آموزش مباحث سرور از سطح مبتدی تا پیشرفته

[Nethunter]

در این تاپیک مباحث سرور دنبال خواهد شد

آموزش شبکه از سطح مبتدی تا پیشرفته(مباحث پایه و ویندوز)




قابل توجه دوستان که منبع این آموزشها گروه آشیانه میباشد اگه در دانلود لینکهای داده شده مشکلی داشتید در این گروه عضو شید
در اینجا من به صورت مرتب این آموزشها را قرار دادم در صورت سوال یا مشکلی در مورد آموزشها و لینکها در قسمت مربوط به سوالهای تالار شبکه قرار بدید حتما رسیدگی میشه
موفق باشید.

 

[Nethunter]

شروع درس Windows Server 2003

Introduction To Microsoft Windows Server

Network Operating Server NOS

OS

NOS همان OSهايي هستند که با قابليت هاي پيشرفته تر جهت کار در مجموعه هاي پيچيده مانند شبکه هاي کامپيوتري تعبيه شده اند و در OSهاي خانگي وجود ندارند و نيازي به آن ها نيست.

NOS در دو ورژن ارائه شده است:

Server Side
Client Side

NT New Technology: در دو ورژن Workstation و Server ارائه شده است و آخرين ورژن آن NT Server 6.0 است.


Windows 2003: اولين نسخه اي است که براي آن Client Side معرفي نشده است.

Windows 2003 version:

Windows Server 2003, Web Edition (32bit)
Windows Server 2003, Standard Edition (32bit)
Windows Server 2003, Enterprise Edition
Windows Server 2003, Data center Edition

ارائه بيش از يک نسخه توسط کمپاني به دلايل زير است:

Hardware Support
Service Support
Cost
Network Size

Network هاي مختلف نياز هاي ويژه و هزينه هاي خاص خود را دارند.

Windows Server 2003, Web Edition:

سرويسي دارد به نام IIS که اولين بار توسط اين کمپاني و با اين نام تهيه شد. زماني که نصب مي کنيم از آن به بعد سيستم مي تواند نقش Web Server را داشته باشد. در مواقعي که تعداد Siteها زياد باشد. اين نسخه براي اين ارائه شد که عملاً سرويس حرفه اي آن IIS بوده و مي تواند نقش Web Server را داشته باشد.
در اين نسخه با هزينه هاي جانبي ديگر درگير نمي شويم و قيمت آن پايين است و در زمان نصب ويندوز به طور خودکار IIS هم نصب مي شود.
ماکزيمم تا 4GB ، RAM را ساپورت مي کند.
بايد بررسي کنيم سيستم عامل هاي Server چه سخت افزار هايي را ساپورت مي کند. منظور از سخت افزار Processorها هستند مانند CPU و RAM
هيچ کدام از نسخه هاي Windows قابليت تبديل و Upgrade کردن به اين سرويس را ندارند.
از Session هاي File sharing ماکزيمم تا 10 Session را ساپورت مي کند (در اصطلاح CIFS براي برنامه نويسان کاربرد دارد.)


Windows Server 2003, Standard Edition:

در Networkهاي Small to Medium قابل استفاده است.(20 To 50 Client)
Maximum 4CPU و Maximum 4GB Ram را ساپورت مي کند.
تمام سرويس هاي زيرساختي يک شبکه را اين نسخه ساپورت (Handle) مي کند. (File Sharing، Routers و ...)
براي استفاده از هر سرويس اين نسخه بايد هزينه مجزا پرداخت کرد. اگر بخواهيم Terminal Sever را نصب کنيم به عنوان يک Application کار کند بايد هزينه جدا جهت راه اندازي پرداخت شود.


Windows Server 2003, Enterprise Edition:

سايز شبکه Medium to Large (250 To 850 Client)
تمام سرويس هاي زيرساختي را ساپورت مي کند + 4 سرويس خاص (Clustering و ... )
Maximum 8CPU و Maximum 32GB Ram را ساپورت مي کند.
Cash serverها که Cash در RAM است و جايي ذخيره نمي شود

آنچه در ادامه خواهید خواند...
ابزارهاي Remote

 

[Nethunter]

ابزارهاي Remote

Console Manager

جهت مديريت سرويس هاي مختلف در Serverهاي متفاوت.

نرم افزار Client به سرويس کامپيوتر است. در خواست برقراري ارتباط را مي دهد و Interface آن روي کامپيوتر ما نمايش داده مي شود. درخواست را به Server برده و Interface آن را به صورت مستقيم مي آورد. انگار که پشت خود همان Server است .

مزايا: روش Secure است. احتمال بروز خطا کم است در همه OSها قابل استفاده است. (XP, 2000, 2003)
معايب: نصب برنامه و يا اگر نصب شود کنسول ندارد. مشکل سخت افزاري و کم بودن Optionها.


Remote Desktop

تنظيمات از هر دو طرف بايد اعمال شود. (Server, Client) به دليل اينکه Server، Multiuser است و مي تواند چند User را ساپورت مي کند و همزمان بجز خودمان دو Session ديگر مي توانند وارد شوند بدون اينکه کامپيوتر آن ها Lock شود.

Remote Assistance

به دو شکل Invite و Offer کار مي کند.
يک Setting در مقصد بايد تنظيم شود اين کار را مي توان با Group Policy انجام داد:

System >Remote Assistance >Offer Assistance >Enable > Show > Add کاربرهايي را که مي خواهيم انتخاب مي کنيم.

در قسمت Offer Remote Help&Support ، IP آن کامپيوتري که مي خواهيم به صورت دعوت برويم را مي نويسيم. پيغامي داخل سيستم دعوت داده مي شود Username و Password را زده تا بتوان متصل شد.

آنچه در ادامه خواهید خواند...
Active Directory

 

[Nethunter]

Active Directory

نکته:

در این قسمت از آموزش آشنایی مختصری با سرویس Active Directory شرکت Microsoft پیدا میکنیم ولی این سرویس به حدی مهم و حیاتی است که ما در درسهای بعدی عنوانی رو داریم به نام خود این سرویس که به برسی جزییات کامل آن میپردازیم.

تعریف:

براي اولين بار متد مديريت شبکه در NT4 انجام شد. براي مثال يک واحد Sales تعريف کرده و کاربرها را به آن Join مي دهيم و تمام عضويت بر گروه ها را روي يکي از کامپيوترهاي مشخص تعريف مي کنيم. Username و Password در محل مرکزي چک شده و از آنجا اجازه دسترسي را مي گيرد. در اينصورت محدوديت اعضا داشتيم و بايد خانواده هاي مختلف را تعريف مي کرديم. در Domainهاي NT تمام ابزارهاي مديريتي شبکه تحت عنوان Directory Service کار مي کنند که معمولاً Conceptهاي مشتر کي دارند.

مديريت شبکه به دو صورت زير انجام مي گيرد:

Workgroup:
تعداد کامپيوترها کم، نوع OS مهم نيست، هر کامپيوتر هم Client است هم Server، بارکاري زياد و امنيت کم است.

Domain:
مجموعه کامپيوترهايي که تحت قوانين مشخص با هم کار مي کنند. امنيت بالا، متمرکز، حجم کار پايين، ريسک پذيري بالا، حتما يک OS Server وجود داشته باشد، سيستم ها يا Master يا Client و يا Server مي باشند. OSهاي خاص قابل استفاده مي باشند، محدوديت تعداد کامپيوتر و فضاي جغرافيايي نداريم، مي تواند nتا عضو داشته باشد.

در شبکه هاي Domain بايد از Active Directory استفاده کنيم. (مي توانيم هم Domain و هم Workgroup داشته باشيم) در Domain، LSD مفهوم ندارد و از SSD (Share Security Database) استفاده مي شود.

Domain يکSecurity Boundary است. به اين معنا که تمام تنظيمات در همان Domain ذخيره مي شود و اين تنظيمات از يک Domain به Domain ديگر منتقل نمي شود. در NT اگر مي خواستيم Domainها را به هم ربط دهيم بايد کار Trustرا انجام مي داديم به اين معنا که هر Domain را به Domain ديگري معرفي کنيم.(امنيت بالا و Performance کاهش مي يابد.)

Directory Services و Active Directory از ويندوز 2000 به بعد ارائه شد. در ويندوز 2000 سرويس ها را به سرويس اينترنت نزديک کرد که موجب سهولت کار براي Admin مي شود. تنها سرويسي است که قابل مقايسه با سرويس هاي ديگر نيست و بستر امنيتي بالايي دارد.

تمام سرويس هاي حرفه اي با Active Directory کار مي کنند و اکثر سرويس ها مانند ISA و ... فقط روي Active Directory نصب شده و کار مي کنند.

Domain Name:

Domain Nameها Single Label و Flat Mode (تک قسمتي يا تک بخشي) هستند. يک اسم منحصربفرد براي Join شدن سيستم به آن مي باشد.

در Active Directory استانداردهاي Internet پياده سازي شده است حتما بايد دو قسمتي باشند
با متد: A.B مانند: Company.net

NetBIOS name 15+1کاراکتر و unique و اجباري است و در Registry ذخيره مي شود

هر کامپيوتر دو اسم دارد:

NetBIOS name و FQDN

FQDN Fully Qualified Domain Name

اسم واجدالشرايط است که از فرمول روبرو تبعيت مي کند:Computername.Domainname
اسامي چند قسمتي هستند. Hierarchical سلسله

يک سيستم مي تواند n تا FQDN داشته باشد.
طول آن 255 کاراکتر داشته باشد.
مجازي هستند و در Registry ذخيره نمي شود.

ساختار Domainها در Internet:

به این تصویر نگاه کنید!

http://www.ashiyane.org/forums/attac...1&d=1287742349

زماني که www.yahoo.com را مي زنيم به طور خودکار يک Dot آخر آن اضافه مي شود.

از اسامي In use نمي توان استفاده کرد و بعد از تعيين کردن اسم بايد از Top Level Domain يکي از مجموعه ها را انتخاب کرد.

اگر يک اسم مانند My Computer براي Active بگذاريم کار مي کند ولي در اجراي يک سري سيستم هاي ديگر اختلال ايجاد مي کند.

مديريت Top Level Domainها بر عهده کمپاني هاي خاص است و تعداد مشخصي دارند.


آنچه در ادامه خواهید خواند...
اجزاي Active Directory

 

[Nethunter]

اجزاي Active Directory

َActive Directory دارای 2 جز اصلی است

Logical
Physical

Logical
ساختار AD جز Domain است. سرويس AD مجموعه Domainهايي است که با هم در ارتباط هستند. زماني که اولين Domain در شبکه ساخته مي شود عملاً سرويس AD هم همانجا نصب مي شود. براي امنيت و به علت Business و يا تغييرات فيزيکي در شبکه بيش از يک Domain ايجاد مي کنيم. Domainهاي ايجاد شده را Sub Domain مي ناميم.

هر Domain و Child آن را Tree مي گويند. Child Domain به عنوان بخشي از Domain Name نام Domain Parent را به ارث مي برد. به حالت Continues است به اين معنا که اسم Parent بايد در ادامه نام خودش بيايد. مانند: West.Company.Net و به مجموعه Treeها Forest گفته مي شود.

يک Forest را با اسم اولين Domainمي شناسيم. اسم اولين Domain نام آن Forest است.

اولين Domain در AD :

تمام قابليت هاي Domain را دارد.
Tree Root خودش است.
Forest Root خودش است.

برخي از تنظيمات بايد داخل آن Domain بماند ولي از برخي تنظيمات بايد تمام Domainهاي آن Forest باخبر شوند.
هر User مي تواند روي هر کامپيوتر در شبکه به هر Domain برود. (Account و Domain در فاصله دور از هم قرار دارند.)
مي توان يک Domain را از داخل شرکت به Domain بيرون از شرکت متصل کرد و به آن Permission بدهيم.
AD توانايي ارتباط برقرار کردن با Novel را دارد.

Physical

Domain Controller: کامپيوترهاي Server که روي آن ها AD نصب مي شود را Domain Controller مي گويند.

DCها وکلاي سرويس هاي AD در Domainهاي مختلف هستند. هر Domain حداقل يک DC نياز دارد. (DC، Domain را اجرا مي کند.)
به طور کل هر Domain براي اينکه ايجاد شود احتياج به يک DC دارد. تمام سيستم امنيتي، مديريتي، کاري و اطلاعاتي ساختار AD روي DC انجام مي گيرد. DCابزار کاري AD است. DCها در هر Domain بايد Secureترين کامپيوترها باشند چون Security Providerها خود DCها هستند. زماني که يک تک DC دچار مشکل شود در آن صورت Domain هم از کار مي افتد. در اينصورت بايد حداقل براي هر Domain دو DC بگذاريم. اين دو DC از لحاظ Database کوچکترين تفاوتي با هم ندارند. به محض اينکه دومين DC نصب مي شود همزمان شروع به کار مي کنند. هر تغييري در هر DC انجام شود در بقيه هم اعمال مي شود.(Multimaster)

هيچ تفاوتي بين DC ها وجود ندارد هر دو Fully Functional در Domain کار مي کند.

DCها از لحاظ امنيتي حتماً بايد در NTFS Partition قرار بگيرند و هرگز در DC نرم افزارهاي جانبي نصب نکنيم. در DC صفحه Web باز نمي شود. سرويس هاي ديگر را روي آن نصب نمي کنيم وکارهايي از قبيل Upgrade ,Uninstallو ... را روي آن انجام نمي دهيم. Access به DC بايد محدود بوده و آن را از لحاظ فيزيکي در جاي امن و يا داخل يک Rack قرار بدهيم.

تنها سرويسي که مجاز هستيم روي DC نصب کنيم سرويس DNS است.

احتياجي نيست که روي DC سخت افزار پيشرفته اي قرار داشته باشد ولي بايد براي آن Recovery Optionهاي خوبي در نظر گرفت.

انتخاب تعداد DC ها بستگي به Domain و Site(Location جغرافيايي) آن دارد.

DC Upgrade: 2000 > 2003 >2008

آنچه در ادامه خواهید خواند...
راه اندازي AD

 

[Nethunter]

راه اندازی ad

شرط راه اندازي Active Directory:

Name Resolution: فرآيند تبديل اسم به IP. بايد تبديل اسم به IP را در يک سرويس مانند DNS قرار دهيم ، چون حفظ کردن IP مشکل است.

به طور کل AD بدون DNS کار نمي کند. اگر DNS را نداشتيم يا بايد آن را دستي تنظيم کنيم که کار مشکلي است و يا در هنگام نصب AD مي پرسد که DNS را نصب کند يا نه.

قبل از نصب بايد يک سري تنظيمات را مانند Ipconfig انجام دهيم تا مطمئن شويم IP داشته باشيم.

Run > dcpromo > Domain Con…. Or Additional

اگر براي اولين بار است که نصب مي کنيم، گزينه اول را مي زنيم

Forest,Tree,Child > DNS

سوال مي پرسد که آيا داريد يا نصب کنم؟

NetBIOS name

محل نگهداري ديتاها که حالت پيش فرض

زماني که کارت شبکه Unplug باشد DC نصب نمي شود.
حتمًا بايد نصب را روي NTFS Partition انجام دهيم.
بعد از نصب AD مي توان نام کامپيوتر را تغيير داد.

در ادامه یک فیلم آموزشی از روش نصب DNS و Active Directory براتون تهیه کردم!

پسورد فایل : ashiyane.org

DNS-AD.rar

آنچه در ادامه خواهید خواند...
Domain

 

[Nethunter]

Domain

Domain
مجموعه کامپيوترهايي که تحت قوانين مشخص کار مي کنند.

مراحل کار با Domain

1.ايجاد DC
Join.2 به Domain

تغييرات ايجاد شده:

در پنجره log on وقتي Option را انتخاب مي کنيم يک باکس Log on to به وجود مي آيد که نام Domain را مي توانيم انتخاب کنيم.

در دی سی Log in کردن مفهومي ندارد.
Local Log on ، User name & Password را روي خود سيستم چک مي کند اما Domain در DC چک مي کند.(Authentication)

بعد از نصب Active Directory سه کنسول:

Active Directory Domain And Trusts
Active Directory Sites And Service
•Active Directory User And Computer

ايجاد مي شوند وسرويس DNS هم نصب مي شود.

در Computer Management ديگر از Local Users & Groups ديده نمي شود و همه به Active Directory منتقل شده است.
روي سيستم Admin يک فولدر به نام sysvol ايجاد مي شود که محل نگه داري فايل هاي تبادل DC است. (اطلاعاتي که قرار است تکرار يا Replicate شوند.)
براي از بين بردن DC دوباره بايد کامند dcpromo را اجرا کنيم و سيستم را از حالت DC Mode در بياوريم.

تغيير نام و عضويت در Domain

My Computer Properties > Computer Name > Change Name & Change Workgroup To Domain > Insert Domain Name

اگر Join نشد و پيغام داد به اين معني است که در Account Properties > TCP/IP properties فيلد DNS خالي است.

براي Join کردن کامپيوتر XP هم بايد سرويس DNS داشته باشيم. چون بايد از اين طريق DC را پيدا کرده و يک IP از آن بگير تا اجازه ورود را بدهد.

عضويت DC در Domain قابل تغيير نيست چون خود آن Domain را ايجاد کرده است.

Full Computer Name = Net Bios Name + Computer Name

Computer Account:
در Domain براي سيستم هايي که Join مي شوند ساخته مي شود.

نکته:
تنها افرادي مي توانند سيستمي را عضو Domain کنند که عضو گروه Domain Admin باشند. در زمان زدن OK بعد از وارد کردن نام Domain از ما Username و Password مي پرسد تا با DC چک کند.

روش کار:
Domain درخواست را به DNS مي فرستد که DC هاي عضو Domain را معرفي کند و بعد از معرفي به DC مورد نظر درخواست مي فرستد.

کارهايي که بايد انجام داد:

Network Connection Properties > TCP/IP Properties > Insert IP DNS >
Computer Name > Change Name & Change Workgroup To Domain > Alt + Ctrl + Del

در Log In Page اگر Domain را انتخاب کنيم يک Profile جديد ساخته مي شود.

Accountهايي که Join به Domain مي شوند اسم و IP آن ها به شکل خودکار در سرويس DNS ثبت مي شود.

زماني که يک Server را عضو Domain مي کنيم Member Server نام دارد ولي قبل از Join ، Stand Alone نام داشت.

در ادامه یه فیلم آموزشی قرار دادم که روش join کردن یه یوزر رو یه Domain آموزش میده در پست قبلی با ساختن domain و dns آشنا شدین برای اینکه این فیلم رو بهتر متوجه بaید باید فیلم پست قبلی رو هم دیده باشید!

پسورد فایل : ashiyane.org

join to domain.rar




آنچه در ادامه خواهید خواند...
Active Directory Console

 

[Nethunter]

ساختار ad

Active Directory Console

Built in

حاوي گروه هاي Default است که از Server به Active Directory منتقل شده اند.

Computers

بخش پيش فرض براي ساخت Account هاي کامپيوتر.

Domain Controller

حاوي Account کامپيوترهاي DC و يک سري گروه هاي سيستمي AD است و شکل فولدر آن فرق مي کنند. به اين بخش OU مي گوييم و آيکن OU ها به شکل خاصي است و به بقيه Container مي گوييم.

Container ها را نمي توان ايجاد و پاک کرد حتي نمي توان روي آن ها Group Policy تعريف کرد.

Foreign Security Principals
Users

برخي از Object هايي که مي توان ساخت را در اين قسمت نمايش مي دهد.

Domain Right Click > New

Organizational Unit OU: از طريق اين ابزار مي توان objectها را در AD مديريت و پياده سازي کرد. به طور مثال براي بخش IT يک OU ساخته و افراد مورد نظر را براي دسته بندي در اين قسمت قرار مي دهيم.

Object: به هر آنچه که بتوان در AD تعريف و نگه داري کرد مي گويند. (Domain، OU،Users ، Printers، Share Folder و....).

مزيت استفاده از OU

OUها دسته بندي هاي منطقي هستند:

1.Management Simplicity سهولت مديريت
2.Control Delegation وکالت دادن کنترل
3.Group Policy تخصيص ابزار هاي خاص به گروه ها

براي مثال افراد گروه حسابداري Control Panel را نبينند.

ساخت OU

Domain Right Click > New > Organizational Unit

انتقال objectها:

Object Right Click > 1. Move 2. Cut 3. Drag & Drop 4. With command

دو کامپيوتر هم نام نمي توانند در يک Domain ، Join شوند.

کامند Adminpak.msi

وقتي Console AD user & computer را نداريم آن را از طريق mmc ، add مي کنيم.

يا مي توان کامند Adminpack.msi را اجرا کرد که محل آن در فولدر system32 است.

اين کامند Consoleهاي مديريتي را نصب مي کند و در زمان نصب هيچ Console نبايد باز باشد چون نصب نمي شود.

از CD Source Server و يا از داخل فولدر System32 فايل Setup آن را مي توان اجرا کرد.

ترجيحاً در Domain يک Username و Password براي خودمان بسازيم و از Account اصلي Server استفاده نکنيم.

یه فیلم کامل که شما رو با محیط AD و با برخی امکانات دیگه مثل ساخت User و OU و برخی نکات دیگه آشنا میکنه.

پسورد فایل : ashiyane.org
AD-Basic.rar

آنچه در ادامه خواهید خواند...
Profile

 

[Nethunter]

Profile Tab

Profile Types

Local
Roaming
Mandatory

Roaming:
در اين قسمت مي توان مسير ذخيره شدن Profile را تعيين کرد. زماني که user اولين بار Log In مي کند OS يک Profile به صورت local مي سازد در زمان log off يک کپي از profile روي شبکه مي گذارد.
اگر حجم profile ها زياد باشد روش Roaming منطقي نيست . (راه حل کلاس Active)

راه هاي پياده سازي Roaming

Configuration

Create &Share a Folder On a Server

فولدر حتماً بايد روي NTFS باشد و server هم مي تواند خود DC باشد. ترجيحاً DC نباشد و يک Server ديگر را در نظر بگيريم.

Set Account Property

Profile Path

در Profile Path بايد آدرس کامل فولدر Share شده را بدهيم . ترجيحاً IP مي دهيم. اگر بخواهيم اسم را ندهيم مي توانيم %username% در را بزنيم تا به طور خودکار تبديل به نام User بشود: \\192.168.100.100 \ Profile \ %Username% براي ديدن profile ساخته شده بايد يک بار Log off و Log in شود.

Log on script

برنامه هايي که مي خواهيم در زماني که User، Log in کرد اجرا شود براي مثال در زمان Log in، Firewall آن Off شود.

آنچه در ادامه خواهید خواند...
Active Directory Groups

 

[Nethunter]

Active Directory Groups

براي مديريت اکانت ها به شکل مشترک و اعمال يک سري کارها به طور مشترک بکار مي رود.

Local Groups

Built In
System Group

Domain Groups

Distribution Group
Security Group


1.روي اين گروه ها نمي توان Permission و Security اعمال کرد. مي توان Contactها و Userها را براي دسترسي Serverها دسته بندي کرد. مثلاً مي خواهيم Mail به تمامي اعضاي گروه بفرستيم.

2.مي توان Account اضافه کرد و Permission داد.

Group Scope Distribution & Security
A: Global
B: Domain Local
C: Universal

نکته مهم در استفاده از گروه ها:

1. هر گروه از کجا عضو مي گيرد ،
2. هر گروهي به کجا Permission مي دهد.

A: گروه هايي هستند که فقط از Domain خودشان عضو مي گيرند و به همه جا Permission مي دهد.
B: عکس Global است يعني از همه جا عضو مي گيرند و فقط به Domain خودشان Permission مي دهند.
C: از همه جا عضو مي گيرند و به همه جا Permission مي دهند.

گروه ها را بايد طوري تعريف کنيم که کمترين حجم کاري را داشته باشند.

قانون AGDLP:

قانون اول: نحوه ي کار در Active Directory تحت قانون AGDLP است. يعني Account را عضو Global و Global را عضو Domain Local کرده و به Domain Local ، Permission بدهيد.

قانون دوم: گروه هاي Global را جايي مي سازيم که Account داريم و Local را جايي که Resource داريم مي سازيم.
فقط يک جا مجاز هستيم که به Account، Permission دهيم، زماني که مي خواهيم آن را Deny کنيم.

گروه Universal تا جايي که ممکن است استفاده نشود. چون بين Domainها کار مي کند و بار اضافي روي Active Directory مي گذارد.

زماني که Groupها زياد و دسترسي به Domainهاي زيادي است بهترين انتخاب Universal است. اما user مستقيم عضو نمي شوند.

همواره User بايد عضو گروه Global باشد و بنا به نياز عضو گروه هاي Universal و يا Domain Local بشود.
Universalگروه هايي هستند که از2000 Active Directory به Domain اضافه شده اند.

آنچه در ادامه خواهید خواند...
Group Membership(قانون عضويت گروه ها)

 

[Nethunter]

Group Membership(قانون عضويت گروهها)

زماني که گروه A عضو B مي شود اعضاي A را B بايد قبول کند و Permission گروهB را A بايد قبول کند.

عضويت گروه ها را در اصطلاح Group Nesting مي گويند.

در حالت Default، گروه ها Security و Global هستند و Universal غيرفعال است.

Server context menu > New > Group > Group name

در نام گروه ها نبايد از Space استفاده شود.

چرا بعضي از Optionها در AD غير فعال است؟ در AD2003 گزينه اي به نام Domain Functional Level (DFL) وجود دارد. DFL را مي توان در DC انجام دهيم ولي يک طرفه است به اين معني که ديگر قابل برگشت نيست. (در قسمت Help توضيح کامل در مورد DFL وجود دارد)

فقط در DFL2003 مي توان اسم OU را عوض کرد.

سطح کاري AD2003 چهار Level دارد:

Windows 2000 Mixed
Windows 2000 Native
Windows 2003 Server
Windows 2003 Interim

سطح کاري Domain را DC هاي آن مشخص مي کنند.

حالت Default آن Mixedاست. در اين Domain مي توانيم از OSهاي 2000 ويا NT استفاده کنيم. اگر در AD از ورژن هاي مختلف استفاده نکنيم سطح کاري آن پايين مي آيد و اگر چند DC مختلف داشته باشيم منطق مي گويد از زبان DC قديمي تر با آن صحبت کنيم تا بقيه DCها هم متوجه شوند. براي مثال اگر يک NT بين DCهاي 2003 , 2000 کار کند زبان هم را مي فهمند ولي خيلي از Featureهاي آن فعال نيست.

اگر سطح کاري DC را Raise (ارتقا) دهيم بعضي از Feature ها Gray out مي شود. مثلا اگر Server2003 را Set کنيم AD، DCهاي قبل از آن را قبول نمي کند.

Windows 2003 Interim يک Level کامل نيست. (مياني است) براي زماني است که NT به 2003 ، Convert مي شود.

Domain Right Click > Raise Domain Functional Level

Group Properties

Mail Server

مي توان به کل اعضا در گروه E-mail فرستاد.

Managed by tab

مي توان تعيين کرد چه افرادي تحت نظر چه کساني کار کنند.

Manager can update membership list

مي توانيم به آن شخص Permission دهيم تا افراد آن گروه را Update کند.

General

در اين قسمت مي توانيم Convert را انجام دهيم.

Group Conversion

فقط در يک حالت مي توان يک Group را به يک Group ديگر Convert کرد، در صورتي که از Security بخواهيم به Distribution اين کار انجام شود.اعضاي B را A بايد قبول کند و Permission گروهA را B بايد قبول کند.

Run > dsa.mcs
Dsadd group cn=new group, ou=groups, ou=sales, dc=cs2003, dc=com –secgroup yes –scop u –samidnewgroup

Samid براي نامگذاري قبل از 2000 بکار مي رود.
Dsmod group cn=new group, ou=groups, ou=sales, dc=cs2003, dc=com –secgroup yes –scop g –samidnewgroup

Netdom Command

براي مديريت Computer Accountها بکار مي رود و مي توان با اين کامند يک کامپيوتر را Join به Domain کرد
اين کامند به تنهايي کارنمي کند بايد مراحل زير را انجام دهيم:

Windows 2003 Source > Support > Tools > Sub tools

بعد از نصب فايل مورد نظر اگر کامند را به تنهايي اجرا کنيم syntax آن را نمايش مي دهد.

Netdom verify teacher.cs2003.com/ domain:cs2003.com


dcdiag Command
اين کامند براي خطايابي بکار مي رود. يکسري تست پيشفرض را روي DC انجام داده و در قالب يک فايل نمايش مي دهد. زماني اين کامند را اجرا مي کنيم که مشکلات شبکه از DC باشد.

nltest Command
تمام کارهايي که مي توانستيم در سه کنسول اصلي AD انجام دهيم با استفاده از اين کامند هم مي توانيم انجام دهيم.

replmon Command
يک Interface گرافيکي با تمام Object هاي Domain نمايش مي دهد.اگر AD خودمان را Add کنيم محتويات DC را برايمان نمايش مي دهد

آنچه در ادامه خواهید خواند...
DFS Distributed File System

 

[Nethunter]

DFS (Distributed File System)

ساختار شاخه اي جهت مديريت فولدرهاي Share شده در شبکه هاي بزرگ است. از 2000 شروع در 2003 extend (توسعه) يافت و در 2008 حرفه اي شد. زماني که در يک Network تعداد زيادي Server داريم

و روي هرکدام تعداد زيادي فايل share شده است در ساختار DFS يک Server را انتخاب کرده و DFS را روي آن اعمال مي کنيم.

يک فولدر را Share مي کنيم .به اين فولدر DFSroot گفته مي شود. داخل آن شروع به ساختن DFSlink مي کنيم.

DFSlink: Shortcut براي فولدرهاي Share شده که ارجاع مي دهد به محل Share شده در کامپيوترهاي مختلف و به User اطلاع مي دهيم که محل همه داده هاي شبکه داخل DFSroot است. تمام سيستم ها
در اين سيستم در ارتباط هستند و اگر روي يک DFSlink کليک شود به سيستمي که فولدر اصلي در آن است Link داده مي شود و اگر محل فولدر Share تغيير پيدا کند، مي توانيم Link آن فايل را به محل جديد Update کنيم.

آدرس ها از طريق DFS به فرد دريافت کننده داده مي شود و مي گويد Data در يک سيستم ديگر است و در کامپيوتر مقصد آن لينک Cache مي شود.

در دو Mode پياده سازي مي شود:

1.Stand alone

هم در workgroup و هم Domain مي توان پياده سازي کرد و روي کامپيوترهاي مقصد ذخيره مي شود.

2.Domain

فقط در Domain مي توان پياده سازي کرد که AD در آن مديريت داشته باشد (در اصطلاح Join به Domain شده باشند) و DFSrootهاي اين mode در AD ذخيره مي شود و همينکه در run اسم \\DomainName را بزنيم ما را به DFSroot مي برد.

يکي از Optionهاي منحصر به فرد Domain اين است که اگر زماني فولدر جديد مثلاً Game ساختيم و به دليل وجود فولدر Game قبلي مراجعه User به آن کم است خود AD ، User هاي مراجعه کننده به فولدر Game را به دو گروه تقسيم مي کند و به هر دو فولدر Game (هم جديد هم قديم) مي فرستد. (Load Balance)
DFS Link Replica: پياده سازي مشابه و اعمال تغييرات در فولدرهاي يکسان مي باشد.

راه اندازي DFS:

Administrative Tools > DFS > Right Click > New Root > DFS Server Name > Root Name > Connect > DFS Link > Folder To Share

اگر در انتخاب نوع DFS، Domain غيرفعال بود: يا Join به Domain نشديم و يا Local ، Login کرده ايم.
اسمي که داخل Folder To Share مي نويسيم مهم نيست و مي تواند هر اسمي باشد.
در Root Name اگر همه ي Clientها 2000 به بعد باشند مي توان از Space استفاده کرد.

آنچه در ادامه خواهید خواند...
Auditing

 

[Nethunter]

Auditing

نحوهي تنظيم:
Group Policy(gpedit.msc) > Computer Configuration > Windows Setting> Security Setting> Local Policy > Audit policy
در Workgroup تمام اين تنظيمات بايد تک تک روي تمام کامپيوترها اعمال شود.
زماني که Domain است نحوه تنظيم Local Policy تفاوت دارد.همه در سطح Domain اعمال مي شود.
مثلاً براي تنظيم اينکه روي تمام کامپيوترهاي شبکه يک Policy فعال شود سراغ Active Directory ميرويم و در سطح Domain يا OU اين کار را انجام ميدهيم.

Domain | OU properties
Group Policy Tab
New

به تنظيمات Default کاري نداريم و در اين قسمت Policy جديد خودمان را تعريف ميکنيم.

Object Access : …, Folders ,Printers

بعد از تغيير Auditها روي هر Client بايد يک gpupdate /force انجام دهيم.

گزارشاتي که Audit تهيه ميکند همه در همان سيستمي که Event رخ داده ذخيره ميشود. براي ديدن Logها به Event Viewer ميرويم که نسبت به XP ، Optionهاي آن بيشتر است.

Backup
از طريق command: ntbackup که help آن را در يک پنجره جديد باز ميکند.
در Control Panel در Schedule يک Task از Backup که تنظيم کرديم.
Ntbackup Backup
Restore
1. نميتوان کرد.
2.همه سوييچها را لزوماً نبايد همزمان استفاده کرد.
3.بعضي از سوييچها را نميتوان با هم استفاده کرد.
4.بعضي از سوييچها: دارند و بعضي ندارند.

مراحل کار:
Data را انتخاب کرده و از منوي Job گزينهي Save Selection (که به درد Command هم ميخورد) انتخاب ميکنيم.
بعد از ساخت يک مجموعه از Selectionها از منوي Job  New Select که در قسمتLoad Selection ميتوان Selectionهاي قبلي را آورد.

بعد کامند و Help: اگر System State ميخواهيد.
SNAP on, off/ معادل Shadow Copy که از فايلهاي باز Backup نگيرد. On ميگيرد و با Off نميگيرد.
/T ، /G با /a ميتوان استفاده کرد ولي همزمان نبايد با /p استفاده کرد.
Ntbackup > backup systemstate /f g:\backup.bkf
براي اينکه همين عمليات تحت يک فايل انجام شود در يک فايل text کپي کرده و save ميکنيم و پسوند آن را به bat تغيير داده و وقتي اجرا ميکنيم شروع به گرفتن backup ميکند.

Ntbackup backup@g:\newselect.bks /f g:\backupdata.bkf /m normal /snapff
زماني که از سيستم BackUp ميگيريم ديگر نميتوانيم آن را Restore کنيم براي حل اين مشکل چکار کنيم؟

Catalog
ليست و فهرست تمام فايلهايي که به برنامه داديم را تهيه ميکند و يک کپي از کاتالوگ بر روي هارد قرار ميدهد. سرعت دسترسي به اين کاتالوگ سريعتر است. براي آوردن Catalog File بروي قسمت File راست کليک کرده و Catalog File را ميزنيم. Header فايل را ميخواند تا کاتالوگ آن را بياورد و آدرس فايلهاي Backup را ميآورد تا ما انتخاب کنيم وآنها را Restore ميکنيم.

Original Location همان جاي قبلي بر ميگرداند.
Alternate Location در محلي که ما تعيين ميکنيم برميگرداند.
Single Folder فقط فايلها را برميگرداند. (سابفولدرها و محتويات آنها را بر نميگرداند.)
در Restore دادهها را طبق محل خودشان Mount ميکند.

 

[Nethunter]

Internet Information Service IIS

يکي از مهمترين سرويس ها و يکي از پرکاربردترين پروتکل هاي لايه Application ، Http است.ساختن Data و فرم دهي آن ها و بسته بندي براي ارسال از کارهاي Http است.کاربرد آن براي انتقال صفحات Hypertext (ابرمتن) و نمايش در يک صفحه User Friendly است که براي نمايش آن نياز به يک Website داريم که از لحاظ فني به چند مرحله تقسيم شده است:

1.Create Web Site

Running Web Site.2

Web Site : مجموعه اي است از صفحات Http است که از طريق Linkها با هم ارتباط دارند.

1.ساخت Web: صفحات Web يک آدرس Homepage دارند که از طريق آن مي توان به تمام صغحات Web دسترسي پيدا کرد. ابزارهاي مختلفي براي ايجاد آن وجود دارد. هم نرم افزارهاي Third Party داريم هم برنامه هايي که قسمت هايي را توسط کد ايجاد مي کنيم. مانند Visual Studio و HTML و Java و ...

2.Run کردن يعني کل برنامه را روي يک Web Server بگذاريم که به سيستم IIS مجهز باشد.
کار IIS: Queryهايي را که از Clientها فرستاده مي شوند را Http مي گيرد و Process مي کند و به Server مي دهد و پاسخ Server هم به Client مي فرستد.

سوکت: ترکيب IP و Port را سوکت مي گوييم.

Port: يک شماره منحصربفرد در سرويس است که به آن Port Number مي گوييم. مثلاً Port Number Http هشتاد (80) است.

IIS در حالت Default به تقاضاي پورت 8080(Http) گوش مي دهد مگر اينکه آن را تغيير دهيم.
http:\\192.168.100.100 يک بسته ساخته مي شود و به پورت 80 فرستاده مي شود که سايت را به عنوان جواب برمي گرداند تا زماني که يک سايت باشد مشکلي نيست. زماني که تعداد سايت ها بيشتر شود مشکل ارجاع دستور پديد مي آيد.
براي حل اين مشکل دو روش داريم يا اضافه کردن IP و با اضافه کردن Port.

روش اول اضافه کردن IP:

Manager > 100.100
Finance > 100.200
Training > 100.201

به هر سايت يک IP مي دهيم ولي Port Number ثابت باقي مي ماند.

معايب و مزايا:
زماني که از اين روش استفاده مي کنيم دستمان در Security باز است. با توجه به تعداد زياد سايت ها اگر اين روش را اعمال کنيم تاکنون IP ها تمام شده بود. عيب ديگر اينکه بايد شماره هر IP را بدانيم که در تعداد بالا غير ممکن است.


روش دوم اضافه کردن Port:

Manager > 80
Finance > 81
Training > 82

براي آدرس دهي در پورت 80 چون Default است همان آدرس معمولي را ميزنيم اما در آدرس هاي Finance و Training بايد در انتهاي آدرس شماره Port رابزنيم. 100.100:81 يا 100.100:82

معايب و مزايا:
بايد تمام portها را حفظ کنيم.
بهترين روش براي Security (تغيير موارد پيش فرض) است. يکي از کارهاي Web Setting Security اين است که پورت سايت را تغيير دهيم ولي به شکل عمومي چه Lan و چه Wan اصلاً توصيه نمي شود.

روش سوم ساخت Host header:
يعني بتوانيم با يک IP و يک Port تعداد زيادي سايت راه بيندازيم. براي اين کار IIS به شماره IP و Port درخواست نبايد نگاه کند بلکه به مشخصه سوم يعني Host Header را بررسي مي کند. به هر کدام از سايت ها اسم بدهد و اسامي مشخص در اينترنت نمايان کند.

www.Manager.net
www.Finance.org
www.Training.com

و به هر کدام Host Header هم مي گوييم.
زماني که آدرس تايپ مي شود بسته ساخته و فرستاده مي شود و فرم تقاضاي مشاهده Webpage توسط Client پر مي شود و در لايه ي پايين تر (Transport) براي Port Number ثبت مي شود.

Hosting: نگهداري، Load کردن و ارسال Homepage براي User بکار مي رود.

Destination IP: براي تبديل اسم به IP از سرويس DNS استفاده مي کند.
همه queryها روي يک port مي آيند.
تعداد سايتي که مي شود مي توان راه انداخت به امکانات فيزيکي، هزينه ساپورت آن و ... بستگي دارد.
دو سايت امکان ندارد داراي يک Host Header باشند چون Unique است.

مراحل کار:

به اسم هر سايت يک فولدر ساخته وارد يکي از فولدرها شده يک Text مي سازيم و تغيير نام مي دهيم به homepage.html.
ابتدا بايد سرويس IIS را نصب کنيم وتمام تنظيمات آن را در حالت Default بگذاريم.
فقط در Web Edition اين سرويس به صورت خودکار نصب است.
IIS اولين بار از روي Window NT نصب شد.

براي نصب:

Run > Appwiz.cpl > Windows Component > Application server (highlight) > IIS (cheked) > Install

زماني که IIS نصب مي شود در Boot Partition يک فولدر Inetpub ساخته مي شود و در Administrative Tools يک کنسول IIS اضافه مي شود.


داخل کنسول:

با قسمت Web Site کار مي کنيم که زماني که روي آن برويم يک Web به صورت Default، Start شده و يک سايت سيستمي است که Componentهاي بعدي زير اين Website ساخته مي شوند. مي توان آن را Stop و يا Disable کرد تا روي Websiteهاي ديگر تاثيري نگذارد.
براي چک کردن IIS، در IE آدرس IP سايت را مي زنيم که يک صفحه Under Construction نمايان مي شود به اين منظور که IIS نصب شده است.
بعد از Stop کردن روي Web Site راست کليک کرده و New Website

New Website wizard

نام Description مثلاً Managers
IP و Port وب سايت را مشخص مي کنيم.
آدرس Home Page را مي دهيم.
Permission را که به آن مي خواهيم بدهيم (Read, Write , Browse. Run, Execute) که در حالت Default فقط Read است.
براي سايت هاي static (سايت هايي که از آن نمي توان هيچ اطلاعاتي را گرفت) فقط read کافي است.
اگر IP را بزنيم خطاي Forbidden مي دهد. براي اينکه سايت را ببينيم بايد اسم فايل را هم بزنيم. (Homepage.html)

براي درست کردن آن :

http://192.168.100.100/homepage.html > Forbidden (ممانعت شده، ممنوعه)
Web site properties > Document Tab > Add File

وقتي سايت هاي بعدي را با همين سوکت (IP+Port) مي سازيم به صورت خودکار Stop مي شود. راه حل اول: اينکه IP اضافه کرده و بعد IP سايت ها را عوض مي کنيم.
هر سايت يک Identification دارد که Web Server سايت را با آن مشخصه مي شناسد.
راه حل دوم : تغيير Port
راه حل سوم: ساخت Host Header:

Site properties > Advance > Add > Select > Host Header

يک سايت مي تواند بيشتر از يک Host Header داشته باشد.

DNS client: يعني در TCP/IP properties حداقل يک DNS IP،Set شده است.
به www.Training.com، Full DNS Name هم گفته مي شود. (Training.com«Domain Name» ، www «Host Name»)
Zone: به Data Base هر DNS گفته مي شود. هر Zone را با اسم آن مي شناسيم.


ساخت Zone:

A: Forward Lookup Zone > New Zone > primary > Zone name (Domain name)

B: Zone right click > New host > add IP , name host (www)

Zone Name را بايد همان Domain Name بزنيم و حروف Case Sensitive نيستند و بعد از اين تنظيمات سايت هاي ما را با تايپ نام هم باز مي کند.

IIS Console > Web site properties

در Properties زمان گرفتن Log (Unlimited File Size) يک فايل با حجم نامحدود مي گيرد.
محل ذخيره در System32 در Log File است.
محتويات log ها بستگي به انتخاب ما در Advance Tab در Properties دارد.

Performance Tab

زماني که تعداد سايت هايي که روي يک Server است زياد است در اينجا مي توانيم به سايت ها Bandwidth بدهيم. زماني که يک سايت نياز به فضاي بيشتر دارد يا هزينه بيشتري جهت سرويس دهي بيشتر مي گيريم در اينجا Bandwidth را افزايش مي دهيم.
زماني که فضا را بين سايت ها تقسيم مي کنيم معمولاً فضايي را که اختصاص مي دهيم بيشتر از فضايي است که به سايت بايد اختصاص داده شود. که در صورتي که سايتي نياز به فضاي بيشتر دارد و بقيه سايت ها از آن استفاده نمي کنند Bandwidth ، Idle نماند. (از کل 5MB)
Website Connection: عددي که مي زنيم تعداد Connectionها را معين مي کند.

Home Directory Tab

مسير Websiteها را مشخص مي کند.
فولدري که Share مي شود مي تواند روي کامپيوتر خودمان باشد.
فولدري که Share مي شود مي تواند روي کامپيوتر ديگري باشد.
روي يک URL ديگر باشد.
Redirect To : تعريف سايت ديگري مي کنيم که در صورتي که سايت در حال تغيير است به سايت ديگري ارجاع بخورد.

Http Header

محتويات اين tab به درد Cache Deviceها مي خورد و تعيين مي کند اطلاعات اين سايت تا چه مدت در Cache Serverها باقي بماند.

آنچه در ادامه خواهید خواند...
Security in IIS