آموزش تخصصی شبکه (3)

قبل از شروع درس ، یک عذرخواهی کوچک می کنم بابت لودشدن تصاویر، متاسفانه همه تصاویر در سرور پرشین گیگ قرار داشت و خیلی از دوستان گزارش کردن که با نمایش تصاویر مشکل دارند. از این به بعد من ،تصاویر را در سرور picofile آپلود می کنم و  یک لینک از تصویر را هم از یک سرور دیگر می گذارم که در صورت عدم لود تصویر بتوانید با کلیک بر روی لینک مشاهده تصویر ، آن را مشاهده کنید.ممنون که وقتتان را صرف این وبلاگ میکنید.

طریقه نصب DNS بر روی ویندوز سرور 2008

در جلسه قبل در مورد DNS به صورت تئوری صحبت کردیم، این جلسه تصمیم داریم طریقه نصب DNS را با هم بررسی کنیم.

جهت نصب DNS ابتدا وارد Server Manager شده(از منوی استارت بر روی Server Manager کلیک کنید و سپس ازپنجره ظاهر شده، قسمت چپ بر روی Rules کلیک کنید و سپس از سمت راست بر روی Add Rules کلیک کنید.

حال تیک DNS Server را زده و Next می کنیم به همین راحتی DNS نصب می شود.

مشاهده تصویر

دقت کنید اگر اکتیو دایرکتوری را نصب کنید ، نیازی به نصب DNS نیست چرا که خود اکتیودایرکتوری DNS را برای ما نصب می کند.

 

طریقه ساخت Forward Lookup Zone داخل DNS

خب بعد از ساخته شدن DNS وارد کنسول DNS می شویم(از منوی استارت،Administrative Tools وسپس بر روی DNS کلیک می کنیم)

حال همانطور که در جلسه پیش گفته شد، این zone باید از نوع Forward باشد چون می خواهیم اسم ها را به IP تبدیل کنیم.

مشاهده تصویر

مطابق شکل بر روی Forward Lookup Zone کلیک راست می کنیم و New Zone را انتخاب می کنیم.

بر روی Next کلیک می کنیم.

چون بار اول هست که داریم Zone میسازیم باید نوع آن را از نوع Primary بگذاریم.

مشاهده تصویر

اون تیک رو که من با فلش قرمز رنگ در تصویر مشخص کرده ام، میگه که این Zone را به صورت Integrated بساز. که اگر تیک آن را برداریم Zone را به صورت Standard میسازد.(انتهای جلسه پیش راجع به این موضوع بحث کردیم.)

بر روی Next کلیک میکنیم.در صفحه بعد از ما نام zone را می پرسد که به صورت نام.نام وارد می کنیم. مثلا mcitpclass.com یا ali.com .مجددا بر روی Next کلیک می کنیم.

در صفحه بعد به ما می گوید که فایلی با نام ali.com.dns می خواهم بسازم ، که مهم نیست و ما بر روی Next مجددا کلیک می کنیم.

مشاهده تصویر

قبل از اینکه تصویر بالا را توضیح دهم لازم است ابتدا مفهوم Dynamic Update را شرح دهم.

Dynamic Updates: یعنی هر کامپیوتر را مجبور می کنیم که به صورت اتوماتیک واسه خودش داخل Zone، یک A-Record ثبت کند.

نکته ای که باید دقت داشته باشید این هست که این عمل به صورت اتوماتیک داخل
شبکه های دامینی اتفاق می افتد. یعنی هر PC که Join می شود نام خودش را داخل Zone می اندازد.

در هر حالت (چه شبکه دامینی داریم و چه شبکه دامینی نداریم) تیک گزینه Allow both… رابزنید.

Secure به Client هایی می گویند که عضو اکتیو دایرکتوری هستند.

Non-Secure به client هایی می گویند که عضو اکتیو دایرکتوری نیستند.

بر روی Next کلیک می کنیم و در انتها بر روی Finish کلیک می کنیم.

Zone ی که ساخته می شود به صورت پیش فرض دو رکورد داخل آن ایجاد می شود.

اولی SOA که کار آن محل شروع Zone را نشان می دهد و دومین NS هست که مشخص می کند هر کلاینتی که وارد این ظرف شد ، سوالاتش را از کی بپرسد.

 

طریقه ساخت یک A-Record داخل یک Forward Lookup Zone

برای ساخت A-record کافی است مطابق شکل بر روی نام Zone یا پنجره سمت راست آن ، راست کلیک کرده و گزینه New Host(A or AAAA) را انتخاب کنیم.

فرق A-Record با AAAA-record در این هست که اگر اسم به IP ورژن 4 تبدیل شود
A-Record هست و اگر نام به IP ورژن 6 تبدیل شود AAAA-record هست.

پس از کلیک بر روی گزینه new Host از ما نام و IP را می پرسد که پس از وارد کردن آن یک A-Record ساخته می شود.

مشاهده تصویر

طریقه ساخت یک CNAME-Record داخل یک Forward Lookup Zone

برای این کار نیز کافی است بر روی نام Zone کلیک راست کرده وگزینهNew Allias(Cname) را انتخاب کنیم.

همانطور که می بینید پنجره زیر برای ما ظاهر می شود.

مشاهده تصویر

در فیلد اول از ما می پرسد نام مستعار چه چیزی باشد؟ معمولا نام مستعار را www می دهند، ما هرچیزی می توانیم بگذاریم. در فیلد بعدی می گوید که این نام مستعار را میخواهی به چه کلاینتی اختصاص دهی؟ ما از قسمت Browse نام یکی از کلاینت هامون رو که
A-Record برای آن ساختیم و می خواهیم آن نام مستعار به آن A-Record اشاره کند ،را انتخاب می کنیم.

حال هر وقت ping این www.ali.com گرفته شود، آن کلاینتی که ما مشخص کرده ایم را ping میدهد.

دقت کنید که CNAMEها یا نام مستعار نمی تواند تکراری باشد.

 

طریقه ساخت یک Reverse Lookup Zone داخل DNS

خب همانطور که در جلسه قبل گفته شد،کار این Zone تبدیل IP به اسم هست. جهت ساخت آن داخل DNS بر روی Reverse Lookup Zone کلیک راست می کنیم و گزینه new را انتخاب می کنیم.

یک wizard ظاهر می شود، بر روی next  کلیک میکنیم

و مانند قبل چون اولین بار است که داریم Reverse میسازیم بر روی Primary کلیک می کنیم و Next می کنیم.

مشاهده تصویر

در صفحه بعد از ما می پرسد که برای ورژن 4 می خواهید بسازید یا ورژن 6 که ما پاسخ میدهیم ورژن 4 و برروی next کلیک می کنیم.

مشاهده تصویر

حال ازما می خواهد یا Network ID را بدهیم یا اینکه نام Reverse Zone را وارد کنیم.

برای وارد کردن نام  Reverse Zone باید Network ID را برعکس بنویسیم و بعد IN-addr.arpa را وارد کنیم.

مثلا در تصویر زیر من Net ID را 192.168.10  وارد کردم. حال نام Reverse Zone من می شود:  10.168.192.in-addr.arpa .  Next  میزنیم.

مشاهده تصویر

در صفحه بعد نام Reverse Zone که ذخیره می شود را به ما نمایش می دهد که ما بدون تغییر باقی می گذاریم و Next می زنیم.

مشاهده تصویر

 

خب این صفحه هم ، همانطورکه در قسمت توضیحات Forward Lookup Zone در بالا توضیح داده شد،آیا اجازه دارند کلاینت ها اتوماتیک IP هاشون را اضافه کنند؟ مثل بالا گزینه Both.. را انتخاب می کنیم و Next می کنیم و در انتها بر روی Finish کلیک میکنیم.

 

خب تا اینکه نحوه ساخت Reverse Lookup Zone توضیح داده شد.

 

طریقه ساخت یک PTR-Record داخل Reverse Lookup Zone

طریقه کار خیلی ساده است. به نظرم دیگه نیازی به استفاده از تصویر نیست.

بر روی Reverse Zone ی که ساخته شده کلیک راست می کنید و گزینه New Pointer(PTR) را انتخاب می کنیم.

در پنجره ظاهر شده باید مطابق شکل Host ID را مشخص کنیم و سپس از قسمت پایین کلاینتی که به این Host ID تعلق دارد را انتخاب کنیم.

مشاهده تصویر

نکته مهمی که باید دقت داشته باشید این هست که حتما باید A-Record برای اون Host ID ساخته باشید تا بتوانید در اینجا انتخابش کنید.

به نظرم برای این جلسه کافیست و بهتر است باقی مباحث DNS را به جلسه بعد موکول کنیم.

اگر دوستان منابع خوبی در زمینه های مورد بحث داشتند ممنون میشم معرفی کنند تا من داخل وبلاگ بگذارم تا همه استفاده کنند. موفق باشید . با احترام علیرضامهجور

یک-  Local Group Policy با دستور gpedit.msc در همه ویندوزها باز می شود.

دو- Default Domain Policy با دستور gpme.msc باز می شود و هر تنظیمی که در آن انجام شود به کل شبکه دامینی اعمال می شود.

سه- Linked Group Policy

 

چطور یک Group Policy را به یک OU اعمال کنیم؟

از داخل قسمت Run در ویندوز سرور عبارت gpme.msc را تایپ کرده و اینتر می کنیم و یا از قسمت Administrative tools بر روی Group Policy Management کلیک می کنیم.

در پنجره باز شده بر روی OU مورد نظر که تمایل داریم بر روی تمام افراد آن Policy مورد نظر را اعمال کنیم راست کلیک کرده و گزینه اول یعنی Create a GPO on this domain , and link it here کلیک می کنیم.مطابق شکل:

با کلیک بر روی آن ، پنجره ای باز می شود و نام Group Policy مورد نظر پرسیده می شود . یک نام دلخواه وارد کرده و کلید اینتر را می زنیم.

حال داخل OU مورد نظر group policy ما ایجاد می شود. می توانیم بر روی آن کلیک راست کرده و edit را بزنیم و Policy مورد نظر را تنظیم کنیم تا بر روی تمامی اعضای OU مورد نظر ما اعمال شود.

 

Implementing DNS Server In Microsoft Network

خب . یک مبحث جدید رو آغاز می کنیم.این جلسه کمی بحث ها تئوری هست، پیشاپیش عذرخواهی می کنم. همانطور که می دانید DNS مخفف Domain Name Service هست و کار اون انجام عمل Name Resolution هست.

Name Resolution عبارت است از :پروسه تبدیل نام ها به IP

در شبکه ها نام هایی که تصمیم داریم به IP تبدیلشون کنیم ،بر دو نوع هستند: Host Name و Netbios Name.

در مورد تفاوت این دو نام در جلسه نهم با هم بحث کردیم. فقط نکته ای که می ماند این هست که اگر بخواهیم Host Name را به IP تبدیل کنیم نیاز به DNS داریم ولی اگر بخواهیم Netbios Name را به IP تبدیل کنیم به Wins نیاز داریم.

به صورت کلی عمل Name Resolution یا تبدیل اسم به IP به دو صورت انجام می شود:

الف – Static

ب- Dynamic

روش Static

این روش رو ARPANET یا همان اینترنت اولیه وزارت دفاع آمریکا استفاده می کرد. برای استفاده از این روش کافی است به قسمت

C:\windows\system32\drivers\etc

بروید و بر روی فایلی به نام Host کلیک کنید و آن را با notepad باز کنید.حال این فایل را به صورت زیر ویرایش کنید.

IP نام سایت

173.194.46.4 www.yahoo.com

جالب اینجاست که ویندوز برای باز کردن سایت ابتدا این فایل host را بررسی می کند و اگر چیزی نباشد به DNS سرور های موجود در اینترنت می رود. در بالا من یک شیطنتی کردم و IP گوگل را برای سایت یاهو ست کردم. حال در ویندوز من هرکس آدرس سایت یاهو را بزند سایت گوگل باز می شود.

 

روش Dynamic

در این روش از پروتکلی به نام DNS استفاده می کنند.

 

نحوه انجام Name Resolution توسط DNS Server

اگر دقت کرده باشید، وقتی ما آدرس یا URL داخل مرورگر وارد می کنیم به صورت اتوماتیک در انتهای آدرس نقطه یا / اضافه می شود. به آن نقطه یا اسلش (/) در اصطلاح Root Hints می گویند.

حالا Root Hints واقعا چیست؟

عمل Name Resolution توسط 13 عدد DNS سرور انجام می شود. به این 13 DNS سرور که عمل تبدیل نام به IP را برای کره زمین انجام می دهند ، در اصطلاح Root Hints می گویند.

وقتی DNS را نصب میکنیم ، آدرس این 13 DNS سرور در سیستم کپی می شود.

تبدیل اسم ها به IP از سمت راست به چپ انجام می شود.اولین کلمه ای که بعد از / یا نقطه وجود دارد قسمت TLD یا همون Top Level Domain هست که در مثال بالا میشه .com

پس اولین سوالی که انجام می شود در Name Resolution ، این هست .com در چه DNS سروری هست.

دومین سوال این هست که در مثال ما .yahoo در کدام DNS Server هست.

و سومین سوال این هست که www در کدام DNS Server هست. چون مثلادر همین یاهو غیر از www ما mail و chat و news و ...  هم داریم.

بعد از پیدا کردن این ها ، IP مورد نظر را به ما می دهد و ما به سایت مورد نظر هدایت می شویم.

Zone

اساس کار DNS را چیزی به نام Zone تشکیل می دهد. Zone به معنای منطقه ، یا ناحیه می باشد.

داخل DNS Server دو نوع Zone می توان تعریف کرد:

یک : Forward Lookup Zone

این Zone ها کارشون تبدیل اسم به IP هست و 99 درصد zone هایی که ساخته می شود از این نوع هستند.

دو: Reverse Lookup Zone

این zone ها کارشون تبدیل IP به اسم هست.

 

اما چطور یک Zone داخل DNS Server  بسازیم؟

اولین چیزی که برای ساخت هر کدام از Zone ها باید مشخص کنیم این هست که Zone ما کدامیک از این سه نوع زیر هست:

یک : primary

دو: Secondary

سه : Stub

دومین چیزی که باید مد نظر قرار دهیم این هست که باید zone را به صورت نام.نام بسازیم.مثل alireza.com

سومین نکته این هست که اگر پشت یک DNS Server ، برای بار اول هست که  یک Zone  ایجاد می کنیم ، حتما باید نوعش را از نوع primary بگذاریم.

دقت کنید پس از ساخت Zone  در سرور اصلی ، یک Zone در سرور بکاپ ساخته می شود با همان نامی که در سرور اصلی استفاده شد، و نوعش را از نوع Secondary می گذاریم.

بعنوان مثال در سرور اصلی یک zone می سازیم به نام alireza.com و نوعش را از نوع primary میگذاریم و حال در سرور دوم یک zone میسازیم به همان نام alireza.com و این بار نوعش را از نوع secondary تعیین می کنیم تا پشتیبانی باشد از zone ی که در سرور اصلی قرار دارد.

دقت کنید zone هایی که از نوع secondary باشد به صورت read-only هستند و نمی توان تغییراتی در آنها ایجاد کرد و محتویاتشون همان محتویات primary هست.

حال فرض کنید هم سرور primary و هم سرور secondary خراب شود! برای اینکه یک بکاپ دیگر هم داشته باشیم، در یک سرور دیگه یک zone میسازیم و نوع آن را از نوع stub قرار می دهیم.

Stub هم مثل Secondary ، Read-only هست فقط فرقش این هست که اگر توی Secondary اسم همه کامپیوترها بود، در Stub فقط اسم سرور هاست.

 

از یک منظر دیگر، Zone ها به دو دسته تقسیم بندی می شوند:

یک : Active Directory Integrated Zone

Zoneی که از این نوع ساخته شود، اطلاعات داخلش داخل دیتابیس اکتیودایرکتوری ذخیره می شود. به عبارت دیگر از اطلاعات این zone اکتیودایرکتوری محافظت می کند.

دو: Standard Zone

Zoneی که از نوع standard باشد، اطلاعات داخلش در مسیر زیر ذخیره می شود.

C:\windows\system32\dns\alireza.com.dns

که در بالا من فرض گرفتم نام DNS ما alireza.com هست. خب همانطور که می بنید اطلاعات این zone در سیستم عامل ویندوز ذخیره می شود و از اطلاعاتش ویندوز محافظت می کند. که نسبت به بالایی ضعیف تر هست.

 

نکته!

در جایی که اکتیودایرکتوری باشد به صورت پیش فرض zone ها از نوع اول یعنی AD Integrated ساخته می شوند.

 

خب زمانی که یک zone ایجاد شود، در واقع یک ظرف خالی ایجاد می شود و باید نام ها یا رکوردها داخل این ظرف ریخته شود تا این Zone شروع به کار کند.

انواع Record هایی که داخل zone ایجاد می شوند عبارتند از:

یک : A-Record یا Host –A

کار این رکورد تبدیل اسم به IP هست. A Record از ما نام و IP میگیرد و آن ها را به هم اختصاص می دهد. مثلا میگیم نام pc1 و آی پی ان 192.168.2.2  حالا هرکسی pc1.alireza.com را ping بگیرد، مثل این هست که IP آن را یعنی 192.168.2.2   را زده است.

دقت کنید که در شبکه به ازاء همه کامپیوترها باید  A-Record داشته باشیم.

 

دو: PTR Record یا Pointer Record

کار این رکورد تبدیل IP به اسم هست.

این رکورد را نمی توان در Forward Lookup zone تعریف کرد و باید در Reverse Lookup Zone تعریف کرد.

 

سه: NS Record یا Name Server Record

این رکورد مشخص می سازد که DNS این شبکه چه سروری هست.

چهار: MX Record یا Mail Exchanger

این رکورد مشخص می کند که ایمیل سرور این شبکه چه سروری هست.

 

پنج : SVR Record یا Service Location Record

مشخص می کند که یک کامپیوتر چه سرویسی به شبکه ارائه می دهد.

 

شش: SOA Record یا Start of Authority Record

SOA محل شروع zone را در دیتابیس اصلی DNS را مشخص می کند.

 

هفت: Cname Record یا Common Name Record

نام مستعار برای کامپیوترهایی که نام طولانی دارند تعریف می کند.

 

مباحث تا همین جا کافیست. جلسه بعد ان شاء الله به صورت عملی با هم طریقه نصب DNS را بررسی می کنیم. امیدوارم بخاطر تئوری بودن مباحث خسته نشده باشید.

موفق باشید.با احترام علیرضا مهجور

نحوه نصب سرویس های اکتیو دایرکتوری در Server Core

تمامی سرویس هایی که می توان در Server Core نصب کرد به دو دسته تقسیم می شوند:

 

1.سرویس های اکتیو دایرکتوری

دستور نصب آن:

Dcpromo

به نظر شما چطور می توان فهمید که در Server Core اکتیو دایرکتوری نصب هست یا خیر؟

کافی است در پنجره کامند تایپ کنیم systeminfo ودر قسمت Domain اگر workgroup نوشته شده باشد اکتیو دایرکتوری نصب نیست واگر نام دامین ما را نوشته باشد ، اکتیو دایرکتوری نصب هست.

 

اما چطور در ServerCore اکتیو دایرکتوری را نصب کنیم؟

ابتدا خدمتتون عرض کنم اصطلاحاتی که در نصب اکتیو دایرکتوری گفته می شود همه
در جلسه بیست و دوم مفصل توضیح داده شده است ، که اگر فراموش کردید می تونید به آنجا مراجعه کنید.

جهت این کار کافی است در محیط کامند لاین یک notepad ایجاد کنیم. به چه صورت؟

Notepad  نام دلخواه.txt

بعنوان مثال notepad ali.txt .پنجره نوت پد در Server Core باز می شود که در آنجا از شما می پرسد همچین فایلی وجود ندارد، تمایل دارید آن را ایجاد کنم که شما بر روی Yes کلیک کنید.

حال در داخل محیط نوت پد به صورت پکیجی مجموعه دستوراتی که موقع نصب اکتیو دایرکتوری نیاز هست وارد می کنیم و در انتهاآن نوت پد را به دستور dcpromo می دهیم تا از آن استفاده کند و اکتیو دایرکتوری را برای ما نصب کند.

اما چه دستوراتی باید در داخل Notepad تایپ شود؟

من دستورات را به صورت یکجا می آورم و بعد خط به خط خدمتتون توضیح می دهم.

[DCINSTALL]

ReplicaOrNewDomain=domain 

NewDomain= forest

NewDomainDNSName=alireza.com

InstallDNS=yes

ForestLevel=3

SafeModeAdminPassword=Mcitp12345

RebootonCompletion=yes

 

[DCINSTALL]

در خط اول ودر داخل کروشه مشخص می کنیم که ما قصد نصب Domain Controller را داریم.دقت کنید که دستورات عینا باید به همین صورت تایپ شوند و به حروف کوچک و بزرگ حساس هستند.

 

ReplicaOrNewDomain=domain

در خط دوم مشخص می کنیم که دامین ما روت دامین هست یا ساب دامین که اگر روت دامین باشد جلوی علامت مساوی domain و اگر childdomain یا subdomain باشد جلوی علامت مساوی کلمه Replica را می آوریم.

 

NewDomain=Forest

در خط سوم مشخص می کنیم که دامین ما یک دامین جدید است یا Child و زیرمجموعه یک دامین و یا Tree هست . پس همانطور که گفته شد سه کلمه می تواند جلوی علامت مساوی قرار بگیرد

یک:forest

دو: child

سه: tree

 

NewDomainDNSName=alireza.com

در خط چهارم مشخص می کنیم که نام دامین ما چه باشد. همانطور که می بیند من نام دامین را alireza.com گذاشتم.

 

InstallDNS=yes

در خط پنجم به اکتیو می گوییم که DNS را به همراه نصب اکتیو نصب کن.

 

ForestLevel=3

مفاهیم FFL و DFL رو یادتون هست؟ در خط ششم ما FFL یا ویندوز سرور شعبات رو مشخص می کنیم.که جلوی علامت مساوی می توانیم مقادیر زیر را وارد کنیم.

اگر 0 بگذاریم یعنی ویندوز سرور می تواند 2000 به بالا باشد.

اگر 2 بگذاریم یعنی می تواند 2003 به بالا باشد.

اگر 3 بگذاریم یعنی می تواند 2008 به بالا باشد.

 

SafeModeAdminPassword=Mcitp12345

در خط هفتم ما پسورد ریکاوری اکتیو را مشخص کردیم. در اینجا مشخص می شود که اگر اکتیو خراب شد با این پسورد بتوان اکتیو دایرکتوری را درست کرد.

 

RebootonCompletion=yes

در انتها هم که می گوییم پس از نصب اکتیو یک بار سیستم را ریستارت کن.

 

خب حالا فقط کافی است این Notepad را ذخیره کنیم و در داخل کامند لاین تایپ کنیم.

Dcpromo  /unattend:ali.txt

حال سیستم شروع به نصب اکتیو دایرکتوری می کند و  هرجا که نیاز داشته باشد از دستورات داخل نوت پداستفاده می کند.

به همین سادگی اکتیو دایرکتوری را در محیط Server Core نصب کردیم.

 

 

 

2.سرویس های غیر از اکتیو دایرکتوری

دستورنصب آن :

Start /w ocsetup

خب ، حالا در Server Core از کجا بفهمیم که چه سرویس هایی غیر از اکتیو دایرکتوری نصب هست؟

کافی است در محیط کامندلاین تایپ کنیم oclist .

همانطور که در شکل می بینید، با تایپ دستور oclist ،سرویس هایی که نصب نیستند با
Not Installed مشخص شده اند.

اما چگونه این سرویس ها را نصب کنیم؟

بهتر است بایک مثال توضیح دهم: مثال زیر سرویس DHCP را بر روی Server Core نصب می کند:

Start /w ocsetup DHCPServerCore

برای پیدا کردن نام سرویس مورد نظر باید از دستور oclist کمک بگیرید. دقت کنید که server core به حروف بزرگ و کوچیک حساس است و باید نام سرویس را دقیقا درست وارد کنید تا از شما قبول کند.

با همین یک خط دستور من سرویس dhcp را بر روی سرور core نصب کردم.

برای اینکه مطمئن شویم که نصب شده است یا خیر کافی است یکبار دیگر دستور oclist را اجرا کنیم.

همانطور که در تصویر می بنید ، سرویس مورد نظر نصب شد و کلمه installed قبل از آن نوشت.

برای uninstall کردن هر سرویس هم فقط کافی است آخر دستور آن /uninstall بگذاریم، مانند زیر:

Start /w ocsetup DHCPServerCore /uninstall

 

نکته!

معمولا افراد مستقیما با Server Core کار نمی کنند چون نیاز به حفظ کردن دستورات بسیار زیادی هست.اغلب مهندسین روی لپ تاپ ویندوز سرور بالا می آورند و با استفاده از یک Tools به
Server Core ریموت می زنند و کارهای لازم رو در آنجا انجام می دهند.

این Tools در ویندوز سرور 2008 نامش RSAT هست  و در ویندوز سرور 2003  نامش Adminpak.msi می باشد.

چطور  RSAT را بر روی ویندوز سرور 2008 نصب کنیم؟

در داخل ویندوز سرور از منوی استارت وارد قسمت Server Manager می شویم.

از پنجره باز شده ، بر روی گزینه Features کلیک می کنیم.

سپس در آنجا، تیک گزینه Remote Server Administration Tools را می زنیم و Next میزنیم تا این سرویس نصب شود.

دقت کنید شما RSAT رو بر روی ویندوز XP هم می تونید نصب کنید. کافی است به سایت مایکروسافت بروید و  RSAT رو دانلود کنید و بر روی ویندوز XP نصبش کنید.

دقت کنید که اگر با Server Core یا ویندوز سرور 2008 طرف هستید باید بر روی هر ویندوزی که دارید RSAT نصب کنید تا بتوانید به Server Core یا windows server 2008 ریموت بزنید و ارتباط برقرار کنید و اگر می خواهید به ویندوز سرور 2003 ریموت بزنید باید AdminPak را نصب کنید.

 

 

چطور از RSAT یا از AdminPak استفاده کنیم؟

همانطور که در بالا دیدید من بر روی ویندوز سرور 2008 سرویس RSAT رو نصب کردم

فرض رو بر این می گیریم که شما یک لپ تاپ دارید که بر روی آن ویندوز سرور 2008 نصب هست و بر روی سرور بانک یا محل کارتان Server Core نصب هست و شما می خواهید که از طریق لپ تاپ به سرور Core ریموت بزنید و آن را کانفیگ کنید یا به هرحال با آن کار کنید.

بعد از نصب سرویس RSAT بر روی لپ تاپتان (ویندوز سرور 2008) حال باید یوزر نیم و پسورد ورود به سرور Core را به لپ تاپ بدهید تا هر وقت خواست بتواند به راحتی ریموت بزند.

برای این کار پنجره Run را از منوی استارت باز کنید و در آن کامند زیر را تایپ کنید.

Control userpasswords2

با تایپ آن پنجره زیر برای شما نمایش داده می شود که شما باید به سربرگ Advanced بروید

 بر روی دکمه Manage Passwords کلیک کنیدتا پنجره زیر برای شما نمایش داده شود.

در این پنجره شما باید یوزر نیم و پسورد اتصال به سرور Core و همینطور IP آن را در شبکه وارد کنید و در انتها Ok کنید و خارج شوید.

حال به کنسول AD Users & Computers وارد شوید.

سپس بر روی نام دامین کلیک کنید که در اینجا من alireza.com گذاشتم و سپس از منوی Action گزینه Change Domain Controller را کلیک کنید.

حال از پنجره ظاهر شده در قسمت مشخص شده نام دامین را وارد کرده و Ok می کنیم.

به راحتی به اکتیو دایرکتوری Server Core وصل می شویم و به صورت گرافیکال می توانیم اقدام به کانفیگ اکتیو دایرکتوری Server Core  بپردازیم.

خب تا همین جا کافی است.

انشاء الله در جلسه بعد ادامه مباحث باقی مانده Server Core را پیش می گیریم.

موفق باشید . علیرضا مهجور

 

OU ها داخل اکتیو دایرکتوری

OU مخفف Organizational Unit هست. حالا این OU چی هست؟ عرض می کنم خدمتتون.

OU یا Group هردو کارایی شون یکی هست و برای دسته بندی Object هایی که ویژگی یکسان دارند به کار می روند، اما محدوده شان فرق دارند. OU محدوده بزرگتری را پوشش می دهد.

بعنوان مثال در یک ساختمان ده طبقه ما میتوانیم برای هر طبقه یک OU داشته باشیم و در هر OU چندین گروه وجود داشته باشد.

اما کاربرد OU ها در اکتیو دایرکتوری برای اعمال Policy به یوزرهاست.بعنوان مثال اگر بخواهیم بگوییم که یک یوزر اینترنت داشته باشد و یک یوزر اینترنت نداشته باشد ما باید دو تا OU داشته باشیم و یوزرهایی که می خواهیم اینترنت داشته باشند را عضو OU  اول و یوزرهایی که نمی خواهیم اینترنت داشته باشند را عضو OU دوم کنیم.

اما نحوه ایجاد OU در اکتیو دایرکتوری:

وارد کنسول AD Users & Computers می شویم،راست کلیک بر روی نام دامین و انتخاب گزینه New و سپس گزینه Organizational Unit . مطابق تصویر زیر:

از ما می پرسد که نام OU را مشخص کن:

مطابق شکل، تیک زیر آن میگه: این OU را از پاک شدن های تصادفی محافظت کن. که بهتر است آن را بگذاریم.

حال یک پوشه در زیر دامین ما با نامی که مشخص کردیم ایجاد می شود و ما می توانیم یوزرها را به آن اضافه کنیم.

 

نکته!

فرض کنید بخواهیم این OU ایجاد شده را پاک کنیم، با توجه به تصویر 2 که ما تیک حفاظت از پاک شدن را زدیم ، حالا چه جوری این OU را پاک کنیم؟

ابتدا به منوی View می رویم و تیک Advanced Features را می زنیم.

سپس بر روی OU مورد نظر راست کلیک کرده و به قسمت Properties می رویم. در پنجره ظاهر شده به سربرگ Object می رویم و مطابق شکل تیک گزینه مورد نظر را برمیداریم

حال به راحتی می توانیم OU را پاک کنیم.

 

نحوه ساخت OU با Command:

برای این کار ، همانطور که در جلسه بیست و پنج گفته شد از دستور dsadd استفاده می کنیم.

Dsadd ou ou=edari,dc=alireza,dc=com

با دستور بالا ما یک OU به نام اداری داخل دامین علیرضا دات کام ساختم.همانطور که می بینید بسیار ساده است.

خب . تا اینجا سه تا از Object هایی که میشه داخل کنسول AD Users & Computers ساخت رو با هم بررسی کردیم که عبارتند از User و Group و OU . حال Object چهارم را با هم بررسی می کنیم.

 

Computers

تمامی کامپیوترهایی که به دامین ما Join یا متصل می شوند ، به صورت اتوماتیک یک اکانت داخل پوشه Computers کنسول AD Users & Computers برای خودشان می سازند.

معمولا نیازی نیست در قسمت مربوطه ما کامپیوترها رو اضافه کنیم چون وقتی کامپیوتر ها join به دامین بشوند خودشان اضافه می شوند. اما در یک صورت نیاز هست ما خودمان دستی کامپیوتر جدید در این قسمت بسازیم:

موقعی که بخواهیم کسی جز ما نتواند آن کامپیوتر را به شبکه Join کند.به تصویر زیر نگاه کنید.

همانطور که می بینید در کادر User or Group ،که در شکل مشخص شده است، ما مشخص می کنیم چه کاربر یا گروهی از کاربرها اجازه دارند این یوزر را به دامین Join کنند و دیگر خود آن کاربر نمی تواند کامپیوترش را به دامین Join کند. پس فقط در این صورت است که ما خودمان دستی دراین قسمت کامپیوتر می سازیم.

 

آشنایی با Server Core

همانطور که در  جلسه بیست و دوم مختصری در مورد Server Core توضیح داده شد، سرور 2008 دارای ویژگی جدیدی به نام Server Core هست که تقریبا میتوان 70 درصد سرویس ها را با آن لود کرد.

Server Core محیط GUI یا گرافیکی ندارد، بخاطر همین دارای امنیت بالاست و فوق العاده سبک است.

حال کمی می خواهیم با Sever Core کارکنیم:

1.چطور به Server Core آی پی بدهیم تا وارد شبکه بشود؟

همانطور که در جلسه پنجم مفصل توضیح داده شد،برای IP دهی با کامند لاین از دستور netsh استفاده می کنیم.(می تونید برای اطلاعات بیشتر به جلسه پنجم مراجعه کنید)

 

2.تنظیم ساعت Server Core

بعد از تنظیم IP باید ساعت Server Core حتما تنظیم شود، چون در شبکه های دامینی اگر تفاوت ساعت کلاینت ها با سرور بیشتر از 5 دقیقه باشد ، کلاینت ها نمی توانند وارد شبکه دامینی بشوند.

اما چطور این کار را انجام دهیم؟ عرض میکنم خدمتتون

در محیط کامند لاین تایپ می کنیم:

Control timedate.cpl

محیط گرافیکی ساعت ویندوز ظاهر می شود که میتونیم از آنجا به تنظیم ساعت بپردازیم.

در شبکه های دامینی به صورت پیش فرض کلاینت ها بعد از بالا آمدن ساعت را از سرور می پرسند.

 

 

3.تغییر نام سرور به یک نام معتبر

کار سومی که انجام می شود، نام کامپیوتر باید به یک نام معتبر تغییر پیدا کند.به این  صورت که ابتدا با دستور زیر از نام قدیمی مطلع می شویم:

Hostname

سپس با دستور زیر نام جدید را وارد می کنیم، مطابق تصویر:

Netdom /renamecomputer نام قدیمی /newname نام جدید

همانطور که می بینید در تصویر از من پرسید که آیا مطمئن هستید و من با حرف y مشخص کردم که بله و سپس از من خواست که یکبار سیستم را ریستارت کنم تا تغییرات اعمال شود.

حال با دستور زیر یکبار سرور را ریستارت می کنیم.

Shutdown –r –t 1

با دستور بالا مشخص کردیم که سرور را یک ثانیه دیگر ریستارت کن.

 

 

4.تنظیم فایروال سرور

این تنظیمات نیز در جلسه هجدهم مفصل توضیح داده شد(لطفا به آنجا مراجعه کنید)

 

 

5.مدیریت یوزرها و گروه ها در Server Core

با دستور Net user میتوانیم یوزرهای موجود در Server Core را مشاهده کنیم.

برای اضافه کردن یوزر از دستور زیر استفاده می کنیم:

Net user mcitpclass Ali12345 /add

من یوزر mcitpclass را با پسورد Ali12345 که حتما باید Complexity باشد (ترکیبی از حروف بزرگ و کوچک و عدد) را اضافه کردم.

با دستور net localgroup می توانیم تمامی گروه های سرور را مشاهده کنیم.

اگر بخواهیم یوزر mcitpclass را عضو گروه مثلا administrators کنیم به صورت زیر عمل می کنیم:

Net localgroup administrators mcitpclass /add

برای حذف کردن یوزر نیز از دستور زیر استفاده می کنیم:

Net user mcitpclass /delete

 

 

6.مدیریت Share ها در Server Core

برای مشاهده تمامی پوشه های share شده در server core از دستور Net Share استفاده می کنیم.

برای share  کردن یک پوشه از دستور زیر استفاده می کنیم:

Net share نامی که افراد دیگر می بینند=مسیر پوشه

بعنوان مثال من یک پوشه به نام test می سازم و نام آن را mytest می گذارم.

C:\>md test

C:\>net share mytest=c:\test

برای دسترسی به یک پوشه share شده داخل یک کامپیوتر از طریق Server core از دستور زیر استفاده می کنیم:

Net use z: \\آی پی سیستم مورد نظر\نام پوشه

همانطور که در تصویر می بینید من به پوشه a در کامپیوتر 192.168.1.5  دسترسی پیدا کردم البته بعد از زدن یوزرنیم و پسورد.

تا اینجای مباحث کافیه. ان شاء الله در جلسه آینده باهم بررسی می کنیم که چطور می شود در Server Core سرویس نصب کرد.

موفق باشید. علیرضا مهجور

گروه ها

برای مدیریت Object هایی که دارای ویژگی یکسان هستند استفاده می شوند.

گروه های داخل شبکه های دامینی از دو نظر دسته بندی می شوند:

از لحاظ Type و از لحاظ Scope

1.Type:

الف- Security

گروه هایی که از این نوع ساخته می شوند فقط برای دادن Permission و سطح دسترسی در شبکه هستند.99 درصد گروه هایی که ما در اکتیو دایرکتوری می سازیم از این نوع هستند.

 

ب- Distribution

گروه هایی که از این نوع ساخته می شوند یک کاربرد دارند و آن ارسال دسته جمعی ایمیل هست.

 

2.Scope:

الف-Domain Local

این گروه اعضایش از هرکجا می تواند باشد و فقط به جایی permission داده می شوند که ایجاد میگردد.

یعنی این یوزر می تواند از شعبه های دیگر باشد اما فقط در جایی که ایجاد می گردد اجازه دسترسی دارد و مثل یونیورسال به همه شعبه ها دسترسی ندارد.

 

ب- Universal

این گروه اعضایش از هرکجا می توانند باشند و به هرجا می توانند دسترسی داشته باشند. بهتر است فقط ادمین ها عضواین گروه باشند .این گروه رو فقط Enterprise Admin می تواند بسازد.

همانطور که می دانید ما در شبکه های دامینی دو نوع ادمین داریم: Enterprise Admin  و Domain Admin.

کسی که ادمین شعبه مرکزی باشد Enterprise Admin هست و کسی که ادمین شعبه های دیگر باشد Domain Admin می گویند.

 

ج-Global

گروهی که از نوع Global باشد اعضایش فقط از همان شعبه می تواند باشد و فقط به همان شعبه می تواند دسترسی داشته باشد. به صورت پیش فرض وقتی گروه ساخته می شود Scope آن از این نوع می شود.

و اما نحوه ایجاد گروه به صورت عملی:

در منوی استارت از قسمت Administrative Tools وارد Active Directory Users & Computers می شویم ودر آنجا مطابق تصویر زیر عمل می کنیم.

سپس از پنجره ظاهر شده نام گروه و همینطور Type و Scope آن را مشخص می کنیم که همانطور که گفته شد Scope بر روی Global و Type بر روی Security از قبل تنظیم شده است.

اما چطور به این گروه User  اضافه می کنیم؟ خیلی ساده

بر روی گروه ساخته شده کلیک راست می کنیم و بر روی گزینه Properties کلیک می کنیم و سپس به تب members می رویم . مطابق تصویر زیر:

بر روی دکمه Add کلیک می کنیم و یوزر مورد نظر رااضافه می کنیم.

 

نکته!

Scope یوزرها به یکدیگر به این صورت تبدیل می شوند:

مطابق شکل ما نمی توانیم مستقیما از Scope گلوبال به دامین برویم و یا از دامین به گلوبال .

باید ابتدا اسکوپ گلوبال به یونیورسال تبدیل شود و سپس به دامین تبدیل شود.

 

نکته!

یکسری گروه های از پیش تعریف شده داخل کنسول AD Users & Computers وجود دارد که داخل پوشه Builtin قرار دارند که همه شان از نوع Security و Scope  لوکال دامین تعریف شده اند تا ما بتوانیم افرادی رو از شعبات دیگر به این گروه ها اضافه کنیم تا بتوانند دامین ما را مدیریت کنند.

اما مهم ترین این گروه ها:

Administrators

Account Operators: افرادی که عضو این گروه باشند داخل اکتیو دایرکتوری می توانند اکانت بسازند و مهم تر اینکه می توانند برخی سرویس های دامین را هم مدیریت کنند.

Server Operators: معادل این گروه در شبکه های work group  پاور یوزرز هست. افرادی که عضو این گروه شوند . اجازه نصب نرم افزار بر روی سیستم خودشون و همینطور سیستم بقیه را دارند.

بهترین کار این هست که اگر خواستیم اجازه نصب نرم افزار به یک یوزر بدهیم ، داخل سیستم خودش به کنترل پنل برویم و سیستم قسمت یوزر اکانت و اون سیستم رو از نوع PowerUsers تعریف کنیم تا اجازه نصب نرم افزار فقط و فقط بر روی سیستم خودش داشته باشد.

و اما نحوه ساخت گروه با Command

Dsadd group cn=mcitpclass,cn=users,dc=alireza,dc=com –secgrp yes –scope  l

و اما توضیح دستور بالا

همانطور که در جلسه قبل توضیح دادم ، dsadd برای ایجاد یک شیء یا Object بکار می رود. با به کار بردن کلمه Group به اکتیو دایرکتوری فهماندیم که ما قصد ایجاد یک گروه را داریم.

خب در cn اول ما نام گروه را مشخص می کنیم و در cn دوم نام پوشه ای که گروه باید در آن ساخته شود را مشخص می کنیم که همان پوشه Users هست.

در دو dc هایی که به کار بردیم نام دامین رامشخص کردیم که alireza.com هست.

درجلوی پارامتر –secgrp اگر کلمه yes بگذاریم گروه ما از نوع Security تعریف می شود و اگر کلمه No را بگذاریم گروه ما از نوع Distribution تعریف خواهد شد.

پارامتر بعدی –scope هست که نوع Scope را مشخص می کند .که ما در اینجا L گذاشتیم که یعنی اسکوپ ما از نوع Local Domain باشد. برای دو تای بقیه اگر حرف G بگذاریم از نوع Global و اگر حرف U بگذاریم اسکوپ ما از نوع Universal تعریف می شود.

اینم از بحث گروه ها در اکتیو دایرکتوری .در جلسات بعد ادامه مباحث رو با هم پی می گیریم.

موفق باشید.

 

 

 

Join To Domain

خب همانطور که می دونید داخل شبکه های دامینی تا زمانی که یک کامپیوتر را Join به دامین نکنیم، از روی اکتیو دایرکتوری نمی تونیم کنترلش کنیم.

قبل از انجام هر چیز،ابتدا تست می کنیم که ping دامین (سرور) رو داریم یا خیر. یعنی کلاینت ما داخل شبکه هست یا خیر؟ اگر اوکی بود، با هم مراحل زیر رو جلو می ریم.

اول: به کنترل پنل می رویم و در قسمت Network Connection (در ویندوز XP) یا Network & Sharing Center  (در ویندوز 7 )بر روی کارت شبکه کلاینت کلیک راست می کنیم و در قسمت properties آن بر روی Internet Protocol Version 4 کلیک می کنیم تا انتخاب شود و سپس بر روی Properties  کلیک می کنیم و DNS کلاینت را آدرس IP سرور قرار می دهیم.

مثلا فرض کنید IP سرور ما 192.168.2.1 هست که باید در قسمت Preferred DNS Server آن را وارد کنیم .

اما دلیل این کار چیست و اگر این کار انجام نشود Join به دامین صورت نمی گیرد؟

سرعت Loading  و بالا آمدن کلاینت بسیار سریع می شود . و اگر این کار انجام نشود اتفاقی نمی افتد و فقط بر روی سرعت بالا آمدن کلاینت تاثیر گذار است.

دوم: بر روی My Computer کلاینت راست کلیک کرده و در قسمت Properties و سپس در قسمت Advanced system settings وارد تب Computer name می شویم .(البته در ویندوز XP بعد از انتخاب Properties مستقیما تب Computer name انتخاب می شود).

بر روی دکمه Change کلیک می کنیم.

سپس در پنجره جدید ظاهر شده، تنظیمات زیر را انجام می دهیم.

در قسمت Member of گزینه Domain را انتخاب می کنیم. (اگر ویندوز کلاینت این گزینه را نداشت قابلیت اتصال به دامین را ندارد.)

در کادر زیر آن نام دامین را هرچه در ویندوز سرور مشخص کرده ایم در اینجا وارد می کنیم. در ویندوز سرور موقع نصب اکتیو دایرکتوری ما نام دامین را hani.com گذاشته ایم. اینجا هم همان را وارد می کنیم.

حال OK می کنیم. در پنجره ای که نام دامین را وارد کردیم نیز بر روی OK کلیک می کنیم. حال اگر بعد از چند ثانیه کادر username/password را برای ما آورد مراحل را درست رفته ایم و همه چیز درست است و گرنه باید ببینیم اشکال کار ما از کجاست.

در پنجره Username/Password باید یوزرنیم و پسوردی که در کنسول Users & Computers ساختیم رو وارد کنیم.(جلسه بیست و سوم رو یادتونه؟)

بعد از وارد کردن آن باید پیغام Welcome to  ظاهر شود. کار تمام است. حال از ما  می خواهد که یکبار کامپیوتر خود را ریستارت کنیم تا تغییرات اعمال شود.دقت کنید بعد از ریستارت شدن اگر ساعت و تاریخ سیستم با ساعت و تاریخ سرور یکسان نباشد هنگام ورود Error می دهد و باید ابتدا یکسان شودو بعد میتوانیم یوزرنیم و پسورد را در هنگام ورود بزنیم و وارد شویم.

نکته!

هر کلاینت اجازه دارد با نام یوزر خودش ده کامپیوتر رو Join به دامین کند.

بحث Join To Domain کردن کلاینت ها تمام شد.

حال به یکسری از نکات باقی مانده از کنسول AD Users & Computers می پردازیم.

طریقه ایجاد و مدیریت یوزرها با Command داخل اکتیو دایرکتوری

دستورات مدیریتی اکتیو دایرکتوری با کامند که می توانیم در ویندوز سرور بکار ببریم عبارتند از :

dsadd: برای اضافه کردن یک شیء یا Object

dsmod: برای مودیفای یا ویرایش کردن یک Object

dsmove: برای انتقال یک Object

dsget: برای دیدن مشخصات یک Object

dsquery: برای سرچ کردن یک Object

باهم به صورت عملی می بینیم که چطور می توان یک یوزر را داخل اکتیو دایرکتوری ویندوز سرور از طریق کامند ایجاد کرد و آن را مدیریت کرد.

ابتدا CMD ویندوز سرور را باز می کنیم و برای ایجاد یک یوزر جدید داخل آن دستور زیر را می زنیم.

dsadd user cn=نام  , cn=نام پوشه , dc=نام دامین , dc=پسوند  -pwd   پسورد یوزر

یک مثال عملی: میخواهیم در کنسول AD Users & Computers داخل پوشه Users یک یوزر با نام alireza با پسورد Mcitpclass12345 ایجاد کنیم. نام دامین ما هم alireza.com هست.

اگر بخواهیم از طریق telnet و از راه دور بر روی اکتیودایرکتوری یک یوزر بسازیم حتما باید یوزرنیم و پسورد ویندوز سرور را هم در پایان دستور بدهیم. مثلا در مثال قبل دستور باید به صورت زیر نوشته شود(فرض بفرمایید یوزر نیم و پسورد ویندوز سرور برابر administrator و Mcitp2013 هست )

dsadd user cn=alireza , cn=users , dc=alireza , dc=com  –psw=Mcitpclass12345

–u administrator  -p Mcitp2013

ان شاء الله نحوه ساختن گروه و مدیریت گروه در کنسول AD Users & Computers را در جلسه بعد پی می گیریم.

اگر خواستید این جلسه را کار عملی کنید، نیاز دارید که ویندوز سرور 2008 رو با vmware بالا بیارید، و ویندوز خودتون رو با vmware شبکه کنید و باقی مراحل رو طبق دستوراتی که در وبلاگ گفته شده ادامه دهید. من فایل آماده شده ویندوز سرور 2008 رو دارم ولی چون حجم اون بسیار زیاد هست (حدود یک گیگ و نیم) امکان آپلود برام میسر نیست. از این بابت عذرخواهی می کنم. اما شما می تونید فایل iso ویندوز سرور 2008 رو گیر بیارید و اون رو داخل VMware Workstation نصب کنید.

بهتر هست که حتما این کار رو بکنید چون از این به بعد برای کار عملی کردن داخل خانه خیلی نیاز می شود. امیدوارم از این جلسه استفاده کرده باشید. اگر سوالی داشتید در خدمتم. موفق باشید.

خب. با هم ادامه مباحث قبلی رو پیش می گیریم.

TGT

TGT مخفف Ticket Grant Ticket هست.

در شبکه های دامینی همونطور که قبلا گفته شده ، پروتکلی که عمل احراز هویت رو انجام میده پروتکل Kerberos هست. وظیفه Kerberos ایجاد و کنترل TGT هست.

TGT به نوعی مثل ویزا هست و Kerberos نهاد صادر کننده ویزا هست. اگر شما ویزای تحصیلی از آمریکا گرفته باشید اجازه ندارید که در آنجا کار کنید و یا اگر ویزای تفریحی و توریستی داشته باشید باید بعد از تمام شدن یکماه به کشور خود بازگردید.TGT نیز به این صورت است. فرض کنید شما با یک یوزر نیم و پسوردی از طریق یکی از کلاینت ها وارد شبکه دامینی شدید. و حال می خواهید بر روی یکی از کلاینت ها دسترسی داشته باشید. اول بلیط شما یا TGT بررسی می شود که آیا شما اجازه دارید که این کار را انجام دهید یا خیر.اگر اجازه داشتید می توانید دسترسی داشته باشید.

Group Policy

داخل شبکه دامینی برای اعمال Policy به شبکه از Group Policy استفاده می کنند. داخل شبکه های دامینی دو نوع Group Policy وجود دارد :

1 –  Local Group Policy

2 - Default Domain Policy

Local Group Policy

اولی یا همون Local Group Policy داخل ویندوز های معمولی هم وجود دارد که دستور دسترسی به آن gpedit.msc (در Run ویندوز تایپ می کنیم) هست. هر تغییری که در Local Group Policy داده شود فقط و فقط به همون کامپیوتر اعمال می شود و بر روی کلاینت های دیگر تاثیری ندارد.

 Default Domain Policy

اما دومی یعنی Default Domain Policy داخل ویندوزهای معمولی وجود ندارد و برای دسترسی به آن باید داخل ویندوز سرور دستور gpme.msc را در Run تایپ کنیم. هر تغییری که در اینجا اعمال شود به کل شبکه دامینی اعمال می شود. بعنوان مثال اگر بخواهیم قسمتی را برای همه ببندیم ، باید در اینجا اعمال کنیم.

نکته دیگری که باید دقت کنید این است که پشت کامپیوتری که دامین کنترلر (DC) هست ما
Group Policy به نام Local نداریم و حتما باید از Default Domain Policy یا همون gpme.msc استفاده کنیم.

مسیر دسترسی به Default Domain Policy غیر از دستور gpme.msc

از قسمت Administrative Tools وارد Group Policy Management می شویم.

پس از باز شدن پنجره مذکور، زیر دامین مورد نظر ، بر روی Default Domain Policy کلیک راست می کنیم و گزینه Edit رو انتخاب می کنیم.

نکته!

کنسول Group Policy Management به صورت پیش فرض داخل ویندوز سرور 2003 وجود ندارد و برای اضافه کردن آن باید فایلی به نام gpmc.msi دانلود شود و نصب شود تا به ویندوز سرور اضافه شود.

 

حال می خواهیم زمان Ticket هایی که هر یوزر می گیرد تا وارد شبکه دامینی شود را، از طریق Group Policy دستکاری کنیم.

جهت این کار ابتدا در قسمت Run ویندوز سرور gpme.msc را تایپ کرده و از پنجره ظاهر شده به مسیر زیر می رویم.

Computer Configuration>Policies>Windows Settings>Security Settings>Account Policies> Kerberos Policy

و از پنجره سمت راست بر روی Maximum lifetime for user ticket کلیک می کنیم.

همانطور که در شکل هم می بینید زمان پیش فرض آن 10 ساعت می باشد که با Double Click بر روی آن می توانیم مقدار آن را تغییر دهیم.

همانطور که توضیح دادم Maximum lifetime for user ticket مدت زمان Session هر یوزر بود ، یعنی یک یوزر تا 10 ساعت می تواند بسته به نوع بلیتش از منابع و کلاینت های شبکه استفاده کند بعد از ده ساعت ، اگر بخواهد استفاده کند به ازاء هر بار درخواست از او Username  و پسورد می پرسد.

گزینه زیری آن یعنی Maximum lifetime for user ticket renewal مدت زمانی اعتبار تیکت هر کاربر هست. یعنی بعد از یک هفته اگر کلاینت به صورت مداوم کامپیوترش روشن باشد ، و بخواهد از منابع شبکه استفاده کند، دیگه با دادن یوزر نیم و پسورد هم قبول نمی کند و باید حتما یکبار Log off کند تا مجددا به آن تیکت تخصیص داده شود.

گزینه بعدی که در شکل مشخص استmaximum tolerance for computer clock synchronization هست که همانطور که از متن آن مشخص است، مقدار زمانی است که کلاینت ها اجازه دارند ساعتشان با ساعت سرور تفاوت داشته باشد. یعنی اگر این اختلاف بیشتر از 5 دقیقه باشد به کلاینت Error می دهد و به آن اجازه نمی دهد به شبکه دامینی متصل شود.

که ما در اینجا می توانیم آن را تغییر دهیم.

که البته سروری که به صورت اختصاصی این کار را انجام میدهد NTP Server هست.

نحوه فعال سازی NTP Server داخل ویندوز سرور 2008 :

از قسمت Domain Policy Default وارد مسیر زیر می شویم:

Computer Configuration>Policies>AdministrativeTemplates>System>WindowsTime Services > Time Providers

 و از پنجره سمت راست بر روی Configure Windows NTP Client کلیک می کنیم و سپس مطابق شکل بر روی Enable کلیک می کنیم تا سرور NTP فعال شود.

چون قصدم این است که جلسه بعد Join to domain رو به طور مفصل توضیح دهم ،این جلسه کمی کوتاه شد.

برای دوستانی که جلسات وبلاگ رو همزمان با کپچرها دنبال می کنند ، من الان تا کپچر دهم دقیقه  58 درس داده ام. امیدوارم از لحظه لحظه زندگی تون نهایت استفاده رو ببرید و همیشه خودآگاه زندگی کنید. موفق باشید.

خب در جلسه قبل مراحل نصب اکتیو دایرکتوری رو باهم بررسی کردیم.اما از کجا بفهمیم اکتیودایرکتوری درست نصب شده است؟

سه راه وجود دارد برای اینکه بفهمیم اکتیودایرکتوری درست نصب شده است یا خیر:

اول: cmd را در ویندوز سرور باز می کنیم و دستور Net share را می زنیم (دستوری است برای دیدن پوشه های share شده داخل ویندوز). دو پوشه NETLOGON و SYSVOL باید share شده باشد و در آنجا مشاهده شود.

دوم: وارد کنسول DNS می شویم( از طریق منوی Start گزینه Administrative tools و سپس انتخاب کنسول DNS). در پنجره ظاهر شده داخل پوشه Forward Loockup zones دو پوشه باید ایجاد شده باشد. که در تصویر مشاهده می کنید.

پوشه اول _msdcs.hani.comبرای ارتباط اکتیو دایرکتوری با شعبه های دیگر هست.

پوشه ای که به نام دامین ما هست (hani.com) برای ارتباط کلاینت های داخل این دامین با خود دامین هست و داخل این پوشه ،باید دقیقا 5 پوشه وجود داشته باشد.

 

سوم: از طریق منوی استارت به قسمت Administrative Tools می رویم و بر روی کنسول
Active Directory Users and Computers کلیک می کنیم.از پنجره ظاهر شده به منوی View می رویم و تیک گزینه Advanced features را می زنیم. حال زیر پوشه ای با نام دامین حداقل 9 پوشه باید وجود داشته باشد.اگر کمتر باشد اکتیو ما درست نصب نشده است.

از راه های تست اکتیو دایرکتوری که بگذریم. وقتی اکتیو دایرکتوری نصب می شود 4 کنسول به سرور ما اضافه می شود که عبارتند از:

کنسول اول: Active Directory Users and Computers : از این کنسول برای مدیریت محلی دامین استفاده خواهیم کرد.

کنسول دوم: Active Directory Sites and Services : برای کنترل ترافیک بین دامین ها یا شعبه ها مورد استفاده قرار می گیرد.

کنسول سوم: Active Directory Domains and Trusts: این کنسول به ما اجازه می دهد بین دو Forest متفاوت ارتباط برقرار کنیم.

کنسول چهارم: Active Directory Services Interface (ADSI Editor) : این کنسول همان کنسول اول هست با این تفاوت که این کنسول کاملا به زبان اکتیو دایرکتوری هست. یک جورایی برای کسانی هست که با زبان اکتیو مشکل دارند و می خواهند آن را یاد بگیرند.

خب . از اینجا به بعد چهار کنسول بالا را با هم بررسی می کنیم.

اول: مدیریت لوکال شبکه های دامینی -  Active Directory Users and Computers

ما برای اینکه بتوانیم شبکه های دامینی رو مدیریت کنیم باید داخل این کنسول(ADUC) شیء یا Object بسازیم. Object ها چیزهایی هستند که برای مدیریت شبکه های دامینی از آنها استفاده می کنیم. 4 شیء که ازاونها استفاده می کنیم عبارتند از: User و Group و OU و Computer.

همونطور که میدونیم اولین اقدام برای ایجاد شبکه های دامینی این هست که به تعداد کارمندانی که داخل اون شبکه هستند باید User بسازیم.

برای ایجاد User در شبکه دامینی باید وارد کنسول (ADUC) بشویم در اینجا فرقی نمی کند که User را کجا ایجاد کنیم ولی بهتر هست که در  پوشه Users ایجاد شود و برای ایجاد آن فقط کافی است کلیک راست کنیم و گزینه New را انتخاب کرده و سپس گزینه User را انتخاب کنیم.

با پنجره زیر مواجه می شویم:

پرکردن این پنجره نیازی به توضیح ندارد. فقط تنها نکته ای که باید به آن دقت کرد این هست که در قسمت User Logon name بهتر است نام کاربری که پشت آن سیستم می نشیند وارد شود بجای User1  و User2  ،تا وقتی تعداد User های شبکه زیاد شد به مشکل برنخوریم.

پس از پرکردن این فرم بر روی Next کلیک میکنیم و با صفحه وارد کردن پسورد مواجه می شویم.

نکته ای که در وارد کردن پسورد هست این است که باید حتما پسورد شما Complexity باشد یعنی ترکیبی از اعداد و حروف کوچک و حروف بزرگ انگلیسی باشد. مثل Ali123.

4 گزینه زیر آن به ترتیب عبارتند از :

اولی اگر تیک دار شود،کاربر بعد از ورود به شبکه باید پسورد خودش رو عوض کند.

دومی اگر تیک دار شود کاربر نمی تواند پسورد خودش را عوض کند.

سومی اگر تیک دار شود ، پسورد کاربر که بعد از 42 روز منقضی می شود، هیچ وقت منقضی نمی شود و هیچ وقت نیازی نیست پسوردش را عوض کند.

چهارمی اگر تیک دار شود اکانت کاربر Disable می شود و نمی تواند وارد آن شود.

تنها تیکی که نیاز هست در اینجا زده شود ، گزینه سوم هست چون ما می خواهیم بعد از یک هفته پسورد ما Expire شود نه 42 روز، چون امنیت در شبکه های ایران  پایین است و نیاز هست هر هفته پسورد عوض شود.

بر روی Next کلیک می کنیم و درپایان بر روی Finish کلیک می کنیم تا یوزر ما ساخته شود.

همزمان با ساختن یک اکانت User سه اکانت زیر داخل شبکه دامینی اتوماتیک ساخته می شوند:

1.User Logon Name : نامی که طرف مقابل با آن می تواند وارد شبکه دامینی شود. مثل A_Majoor

2. User Principal Name که در اصطلاح شبکه UPN گفته می شود. مثل A_Mahjoor@hani.com . همانطور که می بینید به فرم ایمیل نوشته شده است. در شبکه های دامینی همزمان با ساختن یک یوزر اکانت ایمیل هم برایش ساخته می شود. به UPN اصطلاحا اکانت ایمیلی گفته می شود.

3. User Logon Name(pre windows 2000) : در اینجا می شود: Hani\A_Mahjoor. در شبکه های دامینی اگر بخواهیم خودمان را معرفی کنیم ابتدا باید نام دامین را ذکر کنیم و سپس بک اسلش ("\")  و سپس نام یوزر را ذکر کنیم.

 

نکته بعدی که می خواهم در اینجا براتون توضیح دهم قسمت Properties یوزر ساخته شده است.

برای دسترسی به آن بر روی User مورد نظر کلیک راست کرده و گزینه Properties را انتخاب
می کنیم.همانطور که می بینید 13 تب در این پنجره مشاهده می شود که قابل تنظیم است.

که من چند تب از مهمترین هاش رو خدمتتون توضیح میدهم.

تب Account

دکمه Logon Hours… که برای یوزرها مشخص می کنیم چه ساعاتی اجازه داشته باشند وارد شبکه بشوند.

دکمه Logon To…  که با آن یوزرها رو مجبور می کنیم فقط از پشت کامپیوتر خودشان وارد شبکه شوند.

در این تب گزینه ای به نام Unlock Account وجود دارد ، کاربرد آن به این صورت است که کاربری که داخل شبکه دامینی سه بار پسوردش را اشتباه بزند ، اکانتش به مدت نیم ساعت قفل می شود ما از این جا اکانتش را از حالت قفل در می آوریم .

در پایین تب Account، قسمتی به نام Account Expires وجود دارد که  از طریق آن میتوانیم مشخص کنیم که این اکانتی که ما ساختیم کی Expire شود و مهلت آن تمام شود.به قول معروف کی منقضی شود و کاربر دیگه نتواند از طریق آن وارد شبکه دامینی شود.

تب Dial-in

از طریق این تب و قسمت Network Access Permission میتونیم مشخص کنیم که کاربرایی که بیرون از شبکه هستند بتوانند به شبکه ما وصل بشوند یا خیر.که بهتر هست در اینجا گزینه
 Control Access Through NPS Network Policyانتخاب شود تا ما بر روی کامپیوتر های بیرون از شبکه هم مدیریت داشته باشیم تا خدای ناکرده هک نشویم.

تب General و تب Address و تب Telephone

سعی شود برای هر یوزری که ساخته می شود حتما این اطلاعات شخصی پر شود.

نکته بعدی که باید خدمتتون عرض کنم این هست که اگر بخواهیم اطلاعاتی را داخل یوزرها جستجو کنیم می توانیم از قسمت Saved Queries کلیک راست کرده و بر روی New کلیک کنیم و سپس بر روی Query کلیک کنیم.

از طریق پنجره ای که باز می شود ما می توانیم بین User ها Query بگیریم و اطلاعاتی را که می خواهیم در آنها جستجو کنیم.

خب تا اینجای کار را داشته باشید ان شاء الله ادامه آن را در جلسه بعد خواهم گفت. موفق باشید.

خب با هم ادامه مباحث قبل رو پیش می گیریم.

Server Core چیست؟

یکی از محصول های مایکروسافت است که یک محیط Command Line و بدون گرافیک رو در اختیار ما می گذارد و کلا در این محیط همه کارها با دستور انجام می شود.

Server Core فوق العاده سبک است و هیچ چیزی اضافه در آن وجود ندارد.حجم آن بعد از نصب حدود یک و نیم گیگ هست.

مزایای اصلی Server Core از زبان مایکروسافت:

کاهش نگهداری -  کاهش حملات به سرور – کاهش مدیریت – کاهش فضای مورد نیاز هارد دیسک – کم شدن باگ های نرم افزاری

در اینجا به طور خلاصه در تصویر تفاوت های Server Core و Full Installation رو می بینید:

چطور آن را نصب کنیم؟

موقع نصب ویندوز سرور 2008 از ما می پرسد Core Installation یا Full Installation که در همانجا می تونیم Core Installation رو انتخاب کنیم و نصب کنیم.

 

و اما حداقل مشخصات سخت افزاری سیستم برای نصب ویندوز سرور 2008:

این مشخصات رو به طور خلاصه می تونید در تصویر زیر ببینید:

به طور کلی 2G Hz نیاز به CPU هست و 2G رم نیاز هست و 10  گیگا بایت هم هارد مورد نیاز هست.

نصب Active Directory داخل Windows Server 2008:

برای نصب Active Directory یکسری پیشنیازها رو باید رعایت کنیم.

اولین پیش نیاز: کامپیوتر دارای کارت شبکه باشد و بر روی آن به صورت دستی آی پی گذاشته باشیم و اتوماتیک آی پی نگرفته باشد.اگر کارت شبکه نداریم و میخواهیم AD نصب کنیم ، کارت شبکه LoopBack نصب کنیم.

نکته: کارت شبکه LoopBack چطور نصب می شود؟

وارد Control Panel میشیم و بر روی قسمت Add Hardware کلیک می کنیم و سپس Next و سپس در پنجره بعدی گزینه  Install the hardware that i manually select from a list (Advanced)  رو انتخاب می کنیم. و سپس Next می زنیم.و در آنجا بر روی Network Adapter کلیک می کنیم و مجددا بر روی Next کلیک می کنیم. در صفحه بعد از قسمت سمت چپی گزینه Microsoft و در قسمت سمت راستی گزینه LoopBack Adapter رو کلیک می کنیم و در پایان Next می زنیم تا نصب شود.

دومین پیش نیاز: روی کارت شبکه موقع نصب AD نباید هیچ DNS ی تنظیم شده باشد.ما باید بگذاریم خود Active Directory این DNS رو نصب کند.

سومین پیش نیاز: روی سروری که می خواهیم Active Directory رو نصب کنیم نباید قبل از آن سرویسی به نام  DNS نصب شده باشد. اگر DNS نصب شده باشد باید اون رو Unistall کنیم واین آنیستال کردن به تنهایی کافی نیست .باید داخل درایور ویندوز قسمت System32 پوشه DNS رو به صورت دستی پاک کنیم تا خود AD به صورت کامل این سرویس DNS  رو نصب کند.

و اما برای نصب اکتیو دایرکتوری دو راه وجود دارد:

 

اول :در ویندوز سرور 2008 از منوی Start وارد قسمت Server Manager شویم و از قسمت Roles گزینه Add Roles رو از پنجره سمت چپ بزنیم.

سپس در پنجره بعدی گزینه Active Directory Domain Services را انتخاب کنیم و مراحل را برویم .

 

دوم: از طریق Run ویندوز کلمه dcpromo را تایپ کرده و اینتر بزنیم.که ما دومی را توضیح می دهیم.

اگر در Run ویندوز سرور 2008 کلمه dcpromo را تایپ کنیم ،با پنجره زیر روبرو می شویم .

قبل از اینکه در اینجا بر روی Next کلیک کنیم لازم است دو نکته رو خدمتتون عرض کنم. ما اکتیو دایرکتوری را در دو Mode میتوانیم نصب کنیم .Advanced Mode و Wizard Mode . اگر در اینجا تیک Use Advanced Mode installation را بزنیم اکتیو در mode Advance نصب می شود.تا زمانی که کورس پنجم رو نخوندیم در حالت Advanced اکتیو رو نصب نمی کنیم.

Next رو میزنیم (تیک use advanced را نمی زنیم).با صفحه OS Compatibility روبرو می شویم:

که در اینجا به ما می گوید که چه سیستم عامل هایی با اکتیودایرکتوری 2008 سازگارند.تمامی ویندوزهای مایکروسافتی با اکتیو دایرکتوری 2008 سازگارند و همینطور سیستم عامل های لینوکسی که پروتکل SMB رو ساپورت  می کنند نیز با اکتیودایرکتوری سازگار هستند.Next  میزنیم.

این پنجره نیاز به کمی توضیح دارد.

نکته اول:

در نظر  بگیرید که از ما خواسته می شود که یکجا را شبکه کنیم و مدیریت کنیم. ما میدونیم که شبکه دو نوع بیشتر نیست workgroup و Domain که بهترین آن شبکه دامینی است.

ما در آنجا یک سرور میگذاریم و شبکه رو دامین می کنیم. همه دامین ها باید نام داشته باشند و اسم آنها هم اجباری است که به فرم  نام.نام باشد به عنوان مثال Ali.com یا هر هر اسم دو بخشی دیگر sina.sina .

به اولین دامینی که ایجاد می شود در اصطلاح شبکه Root Domain می گویند. فرض بگیرید یکسال می گذرد و شرکت مورد نظر تصمیم میگیرید یک شعبه دیگر را هم به شبکه اش اضافه کند. ما آن شعبه را هم دامین می کنیم و زیر مجموعه شعبه اصلی می کنیم.به این شعبه که زیر مجموعه شعبه اصلی هست در اصطلاح شبکه Child Domain یا Sub Domain می گویند.

Child Domain ها هم باید برای خودشون اسم داشته باشند. هر اسمی که می گذاریم باید نام Parent یا در اصطلاح پدر خودشون رو هم داشته باشند. بعنوان مثال می توانیم نامش را B.Ali.com
بگذاریم.

حال در نظر بگیرید یک شعبه دیگر در ولیعصر اضافه می شود و نام آن را V.ali.com و یک شعبه دیگر در چهار راه ولیعصر زده می شود و زیر مجموعه ولیعصر هست که نام آن C.V.ali.com می شود.

حال باز در نظر بگیرید شرکت در نظر می گیرد یک شعبه در یک شهر دیگر مثلا تبریز بزند . به شعبه ای که از لحاظ جغرافیایی با شعبه اصلی فاصله دارد در اصطلاح Domain Tree  می گویند.

نام تمامی Domain Tree ها می تواند کاملا مستقل باشد. بعنوان مثال میتونیم اسم اون شعبه تبریز رو hani.com بگذاریم. فرض بگیرید داخل تبریز هم یک شعبه دیگر زده می شود و نام آن را V.hani.com می گذاریم. تمامی این حرف ها را زدیم که به این تعریف برسیم :به کل مجموعه شعبه های ما در اصطلاح شبکه Forest می گویند.

معمولا Forest ها نامشان  را از روی Root Domain برمیدارند. بهمین خاطر سعی شود اسم اولین دامین خوب انتخاب شود.

 تمامی حرف های بالا در یک تصویر:

 

نکته دوم:

در دنیای واقعی برای ایجاد شبکه های دامین نیاز به یک سرور فیزیکی واقعی داریم که روی آن
اکتیو دایرکتوری نصب شده باشد. معمولا یک سرور دیگر در شبکه های دامینی بعنوان پشتیبان یا Backup سرور اصلی قرار داده می شود. به سرور اصلی در شبکه های دامینی PDC که مخفف
Primary Domain Controller و به سرور بکاپ در اصطلاح BDC یا Backup Domain Controller
می گویند.

نکته سوم:

اصطلاح بعدی که موقع ساخت Forest با آن مواجه خواهیم شد FFL و DFL هست که به ترتیب مخفف Forest Functional Level و Domain Functional Level هستند.

DFL چیست؟

توسط DFL ما ویندوز سرور ، سرور بکاپ یا BDC را مشخص می کنیم.

در هنگام نصب اکتیو دایرکتوری ،اگر DFL بر روی ویندوز سرور 2003 تنظیم شده باشد سروری که بخواهد بکاپ این سرور باشد مجبور است یا از ویندوز سرور 2003 استفاده کند و یا بالاتر مثل 2008 یا 2012 . یعنی از این طریق ما مشخص می کنیم که سرور BDC اجازه ندارد که ویندوز سرور 2000 ( بعنوان مثال ( روی سیستم اش نصب کند.

واقعا لزومی دارد که مشخص کنیم که ویندوز سرور BDC چی باشد؟

بله! چون تمامی اطلاعات ویندوز اصلی در سرور بکاپ کپی می شود و اگر از لحاظ امنیتی مشکل داشته باشد ، کار تمام است.

بهتر است DFL بر روی 2003 تنظیم شود که سرور بکاپ بتواند بین ویندوز سرور 2003 و 2008 انتخاب کند(چون بیشتر جاهای ایران هنوز 2003 کار می کنند) اگر DFL بر روی 2008 ست شود، سرور بکاپ مجبور است که از 2008 به بالا بگذارد و نمی تواند دیگر 2003 یا 2000 بگذارد.

و اما FFL چیست؟

توسط FFL ما ویندوز سرور شعبات را مشخص می کنیم.بعنوان مثال اگر FFL را ما 2003 بگذاریم سروری که قصد دارد Child شعبه اصلی شود مجبوراست که یا 2003 بالا بیاورد و یا 2008  و یا 2012

خب حالا برمیگردیم به ادامه کنسول Active Directory. همانطور که در شکل می بینید:

دو سوال از ما می پرسد. آیا Forest وجود دارد یا می خواهید New Forest بسازید؟ Forest ما اکنون وجود ندارد پس ما تیک گزینه Create a new domain in a new forest را می زنیم.

فرض بگیرید Forest وجود داشته باشد و ما بخواهیم یک سرور Child بسازیم. تیک Existing Forest رو می زنیم و سپس بر روی Create a new domain in an existing forest کلیک می کنیم.

اگر بخواهیم یک سرور بکاپ بسازیم باید تیک Existing Forest رو بزنیم و سپس بر روی
Add a domain controller to an existing domain کلیک کنیم. البته با دقت کردن بر روی معنای جملات نوشته شده نیز می توانیم به این مهم دستیابیم.

 

خب. ما بر روی گزینه Create a new domain in a new forest کلیک می کنیم و Next می زنیم.در پنجره بعدی باید نام دامین را مشخص کنیم.دقت کنید که حتما باید به فرم نام. نام باشد.

بعنوان مثال ما نام آن را mcitpclass.com می گذاریم و Next می زنیم. حال Search می کند که چنین نامی وجود نداشته باشد. پس از جستجو و تکراری نبودن نام در پنجره بعدی از ما می خواهد که FFL رو مشخص کنیم. ما FFL رو در بالا توضیح دادیم(ویندوز سرور Child ها چی باشد) ما در اینجا بر روی Windows Server 2003 تنظیم می کنیم و Next می زنیم.

حال DFL را از ما می پرسد که این را هم بر روی Windows Server 2003 تنظیم می کنیم و Next  می زنیم.

 

با صفحه زیر روبرو می شویم:

در اینجا تیک DNS Server حتما باید باشد. بواسطه آن ما به اکتیو دایرکتوری می گوییم که خودش DNS را نصب کند.

تیک دوم به صورت دیفالت خورده است و اجازه تغییر را هم نمی دهد چون به صورت پیش فرض اولین Root-Domain بعنوان GC در نظر گرفته می شود . اگر سروری GC شود بقیه می توانند از آن اطلاعات بگیرند و به نوعی از من بپرس می شود.

GC یا Global Catalog سرویسی است که در اکتیو دایرکتوری برای یافتن منابع استفاده می شود.

می توانید برای اطلاعات بیشتر در مورد GC اینجا و اینجا را مطالعه بفرمایید.

گزینه سوم RODC هست. این ویژگی منحصربه فرد برای سرور 2008 هست . برای توضیح آن به نکته زیر دقت کنید.

نکته : در ویندوز سرور 2003 هر عملیاتی که بر روی سرور بکاپ صورت می گرفت بر روی سرور اصلی یا PDC نیز پیاده سازی می شد. در ویندوز سرور 2008 مایکروسافت گزینه RODC را اضافه کرد تا حالت فقط خواندنی بگیرد و سرور بکاپ قابلیت رایت اطلاعات نداشته باشد.

بر روی Next کلیک می کنیم.

اگر پیغامی ظاهر شد بر روی Yes کلیک می کنیم و ادامه می دهیم. همانطور که در شکل زیر می بینید در صفحه بعد محل های پوشه های دیتابیس و لاگ و SYSVOL را میپرسد که اصلا توصیه نمی شود آنها را تغییر دهید و اجازه دهید به صورت پیش فرض بماند.

دیتا بیس اکتیو دایرکتوری در فایلی به نام ntds.dit در داخل پوشه NTDS ذخیره می شود. لاگ که نیازی به توضیح ندارد.برای توضیح پوشه SYSVOL به نکته زیر دقت کنید.

نکته: اکتیو دایرکتوری برای اعمال Policy ها هیچ وقت دونه به دونه بر روی کلاینت ها اعمال نمی کند بلکه Policy ها و تغییراتی که باید بر روی کلاینت ها اعمال شود را در پوشه ای به نام SYSVOL ذخیره می کند و کلاینت ها موقع بالا آمدن همیشه این پوشه را چک می کنند و اگر Policy برای آنها موجود باشد بر روی خود اعمال می کنند.

Next  می زنیم.با صفحه Restore Mode Administrator Password مواجه می شویم.

اگر اکتیو دایرکتوری دچار مشکل شود تنها کسی که پسورد Restore Mode را داشته باشد می تواند آن را درست کند و پسورد ادمین در اینجا به دردی نمی خورد.

نحوه وارد شدن به قسمت Restore Mode در ویندوز سرور

وقتی کلید F8 موقع راه اندازی ویندوز زده می شود یکی از گزینه های ظاهر شده در آن منو گزینه Directory Service Restore Mode only for Domain Controller PC هست که اگر بخواهیم اکتیو را ریپیر کنیم و مشکلش را حل کنیم باید با این گزینه بالا بیاییم.

پس مهم است این پسورد را داشته باشیم. در ویندوز سرور 2003 می شد این قسمت را خالی رها کرد اما در 2008 حتما باید پسورد بگذاریم.

با دستور ntdsutil می تونیم این پسورد رو ریست کنیم.

چطور پسورد Restore Mode رو ریست کنیم؟

در محیط Command prompt ویندوز سرور ،عبارت  ntdsutil رو تایپ می کنیم تا وارد این محیط بشویم:

سپس دستور Set DSRM Password رو تایپ می کنیم.که با تصویر زیر مواجه می شویم: (ِDSRM مخفف Directory Service Restore Mode هست).

حال دستور Reset Password on server رو به همراه نام کامپیوتر خودمان و نام دامین تایپ می کنیم.

مثلا: نام کامپیوتر ما ali و نام دامین Tabriz.com هست.

Reset Password on server ali.tabriz.com

حال دو بار پسورد جدید را وارد می کنیم و Enter می زنیم. پسورد ما به همین راحتی ریست می شود.

و اما ادامه بحث .Next می زنیم.

در این پنجره به ما Summary و خلاصه کارهای انجام شده را می دهد و Next میزنیم و اجازه میدهیم اکتیو نصب شود.

تیک Reboot on completion را می زنیم تا بعد از نصب یکبار ریست شود. همین. بسته به سرعت سرور چند دقیقه ای طول می کشد تا عملیات نصب اکتیو دایرکتوری به پایان برسد. امیدوارم مفید واقع شده باشد. موفق باشید.

Windows Server Enterprise Administration

خب. بحث کلاینتی تمام شد و از امروز به بعد وارد کورس سرور می شویم.در ابتدا انواع نسخه های ویندوز سرور 2008 را با هم بررسی می کنیم.

از دو جهت دسته بندی می شوند:1. 32 بیتی یا 64 بیتی بودن ویندوز 2. داشتن یا نداشتن قابلیتی به نام Hyper-v.

و اما Hyper-v چیست؟

از جمله نرم افزارهای شبیه سازی است که به ما اجازه می دهد سیستم عامل های مختلف رو به طور همزمان بر روی یک رایانه اجرا کنیم.با مجازی سازی صرفه جویی بسیاری در منابع سخت افزاری و هزینه ها صورت می گیرد.Hyper-v نام نرم افزار مایکروسافت است و از جمله نرم افزارهای دیگر Virtualization می توان به VMWare ESXi  (آموزش نصب )و نرم افزار شبیه سازی شرکت Citrix نام برد.

همینطور نرم افزار های ساده دیگری مثل VMware Workstation و VMware-Box و VMware-PC وجود دارد که می توان از آنها نیز استفاده نمود.(اگر روی نام نرم افزارها کلیک کنید می تونید اونها رو دانلود کنید)

 

به طور کلی دو نوع Hypervisor وجود دارد:

 

                 نوع اول: که به آن Bare-Matal Hypervisor نیز می گویند. در این نوع، Hypervisor مستقیما روی خود سیستم نصب می شود و به نوعی خودش سیستم عامل است و عمل I/O را خود Hypervisor به عهده دارد. مانند VMWare ESXi 5.0

 

                  نوع دوم: که به آن Hosted نیز  می گویند. در این نوع، احتیاج به یک سیستم عامل داریم که بتوانیم روی آن Hypervisor را نصب کنیم. در واقع عمل I/O را سیستم عامل به عهده دارد. این نوع از Hypervisor بیشتر برای محیط های Test کاربرد دارد. برای مثال VMWare Workstation از این نوع می باشد. vmware-box و vmware-pc نیز همینطور.

 

یک ادمین حرفه ای حتما سه نرم افزار حرفه ای که نام برده شد vmware-esxi و citrix و Hyper-v را باید بلد باشد.

نکته: Hyper-v فقط در نسخه های 64 بیتی می توان نصب کرد.

انواع نسخه های ویندوز سرور 2008:

1.   Windows Server 2008 Standard with Hyper-V

اولین نسخه ویندوز سرور 2008: Standard Edition هست.

برای شبکه های کوچک و متوسط کاربرد دارد که Hyper-v آن قابلیت Virtualization یک سرور را دارد.

 

2.   Windows Server 2008 Enterprise with Hyper-V

دومین نسخه:

برای شبکه های بزرگ طراحی شده است.و 4 تا Virtual Server می تواند ساپورت کند. ویژگی clustering رو ساپورت می کند و مهمترین آن این که دارای ویژگیHot-Add Memory  هست .

Hot-add memory : یعنی در هنگامی که سیستم روشن است می توان رم سیستم را تعویض کرد که البته این قابلیت باید از طریق مادربودر نیز ساپورت شود.

Clustering: در شبکه های بزرگ به صورت طبیعی تعداد مشتریان بالاست و همینطور تعداد سرورها برای برای سرویس دهی به مشتریان نیز بالاست. از طرفی ما می خواهیم وقتی مشتریان به سرورها وصل می  شوند اگر سروری از کار افتاد متوجه این قضیه نشوند. برای این کار ما می آییم یک گروه از مجموعه سرورهایی که داریم می سازیم و یک سرور مجازی بدست می آوریم و اجازه میدهیم که مشتری ها به جای ارتباط مستقیم با سرورها با آن سرور مجازی وصل شوند و سرور مجازی درخواست ها را بین سرورهای روشن پخش کند.

با استفاده از این روش اگر سروری هم از کار بیوفتد،کلاینت ها هیچ وقت متوجه این موضوع نمی شوند.

3.   Windows Server 2008 Data Center with Hyper-V

برای دیتا سنتر ها استفاده می شود  و مهمترین ویژگی های اون عبارت است از :

          Large Scale Virtualization هست.

هرچقدر بخواهیم Virtualization رو ساپورت می کند و محدودیتی ندارد.

                                                  .رو ساپورت می کند Clustering      

         High-End Applicationهست:یعنی نرم افزارهای به روز رو ساپورت می کند. مثل SQL و Xchange ( قویترین نرم افزار mail Server) و Mdaemon

          Hot-Add Memory و Hot-Add processor  نیز هست.

 

4.   Windows Web Server 2008

په صورت تخصصی برای جاهایی که کار Hosting و Application های تحت وب رو کار می کنند استفاده می شود.

IIS 7 و .NetFramework  رو به صورت تخصصی ساپورت می کند.

 

5.   Windows Server 2008 for Itanium-based systems

این نسخه تخصصی برای cpu های itanium  اینتل طراحی شده است  که 64 بیتی هم هستند.

آخرین و بهترین نسخه 2008 که در زمینه شبکه ارائه شده windows server 2008 R2 هست. R2 مخفف  Release 2 هست.

 

مطالب بالا را به طور خلاصه در تصویر زیر می توانید ببینید:

Application Server: نرم افزارهایی مثل SQL و Exchange و Share point.

و اما به این جدول هم توجه کنید:

همانطور که می بینید در این جدول Role های Active Directory برای هر کدام از ورژن های ویندوز سرور مشخص شده است که مطابق جدول با نسخه Web و Itanium ویندوز سرور 2008 هیچ کدام از Role های Active Directory ساپورت نمی شود. به عبارت ساده تر با این دو نسخه نمی توان شبکه های دامینی ایجاد کرد.

و اما با هم Role های Active Directory را یکی یکی بررسی می کنیم:

Active Directory در سرور 2008 داراری پنج Role زیر هست که عبارتند از:

 

             Active Directory Domain Service - ADDS

برای ایجاد یک شبکه دامینی فقط کافی است یک سرور 2008 قرار داده شود و پشت سرور رل ADDS نصب شود. سرور تبدیل به دامین کنترلر (DC) و شبکه هم تبدیل به شبکه دامینی می شود. تمام.

Dcpromo نام دستوری است که این Role رو در ویندوز سرور نصب می کند.(در Run باید وارد شود. البته در جلوتر به طور مفصل بررسی می شود.)

 

           Active Directory Lightweight Directory Service:

که به LDAP معروف است.LDAP مخفف Lightweight Directory Access Protocol هست. این Role در ویندوز سرور 2003 وجود نداشت و برای نصب آن در 2003 باید فایل کم حجم ADAM.msi دانلود می شد و نصب می شد تا این Role اضافه شود.

و اما دو نکته:

نکته اول:

در شبکه های دامینی دو پروتکل داریم که خیلی زیاد کاربرد دارند:

الف : LDAP: که پروتکل Search شبکه های دامینی هست.

ب: Kerberos: که پروتکل Authentication و احراز هویت در شبکه های دامینی هست که البته جلوتر به طور مفصل در مورد آنها صحبت می شود.

نکته دوم:

به نرم افزارهایی که می تونند از Database اکتیو دایرکتوری استفاده کنند به آنها نرم افزارهای Directory-Base گفته می شود مثل Exchange و Isa Enterprise . این نرم افزارها برای اتصال به پایگاه داده اکتیو دایرکتوری نیاز به رابط LDAP دارند. LDAP ارتباط این نرم افزارها را با دیتابیس AD برقرار می کند.

در انتها به عنوان نتیجه گیری اگر نرم افزار Exchange داریم حتما باید این سرویس رو نصب کنیم چون نرم افزار Exchange با دیتابیس اکتیو دایرکتوری ارتباط برقرار می کند و جهت این کار ما نیاز به LDAP داریم.

 

              Active Directory Rights Management Service - RMS

کنترل اعمال صحیح Policy ها داخل شبکه های دامینی است.این Role انحصاری برای 2008 هست. سخت افزاری وجود دارد که کار این سرویس را انجام می دهد به نام NAC که محفف
Network Access Control  هست و برای شرکت Cisco هست.

این ویژگی در ویندوزهای غیر سروری هم هست. کافی است دستور Gpedit.msc را در Run ویندوز تایپ کنید و به مسیر زیر بروید:

Computer Configuration>Windows Settings>Security Settings>Local Policies> User Rights Assignment

یکسری از Policy های RMS را میتوانید در اینجا مشاهده کنید.

مثلا در اینجا می توان اجازه داد که چه کسانی بتوانند به صورت Remote کامپیوتر مارا خاموش کنند.

 

        Active Directory Certificate Service

روی کامپیوتری که این Role نصب شود اون کامپیوتر به CA سرور تبدیل خواهد شد.اما کاربرد اون چیه؟

بزرگترین کاربرد اون تبدیل سایت های HTTP به HTTPS هست.

 

Active Directory Federation Service

این سرویس هم مخصوص 2008 هست و 2003 همچین سرویسی را نداشت.کار این سرویس ارائه ویژگی به نام S.S.O درارتباطات زنده هست.

اما S.S.O چیه ؟ عرض می کنم خدمتتون .

به عمل وارد شدن يك كاربر به سايت ها و برنامه هاي مختلف تنها با يك نام كاربري و گذرواژه يكسانSSO   يا  Single Sign-on(ورود يكپارچه) مي گويند.بعبارت ساده تر تا زمانی که مثلا صفحه ایمیل باز است شما بین Inbox و Outbox و Draft و... به راحتی جابه جا می شوید بدون این که مجددا از شما یوزرنیم و پسورد بخواهد و شما تنها بایک یوزرنیم و پسورد بین صفحات مختلف این سایت به راحتی جابه جا می شوید به این عمل S.S.O می گویند.

در S.S.O تا زمانی که Session جاری هست اون یوزر و پسوردی که دادیم اعتبار دارد و برای تمامی صفحات از آن استفاده می کند.

نکته :

Session یا جلسه، ارتباطی است که بین کامپیوتر ما و کامپیوتر مقصد برقرار می شود.برای مشاهده Session های جاری از دستور Netstat در محیط CMD استفاده می کنیم.

ما میتونیم بین شعبه ها Session بزنیم و تا زمانی که این Session برقرار هست از ما یوزرنیم و پسورد پرسیده نخواهد شد.

همه این پنج  Role که در ذکر کردیم ،به صورت کاملا تخصصی در آینده بررسی خواهد شد. نگران نباشید.

تابستان امسال فرصت خوبی است تا اطلاعات شبکه ای تان را بالا ببرید. این فرصت را از دست ندهید. من بخاطر مشغله کاری فراوان تصمیم گرفتم هر روز 6 صبح تا هفت ونیم قبل از کارم از خواب بلند شوم و وبلاگ رو آپدیت کنم. شما هم میتونید یک جایی زمانی باز کنید و این زمان رو به آموزش خودتون تخصیص بدید.

امیدوارم مفید واقع شده باشد.ببخشید یه کم این جلسه تئوری شد. موفق باشید.

 

 

Managing Boot Process in windows

در اینجا می خواهیم مراحل بوت ویندوز را باهم بررسی کنیم. یعنی از زمان فشار دادن دکمه پاور بر روی کیس تا بالا آمدن ویندوز چه سلسله اتفاقاتی می افتد تا ویندوز بالا بیاید؟

1. CPU سیستم به کد موجود در BIOS که نشانگر ویژگی هست به نام POST اشاره می کند. POST انجام می شود.

POST مخفف Power On Self Test  هست. یک جور تست سخت افزاری قطعاتی مثل رم و کارت گرافیک و... که پس از اطمینان از سالم بودن آنها یک Beep کوتاه می زند.

بعبارت دقیق تر دکمه پاور که فشار داده می شود ، CPU روشن می شود، صفحه مشکی BIOS نمایش داده می شود، بعد از صفحه BIOS ، وقتی می خواهد سوئیچ کند به صفحه دوم، POST انجام می شود.

اگر می خواهید بدانید  معنای بوق هایی که در مرحله اجرای POST به صدا در می آیند چیست، اینجا را بخوانید.

2. سپس سیستم کد موجود در BIOS ،به 512 بایت اول هارد اشاره می کند که اصطلاحا به آن MBR می گویند.

MBR مخفف Master Boot Record هست به معنای رکورد راه انداز اصلی، اولین سکتور از هارد هست که اطلاعات پارتیشن ها بر روی آن قرار دارد و در آن مشخص شده که کدام درایو Active هست. اولین سکتور(512 بایت اول ) از درایو Active ، بوت سکتور می گویند.

3. بوت سکتور مانند یک برنامه اجرا می شود و همزمان با اجرا شدن خود برنامه دیگری به نام Windows Boot Manager را اجرا می کند، که در XP به نام NTLDR  هست و در 7 به نام BootMGR.

4. بعد از آن ویندوز را ntldr بوت می کند. (البته در ویندوز XP و کلا ویندوزهای Legacy ) و در ویندوز های NG ویندوز را BootMGR بوت می کند. NTLDR مخفف New Technology Loader هست.

نکته ای که در اینجا لازم هست که بگم این هست که گاهی اشتباها فایل ntldr موجود در درایو C پاک می شود.و هنگام روشن کردن سیستم با اخطار ntldr is missing مواجه می شوید و ویندوز بالا نمی آید.

راه حل بسیار ساده ای دارد. کافی است 3 گام زیر را انجام دهید.

الف. Cd  ویندوز را داخل دستگاه قرار دهید و بوت را بر روی cd-rom بگذارید.

ب. سپس پس از بالا آمدن با cd  ویندوز حرف r  را بزنید تا وارد محیط repair بشوید.

ج. سپس با دستور زیر فایل ntldr را در درایو c کپی کنید.فرض کنید درایو H درایوی است که CD ویندوز در داخل آن قرار دارد.

C:\windows>cd ..

C:\>copy h:\i386\ntldr c:

دقت کنید که فایل را حتما باید در روت درایو C کپی کنید و در پوشه دیگری کپی نکنید. پس از پایان کپی دستور DIR را اجرا کنید که مطمئن شوید که فایل کپی شده است. این داستان برای فایل های دیگر هم کاربرد دارد.

اما برای BOOTMGR که برای ویندوزهای NG مثل 7 هست ، روش کار کمی متفاوت هست. باید CD ویندوز 7 را بگذاریم و وارد همان پنجره معروف Recovery Options بشویم و بر روی Startup Repair کلیک کنیم. البته می توانیم در همان پنجره Recovery Options بر روی Command Prompt کلیک کنیم و دستور زیر را وارد کنیم.

C:\> bootrec /fixboot

5. وقتی BootMGR و یا NTLDR اجرا می شود ،پردازنده از حالت Real Mode به حالت Protected Mode تغییر وضعیت می دهد.در این حالت سیستم عامل توان اجرا شدن پیدا می کند.یعنی تازمانی که BootMGR اجرا نشده بود CPU  در حالت Real Mode قرار داشت و سیستم عامل فقط به 640 کیلوبایت اول رم دسترسی داشت اما با اجرا شدن BootMGR ، سیستم عامل به تمام حافظه رم میتواند دسترسی داشته باشد. پس:

Protected Mode: حالتی است که سیستم عامل به تمام حافظه رم دسترسی دارد.

Real Mode: حالتی است که سیستم عامل به 640 کیلوبایت ابتدای رم دسترسی دارد.

6. حال BootMGR محتویات فایلی به نام BCD را می خواندو اگر چند سیستم عامل باشد، اسامی سیستم عامل ها را به کاربر نشان می دهد تا انتخاب کند. معادل BCD در ویندوز های Legacy فایل Boot.ini هست، که در ریشه درایو C قرار دارد.

BCD مخفف Boot Configuration Data هست.

7. در ویندوزهای Legacy در این مرحله NTLDR ، فایل NTdetect را فراخوانی می کرد که کار آن این بود که اطلاعات کلی درباره سخت افزار را از بایوس می گرفت و به NTLDR تحویل می داد.

8. حال NTLDR و یا BootMGR ، بعد از انتخاب یک سیستم عامل توسط کاربر، کرنل و یا هسته مربوط به آن سیستم عامل را فراخوانی می کند. نام فایل کرنل ntoskrnl.exe هست. همینطور Hall.dll را هم به همراه کرنل فراخوانی می کنند.

HAL مخفف Hardware Abstraction Layer هست.رابط بین کرنل و سخت افزار هست. بعبارت ساده تر ، کرنل وقتی می خواهد با سخت افزار حرف بزند از HAL استفاده می کند.

کرنل فایلی به نام smss.exe که مخفف Session Manager SubSystem را اجرا می کندو توسط این فایل مقداردهی اولیه می شود.

9. تمامی سخت افزار ها با کانفیگشان شناسایی شده و در مسیر

HKEY_Local_Machine>Hardware

تنظیماتشان ثبت می گردد.

10. حال پروسه لاگ آن به ویندوز توسط فایلی به نام Winlogon شروع می شود. همان صفحه welcome که از شما یوزرنیم و پسورد می خواهد. بعد از آن explorer.exe اچرا می شودو سپس سخت افزارها شروع به شناسایی می شوند.

در این مرحله درایورهای سخت افزاری ، همزمان با Logon به ویندوز لود می شوند. تمامی سخت افزارها که ویژگی Plug & Play داشته باشند شناسایی می شوند. و اگر سخت افزار جدیدی پیدا کند که درایور آن موجود نباشد ، صفحه Found New Hardware نمایش داده می شود.

با هم ده گام را از زمان فشاردادن دکمه پاور کیس تا زمان ورود به ویندوز XP ، شمردیم. یکی از منابع خوبی که به دقت مراحل بوت را برای ویندوزهای Legacy بررسی کرده و به زبان فارسی هم هست ، اینجا و به زبان انگلیسی اینجاست.

اگر شما مطالب جدیدتری داشتید، و می توانستید در کامل کردن بحث به من کمک کنید ، لطفا دریغ نکنید، من حتما با نام خود شما این مطالب را در وبلاگ قرار خواهم داد. موفق باشید.

 پایان جلسه بیستم

نحوه کانفیگ windows firewall with advanced security

در داخل ویندوزهای Next Generation مثل 7 و ویستا ، Windows Firewall with advanced security از سه راه قابل دسترسی هست:

1. از داخل control panel وارد administrative tools می شویم و سپس بر روی windows firewall with advanced security کلیک می کنیم.

2.از طریق Gpedit.msc : این دستور (gpedit.msc)  را در Run ویندوز تایپ می کنیم  و سپس به مسیر زیر می رویم:

Computer Configuration>Windows Settings>Security Settings>Windows Firewall with advanced security

3. از طریق محیط CMD و با کامند:

C:/>netsh

Netsh>advfirewall

 

Advanced firewall این قابلیت را دارد که در سه پروفایل مختلف اعمال شود:

1. Domain: زمانی که ما وارد شبکه دامینی می شویم. میتوانیم یکسری تنظیمات انجام دهیم و بگیم وقتی دارم وارد شبکه دامینی می شم آن تنظیمات اعمال شود.

2. Private: میتوانیم یکسری تنظیمات انجام دهیم و بگیم وقتی در شبکه WorkGroup هستم این تنظیمات اعمال شود.

3. Public: می توانیم یکسری تنظیمات انجام دهیم و بگیم هر وقت بر روی اینترنت رفتم این تنظیمات اعمال شود.

موقع نصب ویندوز اگر دقت کرده باشید پنجره فایروال سه حالت در اختیار شما قرار می دهد:

1. Home Network

2. Work Network

3. Public Network

این قسمت سوم یعنی Public Network را اگر انتخاب کنید، که عکس یک نیمکت پارک هم کنار آن گذاشته، یعنی مثل نیمکت پارک عمومی هست و هرکسی می تواند روی آن بنشیند،تنظیمات پروفایل Public اعمال می شود.

 

حال می خواهیم به کانفیگ Advanced Firewall بپردازیم.

پس از باز کردن پنجر Advanced Firewall بر روی Windows firewall with advanced security کلیک راست می کنیم و گزینه Properties را انتخاب می کنیم.

حال در پنجره ظاهر شده در همان سربرگ Domain Profile در قمست Settings بر روی Customize کلیک می کنیم.

در اینجا قسمتی وجود دارد به نام Unicast Response:

برای توضیح این قسمت بهتر است از حمله smurf صحبت کنم:

در این حمله شخص هکر در داخل شبکه ما پکت هایی را برودکست می کند(برای همه می فرستد) که آدرس سورسش ، آدرس IP سرور هست . یعنی همه کامپیوترها پس از دریافت پکت به سرور جواب می دهند و نه به هکر.

شخص هکر اونقدر اقدام به ارسال این پکت ها می کند که سرور از کار می افتد.(بخاطر ازدیاد دریافت Reply از کامپیوترهای داخل شبکه )

برای حل این مشکل مایکروسافت این گزینه Unicast Response را قرار داده و می گه: پس از ارسال برودکست 3 ثانیه فرصت دارید جواب بدهید، اگر ندادید دیگر پاسختون قابل قبول نیست.

 حتما می پرسید چطور می توان پکت های Fake (الکی) تولید کرد که مثلا آدرس سورس آن را IP آدرس سرور قرار بدهیم.

نرم افزار NMAP ، تخصصی کارش تولید پکت های Fake هست.

اما در همین پنجره ، قسمت بعدی Merging rules هست به معنای ادغام قوانین. همانطور که میدونید ما از طریق Group Policy می توانیم فایروال کلاینت های شبکه را کانفیگ کنیم البته به شرطی که شبکه از نوع دامینی باشد.

در اینجا می گوید که اگر در شبکه کانفیگی هم از طرف سرور و هم از طرف کلاینت وجود داشت ، این دو را با هم ادغام کن.

دقت کنید اگر قسمت ها یا گزینه های دیگری که در اینجا وجود دارد و من نگفتم ، بخاطر واضح بودن و یا غیر مهم بودنشون هست.

سه سربرگ Domain  Private و Public تنظیمات یکسانی دارد و ما یکسره به سراغ سربرگ IPsec می رویم..

 

سربرگ IPsec

IPsec مخفف Internet Protocol Security هست که یک پروتکل امنیت و رمزنگاری محسوب می شود.برای اینکه مفهومش را بهتر متوجه بشوید اجازه بدهید بحث را کمی بازتر کنم.

همانطور که می دانید ، اگر بخواهیم یکسری داده از یک شبکه به شبکه دیگر انتقال بدهیم و در ضمن امنیت را هم برقرار کنیم. سه راه حل داریم.

1. IPsec: به درد شبکه های LAN می خورد، چون حجم اطلاعات را فوق العاده سنگین می کند یعنی  Overhead (سربار)  زیادی روی پکت ها ایجاد می کند و بسته ها را سنگین می کند. (سرعت باید بالا باشد).

2.VPN: به درد شبکه های LAN و WAN می خورد.

3.SSL:یا همون Certificate به درد شبکه های WAN می خورد.سایت های HTTPS از این راه حل استفاده می کنند که بسیار سبک هم هست و اطلاعات را رمزنگاری شده منتقل می کنند.

 

ما در دنیای شبکه مفهومی به نام IPsec نداریم. IPsec از چند مفهوم زیر تشکیل شده است:

ESP: (Encapsulation Security Payload)

AH: (Authentication Header)

ISAKMP: (Internet Security Association and Key Management Protocol)

IKE: (Internet Key Exchange)

به اجزاء تشکیل دهنده یک پکت دقت کنید...

 

اگر IPsec بخواهد اطلاعات را رمز کند، به قسمت Payload یا دیتای پکت ، ESP یا Encapsulation Security Payload را اضافه می کند.

به این حالت که IPsec فقط "اطلاعات" را رمز کرده است، می گویند IPsec در مود Transparent کار می کند.

اگر IPsec بخواهد علاوه بر اطلاعات Header را هم رمزنگاری کند ، به هدر AH یا Authentication Header اضافه می کند.

به این حالت که IPsec علاوه بر اطلاعات Header را هم رمزنگاری می کند، میگویند IPsec در مود Tunnel کار می کند.

قطعا Ipsecی که در مود Tunnel کار می کند، امنیتش بالاتر است، از این مود معمولا بر روی اینترنت استفاده می شود و مود Transparent برای استفاده در داخل شبکه است.

 

خب پس تا اینجای کر AH و ESP را توضیح دادیم. اما IKE چیست؟ عرض می کنم خدمتتون.

IKE

در IPsec دوکامپیوتری که می خواهند با هم صحبت کنند، حتما باید کلید داشته باشند، و قبل از اینکه این دوکامپیوتر بخواهند با هم صحبت کنند و اطلاعات ردوبدل کنند ، ابتدا باید این کلید ها را باهم معاوضه کنند. نام پروتکلی که این کار را انجام میدهد IKE هست.

پس دقت داشته باشید تا زمانی که کلید ها تایید نشود، هیچ وقت IPsec بین دو کامپیوتر برقرار نخواهد شد.

 

ISAKMP

مکانیزمی که طرفین با هم طبق آن Negotiate یا توافق می کنند که برای رمز کردن اطلاعات از چه پروتکلی استفاده کنند.

 

یک نکته دیگر هم بگم و برگردیم به سربرگ IPsec و ادامه بحثمون.

تفاوت Hash و Encryption در چیست؟

در Encryption از یکسری کلید ها استفاده می شود. یعنی هر وقت بحث Encryption مطرح شد، بدونید پای کلید در میان هست. بعنوان مثال یک کلید درست می کنی  در داخلش می گی آقا من به همه دیتاها یک واحد اضافه کردم، و کلید را به دست طرف مقابل می دهی.

او هم وقتی کلید را گرفت می فهمد باید یک واحد از دیتاها کم کند تا قادر به خواندنشان باشد. به عبارت واضح تر، او قادر به خواندن دیتاها نیست مگر اینکه کلید داشته باشد تا بفهمد متد رمزنگاری به چه صورت هست.

اما در Hashing بحث فرق می کند. دیگه کلید معنایی ندارد. در هش از روی مثلا 123 یک عدد ثابت دیگر می دهد که این قابل بازگشت به حالت اول نیست. یعنی decode دیگه معنایی ندارد و از روی یک دیتای هش شده نمی شه فهمید اولش چی بوده . درحالی که در Encryption اینگونه نیست.

الگوریتم هایی که در Encryption بکار می رود :

DES, 3DES, AES

و الگوریتم هایی که در Hashing بکار می رود:

MD5, SHA1

به صورت نرمال الگوریتم MD5 در هشینگ استفاده می شود.

حال برمیگردیم به همان سربرگ IPsec خودمان.

در Advanced Firewall میتوانیم کانفیگ کنیم، که مثلا شخص بتواند از پورت 25 وارد بشود به شرط اینکه ارتباط کامپیوتر مبدآ و مقصد حتما رمزنگاری شده باشد.

در قسمت IPsec exemption از ما سوال می شود که می خواهد ICMP با رمز رد و بدل شود ICMP معروف به پیک شبکه است. از ما می پرسد که می خواهید پیک شبکه با رمز ردو بدل شود مثلا Ping با رمز نگاری رد وبدل شود. لزومی به انجام این کار نیست. مطمئنا پاسخ خیر است.

 

نحوه نوشتن Rule داخل فایروال

1. بسته به نوع قانون ما روی یکی از دو گزینه Inbound و Outbound راست کلیک می کنیم و گزینه New rule را انتخاب می کنیم.

2. از ما می پرسد که این قانون برای چه چیزی است؟ برنامه را می خواهید بلاک کنم یا اجازه بدم؟ این قانون در مورد پورت هست؟ در مورد چیزهای از قبل مشخص شده است و.. بعنوان مثال ما در اینجا پورت را انتخاب می کنیم.

3. از ما در مورد TCP و UDP بودن پورت سوال می کند که ما TCP را انتخاب می کنیم و در قسمت پایین می پرسد کدام پورت؟ که ما در اینجا 80 را وارد می کنیم.

4. از ما می پرسد چه رفتاری در قبال این پورت داشته باشم؟

- اجازه بدهم؟

- اگر ارتباط امن بود (یعنی IPsec برقرار بود) اجازه بدهم؟

- بلاک کنم و اجازه ندهم؟

5. از ما می پرسد که در کدام پروفایل از سه پروفایلی که گفته شد، اعمالش کنم که بهتر هست هر سه پروفایل تیک داشته باشد.

6. به این rule در پایان یک نام اختصاص می دهم و برروی گزینه Finish کلیک می کنیم.

من با مثال بستن یک پورت ، ساخت یک rule را آموزش دادم. اما یک مثال کاربردی دیگر جلوگیری از دسترسی یک برنامه به اینترنت هست. مثلا وقتی نرم افزار adobe Premiere را نصب می کنید، این نرم افزار با استفاده از اینترنت سریال خودش را چک می کند و به شما پیغام می دهد که شما سریال fake دارید و مجدد باید اقدام به فعال سازی نرم افزار بکنید.در اینجا قبل از اجرای نرم افزار بهترین راه حل این هست که اجازه دسترسی نرم افزار به اینترنت را ببندیم با استفاده از rule های فایروال.به چه صورت؟

من به صورت خلاصه مراحلش را می گویم:

برای بلاک کردن یک نرم افزار باید هم بر روی Inbound اون rule رو تعریف کنید و هم بر روی Outbound .

- New rule

 program انتخاب -

دادن آدرس فایل اجرایی برنامه -

انتخاب گزینه Block this connection  -

هر سه پروفایل را تیک می زنیم -

دادن یک نام -

 Finish انتخاب - 

همین مراحل را برای اوت باند می رویم و تمام. دیگر نیازی نیست هیچ نگرانی از بابت اتصال نرم افزار به اینترنت داشته باشید 

در Advanced Firewall غیر از Inbound  و Outbound قسمت دیگری هست به نام Connection Security Rules . این گزینه برای زمانی است که می خواهیم قوانینی را برای ارتباط کاملا امن بین دو کامپیوتر تعریف کنیم.

 

خب در اینجا بحث کانفیگ windows firewall with advanced security به پایان می رسد. موفق باشید.

 پایان جلسه نوزدهم

 

نحوه کانفیگ Windows Firewall

در اینجا ابتدا به تنظیم فایروال در ویندوز XP می پردازیم و در جلسه بعد به تنظیم فایروال در ویندوز های NG مثل 7 می پردازیم.

از سه طریق می توان به فایروال رسید تا آن را کانفیگ کرد:

1. از طریق کنترل پنل و انتخاب windows firewall

2. از طریق Network Connections و Local Area Connection و بر روی آن راست کلیک می کنیم و انتخاب گزینه Properties و سپس سربرگ Advanced و Windows Firewall.

3. از طریق کامند

C:\>Netsh

Netsh>firewall

به هرحال Windows Firewall را می آوریم.

در سربرگ اول یعنی سربرگ General تنظیم خاصی ندارد و فقط برای روشن و خاموش کردن فایروال هست.فقط در اینجا تیکی وجود دارد که اگر بخواهیم تنظیماتی که در سربرگ Exceptions اعمال کردیم استثنائا در مکان های خاصی اعمال نشود (مثل فرودگاه و جاهای نا امن) این تیک را می زنیم و فایروال آن تنظیمات را نادیده می گیرد.

سربرگ دوم Exceptions

تا حالا دقت کردید وقتی دو کامپیوتر را با کابل کراس با هم شبکه می کنید، تامادامی که فایروال را خاموش نکنید، از یک کامپیوتر ، نمی توان کامپیوتر دیگر را Ping کرد و به فایل های کامپیوتر دیگر دسترسی پیدا کرد. قصه همین سربرگ است. اصلا نیازی به خاموش کردن فایروال نیست . کافی است به این سربرگ بیاید و تیک گزینه  File & Printer Sharing را بزنید.

با قرار دادن این تیک مشکل Ping کردن حل می شود و میتوان به کامپیوتر دیگر دسترسی پیدا کرد.

همینطور اگر بخواهیم پورت خاصی را که فایروال بسته است را باز کنیم، در همین سربرگ دکمه Add Prot را می زنیم، سپس از پنجره ظاهر شده ، نام و شماره پورت را می زنیم.

پورت های مهم را می دانید؟در زیر لیستی از پورت های مهم را آورده ام

 

چند تا نکته رو در اینجا خدمتتون عرض می کنم.

1. تفاوت POP3 با IMAP که هردو پورت برای دریافت ایمیل مورد استفاده قرار می گرفتند.

POP3: تمامی ایمیل ها را از روی سرور ایمیل شما بر روی کلاینت دانلود می کند و کلی از پهنای باند را اشغال می کند.

IMAP: فقط header و تیتر ایمیل را دانلود می کند تا اگر خواستید آن را باز کنید، بر روی تیتر کلیک کنید و کل ایمیل را مشاهده کنید، مطمئنا این بهتر است چون پهنای باند کمتری اشغال می شود.

2. SNMP : مخفف Simple Network Management Protocol هست که برای مانیتورینگ شبکه بکار می رود. نرم افزارهایی هستند که از اطلاعاتی که این پروتکل می دهد استفاده می کنند و به صورت نموداری سیستم را تحلیل می کنند و آمار را به ما نمایش می دهند. از جمله این نرم افزارها میتوان به :

Solar winds -  Zabbix – The Dude ,…

3. Kerberos : در شبکه های دامینی پروتکل احراز هویت یا Authentication هست. به عبارت دیگر ، قفل ورود به ویندوز در شبکه های دامینی.

4. LDAP: پروتکل جستجوی شبکه های دامینی است. در شبکه های دامینی اگر دنبال یک یوزر بگردی LDAP مسئولیت آن را به عهده می گیرد.

 

خب برگردیم به بحث خودمون . Firewall

داشتیم میگفتیم که اگر روی گزینه Add Port کلیک کنید می توانید یک پورت را به فایروال معرفی کنید تا آن را باز کند و نبندد.

همانطور که در شکل زیر می بینید در همان صفحه Add Port دکمه ای وجود دارد به نام Change Scope .

اگر بر روی این دکمه کلیک کنیم پنجره جدیدی ظاهر می شود که در آنجا می توانیم مشخص کنیم که پورت برای چه کسانی باز شود:

1. همه کامپیوترها.

2. شبکه من فقط

3. کامپیوترهای خاص در شبکه.

 

در همان سربرگ Exceptions میتوانیم به واسطه دکمه Add Programs یک برنامه خاص را به فایروال معرفی کنیم تا اجازه داشته باشیم در شبکه به آن دسترسی داشته باشیم.

 

سربرگ سوم Advanced

حال راجع به قسمت های مختلف این سربرگ صحبت می کنیم.

Network Connection Settings

یادتون هست که راجع به ICF( نام فایروال اولیه ویندوز تا سال 2004) صحبت کردیم؟ همانطور که می دانید مشکلش این بود که به ازاء هر کانکشن باید فایروال را جداگونه کانفیگ می کردیم، در حالیکه در ویندوز فایروال همه کانکشن ها را می آورد و اگر دلمان نخواست تنظیماتی به کانکشن اعمال شود فقط کافی است تیک جلوی آن را برداریم.

 

Security Logging

اگر بر روی دکمه Setting آن کلیک کنیم، پنجره ای ظاهر می شود که در آن دو تنظیم زیر وجود دارد.

1. اون پکت هایی که دراپ کردی را لاگ بینداز. یعنی فایروال اگر پکتی را دراپ کند لاگش را می اندازد که ما متوجه شویم.

2. اون پکت هایی که مجوز دادی را لاگ بینداز.

در پایین هم مسیر ذخیره فایل لاگ را به ما نمایش می دهد.

 

ICMP

ICMP مخفف Internet Control Message Protocol هست. در واقع یک سیستم گزارش خطا هست که در کنار پروتکل IP قرار می گیرد تا در صورت بروز خطا به فرستنده بسته اطلاع میدهد تا آن خطا مجددا تکرار نشود. یک جورایی IP یا اینترنت پروتکل به ICMP نیازمند هست چرا که IP به صورت Unreliable هست و بسته ها را بدون اینکه بداند چه اتفاقی برایشان می افتد می فرستد. این ICMP هست که در هنگام بروز خطا پیغام مناسب را به فرستنده بسته می فرستد .

برای اطلاعات کامل تر اینجا را بخوانید.

 

Default Settings

این گزینه هم که مشخص است، اگر تغییری داده باشیم، همه را به حالت اول باز می گرداند.

 

اما نحوه تنظیم فایروال از طریق CMD به چه صورت است؟

دقت کنید، علت اینکه این دستورات به صورت کامندی هم مطرح می شود این است که ، می توان یک بچ فایل درست کرد و فقط با یک کلیک بعنوان مثال فایروال را کانفیگ کرد و نیازی نباشد که به صورت گرافیکی دونه دونه بر روی گزینه ها کلیک کرد.

از طریق Run ویندوز CMD را باز می کنیم و در آن همانطور که در بالا گفتیم دستورات زیر را تایپ می کنیم.

C:\>Netsh                  

Netsh>firewall

برای روشن و خاموش کردن فایروال از دستور زیر استفاده می کنیم.

Netsh firewall>set opmode disable

فایر وال خاموش می شود.

Netsh firewall>set opmode enable

فایروال روشن می شود.

برای باز و بسته کردن یک سرویس خاص ، مثل همان سرویس File & Printer Sharing   که برای دسترسی پیدا کردن به فایل هاو Share های سیستم دیگر بود.

Netsh firewall>set service type fileandprint enable

Netsh firewall>set service type fileandprint disable

Netsh firewall>set service type remotedesktop enable

Netsh firewall>set service type remotedesktop disable

من تمام دستورات بالا را در cmd زده ام.

 

خب امیدوارم از جلسه امروز استفاده کرده باشید. اگر مطلب جدیدی می دانستید و دوست داشتید اضافه کنید، خوشحال میشم مشارکت کنید.ان شاء الله در جلسه بعد نحوه کانفیگ Windows Firewall with advanced security را با هم بحث می کنیم.موفق باشید.

 پایان جلسه هجدهم

Security Essentials

4 گام در سیستم عامل های مایکروسافتی معرفی شده که هرکس این 4 گام را در کامپیوترش رعایت کند ، می گویند کامپیوترش Health و سالم و امن هست.

این 4 گام عبارتند از:

1.Firewall always on

فایروال همیشه روشن باشد.

2. Antivirus always Update

آنتی ویروس داشته باشی و همیشه هم آپدیت باشد چون خیلی مهمه!

3.Antispyware always update

آنتی اسپای ور داشته باشی و همیشه هم آپدیت باشد.

4.Windows always update

ویندوز همیشه آپدیت باشد.

در شبکه های مایکروسافتی سروری داریم به نام NAP که مخفف Network Access Protection هست ، کار این سرور این هست که هر کسی وارد شبکه می شود آن 4 گام را روی آن تست می کند و بر اساس آن 4 تا امتیاز سالم بودن می دهد.

مثلا در این NAP سرور می توان تعیین کرد که هر کسی امتیازش زیر 50 شد نتواند به شبکه ما وارد شود.

 

 

تهدیداتی که در دنیای شبکه همیشه مارا تهدید می کنند:

1.virus: ویروس نام آشنا ترین تهدید هست که همه جا سروکله اش پیدا شده است.برنامه هایی هستند که برای اجرا شدن نیاز به Host دارند. یک جورایی حتما باید روی آن کلیک شود تا اجرا شود.

2. Worm: برنامه هایی که برای اجرا شدن نیاز به Host ندارند و فقط به دنبال کانکشن می گردند.

3.Trojan: برنامه هایی هستند که دو کار انجام می دهند:

الف- کنترل سیستم ما را به طرف مقابل می دهند.

ب- اطلاعات ما را ناخواسته ارسال می کنند.

به نظر شما کدام خطرناک تر هست؟

تروجان خطرناک ترین تهدید محسوب می شود و بعد از آن Worm و در مرحله آخر ویروس.

از کجا بفهمیم نرم افزاری که ما استفاده می کنیم تروجان هست یا خیر؟ یا اینکه تروجانی روی سیستم ما هست که بدون اجازه ما مشغول فعالیت باشد؟

Task Manager را باز کنید (Ctrl + Alt+Del را به صورت ترکیبی همزمان بگیرید) ، به سربرگ Processes بروید و از سربرگ view گزینه Select Columns را انتخاب کنید و از پنجره ظاهر شده گزینه PID (Process Identifier) را انتخاب کنید و OK بزنید.

حالاپروسه هایی که PID  اونها زیر 1024  باشدو در مود کاربری هم در حال اجرا باشند یعنی در ستون یوزرنیم اسم کامپیوتر شما باشد ، و برای خود سیستم هم نباشد(مثلا explorer برای خود سیستم هست و PID اش زیر 1000  هست) ، صددرصد تروجان هست.

 

 

اما از کجا بفهمیم که سیستم ویروسی هست یا خیر؟

در Run ویندوز تایپ می کنیم Msconfig و Ok می کنیم.

در پنجره ظاهر شده ، وارد سربرگ Startup می شویم. همه نرم افزارهایی که موقع استارت آپ باید اجرا شوند بی چون وچرا اینجا هستند . حال اگر نرم افزاری نام نداشت و یا اسم عجیب و غریب داشت و در اینجا جلوی نامش تیک خورده بود صددرصد ویروس هست.

البته راه ازبین بردنش به سادگی برداشتن تیک جلوی آن نیست ولی از این طریق حداقل مطمئن می شوید که ویروسی هستید.

 

خب از اینجا به بعد بحث Firewall رو شروع می کنم که ممکن است به خودی خود چندین جلسه به درازا بکشد.

Firewall

نرم افزار یا سخت افزاری است که بر اساس Rule ها یا قوانینی که ما برای آن تعیین می کنیم، جلوی برخی از ترافیک ها را می بندد و یا به برخی از ترافیک ها اجازه عبور می دهد.

فایروال ها می توانند سخت افزاری باشند مثل: PIX و ASA  و UTM و Cyberoam

و میتوانند نرم افزاری باشند مثل: Windows Firewall و ISA و Zone alarm

فایروال ها به خودی خود کاری انجام نمی دهند و آنها بر اساس Rule هایی که ما نوشتیم کانفیگ می شوند.

فایروال ها در مواجهه با ترافیک سه کار انجام می دهند:

1.Allow: اجازه عبور می دهند.

2. Deny: جلوی ترافیک را می بندند.

3.Reject: جلوی ترافیک را می بندند و خبر هم می دهند که این کار را کردند.

 

ما دونوع فایروال در ویندوزهای NG مثل 7 داریم :

1. Windows Firewall: این فایروال رو به صورت مشترک هم ویندوزهای Legacy دارند هم ویندوزهای Next Generation.

2.Windows firewall with advanced security: این را فقط ویندوزهای NG مثل 7 و Vista دارند.

 

نکته ای که وجود دارد این هست که ما تا قبل از 2004  به فایروال ویندوز XP، ویندوز Firewall نمی گفتیم، و همزمان با آمدن XP sp2 این اسم اختصاص پیدا کرد.

نام قبلی فایروال ویندوز XP، ICF بود که مخفف Internet Connection Firewall هست.

از سال 2004 به بعد که نام فایروال ویندوز تغییر کرد، کنسولی به ویندوز اضافه شد به نام Security Center که این کنسول در ویندوز7 به نام Action Center تغییر نام پیدا کرد.

اما از نکات بگذریم همانطور که در بالا گفتیم دو نوع فایروال در ویندوزهای NG وجود داشت ، فرقشان در چیست؟

ویندوز فایروال که در XP هم وجد داشت ، فقط می تواند جلوی ترافیک Inbound  را بگیرد، یعنی ترافیک هایی که از بیرون قصد داشتند به سیستم ما وارد شوند.

اما Windows Firewall With advanced security هم می تواند جلوی ترافیک Inbound  را بگیرد و هم جلوی ترافیک Outbound .به این فایروال ها در اصطلاح Two-way stateful-Inspection Windows Firewall هم می گویند.

 

اما فایروال ها در چه لایه هایی از مدل هفت لایه ای OSI کار می کنند؟

فایروال ها در لایه 2 (Data Link) و 3 (Network) و 4 (Transport) و 5 (Session) و 7 (Application) کار می کنند.

یک به یک به توضیح آنها می پردازیم:

-          اون دسته از فایروال هایی که در لایه Data Link یعنی لایه دو کار می کنند ، فیلترینگشان بر اساس Mac Address هست یعنی اگر بخواهند فیلتر کنند با مک فیلتر می کنند.

-          اون دسته از فایروال هایی که در لایه نتورک یعنی لایه 3 فعالیت می کنند، اساس فیلترینگشان براساس IP هست.

-          فایروال هایی که در لایه Transport فعالیت می کنند اساس فیلترینگشان براساس Port و کلا براساس Protocol Type هست.

به فایروال هایی که در لایه 3 یعنی Network و لایه 4  یعنی Transport کار می کنند اصطلاحا Packet Filter می گویند

اساس فیلترینگ این فایروال های بر اساس Source IP و Destination IP و Source Port و Destination Port و Protocol Type هست.

-          فایروال هایی که در لایه Session فعالیت می کنند اساس فیلترینگشان براساس Session هست.

فایروال هایی که بر اساس Session فعالیت می کنند،جدولی دارند به نام State Table . هر کانکشی که بین دو سیستم زده می شود، در این جدول یادداشت می شود به این صورت که کانکشن فلان ، امروز سر ساعت فلان به فلان کامپیوتر تشکیل شد.

به نظر شما چه لزومی دارد که این کار انجام شود و Session ها به شدت مانیتور شوند؟

بهتر است مثالی عملی در این زمینه بزنم تا کاملا متوجه شوید که چقدر حضور این فایروال ها الزامی است.

تا سال 2005 تکنیکی وجود داشت به نام Session Hijacking ، به معنای دزدیدن Session که دیگر امروزه منسوخ شده است.

روش کار آن به این صورت بود که شخص یوزر نیم وپسورد خریداری می کرد، به سرور وصل می شد و شروع به دانلود اطلاعات می کرد.

شخص هکر می آمدروی Session ها ، ما را از Session اخراج می کرد و خودش شروع به دانلود می کرد.

از سال 2005 به بعد سرور به هر ارتباطی که برقرار می شود، سوال می پرسد و اجازه نمی دهد که اشخاص بدون اجازه دانلود کنند.

به این فایروال ها که در لایه 5 یعنی Session کار می کنند در اصطلاح Stateful می گویند.

-           فایروال هایی که در لایه Application کار می کنند، اساس فیلترینگشان بر اساس Application و حتی Content و محتوا می باشد.. مثلا یک لغت خاص را فیلتر می کنیم که اجازه دسترسی به اینترنت را نداشته باشد.

فایروال ویندوز فقط می تواند Packet Filter و Stateful باشد. یعنی در لایه های 3 و 4 و 5 می تواند کار کند.

 

نکته ای که در اینجا وجود دارد این هست که داشتن تنها فایروال دلیلی بر ایجاد امنیت داخل یک شبکه نیست!! زیرا فایروال به تنهایی مکمل ندارد و باید مکمل های فایروال نصب کنیم.

IDS و IPS مکمل فایروال ها هستند.

IDS مخفف Intrusion Detection System هست که یک سیستم محافظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند . یکجور یک سیستم مزاحم یاب هست. فقط تشخیص می دهد که به شبکه حمله شده یا داره حمله میشه.اما کار خاصی انجام نمی دهد و به فایروال ها و آنتی ویروس ها ارجاع می دهد.

اما IPS: مخفف Intrusion Prevention System هست که علاوه بر تشخیص ، اقدام به خنثی کردن خرابکاری هم می کند. IPS داخل خودش IDS هم دارد. یعنی تشخیص هم می دهد.

در اینجا می تونید مطالب بسیار مفیدی در زمینه IDS و IPS مطالعه بفرمایید.

قویترین IPS دنیا Snort هست که سایت آن Snort.org هست که کاملا Free هست البته نسخه پولی هم دارد.

فرق نسخه Free اش با نسخه پولی اش این هست که نسخه Free  ماهانه آپدیت می شودو نسخه پولی اش لحظه ای.

مشکلش این هست که کارکردن باهاش سخت هست و کنسول گرافیکی ندارد.

نرم افزار جایگزینی وجود دارد به نام OSSIM . OSSIM مخفف Open Source Security Information Management هست.

این نرم افزار یک تحلیلگر امنیتی محسوب می شود و داخل خودش هسته آی پی اس Snort را به صورت گرافیکی دارد.

این IPS سیستم عامل Live دارد و وقتی بالا می آید کنسول Web Base دارد.

وبسایت جناب آقای  پدرام حیاتی مقاله فارسی رو تحت عنوان آشنایی با سامانه های کشف مزاحمت و آشنایی با Snort منتشر کرده که از اینجا فایل word رو میتونید دانلود کنید و مطالعه بفرمایید.

قبول دارم که مبحث IDS و IPS کمی سنگین شد. سعی میکنم در آینده اگر لینک و سورس های مفیدی در این زمینه پیدا کردم در همین قسمت بگذارم تا با هم این مبحث رو بیشتر وبیشتر یاد بگیریم.

امیدورام جلسه امروز مفید واقع شده باشد. جلسه امروز بیش از حد تئوری شد ، قول می دهم جلسه آینده کاملا عملی بحث فایروال ها رو دنبال کنیم. موفق باشید.

پایان جلسه هفدهم

 

در جلسه گذشته مدیریت هاردها از طریق کنسول Disk Management را یادگرفتید.

جال مدیریت هارد توسط کامند Command

ابتدا از طریق Run ویندوز cmd را باز کنید.

همانطور که میدانید دستور Diskpart برای این منظور بکار می رود.

برای مشاهده لیست هاردها از دستور List Disk استفاده می کنیم.

برای انتخاب یک هارد و اعمال تغییرات بر روی آن از دستور Select Disk  استفاده می کنیم.

بهتر هست با یک مثال کامندها را بررسی کنیم.

می خواهیم یک پارتیش Primary بسازیم که سایز آن 500 مگابایت باشد و سپس یک پارتیشن extended بسازیم که سایز آنهم 500 مگابایت باشد  و در این پارتیشن extended دو درایو  Logical با حجم های 250 مگابایت بسازیم.

1. Diskpart 

 با این دستور وارد کنسول مدیریت هارد تحت داس می شویم

2. List disk

لیست هاردها را به ما نمایش می دهد

3. Select disk 2

هارد با ایندکس 2 را انتخاب می کنیم.

4. Create partition primary size=500

یک پارتیشن پرایمری با سایز 500 مگابایت می سازیم.

5. Create partition extended 

یک پارتیشن اکستندد می سازیم.

6. Create partition logical size=250 

حال یک پارتیشن لاجیکال با سایز250 مگابایت می سازیم.

7. Create partition logical 

فضای باقیمانده از پارتیشن اکستندد را به پارتیشن لاجیکال دیگر اختصاص می دهیم.

8. List partition

 با این دستور لیست پارتیشن های ساخته شده ما را نشان می دهد.

9. Select partition 1 

با این دستور اولین پارتیشن ساخته شده که پرایمری بود انتخاب می شود

10. Assign letter c: 

شروع به نامگذاری پارتیشن ها می کنیم البته با انتخاب کردن اونها حرف سی را برای پارتیشن اول گذاشتیم.

11. Select partition 3

  با این دستور سومین پارتیشن که لاجیکال هست، انتخاب می شود

12. Assign letter d:

13. Select partition 4

14.assign letter f:

  با این دستور چهارمین پارتیشن که لاجیکال هست ، انتخاب می شود و حرف f  برای نام آن انتخاب می شود.

ما پارتیشن 2 را انتخاب نکردیم چون پارتیشن های لاجیکال داخل ، پارتیشن Extended تعریف می شوند. و نمی شود به پارتیشن extended نام اختصاص داد.

تصویر زیر گویای همه چیز هست.

حالا اختصاص دادن نام به پارتیشن ها.

خب تا اینجا با هارد Basic کار کردیم و پارتیشن های Primary و Extended ساختیم. اما چگونه با هارد Dynamic کار کنیم و پارتیشن های معروف آن را بسازیم؟ پارتیشن هایی از قبیل RAID و Striped و Simple؟ در ادامه با من همراه باشید.

برای ساخت پارتیشن RAID که همان RAID-5 محسوب می شود باید سه دیسک داینامیک داشته باشیم.

دستور آن در محیط Command prompt به صورت زیر است :

Create volume raid size=250 disk=2,3,4

با دستور فوق ما به کامپیوتر می فهمانیم که یک پارتیشن 250 مگابایتی از نوع RAID-5 در سه دیسک 2و3و4 برای ما بساز.

با دستور زیر برایش نام تعیین می کنیم

Assign letter z:

و در پایان هم فرمتش می کنیم تا قابل استفاده شود:

Format z: /fs:fat32

همینطور اگر بخواهیم پارتیشن stripe بسازیم (همان RAID-0) به دو دیسک نیاز داریم.

به صورت زیر عمل می کنیم:

Create volume stripe size=250 disk=2,3

اگر سایز را مشخص نکنیم کل فضای باقیمانده را در نظر می گیرد.

همینطور با دستور زیر می توانیم در اینجا پارتیشن simple بسازیم . همانطور که می دانید پارتیشن simple همانند پارتیشن لاجیکال در هاردهای basic هست.

Create volume simple size=250 disk=2

 در تصویر زیر به صورت عملی مراحل بالا را من پیاده کردم .

 

 بعد از پیاده سازی این دستور ها وضعیت Disk Management به این صورت در آمد.

 

دقت کنید که من روی Disk به شماره 0 , 1 کاری انجام ندادم و موقع تجزیه تحلیل آنها را در نظر نگیرید.پارتیشن z  از نوع RAID-5 تعریف شده است، پارتیشن Y از نوع Stripe یا Raid-0  تعریف شده است. پارتیشن X هم از نوع Simple تعریف شده است.

خب اگر یک منبع خوب برای دستورات Command Prompt بخواهم به شما معرفی کنم، این فایل است.دانلود کنید و لذت ببرید. امیدوارم ازجلسه امروز هم نهایت استفاده را کرده باشید. اگر سوالی داشتید در قسمت نظرات بپرسید. همینطور شما می توانید اگر در مبحثی اطلاعات بیشتری دارید با من در میان بگذارید تا من مطلب را کامل تر کنم. موفق باشید.

پایان جلسه شانزدهم

خب در جلسه پیش گفتیم که هاردهای DAS ،که همان هاردهای لوکال بر روی دستگاه ما بودند، از لحاظ نرم افزاری به دو دسته Basic و Dynamic دسته بندی می شوند.

جلسه پیش در مورد هاردهای Basic صحبت کردیم و گفتیم که در این نوع هاردها دو پارتیشن می توانیم بسازیم Primary و Extended. و بعد راجع به فایل سیستم های این پارتیشن ها صحبت کردیم و...

این جلسه می خواهیم در مورد هاردهای Dynamic با هم صحبت کنیم.

هاردهای Dynamic

از کجا بفهمیم که هاردمان در حالت Basic هست یاDynamic ؟

وارد DiskManagement بشوید (برای بازکردن این کنسول کافی است در Run ویندوز تایپ کنید Diskmgmt.msc)

همانطور که در شکل می بینید نوع Basic و Dynamic بودن هارد را مشخص کرده است.

اگر بخواهیم هارد را به Dynamic تبدیل کنیم کافی است در این قسمت بر روی هارد راست کلیک کرده و گزینه
" Convert to Dynamic Disk"  را انتخاب کنیم.

این گزینه را در دو جا نباید انتخاب کرد:

1. هاردی که بر روی آن سیستم عامل قرار دارد.

2. هاردی که بر روی آن اطلاعات ارزشمند داریم.

البته دقت داشته باشید که تبدیل Basic به Dynamic اگر اطلاعاتی هم داشته باشیم چندان مشکلی ندارد ولی احتیاط شرط عقل است.

اما اگر بخواهیم هارد را از Dynamic به Basic تبدیل کنیم حتما باید کل هارد را فرمت کنیم.

 

خب. حالا هاردی که به Dynamic تبدیل میشه 5 نوع پارتیشن بر روی آن می توان ساخت که عبارتند از:

1. Simple

2. Spanned

3. Striped

4. Mirrored

5. RAID (5)

حال یک به یک به توضیح آنها می پردازیم:

1. Simple

مثل پارتیشن Logical هاردهای Basic هست که فقط به درد ذخیره سازی اطلاعات می خورد.فقط می توان بر روی آن اطلاعات ریخت و قابلیت بوت ندارد.

 

2. Spanned

سایز پارتیشن ها را به هم می چسباند و یک پارتیشن ادغام شده نمایش می دهد. مثلا دو هارد 5 ترا داریم. می توانیم یک پارتیشن بسازیم مثلا D: که ده ترا بایت ظرفیت داشته باشد. این پارتیشن ادغامی از فضای دو هارد هست که حتما باید هاردها هر دو از نوع Dynamic باشند.

 

3. Striped

در لغت به معنای رشته رشته کردن هست که به آن RAID(0) هم گفته می شود.

RAID مخفف Redundant Array of Independent Disk یا Redundant Array of Inexpensive Disk هست. معمولا RAID بر روی هاردهای SCSII و هاردهایی که ویژگی SAS دارند پیاده سازی می شود.

خب اما RAID(0) چگونه است؟ به این صورت هست که وقتی شما یک سری اطلاعات دارید و اطلاعات به صورت بلوک بلوک هست(همانطور که می دانید در هاردهای SCSII و هاردهایی که ویژگی SAS دارند واحد ذخیره سازی اطلاعات به جای سکتور ، بلوک هست.) بلوک اول بر روی هارد اول نوشته می شود و بلوک دوم بر روی هارد دوم و مجددا بلوک سوم بر روی هارد اول و بلوک جهارم بر روی هارد دوم الی آخر.

دقت کنید که می تواند چندین هارد باشد و حتما نیازی نیست که دو هارد باشد. 

نکته دیگر اینکه اگر یک پارتیشن از نوع Striped ساخته شود فضایی که به آن اختصاص می دهد جمع فضای پارتیشن Striped کل هاردهاست. متوجه شدید؟

تصویر بالا از اینجا گرفته شده است.

مزیت:

مزیت آن در Performance و کارایی Read & Write هست که سرعت دسترسی به اطلاعات را بالا می برد.چون برای خواندن و نوشتن اطلاعات دو هد داره می چرخه و اگر هاردها از نوع اسکازی باشند که چون هاردهای اسکازی 4 تا هد دارند جمعا موقع خواندن اطلاعات 8 هد می چرخد که این سرعت را فوق العاده بالا می برد.

معایب:

-          بزرگترین مشکلش نداشن Backup و پشتیبان از اطلاعات است. اگر هارد اول از بین برود دیگر اطلاعات قابل خوندن نیستند چون بلوک ها کامل نیستند و کار تمام است.

نکته!

دقت کنید که نیازی نیست در RAID(0) سایز دو هارد باهم یکسان باشد و اگر یکی از هاردها پرشود، کل بلوک ها پشت سرهم در هارد بعدی ریخته می شود.به هرحال بهتر هست که سایز دو هارد یکسان باشد.

 

4. Mirrored

به آن RAID (1) هم گفته می شود.روی هاردهای SCSII و هاردهایی که ویژگی SAS را دارند پیاده سازی می شود.

به حداقل دو هارد احتیاج دارد که حتما باید سایز دو هارد یکسان باشد.

اما چگونه کار می کند؟

اطلاعات را بر روی یک هارد می نویسد و بر روی هارد دیگر به صورت اتوماتیک بکاپ می گیرد.و همانطور که از نام آن مشخص است هارد دیگر دقیقا آئینه هارد اول هست.مشخص است که اگر یکی از هاردها از کار بیفتد ، مهم نیست. چون بکاپ وجود دارد.

برای خواندن اطلاعات ، هر کدام از هارد ها که Queue یا صف کمتری در  انتظار استفاده از آنها باشد، مورد استفاده قرار می گیرد.

نکته!

RAID به دو صورت نرم افزاری ( توسط سیستم عامل ) و سخت افزاری پیاده سازی می شود.

بهتر هست که RAID(1) به لحاظ سخت افزاری پیاده سازی شود چون اگر به لحاظ نرم افزاری انجام دهیم به سیستم عامل و به طبع آن به RAM و CPU فشار می آد. درحالیکه RAID های سخت افزاری از سیستم عامل گرفته میشه و این RAID کنترلر هست که این وظیفه رو انجام میده.

 

5. RAID (5)

برای شناخت RAID (5) بهتر هست که ابتدا RAID(4) را بشناسیم .

RAID (4)

در این روش بر روی هارد اول بلوک یک و بر روی هارد دوم بلوک 2 و در هارد سوم ECC هارد یک و دو را می نویسیم. حال اگر هارد یک و دو خراب شود از روی هارد سه می توان هارد دوم را به دست آورد.

یک مثال ساده بزنم که مفهوم ECC را متوجه بشید. مثلا در 1+2=3  ، عدد 1 بر روی هارد اول و عدد 2 بر روی هارد دوم و عدد 3 بر روی هارد سوم ذخیره می شود. حالا اگر هارد دوم از بین برود و خراب شود. راحت می توان عدد 2 را مجددا به دست آورد.

معایب

1. اگر هارد سوم خراب شود کار تمام است.

2. برروی هارد سوم  Bottle neck یا سربار اتفاق می افتد چون هارد سوم یک نفره باید ECC ها را محاسبه و بر روی خودش دخیره کند.

به همین دلیل RAID (5) آورده شد.

 

نحوه کار:

در RAID (5) دیگر منحصرا اطلاعات ECC بر روی هارد سوم نوشته نمی شود و بر طبق یک Pattern خاصی که به آن Parity می گویند، ECC بین سه هارد پخش می شود. و دیگر این نگرانی وجود ندارد که اگر هارد سوم از بین رود کار ما تمام باشد.

دیگر Bottle Neck هم رخ نمی دهد چرا که پردازش بین هاردها پخش شده است.

 

مزیت RAID (5) در دنیای شبکه این هست که اگر یک هارد خراب شود و از دور خارج شود ، کافی است یک هارد جایگزین آن کنیم.اتوماتیک اطلاعات از روی هاردهای دیگر جایگزین می شود.

بعنوان نکته پایانی خدمتتون عرض کنم، دقت کنید که اگر یک هارد Dynamic داشته باشید فقط گزینه اول یعنی simple روشن می شود. اگر دو تا هارد داینامیک داشته باشید تا گزینه 4 روشن میشود یعنی تا Mirrored. و اگر سه تا هارد داینامیک داشته باشید گزینه آخر یعنی RAID-5 نیز روشن خواهد شد.

خب . امیدوارم از مطالب استفاده کرده باشید. ان شاء الله در جلسه بعد مدیریت هارد ها رو از طریق Command Line خواهم گفت.

پس تا فردا خدا نگهدار.

پایان جلسه پانزدهم

 

خب از این جلسه بحث هاردها رو شروع می کنیم .

 

Managing Storage Device in Networks

وسائل ذخیره سازی سه نوع هستند:

1. DAS: که مخفف Direct Attach Storage. هاردهایی را می گویند که به کامپیوتر ما وصل است حالا می تونه اینترنال و یا اکسترنال باشه.

2.SAN : که مخفف Storage Area Network. در شبکه های بزرگ یک Storage می خرند به نام SAN Storage که یک کیسی هست مثل کیس های خوابیده و داخل آن کلی هارد وجود دارد. کاری می کنند که کامپیوترهای شبکه ، اطلاعاتشان را داخل آن Storage بریزند.

3.NAS : گه مخفف Network Attached Storage. دستگاهی است که به منظور آرشیو اطلاعات در شبکه به کار می رود و هرکدام از Deivce های داخل شبکه می توانند از این Storage استفاده کنند. هر SAN مجموعه ای از چند تا NAS هست.

در این وبلاگ می تونید توضیح کامل و مفیدی از SAN و NAS بخونید. و همینطور در اینجا

اما بحث کلی ما بر روی DAS هست که در ادامه می آید.

هاردهای DAS به دو دسته تقسیم بندی می شوند:

1. از لحاظ نرم افزاری

2. از لحاظ سخت افزاری

هاردهای DAS از لحاظ نرم افزاری خود به دو دسته تقسیم بندی می شوند:

1. Basic

2. Dynamic

هاردهای DAS به لحاظ سخت افزاری نیز به دو دسته تقسیم بندی می شوند:

1. IDE

2. SCSII(بخوانید اسکازی)

ما در اینجا کاری به تقسیم بندی های سخت افزاری هاردها نداریم . موضوع مورد بحث ما تقسیم بندی هاردها به لحاظ نرم افزاری هست.

Basic

هاردهایی که ما پشت کامپیوترهامون استفاده می کنیم به صورت پیش فرض از نوع Basic هستند.هاردی که از نوع Basic باشد دو نوع پارتیشن می توان در آن ساخت:

انواع پارتیشنی که می توان بر روی هاردهای Basic ساخت:

1. Primary : این نوع پارتیشن بوتیبل هست (Bootable) و میتوان در آن سیستم عامل ریخت . نکته در اینجاست که درپارتیشن های Extended هم می توان سیستم عامل ریخت اما فایلهای بوتشان حتما باید در درایوهای Primary مثل درایوC قرار گیرد.

2. Extended :  فقط به درد ذخیره سازی اطلاعات می خورد .

بر روی یک هارد می توان کلا 4 تا پارتیشن Primary ساخت و یا 3 تا Primary و یک Extended ساخت. و در Extended هم 23 تا درایور logical ساخت به تعداد حروف الفبای انگلیسی منهای A و B و C.

یک نکته ای که باید در اینجا دقت کنید.

تفاوت پارتیشن با Volume:

به قسمت بندی هارد پارتیشن می گویند که این تعداد می توان بی نهایت باشد. اما به قسمت بندی هارد که بر روی آن حرف انگلیسی خورده باشد،  Volume می گویند که این تعداد 23 تا بیشتر نمیتواند باشد . همانطور که در بالا گفتیم.

 

مفهوم فایل سیستم – FileSystem

فایل سیستم نحوه ذخیره و بازیابی اطلاعات بر روی پارتیشن ها و Volume های یک هارد را مشخص می کند.

فایل سیستم هایی که در ویندوز قابل استفاده هستند:

1. FAT : که خودش دو نوع هست 16 و 32  .

FAT16 » کوچکترین خونه ای که می توان با آن ساخت 64 کیلوبایت هست.

FAT32» کوچکترین خونه ای که می توان با آن ساخت 16 کیلوبایت هست.

 

2. NTFS: که مخفف New Technology File System هست. کوچکترین خانه ای که می توان با NTFS ساخت 4 کیلوبایت هست.

به نظر شما اگر ما 5 کیلوبایت اطلاعات داشته باشیم چقدر از فضای FAT و چقدر از فضای NTFS هدر می رود؟

در اینجا که سایز اطلاعات 5 کیلوبایت هست و کم است بهتر است از سیستم فایل NTFS استفاده شود چون فضای کمتری هدر می رود (حدودا 1 کیلوبایت) در مقایسه با FAT16 که 59 کیلوبایت هدر می رود وFAT32  که 9 کیلوبایت هدر می  رود

برعکس اگر سایز اطلاعات بزرگ بود بهتر است از سیستم فایل FAT استفاده شود.

به فضای خالی که در هنگام ریختن فایل بر روی پارتیشن ها با سیستم عامل FAT و NTFS هدر می رود. Slack گفته می شود.

سیستم عامل جدولی دارد به نام MFT و این جدول کارش این هست که یک لینک از اطلاعات را فضاهای Slack نگه داری می کند.

 

واما تفاوت های بین سیستم فایل های FAT و NTFS:

اولین تفاوت در سایز سکتورها بود که پیش تر توضیحش گفته شد.

دومین تفاوت در سایز پارتیشنی که می توان با آن ساخت.

با FAT16 می توان ماکزیمم دو گیگا بایت پارتیشن ساخت.

با FAT32 می توان ماکزیمیم تا 32 گیگا بایت پارتیشن ساخت.

با NTFS در ویندوزهای Legacy مثل XP تا 2 ترابایت و در ویندوزها Next Generation مثل 7 تا 16 ترابایت می توان پارتیشن ساخت.

 

سومین تفاوت در یکسری ویژگی ها هست که NTFS دارد اما FAT ندارد

الف- Security . با استفاده از این ویژگی میتوانیم به فایلها Permission یا اجازه دسترسی بدهیم. اگر بر روی فایل مورد نظر در داخل یک درایو با سیستم فایل NTFS راست کلیک کنیم و گزینه Properties را انتخاب کنیم. در پنجره ظاهر شده از سربرگ Security می توانیم این کار را انجام دهیم.

اگر سربرگ Security نبود باید از قسمت FolderOptions سربرگ View تیک آخرین گزینه یعنی Use Simple file Sharing رو برداریم.

ان شاء الله در آینده نزدیک بیشتر راجع به Security در فایلها صحبت خواهیم کرد.

ب - Encryption. درایوهایی که با فایل سیستم NTFS فرمت شده باشند این ویژگی را دارا هستند. این ویژگی فایلهای مارا رمزنگاری می کند به این صورت که اگر کاربر دیگری با یک یوزر دیگر وارد سیستم شود نمی تواند به محتوای فایلهای ما دسترسی داشته باشد.

وقتی رمزنگاری انجام شد، رنگ آن پوشه یا فایل تبدیل به رنگ سبز خواهد شد.

حال سوال اینجاست اگر یوزی که در آن رمزنگاری انجام شد پاک شود چه اتفاقی بر سر فایلهای آن یوزر می آید؟ آیا فایل هایش غیرقابل خواندن می شوند ؟

پاسخ این است که خیر. یوزر Administrator در نقش Recover Agent یا شاه کلید می تواند به فایل ها دسترسی پیدا کند.

جهت انجام عمل Encryption بر روی پوشه یا فایل مورد نظر راست کلیک کرده و بر روی Properties کلیک می کنیم. در همان سربرگ اول در پایین دکمه Advanced را انتخاب کرده و تیک گزینه Encrypt Content To Secure Data را انتخاب می کنیم.

 

ج- Compression یا فشرده سازی. با فعال کردن این ویژگی پوشه یا فایل ما فشرده می شود و رنگ آن به آبی تغییر می کند.

دقت کنید که یک پوشه را همزمان نمی توان هم فشرده و هم Encrypt کرد.

برای فعال سازی آن هم به همان مسیر Encryption می رویم و این بار کزینه Compression را انتخاب می کنیم.

 

د- Quota: درایوهایی که از نوع NTFS باشند تبی دارند به نام Quota . در این تب می توان هر درایو را سهمیه بندی کرد . بعنوان مثال مشخص کرد که فلان یوزر از این درایو 20 مگابایت بیشتر استفاده نکند.

در بحث فایل سرورها در کورس دوم به طور مفصل Quota شرح داده می شود.

 

بحث هاردها کماکان ادامه دارد و فکر می کنم سه الی پنج جلسه به آن اختصاص پیدا کند.

دو نکته کاربردی برای امروز بگم و بحث امروز رو تمام کنم.

اول اینکه نحوه تبدیل یک درایو با فرمت FAT به NTFS بدون پاک شدن اطلاعات به صورت زیر هست:

CMD را باز می کنیم  در آن تایپ می کنیم:

Convert C:\ /fs:NTFS

دقت کنید درایوی که داخل آن ویندوز باشد با ریستارت بعدی درست می شود.

نکته بعدی اینکه در ویندوز XP چگونه یک فلش را به صورت NTFS فرمت کنیم؟

همانطور که میدونید در ویندوز 7میشه یک فلش را به صورت NTFS فرمت کرد اما در XP نمیشه .

جهت اینکار باید به صورت زیر عمل کرد.

ابتدا بر روی درایو فلش راست کلیک کرده و گزینه Properties را انتخاب کنیم. به سربرگ Hardware می رویم و در قسمت All Disk Drives درایو فلش را انتخاب می کنیم و بر روی دکمه Properties کلیک می کنیم.

در پنجره جدید ظاهر شده بر روی سربرگ Policies می رویم و در آنجا گزینه Optimize for Performance را انتخاب می کنیم.حال همه پنجره ها را OK می کنیم. حال اگر گزینه Format  را بزنیم می بینیم که NTFS نیز به لیست آن اضافه شده است.

دقت داشته باشید که ما به صورت عادی میتوانیم بدون انتخاب Safely Remove فلش را از کامپیوتر جدا کنیم. ولی اگر این کار را انجام دهیم یعنی از مسیر گفته شده گزینه Optimize for performance را انتخاب کنیم. برای جدا کردن فلش از کامپیوتر حتما باید گزینه Safely Remove را انتخاب کنیم و بعد فلش را جدا کنیم و اگر این کار انجام نشود اطلاعات بر روی فلش خراب خواهد شد.

امیدوارم از مطالب استفاده کرده باشید. موفق باشید.

پایان جلسه چهاردهم

خب در جلسه پیش مفصل راجع به RDP یا Remote Desktop Control صحبت کردیم. در این جلسه می خواهیم راجع به بقیه تکنولوژی های ریموت صحبت کنیم.

2.Telnet

دقیقا مثل RDP هست با این تفاوت که RDP یک محیط گرافیکی را در اختیار ما می گذارد اما تلنت یک محیط کامند لاینی و خطی را در اختیار ما می گذارد.

تلنت یک مشکل اساسی دارد و آن این است که اطلاعات کاملا بدون رمزنگاری و به صورت Clear Text بین مبدا  و مقصد جا به جا می شود.

Telnet در ویندوزهای Legacy مثل XP نصب هست اما Disable هست و از قسمت سرویس های باید آنرا از این حالت درآورد.

نحوه فعال سازی تلنت در ویندوزهای Legacy

به مسیر زیر می رویم:

Run>services.msc>telnet>Automatic>Start>Apply>ok

اما در ویندوزهای Next Generation مثل  مثل 7 اصلا نصب نیست و باید آنرا نصب کنیم.

 

نحوه فعال سازی تلنت در ویندوز های Next Generation

ControlPanel>Program&Features>Turn Windows Feature on off>

تیک دو گزینه زیر را در ویندوز 7  فعال می کنیم.

1.Telnet Server: برای اینکه کسی بتواند به ما تلنت کند.

2. Telnet Client: برای اینکه ما بتوانیم به کسی تلنت کنیم.

 

3. SSH

SSH مخفف Secure Shell هست و دقیقا مثل Telnet هست با این تفاوت که اطلاعات به صورت رمز شده بین ما سرور ردوبدل می شود.

به صورت پیش فرض در ویندوزهای مایکروسافت وجود ندارد. اما در لینوکس وجود دارد.

 

نحوه فعال سازی SSH

برای فعال سازی آن باید از نرم افزارهای جانبی استفاده کند

-          پشت کامپیوتری که می خواهد به ما SSH کند باید نرم افزاری نصب شود به نام Putty

-          پشت کامپیوتری که می خواهیم به آن SSH کنیم باید نرم افزارهایی مثل FreeSSHd و OpenSSHd و WinSSH و.. نصب شود. راحت ترینشان همان FreeSSHd هست.

پورت SSH ، 22 هست و پورت تلنت 23 هست.

 

4. VPN

VPN مخفف Virtual Private Network به معنای شبکه خصوصی مجازی است. تکنولوژی است که می تواند 2 یا چند شبکه Private را تحت یک بستر عمومی مثل اینترنت به صورت کاملا Secure و امن به هم وصل کند.

نکته ای که که داشت این هست که VPN فقط در بستر اینترنت نیست بلکه تحت هر بستر عمومی اجرا می شود.

در دنیای شبکه دو نوع VPN داریم:

1. Remote Access (که به آن Host-To-Host هم می گویند.)
2 Side-to-Side (که به آن Network-To-Network هم می گویند.)

 

Remote Access1.

این همان VPN ای است که در اینترنت باب هست . یعنی اون سر دنیا مثلا توی کانادا یا آمریکا یک سروری هست و پشت سرور اینترنت باز قرار دارد. شخص از سیستم خودش یک تونل می زند بین خودش و سرور. از طریق این تونل اینترنت کاملا باز را دریافت می کند.

 

2. Side-To-Side

مثلا یک شعبه در تهران داریم و یک شعبه در تبریز. دو سرور جلوی شبکه به یکدیگر تونل می زنند و کلاینت های این سرورها اگر بخواهند با یکدیگر ارتباط برقرار کنند اطلاعات به صورت رمز شده رد و بدل می شود.

دقت کنید که VPN جزو تکنولوژی های سروری است یعنی حتما باید یک طرف سرور باشد. حالا یا 2003 یا 2008.

نگران نباشید VPN جزو درس هایمان هست و مفصل در آینده نزدیک به آن می پردازم.

 

 

5. HTTP و FTP

دو پروتکلی که برای وصل شدن به صورت ریموت خیلی کاربرد دارند.

HTTP مخفف Hyper Text Transfer Protocol و FTP مخفف File Transfer Protocol هست.با HTTP که پورت آن 80  هست سایت را می بینیم و با FTP که پورت آن 21 هست ، از بیرون وصل می شویم و فایلها را میبینیم.

برای پیاده سازی HTTP  و FTP باید سرویس IIS بر روی سرور نصب شود . مثل VPN، سرویس IIS هم جزو سرویس های سروری است.

به سروری که بر روی آن IIS نصب شود وب سرور می گویند.

خب در این جلسه به صورت مختصرو مفید به تکنولوژی های ریموت اشاره ای کردم. تمامی این مباحث در آینده نزدیک به صورت مفصل مطرح می شود. موفق باشید.

در ادامه مباحث System Properties

تب آخر Remote

واژه ریموت یعنی خارج از کامپیوتر من. حالا این می تواند ده سانتیمتر آنورتر باشد یا می تواند کیلومترها ازمن فاصله داشته باشد. هر دو ریموت محسوب می شوند.

لایه ای که برای ریموت در مدل 7 لایه ای OSI استفاده می شود Session یا جلسه نام دارد.

همینطور اگر بخواهیم بفهمیم چه کسانی به کامپیوتر ما Remote زدند کافی است دستور Netstat –na را در محیط cmd تایپ کنیم. این دستور هم IP شخص و هم پورتی که از آن استفاده شده است را نمایش می دهد.

حال اگر در دستور netstat –na دیدیم که یک IP به کامپیوتر ما Session زده و بخواهیم آن راببندیم کافی است از دستور

 net use "ip طرف مقابل"  ipc$  /delete

اگر بخواهیم کلیه Session های جاری را ببندیم. کافی است از دستور

Net use * /d

استفاده کنیم.

در مورد Remote دو مقوله مطرح است:

1. بسترهای Remote

2. تکنولوژی های Remote

 

 

1. بسترهای Remote

1.PSTN

خطوط مسی تلفنی شهری که سرعت ارسال:56 کیلوبیت و دریافت 32 کیلوبیت داشتند.

2.ISDN

خطوط دیجیتال که سرعت ارسال و دریافت 128 کیلوبیت داشتند.

3. MPLS

سرعت آن از 128 کیلوبیت هست تا 6 مگابیت. مشکلش گرون بودن این خط هست.

4.Satellite

سرع آن از 128 کیلو بیت شروع میشود و تا 5 مگابیت را ساپورت می کند.

5.Vsat

Vsat یعنی دو تا بشقاب رو روی دو تا ساختمون بلند بگذاریم و این ها به صورت Point – to –pont همدیگر رو ببینند و به انتقال اطلاعات بپرازند. به این اقدام Vsat می گویند.

6. DSL

راجع به DSL میخوام کمی صحبت کنم.

همانطور که می دونید با پیشرفت تکنولوژی DSL سه نوع DSL موجود هست. ADSL و ADSL2 و ADSL2+

مشکل تکنولوژی DSL این هست که محدودیت مسافت دارد. به جدول زیر دقت کنید

 

همانطور که در جدول می بینید هرچقدر که تکنولوژی پیشرفت کرده مسافت کم شده ولی سرعت بالا رفته . تکنولوژی ADSL2+ میتواند سرعتی برابر 24 Mb به ما بده. اما آیا واقعا این سرعت در اختیار ما قرار می گیرد؟ چه سرعتی در اختیار ما قرار می گیرد؟

128 و نهایتا 1 مگابیت. پس چرا تبلیغات می شود ADSL2+ ؟ به چه درد ما می خورد؟ وقتی نمی توانیم از سرعت آن استفاده کنیم. برای ما همان ADSL کافی است چرا که مسافت بیشتری هم ساپورت می کند و این برای مایی که شاید از ISP فاصله داشته باشیم هم بهتر است. چرا که هر چقدر مسافت شما از ISP دورتر باشد به همان میزان سرعت اینترنت هم افت می کند.

7. Wireless

سرعت آن در قسمت های مختلف متفاوت هست.

مثلا در شبکه محلی بالای 300 مگابیت و درشبکه های شهری مثل WIMAX تا دو مگابیت ساپورت می کند.

8. CATV

که مخفف cable TV یا تلویزیون کابلی است.سرعت آن از دو مگابیت تا دوازده مگابیت هست .

روش کار آن:

اطلاعات در بستر فیبر نوری وارد منازل می شود و از آنجا با کابل کواکسیال وارد cable modem می شود که از آن دو خروجی می گیرند : یکی برای TV و دیگری برای اینترنت.

Cable TV توانایی Pause  کردن ، در هنگام مشاهده تلویزیون را داراست . مثلا در وسط اخبار یک لحظه اخبار را نگه میدارم تا کارم را انجام دهم و برگردم.  این عمل تا یک هفته می تواند بماند.

70 درصد شبکه های کشور آمریکا از نوع کابلی است.

 

واما تکنولوژی های ریموت چیستند؟

1. RDP

RDP یا Remote Desktop Protocal تکنولوژی هست که در خود ویندوز وجود دارد و میتوان از آن استفاده کرد.

برای اینکه از یک ویندوز به ویندوز دیگر Remote  بکنیم چند کار باید قبل از آن انجام شده باشد.

در ویندوز های Legacy کافی است وارد سربرگ Remote  بشویم و تیک

Allow users to connect remotely to this computer

را بزنیم.

 و سپس کافی است یک یوزر پسورد هم در اختیار شخص ریموت کننده در شبکه قرار دهیم تا بتواند به ما ریموت کند. همین.

حال شخص ریموت کننده کافی است در Run ویندوز تایپ کند mstsc و در پنجره ظاهر شده IP ما را بزند و سپس در صفحه بعدی یوزرنیم و پسورد ما را بزند و تمام. دسکتاپ ما در اختیارش قرار می گیرد.

اما در ویندوز های Next Generation مثل 7 قضیه کمی فرق می کند.

به RDP در ویندوزهای Next Generation یک ویژگی اضافه شده است به نام NLA.

NLA مخفف Network Level Authentication هست. درویندوزهای Legacy این ویژگی وجود ندارد. حال این ویژگی به چه دردی می خورد؟ عرض می کنم خدمتتون.

NLA چیست؟

در ویندوزهای NG مثل 7  وقتی RDP می کنی، اول از شما یوزرنیم پسورد می پرسد بعد شما را وصل می کند. اما در Legacy ها اول شمارا وصل می کند و بعد می پرسد که یوزرنیم پسورد شما چیست. یعنی در ویندوزهای Legacy ما تا پشت در سیستم میریم و این از لحاظ امنیتی فوق العاده بد است.

و اما توضیحات سربرگ Remote در ویندوز 7

در قسمت Remote Desktop سه گزینه وجود دارد.

1. گزینه اول یعنی

Don’t allow connections to this computer

که همانطور که مشخص است یعنی اجازه نده به این کامپیوتر کانکت شوند که حالت پیش فرض است.

2. گزینه دوم یعنی

Allow connections from computers running any version of Remote Desktop (less secure)

می گه همه کامپیوترها بتوانند به من ریموت کنند چه NLA  رو ساپورت کنند مثل 7 و چه NLA رو ساپورت نکنند مثل XP. خب مسلما انتخاب این گزینه منجر به پایین اومدن امنیت میشه همانطور که توضیحش رفت.

3. گزینه سوم یعنی

Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure)

می گه فقط کامپیوترهایی بتوانند به من ریموت بزنند که NLA رو ساپورت کنند که با انتخاب این گزینه ویندوزهایی مثل XP نمی تونند به 7 ریموت بزنند.

 

اما از کجا بفهمیم که ویندوز ما NLA را ساپورت می کند یا خیر؟

1. در Run ویندوز تایپ می کنیم mstsc

2. بر روی Caption یا نوار آبی رنگ بالای پنجره راست کلیک می کنیم و گزینه about را می زنیم.

3. در پنجره ظاهر شده اگر ویندوز ما XP باشد می نویسد :

Network Level Authentication not supported

که یعنی NLA را ساپورت نمی کند.

برای فعال سازی NLA در ویندوز XP کافی است RDP ورژن 6.1 را دانلود کنیم تا این ویژگی NLA را ساپورت کند.

 

نکته!

همانطور که می دانید در ویندوز اگر به یک کلاینت RDP کنیم، آن کلاینت به صورت دیفالت از سیستم Log off می شود و ما وارد می شویم.

البته این قضیه در ویندوزهای نسخه سروری وچود ندارد . و تا هشت نفر می توانند به آنها RDP بزنند بدون اینکه Log off شوند.

 

اما چکار کنیم که در ویندوز وقتی ریموت می زنیم ، ویندوز Log off نشود؟

سه راه حل دارد:

1.استفاده از dll های Remote Desktop نسخه سروری در ویندوز XP. یعنی dll های نسخه سرور را برداریم و جایگزین dll های Remote Desktop نسخه کلاینت کنیم.

که این کار زیاد جالب نیست و توصیه نمیشه.

2. استفاده از نرم افزار  UniversalTermsrvPatch كه هر دو نسخه 32 بيتي و 64 بيتي آن موجود مي باشد.

3. از نرم افزارهای جانبی استفاده کنیم.

نرم افزارهایی مثل:

-          Radmin

-          Netsupport

-          IdLAdministrator

 مي توانيد براي تكميل كردن اطلاعات خودتان به اين سايت كه مفصل در اين باره توضيح داده مراجعه كنيد.

یک نکته دیگر

پورتی که RDP در ویندوز استفاده می کند 3389  هست.

 خب. بررسی بقیه تکنولوژی های ریموت رو ان شاء الله به جلسه بعد موکول می کنیم. موفق باشید.

پایان جلسه دوازدهم