خواه با رایانه ۱۰ سال پیش پدرتان یا یک سیستم کوانتومی کار کنید، نیاز به دانستن موارد پایه ای دارید که شما را در رفع مشکلات احتمالی یاری کند. در پائین به ده مورد اصلی آن پرداخته شده:
ابتدا این را امتحان کنید
می دانم که شاید کمی احمقانه به نظر برسد، اما پیش از انجام هر کاری رایانه را ری استارت کنید. متیو پتری از پشتیبانی فنی فالکون نورتوست می گوید که بسیاری از مشتریانش با این گام ساده مشکلاتشان برطرف می شود.
“به صورت مکرر برای آپدیت های سیستم عامل خود اقدام به چک کردن کنید. این مهم است چرا که فراموش کردن آن می تواند به معیوب کردن رایانه بینجامد”
هنگامی که آن را انجام دادید، از بروز بودن سیستم عامل و نرم افزار های درون آن اطمینان حاصل کنید. اگر شما یک مشکل جانبی دارید، آن را آن و آف و اگر باز هم نشد، جدا و سپس متصل کنید. در آخرین گام نیز آخرین درایو ها را دانلود و یک باز نصب انجام دهید.
رایانه من خیلی کند است
اولین گام برای رفع مشکل یک رایانه کند، تعیین منبع
دقیق مشکل است. تصاویری که تا همیشه پر می شوند و وب سایت هایی که چند سال
برای پر شدن زمان می برند، اشتباه رایانه شما نیست. مامور گروه گیک؛ درک
میستر ادعا می کند که بسیار از افراد کندی رایانه را از خود آن می دانند در
حالی که از خود دستگاه نشئت نمی گیرد و مربوط به کانکشن پهن باند می
باشد. برای اطمینان می توانید از Speedtest.net استفاده کنید.
اگر مشکل خود رایانه است و شما نیز فضای کافی در اختیار داشته باشید، سیستم
عامل برای فعالیت فضای مناسبی دارد در غیر اینصورت باید حجم زیادی از فضا
را پاکسازی کنید.
ابزار تنظیمات سیستم مایکروسافت راه بعدی برای از بین بردن سرعت پائین است. اپلیکیشن های بسیاری به صورت خودکار هنگامی که رایانه بوت می شود به همراه آن اجرا می شوند که موجب افزایش این پروسه شود که این در رایانه های کند و قدیمی تر افزایش می یابد. یک سبک بی آلایش از آیتم های اجرایی خودکار ایجاد کنید تا این مشکل رفع شود. این ابزار را با فشردن همزمان کلید های Windows + R باز کنید و “msconfig” را درون آن نوشته و اینتر بزنید.
ستون های سازنده و آیتم های شروع با بوت، بهترین را برای مشخص کردن این که غیرفعال کردن کدام یک از از بین برندگان عملکرد پتانسیلی ایمن تر است می باشد. از در هم ریختگی برنامه ها و سرویس هایی که شرکت مایکروسافت به عنوان سازنده، عنوان کرده دوری کنید. آیتم هایی مانند AdobeAAMUpdater،Google Update، Pando Media Booster، Spotify و Stream Client Bootstrapper همگی از نوع بی طرف هستند. علیرغم خطایی که در کنار به عنوان هشدار نمایش داده می شود، اگر از برنامه و سرویس خود آشنایی ندارد، آن را پاک نکنید.
“System Configuration Tool ویندوز به شما اجازه می دهد برنامه ها و سرویس هایی که به صورت خودکار با شروع سیستم عامل اجرا می شوند مدیریت و غیرفعال کنید.”
دانلود ها همچنان ادامه دارند…!
Speedtest.net بهترین یاور شما در هنگامی است که با مشکل ارتباط رو به
رو هستید. یک تست سرعت اجرا کنید و آن ها را دریابید. به صورت ایده آل آن
ها باید بیشتر از نیمی از آنچه پوشش دهنده سرویس شما تبلیغ کرده باشند و
پینگ زیر ۱۰۰ میلی ثانیه انجام شود.
اگر مشکلات همچنان پای بر جا بود، نگاه کنید که به صورت سهوی چیزی در حال آپلود یا دانلود نباشد. بسیاری از برنامه های دانلدو تورنت در بکگراند و در حالت مینیمایز اجرا می شوند و ما از دیدن آن ها در تسکبار ممتنع خواهیم بود.
سخت افزار شبکه خود را نیز چک کنید. آپدیت های کارت های شبکه معمولا چندین بار ویرایش نمی شوند، اما اگر سازنده آپدیتی غیر از چیزی که نصب دارید ارائه می کند، امتحان آن ضرری ندارد. ریست روتر و مودم می تواند در مقابل مشکلات اتصال موفقیت آمیز باشد. بسیاری از مودم ها دارای دکمه خاموش و ریست هستند اما از برق کشیدن ۱-۲ دقیقه ای هم چنین کاری انجام می دهد، آن را بیش از حد نگاه ندارید چرا که می تواند به بازگشت به تنظیمات کارخانه ای بینجامد.
همچنان با مشکل روبرو هستید؟ با پوشش دهنده سرویس اینترنت خود مشکل را در میان بگذارید. به عنوان یک راه پایانی ISP می تواند تنظیمات اصلی را به حالت قبل بازگرداند.
دستگاه من مداوم ریستارت می شود
عیب یابی سخت افزاری کار آسانی نیست. ابتدا شما باید مطمئن شوید که در مرحله پایانی آپدیت ویندوز نیستید، چرا که مداوم ریستارت می شود. سپس به آپدیت دیگر قطعات سخت افزار نگاه و آن ها را چک کنید.
“گاهی اوقات ویروس ها و گاهی ابزار تبلیغات و گاهی نیز دمای بیش از حد دلیل آن هستند.” مایستر گروه گیک
آیا رایانه تان نویز های عجیب از خودش ساطع می کند؟ اگر کمی خوش شانس باشید تنها کاری که باید انجام دهید تمیز کردن قطعات است. بسیاری از رایانه های مدرن هنگامی که قطعه و مؤلفه ای بیش از حد گرم می شود آن را خاموش می کنند. همچنین اگر از برنامه یا بازی هایی که بیش از حد رم و گرافیک اشغال می کنند استفاده می کنید، چیز خیلی عجیبی نیست!
تبلیغات پاپ آپ در دسکتاپ به نمایش در می آیند و می روند!
اگر از مروگر وب استفاده نمی کنید اما تبلیغات پاپ آپ در صفحه دسکتاپ
نشان داده می شود، شما یک برنامه تبلیغ کننده در سیستم نصب دارید – یک
برنامه که تبلیغات ناخواسته را به نمایش می گذارد. اگر چه تبلیغات
نیکوکارانه وجود دارد، اما در بیشتر مواقع آن ها جنبه تجاری دارند. راحت
شدن از دست آن ها کار آسانی نیست اما برنامه های بسیاری برای بهینه سازی و
سودمندی از تمامی چیز ها وجود دارند که می تواند PC Speed Up, PC Speed
Pro, PC Speedifier را برای مثال ذکر کرد که اکثر مواقع بعضی موفق و بعضی
ناموفق عمل خواهند کرد.
ایجاد یک اسکن کامل بوسیله آنتی ویروس های معتبر در گام اول
همه چیز را بهبود می بخشد. اگر برنامه، تبلیغات را نتوانست بیاید و پاک
کند، به Malwarebytes Anti-Malware Free که یک مزیت برای تمامی انواع
بدافزار هاست روی آورید. تنها کافی است مطمئن شوید که نرم افزار آنتی ویروس
پایه ای تان پیش از اجرای آن غیرفعال باشد. اجرا کردن چند تایی آنتی ویروس
ها با هم نیز گاها به مشکل می انجامد. شما تنها به یک نوع فعال نیاز
دارید، یک اسکنر آنتی ویروس Real-Time می تواند علاوه بر چکینگ خودکار در
مواقع لزوم و برنامه ای که به آن داده می شود، در اسکن های دستی هم مشکلی
ندارد.
جستجوی آنلاین برای نام محصول تبلیغ شده گاهی می تواند پاسخی ثمربخش از سوی
قربانی های دیگر باشد. اگر تمامی آن ها را امتحان کرده و هنوز بی پاسخ
ماندید، یک گزینه هسته ای می ماند: یک پاک و بازنصب مجدد تمامی نرم افزار
ها!
ممکن است خیلی به طول بینجامد اما نتیجه حاصله است که آن به برنامه حتما از
بین خواهد رفت. البته پشتیبان گیری از فایل های داده ای داخل برنامه ها را
هیچ گاه از یاد نبرید.
گوگل درست به نظر نمی رسد
سارقان مرورگر ها (hijackers) به طور قابل توجهی نوعی کثیف از بدافزار
ها هستند. این نوع نرم افزار ها به مرورگر وب شما آسیب زده و به طور
زیرکانه شما را از سرچ گوگل و دیگر سایت های مهم به صفحات فیک و تقلبی می
کشانند تا اطلاعاتتان را سرقت کنند یا به سیستم شما آسیب رسانند. اجرا کردن
یک آنتی ویروس سودمند Real-Time بهترین راه برای ایمن ماند است. اگر
مرورگر شما هم اکنون سرقت (هایجک) شده است، مرورگر را پاک کرده و از آنتی
ویروس برای عطف به بایت بایت این بدافزار برای از بین بردن این مخل داده ای
استفاده کنید.
WiFI من قطع می شود
ارتباطات متناوب وایرلس می تواند گیج کننده باشد. مشکل چیست؟ رایانه؟
روتر؟ ISP؟ پیش از تماس پوشش دهنده خدمات اینترنت چند مورد را چک کنید.
از این که رایانه در رنج روتر وایرلس است اطمینان حاصل کنید. سیگنال های
ضعیف به معنای ارتباطات ضعیف است. سپس، مطمئن شئید که کارت وایرلس رایانه
تان از آخرین نسخه درایور موجود استفاده می کند. در آخر نیز از
“Troubleshoot Problems” برای یافتن خودکار ایرادات استفاده کنید که معمولا
جواب خوبی می دهد.
همواره یک مشکل با گواهینامه امنیتی سایت وجود دارد
گاهی اوقات بزرگ ترین مشکلات راحت ترین راه حل ها را دارند. با توجه به
تکنیسین های پشتیبانی، بیشتر دلیل این نوع مشکل وابسته به یک ساعت سیستم
ناصحیح است.
گواهی امنیتی وب سایت با ساعت رایانه شما همگام می شود. رایانه های قدیمی
به طور ویژه ریسک یک باتری CMOS از بین رفته را همواره با خود دارا هستند –
ساعت باتری موجود در رایانه که ساعت را کنترل می کند و حتی اگر (بیشتر از)
یک سال هم رایانه خاموش بماند، آن دلیل تنظیم نبودن ساعت می باشد. بر روی
Clock موجود در تسکبار کلیک کرده و با استفاده از “Change date and time
setting” هر مشکلی که به آن مربوط می شود را حل کنید.
پرینتر من چاپ نمی کند
فرض را بر این می گیریم که درایور های پرینتر همگی به روز هستند، و از
نعمت جوهر و کاغذ به میزان لازم بهره می برید. چاپگر را خاموش و روشن کنید.
آن را از کامپیوتر یک بار جدا و سپس متصل کنید. بر صف پرینت (Print queue)
موجود در سیستم تری، واقع در سمت راست دابل کلیک کنید. صف پرینت به شما
وضعیت هر کار را به خوبی وضعیت عمومی پرینترتان نمایش می دهد.
سپس مطمئن شوید ”Use Printer Offline” تیک نخورده باشد. گاهی اوقات هنگامی
که پرینتر خاموش باشد، ویندوز آن را به حالت ”Work Offline” تغییر می دهد
که ممکن است در دفعه بعد نیز همچنان باقی بماند.
نمی توانم پیوست ها (attachments) رایانامه ام را باز کنم
اگر تا به حال با پیوست هایی که باز نمی شوند روبرو شده اید، شاید به
خاطر این بوده که نرم افزار مورد نیاز برای مشاهده فایل را دارا نبودید.
مظنون اصلی آن ها .PDF است که با دانلود یک بازکننده PDF رایگان نیز این
مشکل و هر مشکل دیگر با همین روش حل خواهد شد. اگر فایل به خاطر rename
کردن دارای پسوند نبود سعی کنید نام قبلی را به آن بدهید، سپس با جستجوی
نرم افزار باز کننده آن فرمت همه چیز به جای خود خواهد بود.
نرم افزار محبوب من بر روی رایانه جدید من کار نمی کند
قبل از تماس با پشتیبانی، مطمئن شوید که نسخه نرم افزار با سیستم عامل
شما همخوان باشد. نرم افزار های قدیمی تر ممکن است در Windows 8 کارایی
نداشته باشد. ضمن این که یک برنامه که برای سیستم عامل OSX مکینتاش اپل
طراحی شده چگونه در ویندوز اجرا شود؟! به طور معمول یک نرم افزار ۳۲ بیتی
ممکن است بر روی نسخه ۶۴ بیتی اجرا شود، اما لزوما در دیگر نسخه ها به صورت
حتمی بالا نخواهد آمد.
اگر این مشکلات در بازی های آنلاین دیده می شود، متهمان اصلی، نصب نبودن Java و Flash است. بیشتر مرورگر ها در چنین نقاطی اگر این نیاز را ببینند، نصب آن را به شما توصیه خواهند کرد.
چه زمانی به پشتیبانی رجوع کنیم؟
پتری از فالکون نورتوست پیشنهاد می کند که ”در هر مشکلی که نمی توانید
با آن کنار بیایید پشتیبانی را بخواهید. باید همواره از توانایی و دانش خود
در هر زمینه ای مطمئن بود. اگر مشکل را خیلی پیچیده دیدید بهتر است به یک
دوست آشنا تر یا یک خدمات پشتیبانی حرفه ای رجوع کنید. هر چه که باشد بهتر
از، از بین رفتن گارانتی / بدتر کردن مشکلات / آسیب رساندن به سیستم است… ”
Join To Domain
خب همانطور که می دونید داخل شبکه های دامینی تا زمانی که یک کامپیوتر را Join به دامین نکنیم، از روی اکتیو دایرکتوری نمی تونیم کنترلش کنیم.
قبل از انجام هر چیز،ابتدا تست می کنیم که ping دامین (سرور) رو داریم یا خیر. یعنی کلاینت ما داخل شبکه هست یا خیر؟ اگر اوکی بود، با هم مراحل زیر رو جلو می ریم.
اول: به کنترل پنل می رویم و در قسمت Network Connection (در ویندوز XP) یا Network & Sharing Center (در ویندوز 7 )بر روی کارت شبکه کلاینت کلیک راست می کنیم و در قسمت properties آن بر روی Internet Protocol Version 4 کلیک می کنیم تا انتخاب شود و سپس بر روی Properties کلیک می کنیم و DNS کلاینت را آدرس IP سرور قرار می دهیم.
مثلا فرض کنید IP سرور ما 192.168.2.1 هست که باید در قسمت Preferred DNS Server آن را وارد کنیم .
اما دلیل این کار چیست و اگر این کار انجام نشود Join به دامین صورت نمی گیرد؟
سرعت Loading و بالا آمدن کلاینت بسیار سریع می شود . و اگر این کار انجام نشود اتفاقی نمی افتد و فقط بر روی سرعت بالا آمدن کلاینت تاثیر گذار است.
دوم: بر روی My Computer کلاینت راست کلیک کرده و در قسمت Properties و سپس در قسمت Advanced system settings وارد تب Computer name می شویم .(البته در ویندوز XP بعد از انتخاب Properties مستقیما تب Computer name انتخاب می شود).
بر روی دکمه Change کلیک می کنیم.
سپس در پنجره جدید ظاهر شده، تنظیمات زیر را انجام می دهیم.
در قسمت Member of گزینه Domain را انتخاب می کنیم. (اگر ویندوز کلاینت این گزینه را نداشت قابلیت اتصال به دامین را ندارد.)
در کادر زیر آن نام دامین را هرچه در ویندوز سرور مشخص کرده ایم در اینجا وارد می کنیم. در ویندوز سرور موقع نصب اکتیو دایرکتوری ما نام دامین را hani.com گذاشته ایم. اینجا هم همان را وارد می کنیم.
حال OK می کنیم. در پنجره ای که نام دامین را وارد کردیم نیز بر روی OK کلیک می کنیم. حال اگر بعد از چند ثانیه کادر username/password را برای ما آورد مراحل را درست رفته ایم و همه چیز درست است و گرنه باید ببینیم اشکال کار ما از کجاست.
در پنجره Username/Password باید یوزرنیم و پسوردی که در کنسول Users & Computers ساختیم رو وارد کنیم.(جلسه بیست و سوم رو یادتونه؟)
بعد از وارد کردن آن باید پیغام Welcome to ظاهر شود. کار تمام است. حال از ما می خواهد که یکبار کامپیوتر خود را ریستارت کنیم تا تغییرات اعمال شود.دقت کنید بعد از ریستارت شدن اگر ساعت و تاریخ سیستم با ساعت و تاریخ سرور یکسان نباشد هنگام ورود Error می دهد و باید ابتدا یکسان شودو بعد میتوانیم یوزرنیم و پسورد را در هنگام ورود بزنیم و وارد شویم.
نکته!
هر کلاینت اجازه دارد با نام یوزر خودش ده کامپیوتر رو Join به دامین کند.
بحث Join To Domain کردن کلاینت ها تمام شد.
حال به یکسری از نکات باقی مانده از کنسول AD Users & Computers می پردازیم.
طریقه ایجاد و مدیریت یوزرها با Command داخل اکتیو دایرکتوری
دستورات مدیریتی اکتیو دایرکتوری با کامند که می توانیم در ویندوز سرور بکار ببریم عبارتند از :
dsadd: برای اضافه کردن یک شیء یا Object
dsmod: برای مودیفای یا ویرایش کردن یک Object
dsmove: برای انتقال یک Object
dsget: برای دیدن مشخصات یک Object
dsquery: برای سرچ کردن یک Object
باهم به صورت عملی می بینیم که چطور می توان یک یوزر را داخل اکتیو دایرکتوری ویندوز سرور از طریق کامند ایجاد کرد و آن را مدیریت کرد.
ابتدا CMD ویندوز سرور را باز می کنیم و برای ایجاد یک یوزر جدید داخل آن دستور زیر را می زنیم.
dsadd user cn=نام , cn=نام پوشه , dc=نام دامین , dc=پسوند -pwd پسورد یوزر
یک مثال عملی: میخواهیم در کنسول AD Users & Computers داخل پوشه Users یک یوزر با نام alireza با پسورد Mcitpclass12345 ایجاد کنیم. نام دامین ما هم alireza.com هست.
اگر بخواهیم از طریق telnet و از راه دور بر روی اکتیودایرکتوری یک یوزر بسازیم حتما باید یوزرنیم و پسورد ویندوز سرور را هم در پایان دستور بدهیم. مثلا در مثال قبل دستور باید به صورت زیر نوشته شود(فرض بفرمایید یوزر نیم و پسورد ویندوز سرور برابر administrator و Mcitp2013 هست )
dsadd user cn=alireza , cn=users , dc=alireza , dc=com –psw=Mcitpclass12345
–u administrator -p Mcitp2013
ان شاء الله نحوه ساختن گروه و مدیریت گروه در کنسول AD Users & Computers را در جلسه بعد پی می گیریم.
اگر خواستید این جلسه را کار عملی کنید، نیاز دارید که ویندوز سرور 2008 رو با vmware بالا بیارید، و ویندوز خودتون رو با vmware شبکه کنید و باقی مراحل رو طبق دستوراتی که در وبلاگ گفته شده ادامه دهید. من فایل آماده شده ویندوز سرور 2008 رو دارم ولی چون حجم اون بسیار زیاد هست (حدود یک گیگ و نیم) امکان آپلود برام میسر نیست. از این بابت عذرخواهی می کنم. اما شما می تونید فایل iso ویندوز سرور 2008 رو گیر بیارید و اون رو داخل VMware Workstation نصب کنید.
بهتر هست که حتما این کار رو بکنید چون از این به بعد برای کار عملی کردن داخل خانه خیلی نیاز می شود. امیدوارم از این جلسه استفاده کرده باشید. اگر سوالی داشتید در خدمتم. موفق باشید.
موضوعات مرتبط: آموزش شیکه Mcitp
خب. با هم ادامه مباحث قبلی رو پیش می گیریم.
TGT
TGT مخفف Ticket Grant Ticket هست.
در شبکه های دامینی همونطور که قبلا گفته شده ، پروتکلی که عمل احراز هویت رو انجام میده پروتکل Kerberos هست. وظیفه Kerberos ایجاد و کنترل TGT هست.
TGT به نوعی مثل ویزا هست و Kerberos نهاد صادر کننده ویزا هست. اگر شما ویزای تحصیلی از آمریکا گرفته باشید اجازه ندارید که در آنجا کار کنید و یا اگر ویزای تفریحی و توریستی داشته باشید باید بعد از تمام شدن یکماه به کشور خود بازگردید.TGT نیز به این صورت است. فرض کنید شما با یک یوزر نیم و پسوردی از طریق یکی از کلاینت ها وارد شبکه دامینی شدید. و حال می خواهید بر روی یکی از کلاینت ها دسترسی داشته باشید. اول بلیط شما یا TGT بررسی می شود که آیا شما اجازه دارید که این کار را انجام دهید یا خیر.اگر اجازه داشتید می توانید دسترسی داشته باشید.
Group Policy
داخل شبکه دامینی برای اعمال Policy به شبکه از Group Policy استفاده می کنند. داخل شبکه های دامینی دو نوع Group Policy وجود دارد :
1 – Local Group Policy
2 - Default Domain Policy
Local Group Policy
اولی یا همون Local Group Policy داخل ویندوز های معمولی هم وجود دارد که دستور دسترسی به آن gpedit.msc (در Run ویندوز تایپ می کنیم) هست. هر تغییری که در Local Group Policy داده شود فقط و فقط به همون کامپیوتر اعمال می شود و بر روی کلاینت های دیگر تاثیری ندارد.
Default Domain Policy
اما دومی یعنی Default Domain Policy داخل ویندوزهای معمولی وجود ندارد و برای دسترسی به آن باید داخل ویندوز سرور دستور gpme.msc را در Run تایپ کنیم. هر تغییری که در اینجا اعمال شود به کل شبکه دامینی اعمال می شود. بعنوان مثال اگر بخواهیم قسمتی را برای همه ببندیم ، باید در اینجا اعمال کنیم.
نکته
دیگری که باید دقت کنید این است که پشت کامپیوتری که دامین کنترلر (DC) هست ما
Group Policy به نام Local نداریم و حتما باید از Default Domain Policy یا همون
gpme.msc استفاده کنیم.
مسیر دسترسی به Default Domain Policy غیر از دستور gpme.msc
از قسمت Administrative Tools وارد Group Policy Management می شویم.
پس از باز شدن پنجره مذکور، زیر دامین مورد نظر ، بر روی Default Domain Policy کلیک راست می کنیم و گزینه Edit رو انتخاب می کنیم.
نکته!
کنسول Group Policy Management به صورت پیش فرض داخل ویندوز سرور 2003 وجود ندارد و برای اضافه کردن آن باید فایلی به نام gpmc.msi دانلود شود و نصب شود تا به ویندوز سرور اضافه شود.
حال می خواهیم زمان Ticket هایی که هر یوزر می گیرد تا وارد شبکه دامینی شود را، از طریق Group Policy دستکاری کنیم.
جهت این کار ابتدا در قسمت Run ویندوز سرور gpme.msc را تایپ کرده و از پنجره ظاهر شده به مسیر زیر می رویم.
Computer Configuration>Policies>Windows Settings>Security Settings>Account Policies> Kerberos Policy
و از پنجره سمت راست بر روی Maximum lifetime for user ticket کلیک می کنیم.
همانطور که در شکل هم می بینید زمان پیش فرض آن 10 ساعت می باشد که با Double Click بر روی آن می توانیم مقدار آن را تغییر دهیم.
همانطور که توضیح دادم Maximum lifetime for user ticket مدت زمان Session هر یوزر بود ، یعنی یک یوزر تا 10 ساعت می تواند بسته به نوع بلیتش از منابع و کلاینت های شبکه استفاده کند بعد از ده ساعت ، اگر بخواهد استفاده کند به ازاء هر بار درخواست از او Username و پسورد می پرسد.
گزینه زیری آن یعنی Maximum lifetime for user ticket renewal مدت زمانی اعتبار تیکت هر کاربر هست. یعنی بعد از یک هفته اگر کلاینت به صورت مداوم کامپیوترش روشن باشد ، و بخواهد از منابع شبکه استفاده کند، دیگه با دادن یوزر نیم و پسورد هم قبول نمی کند و باید حتما یکبار Log off کند تا مجددا به آن تیکت تخصیص داده شود.
گزینه بعدی که در شکل مشخص استmaximum tolerance for computer clock synchronization هست که همانطور که از متن آن مشخص است، مقدار زمانی است که کلاینت ها اجازه دارند ساعتشان با ساعت سرور تفاوت داشته باشد. یعنی اگر این اختلاف بیشتر از 5 دقیقه باشد به کلاینت Error می دهد و به آن اجازه نمی دهد به شبکه دامینی متصل شود.
که ما در اینجا می توانیم آن را تغییر دهیم.
که البته سروری که به صورت اختصاصی این کار را انجام میدهد NTP Server هست.
نحوه فعال سازی NTP Server داخل ویندوز سرور 2008 :
از قسمت Domain Policy Default وارد مسیر زیر می شویم:
Computer Configuration>Policies>AdministrativeTemplates>System>WindowsTime Services > Time Providers
و از پنجره سمت راست بر روی Configure Windows NTP Client کلیک می کنیم و سپس مطابق شکل بر روی Enable کلیک می کنیم تا سرور NTP فعال شود.
چون قصدم این است که جلسه بعد Join to domain رو به طور مفصل توضیح دهم ،این جلسه کمی کوتاه شد.
برای دوستانی که جلسات وبلاگ رو همزمان با کپچرها دنبال می کنند ، من الان تا کپچر دهم دقیقه 58 درس داده ام. امیدوارم از لحظه لحظه زندگی تون نهایت استفاده رو ببرید و همیشه خودآگاه زندگی کنید. موفق باشید.
موضوعات مرتبط: آموزش شیکه Mcitp
خب در جلسه قبل مراحل نصب اکتیو دایرکتوری رو باهم بررسی کردیم.اما از کجا بفهمیم اکتیودایرکتوری درست نصب شده است؟
سه راه وجود دارد برای اینکه بفهمیم اکتیودایرکتوری درست نصب شده است یا خیر:
اول: cmd را در ویندوز سرور باز می کنیم و دستور Net share را می زنیم (دستوری است برای دیدن پوشه های share شده داخل ویندوز). دو پوشه NETLOGON و SYSVOL باید share شده باشد و در آنجا مشاهده شود.
دوم: وارد کنسول DNS می شویم( از طریق منوی Start گزینه Administrative tools و سپس انتخاب کنسول DNS). در پنجره ظاهر شده داخل پوشه Forward Loockup zones دو پوشه باید ایجاد شده باشد. که در تصویر مشاهده می کنید.
پوشه اول _msdcs.hani.comبرای ارتباط اکتیو دایرکتوری با شعبه های دیگر هست.
پوشه ای که به نام دامین ما هست (hani.com) برای ارتباط کلاینت های داخل این دامین با خود دامین هست و داخل این پوشه ،باید دقیقا 5 پوشه وجود داشته باشد.
سوم: از طریق منوی استارت به قسمت Administrative Tools می رویم و بر روی کنسول
Active Directory
Users and Computers کلیک می کنیم.از پنجره ظاهر شده به
منوی View می رویم و تیک گزینه Advanced features را می
زنیم. حال زیر پوشه ای با نام دامین حداقل 9 پوشه باید وجود داشته باشد.اگر کمتر
باشد اکتیو ما درست نصب نشده است.
از راه های تست اکتیو دایرکتوری که بگذریم. وقتی اکتیو دایرکتوری نصب می شود 4 کنسول به سرور ما اضافه می شود که عبارتند از:
کنسول اول: Active Directory Users and Computers : از این کنسول برای مدیریت محلی دامین استفاده خواهیم کرد.
کنسول دوم: Active Directory Sites and Services : برای کنترل ترافیک بین دامین ها یا شعبه ها مورد استفاده قرار می گیرد.
کنسول سوم: Active Directory Domains and Trusts: این کنسول به ما اجازه می دهد بین دو Forest متفاوت ارتباط برقرار کنیم.
کنسول چهارم: Active Directory Services Interface (ADSI Editor) : این کنسول همان کنسول اول هست با این تفاوت که این کنسول کاملا به زبان اکتیو دایرکتوری هست. یک جورایی برای کسانی هست که با زبان اکتیو مشکل دارند و می خواهند آن را یاد بگیرند.
خب . از اینجا به بعد چهار کنسول بالا را با هم بررسی می کنیم.
اول: مدیریت لوکال شبکه های دامینی - Active Directory Users and Computers
ما برای اینکه بتوانیم شبکه های دامینی رو مدیریت کنیم باید داخل این کنسول(ADUC) شیء یا Object بسازیم. Object ها چیزهایی هستند که برای مدیریت شبکه های دامینی از آنها استفاده می کنیم. 4 شیء که ازاونها استفاده می کنیم عبارتند از: User و Group و OU و Computer.
همونطور که میدونیم اولین اقدام برای ایجاد شبکه های دامینی این هست که به تعداد کارمندانی که داخل اون شبکه هستند باید User بسازیم.
برای ایجاد User در شبکه دامینی باید وارد کنسول (ADUC) بشویم در اینجا فرقی نمی کند که User را کجا ایجاد کنیم ولی بهتر هست که در پوشه Users ایجاد شود و برای ایجاد آن فقط کافی است کلیک راست کنیم و گزینه New را انتخاب کرده و سپس گزینه User را انتخاب کنیم.
با پنجره زیر مواجه می شویم:
پرکردن این پنجره نیازی به توضیح ندارد. فقط تنها نکته ای که باید به آن دقت کرد این هست که در قسمت User Logon name بهتر است نام کاربری که پشت آن سیستم می نشیند وارد شود بجای User1 و User2 ،تا وقتی تعداد User های شبکه زیاد شد به مشکل برنخوریم.
پس از پرکردن این فرم بر روی Next کلیک میکنیم و با صفحه وارد کردن پسورد مواجه می شویم.
نکته ای که در وارد کردن پسورد هست این است که باید حتما پسورد شما Complexity باشد یعنی ترکیبی از اعداد و حروف کوچک و حروف بزرگ انگلیسی باشد. مثل Ali123.
4 گزینه زیر آن به ترتیب عبارتند از :
اولی اگر تیک دار شود،کاربر بعد از ورود به شبکه باید پسورد خودش رو عوض کند.
دومی اگر تیک دار شود کاربر نمی تواند پسورد خودش را عوض کند.
سومی اگر تیک دار شود ، پسورد کاربر که بعد از 42 روز منقضی می شود، هیچ وقت منقضی نمی شود و هیچ وقت نیازی نیست پسوردش را عوض کند.
چهارمی اگر تیک دار شود اکانت کاربر Disable می شود و نمی تواند وارد آن شود.
تنها تیکی که نیاز هست در اینجا زده شود ، گزینه سوم هست چون ما می خواهیم بعد از یک هفته پسورد ما Expire شود نه 42 روز، چون امنیت در شبکه های ایران پایین است و نیاز هست هر هفته پسورد عوض شود.
بر روی Next کلیک می کنیم و درپایان بر روی Finish کلیک می کنیم تا یوزر ما ساخته شود.
همزمان با ساختن یک اکانت User سه اکانت زیر داخل شبکه دامینی اتوماتیک ساخته می شوند:
1.User Logon Name : نامی که طرف مقابل با آن می تواند وارد شبکه دامینی شود. مثل A_Majoor
2. User Principal Name که در اصطلاح شبکه UPN گفته می شود. مثل A_Mahjoor@hani.com . همانطور که می بینید به فرم ایمیل نوشته شده است. در شبکه های دامینی همزمان با ساختن یک یوزر اکانت ایمیل هم برایش ساخته می شود. به UPN اصطلاحا اکانت ایمیلی گفته می شود.
3. User Logon Name(pre windows 2000) : در اینجا می شود: Hani\A_Mahjoor. در شبکه های دامینی اگر بخواهیم خودمان را معرفی کنیم ابتدا باید نام دامین را ذکر کنیم و سپس بک اسلش ("\") و سپس نام یوزر را ذکر کنیم.
نکته بعدی که می خواهم در اینجا براتون توضیح دهم قسمت Properties یوزر ساخته شده است.
برای دسترسی به آن بر روی User مورد
نظر کلیک راست کرده و گزینه Properties را انتخاب
می کنیم.همانطور که می بینید 13 تب در این پنجره مشاهده می شود که قابل تنظیم است.
که من چند تب از مهمترین هاش رو خدمتتون توضیح میدهم.
تب Account
دکمه Logon Hours… که برای یوزرها مشخص می کنیم چه ساعاتی اجازه داشته باشند وارد شبکه بشوند.
دکمه Logon To… که با آن یوزرها رو مجبور می کنیم فقط از پشت کامپیوتر خودشان وارد شبکه شوند.
در این تب گزینه ای به نام Unlock Account وجود دارد ، کاربرد آن به این صورت است که کاربری که داخل شبکه دامینی سه بار پسوردش را اشتباه بزند ، اکانتش به مدت نیم ساعت قفل می شود ما از این جا اکانتش را از حالت قفل در می آوریم .
در پایین تب Account، قسمتی به نام Account Expires وجود دارد که از طریق آن میتوانیم مشخص کنیم که این اکانتی که ما ساختیم کی Expire شود و مهلت آن تمام شود.به قول معروف کی منقضی شود و کاربر دیگه نتواند از طریق آن وارد شبکه دامینی شود.
تب Dial-in
از طریق این تب و قسمت Network Access Permission میتونیم مشخص کنیم که کاربرایی که بیرون از شبکه هستند بتوانند به
شبکه ما وصل بشوند یا خیر.که بهتر هست در اینجا گزینه
Control Access Through NPS Network
Policyانتخاب شود
تا ما بر روی کامپیوتر های بیرون از شبکه هم مدیریت داشته باشیم تا خدای ناکرده هک
نشویم.
تب General و تب Address و تب Telephone
سعی شود برای هر یوزری که ساخته می شود حتما این اطلاعات شخصی پر شود.
نکته بعدی که باید خدمتتون عرض کنم این هست که اگر بخواهیم اطلاعاتی را داخل یوزرها جستجو کنیم می توانیم از قسمت Saved Queries کلیک راست کرده و بر روی New کلیک کنیم و سپس بر روی Query کلیک کنیم.
از طریق پنجره ای که باز می شود ما می توانیم بین User ها Query بگیریم و اطلاعاتی را که می خواهیم در آنها جستجو کنیم.
خب تا اینجای کار را داشته باشید ان شاء الله ادامه آن را در جلسه بعد خواهم گفت. موفق باشید.
موضوعات مرتبط: آموزش شیکه Mcitp
خب با هم ادامه مباحث قبل رو پیش می گیریم.
Server Core چیست؟
یکی از محصول های مایکروسافت است که یک محیط Command Line و بدون گرافیک رو در اختیار ما می گذارد و کلا در این محیط همه کارها با دستور انجام می شود.
Server Core فوق العاده سبک است و هیچ چیزی اضافه در آن وجود ندارد.حجم آن بعد از نصب حدود یک و نیم گیگ هست.
مزایای اصلی Server Core از زبان مایکروسافت:
کاهش نگهداری - کاهش حملات به سرور – کاهش مدیریت – کاهش فضای مورد نیاز هارد دیسک – کم شدن باگ های نرم افزاری
در اینجا به طور خلاصه در تصویر تفاوت های Server Core و Full Installation رو می بینید:
چطور آن را نصب کنیم؟
موقع نصب ویندوز سرور 2008 از ما می پرسد Core Installation یا Full Installation که در همانجا می تونیم Core Installation رو انتخاب کنیم و نصب کنیم.
و اما حداقل مشخصات سخت افزاری سیستم برای نصب ویندوز سرور 2008:
این مشخصات رو به طور خلاصه می تونید در تصویر زیر ببینید:
به طور کلی 2G Hz نیاز به CPU هست و 2G رم نیاز هست و 10 گیگا بایت هم هارد مورد نیاز هست.
نصب Active Directory داخل Windows Server 2008:
برای نصب Active Directory یکسری پیشنیازها رو باید رعایت کنیم.
اولین پیش نیاز: کامپیوتر دارای کارت شبکه باشد و بر روی آن به صورت دستی آی پی گذاشته باشیم و اتوماتیک آی پی نگرفته باشد.اگر کارت شبکه نداریم و میخواهیم AD نصب کنیم ، کارت شبکه LoopBack نصب کنیم.
نکته: کارت شبکه LoopBack چطور نصب می شود؟
وارد Control Panel میشیم و بر روی قسمت Add Hardware کلیک می کنیم و سپس Next و سپس در پنجره بعدی گزینه Install the hardware that i manually select from a list (Advanced) رو انتخاب می کنیم. و سپس Next می زنیم.و در آنجا بر روی Network Adapter کلیک می کنیم و مجددا بر روی Next کلیک می کنیم. در صفحه بعد از قسمت سمت چپی گزینه Microsoft و در قسمت سمت راستی گزینه LoopBack Adapter رو کلیک می کنیم و در پایان Next می زنیم تا نصب شود.
دومین پیش نیاز: روی کارت شبکه موقع نصب AD نباید هیچ DNS ی تنظیم شده باشد.ما باید بگذاریم خود Active Directory این DNS رو نصب کند.
سومین پیش نیاز: روی سروری که می خواهیم Active Directory رو نصب کنیم نباید قبل از آن سرویسی به نام DNS نصب شده باشد. اگر DNS نصب شده باشد باید اون رو Unistall کنیم واین آنیستال کردن به تنهایی کافی نیست .باید داخل درایور ویندوز قسمت System32 پوشه DNS رو به صورت دستی پاک کنیم تا خود AD به صورت کامل این سرویس DNS رو نصب کند.
و اما برای نصب اکتیو دایرکتوری دو راه وجود دارد:
اول :در ویندوز سرور 2008 از منوی Start وارد قسمت Server Manager شویم و از قسمت Roles گزینه Add Roles رو از پنجره سمت چپ بزنیم.
سپس در پنجره بعدی گزینه Active Directory Domain Services را انتخاب کنیم و مراحل را برویم .
دوم: از طریق Run ویندوز کلمه dcpromo را تایپ کرده و اینتر بزنیم.که ما دومی را توضیح می دهیم.
اگر در Run ویندوز سرور 2008 کلمه dcpromo را تایپ کنیم ،با پنجره زیر روبرو می شویم .
قبل از اینکه در اینجا بر روی Next کلیک کنیم لازم است دو نکته رو خدمتتون عرض کنم. ما اکتیو دایرکتوری را در دو Mode میتوانیم نصب کنیم .Advanced Mode و Wizard Mode . اگر در اینجا تیک Use Advanced Mode installation را بزنیم اکتیو در mode Advance نصب می شود.تا زمانی که کورس پنجم رو نخوندیم در حالت Advanced اکتیو رو نصب نمی کنیم.
Next رو میزنیم (تیک use advanced را نمی زنیم).با صفحه OS Compatibility روبرو می شویم:
که در اینجا به ما می گوید که چه سیستم عامل هایی با اکتیودایرکتوری 2008 سازگارند.تمامی ویندوزهای مایکروسافتی با اکتیو دایرکتوری 2008 سازگارند و همینطور سیستم عامل های لینوکسی که پروتکل SMB رو ساپورت می کنند نیز با اکتیودایرکتوری سازگار هستند.Next میزنیم.
این پنجره نیاز به کمی توضیح دارد.
نکته اول:
در نظر بگیرید که از ما خواسته می شود که یکجا را شبکه کنیم و مدیریت کنیم. ما میدونیم که شبکه دو نوع بیشتر نیست workgroup و Domain که بهترین آن شبکه دامینی است.
ما در آنجا یک سرور میگذاریم و شبکه رو دامین می کنیم. همه دامین ها باید نام داشته باشند و اسم آنها هم اجباری است که به فرم نام.نام باشد به عنوان مثال Ali.com یا هر هر اسم دو بخشی دیگر sina.sina .
به اولین دامینی که ایجاد می شود در اصطلاح شبکه Root Domain می گویند. فرض بگیرید یکسال می گذرد و شرکت مورد نظر تصمیم میگیرید یک شعبه دیگر را هم به شبکه اش اضافه کند. ما آن شعبه را هم دامین می کنیم و زیر مجموعه شعبه اصلی می کنیم.به این شعبه که زیر مجموعه شعبه اصلی هست در اصطلاح شبکه Child Domain یا Sub Domain می گویند.
Child Domain ها هم باید برای خودشون اسم داشته باشند. هر اسمی که می گذاریم
باید نام Parent یا در اصطلاح پدر خودشون رو هم داشته باشند. بعنوان مثال می
توانیم نامش را B.Ali.com
بگذاریم.
حال در نظر بگیرید یک شعبه دیگر در ولیعصر اضافه می شود و نام آن را V.ali.com و یک شعبه دیگر در چهار راه ولیعصر زده می شود و زیر مجموعه ولیعصر هست که نام آن C.V.ali.com می شود.
حال باز در نظر بگیرید شرکت در نظر می گیرد یک شعبه در یک شهر دیگر مثلا تبریز بزند . به شعبه ای که از لحاظ جغرافیایی با شعبه اصلی فاصله دارد در اصطلاح Domain Tree می گویند.
نام تمامی Domain Tree ها می تواند کاملا مستقل باشد. بعنوان مثال میتونیم اسم اون شعبه تبریز رو hani.com بگذاریم. فرض بگیرید داخل تبریز هم یک شعبه دیگر زده می شود و نام آن را V.hani.com می گذاریم. تمامی این حرف ها را زدیم که به این تعریف برسیم :به کل مجموعه شعبه های ما در اصطلاح شبکه Forest می گویند.
معمولا Forest ها نامشان را از روی Root Domain برمیدارند. بهمین خاطر سعی شود اسم اولین دامین خوب انتخاب شود.
تمامی حرف های بالا در یک تصویر:
نکته دوم:
در دنیای واقعی برای ایجاد
شبکه های دامین نیاز به یک سرور فیزیکی واقعی داریم که روی آن
اکتیو دایرکتوری نصب شده باشد. معمولا یک سرور دیگر در شبکه های دامینی بعنوان
پشتیبان یا Backup سرور اصلی قرار داده می شود. به سرور اصلی در شبکه های دامینی PDC که مخفف
Primary Domain Controller و به سرور بکاپ
در اصطلاح BDC یا Backup
Domain Controller
می گویند.
نکته سوم:
اصطلاح بعدی که موقع ساخت Forest با آن مواجه خواهیم شد FFL و DFL هست که به ترتیب مخفف Forest Functional Level و Domain Functional Level هستند.
DFL چیست؟
توسط DFL ما ویندوز سرور ، سرور بکاپ یا BDC را مشخص می کنیم.
در هنگام نصب اکتیو دایرکتوری ،اگر DFL بر روی ویندوز سرور 2003 تنظیم شده باشد سروری که بخواهد بکاپ این سرور باشد مجبور است یا از ویندوز سرور 2003 استفاده کند و یا بالاتر مثل 2008 یا 2012 . یعنی از این طریق ما مشخص می کنیم که سرور BDC اجازه ندارد که ویندوز سرور 2000 ( بعنوان مثال ( روی سیستم اش نصب کند.
واقعا لزومی دارد که مشخص کنیم که ویندوز سرور BDC چی باشد؟
بله! چون تمامی اطلاعات ویندوز اصلی در سرور بکاپ کپی می شود و اگر از لحاظ امنیتی مشکل داشته باشد ، کار تمام است.
بهتر است DFL بر روی 2003 تنظیم شود که سرور بکاپ بتواند بین ویندوز سرور 2003 و 2008 انتخاب کند(چون بیشتر جاهای ایران هنوز 2003 کار می کنند) اگر DFL بر روی 2008 ست شود، سرور بکاپ مجبور است که از 2008 به بالا بگذارد و نمی تواند دیگر 2003 یا 2000 بگذارد.
و اما FFL چیست؟
توسط FFL ما ویندوز سرور شعبات را مشخص می کنیم.بعنوان مثال اگر FFL را ما 2003 بگذاریم سروری که قصد دارد Child شعبه اصلی شود مجبوراست که یا 2003 بالا بیاورد و یا 2008 و یا 2012
خب حالا برمیگردیم به ادامه کنسول Active Directory. همانطور که در شکل می بینید:
دو سوال از ما می پرسد. آیا Forest وجود دارد یا می خواهید New Forest بسازید؟ Forest ما اکنون وجود ندارد پس ما تیک گزینه Create a new domain in a new forest را می زنیم.
فرض بگیرید Forest وجود داشته باشد و ما بخواهیم یک سرور Child بسازیم. تیک Existing Forest رو می زنیم و سپس بر روی Create a new domain in an existing forest کلیک می کنیم.
اگر بخواهیم یک سرور بکاپ
بسازیم باید تیک Existing
Forest رو بزنیم و سپس بر روی
Add a domain
controller to an existing domain کلیک کنیم.
البته با دقت کردن بر روی معنای جملات نوشته شده نیز می توانیم به این مهم
دستیابیم.
خب. ما بر روی گزینه Create a new domain in a new forest کلیک می کنیم و Next می زنیم.در پنجره بعدی باید نام دامین را مشخص کنیم.دقت کنید که حتما باید به فرم نام. نام باشد.
بعنوان مثال ما نام آن را mcitpclass.com می گذاریم و Next می زنیم. حال Search می کند که چنین نامی وجود نداشته باشد. پس از جستجو و تکراری نبودن نام در پنجره بعدی از ما می خواهد که FFL رو مشخص کنیم. ما FFL رو در بالا توضیح دادیم(ویندوز سرور Child ها چی باشد) ما در اینجا بر روی Windows Server 2003 تنظیم می کنیم و Next می زنیم.
حال DFL را از ما می پرسد که این را هم بر روی Windows Server 2003 تنظیم می کنیم و Next می زنیم.
با صفحه زیر روبرو می شویم:
در اینجا تیک DNS Server حتما باید باشد. بواسطه آن ما به اکتیو دایرکتوری می گوییم که خودش DNS را نصب کند.
تیک دوم به صورت دیفالت خورده است و اجازه تغییر را هم نمی دهد چون به صورت پیش فرض اولین Root-Domain بعنوان GC در نظر گرفته می شود . اگر سروری GC شود بقیه می توانند از آن اطلاعات بگیرند و به نوعی از من بپرس می شود.
GC یا Global Catalog سرویسی است که در اکتیو دایرکتوری برای یافتن منابع استفاده می شود.
می توانید برای اطلاعات بیشتر در مورد GC اینجا و اینجا را مطالعه بفرمایید.
گزینه سوم RODC هست. این ویژگی منحصربه فرد برای سرور 2008 هست . برای توضیح آن به نکته زیر دقت کنید.
نکته : در ویندوز سرور 2003 هر عملیاتی که بر روی سرور بکاپ صورت می گرفت بر روی سرور اصلی یا PDC نیز پیاده سازی می شد. در ویندوز سرور 2008 مایکروسافت گزینه RODC را اضافه کرد تا حالت فقط خواندنی بگیرد و سرور بکاپ قابلیت رایت اطلاعات نداشته باشد.
بر روی Next کلیک می کنیم.
اگر پیغامی ظاهر شد بر روی Yes کلیک می کنیم و ادامه می دهیم. همانطور که در شکل زیر می بینید در صفحه بعد محل های پوشه های دیتابیس و لاگ و SYSVOL را میپرسد که اصلا توصیه نمی شود آنها را تغییر دهید و اجازه دهید به صورت پیش فرض بماند.
دیتا بیس اکتیو دایرکتوری در فایلی به نام ntds.dit در داخل پوشه NTDS ذخیره می شود. لاگ که نیازی به توضیح ندارد.برای توضیح پوشه SYSVOL به نکته زیر دقت کنید.
نکته: اکتیو دایرکتوری برای اعمال Policy ها هیچ وقت دونه به دونه بر روی کلاینت ها اعمال نمی کند بلکه Policy ها و تغییراتی که باید بر روی کلاینت ها اعمال شود را در پوشه ای به نام SYSVOL ذخیره می کند و کلاینت ها موقع بالا آمدن همیشه این پوشه را چک می کنند و اگر Policy برای آنها موجود باشد بر روی خود اعمال می کنند.
Next می زنیم.با صفحه Restore Mode Administrator Password مواجه می شویم.
اگر اکتیو دایرکتوری دچار مشکل شود تنها کسی که پسورد Restore Mode را داشته باشد می تواند آن را درست کند و پسورد ادمین در اینجا به دردی نمی خورد.
نحوه وارد شدن به قسمت Restore Mode در ویندوز سرور
وقتی کلید F8 موقع راه اندازی ویندوز زده می شود یکی از گزینه های ظاهر شده در آن منو گزینه Directory Service Restore Mode only for Domain Controller PC هست که اگر بخواهیم اکتیو را ریپیر کنیم و مشکلش را حل کنیم باید با این گزینه بالا بیاییم.
پس مهم است این پسورد را داشته باشیم. در ویندوز سرور 2003 می شد این قسمت را خالی رها کرد اما در 2008 حتما باید پسورد بگذاریم.
با دستور ntdsutil می تونیم این پسورد رو ریست کنیم.
چطور پسورد Restore Mode رو ریست کنیم؟
در محیط Command prompt ویندوز سرور ،عبارت ntdsutil رو تایپ می کنیم تا وارد این محیط بشویم:
سپس دستور Set DSRM Password رو تایپ می کنیم.که با تصویر زیر مواجه می شویم: (ِDSRM مخفف Directory Service Restore Mode هست).
حال دستور Reset Password on server رو به همراه نام کامپیوتر خودمان و نام دامین تایپ می کنیم.
مثلا: نام کامپیوتر ما ali و نام دامین Tabriz.com هست.
Reset Password on server ali.tabriz.com
حال دو بار پسورد جدید را وارد می کنیم و Enter می زنیم. پسورد ما به همین راحتی ریست می شود.
و اما ادامه بحث .Next می زنیم.
در این پنجره به ما Summary و خلاصه کارهای انجام شده را می دهد و Next میزنیم و اجازه میدهیم اکتیو نصب شود.
تیک Reboot on completion را می زنیم تا بعد از نصب یکبار ریست شود. همین. بسته به سرعت سرور چند دقیقه ای طول می کشد تا عملیات نصب اکتیو دایرکتوری به پایان برسد. امیدوارم مفید واقع شده باشد. موفق باشید.
موضوعات مرتبط: آموزش شیکه Mcitp
Windows Server Enterprise Administration
خب. بحث کلاینتی تمام شد و از امروز به بعد وارد کورس سرور می شویم.در ابتدا انواع نسخه های ویندوز سرور 2008 را با هم بررسی می کنیم.
از دو جهت دسته بندی می شوند:1. 32 بیتی یا 64 بیتی بودن ویندوز 2. داشتن یا نداشتن قابلیتی به نام Hyper-v.
و اما Hyper-v چیست؟
از جمله نرم افزارهای شبیه سازی است که به ما اجازه می دهد سیستم عامل های مختلف رو به طور همزمان بر روی یک رایانه اجرا کنیم.با مجازی سازی صرفه جویی بسیاری در منابع سخت افزاری و هزینه ها صورت می گیرد.Hyper-v نام نرم افزار مایکروسافت است و از جمله نرم افزارهای دیگر Virtualization می توان به VMWare ESXi (آموزش نصب )و نرم افزار شبیه سازی شرکت Citrix نام برد.
همینطور نرم افزار های ساده دیگری مثل VMware Workstation و VMware-Box و VMware-PC وجود دارد که می توان از آنها نیز استفاده نمود.(اگر روی نام نرم افزارها کلیک کنید می تونید اونها رو دانلود کنید)
به طور کلی دو نوع Hypervisor وجود دارد:
نوع اول: که به آن Bare-Matal Hypervisor نیز می گویند. در این نوع، Hypervisor مستقیما روی خود سیستم نصب می شود و به نوعی خودش سیستم عامل است و عمل I/O را خود Hypervisor به عهده دارد. مانند VMWare ESXi 5.0
نوع دوم: که به آن Hosted نیز می گویند. در این نوع، احتیاج به یک سیستم عامل داریم که بتوانیم روی آن Hypervisor را نصب کنیم. در واقع عمل I/O را سیستم عامل به عهده دارد. این نوع از Hypervisor بیشتر برای محیط های Test کاربرد دارد. برای مثال VMWare Workstation از این نوع می باشد. vmware-box و vmware-pc نیز همینطور.
یک ادمین حرفه ای حتما سه نرم افزار حرفه ای که نام برده شد vmware-esxi و citrix و Hyper-v را باید بلد باشد.
نکته: Hyper-v فقط در نسخه های 64 بیتی می توان نصب کرد.
انواع نسخه های ویندوز سرور 2008:
1. Windows Server 2008 Standard with Hyper-V
اولین نسخه ویندوز سرور 2008: Standard Edition هست.
برای شبکه های کوچک و متوسط کاربرد دارد که Hyper-v آن قابلیت Virtualization یک سرور را دارد.
2. Windows Server 2008 Enterprise with Hyper-V
دومین نسخه:
برای شبکه های بزرگ طراحی شده است.و 4 تا Virtual Server می تواند ساپورت کند. ویژگی clustering رو ساپورت می کند و مهمترین آن این که دارای ویژگیHot-Add Memory هست .
Hot-add memory : یعنی در هنگامی که سیستم روشن است می توان رم سیستم را تعویض کرد که البته این قابلیت باید از طریق مادربودر نیز ساپورت شود.
Clustering: در شبکه های بزرگ به صورت طبیعی تعداد مشتریان بالاست و همینطور تعداد سرورها برای برای سرویس دهی به مشتریان نیز بالاست. از طرفی ما می خواهیم وقتی مشتریان به سرورها وصل می شوند اگر سروری از کار افتاد متوجه این قضیه نشوند. برای این کار ما می آییم یک گروه از مجموعه سرورهایی که داریم می سازیم و یک سرور مجازی بدست می آوریم و اجازه میدهیم که مشتری ها به جای ارتباط مستقیم با سرورها با آن سرور مجازی وصل شوند و سرور مجازی درخواست ها را بین سرورهای روشن پخش کند.
با استفاده از این روش اگر سروری هم از کار بیوفتد،کلاینت ها هیچ وقت متوجه این موضوع نمی شوند.
3. Windows Server 2008 Data Center with Hyper-V
برای دیتا سنتر ها استفاده می شود و مهمترین ویژگی های اون عبارت است از :
Large Scale Virtualization هست.
هرچقدر بخواهیم Virtualization رو ساپورت می کند و محدودیتی ندارد.
.رو ساپورت می کند Clustering
High-End Applicationهست:یعنی نرم افزارهای به روز رو ساپورت می کند. مثل SQL و Xchange ( قویترین نرم افزار mail Server) و Mdaemon
Hot-Add Memory و Hot-Add processor نیز هست.
4. Windows Web Server 2008
په صورت تخصصی برای جاهایی که کار Hosting و Application های تحت وب رو کار می کنند استفاده می شود.
IIS 7 و .NetFramework رو به صورت تخصصی ساپورت می کند.
5. Windows Server 2008 for Itanium-based systems
این نسخه تخصصی برای cpu های itanium اینتل طراحی شده است که 64 بیتی هم هستند.
آخرین و بهترین نسخه 2008 که در زمینه شبکه ارائه شده windows server 2008 R2 هست. R2 مخفف Release 2 هست.
مطالب بالا را به طور خلاصه در تصویر زیر می توانید ببینید:
Application Server: نرم افزارهایی مثل SQL و Exchange و Share point.
و اما به این جدول هم توجه کنید:
همانطور که می بینید در این جدول Role های Active Directory برای هر کدام از ورژن های ویندوز سرور مشخص شده است که مطابق جدول با نسخه Web و Itanium ویندوز سرور 2008 هیچ کدام از Role های Active Directory ساپورت نمی شود. به عبارت ساده تر با این دو نسخه نمی توان شبکه های دامینی ایجاد کرد.
و اما با هم Role های Active Directory را یکی یکی بررسی می کنیم:
Active Directory در سرور 2008 داراری پنج Role زیر هست که عبارتند از:
Active Directory Domain Service - ADDS
برای ایجاد یک شبکه دامینی فقط کافی است یک سرور 2008 قرار داده شود و پشت سرور رل ADDS نصب شود. سرور تبدیل به دامین کنترلر (DC) و شبکه هم تبدیل به شبکه دامینی می شود. تمام.
Dcpromo نام دستوری است که این Role رو در ویندوز سرور نصب می کند.(در Run باید وارد شود. البته در جلوتر به طور مفصل بررسی می شود.)
Active Directory Lightweight Directory Service:
که به LDAP معروف است.LDAP مخفف Lightweight Directory Access Protocol هست. این Role در ویندوز سرور 2003 وجود نداشت و برای نصب آن در 2003 باید فایل کم حجم ADAM.msi دانلود می شد و نصب می شد تا این Role اضافه شود.
و اما دو نکته:
نکته اول:
در شبکه های دامینی دو پروتکل داریم که خیلی زیاد کاربرد دارند:
الف : LDAP: که پروتکل Search شبکه های دامینی هست.
ب: Kerberos: که پروتکل Authentication و احراز هویت در شبکه های دامینی هست که البته جلوتر به طور مفصل در مورد آنها صحبت می شود.
نکته دوم:
به نرم افزارهایی که می تونند از Database اکتیو دایرکتوری استفاده کنند به آنها نرم افزارهای Directory-Base گفته می شود مثل Exchange و Isa Enterprise . این نرم افزارها برای اتصال به پایگاه داده اکتیو دایرکتوری نیاز به رابط LDAP دارند. LDAP ارتباط این نرم افزارها را با دیتابیس AD برقرار می کند.
در انتها به عنوان نتیجه گیری اگر نرم افزار Exchange داریم حتما باید این سرویس رو نصب کنیم چون نرم افزار Exchange با دیتابیس اکتیو دایرکتوری ارتباط برقرار می کند و جهت این کار ما نیاز به LDAP داریم.
Active Directory Rights Management Service - RMS
کنترل اعمال صحیح Policy ها داخل
شبکه های دامینی است.این Role انحصاری برای 2008 هست. سخت افزاری وجود دارد که کار این سرویس را انجام می دهد به
نام NAC که محفف
Network Access
Control هست و برای شرکت Cisco هست.
این ویژگی در ویندوزهای غیر سروری هم هست. کافی است دستور Gpedit.msc را در Run ویندوز تایپ کنید و به مسیر زیر بروید:
Computer Configuration>Windows Settings>Security Settings>Local Policies> User Rights Assignment
یکسری از Policy های RMS را میتوانید در اینجا مشاهده کنید.
مثلا در اینجا می توان اجازه داد که چه کسانی بتوانند به صورت Remote کامپیوتر مارا خاموش کنند.
Active Directory Certificate Service
روی کامپیوتری که این Role نصب شود اون کامپیوتر به CA سرور تبدیل خواهد شد.اما کاربرد اون چیه؟
بزرگترین کاربرد اون تبدیل سایت های HTTP به HTTPS هست.
Active Directory Federation Service
این سرویس هم مخصوص 2008 هست و 2003 همچین سرویسی را نداشت.کار این سرویس ارائه ویژگی به نام S.S.O درارتباطات زنده هست.
اما S.S.O چیه ؟ عرض می کنم خدمتتون .
به عمل وارد شدن يك كاربر به سايت ها و برنامه هاي مختلف تنها با يك نام كاربري و گذرواژه يكسانSSO يا Single Sign-on(ورود يكپارچه) مي گويند.بعبارت ساده تر تا زمانی که مثلا صفحه ایمیل باز است شما بین Inbox و Outbox و Draft و... به راحتی جابه جا می شوید بدون این که مجددا از شما یوزرنیم و پسورد بخواهد و شما تنها بایک یوزرنیم و پسورد بین صفحات مختلف این سایت به راحتی جابه جا می شوید به این عمل S.S.O می گویند.
در S.S.O تا زمانی که Session جاری هست اون یوزر و پسوردی که دادیم اعتبار دارد و برای تمامی صفحات از آن استفاده می کند.
نکته :
Session یا جلسه، ارتباطی است که بین کامپیوتر ما و کامپیوتر مقصد برقرار می شود.برای مشاهده Session های جاری از دستور Netstat در محیط CMD استفاده می کنیم.
ما میتونیم بین شعبه ها Session بزنیم و تا زمانی که این Session برقرار هست از ما یوزرنیم و پسورد پرسیده نخواهد شد.
همه این پنج Role که در ذکر کردیم ،به صورت کاملا تخصصی در آینده بررسی خواهد شد. نگران نباشید.
تابستان امسال فرصت خوبی است تا اطلاعات شبکه ای تان را بالا ببرید. این فرصت را از دست ندهید. من بخاطر مشغله کاری فراوان تصمیم گرفتم هر روز 6 صبح تا هفت ونیم قبل از کارم از خواب بلند شوم و وبلاگ رو آپدیت کنم. شما هم میتونید یک جایی زمانی باز کنید و این زمان رو به آموزش خودتون تخصیص بدید.
امیدوارم مفید واقع شده باشد.ببخشید یه کم این جلسه تئوری شد. موفق باشید.
موضوعات مرتبط: آموزش شیکه Mcitp
نحوه کانفیگ windows firewall with advanced security
در داخل ویندوزهای Next Generation مثل 7 و ویستا ، Windows Firewall with advanced security از سه راه قابل دسترسی هست:
1. از داخل control panel وارد administrative tools می شویم و سپس بر روی windows firewall with advanced security کلیک می کنیم.
2.از طریق Gpedit.msc : این دستور (gpedit.msc) را در Run ویندوز تایپ می کنیم و سپس به مسیر زیر می رویم:
Computer Configuration>Windows Settings>Security Settings>Windows Firewall with advanced security
3. از طریق محیط CMD و با کامند:
C:/>netsh
Netsh>advfirewall
Advanced firewall این قابلیت را دارد که در سه پروفایل مختلف اعمال شود:
1. Domain: زمانی که ما وارد شبکه دامینی می شویم. میتوانیم یکسری تنظیمات انجام دهیم و بگیم وقتی دارم وارد شبکه دامینی می شم آن تنظیمات اعمال شود.
2. Private: میتوانیم یکسری تنظیمات انجام دهیم و بگیم وقتی در شبکه WorkGroup هستم این تنظیمات اعمال شود.
3. Public: می توانیم یکسری تنظیمات انجام دهیم و بگیم هر وقت بر روی اینترنت رفتم این تنظیمات اعمال شود.
موقع نصب ویندوز اگر دقت کرده باشید پنجره فایروال سه حالت در اختیار شما قرار می دهد:
1. Home Network
2. Work Network
3. Public Network
این قسمت سوم یعنی Public Network را اگر انتخاب کنید، که عکس یک نیمکت پارک هم کنار آن گذاشته، یعنی مثل نیمکت پارک عمومی هست و هرکسی می تواند روی آن بنشیند،تنظیمات پروفایل Public اعمال می شود.
حال می خواهیم به کانفیگ Advanced Firewall بپردازیم.
پس از باز کردن پنجر Advanced Firewall بر روی Windows firewall with advanced security کلیک راست می کنیم و گزینه Properties را انتخاب می کنیم.
حال در پنجره ظاهر شده در همان سربرگ Domain Profile در قمست Settings بر روی Customize کلیک می کنیم.
در اینجا قسمتی وجود دارد به نام Unicast Response:
برای توضیح این قسمت بهتر است از حمله smurf صحبت کنم:
در این حمله شخص هکر در داخل شبکه ما پکت هایی را برودکست می کند(برای همه می فرستد) که آدرس سورسش ، آدرس IP سرور هست . یعنی همه کامپیوترها پس از دریافت پکت به سرور جواب می دهند و نه به هکر.
شخص هکر اونقدر اقدام به ارسال این پکت ها می کند که سرور از کار می افتد.(بخاطر ازدیاد دریافت Reply از کامپیوترهای داخل شبکه )
برای حل این مشکل مایکروسافت این گزینه Unicast Response را قرار داده و می گه: پس از ارسال برودکست 3 ثانیه فرصت دارید جواب بدهید، اگر ندادید دیگر پاسختون قابل قبول نیست.
حتما می پرسید چطور می توان پکت های Fake (الکی) تولید کرد که مثلا آدرس سورس آن را IP آدرس سرور قرار بدهیم.
نرم افزار NMAP ، تخصصی کارش تولید پکت های Fake هست.
اما در همین پنجره ، قسمت بعدی Merging rules هست به معنای ادغام قوانین. همانطور که میدونید ما از طریق Group Policy می توانیم فایروال کلاینت های شبکه را کانفیگ کنیم البته به شرطی که شبکه از نوع دامینی باشد.
در اینجا می گوید که اگر در شبکه کانفیگی هم از طرف سرور و هم از طرف کلاینت وجود داشت ، این دو را با هم ادغام کن.
دقت کنید اگر قسمت ها یا گزینه های دیگری که در اینجا وجود دارد و من نگفتم ، بخاطر واضح بودن و یا غیر مهم بودنشون هست.
سه سربرگ Domain Private و Public تنظیمات یکسانی دارد و ما یکسره به سراغ سربرگ IPsec می رویم..
سربرگ IPsec
IPsec مخفف Internet Protocol Security هست که یک پروتکل امنیت و رمزنگاری محسوب می شود.برای اینکه مفهومش را بهتر متوجه بشوید اجازه بدهید بحث را کمی بازتر کنم.
همانطور که می دانید ، اگر بخواهیم یکسری داده از یک شبکه به شبکه دیگر انتقال بدهیم و در ضمن امنیت را هم برقرار کنیم. سه راه حل داریم.
1. IPsec: به درد شبکه های LAN می خورد، چون حجم اطلاعات را فوق العاده سنگین می کند یعنی Overhead (سربار) زیادی روی پکت ها ایجاد می کند و بسته ها را سنگین می کند. (سرعت باید بالا باشد).
2.VPN: به درد شبکه های LAN و WAN می خورد.
3.SSL:یا همون Certificate به درد شبکه های WAN می خورد.سایت های HTTPS از این راه حل استفاده می کنند که بسیار سبک هم هست و اطلاعات را رمزنگاری شده منتقل می کنند.
ما در دنیای شبکه مفهومی به نام IPsec نداریم. IPsec از چند مفهوم زیر تشکیل شده است:
ESP: (Encapsulation Security Payload)
AH: (Authentication Header)
ISAKMP: (Internet Security Association and Key Management Protocol)
IKE: (Internet Key Exchange)
به اجزاء تشکیل دهنده یک پکت دقت کنید...
|
CRC |
Payload |
IP Header |
Frame Type |
اگر IPsec بخواهد اطلاعات را رمز کند، به قسمت Payload یا دیتای پکت ، ESP یا Encapsulation Security Payload را اضافه می کند.
به این حالت که IPsec فقط "اطلاعات" را رمز کرده است، می گویند IPsec در مود Transparent کار می کند.
اگر IPsec بخواهد علاوه بر اطلاعات Header را هم رمزنگاری کند ، به هدر AH یا Authentication Header اضافه می کند.
به این حالت که IPsec علاوه بر اطلاعات Header را هم رمزنگاری می کند، میگویند IPsec در مود Tunnel کار می کند.
قطعا Ipsecی که در مود Tunnel کار می کند، امنیتش بالاتر است، از این مود معمولا بر روی اینترنت استفاده می شود و مود Transparent برای استفاده در داخل شبکه است.
خب پس تا اینجای کر AH و ESP را توضیح دادیم. اما IKE چیست؟ عرض می کنم خدمتتون.
IKE
در IPsec دوکامپیوتری که می خواهند با هم صحبت کنند، حتما باید کلید داشته باشند، و قبل از اینکه این دوکامپیوتر بخواهند با هم صحبت کنند و اطلاعات ردوبدل کنند ، ابتدا باید این کلید ها را باهم معاوضه کنند. نام پروتکلی که این کار را انجام میدهد IKE هست.
پس دقت داشته باشید تا زمانی که کلید ها تایید نشود، هیچ وقت IPsec بین دو کامپیوتر برقرار نخواهد شد.
ISAKMP
مکانیزمی که طرفین با هم طبق آن Negotiate یا توافق می کنند که برای رمز کردن اطلاعات از چه پروتکلی استفاده کنند.
یک نکته دیگر هم بگم و برگردیم به سربرگ IPsec و ادامه بحثمون.
تفاوت Hash و Encryption در چیست؟
در Encryption از یکسری کلید ها استفاده می شود. یعنی هر وقت بحث Encryption مطرح شد، بدونید پای کلید در میان هست. بعنوان مثال یک کلید درست می کنی در داخلش می گی آقا من به همه دیتاها یک واحد اضافه کردم، و کلید را به دست طرف مقابل می دهی.
او هم وقتی کلید را گرفت می فهمد باید یک واحد از دیتاها کم کند تا قادر به خواندنشان باشد. به عبارت واضح تر، او قادر به خواندن دیتاها نیست مگر اینکه کلید داشته باشد تا بفهمد متد رمزنگاری به چه صورت هست.
اما در Hashing بحث فرق می کند. دیگه کلید معنایی ندارد. در هش از روی مثلا 123 یک عدد ثابت دیگر می دهد که این قابل بازگشت به حالت اول نیست. یعنی decode دیگه معنایی ندارد و از روی یک دیتای هش شده نمی شه فهمید اولش چی بوده . درحالی که در Encryption اینگونه نیست.
الگوریتم هایی که در Encryption بکار می رود :
DES, 3DES, AES
و الگوریتم هایی که در Hashing بکار می رود:
MD5, SHA1
به صورت نرمال الگوریتم MD5 در هشینگ استفاده می شود.
حال برمیگردیم به همان سربرگ IPsec خودمان.
در Advanced Firewall میتوانیم کانفیگ کنیم، که مثلا شخص بتواند از پورت 25 وارد بشود به شرط اینکه ارتباط کامپیوتر مبدآ و مقصد حتما رمزنگاری شده باشد.
در قسمت IPsec exemption از ما سوال می شود که می خواهد ICMP با رمز رد و بدل شود ICMP معروف به پیک شبکه است. از ما می پرسد که می خواهید پیک شبکه با رمز ردو بدل شود مثلا Ping با رمز نگاری رد وبدل شود. لزومی به انجام این کار نیست. مطمئنا پاسخ خیر است.
نحوه نوشتن Rule داخل فایروال
1. بسته به نوع قانون ما روی یکی از دو گزینه Inbound و Outbound راست کلیک می کنیم و گزینه New rule را انتخاب می کنیم.
2. از ما می پرسد که این قانون برای چه چیزی است؟ برنامه را می خواهید بلاک کنم یا اجازه بدم؟ این قانون در مورد پورت هست؟ در مورد چیزهای از قبل مشخص شده است و.. بعنوان مثال ما در اینجا پورت را انتخاب می کنیم.
3. از ما در مورد TCP و UDP بودن پورت سوال می کند که ما TCP را انتخاب می کنیم و در قسمت پایین می پرسد کدام پورت؟ که ما در اینجا 80 را وارد می کنیم.
4. از ما می پرسد چه رفتاری در قبال این پورت داشته باشم؟
- اجازه بدهم؟
- اگر ارتباط امن بود (یعنی IPsec برقرار بود) اجازه بدهم؟
- بلاک کنم و اجازه ندهم؟
5. از ما می پرسد که در کدام پروفایل از سه پروفایلی که گفته شد، اعمالش کنم که بهتر هست هر سه پروفایل تیک داشته باشد.
6. به این rule در پایان یک نام اختصاص می دهم و برروی گزینه Finish کلیک می کنیم.
من با مثال بستن یک پورت ، ساخت یک rule را آموزش دادم. اما یک مثال کاربردی دیگر جلوگیری از دسترسی یک برنامه به اینترنت هست. مثلا وقتی نرم افزار adobe Premiere را نصب می کنید، این نرم افزار با استفاده از اینترنت سریال خودش را چک می کند و به شما پیغام می دهد که شما سریال fake دارید و مجدد باید اقدام به فعال سازی نرم افزار بکنید.در اینجا قبل از اجرای نرم افزار بهترین راه حل این هست که اجازه دسترسی نرم افزار به اینترنت را ببندیم با استفاده از rule های فایروال.به چه صورت؟
من به صورت خلاصه مراحلش را می گویم:
برای بلاک کردن یک نرم افزار باید هم بر روی Inbound اون rule رو تعریف کنید و هم بر روی Outbound .
- New rule
program انتخاب -
دادن آدرس فایل اجرایی برنامه -
انتخاب گزینه Block this connection -
هر سه پروفایل را تیک می زنیم -
دادن یک نام -
Finish انتخاب -
همین مراحل را برای اوت باند می رویم و تمام. دیگر نیازی نیست هیچ نگرانی از بابت اتصال نرم افزار به اینترنت داشته باشید
در Advanced Firewall غیر از Inbound و Outbound قسمت دیگری هست به نام Connection Security Rules . این گزینه برای زمانی است که می خواهیم قوانینی را برای ارتباط کاملا امن بین دو کامپیوتر تعریف کنیم.
خب در اینجا بحث کانفیگ windows firewall with advanced security به پایان می رسد. موفق باشید.
پایان جلسه نوزدهم
Managing Boot Process in windows
در اینجا می خواهیم مراحل بوت ویندوز را باهم بررسی کنیم. یعنی از زمان فشار دادن دکمه پاور بر روی کیس تا بالا آمدن ویندوز چه سلسله اتفاقاتی می افتد تا ویندوز بالا بیاید؟
1. CPU سیستم به کد موجود در BIOS که نشانگر ویژگی هست به نام POST اشاره می کند. POST انجام می شود.
POST مخفف Power On Self Test هست. یک جور تست سخت افزاری قطعاتی مثل رم و کارت گرافیک و... که پس از اطمینان از سالم بودن آنها یک Beep کوتاه می زند.
بعبارت دقیق تر دکمه پاور که فشار داده می شود ، CPU روشن می شود، صفحه مشکی BIOS نمایش داده می شود، بعد از صفحه BIOS ، وقتی می خواهد سوئیچ کند به صفحه دوم، POST انجام می شود.
اگر می خواهید بدانید معنای بوق هایی که در مرحله اجرای POST به صدا در می آیند چیست، اینجا را بخوانید.
2. سپس سیستم کد موجود در BIOS ،به 512 بایت اول هارد اشاره می کند که اصطلاحا به آن MBR می گویند.
MBR مخفف Master Boot Record هست به معنای رکورد راه انداز اصلی، اولین سکتور از هارد هست که اطلاعات پارتیشن ها بر روی آن قرار دارد و در آن مشخص شده که کدام درایو Active هست. اولین سکتور(512 بایت اول ) از درایو Active ، بوت سکتور می گویند.
3. بوت سکتور مانند یک برنامه اجرا می شود و همزمان با اجرا شدن خود برنامه دیگری به نام Windows Boot Manager را اجرا می کند، که در XP به نام NTLDR هست و در 7 به نام BootMGR.
4. بعد از آن ویندوز را ntldr بوت می کند. (البته در ویندوز XP و کلا ویندوزهای Legacy ) و در ویندوز های NG ویندوز را BootMGR بوت می کند. NTLDR مخفف New Technology Loader هست.
نکته ای که در اینجا لازم هست که بگم این هست که گاهی اشتباها فایل ntldr موجود در درایو C پاک می شود.و هنگام روشن کردن سیستم با اخطار ntldr is missing مواجه می شوید و ویندوز بالا نمی آید.
راه حل بسیار ساده ای دارد. کافی است 3 گام زیر را انجام دهید.
الف. Cd ویندوز را داخل دستگاه قرار دهید و بوت را بر روی cd-rom بگذارید.
ب. سپس پس از بالا آمدن با cd ویندوز حرف r را بزنید تا وارد محیط repair بشوید.
ج. سپس با دستور زیر فایل ntldr را در درایو c کپی کنید.فرض کنید درایو H درایوی است که CD ویندوز در داخل آن قرار دارد.
C:\windows>cd ..
C:\>copy h:\i386\ntldr c:
دقت کنید که فایل را حتما باید در روت درایو C کپی کنید و در پوشه دیگری کپی نکنید. پس از پایان کپی دستور DIR را اجرا کنید که مطمئن شوید که فایل کپی شده است. این داستان برای فایل های دیگر هم کاربرد دارد.
اما برای BOOTMGR که برای ویندوزهای NG مثل 7 هست ، روش کار کمی متفاوت هست. باید CD ویندوز 7 را بگذاریم و وارد همان پنجره معروف Recovery Options بشویم و بر روی Startup Repair کلیک کنیم. البته می توانیم در همان پنجره Recovery Options بر روی Command Prompt کلیک کنیم و دستور زیر را وارد کنیم.
C:\> bootrec /fixboot
5. وقتی BootMGR و یا NTLDR اجرا می شود ،پردازنده از حالت Real Mode به حالت Protected Mode تغییر وضعیت می دهد.در این حالت سیستم عامل توان اجرا شدن پیدا می کند.یعنی تازمانی که BootMGR اجرا نشده بود CPU در حالت Real Mode قرار داشت و سیستم عامل فقط به 640 کیلوبایت اول رم دسترسی داشت اما با اجرا شدن BootMGR ، سیستم عامل به تمام حافظه رم میتواند دسترسی داشته باشد. پس:
Protected Mode: حالتی است که سیستم عامل به تمام حافظه رم دسترسی دارد.
Real Mode: حالتی است که سیستم عامل به 640 کیلوبایت ابتدای رم دسترسی دارد.
6. حال BootMGR محتویات فایلی به نام BCD را می خواندو اگر چند سیستم عامل باشد، اسامی سیستم عامل ها را به کاربر نشان می دهد تا انتخاب کند. معادل BCD در ویندوز های Legacy فایل Boot.ini هست، که در ریشه درایو C قرار دارد.
BCD مخفف Boot Configuration Data هست.
7. در ویندوزهای Legacy در این مرحله NTLDR ، فایل NTdetect را فراخوانی می کرد که کار آن این بود که اطلاعات کلی درباره سخت افزار را از بایوس می گرفت و به NTLDR تحویل می داد.
8. حال NTLDR و یا BootMGR ، بعد از انتخاب یک سیستم عامل توسط کاربر، کرنل و یا هسته مربوط به آن سیستم عامل را فراخوانی می کند. نام فایل کرنل ntoskrnl.exe هست. همینطور Hall.dll را هم به همراه کرنل فراخوانی می کنند.
HAL مخفف Hardware Abstraction Layer هست.رابط بین کرنل و سخت افزار هست. بعبارت ساده تر ، کرنل وقتی می خواهد با سخت افزار حرف بزند از HAL استفاده می کند.
کرنل فایلی به نام smss.exe که مخفف Session Manager SubSystem را اجرا می کندو توسط این فایل مقداردهی اولیه می شود.
9. تمامی سخت افزار ها با کانفیگشان شناسایی شده و در مسیر
HKEY_Local_Machine>Hardware
تنظیماتشان ثبت می گردد.
10. حال پروسه لاگ آن به ویندوز توسط فایلی به نام Winlogon شروع می شود. همان صفحه welcome که از شما یوزرنیم و پسورد می خواهد. بعد از آن explorer.exe اچرا می شودو سپس سخت افزارها شروع به شناسایی می شوند.
در این مرحله درایورهای سخت افزاری ، همزمان با Logon به ویندوز لود می شوند. تمامی سخت افزارها که ویژگی Plug & Play داشته باشند شناسایی می شوند. و اگر سخت افزار جدیدی پیدا کند که درایور آن موجود نباشد ، صفحه Found New Hardware نمایش داده می شود.
با هم ده گام را از زمان فشاردادن دکمه پاور کیس تا زمان ورود به ویندوز XP ، شمردیم. یکی از منابع خوبی که به دقت مراحل بوت را برای ویندوزهای Legacy بررسی کرده و به زبان فارسی هم هست ، اینجا و به زبان انگلیسی اینجاست.
اگر شما مطالب جدیدتری داشتید، و می توانستید در کامل کردن بحث به من کمک کنید ، لطفا دریغ نکنید، من حتما با نام خود شما این مطالب را در وبلاگ قرار خواهم داد. موفق باشید.
پایان جلسه بیستم
موضوعات مرتبط: آموزش شیکه Mcitp
نحوه کانفیگ Windows Firewall
در اینجا ابتدا به تنظیم فایروال در ویندوز XP می پردازیم و در جلسه بعد به تنظیم فایروال در ویندوز های NG مثل 7 می پردازیم.
از سه طریق می توان به فایروال رسید تا آن را کانفیگ کرد:
1. از طریق کنترل پنل و انتخاب windows firewall
2. از طریق Network Connections و Local Area Connection و بر روی آن راست کلیک می کنیم و انتخاب گزینه Properties و سپس سربرگ Advanced و Windows Firewall.
3. از طریق کامند
C:\>Netsh
Netsh>firewall
به هرحال Windows Firewall را می آوریم.
در سربرگ اول یعنی سربرگ General تنظیم خاصی ندارد و فقط برای روشن و خاموش کردن فایروال هست.فقط در اینجا تیکی وجود دارد که اگر بخواهیم تنظیماتی که در سربرگ Exceptions اعمال کردیم استثنائا در مکان های خاصی اعمال نشود (مثل فرودگاه و جاهای نا امن) این تیک را می زنیم و فایروال آن تنظیمات را نادیده می گیرد.
سربرگ دوم Exceptions
تا حالا دقت کردید وقتی دو کامپیوتر را با کابل کراس با هم شبکه می کنید، تامادامی که فایروال را خاموش نکنید، از یک کامپیوتر ، نمی توان کامپیوتر دیگر را Ping کرد و به فایل های کامپیوتر دیگر دسترسی پیدا کرد. قصه همین سربرگ است. اصلا نیازی به خاموش کردن فایروال نیست . کافی است به این سربرگ بیاید و تیک گزینه File & Printer Sharing را بزنید.
با قرار دادن این تیک مشکل Ping کردن حل می شود و میتوان به کامپیوتر دیگر دسترسی پیدا کرد.
همینطور اگر بخواهیم پورت خاصی را که فایروال بسته است را باز کنیم، در همین سربرگ دکمه Add Prot را می زنیم، سپس از پنجره ظاهر شده ، نام و شماره پورت را می زنیم.
پورت های مهم را می دانید؟در زیر لیستی از پورت های مهم را آورده ام
|
7 |
Echo(ping) |
|
21 |
FTP |
|
22 |
SSH |
|
23 |
Telnet |
|
25 |
ارسال ایمیل SMTP - |
|
49 |
TFTP |
|
53 |
DNS |
|
67 |
DHCP |
|
80 |
HTTP |
|
88 |
Kerberos |
|
110 |
دریافت ایمیل POP3 - |
|
143 |
IMAPدریافت ایمیل - |
|
161 |
SNMP |
|
389 |
LDAP |
|
443 |
HTTPS |
|
445 |
Sharing |
|
993 |
IMAPS |
|
995 |
POP3S |
|
1723,50,51 |
VPN |
|
3389 |
RDP |
چند تا نکته رو در اینجا خدمتتون عرض می کنم.
1. تفاوت POP3 با IMAP که هردو پورت برای دریافت ایمیل مورد استفاده قرار می گرفتند.
POP3: تمامی ایمیل ها را از روی سرور ایمیل شما بر روی کلاینت دانلود می کند و کلی از پهنای باند را اشغال می کند.
IMAP: فقط header و تیتر ایمیل را دانلود می کند تا اگر خواستید آن را باز کنید، بر روی تیتر کلیک کنید و کل ایمیل را مشاهده کنید، مطمئنا این بهتر است چون پهنای باند کمتری اشغال می شود.
2. SNMP : مخفف Simple Network Management Protocol هست که برای مانیتورینگ شبکه بکار می رود. نرم افزارهایی هستند که از اطلاعاتی که این پروتکل می دهد استفاده می کنند و به صورت نموداری سیستم را تحلیل می کنند و آمار را به ما نمایش می دهند. از جمله این نرم افزارها میتوان به :
Solar winds - Zabbix – The Dude ,…
3. Kerberos : در شبکه های دامینی پروتکل احراز هویت یا Authentication هست. به عبارت دیگر ، قفل ورود به ویندوز در شبکه های دامینی.
4. LDAP: پروتکل جستجوی شبکه های دامینی است. در شبکه های دامینی اگر دنبال یک یوزر بگردی LDAP مسئولیت آن را به عهده می گیرد.
خب برگردیم به بحث خودمون . Firewall
داشتیم میگفتیم که اگر روی گزینه Add Port کلیک کنید می توانید یک پورت را به فایروال معرفی کنید تا آن را باز کند و نبندد.
همانطور که در شکل زیر می بینید در همان صفحه Add Port دکمه ای وجود دارد به نام Change Scope .
اگر بر روی این دکمه کلیک کنیم پنجره جدیدی ظاهر می شود که در آنجا می توانیم مشخص کنیم که پورت برای چه کسانی باز شود:
1. همه کامپیوترها.
2. شبکه من فقط
3. کامپیوترهای خاص در شبکه.
در همان سربرگ Exceptions میتوانیم به واسطه دکمه Add Programs یک برنامه خاص را به فایروال معرفی کنیم تا اجازه داشته باشیم در شبکه به آن دسترسی داشته باشیم.
سربرگ سوم Advanced
حال راجع به قسمت های مختلف این سربرگ صحبت می کنیم.
Network Connection Settings
یادتون هست که راجع به ICF( نام فایروال اولیه ویندوز تا سال 2004) صحبت کردیم؟ همانطور که می دانید مشکلش این بود که به ازاء هر کانکشن باید فایروال را جداگونه کانفیگ می کردیم، در حالیکه در ویندوز فایروال همه کانکشن ها را می آورد و اگر دلمان نخواست تنظیماتی به کانکشن اعمال شود فقط کافی است تیک جلوی آن را برداریم.
Security Logging
اگر بر روی دکمه Setting آن کلیک کنیم، پنجره ای ظاهر می شود که در آن دو تنظیم زیر وجود دارد.
1. اون پکت هایی که دراپ کردی را لاگ بینداز. یعنی فایروال اگر پکتی را دراپ کند لاگش را می اندازد که ما متوجه شویم.
2. اون پکت هایی که مجوز دادی را لاگ بینداز.
در پایین هم مسیر ذخیره فایل لاگ را به ما نمایش می دهد.
ICMP
ICMP مخفف Internet Control Message Protocol هست. در واقع یک سیستم گزارش خطا هست که در کنار پروتکل IP قرار می گیرد تا در صورت بروز خطا به فرستنده بسته اطلاع میدهد تا آن خطا مجددا تکرار نشود. یک جورایی IP یا اینترنت پروتکل به ICMP نیازمند هست چرا که IP به صورت Unreliable هست و بسته ها را بدون اینکه بداند چه اتفاقی برایشان می افتد می فرستد. این ICMP هست که در هنگام بروز خطا پیغام مناسب را به فرستنده بسته می فرستد .
برای اطلاعات کامل تر اینجا را بخوانید.
Default Settings
این گزینه هم که مشخص است، اگر تغییری داده باشیم، همه را به حالت اول باز می گرداند.
اما نحوه تنظیم فایروال از طریق CMD به چه صورت است؟
دقت کنید، علت اینکه این دستورات به صورت کامندی هم مطرح می شود این است که ، می توان یک بچ فایل درست کرد و فقط با یک کلیک بعنوان مثال فایروال را کانفیگ کرد و نیازی نباشد که به صورت گرافیکی دونه دونه بر روی گزینه ها کلیک کرد.
از طریق Run ویندوز CMD را باز می کنیم و در آن همانطور که در بالا گفتیم دستورات زیر را تایپ می کنیم.
C:\>Netsh
Netsh>firewall
برای روشن و خاموش کردن فایروال از دستور زیر استفاده می کنیم.
Netsh firewall>set opmode disable
فایر وال خاموش می شود.
Netsh firewall>set opmode enable
فایروال روشن می شود.
برای باز و بسته کردن یک سرویس خاص ، مثل همان سرویس File & Printer Sharing که برای دسترسی پیدا کردن به فایل هاو Share های سیستم دیگر بود.
Netsh firewall>set service type fileandprint enable
Netsh firewall>set service type fileandprint disable
Netsh firewall>set service type remotedesktop enable
Netsh firewall>set service type remotedesktop disable
من تمام دستورات بالا را در cmd زده ام.
خب امیدوارم از جلسه امروز استفاده کرده باشید. اگر مطلب جدیدی می دانستید و دوست داشتید اضافه کنید، خوشحال میشم مشارکت کنید.ان شاء الله در جلسه بعد نحوه کانفیگ Windows Firewall with advanced security را با هم بحث می کنیم.موفق باشید.
در جلسه گذشته مدیریت هاردها از طریق کنسول Disk Management را یادگرفتید.
جال مدیریت هارد توسط کامند Command
ابتدا از طریق Run ویندوز cmd را باز کنید.
همانطور که میدانید دستور Diskpart برای این منظور بکار می رود.
برای مشاهده لیست هاردها از دستور List Disk استفاده می کنیم.
برای انتخاب یک هارد و اعمال تغییرات بر روی آن از دستور Select Disk استفاده می کنیم.
بهتر هست با یک مثال کامندها را بررسی کنیم.
می خواهیم یک پارتیش Primary بسازیم که سایز آن 500 مگابایت باشد و سپس یک پارتیشن extended بسازیم که سایز آنهم 500 مگابایت باشد و در این پارتیشن extended دو درایو Logical با حجم های 250 مگابایت بسازیم.
1. Diskpart
با این دستور وارد کنسول مدیریت هارد تحت داس می شویم
2. List disk
لیست هاردها را به ما نمایش می دهد
3. Select disk 2
هارد با ایندکس 2 را انتخاب می کنیم.
4. Create partition primary size=500
یک پارتیشن پرایمری با سایز 500 مگابایت می سازیم.
5. Create partition extended
یک پارتیشن اکستندد می سازیم.
6. Create partition logical size=250
حال یک پارتیشن لاجیکال با سایز250 مگابایت می سازیم.
7. Create partition logical
فضای باقیمانده از پارتیشن اکستندد را به پارتیشن لاجیکال دیگر اختصاص می دهیم.
8. List partition
با این دستور لیست پارتیشن های ساخته شده ما را نشان می دهد.
9. Select partition 1
با این دستور اولین پارتیشن ساخته شده که پرایمری بود انتخاب می شود
10. Assign letter c:
شروع به نامگذاری پارتیشن ها می کنیم البته با انتخاب کردن اونها حرف سی را برای پارتیشن اول گذاشتیم.
11. Select partition 3
با این دستور سومین پارتیشن که لاجیکال هست، انتخاب می شود
12. Assign letter d:
13. Select partition 4
14.assign letter f:
با این دستور چهارمین پارتیشن که لاجیکال هست ، انتخاب می شود و حرف f برای نام آن انتخاب می شود.
ما پارتیشن 2 را انتخاب نکردیم چون پارتیشن های لاجیکال داخل ، پارتیشن Extended تعریف می شوند. و نمی شود به پارتیشن extended نام اختصاص داد.
تصویر زیر گویای همه چیز هست.
حالا اختصاص دادن نام به پارتیشن ها.
خب تا اینجا با هارد Basic کار کردیم و پارتیشن های Primary و Extended ساختیم. اما چگونه با هارد Dynamic کار کنیم و پارتیشن های معروف آن را بسازیم؟ پارتیشن هایی از قبیل RAID و Striped و Simple؟ در ادامه با من همراه باشید.
برای ساخت پارتیشن RAID که همان RAID-5 محسوب می شود باید سه دیسک داینامیک داشته باشیم.
دستور آن در محیط Command prompt به صورت زیر است :
Create volume raid size=250 disk=2,3,4
با دستور فوق ما به کامپیوتر می فهمانیم که یک پارتیشن 250 مگابایتی از نوع RAID-5 در سه دیسک 2و3و4 برای ما بساز.
با دستور زیر برایش نام تعیین می کنیم
Assign letter z:
و در پایان هم فرمتش می کنیم تا قابل استفاده شود:
Format z: /fs:fat32
همینطور اگر بخواهیم پارتیشن stripe بسازیم (همان RAID-0) به دو دیسک نیاز داریم.
به صورت زیر عمل می کنیم:
Create volume stripe size=250 disk=2,3
اگر سایز را مشخص نکنیم کل فضای باقیمانده را در نظر می گیرد.
همینطور با دستور زیر می توانیم در اینجا پارتیشن simple بسازیم . همانطور که می دانید پارتیشن simple همانند پارتیشن لاجیکال در هاردهای basic هست.
Create volume simple size=250 disk=2
در تصویر زیر به صورت عملی مراحل بالا را من پیاده کردم .
بعد از پیاده سازی این دستور ها وضعیت Disk Management به این صورت در آمد.
دقت کنید که من روی Disk به شماره 0 , 1 کاری انجام ندادم و موقع تجزیه تحلیل آنها را در نظر نگیرید.پارتیشن z از نوع RAID-5 تعریف شده است، پارتیشن Y از نوع Stripe یا Raid-0 تعریف شده است. پارتیشن X هم از نوع Simple تعریف شده است.
خب اگر یک منبع خوب برای دستورات Command Prompt بخواهم به شما معرفی کنم، این فایل است.دانلود کنید و لذت ببرید. امیدوارم ازجلسه امروز هم نهایت استفاده را کرده باشید. اگر سوالی داشتید در قسمت نظرات بپرسید. همینطور شما می توانید اگر در مبحثی اطلاعات بیشتری دارید با من در میان بگذارید تا من مطلب را کامل تر کنم. موفق باشید.
پایان جلسه شانزدهم
موضوعات مرتبط: آموزش شیکه Mcitp