایی با Network Policies

پالسی های این بخش زمانی اعمال می گردد که ارتباط کلاینت با شبکه یا همان RAS یا Vpn سرور برقرار شده است و این سرور را به شبکه متصل می کند. اما تنظیمات این پالسی مشخص می کند که تحت چه شرایطی می توانید از Resource های این شبکه استفاده کنید.

می توان گفت مشخص می کند که تحت چه پالسی یا شرایطی ارتباط کلاینت و سرور در شبکه گواگزم برقرار شود. نحوه ایجاد پالسی در این بخش همانند بخش Connection Request Policies می باشد با یک سری جزئیات در زمان مشخص نمودن Condition شامل یک سری جزئیات بیشتری است به این دلیل که سطح دسرسی کاربر به شبکه را مشخص می کند. با استفاده از تنظیمات این بخش مشخص می کنید که Condition های تعریف شده برای گروه و یا کامپیوتر خاصی که مشخص می کنید اجازه دسترسی را به شبکه بدهد یا اینکه ندهد. مشخص نمودن این سطح دسترس در Wizard می باشد که باید Condition را مشخص و سطح دسترسی بعد از مشخص نمودن شرط می باشد.

بعد از مشخص کردن اسم برای پالسی و نوع Connection Type باید Condition های مورد نظر را انتخاب کنید که تعداد این شرط ها بیشتر می باشد و تصویرزیر مشخص می باشد.

نمونه دیگری که می توان مشخص کرد date and time restriction می باشد مشخص می کنید کلاینت، گروه، کاربر خاص و یا ویندوز، گروه در چه محدوده زمانی بتواند از شبکه استفاده کند یا اینکه نکند. در پالسی های بخش Connection Request مشخص می کنید در چه ساعت هایی متصل شود اما در این گزینه مشخص می کنید در چه زمان هایی بتواند به اطلاعات شبکه دسترسی داشته یا نداشته باشد.

نکته ایی که حائز اهمیت است میتوانید برای کسب اطلاعات بیشتر به صورت رایگان در دوره آموزشی MCSA 2016 شرکت نمایید.

مورد دیگری که می توان اعمال کرد مربوط به operating system می باشد که با انتخاب این گزینه و زدن کلید Add تصویرزیر را مشاهده می کنید.

حتی این شرط دسترسی و عدم دسترسی را می توانید بر اساس service pack یا نوع کلاینتی یا سروری بودن سیستم عامل حتی بر اساس معماری آن و …. مشخص کنید.

گزینه دیگری که می توانید مشخص کنید استفاده از Policy Expiration است که با انتخاب این گزینه تصویرزیر را مشاهده می کنید.

می توانید برای برقراری ارتباط یک مدت زمان اعتباری را در نظر بگیرید.

با استفاده از گزینه Authentication می توان تعیین کرد که تبادل Data بین کلاینت Remote و کلاینت های Local توسط چه پروتکلی صورت بگیرد. بعد از مشخص نمودن condition گزینه Next را انتخاب کنید تا تصویرزیر را مشاهده کنید.

گزینه آخر مشخص کننده این است که هر تنظیمی در Dial-in Tab کاربر تنظیم شده بود اعمال شود. اما شرایطی را در نظر بگیرید که Condition را مشخص می کنید که به کاربر یا گروه خاصی نسبت داده نشده است و برای آن فقط day and time مشخص نموده اید در این حالت با انتخاب این گزینه به Dial-in Tab کاربر مراجعه می شود و هر تنظیمی در آن اعمال شده باشد استفاده می شود.

در ادامه گزینه Next را کلیک تا تصویرزیر نمایش داده شود.

این بخش همان تنظیمات متدهای احراز هویت می باشد که در خصوص این موارد اشاره گردید. گزینه Next را انتخاب تا تصویرزیررا نمایش داده شود.

این بخش یک سری گزینه هایی را در دسترس قرار می دهد که می توان آنها را optional در نظر گرفت.

با این تنظیمات مشخص می کنید که کاربر اگر فعالیتی نداشت بعد از چه مدتی ارتباط آن کاربر قطع شود. یا اینکه ارتباط هر کلاینت تا چند دقیقه برقرار باشد و …

گزینه Next را انتخاب تا تصویرزیر را مشاهده کنید.

تنظیمات این بخش مشخص می باشد و کاربرد تعدادی از گزینه های آن در مباحث قبل اشاره شده است. تنظیمات این بخش را به طور پیش فرض قرار دهید و گزینه Next را کلیک تا تصویرزیر را نمایان گردد.

این بخش یک Summery از تنظیمات را نمایش می دهد. گزینه Finish را انتخاب تا این Network Policy ایجاد شود.

Network Policies در RRAS

پالسی های این بخش زمانی اعمال می گردد که ارتباط کلاینت با شبکه گواگزم یا همان RAS یا Vpn سرور برقرار شده است و این سرور را به شبکه متصل می کند. اما تنظیمات این پالسی مشخص می کند که تحت چه شرایطی می توانید از Resource های این شبکه استفاده کنید.می توان گفت مشخص می کند که تحت چه پالسی یا شرایطی ارتباط کلاینت و سرور برقرار شود.نحوه ایجاد پالسی در این بخش همانند بخش Connection Request Policies می باشد با یک سری جزئیات در زمان مشخص نمودن Condition شامل یک سری جزئیات بیشتری است به این دلیل که سطح دسرسی کاربر به شبکه را مشخص می کند.با استفاده از تنظیمات این بخش مشخص می کنید که Condition های تعریف شده برای گروه و یا کامپیوتر خاصی که مشخص می کنید اجازه دسترسی را به شبکه بدهد یا اینکه ندهد. مشخص نمودن این سطح دسترس در Wizard می باشد که باید Condition را مشخص و سطح دسترسی بعد از مشخص نمودن شرط می باشد.بعد از مشخص کردن اسم برای پالسی و نوع Connection Type باید Condition های مورد نظر را انتخاب کنید که تعداد این شرط ها بیشتر می باشد و تصویرزیر مشخص می باشد.

خواندن این مقاله

راه اندازی DNS در شبکه workgroup (لوکال)

از نمونه های موجود می توان به Mac Hine Group اشاره کرد که در این بخش می توانید ارتباط کلاینت Remote را به یک گروه کامپیوتر خاص محدود کنید و این کار توسط گزینه فوق انجام می شود. به این صورت که با انتخاب این گزینه و Add نمودن گروه مورد نظر می توانید مشخص کنید که اعضای این گروه می توانند به صورت Remote Access به شبکه دسرسی داشته باشند یا اینکه نمی تواتنند.نمونه دیگری که می توان مشخص کرد date and time restriction می باشد مشخص می کنید کلاینت، گروه، کاربر خاص و یا ویندوز، گروه در چه محدوده زمانی بتواند از شبکه استفاده کند یا اینکه نکند. در پالسی های بخش Connection Request مشخص می کنید در چه ساعت هایی متصل شود اما در این گزینه مشخص می کنید در چه زمان هایی بتواند به اطلاعات شبکه دسترسی داشته یا نداشته باشد.مورد دیگری که می توان اعمال کرد مربوط به operating system می باشد که با انتخاب این گزینه و زدن کلید Add تصویرزیررا مشاهده می کنید.

می توانید مشخص کنید که چه سیستم عامل هایی با این مشخصات بتوانند به شبکه با استفاده از Remote Access دسرسی داشته باشند یا اینکه نداشته باشند. هر سیستم عامل دارای یک ورژن خاصی می باشد می توانید با مشخص کردن این ورژن قانونی تعریف کنید که کلاینت هایی با این ورژن خاص سیستم عامل بتوانند به شبکه دسترسی داشته باشند.حتی این شرط دسترسی و عدم دسترسی را می توانید بر اساس service pack یا نوع کلاینتی یا سروری بودن سیستم عامل حتی بر اساس معماری آن و …. مشخص کنید.گزینه دیگری که می توانید مشخص کنید استفاده از Policy Expiration است که با انتخاب این گزینه تصویرزیر را مشاهده می کنید.

می توانید برای برقراری ارتباط یک مدت زمان اعتباری را در نظر بگیرید.با استفاده از گزینه Authentication می توان تعیین کرد که تبادل Data بین کلاینت Remote و کلاینت های Local توسط چه پروتکلی صورت بگیرد. بعد از مشخص نمودن condition گزینه Next را انتخاب کنید تا تصویرزیر را مشاهده کنید.

با استفاده از دو گزینه اول و دوم باید مشخص کنید که condition هایی که تعریف می کنید اجازه دسترسی یا Remote را داشته باشند یا نداشته باشند. مسلماً این شرط را برای کلاینت های Remote مشخص می کنید پس باید گزینه Access Granted را انتخاب کنید.گزینه آخر مشخص کننده این است که هر تنظیمی در Dial-in Tab کاربر تنظیم شده بود اعمال شود. اما شرایطی را در نظر بگیرید که Condition را مشخص می کنید که به کاربر یا گروه خاصی نسبت داده نشده است و برای آن فقط day and time مشخص نموده اید در این حالت با انتخاب این گزینه به Dial-in Tab کاربر مراجعه می شود و هر تنظیمی در آن اعمال شده باشد استفاده می شود.

در ادامه گزینه Next را کلیک تا تصویرزیرا نمایش داده شود.

این بخش همان تنظیمات متدهای احراز هویت می باشد که در خصوص این موارد اشاره گردید. گزینه Next را انتخاب تا تصویرزیر نمایش داده شود.

این بخش یک سری گزینه هایی را در دسترس قرار می دهد که می توان آنها را optional در نظر گرفت.با این تنظیمات مشخص می کنید که کاربر اگر فعالیتی نداشت بعد از چه مدتی ارتباط آن کاربر قطع شود. یا اینکه ارتباط هر کلاینت تا چند دقیقه برقرار باشد و …

گزینه Next را انتخاب تا تصویرزیر را مشاهده کنید.

این بخش یک Summery از تنظیمات را نمایش می دهد. گزینه Finish را انتخاب تا این Network Policy ایجاد شود.

شما زمانی که این کنسول را اجرا کنید تصویرزیر را مشاهده می کنید.

این کنسول دارای چندین Node می باشد. در حال حاضر در سیستم عامل های 2008 و R2 بر اساس پالسی های متفاوت سه نوع دسته بندی را در بخش Policies در نظر گرفته است که شامل سه بخش زیر می باشد:

Connection Request Policies

پالسی های این بخش مربوط به زمانی است که گزینه Dial نمودن را از سمت کلاینت انتخاب می کنید تا زمانی که ارتباط با RAS یا VPN سرور برقرار شود.

این بخش شامل درخواست هایی می باشد که کلاینت ها برای RAS سرور ارسال تا بتوانند به سرور از طرق Dial-up یا Vpn متصل شوند.

چنانچه این قسمت را انتخاب کنید در سمت راست مشاهده می کنید که دو پالسی از پیش برای آن تعریف شده است که این دو در تصویرزیر مشخص است.

اگر بر روی پالسی پیش فرض Microsoft Routing and Remote Access Service Policy راست کلیک و گزینه Properties را انتخاب کنید مواردی را جهت مدیرت همانند تصویرزیر در دسترس خواهد داشت.

با استفاده از گزینه ها و Tab های موجود می توانید تنظیمات یک پالسی را تغییر دهید.اما برای اینکه یک Policy جدید برای این بخش تعیین کنید باید بر روی Connection Request Policies Node مطابق تصویرزیر راست کلیک و گزینه New را انتخاب کنید.

با انتخاب گزینه New ویزارد ایجاد یک پالسی را مطابق تصویرزیر مشاهده می کنید.

در بخش Policy Name باید با توجه به نوع پالسی یک اسم را مشخص کنید. ترجیحاً سعی کنید نام های انتخابی مطابق با عملکرد پالسی باشد. در گام بعدی باید در بخش Type of Network Access Server نوع ارتباط را بر اساس یکی از مدل هایی که در تصویرزیر نمایش داده شده است انتخاب کنید.

خواندن این مقاله

nat چیست؟ آموزش گام به گام راه اندازی NAT در ویندوز سرور

با توجه به اینکه در خصوص Remote Access در حال مطالعه هستید باید(Remote Access Server (VPN-Dial up را انتخاب و گزینه Next را کلیک تا تصویرزیر نمایش داده شود.

در این بخش بایدConditional های مختلف یا همان شرط های مورد نظر را مشخص کنید. برای این منظور از گزینه Add استفاده تا تصویرزیر را مشاهده کنید.

با استفاده از تنظیمات این بخش نوع محدودیت را انتخاب می کنید . به طور نمونه گزینه ای به نام Day and Time Restrictions وجود دارد که با کلیک بر روی این گزینه تصویرزیر را مشاهده می کنید.

با استفاده از این تنظیم مشخص می کنید کاربر در چه ساعت هایی و چه روزهای از هفته حق استفاده از Remote Access را داشته باشد.

یا نمونه دیگری که وجود دارد گزینه Identity Type می باشد که با استفاده از این گزینه می توانید تنظیماتی که در NAP معرفی شده است و در خصوص سلامت کلاینت می باشد را مشخص کنید. با انتخاب این مورد تصویرزیررا نمایش داده می شود.

در این بخش گزینه ای وجود دارد که با انتخاب آن در زمان اتصال کلاینت سلامت کلاینت با توجه به تنظیماتی که در Health Policy صورت گرفته است بررسی می شود.

نمونه دیگر گزینه Tunnel Type می باشد که با انتخاب این گزینه تصویرزیر را مشاهده می کنید.

می توانید با استفاده از تنظیمات مشخص کنید که کلاینت با چه تنظیمی در این پالسی بتواند متصل شود. به طور مثال حتماً باید از L2TP استفاده کنید یا از SSTP و …..

بعد از مشخص شدن شرط های لازم گزینه Next را انتخاب تا تصویرزیر نمایش داده شود.

در این بخش باید متدهای احراز هویت را مشخص کنید.

گزینه Authenticate Request on this Server

مشخص می کنید که کاربر حتماً باید احراز هویت شود

گزینه Forward Request to the Following Remote RADIUS…..

این گزینه در صورتی که در بستر شبکه یک RADIUS سرور راه اندازی شده باشد آن را شناسایی می کند و با انتخاب این گزینه مشخص می کنید که Request ها برای RADIUS سرور Forward شود و در این بخش تمامی تنظیمات را مشخص کنید.

گزینه Accept Users Without Validating Credentials

با استفاده از این گزینه مشخص می کنید که بدون نیاز به احراز هویت امکان متصل شدن کاربر به شبکه وجود داشته باشد.

در ادامه گزینه اول را انتخاب و Next تا تصویرزیر نمایش داده شود.

در این بخش باید پروتکل های Authentication را معرفی کنید. با استفاده از گزینه Add در صورتی که قابلیت استفاده از دستگاه هایی همانند Smart Card و یا EAP وجود داشته باشد می توانید آن را مشخص کنید.

در این بخش به طور نمونه مشخص کنید که از پروتکل CHAP استفاده شود در صورتی که کلاینت PAP استفاده کند و بخواهد با استفاده از Vpn یا Dial-up به این سرور متصل شود نمی تواند، مشروط بر اینکه در تنظیمات Dial-in کاربر گزینه مشخص شده در تصویرزیر را برای آن انتخاب کرده باشید.

به این معنی که هر تنظیمی بر روی NPS تعریف شده باشد. با استفاده از این Tab می توانید برای هر کاربری مشخص کنید که از چه تنظیماتی پیروی کند. بعد از مشخص کردن روشهای احراز هویت باید گزینه Next را انتخاب تا تصویرزیر نمایش داده شود.

در این بخش تنظیمات Attribute همان موارد جزئی و اضافه تر است. تنظیمات موجود در بخش Standard به همین صورت می باشد.

در ادامه گزینه Next را کلیک تا تصویرزیر را مشاهده کنید.

این بخش همانند یک summery می باشد و تنظیمات اعمال شده را نمایش می دهد. گزینه Finish را انتخاب تا این policy همانند تصویرزیر با نامی که برای آن تعریف نموده اید در بخش Connection Request Policies برای شما اضافه شود.

بعد از اینکه یک Condition یا پالسی را ایجاد کنید یک سری تنظیمات را در اختیار خواهید داشت. برای این منظور همانند تصویر بر روی policy ایجاد شده راست کلیک و گزینه Properties را انتخاب کنید.

در شکل مشخص گزینه وجود دارد که می توانید تنظیم پالسی را با استفاده از کلیدهای up و downتغییر دهید علت تغییر دادن و جابجایی پالسی ها در این می باشد که پالسی بالاتر از همه قرار دارد بیشترین الویت را به خود اختصاص می دهد به این صورت که از محدودترین الویت به کمترین محدودیت اعمال می گردد. یا اینکه این پالسی را حذف و یا آن را غیر فعال و مواردی از این قبیل را تنظیم نمایید. با انتخاب گزینه Properties تصویرزیر را مشاهده می کنید.

با استفاده از بخش Policy State در صورتی که چک مارک گزینه policy enabled را حذف کنید این پالسی را غیر فعال کنید یا اینکه در بخش Network Connection Method نوع یا Connection Type را تغییر دهید.

به طور مثال زمانی که این نوع پالسی را بر روی DHCP قرار می دهید در این حالت Connection مربوط به کلاینت هایی می شود که قرار است از DHCP server یکIP دریافت کنند البته DHCP سروری که به آنها IP می دهد از نوع Relay Agent می باشد به این دلیل که فقط RAS سرور است که Packet را برای DHCP Relay Agent ارسال می کند در شرایطی که کامپیوتری که در شبکه است اگر بخواهد که از DHCP IP دریافت کنید نیازی به RAS سرور ندارد و مسلماٌ پالسی برای آن اعمال نمی گردد.

در صورتی که Conditions Tab را انتخاب کنید تا تصویرزیر را مشاهده می کنید.

با استفاده از این Tab می توانید یک شرطی را اضافه و یا حذف کنید. اما بخش دیگری که وجود دارد مربوط به Setting Tab می باشد که در تصویرزیر مشاهده می کنید.

این بخش دقیقاً همان تنظیماتی می باشد که در زمان ایجاد این پالسی آنها را معرفی نموده اید شامل تنظیمات Authentication و …. می باشد. در بخش Accounting به ادامه دقت کنید.

سروری به نام AAA وجود دارد که بر گرفته از (Authentication, Authorization, and Accounting) می باشد. سرور Accounting در شرکت های Internet Service Provider وجود دارد و همان سروری است که مشخص کننده این است که چند ساعت می توانید از این سرور استفاده کنید. در واقع این اطلاعات در یک Log File در سرور Accounting ذخیره می شود.