اینترنت برای کاربران غیر عضو به دامین

**Hakimi** · 2009-03-18, 04:51 PM

دوست گرامی
شما این جمله من رو ملاحظه کردید؟

در این Rule شما کاربران را انتخاب می کنید. ولی این ارتباطی به کامپیوتر هایی که در Domain هستند ندارد! کاربران می توانند از روی کامپیوترهایی هم که در Domain نیستند، خود را به ISA معرفی کنند و به این رول Match شوند و دسترسی پیدا کنند.

و همین طور این یکی را:؟

همانطور که پیش تر اشاره کردم، ISA به سه گونه می تواند به کاربران سرویس دهی کند:

1- Proxy
2- Firewall Client
3- Secure NAT

فقط در دو گونه اول، ISA قادر به شناسایی و Authentication کاربران است.
(Understanding ISA Server Client Types)

پس برای این که درخواستی که از 172.16.4.10 می آید را بشناسد، یا باید این درخواست توسط Proxy ارسال شود یا توسط Firewall Client
حال باید ببینیم درخواست شما از چه شیوه ای به ISA رسیده است، چه تنظیماتی بر آن اعمال شده و ...
در نهایت هم انتظار شما مبنی بر این که فقط به کامپیوتر های عضو Domain دسترسی اینترنت داده شود تامین نخواهد شد، بلکه هر کس که Authenticate کند، فارغ از این که کامپیوترش عضو Domain باشد یا نه، قادر به استفاده از اینترنت خواهد بود.

دوست گرامی
یا باید ده ها خط مطلب آموزشی برای شما نوشته شود و به صورت آموزش گام به گام، از مفاهیم شروع شود و تک به تک موارد مختلف توضیح داده شود و از شما خواسته شود تک به تک تنظیماتی که انجام داده اید را توضیح دهید تا بررسی کنیم. (که در دستور کار این انجمن چنین کاری تعریف نشده است.)
یا شما باید از صفحه اول کتاب شروع کنید، خط به خط و صفحه به صفحه بخوانید تا با مفاهیم اولیه ISA و نحوه عملکرد این سیستم آشنا شوید، بعد اقدام به نصب و راه اندازی و تنظیم کنید و اگر به مشکلی برخوردید در انجمن مطرح کنید و در مورد آن ها با دیگران تبادل نظر کنید. (با توجه به عدم شناخت شما در مورد نحوه عملکرد ISA، تقریبا مطمئن هستم شما کتابی در این زمینه مطالعه نکرده اید. پیشنهاد دوستانه من این است که برای کار با این گونه سیستم ها، حتما پیش از هر کار، کتاب و راهنمای آن را دقیق مطالعه کنید.)

به Forum های دیگر اشاره کردید، آن Forum ها هم مثل این انجمن، انجمن های تخصصی هستند. در یک انجمن تخصصی انتظار بر این است که فردی که مراجعه کرده متخصص (یا حداقل آشنا به) سیستم است. پس بدیهیات و پیش فرض ها را بیان و ذکر نمی کنند. بلکه موارد خاص ذکر می شوند.

**masterweb** · 2009-03-18, 06:24 PM

بنده مبتدی در استفاده از آیزا نیستم ... برای این منظوری که تاپیک زدم دچار مشکل شدم .
مشکل الان هم Athunticate یوزر ها هست که با Firewall Client هم مشکل حل نشد که البته شما میگین کاربر ممکنه جزو دامین نباشه و بتونه Athunticate کنه درسته ؟! خیلی خوب آیزا این کاری که من میخوام رو نمیکنه ... شما چه راه حلی پیشنهاد میکنی ؟ یعنی همون بحث جلوگیری از عوض کردن ویندوز و گرفتن ادمین لوکال ؟ در مورد بیش از 30 لپ تاپ شخصی چی ؟!؟
در ضمن من یک سری ایده ها مطرح کردم در همون اول تاپیک ( مثل رزرو کردن ای پی و ... ) به هر حال تاپیک رو زدم که دنبال راه حل بگردم و شخص اولی که پاسخ داد در مورد آیزا صحبت کرد و من هم شاید اشتباه برداشت کردم ...

**Hakimi** · 2009-03-18, 09:08 PM

من جسارت نکردم. من شخصا اهل ادعا نیستم. ندانسته های من بسیار بیشتر از دانسته هایم است. الان که دوباره نوشته قبلی ام را خواندم، یک لحظه حس ترس به من دست داد که نکند مغرور شده ام که با این لحن صحبت کرده ام. امیدوارم باعث ناراحتی شما نشده باشم و اگر این طور است امیدوارم بنده را ببخشید.

درسته. کاربران می تونن با وجود عضو نبودن سیستم هایشان در دامین، خود را Authenticate کنند. متاسفانه با ISA نمی توان این کار را انجام داد.

من یک راه بیشتر برای این کار نمی شناسم. آن هم کنترل عضویت در دامین قبل از اتصال کاربر به شبکه است.
با پروتکل 802.1x می توان Port Based Authentication راه اندازی کرد و پس از آن، کاربران هرگاه که به پورت Switch بخواهند متصل شوند، می بایست Authenticate کنند. حال می توان شرایطی را فراهم کرد که این Authentication با Domain باشد، به گونه ای که حتما سیستم عامل عضو Domain باشد.

این چند لینک را ببینید:
http://www.cisco.com/en/US/docs/swit...e/Sw8021x.html
http://www.ietf.org/rfc/rfc3580.txt
802.1x

البته این Solution معمولا با دردسرهای زیادی همراه است و عیب یابی اش زمان بر و هزینه بر است.
خیلی ها به دلیل سختی کار و دردسر هایش، عطایش را به لقایش می بخشند.

**masterweb** · 2009-03-18, 09:58 PM

من از الان شروع به مطالعه ی این بحثی که شما فرمودین میکنم و نتیجه رو در همین تاپیک ادامه میدم اما سوالم اینه ظاهرا این کار احتیاج به یک سوئیج مخصوص داره درسته ؟!

**Hakimi** · 2009-03-18, 10:01 PM

بله، سوئیچی که 802.1x PBA رو Support کنه.

**masterweb** · 2009-03-28, 07:17 PM

من کاری که در تیتر تاپیک مطرح کردم رو با استفاده از آیزا انجام دادم

اینم راه حل :

1. آیزا رو جزو دامین کنید
2. فایروال کلاینت رو بر روی تمامی کلاینتها پابلیش کنید
3. یک رول برای دسترسی آیزا به AD تعریف کنید
5. هیچ رولی جزو رول بالا برای اکسس دادن به آیزا و یا از آیزا به جای دیگر وجود نداشته باشه
6. وب پروکسی رو بر روی رنج ای پی شبکه داخلی غیر فعال کنید
7. تنظیمات مربوط به Athunticate از طریق وب پروکسی رو در آپشن فایروال کلاینت بطور کل غیر فعال کنید
8. Require All Users To Athunticare رو فعال کنید
9. یک رول بصورت عادی تعریف کنید و تمام internal رو به External اکسس بدین ( بدون محدودیت به اعضای دامین ... میتونید کل یوزرهارو اکسس بدین مهم نیست )
10. بعد از نصب فایروال کلاینت تنظیمات مربوط به Auto Config WebProxy رو غیر فعال کنید

تا اینجا هیچ راهی جز لاگین شدن با یوزر دامین وجود نداره و اگر با ادمین لوکال وارد شید بطور کل بلوک خواهید شد و هیچ راهی برای Athunticate شما با آیزا وجود نداره چون بطور کل تمام درخواستهای شما بلوک شده و اصلا از هیچ طریقی به سمت ایزا نمیره

اینم راه حل برای یوزرهای مهمان که وارد شبکه شما شده و میخوان اینترنت داشته باشند :

1 . یک رنج ای پی جدید در شبکه معرفی کنید مثلا بنام Private Range
2 . فایروال کلاینت رو بر روی این شبکه غیر فعال کنید
3 . وب پروکسی رو بر روی این شبکه فعال کنید
4. یک رول بذارید که این رنج رو فقط و فقط تحت 1 یوزر که فقط خودتون میدونید ( مثلا یوزر مهمان) اینترنت بده

اگر لپ تاپی وارد شبکه شما شد ... با ست کردن ای پی شبکه Private و وارد کردن یوزر مهمان توسط شما اینترنت خواهد داشت . برای راحتی کار و اینکه ای پی و پروکسی هم ست نکنیم و تنها هر کس وارد شد یک پسورد براش وارد کنیم این راه حل زیر رو پیدا کردم :

1. تمام ای پی هارو برای کلاینت ها در دی اچ سی پی Reserve کنید
2.بعد از این کار یک رنج محدود جدید و یک Scope جدید معرفی کنید
3. همان مراحل 1 تا 4 بالا رو انجام بدین

در این راه حل مهم نیست که کاربران ادمین لوکال دارند , ویندوز عوض میکنند و یا .... این شبکه رو من پیاده سازی کردم و به جرات میتونم بگم Performance این شبکه با این مدل 30 درصد بالاتر از شبکه هایی هست که تنها تحت یوزر های دامین رول تعریف میکنند چون در این حالت شما در ابتدای لاگین شدن به ویندوز Athunticate میشین و دیگه رولی مربوط به دسترسی شما به اینترنت ( اونهم با محدودیتی مثل اعضای دامین ) چک نمیشه
ولی در مواردی که مطرح شده و حتی دوستان در این تاپیک پیشنهاد دادن مثل محدود کردن اینترنت به اعضای دامین از طریق رول نه تنها پکیت های بسیار زیادی در شبکه فرستاده میشه بلکه با باز کردن هر صفحه ی اینترنت باید رول توسط آیزا چک بشه و ایزا هم با AD یوزر رو چک کنه که ببینه در دامین هست یا خیر که بار بسیار زیادی روی شبکه میندازه و سرعت باز کردن وب سایت رو هم به شدت پایین میاره ( متونم بگم 5 ثانیه اختلاف وجود داره ) ... و خودتون حساب پکیت های زیادی که در شبکه فرستاده میشه و پروسسی که روی AD و آیزا می افته داشته باشید ...

اینم راه حل رو من برای این نوشتم چون از روز اول به شدن این کار ایمان داشتم فقط خواستم نشون بدم که شبکه کاملا انعطاف پذیره و هزاران راه حل برای هر مسئله وجود داره ...

موضوع: اینترنت برای کاربران غیر عضو به دامین

پیوند

ابزارهای موضوع

نمایش

کلمات کلیدی در جستجوها:

اینترنت برای کاربران غیر عضو به دامین

http://forum.persiannetworks.com/f78/t24298.html

اینترنت دادن به کاربر مهمان در شبکه دامین

چگونه فقط کامپیوترهای عضو دامین اینترنت داشته باشن

محدود کردن dhcp در دادن ادرس به mac خاص

محدود سازی اینترنت در دومین

پیدا کردن mac address از طریقip در شبکه

غیر فعال کردن اینترنت مک آدرس در isa

چگونگی محدود کردن کاربر تحت شبکه دامین برای اینترنت

گزارش کنترل کاربران در شبکه دامین توسط اکتیو دایرکتوری

محدود کردن دسترسی اعضای دومین به اینترنت isa

دسترسی اینترنت فقط برای اعظا دامنه

سرور Isa و join نبودن با ad

چگونه ویندوز 7 ازdhcpآی پی میگیره؟

محدودیت اینترنت در Active Directory

محدودیت اینترنت در یوزر مهمان ویندوز 7

غیر فعال کردن یوزر ادمین در swcth user

اینترنت دادن به یوزر مهمان در شبکه دامین

authentication کاربران اینترنت در isa

isa اکتیو بلاک کردن تمامی کاربران

صفحه لاگین به اینترنت در isa

اینترنت فقط در دامین

اینترنت دادن به یوزر های غیر دامین

محدود کردن زمان لاگین بر روی کامپیوتر خاص دومین forum.persiannetworks.com

محمدود کردن دسترسی به اینترنت اپشن دردومین

برچسب برای این موضوع

مجوز های ارسال و ویرایش