دستورات Dsquery , Dsget دستورات قدرتمندی هستند که بوسیله آنها میتوان اطلاعاتی از آبجکت های موجود در Active Directory کسب کرد، در ابتدای مقاله باید با مفهوم (Distinguished Name (DN آشنا شویم،هر آبجکت درون Active Directory دارای یک آدرس DN ِاست،که این DN برای هر آبجکت منحصر به فرد است،یعنی هیچ دو آبجکتی آدرس DN یکسان نخواهند داشت،DN دارای اجزای زیر است:
- DC=نشان دهنده نام دومین است،دومین ممکن است چند بخشی باشد مانند:IT.Local.ir که DC در اینجا برابر میشود با “DC=IT, DC=Local, DC=ir”.
- OU=نشان دهنده نام Organization Unit است،اگر یک OU در دومین بالا با نام Test داشته باشیم آدرسش برابر است با:“OU=Test,DC=IT, DC=Local, DC=ir”.
- CN=نشان دهنده هر آبجکت درون اکتیو دایرکتوری مانند نام های کاربری،نام کامپییوترها،نام گروهها و ...،اگر در دومین بالا یک نام کاربری با نام Saeed درون OU Test داشته باشیم
موضوعات مرتبط: اکتیو دایرکتوری
ادامه مطلب
تاريخ : دوشنبه هجدهم آبان ۱۳۹۴ | 8:0 | نویسنده : حمید مقصودی |
پیش از نصب سرویس Active Directory Domain Services لازم است تا برای زیرساخت های اکتیو دایرکتوری برنامه ریزی مناسب صورت گیرد. طراحی در این مرحله بسیار اهمیت دارد و موارد متعددی باید در این مرحله مورد بررسی قرار گیرد. اصول طراحی به آینده موکول می شود و قصد تنها پیش نیاز های ابتدایی را مورد بررسی قرار دهیم. همچنین تصور می کنیم یک Edition مناسب از Windows Server 2008 R2 که در آن از AD DS پشتیبانی به عمل می آید، جدید نصب شده است.
۱) نام دامین: اولین مسئله که باید در نظر گرفته شود نام دامین است. نام یک دامین باید در شبکه منحصر به فرد باشد و همانطور که پیشتر گفته شد، نام گذاری بر اساس نام DNS صورت می گیرد. اکیدا توصیه می شود که از انتخاب نام تک بخشی خودداری کنید (همانند erfantaheri). همچنین توصیه می شود پسوند local را برای نام دامین خود انتخاب کنید (همانند erfantaheri.local). هر چند بسیاری پسوند local را در انتهای نام دامین خود نمی پسندند و پسوند com یا org را برای سازمان خود ترجیح می دهند اما انتخاب پسوند local می تواند مرز های دامین داخلی سازمان را با دامین سازمان روی اینترنت متمایز کند و از بروز مشکلاتی جلوگیری شود. در خصوص مشکل هم نام بودن دامین داخلی با دامین اینترنتی و راهکار های آن در آینده بحث خواهد شد. به صورت جایگزین می توانید نام دامینی مشابه local.erfantaheri.com را انتخاب کنید تا به هدف فوق دست یابید.
۲) حوزه عملکرد: دومین موردی که باید در نظر گرفته شود حوزه عملکرد دامین است. با توجه به آنکه در اینجا فرض می کنیم در حال راه اندازی اولین دامین در جنگل جدید هستیم، لذا باید در خصوص حوزه عملکرد جنگل نیز تصمیم گیری شود. در آینده در خصوص حوزه عملکرد (Functional Level) مطالب بسیاری خواهیم آموخت. اما در اینجا با توجه به آنکه فرض می کنیم تمام سرور ها (دامین کنترلر ها) ویندوز سرور ۲۰۰۸ را دارا هستند و ویندوز NT در شبکه موجود نیست حوزه عملکرد Windows Server 2008 را انتخاب می کنیم. در آینده در خصوص انتخاب حوزه عملکرد در شرایطی که سیستم عامل های سرور قدیمی تر نیز موجود است بحث می شود.
۳) جزئیات DNS Server برای پشتیبانی از اکتیو دایرکتوری: بهترین انتخاب برای پشتیبانی اکتیو دایرکتوری سرویس DNS ویندوز و راه اندازی DNS سرور ویندوزی است. اما می توان از DNS Server های دیگر نیز استفاده کرد. اکیدا توصیه می شود برای راه اندازی DNS Server از راه اندازی خودکار در زمان نصب اکتیو دایرکتوری استفاده کنید. در آینده در خصوص طراحی DNS Server ها در محیط اکتیو دایرکتوری بحث می شود. در بیشتر سناریو ها توصیه می شود DNS Server و DC روی یک سرور با هم باشند. چنانچه لازم است یک Delegation در ساختار سلسله مراتبی سازمان برای شما ایجاد شود، پیش از نصب AD DS لازم است آن را انجام دهید.
۴) تنظیمات IP : اکیدا توصیه می شود که دامین کنترلر دارای تنظیمات IP به صورت دستی باشد. چنانچه یک DHCP در زیرساخت شبکه موجود است باید یک IP آدرس از بین IP هایی که در DHCP مستثنی شده اند را یافت و به سرور اختصاص داد. اگر IP Address را نمی توانید استثنا کنید توجه داشته باشید که ایجاد Conflict نکند. همچنین توجه داشته باشید، پیش از نصب لازم است حداقل یک Network Interface Controller – NIC به یک شبکه متصل باشد در غیر این صورت در مراحل نصب باز خواهید ماند.
۵) دسترسی لازم : برای نصب AD DS باید با یک User Accountبا دسترسی مناسب داشته باشید. همچنین این اشتراک کاربری باید دارای password باشد، یعنی کلمه عبور نمی تواند خالی باشد. توجه داشته باشید با توجه به محل منطقی سروری که ایجاد می کنید، اکانت شما لازم است دسترسی های متمایز داشته باشد. به یاد داشته باشید که فقط local Administrators می توانند اولین دامین را در یک جنگل جدید ایجاد کنند و سایر سناریوها مثل Additional Domain Controller به Domain Admins و در سناریوی دامین جدید در درخت موجود به Enterprise Admins نیاز است.
۶) محل ذخیره سازی فیزیکی : هر چند ذکر این نکته دیگر چندان عجیب به نظر می رسد، اما بر اساس عادت و تاکید مجدد در اینجا اضافه می کنم. محل ذخیره سازی فایل های اکتیو دایرکتوری باید روی یک پارتیشن با فایل فرمت NTFS باشد و ۱GigaByte فضای خالی روی پارتیشن موجود باشد. البته در زمان نصب، حداقل فضای ۲۰۰مگابایت برای DB و ۵۰مگابایت برای Log Files الزامی است. همچنین اکیدا توصیه می شود دیسک ها با استفاده از RAID دارای عملکرد بهتر و قابلیت اطمینان بیشتر شده باشند. ۳ محل مختلف در اینجا وجود دارد که عبارت اند از:
• Database Files: در نصب AD DS یک محل برای قرار گیری فایل های DB آن در نظر گرفته می شود، به صورت پیش فرض در %systemroot%/ntds است. اطلاعات دایرکتوری در فایل ntds.dit ذخیره می شود. این پایگاه داده (Databaase) یک Extensible Storage Engine یا به اختصار ESE است که شامل Global Catalog، Schema و اشیاء ساخته شده است.
• Log Files: در این فایل ها وقایع مربوط به Database Files ثبت می شوند. اکیدا توصیه می شود که روی مکان ذخیره سازی Database و Log آن روی دو دیسک فیزیکی مجزا باشد.
• System Volume – Sysvol: شامل فایل هایی است که برای Replicate شدن بین سایر DCها به کارگرفته می شود. به عنوان مثال می توان به Logon Script در GPO اشاره کرد. به صورت پیش فرض در systemroot%/sysvol قرار می گیرد و به صورت Shared است.
۷) برنامه ریزی برای Backup & Restore: پیش از شروع در یک محیط عملیاتی حتما یک طراحی برای تهیه نسخه پشتیبان داشته باشید و از اولین دقایق طراحی خود را اجرا کنید.
۸) دور اندیشی و دانش کافی:رشد شبکه، مقاومت در برابر خطا و صدها فاکتور دیگر را پیش از نصب اکتیو دایرکتوری در محیط عملیاتی باید در طراحی نظر گرفت. اشتباهات سبب به دردسر افتادن شرکت ها و کارمندان می شود و یا می تواند زیان های مالی و یا معنویی به شرکت ها وارد کند. باید در این مرحله بسیار اندیشید و یک طرح و برنامه ریزی دقیق داشت. اکتیو دایرکتوری اصلی ترین سرویس در یک شبکه هست و اکثر سرویس های دیگر متاثر از این سرویس خواهند بود.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه سی ام بهمن ۱۳۹۲ | 9:45 | نویسنده : حمید مقصودی |
Offline Domain Join ابزاری است که برای Windows Server 2008 R2 و Windows 7 یا نسخ جدید تر ویندوز در دسترس است. با استفاده از این فرآیند برای Join شدن به Domain نیازی به برقراری ارتیاط با Domain Controller وجود ندارد. این ویژگی برای سایت هایی که دارای ارتباط شبکه با شبکه سازمانی نیستند در نظر گرفته شده است (همانند سایت های موقت)
به عنوان مثال ممکن است تعدادی ماشین مجازی (Virtual Machines) در یک Data Center ایجاد کرده باشید. با استفاده از Offline Domain Join این امکان پدید می آید که بدون هیچ Restart اضافی در اولین استارت آن ها عضو دامین شوند. مهمترین مزیت Offline Domain Join آن است که وضعیت عضویت در شبکه Active Directory بدون هیچ ترافیک شبکه ای تغییر می کند. چهار قدم اصلی برای انجام Offline Domain Join لازم است:
مرحله یک
روی یکی از کامپیوتر های دامین که Windows Server 2008 R2 یا Windows 7 دارد با یک اکانت که مجوز عضو کردن کامپیوتر ها را به دامین دارد Login کنید.
مرحله دو
از دستور DJoin در خط فرمان برای Provision (پیش بینی) کردن یک کامپیوتر برای Offline Join استفاده می کنیم. این دستور که در ادامه توضیح داده خواهد شد، در Active Directory اطلاعاتی که برای Join شدن لازم است را ایجاد می کند و دارای یک اطلاعات خروجی است که به آن در اصطلاح blob to a Text file گفته می شود. برای آنکه تصور کنید Blob to a text file با فایل base64-encoded blob که کد شده است، چگونه است، تصویر زیر را ببینید.
به صورت عمومی قالب دستور DJoin برای Provision به صورت زیر است:
djoin.exe /provision /domain DomainDNSName /machine ComputerName /savefile Filename
- پارامتر Provision یک اکانت کامپیوتر جدید در Active Directory ایجاد می کند. اگر اکانت موچود باشد، با استفاده از سوییچ /reuse یک اکانت موجود برای provision آماده می شود.
- DOmainDNSName اسم دامین است به عنوان مثال Contoso.com
- ComputerName نام کامپیوتر است برای پارامتر Provision یا Reuse
- FileName مسیر یا نام فایل در مسیر جاری است که فایل Blob to Text File در آن ساخته می شود.
برای مثال:
djoin.exe /provision /domain contoso.com /machine COMPUTER007 /savefile COMPUTER007_Join.txt
همچنین پارامتر های زیر در دسترس اند:
- پارامتر machineOU/ مشخص کننده ی OU ای است که در برگیرنده Computer Account است. باید به صورت DN وارد شود. (distinguished name)
- پارامتر dcname/ مشخص کننده دامین کنترلری است که کامپیوتر اکانت در آن ساخته شود.
- پارامتر downlevel/ مشخص کننده ی آن است که دامین کنترلر یک نسخه قدیمی تر از Windows Server 2008 R2 را اجرا می کند.
مرحله سه
در کامپیوتر آفلاینی که قصد عضو شدن دارد لازم است دستور DJoin را به همراه ورودی اطلاعات Blob to a Text File ایجاد شده در مرحله بعدی وارد کنیم. انتقال این فایل می تواند با استفاده از روش های آفلاین و یا روش هایی همانند ایمیل یا ذخیره سازی های ابری صورت گیرد. فراموش نکنید در هر روش انتقالی، امنیت فایل را در نظر بگیرید. البته اطلاعات این فایل رمزنگاری شده است، اما شامل اطلاعات حساسی همانند Computer Password و SID است.
در یک کامپیوتر که دارای سیستم عامل Windows 7 یا Window Server 2008 R2 است می توانید با استفاده از دستور DJoin آن را به عضویت دامین در بیاورید. برای این منظور، قالب عمومی دستور عبارت است از:
djoin.exe /requestODJ /loadfile Filename /windowspath %SystemRoot% /localos
- پارامتر requestODJ معین کننده است که قصد درخواست Offline Domain Join را از احرای DJoin داریمو
- پارامتر Filename مشخص کننده فایل مسیر و نام Blob to a text file است.
- پارامتر windowspath مشخص کننده مسیری است که ویندوز روی آن نصب شده است. متغییر %SystemRoot% این مسیر را به صورت پیش فرض تعیین می کند. همچنین متغییر %windir% نیز می تواند استفاده شود.
- پارامتر localos مشخص کننده آن است که عمل عضو شدن برای کامپیوتر local است و نه یک Offline Image
به عنوان مثال:
djoin.exe /requestODJ /loadfile COMPUTER007_Join.txt /windowspath %SystemRoot% /localos
اگر قصد داشته باشید که عملیات Offline Domain Join را برای کامپیوتری که هنوز Start نشده است، به عنوان مثال یک Virtual Machine جدید، لازم است که ابتدا هارد دیسک مجازی آن را زوی یک کامپیوتر دیگر Mount (یا Attach) کنید و سپس آن هارد دیسک به عنوان یک Volume دیگر روی ماشین جاری اضافه خواهد شد. اکنون با اجرای دستور زیر می توانید عملیات را انجام دهید:
djoin.exe /requestODJ /loadfile Filename /windowspath PathToWindowsFolder
توجه داشته باشید در این شرایط مقدار پارامتر WindowPath باید مسیر شاخه Windows برای هارد دیسک Attach شده باشد و از متغییر های پیشین نباید استفاده شود. همچنین سوییچ localos به دلیل اینکه OS در حال اجرا هدف نیست استفاده نشده است.
مرحله چهار
زمانی که کامپیوتر را Restart یا Start می کنید، کامپیوتر به عنوان یک عضو دامین مبدل خواهد شد.
عضو شدن در دامین از طریق RODC
در Windows Server 2008 R2 امکان عضو شدن کامپیوتر ها از طریق RODC ها برای سایت هایی که دارای DC به صورت خواندنی – نوشتنی نیستند ایجاد شده است. اما برای این منظور لازم است:
۱) اکانت کامپیوتر و برخی ویژگی های لازم برای آن به صورت از قبل ساخته شده ایجاد شوند.
۲) ویرایش سیاست PRP در صورت لزوم برای آنکه Password کامپیوتری که ساخته اید روی RODC به صورت Cache نگه داری شود.
۳) Replication انجام شود. می تواند به صورت Force انجام شود.
۴) انتقال Password مربوطه برای کامپیوتری که قصد دارد به صورت offline عضو شود.
۵) اجرای یک اسکریپت با هدف آنکه RODC عضو شدن را کامل کند.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه سی ام بهمن ۱۳۹۲ | 9:43 | نویسنده : حمید مقصودی |
با استفاده از دستور DCPromo.exe می توانید یک DC را حذف کنید. زمانی که DC در وضعیت نرمال به شبکه متصل است و آن را حذف می کنید، Meta-Data های خود را از روی Directory حذف می کند و یا به عبارت دیگر، در دایرکتوری اثر قابل توجهی بر جای نمی گذرد. می توانید از یک Answer File نیز برای حذف DC استفاده کنید:
[DCINSTALL]
UserName=DOMAIN\username (in Administrators group of the domain)
UserDomain=FQDN of user specified by UserName
Password=password for user specified by UserName
AdministratorPassword=password will be assigned to local Administrator
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
DNSDelegationUserName=DOMAIN\username with permissions to remove DNS delegation
DNSDelegationPassword=password for the account
و مشابه قبل دستور DCPromo را با سوییچ unattended وارد کنید. همچنین از سوییچ UninstallBinaries برای استفاده می شود. به عنوان مثال:
dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"
اگر DC در زمانی باید حذف شود که به Domain متصل نیست از dcpromo /forceremoval می توان استفاده کرد. به این عملیات در اصطلاح demotion هم گفته می شود. لازم است هشدار های متفاوتی که توسط Wizard اعلام می شود را به دقت مطالعه کنید و آن ها را قبول کنید. از سوییچ demotefsmo:yes برای رد کردن هشدار ها می توانید استفاده کنید، هرچند اکیدا توصیه نمی گردد.
از آنجایی که demotion به صورت Force انجام شده، metadata هایی که به صورت خودکار حذف می شدند، هنوز در دایرکتوری وجود دارند و لازم است به صورت دستی در پروسه ای که به آن اصطلاحا Clean Up می گوییم انجام گردد.
تذکر: پیش از عملیات Clean Up لازم است اطمینان حاصل شوم که Replication به صورت درستی صورت گرفته. انجام این عملیات می تواند مشکلات جبران ناپذیری ایجاد کند.
تدکر: پیش از Demotion توجه داشته باشید که DC تنها GC نیست و همچنین هیچ Operation Master role را به عهده ندارد.
در انجام عملیات توسط DCPromo اطلاعاتی از روی شیئ NTDS Setting که در کنسول Active Directory Sites and Services به عنوان فرزند server است حذف می گردد. Attribute های این شیئ شامل اطلاعاتی می شود که معین می کند DC با Replication Partner های خود چگونه در ارتباط است، آیا DC یک GCنیز هست و… . در Windows Server 2008 + با استفاده از حذف کردن شیئ سرور در Active Directory Users and Computers می توان Meta Data های باقی مانده را حذف کرد.
همچنین روی خط فرمان با استفاده از ابزار Ntdsutil می توانید عملیات Clean Up را انجام دهید:
۱) در خط فرمان وارد کنید Ntdsutil
2) در Ntdsutil Prompt وارد کنید metadata cleanup
3) سپس در metadata cleanup prompt وارد کنید:
remove selected server
remove selected server
4) در این مرحله عملیات حذف را تایید می کنید. اگر خطایی در انجام حذف دریافت کردید، احتمالا به این معنی است که Object پیش تر حذف شده است.
۵) با وارد کردن quit خارج شوید و سپس می توانید حذف شدن صحیح را مورد بررسی قرار دهید.
* اگر یک Replication Partnet برای عملیات در نظر گرفته شده باشد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه سی ام بهمن ۱۳۹۲ | 9:40 | نویسنده : حمید مقصودی |
در ویزارد نصب، در قسمت Deployment Configuration گزینه Add a Domain Controller to an Existing Domain را انتخاب می کنیم و نام دامین را وارد می کنیم. همچنین لازم است یک Credential با سطح دسترسی مناسب انتخاب کنیم.
در مرحله Domain Controller Options لازم است نقش های DNS و GC را تعیین کنیم و در صورت نیاز DC را به فقط خواندنی تبدیل کنیم. در اینجا می توانیم سایت مربوطه را معین کنیم و همچنین DSRM Password تعیین گردد.
در این مرحله چنانچه قصد استفاده از IFM را دارید می توانید مسیر مورد نظر را انتخاب کنید و در غیر این صورت می توانید دامین کنترلر مبدا را جهت Replication معین کنید.
در این مرحله با توجه به تذکراتی که در خصوص فضای فیزیکی ذخیره سازی اطلاعات Active Directory در AD DS Datastore و در نصب AD DS گفته شده است، فضای فیزکی مطلوب را مشخص می کنیم. در پایان اطلاعات را بازبینی می کنیم. پیش از نصب، پیش نیاز ها نصب توسط Wizard مورد بررسی قرار می گیرد و سپس مراحل نصب آغاز می گردد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه سی ام بهمن ۱۳۹۲ | 9:30 | نویسنده : حمید مقصودی |
کاراهایی را که یک مدیر شبکه باید انجام دهد به شرح زیر است :
-نصب ، پیکربندی و پشتیبانی شبکه محلی یک سازمان ، یا سیستم اینترنت و یا بخشی از یک سیستم شبکه ای
-رسیدگی به سخت افزار و نرم افزار های شبکه
-نظارت بر شبکه و اطمینان از موجودیت شبکه برای همه کاربران عضو دامین
-انجام حفاظت های لازم برای تامین موجودیت شبکه، از مهمترین وظایف ومهارت های مورد نیاز یک مدیر شبکه و سیتسم های کامپیوتری است.
این در حالی است که مدیر کامپیوتر کارهایی را که انجام می دهد تنها بر روی سیستم خود اعمال میکند.
یک مدیر شبکه با مفاهیم گوناگونی همچون مفاهيم پروتكل TCP/IP ، مدل مرجع OSI ، سرويس ها و.... باید آشنا باشد در حالی که یک مدیر کامپیوتر احتیاجی به این مفاهیم در این اندازه ندارد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : دوشنبه بیست و یکم بهمن ۱۳۹۲ | 8:37 | نویسنده : حمید مقصودی |
در قسمت قبل مقاله سرویس WDS را راه اندازی کرده و پیکربندی و پیاده سازی
تنظیمات مربوط به کنسول آن را انجام دادیم حال در این قسمت به
آموزش Add کردن فایل های Boot.wim و Install.wim ، برای نصب ویندوز7 تحت
شبکه از طریق سرویس WDS می پردازیم .برای معرفی کردن فایل Boot
Image به سرویس WDS ، پیش از هر کاری باید DVD نصب ویندوز 7 را در DVD-Rom
قرار دهیم . در این مرحله چند نکته را باید در نظر داشت : برای Deploy
کردن نسخه های مختلف ویندوز (32 یا 64 بیتی) باید در نظر داشت که پردازشگر
سیستم ما چند بیتی است ؟ مثلا اگر نسخه 64 بیتی را Deploy کنیم در حالیکه
سیستم ما 32 بیتی است با مشکل عدم سازگاری سخت افزار و application/driver
مواجه خواهیم شد .بنابراین اگر CPU ما 32 بیتی باشد تنها قادر به Deploy
کردن نسخه 32 بیتی ویندوز 7 خواهیم بود . Boot image در بردارنده Windows
PE می باشد توصیه می شود که همیشه از آخرین ورژن Windows PE استفاده کنیم ،
انتخاب Boot image های قدیمی می تواند مشکل ساز باشد. این قضیه برای
Service pack های مختلف ویندوز ها نیز صادق است .
Add کردن Boot Image :
برای افزودن Boot Image در کنسول WDS روی گره ی Boot Images راست کلیک
کرده و گزینه Add Boot Image را انتخاب می کنیم تا ویزارد مربوط به Add
کردن ایمیج باز شود .
در ویزارد Add Image از روی گزینه Browse کلیک کرده و از بخش Sources موجود در ویندوز 7 ،فایل boot.wim را بر می گزینیم .
در این مرحله نام و توضیح مورد نظر برای ایمیج را در نظر می گیریم و روی Next کلیک می کنیم .
خلاصه ای از تنظیمات انجام شده نمایش داده می شود با کلیک روی گزینه Next فایل boot image کپی می شود.
Capture Image:
پس از ایجاد محیط بوت حال نوبت به گرفتن Image Capture می رسد .انجام
تنظیمات این مرحله باعث می شود در محیط بوت گزینه ای برای گرفتن یک ایمیج
از ویندوزی که پیشتر نصب شده و حال با استفاده از ابزار Sysprep موجود روی
ویندوز قصد گرفتن ایمیج از آن را داریم ، ایجاد شود.بنابراین ایجاد این
شرایط باعث می شود که ما بتوانیم از یک ویندوزی که نرم افزار های مورد نیاز
ما در سازمان مثلا یک آنتی ویروس روی آن نصب شده است ایمیج بگیریم .به جای
اینکه از یک ویندوز خام بدون که هیچ گونه نرم افزاری روی آن موجود نیست
استفاده کنیم . برای این منظور روی Boot Image ای که در مرحله قبل ایجاد
کردیم راست کلیک کرده و گزینه Create a Capture Image را انتخاب می کنیم .
در این بخش از ویزارد نام و توضیحات مربوط به ایمیجی را که می خواهیم از یک Boot image بگیریم وارد کرده و هچنین با انتخاب گزینه Browse یک پوشه با نام مورد نظرمان ایجاد می کنیم و آن را در محلی که انتخاب کردیم ذخیره می کنیم . (در اینجا ما فولدر Capture Image ای را که ساختیم در بخش Remote Install موجود در درایو C ذخیره کرده ایم ) با کلیک روی گزینه Next فرایند Extract ایمیج از فایل Source Image شروع می شود و در نهایت روی Finish کلیک می کنیم.
حال باید ایمیجی را که ایجاد کردیم در این بخش Import کنیم به همین منظور مجددا روی گره Boot Images کلیک کرده و گزینه Add Boot Image را انتخاب می کنیم .
در ویزارد باز شده مسیری که فایل ایمیج گرفته شده آنجا ذخیره شده به سیستم معرفی می کنیم.
پس از آن نام و توضیحات مربوط به آن را تعیین کرده و در مرحله بعدی خلاصه ای از وضعیت را مشاهده خواهیم کرد .در نهایت با کلیک روی Next عملیات Import ایمیج شروع خواهد شد.
پس از اتمام فرایند ، ایمیج Import شده در قسمت Boot Images کنسول WDS قرار خواهد گرفت
ساختن Image Group:
حال باید یک Image Group ایجاد کنیم تا بهنگام گرفتن ایمیج از ویندوز نصب
شده به کمک Sysprep ، برای قرار گرفتن و استقرار ایمیج درImage group
ایجاد شده ، آن را به سیستم معرفیAdd Image Group را انتخاب می کنیم .در
پنجره باز شده نام مورد نظر برای گروه را تایپ کرده و روی Ok کلیک می کنیم .
در نهایت گروهی که ایجاد کردیم زیر گره Install Images قرار خواهد گرفت.
استفاده از ابزار Sysprep موجود در ویندوز 7 برای گرفتن ایمیج:
برای Deploy کردن یک ایمیج Customize یا سفارشی از یک ویندوز 7 به کمک WDS
ابتدا باید از آن ویندوز که در حال حاضر روی یک سیستم راه اندازی شده است
ایمیج بگیریم . عرضه ایمیج این ویندوز در شبکه بدون اعمال یک سری تغییرات
روی این ویندوز ممکن نیست .بنابراین از ابزار Sysprep یا System
Preparation موجود در ویندوز برای گرفتن ایمیج استفاده می کنیم . در اینجا
وظیفه Sysprep از بین بردن یک سری از اطلاعات خاص ویندوز ی است که بر روی
سیستم نصب شده و حال ما قصد ایمیج گرفتن از آن را داریم بعنوان مثال
استفاده از Sysprep موجب حذف اسم کامپیوتر ،SID ، Product Key سیستم
عامل و... می شود. مزیت این روش آن است که می توانیم روی این ویندوز، نرم
افزارهای مورد نیازمان را نصب کرده و سپس از ویندوز همراه نرم افزار های
نصب شده ی روی آن ،ایمیج بگیریم . در این قسمت به نحوه گرفتن ایمیج با
استفاده از ابزار Sysprep می پردازیم . بنابراین می توانیم به کمک مسیر
ذکر شده در زیر (روی یک ویندوز سون که نرم افزار های موردنیازمان را روی
آن نصب کرده ایم ) به ابزار Sysprep دسترسی یابیم :
1 | C drive => Windows => system 32 => sysprep folder => sysprep.exe |
روی sysprep.exe کلیک می کنیم در پنجره باز شده گزینه Generalize را
مارکدار کرده و در قسمت Shutdown Option گزینه Shutdown را انتخاب و روی
Ok کلیک می کنیم . پس پایان یافتن پردازش sysprep سیستم Shutdown می شود
این فرایند چند ثانیه زمان خواهد برد.
پس از روشن کردن مجدد سیستم بوت را روی کارت شبکه قرار می دهیم تا سیستم برای برقراری ارتباط با WDS سرور از DHCP آی پی دریافت کند پس از دریافت IP کلید F12 را می زنیم تا سیستم از طریق PXE Network بوت شود. محیط PXE به یک ایستگاه کاری اجازه می دهد تا پیش از بوت شدن سیستم عامل روی Hard Drive لوکال ،از طریق یک سرور بر روی شبکه بوت شود. PXE از انواع پروتکل های شبکه از قبیل Ipv4 و DHCP و UDPوTFTP و... بهره می گیرد.
مهمترین نکته در این قسمت سرعت عمل است اگر با تاخیر کلید F12 را بزنیم ویندوز مجددا load می شود و در نتیجه قادر به گرفتن ایمیج از ویندوز نخواهیم بود. علاوه براین در صورت بالا آمدن ویندوز چون sysprep اطلاعات مربوط به نام کامپیوتر و ... را پاک کرده باید دوباره این تنظیمات را انجام دهیم.
در این مرحله گزینه Capture Image را انتخاب کرده و کلید Enter را می زنیم.
پس از مدتی ویزارد WDS بر روی صفحه ظاهر می شود روی Next کلیک می کنیم .
در این بخش تنها نام درایوی را که سیستم عامل برای sysprep در نظر گرفته ،نمایش داده می شود آنرا انتخاب کرده و نام مورد نظر برای ایمیج و نیز توضیحات مربوط به آن را نیز در این بخش وارد می کنیم .
در بخش Name & Location با کلیک رو گزینه Browse درایو مورد نظر برای ذخیره ی ایمیج را انتخاب می کنیم و در قسمت File name نیز نام ایمیج را با پسوند .wim تایپ کرده و تنظیمات را Save می کنیم . برای آپلود کردن ایمیج روی سرور WDS گزینه Upload image to the Windows Deployment Services server را مارکدار می کنیم . و IP و یا نام FQDN سرور را در قسمت Server Name وارد کرده و روی Connect کلیک می کنیم تا ارتباط برقرار شود. در این مرحله باید یوزر و پسورد یک کاربر دومین را به سیستم معرفی کنیم . پس از تایید اسم کاربری در قسمت Image Group name نام گروهی که پیشتر در WDS سرور برای ذخیره ایمیج نصب ایجاد کردیم نمایش داده می شود که آن را انتخاب می کنیم .
پس انجام تنظیماتی که بیان کردیم WDS فرایند ایجاد ایمیج سفارشی را که بعنوان مرجع نصب ویندوز برای سیستم های تحت شبکه در نظر گرفته می شود را آغاز می کند. این فرایند مسلتزم صرف زمان می باشد که بسته به ویژگی های سیستم عامل این زمان متغیر است . در نهایت پس از اتمام این پردازش روی گزینه finish کلیک می کنیم . بنابراین در اینجا کار ما با ویندوز 7 به پایان می رسد.
نکته : همانطور که در مرحله قبل دیدیم ، ما از یک ویندوز 7 نصب شده که تمامی نرم افزارهای مورد نیاز شبکه ما روی آن قرار دارد ،یک ایمیج برای Deploy و نصب روی سیستم های شبکه تهیه کردیم ، اما اگر قصد نصب یک ویندوز خام در شبکه را داشته باشیم دیگر نیازی به استفاده از ابزار sysprep و تهیه ایمیج از ویندوز نیست .تنها کافیست که فایل install.wim موجود در DVD نصب ویندوز 7 را به WDS سرور معرفی کنیم برای این منظور در کنسول WDS رو گره ی Install Images راست کلیک کرده و گزینه Add Install Image را انتخاب کنیم .
در ویزارد باز شده یک گروه جدید برای محلی که ایمیج باید در آن ذخیره شود ایجاد می کنیم
روی گزینه Browse کلیک می کنیم و از فولدر Sources موجود در DVD ویندوز 7 فایل Install.wim را بر می گزینیم
در این قسمت ورژن های مختلف ویندوز نمایش داده شده که می توانیم برحسب نیازمان ورژن مورد نظر را انتخاب کنیم .
خلاصه ای از ایمیج های انتخاب شده در این بخش دیده می شود .پس از کلیک روی Next فرایند گرفتن ایمیج شروع می شود که در نهایت روی گزینه finish کلیک می کنیم .
پس از پایان عملیات می توانیم ایمیج گرفته شده را در Image group ای که قبلا ایجاد کردیم مشاهده کنیم .
خب تا بدین جای کار ایمیج گرفته شده توسط سرویس WDS آماده Deploy ونصب در شبکه می باشد . اما از آنجایی که نصب ویندوز به صورت متمرکز و اتوماتیک برای سهولت کار است ، با بهره گیری از ابزار WSIM یا Windows System Image Manager موجود در نرم افزار WAIK می توانیم Answer File هایی با پسوند xml ایجاد کرده و تنظیماتی را برای آن در نظر بگیریم که بواسطه آنها یک سری از مراحل نصب ویندوز و تنظیمات مربوط به آن بصورت اتوماتیک انجام شود . استفاده از نرم افزار WAIK اختیاری است اما می دانیم که منطق نصب به صورت اتوماتیک این است که تمامی مراحل نصب ویندوز به صورت خودکار انجام شود و نه تنها بخشی از آن. با این وجود در این بخش نیز ما می توانیم به نصب ویندوز تحت شبکه بپردازیم .برای این منظور تنها کافیست که کامپیوتر bare metal یا فاقد ویندوز و یا کامپیوتر هایی را که قصد نصب مجدد و یا ارتقاء ویندوز آن را داریم همانند مراحل طی شده برای بوت کردن در بخش Capture گرفتن از ویندوز ، بوت سیستم را روی شبکه قرار داده و با برگزیدن کلید F12 سیستم را از طریق PXE Network بوت کنیم .اما پس از آن اینبار به جای انتخاب گزینه Capture an Image عبارت Install an Image را برای نصب ویندوز بر می گزینیم .
پس از استارت خوردن فرایند نصب ویندوز ویزارد WDS برای نصب را مشاهده خواهیم کرد در این بخش با در نظر گرفتن تنظیمات مربوط به زبان مورد نظرمان روی گزینه Next کلیک می کنیم .حال باید یک کاربر با دسترسی ادمین روی دومین را به سیستم معرفی کنیم .
در این مرحله نسخه ویندوز مورد نیاز برای نصب را انتخاب می کنیم.
درایوی که ویندوز روی آن نصب خواهد شد در این قسمت نمایش داده می شود با تاییدآن و کلیک روی Next ادامه ی فرایند نصب اجرا خواهد شد.
اگر دقت کنیم تا این مرحله تمامی مراحل نصب ویندوز همانند نصب Manual آن پیش رفت باقی مراحل نیز به همین صورت بوده و پس ار ریستارت باید به انجام تنظیمات مربوط به نام کامپیوتر و ... بپردازیم ویا اینکه همانطور که قبلا گفتیم می توان با ایجاد Answer file هایی به صورت اتوماتیک به انتخاب زبان و ایجاد پارتیشن و فرمت آن پیش از نصب و نیز در نظر گرفتن نام کامپیوتر و پسورد و سایر تنظیمات بپردازیم .بسته به تنظیماتی که بر حسب نیاز و یا به دلخواه برای Ansewr file ها انجام می دهیم این تنظیمات خودکاربهنگام نصب می توانند متفاوت باشند که در مقاله ای مجزا به معرفی نرم افزار WAIK و استفاده از ابزار WSIM برای تهیه و ساخت Answer file ها پرداخته خواهد شد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : پنجشنبه چهارم مهر ۱۳۹۲ | 8:21 | نویسنده : حمید مقصودی |
تصور کنید در یک سازمان با تعداد کلاینت بالا وظیفه ی ارتقا و یا تغییر
ویندوز های سازمان و نیز نصب سیستم عامل بر روی سیستم های خام بر عهده
شماست ، مسلما رفتن پای هر سیستم به صورت فیزیکی و نصب ویندوز بر روی هر
کامپیوتر به صورت مجزا مشکلاتی را به دنبال داشته و نیازمند صرف وقت بسیاری
است از این رو مایکروسافت برای نصب ویندوز ها در شبکه به صورت متمرکز
سرویسی ارائه داده که در این مقاله به معرفی آن می پردازیم . WDS یا
Windows Deployment Services نقشی است که به واسطه آن می توان به صورت
متمرکز به نصب ویندوز روی کامپیوتر های موجود در شبکه پرداخت و دیگر نیازی
به نصب مستقیم ویندوز از طریق DVD روی هر سیستم نیست .WDS در واقع نسخه ی
بروز شده ی سرویس RIS می باشد.RIS یا Remote Installation Services
تکنولوژیی برای نصب ویندوز به صورت اتوماتیک می باشد که می توانیم از آن
برای ساخت و ایجاد ایمیج نصب یک سیستم عامل و یا تکمیل تنظیمات کامپیوتر از
جمله تنظیمات دسکتاپ و Application ها استفاده کنیم . که در نهایت این
ایمیج ها از طریق شبکه برای نصب در اختیار کاربران کامپیوتر ها قرار می
گیرند . از تکنولوژی RIS عموما برای deploy کردن ایمیج ها در سازمان هایی
با مقیاس بزرگ استفاده می شود و برای نصب سیستم عامل روی کامپیوتر های شخصی
و یا سازمانهای کوچک روند نصب را بسیار کند می کند . درWDS ویندوز 2008 R2
نسبت به نسخه موجود در ویندوز سرور 2003 تغییراتی صورت گرفته و تکامل
یافته است تغییرات ایجاد شده به شرح زیر است :
- Driver provisioning: : قابلیت اضافه کردن و پیکربندی Driver package ها روی سرور و سپس Deploy کردن آنها در طی فرایند نصب روی سیستم کلاینت ها بر اساس سخت افزار آنها است . این قابلیت تنها زمانی پشتیبانی می شود که قصد deploy کردن ایمیج ویندوزهای vista SP1 و ویندوز سرور 2008 و 2008 R2 را برای نصب داشته باشیم.
- اضافه کردن درایور ها برای boot image ها که تنها برای boot Image موجود در DVD نصب ویندوز 7 و ویندوز سرور 2008R2 در دسترس است.
- Multicasting:شرایط انتقال و ارسال Install Image های ایجاد شده در WDS را به کمک multicasting فراهم می آورد. همچنین قابلیت قطع ارتباط با کلاینت های کند و نیز ارسال ایمیج با استفاده از جریان هایی چندگانه با سرعت های متفاوت را دارا می باشد. برای فعال کردن این قابلیت می توانیم در کنسول WDS روی نام سرور راست کلیک کرده و با انتخاب Properties در تب Multicast تنظیمات را انجام دهیم .
- VHD support: در ویندوز سرور 2008R2 شرایط برای Deploy ایمیج های ذخیره شده روی یک هارد دیسک مجازی (با پسوند .vhd) بر روی یک کامپیوتر فیزیکی (غیر مجازی ) که که از WDS استفاده می کند مهیا است. تنها با استفاده از Command می توانیم ایمیج روی هارد دیسک مجازی را Deploy کنیم . Deploy کردن ایمیج های با پسوند .vhd دقیقا همانند deploy ایمیج های موجود با پسوند .wim می باشد.برای این منظور از دستور WDSUTIL برای افزودن و پیکربندی اینگونه ایمیج ها استفاده می کنیم .
- Extensibility: این قابلیت موجب می شود که بتوانیم به کمک Multicasting شرایط انتقال داده ها و ایمیج ها را بر روی یک سرورStand-alone که به آن Transport Server نیز می گویند، فراهم کنیم . این ورژن یک PXE provider دارد که اجازه بوت کردن کلاینت ها را به ما می دهد . ) Transport Server در واقع یک Stand-alone سرور است که نیازی به اکتیو دایرکتوری دومین کنترلر و سرویسهای DNS و DHCP ندارد )
- IPv6: این ورژن برای انجام انتقالات بصورت Multicast از Ipv6 استفاده می کند.
- پشتیبانی از Extensible Firmware Interfaceیا (EFI): پشتیبانی بوت شدن کامپیوترهای 64 بیتی را از طریق EFI فراهم می کند از جمله اینکه قابلیت Auto-add policy و نیز Deploy کردن Boot image ها را با استفاده Multicasting پشتیبانی می کند. EFI یک BIOS استاندارد و توسعه یافته است که توسط شرکت اینتل با انتشار IA-64 ) معماری جدید CPU های 64 بیتی ) که تا حد زیادی ویژگی های موجود در BIOS را بهبود می بخشد ،عرضه شد.
نصب سرویس Windows Deployment Services
در این آموزش قصد داریم از طریق WDS در ویندوز سرور 2008 R2 به Deploy کردن
ویندوز 7 روی کامپیوتر های موجود در یک شبکه بپردازیم .برای استفاده از
سرویس WDS باید یک سری از نیازمندی های آن را در شبکه فراهم کنیم
.اینprerequirement ها عبارتند از :
- ایجاد دومین کنترلر (نصب نقش ADDS) سروری که رول WDS روی ان نصب است باید عضو دومین باشد.
- DNS سرور
- DHCP سرور (استفاده از محیط PXE یا Preboot execution Environment برای نصب ویندوز نیازمند DHCP برای دریافت IP در محدوده IP سرور می باشد. )
- NTFS volume برای ذخیره ایمیج باید فرمت درایو انتخابی NTFS باشد.
- Credential یا اعتبار نامه : برای نصب رول WDS کاربر ما باید عضو گروه Local Administrators روی سرور و برای initialize سرور باید عضویت گروه Domain Users را دارا باشد.
- نصب نرم افزار Windows Automate Installation Kit یا WAIK . استفاده از این Component اختیاری است که بواسطه آن می توانیم Unattended File ها را ایجاد کنیم .
پس از فراهم آوردن پیش نیازها برای راه اندازی این سرویس در ابتدای کار به نصب نقش WDS می پردازیم بنابراین وارد کنسول Server manager شده و با کلیک روی گزینه Add roles ویزارد مربوط به نصب role ها نمایان می شود که پس از کلیک روی گزینه Next در صفحه نمایش داده شده نقش Windows Deployment Services را مارکدار می کنیم .
صفحه ی نمایان شده اطلاعاتی پیرامون نقش WDS و نیز پیشنیاز هایی که برای نصب این رول باید در نظر بگیریم را بیان می کند آنها را مطالعه و روی گزینه Next کلیک می کنیم .
سرویسهایی که برای نصب رول WDS مورد نیاز هستند در این بخش مشاهده می شوند.همانطور که قبلا اشاره کردیم در ویندوز سرور 2008 علاوه بر اجزای اصلی WDS ، قابلیتی بنام Multicasting برای Deploy کردن وجود دارد که آپشن Transport Server این قابلیت را برای ما فراهم می آورد. بصورت پیش فرض این سرویس ها مارکدار شده اند. بنابراین تنها نیاز است که روی Next کلیک کنیم .
در این پنجره تاییدیه مراحل طی شده برای نصب نشان داده شده روی گزینه Install کلیک می کنیم تا فرایند نصب شروع شود.
پش از اتمام فرایند نصب گزارش مبنی بر نصب نقش را مشاهده خواهیم کرد. بر روی گزینه Close کلیک می کنیم .
پس از نصب رول WDS حال نوبت به پیکربندی و انجام تنظیمات کنسول WDS می رسد برای این منظور از طریق مسیر زیر به کنسول را باز می کنیم :
1 | Start => Administrative tools => Windows Deployment Services |
در کنسول WDS در پنل سمت چپ روی گره سرور کلیک کرده و سرور ریشه را انتخاب و
باراست کلیک روی آن گزینه Configure Server را بر می گزینیم.تا ویزارد
مربوط به پیکربندی کنسول نمایان شود.
در این صفحه اطلاعاتی در رابطه با پیش نیازهایی که بایدپیش از استفاده از این سرویس رعایت شود نمایش داده شده،روی Next کلیک می کنیم .
در این قسمت مسیر مورد نظر برای ذخیره ایمیج ها به سیستم معرفی می کنیم . در صورتی که درایو نصب انتخابی برای ذخیره ایمیج ها با درایوی که ویندوز روی آن قرار دارد، یکسان باشد با کلیک روی گزینه ی Next پنجره ای نمایش داده خواهد شد که در آن توصیه می شود که درایوی مجزا را برای ذخیره سازی بر گزینیم .در این مقاله ما همان درایو پیش فرض را در نظر می گیریم .
در این مرحله باید طریقه پاسخگویی سرور به در خواست کلاینت ها مبنی بر نصب ویندوز را مشخص کنیم :
- انتخاب گزینه اول به معنی عدم پاسخگویی سرور به در خواست هر کلاینتی برای نصب ویندوز می باشد.
- انتخاب گزینه دوم موجب شده که سرور تنها به درخواست کلاینتهای شناخته شده پاسخ دهد.
- و اما گزینه سوم بیانگر پاسخ سرور به تمامی کلاینتها (شناخته شده و ناشناس )می باشد . همچنین می توانیم با مارک دار کردن گزینه در نظر گرفته شده برای این بخش تعیین کنیم که به درخواست های کلاینتهای ناشناس مبنی بر نصب ویندوز توسط ادمین پاسخ داده شود .
اگر رول های DHCP و WDS بر روی یک سرور قرار داشته باشند باید دو گزینه موجود دراین بخش را مارکدار کنیم در صورتی که این نقشها بر روی سرور های مجزا پیاده سازی شده باشند از مارکدار کردن آنها خودداری می کنیم .
پس از انجام تنظیمات روند پیکربندی آغاز می شود ودر نهایت گزینه Add image to the server now را غیر فعال کرده و روی Finish کلیک می کنیم .
پس از انجام تنظیمات مربوط به کنسول WDS در نهایت کنسول همانند تصویر زیر خواهد بود.
در این قسمت نصب و پیکربندی کنسول WDS را مرور کردیم در قسمت بعدی به نحوه ی Add کردن ایمیج و بوت ایمیج و استفاده از ابزار sysprep برای ایمیج گرفتن از ویندوز 7 خواهیم پرداخت .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : پنجشنبه چهارم مهر ۱۳۹۲ | 8:14 | نویسنده : حمید مقصودی |
شاید برای شما پیش امده که......!
پشتیبانی شبکه شرکتی را بر عهده گرفتید که پشتیبان اسبق آن شرکت رمز عبور حساب کاربری Administrator را تغییر داده است و با در اختیار ندادن مستندی از اطلاعات شبکه به مدیر قطع همکاری کرده, یا اداره ای که تنها یک Administrator دارد و هیچ مستندی از فرایند کاری خود ندارد و در زمانی نامشخص بنا به دلایلی امکان تماس با Administrator مورد نظر نیست, حتی ممکن است اشتباهی Administrator شبکه را Disable کرده باشید.
حال چگونه رمز عبور Administrator را بازیابی کنیم؟
نخست DVD ویندوز سرور را داخل درایو نوری قرار داده یا Bootable usb flash را به سرور متصل کرده, سپس سرور را از طریق درایو نوری یا usb flash بوت می کنیم
پشتیبانی شبکه شرکتی را بر عهده گرفتید که پشتیبان اسبق آن شرکت رمز عبور حساب کاربری Administrator را تغییر داده است و با در اختیار ندادن مستندی از اطلاعات شبکه به مدیر قطع همکاری کرده, یا اداره ای که تنها یک Administrator دارد و هیچ مستندی از فرایند کاری خود ندارد و در زمانی نامشخص بنا به دلایلی امکان تماس با Administrator مورد نظر نیست, حتی ممکن است اشتباهی Administrator شبکه را Disable کرده باشید.
حال چگونه رمز عبور Administrator را بازیابی کنیم؟
نخست DVD ویندوز سرور را داخل درایو نوری قرار داده یا Bootable usb flash را به سرور متصل کرده, سپس سرور را از طریق درایو نوری یا usb flash بوت می کنیم
با امدن ویزارد نصب ویندوز روی next کلیک می کنیم و در مرحله بعدی به جای Install now گزینه Repair your computer را انتخاب می کنیم
در پنجره System Recovery Options همه جیز به حالت پیش فرض می باشد و در جدول زیرین نوع OS که نصب هستش و روی چه پارتیشنی قرار دارد نمایش داده می شود. در این تصویر Drive Letter پارتیشن ویندوز D می باشد نه C , در واقع پارتیشن ویندوزی سرور C می باشد، اما در این قسمت به خاطر وجود پارتیشن System Reserved ، حرف Drive Letter آن D درج شده است. در این جا با کلیک روی Next به قسمت بعد می رویم.
در این قسمت Command Prompt را انتخاب می کنیم.
در cmd تایپ می کنیم :
1 2 3 4 5 | D:cd windows cd system32copy utilman.exe utilman2.exe copy cmd.exe utilman.exe |
با تایپ کردن (:D) وارد درایوی می شیم که ویندوز سرور نصب می باشد cd مخفف
change directory می باشد و با وارد کردن cd windows به مسیر D:\windows
وارد می شویم و در ادامه با تایپ cd system32 به مسیر D:\windows\system32
وارد می شویم, با جابه جایی utility manager و در اخر با جابه جا شدن
cmd.exe به جای utilman.exe , با انتخاب Ease of access صفحه Command
prompt به جای utility manager باز می شود.
اگر بعد از وارد کردن cd system32 خطایی مبنی بر اینکه دیتا مورد نظر در مسیر وارد شده موجود نمی باشد, Letter پارتیشن ویندوزی اشتباه وارد شده و باید مورد صحیح را وارد کنید
اگر بعد از وارد کردن cd system32 خطایی مبنی بر اینکه دیتا مورد نظر در مسیر وارد شده موجود نمی باشد, Letter پارتیشن ویندوزی اشتباه وارد شده و باید مورد صحیح را وارد کنید
سرور را Restart می کنیم و بعد از بالا امدن سرور و فشردن Ctrl+Alt+Delete در پایین صفحه, گوشه سمت چپ روی Ease of access کلیک می کنیم تا صفحه Command Prompt باز شود, با باز شدن cmd , داخلش تایپ می کنیم dsa.msc تا کنسول Active Directory Users and Computers باز شود, سپس به کانتینر Users می رویم و با کلیک راست روی حساب کاربری Administrator و با انتخاب reset password رمز عبور DC , Administrator را ریست می کنیم, با وارد کردن رمز عبور جدید به سادگی به سرور Logon می کنیم.
در اخر سرور را دوباره Restart می کنیم و از روی DVD بوت می کنیم و تمامی مراحل فوق را تکرار می کنیم تا مرحله ای که دستورات را وارد می کنیم و تمام دستورات را به همان شکل وارد می کنیم اما دستور چهارم را بدین شکل تایپ می کنیم: copy utilman2.exe utilman.exe و نیازی هم به وارد کردن دستور اخر نیست. سرور را Restart کرده, این بار با کلیک روی Ease of access دیگر Command prompt باز نخواهد شد.
1 2 3 4 | D:cd windows cd system32copy utilman.exe utilman2.exe |
اما برای جلوگیری از دسترسی به سرور و بازیابی رمز عبور Administrator می توانیم این موارد امنیتی را در نظر بگیریم :
- هر کسی از نظر فیزیکی دسترسی به سرور را نداشته باشد
- حتی الامکان سرور فاقد درایو نوری باشد
- Syskey روی DC فعال باشد
امیدوارم که مورد توجه دوستان قرار گرفته باشد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : پنجشنبه چهارم مهر ۱۳۹۲ | 8:9 | نویسنده : حمید مقصودی |
هدف اصلی استفاده از پروتکل IPSec محافظت از محتویات و صحت ترافیک شبکه با
استفاده از رمزنگاری است. اما زمانیکه شما نیاز دارید که دسترسی به یک سری
منابع را محدود کنید ، بلافاصله به فکر پیاده سازی کنترل های دسترسی یا
Access Control List ها و یا استفاده از VLAN می افتید . البته که این
گزینه ها از موارد اصلی در محدود کردن دسترسی و کنترل دسترسی به منابع
هستند اما توجه کنید که ACL ها در لایه هفتم از مدل OSI فعالیت می کنند و
همین می تواند باعث بروز مشکلات امنیتی و ریسک های امنیتی بزرگی باشد. در
محیط واقعی شما می توانید با استفاده از پروتکل IPSec یک سری سرور یا
کامپیوتر و یا حتی Domain را به گونه ای ایزوله کنید که فقط ارتباطات مجاز
بتواند با آنها برقرار شود و در نتیجه منابع شما محافظت می شوند. در واقع
قبلا استفاده از IPSec به این شکل که برای ایزوله سازی سرورها مورد استفاده
قرار بگیرد ،وجود نداشت. قابلیت جدیدی به نام IPSec-Based Connection
Security Rue در ویندوز سرور 2008 و ویندوز سون و ویستا با هماهنگی که با
فایروال جدیدی ویندوز به نام Windows Firewall With Advanced Security
ایجاد کرد و با ترکیب شدن با Group Policy باعث شد یک ابزار بسیار خوب
برای ایزوله سازی سرورها فراهم شود. در ابتدای این مقاله ابتدا مروری بر
مفاهیم و گذشته ایزوله سازی سرورها می پردازیم و سپس فرآیند انجام تنظیمات
آن را با هم انجام خواهیم داد.
ایزوله سازی سرورها یا Server Isolation چیست ؟
با استفاده از قابلیت ایزوله سازی دامین و سرور شما قادر خواهید بود که فقط به کامپیوترها و ارتباط هایی اجازه برقراری ارتباط با سرورهای خود را بدهید که عضو دامین شما هستند و ارتباط آنها امن و رمزنگاری شده است ، کامپیوترهایی که عضو دامین هستند صرفا می توانند با سرور ایزوله شده ارتباط برقرار کنند و سایر کامپیوترهایی که عضو نیستند فقط تحت شرایط خاصی می توانند با سرور مورد نظر ارتباط برقرار کنند. برای مثال شما می توانید با استفاده از یک Policy به یک سرور SQL بگویید که صرفا با کامپیوترهایی ارتباط برقرار کند که عضو گروه خاصی هستند و یا اینکه دارای Certificate خاصی هستند. وقتی سرورهای خود را با این روش ایزوله می کنید دیگر نیازی به انجام تنظیمات اضافی در شبکه و یا استفاده از نرم افزارهای جانبی شبکه نمی باشد. هر چیزی که شما بخواهید در سیستم عامل شما وجود دارد. سرورهای و Domain هایی که با این روش ایزوله می شوند ، زمانیکه طراحی های شبکه عوض شوند و یا تنظیمات نگهداری شبکه تغییر کند و یا اینکه به محل دیگری در شبکه منتقل شوند یا به دستگاه خاصی در شبکه متصل شوند ، تنظیمات مربوط به ایزوله سازی بدون مشکل خاصی به کار خود ادامه خواهند داد و مشکلی در آنها به وجود نخواهد آمد. به دلیل اینکه ایزوله سازی سرور ها در سطح سیستم عامل انجام می شود هیچ تداخلی در سایر سطوح امنیتی شبکه شما ایجاد نخواهد کرد.
در ویندوز سرور 2003 قابلیت ایزوله سازی سرورها با استفاده از یک Policy به نام Access this computer from network در تنظیمات Group Policy قابل پیاده سازی بود اما این قابلیت دارای یک سری محدودیت ها بود. در این Policy شما فقط می توانستید به Computer ها و User ها قابلیت دسترسی به یک سیستم خاص را بدهید، شما در این حالت نمی توانستید بگویید که روش احراز هویت یا Authentication Method به چه شکل باشد. همچنین در این قابلیت ، امکان این بود که شما یک پروتکل احراز هویت مثال NTLM V2 را برای استفاده توسط Group Policy اجبار کنید اما امکان اجبار کردن برای استفاده از Kerberos و یا درخواست Certificate برای احراز هویت ممکن نبود. در ویندوز سرور 200 و ویندوزهای ویستا و سون ، قابلیت های جدیدی به سیستم عامل اضافه شده که بتوانند با استفاده از امکانی به نام Windows Firewall With Advanced Security عملیات ایزوله سازی سرورها را انجام دهند. علاوه بر اینکه این ابزار قابلیت انجام تنظیمات پیشرفته فایروال را به شما می دهد ، امکان ایجاد Connection Security Rules یا قوانین امنیتی ارتباط را هم برای شما فراهم کرده است. این قوانین یا Rule ها برای عملیات ایزوله سازی سرورها بسیار کاربردی هستند. همچنین ایزوله سازی به وسیله استفاده از IPSec هم در این قابلیت هماهنگی بسیار زیادی با فعالیت های فایروال ویندوز پیدا کرده است.
درخواست کردن ( Requesting ) یا نیازداشتن ( Requiring ) ؟
اولین وظیفه شما این است که تعیین کنید که کدام میزبان یا Host را می خواهید ایزوله کنید ، سپس سطح ایزوله سازی که می خواهید پیاده سازی کنید را تعیین می کنید. در برخی موارد ایزوله سازی سرورها برای تمامی میزبان هایی که در شبکه Domain قرار دارند انجام می شود که به نوعی معادل ایزوله سازی Domain محسوب می شود. به هر حال شما معمولا تعداد معدودی از سرورها یا کلاینت ها را که می خواهید از درجه امنیتی بالاتری برخوردار باشند ایزوله سازی می کنید. بنابراین در ابتدا ما یک سرور را به تنهایی ایزوله سازی می کنیم ، توجه کنید که مقاله ما در هر سه سیستم عامل ویندوز سون و ویستا و سرور 2008 قابل استفاده می باشد بنابراین ما سیستم عامل خاصی را مد نظر قرار نمی دهیم.
شما می توانید کنسول Windows Firewall with Advanced Security را از داخل Control Panel و قسمت Administrative Tools پیدا کنید و یا در قسمت Run در منوی Start کلمه Firewall.cpl را وارد کنید. بعد از اینکه کنسول را باز کردید بر روی نود Connection Security Rules راست کلیک کنید و گزینه New Rule را انتخاب کنید. با اینکار ویزارد New Connection Security Rule باز خواهد شد که چندین انتخاب را به شما نمایش می دهد. اولین گزینه که Isolation یا ایزوله سازی است را انتخاب کنید.سایر امکانات موجود به شما اجازه ایجاد exemption rule را می دهد که در این حالت شما می توانید سرورها یا سیستم هایی را برای برقراری ارتباط با سیستم خودتان بدون نیاز به هرگونه احراز هویت استثناء کنید، سایر گزینه ها به شما اجازه ایجاد ساختار احراز هویت بین چندین کامپیوتر خاص ( بین یک سرور و سرور دیگر ) ، اجبار کردن احراز هویت و استفاده از Tunneling Mode ( برای ارتباطات Site to Site) یا ایجاد یک Rule دلخواه را می دهند.
بعد از اینکه گزینه Isolation را انتخاب کردید بر روی Next کلیک کنید ، در اینجا شما بایستی شما بین چندین نیازمندی احراز هویتی یا authentication requirement موارد مورد نظر خود را انتخاب کنید. معمولا انتخاب شما در این لحظه بین گزنه requesting و requiring خواهد بود. اگر شما گزینه Requesting را انتخاب کنید ، احراز هویت یا authentication برای ترافیک های ورودی ( inbound ) و خروجی ( outbound) یا هر دو مورد درخواست می شود اما اجبار نمی شود. اگر یکی از طرفین قابلیت احراز هویت را نداشته باشند ، ترافیک در حالت عادی ادامه پیدا می کند. اگر گزینه Require را انتخاب کنید ، سیستم عامل احراز هویت را برای ترافیک اجبار می کند و اگر یکی از طرفین نتواند به درستی احراز هویت را انجام دهد ، ارتباط برقرار نخواهد شد و قطع می شود. بسته به سطح نیازمندی امنیتی ، شما می توانید برای ترافیک خروجی یا Outbound خود حالت Request و برای ترافیک ورودی یا Inbound حالت Require را انتخاب کنید. در این حالت تمامی ارتباطاتی که از بیرون می خواهد با سیستم شما برقرار شود حتما بایستی احراز هویت شوند و بدون اینکار ارتباط قطع خواهد شد. با این روش سیستم شما ایزوله می شود و از طرفی ارتباطات خروجی شما هم تا حد ممکن احراز هویت می شوند. بالاترین سطح امنیتی در این است که برای هر دو نوع ترافیک Inbound و Outbound گزینه Require را انتخاب کنیم.
اولین گزینه که Request authentication for inbound and outbound connections می باشد احراز هویت برای ترافیک ورودی و خروجی را حالتی اختیاری می داند و روش مناسبی برای ایزوله کرده سیستم نمی باشد. دومین گزینه که Require authentication for inbound connections and request authentication for outbound connections است سطح امنیتی بهتری را به شما ارائه می دهد با توجه به اینکه ترافیک های ورودی محدود شده اند ، اما همچنان ترافیک خروجی اگر دارای احراز هویت هم نباشد براحتی قابل انجام است. در سناریوی ما گزینه دوم بهترین گزینه محسوب می شود و ما نیز آن را انتخاب کرده و بر روی Next کلیک می کنیم.
انجام تنظیمات احراز هویت یا Authentication
بعد از انجام مراحل بالا شما بایستی یک روش احراز هویت یا Authentication Method را پیکربندی کنید.در این گام شما می توانید احراز هویت از طریق پروتکل Kerberos را برای یک user ، یک Computer و یا هر دو اجبار کنید ، در همین قسمت شما می توانید احراز هویت توسط certificate را انتخاب کنید و یا اصلا یک روش دلخواه احراز هویت پیاده سازی کنید. به هر حال بایستی توجه کنید که این روش های احراز هویت برای استفاده از IPsec اجباری است . اگر نرم افزارهایی از روش های دیگر احراز هویت مثل NTLM استفاده کنند ، احراز هویت در لایه کاربردی یا Application انجام می شود اما با استفاده از IPsec احراز هویت در لایه شبکه یا Network انجام می شود. اگر شما گزینه پیشفرض را انتخاب کنید ، احراز هویت به همان روشی انجام خواهد شد که در تب Properties مربوط به کنسول Windows Firewall with Advanced Security Properties در تنظیمات IPsec انجام شده است. برای دسترسی به این موارد بر روی کامپیوتر خود در قسمت Windows Firewall with Advanced Security Properties راست کلیک کنید و Properties را انتخاب کنید. از تب IPsec Settings شما می توانید گزینه Customize را انتخاب کرده و مقادیر پیشفرض در هنگام ایجاد Connection Security Rules را انتخاب کنید.
- (Computer and User ( using Kerberos V5 : اگر شما گزینه دوم از Authentication Method ها که( Computer and User (using Kerberos V5, می باشد را انتخاب کنید ف هر ارتباطی که به یک هاست ایزوله شده برقرار می شود می بایست با استفاده از پروتکل Kerberos احراز هویت شود. اگر هر دوی Computer ها و User ها عضو دامین هستند ، احراز هویت بصورت خودکار انجام می شود و کاربر در این فرآیند دخالتی نخواهد داشت. این روش پیاده سازی احراز هویت ضمن اینکه درجه امنیتی مناسبی دارد ، برای پیاده سازی نیز جزو راحت ترین موارد می باشد ، بنابراین در اکثر سناریوهای سازمانی استفاده از چنین روشی برای ایزوله سازی پیشنهاد می شود.
- (Computer ( using Kerberos V5: اگر گزینه( Computer (using Kerberos V5 را انتخاب کنید ، احراز هویت فقط برای Computer ها انجام خواهد شد. به زبان دیگر اگر Computer ای که قصد برقراری ارتباط با سرور هاست را دارد عضو دامین باشد دیگر نیازی نیست که کاربر آن احراز هویت شود .
- Computer Certificate : این گزینه صرفا به کامپیوترهایی اجازه برقراری ارتباط با سیستم هاست ایزوله شده را می دهد که آن کامپیوتر از یک Certification Authority معتبر که هاست نیز به آن اعتماد داد Certificate دریافت کرده باشد ، در غیر اینصورت به ارتباط اجازه برقراری نخواهد داد. این روش امنی ترین روش و البته کمی مشکل برای پیاده سازی می باشد.
- Health Certificates : نزدیک دکمه Customize IPsec Settings در انتهای تصویر یک چک باکس جالب وجود دارد که به آن Accept Only Health Certificates گفته می شود ، این چک باکس یک سطح امنیتی علاوه بر سازمان به ارتباط شما می دهد. اگر IPsec با ترکیب سرویس NAP راه اندازی شده باشد ، صرفا به ارتباطاتی اجازه برقراری می دهد که توسط سرویس Health Registration Authority سرویس NAP تایید شده و دارای Certificate آن باشند.
- Advanced : در پایین صفحه شما گزینه ای به نام Advanced را مشاهده می کنید که به شما اجازه می دهد که بتوانید روش های احراز هویت متعددی را انتخاب کنید که در فازهای مختلف انجام شدن فرآیند احراز هویت IPsec مورد استفاده قرار بگیرند. با انتخاب گزینه customize می توانید تک تک تنظیمات احراز هویت در هر مرحله را پیکربندی کنید ، این گزینه معمولا به دلیل پیچیدگی های زیادی که دارد مورد استفاده قرار نمی گیرد.
اولین روش احراز هویت در زمانی رخ می دهد که اصلی ترین قسمت فرآیند IPsec
در حال انجام است. در این فاز دو کامپیوتر با یکدیگر یک کانال امن و احراز
هویت شده را با استفاده از فرآیند های احراز هویت و الگوریتم انتقال کلید
Diffie-Hellamn با یکدیگر برقرار می کنند. با استفاده از روش احراز هویت
دوم ، شما چگونگی احراز هویت کاربری که به کامپیوترهای مورد نظر وارد می
شود را تعیین می کنید. انتخاب های موجود در این قسمت Kerberos V5 ، User
Certificate ها و Computer Health Certificate ها هستند. استفاده از هر دو
روش اول و دوم کاملا اختیاری است اما برای ایجاد یک محیط امن ، شما حداقل
بایستی احراز هویت را با استفاده از روش اول داشته باشید. برای اینکه به
سناریوی موجود در مقاله خود ادامه دهیم در اینجا شما Computer and User (
using Kerberos V5) را انتخاب کرده و بر روی Next کلیک کنید.
Network Profile چیست ؟
در ادامه ویزارد از شما سئوال می شود که این Rule بر روی کدامیک از Network Profile های موجود اعمال می شود. انتخاب های شما در اینجا Domain ، Private و Public هستند که بصورت پیشفرض هر سه انتخاب شده اند.به هر حال شما بایستی با توجه به شرایط محیطی که در آن هستید این موارد را به درستی انتخاب کنید. برای مثال اگر هدف شما ایزوله کرده Laptop است بنابراین هدف اصلی شما شبکه های Public است. Domain Network Profile به شبکه ای اشاره می کند که به Domain Controller های شما دسترسی دارد و به شما اجازه برقراری ارتباط با اکتیو دایرکتوری را می دهد.Private Network Profile معمولا به شبکه های خانگی اشاره می کند که حریم شخصی و خصوصی آنها محدود بوده و افراد زیادی به آن دسترسی ندارند. Public Network Profile به شبکه هایی اطلاق می شود که کاربر بعد از برقراری ارتباط با آنها ، شبکه مورد نظر را به عنوان Public انتخاب می کند ، معمولا این شبکه ها در هتل ها و محل هایی هستند که دارای ریسک بالایی از نظر امنیتی هستند. در فرودگاه ها معمولا Hot Spot ها را به عنوان Public در نظر می گیریم.
در برخی موارد پیش می آید که شما می خواهید تیک قسمت Private را بردارید. برای مثال اگر شما می خواهید یک Connection Security Rule برای Laptop خود ایجاد کنید به احتمال زیاد شما می خواهید در سیستم خود را در محیط های Public و Domain ایزوله کنید ، اما می خواهید همچنان به شبکه شخصی خود دسترسی داشته باشید ، البته برای بدست آوردن نهایت امنیت ممکن در این روش شما بایستی هر سه گزینه را انتخاب کنید. قدم نهایی در انتهای این ویزارد انتخاب یک اسم برای Rule مورد نظر است ، پیشنهاد می کنیم که یک اسم با محتوا برای اینکار استفاده کنید ، بعد از اینکه بر روی گزینه Finish کلیک کردید ، Rule بصورت خودکار ایجاد شده و به لیست Rule های موجود شما اضافه می شود.
پیاده سازی Inbound Rule های فایروال
اگر می خواهید تمهیدات امنیتی بیشتری برای ارتباطات و ایزوله کردن Host خود ایجاد کنید ، می توانید با استفاده از Inbound Rule های فایروال لایه های امنیتی بیشتری به Host خود اضافه کنید. برای مثال شما می توانید با استفاده از این Rule ها شماره پورت ها و آدرس های IP مجاز برای برقراری ارتباط با Host خود را مشخص کنید.البته شما می توانید اینکار را با استفاده از خود IPsec هم انجام دهید. تمامی این تنظیمات امنیتی را شما می توانید از طریق کنسول Windows Firewall with Advanced Security براحتی انجام دهید.
وارد کنسول مورد نظر شوید و بر روی نود Inbound Rule راست کلیک کنید و گزینه New Rule را انتخاب کنید ، صفحه New Inbound Rule Wizard برای شما باز خواهد شد. گزینه Port را انتخاب کنید و Next را کلیک کنید ، از بین TCP و UDP یکی را انتخاب کنید و محدوده پورت هایی را که می خواهید باز باشند را مشخص کنید . برای مثال اگر فقط می خواهید ترافیک پورت 80 بتواند به Host شما ورود کند کافیست عدد 80 و 443 را انتخاب کنید. بر روی Next کلیک کنید ، در صفحه بعدی گزینه Allow Connection را انتخاب کنید. اینکار باعث می شود که این Rule با Connection Security Rule ای که قبلا در مرحله قبلی ایجاد کردیم هماهنگی داشته باشد. در این حالت ارتباط شما تنها در صورتی از طریق پورت 80 برقرار می شود که بتواند موارد احراز هویتی که برایش تعیین شده است را رعایت کند. برای اینکه ترافیک شما رمزنگاری شود می توانید گزینه Require the connections to be encrypted را انتخاب کنید. بر روی Next کلیک کنید ، در اینجا شما می توانید Computer ها و User هایی که عضو دامین هستند را برای اعمال شدن Rule مورد نظر انتخاب کنید. در نهایت Network Profile و اسم Rule مورد نظر را انتخاب می کنید. برای اینکه بتوانید اطلاعات بیشتری در خصوص ایجاد Rule ها در فایروال ویندوز بدست بیاورید می توانید به دو مقاله زیر از مهندس تقی زاده و مهندس عچرش مراجعه کنید :
پیکربندی Exemptions ( معاف کردن )
برخی اوقات پیش می آید که شما می خواهید برخی از Computer ها ، Group ها یا محدوده ای از آدرس های IP مرتبط با Computer ها را از احراز هویت شدن در Connection Security Rule ها معاف کنید . برای مثال شما برای برقراری ارتباط سیستم ایزوله شده قبل از احراز هویت سایر ارتباطات با سرورهای مهم مانند Domain Controller ها و DHCP سرورها و CA ها می توانید یک معافیت یا Exemption تعریف کنید تا دیگر نیازی به احراز هویت این کامپیوترها نباشد.
نکته بسیار بسیار مهم
زمانیکه ایزوله سازی را انجام می دهید بسیار مراقب باشید که سرورهای زیرساختی شما از قبیل CA ، DC ، DHCP ، DNS و سایر سرویس های زیرساختی تحت تاثیر قرار نگیرند. این سرورها نباید محدودیتی برای ارتباطات Inbound و Outbound از طریق IPsec داشته باشند و در حقیقت نیازی هم به این کار ندارند. اگر قصد دارید برای این سرورها نیز ایزوله سازی انجام دهید بایستی توجه کنید که بسیار بسیار مراقب تنظیماتی باشید که انجام می دهید ، تنظیمات بایستی به گونه ای انجام شود که به Computer هایی که احراز هویت نشده اند نیز اجازه برقراری ارتباط و دسترسی پیدا کردن به سرویس ها را بدهند. Member Server ها و Workstation ها نیز بایستی به گونه ای پیکربندی شوند که حداکثر حالت Request را برای این سرورها در Rule ها داشته باشند ، در چنین مواردی استفاده از Exception یا معاف کردن بسیار پیشنهاد می شود.
برای پیکربندی exemption از قسمت connection Security Rules گزینه New Inbound Rule Wizard را مجددا باز کنید ، سپس بر روی گزینه Authentication Exemption کلیک کنید و Next را بزنید. در صفحه بعدی می توانید با استفاده از گزینه Add کامپیوترها ، محدوده های آدرس IP یا کامپیوتر خاصی را انتخاب کنید که دیگر برای این موارد احراز هویت یا Authentication انجام نخواهد شد. زمانیکه تصمیم خود را گرفتید بر روی Next کلیک کنید و Network Profile ای که Rule مورد نظر بایستی بر روی آن اعمال شود را انتخاب کرده ، نام Rule را تعیین و بر روی Finish کلیک کنید.
استفاده از Group Policy
مناسبترین راه برای فعال سازی ایزوله سازی سرورها بر روی چندین کامپیوتر در شبکه استفاده از قابلیت های Group Policy است. توجه کنید که مواردی که هم اکنون در خصوص Group Policy برای استفاده مطرح می شود صرفا در domain هایی موجود است که از سرورهای ویندوز سرور 2008 و بعد از آن استفاده می کنند ، در ویندوز سرور 2003 چنین قابلیتی توسط Group Policy قابل پیاده سازی نبود. به هر حال اگر همچنان از ویندوز سرور 2003 استفاده می کنید ، می توانید از IPsec Policy Options استفاده کنید. قبل از اینکه یک Group Policy Object یا GPO ایجاد کرده و آن را لینک کنید ، بایستی سرورها یا Host هایی را که می خواهید ایزوله کنید یا تنظیمات مشابهی دارند را در یک Organizational Unit مشخص قرار دهید.
بعد از اینکه ساختار OU های خود را ایجاد کردید و سرورها را بر همان اساس در درون OU ها قرار دادید ، کنسول Group Policy Management یا GPMC را باز کنید. یک GPO جدید ایجاد کنید ، بر روی آن راست کلیک کنید و گزینه Edit را انتخاب کنید. به قسمت Computer Configuration بروید و Windows Settings , Security Settings , Windows Firewall With Advanced Security را باز کنید. در این قسمت شما دقیقا همان رابط کاربری را مشاهده خواهید کرد که در کامپیوتر Local خود مشاهده می کنید. بر روی connection Security Rules کلیک کرده و New Inbound Rule Wizard را انتخاب کنید و با توجه به نیاز خودتان موارد مورد نیاز را مشابه آنچه قبلا توضیح داده شد پیاده سازی کنید.
بعد از اینکه کار شما تمام شد و یک Connection Security Rule در GPO ایجاد کردید. اگر بر روی Rule مورد نظر راست کلیک کنید و گزینه Properties را انتخاب کنید و به تب Computers بروید ، شما می توانید Endpoint ها یا Computer هایی که Rule به آنها اعمال می شود را انتخاب کنید .شما می توانید یک یا چندین کامپیوتر را برای اعمال Policy مورد نظر انتخاب کنید. شما می توانید در اینجا یک آدرس IP خاص یا چندین آدرس IP یا یک Subnet را برای اعمال شدن Rule مشخص کنید. توجه کنید که Connection Security Rule ها به ارتباطاتی اعمال می شوند که بین هر کامپیوتر در endpoint 1 و هر کامپیوتری در endpoint 2 برقرار می شود. بعد از اینکه تمامی موارد مورد نیاز را پیکربندی کردید ، می توانید GPO مورد نظر را به OU ای که سرورهای مورد نظر برای ایزوله سازی در آن قرار گرفته اند لینک کنید.
نتیجه گیری
ایزوله سازی سرورها یک سطح امنیتی و کنترل دسترسی است که مکمل تکنولوژی های امنیتی مانند آنتی ویروس ، فایروال و سیستم های تشخیص و جلوگیری از نفوذ می باشد.این قابلیت به شما اجازه می دهد که بتوانید از طریق Group Policy تنظیمات مربوط به ایجاد ، توزیع و مدیریت متمرکز Connection Security Rule ها را برای ایزوله سازی سرورها استفاده کنید. این نوع راهکار امنیتی از بهترین موارد امنیتی می باشد که دردسرهای چندانی در شبکه ایجاد نمی کند و در عین حال کاربران شبکه چندان متوجه اعمال چنین پارامتر امنیتی نخواهند شد. امیدوار هستم که این مقاله مورد توجه شما دوستان قرار بگیرد. ITPro باشید.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه نهم مرداد ۱۳۹۲ | 9:11 | نویسنده : حمید مقصودی |
در ادامه مقاله اول، پس از آشنائی با نحوه کار با Librararies در ویندوز،
در این مقاله به نحوه ایجاد Home Group خواهم پرداخت.همانگونه که میدانید؛
از Home Group میتوان به عنوان یکه شبکه کوچک و غیر پیچیده، بدون تنظیمات
خاص استفاده کرد، البته باید بدانیم که اگر سطوح دسترسی در شبکه و امنیت
اطلاعات مهم باشند و اعمال محدودیتها در شبکه زیاد باشند میباست از شبکه
های Work Group و یا Domain استفاده کنیم. از شرایط ایجاد Home Group وجود
ویندوزهای سالم و روبه راه و Gateway واقعی(مثلاً وجود مودم Adsl) میباشد
که بدین واسطه میتوان اینترنت در شبکه داشت البته در صورت عدم وجود Gateway
واقعی و یا اگر از سیستمهای ویرچوال استفاده می کنیم (با تنظیم کارت شبکه
ها روی NAT) قادر به راه اندازی Home Group هستیم اما باید بدانیم که پس
از یکبار Restart شدن سیستمها تنظیمات Home Group از بین میرود و میبایست
مجدداً راه اندازی شود. در Home Group با استفاده از Libraries سیستمها،
میتوان اطلاعات را بین اعضای گروه به اشتراک گذاشت، علاوه بر آن قادر به
اشتراک گذاری پرینترها و استفاده از قابلیت Windows Media Streaming (برای
به اشتراک گذاری فایلهای صوتی و تصویری) خواهید بود.
بصورت کلی برای راه اندازی Home Group ، یک سیستم به عنوان میزبان، Home Group را راه اندازی و سایر سیستمها به واسطه سیستم میزبان عضو Home Group میشوند. برای شروع باید بدانیم که در کلیه سیستمهائی که قصد داریم به Home Group بپیوندند، می بایست تنظیمات Advanced sharing settings آنها در قسمت Home or work بصورت زیر باشد:
بصورت کلی برای راه اندازی Home Group ، یک سیستم به عنوان میزبان، Home Group را راه اندازی و سایر سیستمها به واسطه سیستم میزبان عضو Home Group میشوند. برای شروع باید بدانیم که در کلیه سیستمهائی که قصد داریم به Home Group بپیوندند، می بایست تنظیمات Advanced sharing settings آنها در قسمت Home or work بصورت زیر باشد:
سپس از طریق Control Panel و یا Task-bar ویا با استفاده از Start وارد Network and Sharing Center میشویم:
اگر در قسمت View Your Active Network ، Home Network مشاهده نمیشد، میبایست تنظیمات شبکه (Network Location) به آن تغییر کند، اگر شما از Gateway واقعی استفاده میکنید از همین قسمت قادر به تغییر آن میباشید مانند تصویر زیر؛
نکته: برای تغییر Network Location نیاز به دسترسی Administrator میباشد.
امّا اگر از ویرچوال استفاده میکنید و یا Gateway غیر حقیقی، برای تغییر Network Location میبایست به طریق زیر عمل نمایئد: از طریق پنجره Network and Sharing Center در پایین پنجره گزینه Home Group را انتخاب نمائید و یا از طریق Start عنوان Home Group را جستجو کنید.
و با استفاده از قسمت What is network location? ، گزینه Home Network را انتخاب نمائید:
پس از انجام موارد بالا، در پنجره ظاهر شده زیر میتوانید پرینتر و مواردی از libraries را بمنظور اشتراک گذاری با سایر اعضای گروه انتخاب نمائید:
در مرحله بعدی پسوردی نمایان میگردد که برای اضافه نمودن سایر کامپیوترها به گروه لازم میگردد، البته اگر آن را یادداشت نکردید مشکلی نیست و بعداً قابل تغیر است:
و در مرحله بعدی شما قادر به؛
تغییر پسورد از طریق گزینه Change the password،
خارج شدن از Home group، از طریق گزینه Leave the home group و
اشتراک گذاری فایلهای صوتی و تصویری از طریق گزینه Share media with devices هستید:
حالا برای تعریف پسورد جدید طبق تصاویر زیر عمل نمائید:
هم اکنون وارد قسمت Network and Sharing Center شوید ، باید قسمت View your active networks شما بصورت زیر باشد و حالت Home group سیستم شما، Joined باشد. در غیر این صورت میبایست وارد تنظیمات Home group شوید و گزینه Leave the home group را بزنید و مجدداً مراحل بالا را تکرار کنید:
حالا برای اینکه سایر سیستمها را عضو این Home Group کنیم، ابتدا Network Location آنها را طبق مطالب فوق الذکر، Home Network قرار داده، و در مرحله زیر با انتخاب گزینه Cancel از ادامه کار صرف نظر کنید:
پس از گذشت زمانی کوتاه و یا با چند بار Refresh نمودن سیستم، وارد قسمت Network and Sharing Center شوید، در این مرحله میباست همانند تصویر زیر، گزینه Available To Join در قسمت view your Active Networks ظاهر شده باشد:
با انتخاب گزینه Available To Join و سپس گزینه Join Now ، وارد قسمت تنظیمات فایلهای اشتراکی سیستم جدید میشوید و مواردی را که قصد اشتراک گذاری آنها را دارید، مشخص میکنید:
در مرحله بعدی وارد کردن پسوردی که در ابتدا تعریف شده، برای ملحق شدن به گروه، الزامی است:
با وارد کردن پسورد، کار عضویت سیستم جدید در Home Group به اتمام میرسد:
حالا شما قادر خواهید بود، اعضای گروه و فایلهای اشتراکی آنها را مشاهده نمائید (تصاویر زیر)
نکته: در صورت عدم مشاهده اعضای گروه، میبایست Log off، Log on صورت گیرد.
نکته: در قسمت Public از library هر کاربر که در Home Group عضو است، شما قادر به اشتراک گذاری فایل هستید.
نکته: کاربرهای عادی قادر به خارج شدن از Home Group میباشند.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه بیست و پنجم تیر ۱۳۹۲ | 8:39 | نویسنده : حمید مقصودی |
در این مقاله و مقاله بعدی قصد دارم به طریقه ایجاد Home Group بپردازم. از
آنجا که از ملزومات استفاده از این قابلیت ، آشنائی با Libraries
(کتابخانه ها) در ویندوز است. لذا در این قسمت با این موضوع آشنا خواهیم
شد.Libraries در واقع امکان دسته بندی فایلها و فولدرهای سیستم را بر اساس
زمان، نوع و ... فراهم و علاوه بر این امکان Share کردن این اطلاعات را با
سایر اعضای Home Group با آسان ترین نحو و بصورت هوشمند، امکان پذیر می
نماید. اگر My Computer را باز کنیم در سمتِ چپِ پنجره باز شده، عنوان
Libraries را خواهیم دید. همانگونه که ملاحظه میکنید Libraries از 4 بخش
Documents, music, Pictures , Videos و هر بخش از دو قسمت با عنوان های …My
و … Public، بصورت پیشفرض تشکیل شده است.
قسمت …My شامل فولدرهای شخصی هر کاربر میباشد و قسمت …Public مربوط به فولدرهای عمومی مشترک برای تمامی کاربرها در یک سیستم میباشد. در ضمن فولدرهای Public برای شیر کردن اطلاعات در Home Group مورد استفاده قرار میگیرند.
حالا برای دسته بندی اطلاعات سیستم خود به طریق زیر عمل نمائید، با توجه به تصاویر ذیل، ابتدا به My Computer رفته و در قسمت Libraries برای دسته بندی فایلهای صوتی کامپیوتر خود، بر روی عنوان Music راست کلیک نموده و Properties را انتخاب کنید،
سپس گزینه Include a Folder را انتخاب و آدرس فولدر مورد نظرتان را که حاوی موزیک است مشخص کنید و بر روی گزینه Include Folder برای اضافه شدن به Library ، کلیک کنید. و به همین ترتیب با تکرار این عمل سایر فولدرهای موجود در سایر درایوها را اضافه نمائید،
در همین قسمت (تصویر زیر) شما قادر به حذف (Remove) کردن مکانهای انتخاب شده (Location) نیز میباشید.
و با انتخاب گزینه های Apply و OK ، قسمت Music در Libraries با محتوای فولدرهای معرفی شده، بصورت زیر نمایان خواهد شد.
برای سایر قسمتهای Documents, Pictures , Videos نیز میتوانید به همین صورت عمل کنید و فایلهای سیستم خود را دسته بندی نمائید. روش دیگر برای معرفی فولدرهای مورد نظر این است که بر روی عنوان هر یک از قسمتهای Documents, music, Pictures , Videos کلیک نموده و طبق تصویر زیر عمل نمائید:
لازم به ذکر است شما میتوانید حتی یک Library جدید بسازید، به یکی از روشهای در تصویر زیر:
و سپس نامی برای آن انتخاب کنید و با بازکردن آن به ویزارد معرفی فولدرها یعنی (Include a Folder) داخل شوید و طبق توضیحات قبلی عمل نمائید:
همانگونه که ملاحظه کردید با توجه به مکان هائی که معرفی مینمائید، موزیکها و یا سایر اطلاعات سیستم شما به صورت دسته بندی شده و با دسترسی سریع و آسان در اختیار شما قرار میگیرد. و در مقاله بعدی به راحتی میتوانید قسمتی و یا کل اطلاعات موجود در Libraries را با راه اندازی Home Group با سایر اعضای گروه به اشتراک بگذارید.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه بیست و پنجم تیر ۱۳۹۲ | 8:37 | نویسنده : حمید مقصودی |
Join کردن کامپیوتر Client به Domain در صورت زیاد بودن تعداد clientها،
میتواند بسیار کار وقت گیری باشد. در نتیجه در صورتی که بتوانیم زمان انجام
این کار برای هر کامپیوتر را، هرچند به مدت کمی کوتاه کنیم، در وقت خود
صرفه جویی کرده ایم.
در این آموزش میخواهیم با استفاده از 2 دستور netsh و netdom در قالب ایجاد یک batch فایل در زمان انجام این کار صرفه جویی کنیم.
برای استفاده از دستور netdom در ویندوز XP، نیاز به نصب support tools داریم که در CD ویندوز XP قرار دارد، ولی در ویندوز 7 نیازی به نصب این مجموعه نداریم.
با استفاده از دستور زیر میتوان آدرس 192.168.1.3 را برای ip address و 255.255.255.0 را به عنوان subnet mask قرار داد:
دستور زیر نیز 192.168.1.2 را برای dns کامپیوتر client اختصاص می دهد:
مرحله بعد استفاده از دستور netdom برای join کردن کامپیوتر client به domain است. قالب دستور به صورت زیر است:
در دستور بالا اگر مقدار ستاره را برای password قرار دهیم بعد از اجرای این دستور پسورد کاربر domain مورد نظر از ما پرسیده می شود. ولی میتوان به جای ستاره پسورد را نیز در این دستور قرار داد.
برنامه notepad را باز میکنیم و این 3 دستور را در آن نوشته و با پسوند bat. ذخیره میکنیم.
موضوعات مرتبط: اکتیو دایرکتوری
در این آموزش میخواهیم با استفاده از 2 دستور netsh و netdom در قالب ایجاد یک batch فایل در زمان انجام این کار صرفه جویی کنیم.
برای استفاده از دستور netdom در ویندوز XP، نیاز به نصب support tools داریم که در CD ویندوز XP قرار دارد، ولی در ویندوز 7 نیازی به نصب این مجموعه نداریم.
با استفاده از دستور زیر میتوان آدرس 192.168.1.3 را برای ip address و 255.255.255.0 را به عنوان subnet mask قرار داد:
1 | netsh interface ip set address "Local Area Connection" static 192.168.1.3 255.255.255.0 |
دستور زیر نیز 192.168.1.2 را برای dns کامپیوتر client اختصاص می دهد:
1 | netsh interface ip set dns "Local Area Connection" static 192.168.1.2 |
مرحله بعد استفاده از دستور netdom برای join کردن کامپیوتر client به domain است. قالب دستور به صورت زیر است:
1 | netdom
join |
در دستور بالا اگر مقدار ستاره را برای password قرار دهیم بعد از اجرای این دستور پسورد کاربر domain مورد نظر از ما پرسیده می شود. ولی میتوان به جای ستاره پسورد را نیز در این دستور قرار داد.
برنامه notepad را باز میکنیم و این 3 دستور را در آن نوشته و با پسوند bat. ذخیره میکنیم.
1 2 3 4 | @echo offnetsh interface ip set address "Local Area Connection" static 192.168.1.3 255.255.255.0netsh interface ip set dns "Local Area Connection" static 192.168.1.2netdom
join clientxp /domain:itpro.local /ou:ou=TestClient,dc=itpro,dc=local
/userd:itpro.local\administrator /passwordd:P@ssw0rd /reboot:5 |
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه بیست و پنجم تیر ۱۳۹۲ | 8:35 | نویسنده : حمید مقصودی |
در این مقاله و در ادامه مقاله قبلی که در خصوص اشتراک منابع در شبکه بود
به سراغ بررسی تفاوت های بین سطوح دسترسی منابع اشتراک گذاشته شده یا Share
Level Permissions و سطوح دسترسی فایل یا File Level Permissions می
پردازیم . در مقاله قبلی به شما آموزش دادیم که چگونه یک پوشه را به اشتراک
بگذارید و در حقیقت یک فایل سرور ایجاد کنید . در مقاله قبلی ما فقط این
پوشه اشتراکی را ایجاد کردیم اما به آن دسترسی های مجاز را ندادیم ، یعنی
الان پوشه ما برای همه قابل دسترسی است و همه می توانند از منابع موجود در
پوشه ها استفاده کنند . در این مقاله به شما سطوح دسترسی متفاوتی که در این
موارد وجود دارد را معرفی و در مهمترین مبحث تفاوت بین دو نوع سطح دسترسی
در سطح پوشه های اشتراکی که به نام Share Level Permissions و در سطح فایل
که File Level Permissions نام دارند می پردازیم .
ایمن سازی یک پوشه به اشتراک گذاشته شده
هدف اصلی از بوجود آوردن پوشه های اشتراکی ، قرار دادن این پوشه ها برای
دسترسی افراد تحت شبکه می باشد ، اما شما باید به این موضوع هم توجه داشته
باشید که افرادی که به این پوشه متصل می شوند تا چه اندازه بایستی سطح
دسترسی به منابع داشته باشند ؟ برای مثال فرض کنید که معاونت نیروی انسانی
شما یک فایل اکسل را در این پوشه قرار داده است که میزان حقوق و اضافه کاری
ماهیانه همه پرسنل سازمان در آن قرار گرفته است . همه افرادی که در
معاونت نیروی انسانی سازمان شما قرار دارند بایستی به این فایل دسترسی
داشته باشند و بتوانند آن را تغییر و بروز رسانی کنند . افرادی که در
معاونت مالی و بودجه سازمان شما قرار دارند نیز بایستی به این لیست برای
پرداخت حق الزحمه کارکنان دسترسی داشته باشند اما نبایستی بتوانند این لیست
را تغییر بدهند . با توجه به حساسیت موجود در بحث اطلاعاتی که در این فایل
وجود دارد ، سایر افرادی که در سازمان قرار دارند نبایستی هیچگونه دسترسی
به این فایل داشته باشند . خوب با این طرز تفکر امنیت به سراغ روش های
پیاده سازی امنیت در این سطح از سازمان می رویم .
نکته بسیار بسیار مهمی که در خصوص پوشه های به اشتراک گذاشته شده بایستی بدانید این است که امنیت در این موارد در دو سطح متفاوت وجود دارد ، سطح اشتراک Share Level و سطح فایل File Level که هر کدام به نوبه خود دارای امکانات امنیتی ویژه ای هستند که بر حسب شرایط از یک یا هر دوی این سطوح امنیتی استفاده می شود .
سطوح امنیتی دسترسی اشتراکی یا Share Level Security مستقیما به نقطه به اشتراک گذاشته شده اشاره می کنند که شما ایجاد کرده اید . زمانی که کاربران از طریق شبکه به این پوشه های اشتراکی متصل می شوند اینگونه سطوح دسترسی اعمال می شود . در مقابل سطوح دسترسی فایل یا File Level Permissions دقیقا به فایل ها و پوشه هایی اشاره می کنند که درون این پوشه به اشتراک گذاشته شده قرار گرفته اند و با خود نقظه اشتراک یا پوشه Share شده کاری ندارند .
دلیل اینکه سطوح امنیتی در ویندوز در دو سطح مجزا تعیین شده است تا حدود زیادی به انقلابی که ویندوز ایجاد کرد باز می گردد. سیستم عامل ویندوز از دو نوع قالب بندی هارد دیسک یا بهتر بگوییم فایل سیستم به نام FAT و NTFS پشتیبانی می کند . سیستم فایل FAT از سیستم فایل های قدیمی محسوب می شود که از سال 1980 در سیستم عامل ها قرار گرفت و چندان دیدگاه امنیتی در این نوع فایل سیستم وجود نداشت . از طرفی دیگر NTFS فایل سیستمی است که کاملا با دیدگاه امنیتی ایجاد شد ، شما در درایوی که از NTFS استفاده میکند می توانید برای هر پوشه و یا فایل بصورت جداگانه سطوح دسترسی برای کاربران تعیین کنید و اینکار با فایل سیستم FAT قابل پیاده سازی نیست .
از آنجایی که FAT سطوح دسترسی در سطح فایل ها و پوشه ها را بر روی سیستم پشتیبانی نمی کرد ، مایکروسافت برای اینکه تا حدی بتواند این نقطه ضعف امنیتی را در منابع اشتراکی جبران کند سطوح دسترسی اشتراکی یا Share Level Permissions را ایجاد کرد . امروزه بیشتر سیستم هایی که مشاهده می کنید از فایل سیستم NTFS استفاده می کنند و فایل سیستم FAT در حال انقضاء است . شما همچنان می توانید از قابلیت های سطوح دسترسی اشتراکی یا Share Level Permissions استفاده کنید اما همیشه بهترین روش استفاده از سطوح دسترسی در سطح فایل یا File Level Security است که در NTFS وجود دارد .
خوب حتما این سئوال برای شما هم پیش می آید که چرا سطوح دسترسی فایل و پوشه بهتر از سطوح دسترسی اشتراکی هستند ؟ برای تازه کاران باید بگویم که سطوح دسترسی اشتراکی صرفا به کاربرانی اعمال می شود که از طریق شبکه به منابع به اشتراک گذاشته شده متصل می شوند . این خود میتواند مشکل ساز باشد زیرا ویندوز میتواند رد یک درایو از سیستم چندین پوشه اشتراکی داشته باشد اگر این نقاط اشتراکی در ویندوز زیاد شوند باعث ایجاد یک اصطکاک یا تداخل میشه که باعث میشه کاربران دسترسی های غیر مجازی رو بتونن به منابع سیستمی بصورت نا خواسته پیدا کنند.
نکته بعدی که باعث می شود سطوح دسترسی در سطح فایل و پوشه ها نسبت به سطوح دسترسی اشتراکی ترجیح داده بشوند این هست که اینگونه سطوح دسترسی صرفا زمانی اعمال می شود که کاربران از طریق منابع شبکه به پوشه دسترسی پیدا کنند ، و هنگامی که کاربر بصورت فیزیکی بر روی سرور و یا کامپیوتر به سیستم ورود کند هیچگونه محدودیتی در استفاده از منابع سیستمی نخواهد داشت. این نکته را به یاد داشته باشید که در صورتیکه فقط سطوح دسترسی اشتراکی در شبکه وجود داشته باشد بای بگوییم که رسما کاربران به منابعی که به اشتراک گذاشته شده اند دسترسی کامل دارند .
سطوح دسترسی در سطح فایل ها حتی زمانی که سیستم با یک سیستم عامل دیگر Boot شود و یا اینکه هارد دیسک سیستم را جدا کرده و در ماشین دیگری قرار بدهیم باز هم قابلیت های خود را دارند و امیت را برقرار می کنند . سطوح دسترسی اشتراکی دارای چنین قابلیت هایی نیستند و به سادگی قابل دور زدن هستند .
خوب با توجه به توضیحاتی که دادیم سطوح دسترسی اشتراکی بسیار ضعیفتر از سطوح دسترسی فایل و پوشه هستند ، در اینجا ممکن است یک سئوال برایمان پیش بیاید که به چه دلیل ما از سطوح دسترسی اشتراکی یا Share Permissions استفاده میکنیم ؟ چرا وقتی چنین ضعف ها امنیتی بزرگی در یک ساختار وجود دارد ، باز هم ما از آن استفاده میکنیم ؟ پاسخ ساده است ، ما برای متصل شدن به پوشه ها در سطح شبکه به یک نقطه ورود یا Entry Point نیاز داریم که در اینجا Share Permission ها اینکار را برای ما انجام می دهند . در اینجا ما با استفاده از سطوح دسترسی فایل یا NTFS Permissions فایل های خود را امین سازی و سطوح دسترسی را برای آنها تعیین می کنیم ، مشاهده می کنید که ما بایستی بصورت ترکیبی از این دو نوع سطوح دسترسی استفاده کنیم .
همانطوری که می دانید در مقاله های قبلی یک پوشه اشتراکی به نام Data ایجاد کردیم و آنرا به اشتراک گذاشتیم . برای اینکه بتوانید سطوح دسترسی به این پوشه اشتراکی را تعیین کنید بایستی بر روی پوشه مورد نظر راست کلیک کرده و قسمت Properties را انتخاب کنید . حال به تب Sharing وارد شوید همانطوری که در تصویر الف مشاهده می کنید . همانطور که در تصویر می بینید یک دکمه به نام Permissions وجود دارد . شما با کلیک کردن بر روی این دکمه می توانید سطوح دسترسی اشتراکی یا Share Level Permissions را تعیین کنید .
نکته بسیار بسیار مهمی که در خصوص پوشه های به اشتراک گذاشته شده بایستی بدانید این است که امنیت در این موارد در دو سطح متفاوت وجود دارد ، سطح اشتراک Share Level و سطح فایل File Level که هر کدام به نوبه خود دارای امکانات امنیتی ویژه ای هستند که بر حسب شرایط از یک یا هر دوی این سطوح امنیتی استفاده می شود .
سطوح امنیتی دسترسی اشتراکی یا Share Level Security مستقیما به نقطه به اشتراک گذاشته شده اشاره می کنند که شما ایجاد کرده اید . زمانی که کاربران از طریق شبکه به این پوشه های اشتراکی متصل می شوند اینگونه سطوح دسترسی اعمال می شود . در مقابل سطوح دسترسی فایل یا File Level Permissions دقیقا به فایل ها و پوشه هایی اشاره می کنند که درون این پوشه به اشتراک گذاشته شده قرار گرفته اند و با خود نقظه اشتراک یا پوشه Share شده کاری ندارند .
دلیل اینکه سطوح امنیتی در ویندوز در دو سطح مجزا تعیین شده است تا حدود زیادی به انقلابی که ویندوز ایجاد کرد باز می گردد. سیستم عامل ویندوز از دو نوع قالب بندی هارد دیسک یا بهتر بگوییم فایل سیستم به نام FAT و NTFS پشتیبانی می کند . سیستم فایل FAT از سیستم فایل های قدیمی محسوب می شود که از سال 1980 در سیستم عامل ها قرار گرفت و چندان دیدگاه امنیتی در این نوع فایل سیستم وجود نداشت . از طرفی دیگر NTFS فایل سیستمی است که کاملا با دیدگاه امنیتی ایجاد شد ، شما در درایوی که از NTFS استفاده میکند می توانید برای هر پوشه و یا فایل بصورت جداگانه سطوح دسترسی برای کاربران تعیین کنید و اینکار با فایل سیستم FAT قابل پیاده سازی نیست .
از آنجایی که FAT سطوح دسترسی در سطح فایل ها و پوشه ها را بر روی سیستم پشتیبانی نمی کرد ، مایکروسافت برای اینکه تا حدی بتواند این نقطه ضعف امنیتی را در منابع اشتراکی جبران کند سطوح دسترسی اشتراکی یا Share Level Permissions را ایجاد کرد . امروزه بیشتر سیستم هایی که مشاهده می کنید از فایل سیستم NTFS استفاده می کنند و فایل سیستم FAT در حال انقضاء است . شما همچنان می توانید از قابلیت های سطوح دسترسی اشتراکی یا Share Level Permissions استفاده کنید اما همیشه بهترین روش استفاده از سطوح دسترسی در سطح فایل یا File Level Security است که در NTFS وجود دارد .
خوب حتما این سئوال برای شما هم پیش می آید که چرا سطوح دسترسی فایل و پوشه بهتر از سطوح دسترسی اشتراکی هستند ؟ برای تازه کاران باید بگویم که سطوح دسترسی اشتراکی صرفا به کاربرانی اعمال می شود که از طریق شبکه به منابع به اشتراک گذاشته شده متصل می شوند . این خود میتواند مشکل ساز باشد زیرا ویندوز میتواند رد یک درایو از سیستم چندین پوشه اشتراکی داشته باشد اگر این نقاط اشتراکی در ویندوز زیاد شوند باعث ایجاد یک اصطکاک یا تداخل میشه که باعث میشه کاربران دسترسی های غیر مجازی رو بتونن به منابع سیستمی بصورت نا خواسته پیدا کنند.
نکته بعدی که باعث می شود سطوح دسترسی در سطح فایل و پوشه ها نسبت به سطوح دسترسی اشتراکی ترجیح داده بشوند این هست که اینگونه سطوح دسترسی صرفا زمانی اعمال می شود که کاربران از طریق منابع شبکه به پوشه دسترسی پیدا کنند ، و هنگامی که کاربر بصورت فیزیکی بر روی سرور و یا کامپیوتر به سیستم ورود کند هیچگونه محدودیتی در استفاده از منابع سیستمی نخواهد داشت. این نکته را به یاد داشته باشید که در صورتیکه فقط سطوح دسترسی اشتراکی در شبکه وجود داشته باشد بای بگوییم که رسما کاربران به منابعی که به اشتراک گذاشته شده اند دسترسی کامل دارند .
سطوح دسترسی در سطح فایل ها حتی زمانی که سیستم با یک سیستم عامل دیگر Boot شود و یا اینکه هارد دیسک سیستم را جدا کرده و در ماشین دیگری قرار بدهیم باز هم قابلیت های خود را دارند و امیت را برقرار می کنند . سطوح دسترسی اشتراکی دارای چنین قابلیت هایی نیستند و به سادگی قابل دور زدن هستند .
خوب با توجه به توضیحاتی که دادیم سطوح دسترسی اشتراکی بسیار ضعیفتر از سطوح دسترسی فایل و پوشه هستند ، در اینجا ممکن است یک سئوال برایمان پیش بیاید که به چه دلیل ما از سطوح دسترسی اشتراکی یا Share Permissions استفاده میکنیم ؟ چرا وقتی چنین ضعف ها امنیتی بزرگی در یک ساختار وجود دارد ، باز هم ما از آن استفاده میکنیم ؟ پاسخ ساده است ، ما برای متصل شدن به پوشه ها در سطح شبکه به یک نقطه ورود یا Entry Point نیاز داریم که در اینجا Share Permission ها اینکار را برای ما انجام می دهند . در اینجا ما با استفاده از سطوح دسترسی فایل یا NTFS Permissions فایل های خود را امین سازی و سطوح دسترسی را برای آنها تعیین می کنیم ، مشاهده می کنید که ما بایستی بصورت ترکیبی از این دو نوع سطوح دسترسی استفاده کنیم .
همانطوری که می دانید در مقاله های قبلی یک پوشه اشتراکی به نام Data ایجاد کردیم و آنرا به اشتراک گذاشتیم . برای اینکه بتوانید سطوح دسترسی به این پوشه اشتراکی را تعیین کنید بایستی بر روی پوشه مورد نظر راست کلیک کرده و قسمت Properties را انتخاب کنید . حال به تب Sharing وارد شوید همانطوری که در تصویر الف مشاهده می کنید . همانطور که در تصویر می بینید یک دکمه به نام Permissions وجود دارد . شما با کلیک کردن بر روی این دکمه می توانید سطوح دسترسی اشتراکی یا Share Level Permissions را تعیین کنید .
شکل الف : دکمه Permissions برای قرار دادن سطوح دسترسی اشتراکی برای پوشه به اشتراک گذاشته شده استفاده می شود.
حالا در همان قسمت به تب Security هم وارد شوید . در این قسمت شما می توانید سطوح دسترسی فایل ها و پوشه های را تعیین کنید . مهمترین نکته ای که در خصوص سطوح دسترسی فایل و پوشه بایستی بدانید این است که دسترسی ها در حالت معمول بر اساس یک ساختار سلسله مراتبی یا بهتر بگوییم موروثی ایجاد می شوند . موروثی به این معناست که زمانی که شما یک سطح دسترسی را برای یک پوشه ایجاد میکنید بصورت پیشفرض کلیه پوشه هایی که درون این پوشه قرار دارند نیز همین سطوح دسترسی را خواهند داشت و در واقع یک حالت والدین و فرزندان در این میان به وجود می آید . این مورد شامل تمامی پوشه ها و فایل هایی است که در این پوشه قرار دارند .
نکته دیگری که در خصوص سطوح دسترسی فایل و پوشه بایستی بدانید این است که به دلیل وجود همین خاصیت سلسله مراتبی بودن و موروثی بودن که به اصطلاح inheritance نیز گفته می شود بسیاری از سطوح دسترسی بصورت خودکار به وجود خواهند آمد .ار به تصویر ب توجه کنید تب Security را با تمامی جزئیات آن مشاهده می کنید . همانطور که در تصویر مشاهده می کنید چندین نوع سطح دسترسی برای پوشه ها بصورت پیشفرض ایجاد شده است . الان قصد ندارم که ریز به ریز کلیه این خصوصیات را برای شما تشریح کنم و به امید خدا در مقالات بعدی هر یک از این سطح دسترسی ها را به هم مرور خواهیم کرد . فقط در این لحظه به خاطر بسپارید که به محض ایجاد شدن پوشه ، یک سری دسترسی های بصورت خودکار برای آن از طریق NTFS Permissions ایجاد می شود .
شکل ب : تب Security برای قرار دادن سطوح دسترسی فایل و پوشه ها یا بهتر بگوییم NTFS Permissions استفاده می شود .
اگر به تب Security توجه کنید ، متوجه می شوید که نیمی از این قسمت را لیستی از کاربران و گروه ها و نیمی دیگر را سطوح دسترسی تشکیل می دهند .اگر می خواهید برای گروه یا کاربر خاصی سطوح دسترسی تعیین کنید کافیست بر روی قسمت بالایی و کاربر یا گروهی که می خواهید انتخاب را انجام داده و در قسمت پایینی سطح دسترسی مورد نظر را انتخاب کنید . قطعا برای اینکه بتوانید سطح دسترسی متناسبی را برای کاربران تعیین کنید بایستی دقیقا بدانید که هر یک از این سطوح دسترسی چه کاری انجام می دهد . من در قسمت بعدی از مقالات این سطوح دسترسی را به دقت برای شما تشریح خواهم کرد .
نتیجه
در این مقاله من در مورد سطوح دسترسی استراکی یا Share Level Permissions و
همچنین سطوح دسترسی فایل و پوشه یا NTFS Permissions صحبت کردم و در خصوص
چگونگی قرار دادن اینگونه سطوح دسترسی نیز تا حدی صحبت کردم . در قیمت بعدی
از این سری مقالات در خصوص این موضوع صحبت می کنیم که خود سطوح دسترسی
چگونه کار می کنند و چگونه به فایل ها و پوشه ها اعمال می شوند .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:38 | نویسنده : حمید مقصودی |
در این مقاله برای تکمیل مقالات قبلی در خصوص سطح دسترسی فایل صحبت خواهیم
کرد. در مقاله قبلی به این موضوع اشاره کردیم که پوشه های اشتراکی هم می
توانند توسط سطوح دسترسی اشتراکی یا Share Permissions و یا سطوح دسترسی
فایل و پوشه یا NTFS Permissions ایمن سازی شوند. در مقاله قبلی به شما
آموزش سطوح دسترسی اشتراکی و چگونگی اعمال آنها بر روی پوشه های اشتراکی را
شرح دادیم و گفتیم که علاوه بر این نوع سطح دسترسی شما می توانید با
استفاده از NTFS Permissions نیز پارامترهای امنیتی بیشتری را به فایل ها و
پوشه های خود اضافه کنید . در این مقاله به شما آموزش اعمال کردن سطوح
دسترسی فایل و پوشه را از طریق NTFS Permisions را به شما آموزش خواهیم داد
.
دستور Convert
همانطوری که قبلا هم شرح دادم برای اینکه بتوانیم از NTFS Permissions برای ایمن سازی فایل ها و پوشه ها استفاده کنید ، درایو کامپیوتر شما بایستی توسط فایل سیستم NTFS فرمت شده باشد .اگر درایو کامپیوتر دارای فایل سیستم FAT یا FAT32 باشد صرفا میتوان از سطوح دسترسی اشتراکی استفاده کرد و قابلیت سطح دسترسی فایل و پوشه وجود ندارد . خبر خوب این است که شما برای اینکه بتوانید فایل سیستم های FAT و FAT32 را به NTFS تبدیل کنید نیازی نیست که درایو خود را فرمت کنید . شما می توانید با استفاده از دستور Convert اینکار را انجام بدهید . اگر درایو کامپیوتر شما از الان NTFS است دیگر نیازی به انجام این مرحله نیست و می توانید از این مرحله عبور کنید .استفاده از دستور Convert بسیار ساده است ، شما براحتی و در ساده ترین حالت ممکن می توانید با وارد کردن دستور Convert و مشخص کردن نام درایو کامپیوتر آنرا به NTFS تبدیل کنید . برای مثال شما می خواهید درایو D را که دارای فایل سیستم FAT32 است را به فایل سیستم NTFS تبدیل کنید بدون اینکه اطلاعات شما از بین برود ، دستور مورد نظر به شکل زیر خواهد شد :
1 | CONVERT D: /FS:NTFS |
سویچ دیگری که به شما پیشنهاد می کنم که از آن استفاده کنید سویچ /Nosecurity است . این سویچ به دستور می گوید که پس از تبدیل شدن به NTFS دسترسی به محتویات درایو را برای همه مجاز بدان و به همه یا به اصطلاح Everyone دسترسی کامل به درایو را بده . این دستور به شما این قابلیت را میدهد که بتوانید پس از انجام شدن فرآیند تبدیل ، بتوانید از اول تمامی دسترسی های کاربران به سیستم را ایجاد کنید . در صورت عدم استفاده از این دستور ، سیستم بصورت پیشفرض دسترسی ها را برای کاربران ایجاد می کند . بعد از اینکه هر دوی این سویچ ها به دستور convert اضافه شد ، دستور به شکل زیر در می آید :
1 | CONVERT D: /FS:NTFS /X /NoSecurity |
NTFS Permissions
در بیشتر مواقع پیاده سازی NTFS Permissions بسیار ساده است . فقط کافیست بر روی پوشه یا فایلی که می خواهید راست کلیک کنید و گزینه Properties را بزنید . پس از ورود به قسمت Properties تب Security را انتخاب کنید و تصویری مشابه شکل الف مشاهده خواهید کرد :
شکل الف : NTFS Permissions با استفاده از تب Security موجود در Properties پوشه ها و فایل ها پیاده سازی می شود
همانطور که در شکل مشاهده می کنید ، قسمت بالایی تب Security دارای یک لیست از کاربران و گروه های می باشد . شما می توانید براحتی با استفاده از دکمه Add و یا Remove کاربران و گروه ها را اضافه و حذف کنید .شما براحتی ابتدا بر روی گروه یا کاربر مورد نظر خود در قسمت بالایی کلیک کنید و سپس در قسمت پایین با استفاده از چک باکس های موجود دسترسی های مورد نظر خود را تعیین کنید .
Permission ها یا سطوح دسترسی که در قسمت پایین تب مشاهده می کنید تا حد زیادی مفهوم و قابل درک هستند و فکر نمی کنم توضیحاتی در مورد اینکه چه دسترسی هایی را به افراد می دهند لازم باشد ارائه کنیم . دو مورد هست که شما بایستی در خصوص این تب بدانید ، اولین نکته این است که شما می توانید یک سطح دسترسی را در حالت Allow و یا Deny و یا اینکه هیچکدام قرار بدهید . همیشه در ذهن داشته باشید که دسترسی Deny بر روی دسترسی Allow به اصطلاح Override کرده و جایگزین می شود . نکته دیگری هم در این میان هست ، اگر شما به کسی دسترسی ندهید ، یا به قولی هیچکدام از این چک باکس ها را پر نکنید به این معناست که به وی دسترسی مورد نظر را نداده اید مگر اینکه از طریق قابلیت inheritance یا ارث بری بتواند به منبع مورد نظر دسترسی پیدا کنید . در خصوص ساختار موروثی و inheritance بعدا بیشتر صحبت خواهیم کرد .
نکته دیگری که قابل تامل است این است که ، با اینکه شما توانایی این را دارید که به یک کاربر خاص و یا یک گروه سطح دسترسی مورد نظر خود را بدهید اما دادن سطح دسترسی به تک تک کاربران کار واقعا غیر معقول و بی کلاسی در شبکه محسوب می شود . در مقاله های قبلی در خصوص ساختار گروه ها صحبت کردیم و دلیل اصلی ایجاد گروه ها و مدیریت بهتر بر روی کاربران و منابع شبکه از این طریق را بررسی کردیم .
نکته بعدی که شاید در تصویر مشاهده کرده باشید وجود دکمه ای به نام Advanced است . با توجه به اینکه این مقاله در سطح مقدماتی نوشته شده است قصد ندارم زیاد در خصوص دکمه Advanced و امکاناتی که این دکمه در اختیار ما قرار می دهد صحبت کنیم اما دو مورد بسیار مهم است که در خصوص NTFS Permissions بایستی به آن توجه کنید .اگر بر روی دکمه Advanced کلیک کنید ، تنظیمات مربوط به آن مشابه شکل ب مشاهده می شود . به دو چک باکسی که در انتهای تصویر و قسمت Permissions نمایش داده شده است توجه کنید .
شکل ب : دو عدد چک باکس در پایین قسمت Permissions ها قرار دارد که به شما اجازه مدیریت ارث بری یا inheritance را می دهد.
سطوح دسترسی فایل یا NTFS Permissions مفهومی با عنوان ارث بری یا Inheritance را معرفی کردند . این مفهوم به این معناست که شما هر سطح دسترسی را به پوشه ها بدهید ، همین سطح دسترسی به تمامی زیر مجموعه های این پوشه نیز اعمال می شود . اولین چک باکس در این قسمت بصورت پیشفرض تیک خورده است . این تیک باعث می شود که هر دسترسی به این پوشه اعمال شود به تمامی زیر مجموعه ها نیز اعمال شود و در واقع تاییدی بر بوجود آمدن خاصیت inheritance است .چک باکس بعدی به شما این اجازه را می دهد که بتوانید این خاصیت را غیر فعال کنید و در ادامه هرگونه دسترسی که مد نظر خودتان است را به پوشه ها و فایل ها بدهید .
همانطوری که تصور کردید این چک باکس ها بسیار قابلیت های زیادی دارند و عدم توجه به آنها و انجام تنظیمات نادرست بر روی آنها می تواند به شدت ما را در شبکه دچار مشکل کند . پیشنهاد همیشگی من به تازه کاران این است که به هیچ عنوان با این چک باکس ها کاری نداشته باشید . البته این پیشنهاد خود مایکروسافت هم هست .
تضادها و مشکلات
یکی از نکات مهم در سیستم عامل ویندوز بوجود آمدن مغایرت ها و تضاد های امنیتی بین شیوه کارکرد فایل سیستم NTFS و روشی که تنظیمات امنیتی در ویندوز کار می کند است . برای مثال فکر کنید که یک کاربر محدود شده ناخواسته در گروهی عضویت پیدا می کند که دسترسی کاملی به پوشه های اشتراکی و فایل های ویندوز دارد ، به دلیل اینکه در عضویت این گروه جدید در آمده است ، کلیه دسترسی هایی که این گروه دارا می باشد را بدست می آورد . به یاد مفهوم Group Nesting که در مقالات قبلی به آن اشاره کردم بیافتید که چه اتفاقی ممکن است در این مورد رخ دهد . ممکن است در همین لحظه کلیه تنظیمات امنیت ما دچار مشکل شده و نظم شبکه شما به هم بریزد .با توجه به اینکه این سری مقالات برای مبتدی ها نوشته شده است ، من وارد پیچیدگی های کاری و قوانینی که در این زمینه وجود دارد نمی شوم . فقط نکته بسیار مهم در این قوانین این است که دسترسی Deny همیشه و همیشه بر روی دسترسی های دیگر override یا جایگزین می شود . همیشه این نکته را در ذهن داشته باشید . برای اینکه بتوانید متوجه شوید که در نهایت چه نوع دسترسی به کاربر مورد نظرتان اعمال می شود ، فارق از اینکه در چه گروه هایی عضو هست ، استفاده از تب Effective Permissions است ، در این تب به شما اعلام می شود که کاربر مورد نظر در نهایت چه نوع دسترسی به منابع سیستم و این پوشه یا فایل خواهد داشت .
خوب تا همین الان وارد قسمت Advanced و انجام تنظیمات امنیتی شده ایم ، در همینجا به تب Effective Permissions بروید و در نهایت در این تب تصویری مشابه شکل ج را مشاهده خواهید کرد . این تب به شما این اجازه را می دهد که نام کاربری یا گروه مورد نظر خود را وارد کنید و مشاهده کنید که در نهایت چه نوع دسترسی برای این کاربر یا گروه خاص اعمال شده است .
شکل ج : تب Effective Permissions به شما امکان این را می دهد که بتواندی دسترسی های نهایی که به یک کاربر یا گروه اعمال شده را ببینید
اگر اطلاعات بیشتری در خصوص Effective Permissions نساز دارید بر روی لینکی که در پایین همان تب وجود دارد کلیک کنید و اطلاعات مورد نظر خود را بدیت بیاورید .
نتیجه
خوب در نهایت این سری از مقالات مقدمات شبکه تمام شد . به جرات می توانم بگویم که این مجموعه کاملترین مجموعه ای بوده که تاکنون در خصوص شبکه نوشته ام . امیدوارم که مورد توجه شما دوستان عزیز قرار گرفته باشد و برایتان آرزوی موفقیت دارم ، اگر ابهامی در هر قسمت از مقاله ها برایتان پیش آمد فورا در ادامه مقاله مربوطه اعلام نظر کنید که رسیدگی شود . ممنونم از همه شما دوستان که وقت خودتون رو صرف خوندن این سری مقالات کردین . فقط دعای خیر شما برای ادامه کار این بنده حقیر دنیایی ازرش داره . موفق باشید.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:37 | نویسنده : حمید مقصودی |
File System Quotas برای محدود کردن فضایی که کاربران به طور مثال از یک
فایل سرور استفاده می کنند به کار می رود, Disk Quota از بعد از ویندوز
2000 موجود می باشد. این ویژگی مقدار فضای مورد استفاده کاربران را روی یک
NTFS volume محدود می کند, اگر سرور شما تنها یک single storage volume
داشته باشد و نیاز به اعمال Quotas روی فولدر های متفاوت در این volume را
داشته باشید Disk Quota به شما کمکی نخواهد کرد.File system quotas برای
اولین بار در ویندوز سرور 2003R2 معرفی شد, همچنین بخشی از رل File server
در ویندوز سرور 2008 و 2008R2 می باشد. می توانیم Quotas رو برای فولدر های
خاص موجود در یک volume تنضیم کنیم, می تونیم از Template ها استفاده کنیم
و همجنین می تونیم Quotas رو به گونه ای تنضیم کنیم که به شکل خودکار به
subfolder های یک فولدر نیز اعمال شود و .......! در سرور 2008 به بعدی
file system quotas به وسیله File Server Resource Manager (FSRM) console
(که به عنوان سرویس رلی در فایل سرویس نصب می شود) اداره می شود.
در این مقاله به اعمال Disk Quotas به کاربرانی که روی فایل سرور دسترسی
دارن و هر یک به نوعی فولدری مختص به خود در آن دارند می پردازیم.
روی DC داخل کنسول Active directory یک OU داریم که کاربران این OU فایل
سرور دسترسی دارند همچنین در این OU گروهی داریم از نوع global که کاربرانی
که به فایل سرور دسترسی دارن عضو ایم گروه می باشند و فایل سرور را روی
Member server داریم.برای راه اندازی فایل سرور می تونید به مقاله های اقای
تقی زاده که زحمتشون رو کشیدن مراجعه کنید :
راه اندازی فایل سرور
پیاده سازی سناریو :
داخل کنسول Active directory یک OU مشخص ساخته شده که کاربران این OU عضو گروه مشخصی شدند که داخل همین OU ساختیم
سپس به Member server رفته داخل Server manager روی roles کلیک راست و روی Add roles کلیک می کنیم با ادامه ویزارد گزینه File services را انتخاب می کنیم و پیش می ریم تا پنجره Select role services , در این جا گزینه هایDistributed file system و File server resource manager را انتخاب می کنیم, اما به جای این مراحل نیز می توان ابتدا فولدری به عنوان فایل سرور ایجاد کنیم سپس به Server manager بریم و در پنجره Select role srvices فقط گزینه file server resource manager انتخاب و نصب کنیم و بعد در DNS برای member server یک Cname تعریف کنیم
در این جا یک Namespace مناسب وارد می کنیم
در این بخش مشخص می کنیم کاربر ها با وارد کردن کدام ادرس به فایل سرور وصل بشن که گزینه اول با نام دومین و گزینه دوم با استفاده از نام سروری که فایل سرور روی ان قرار گرفته است
در قسمت بعد ادمین شبکه را وارد می کنیم تا امکان پیاده سازی File service را داشته باشد
در این پنجره نام Namespace ای که وارد کردیم اینجا مشاهده می کنیم با کلیک روی Add می تونیم دیگر فولدر های Share شده روی دیگر سیستم ها رو این جا اضافه کنیم, اما در این سناریو هیچ فولدر دیگری اضافه نشده است
در این جا می تونیم مشخص کنیم مقدار فضای استفاده شده در هر volume برای ما monitor بشه, بعد از انتخاب درایو مورد نظر در پایین همیت قسمت روی options کلیک کرده و گزینه Quota usage report را نیز تیک می زنیم
سپس ویزارد رو تا پایان ادامه داده واین فایل سرور را نصب می کنیم, بعد از نصب به درایو C رفته وارد فولدر DfsRoot شده و روی فولدر Namespace ای که ساختیم properties گرفته و به تب sharing می ریم و در این تب با انتخاب Advanced sharing به این قسمت رفته و Everyone رو حذف می کنیم و سپس ادمین شبکه, گروهی که قرار به فایل سرور دسترسی داشته باشه را اضافه می کنیم و این دسترسی ها رو بهشون اعمال می کنیم
بعد از اتمام مرحله فوق به کنسول Active directory می ریم و در OU مورد نظر تمام کاربران را انتخاب کرده و proprties می گیریم و به تب profile می ریم و طبق تصویر تغییرات را اعمال می کنیم, اگر هم به جای تنظیم namespace از Cname استفاده کردیم Cname را به جای Domain name وارد می کنیم, بعد از انجام این کار روی هر کاربر properties بگیریم و به تب profile اش بریم در قسمت home folder مشاهده می کنیم به طور مثال home.maz\fsrmtest\ft1\\
پیاده سازی Disk Quotas :
به member server می ریم, وارد کنسول file server resource manager شده به قسمت Quota Managment رفته و Quota Template رو انتخاب می کنیم در سمت راست Create Quota Template را انتخاب کرده و با توجه به محدودیت مد نظر یک نمونه می سازیم که در این جا محدودیت برای هر کاربر 300MB در نظر گرفته شده
سپس در همین کنسول به Quotas رفته و در سمت راست create quota رو انتخاب می کنیم و طبق شکل وارد می کنیم, در Quota path فولدری که قرار این quota روش اعمال بشه را مشخص می کنیم
خوب کارمون دیگه به پایان رسیده حالا از پشت کلاینتی با کاربری که به فایل سرور دسترسی دارد logon می کنیم و به computer می ریم در این پنجره فولدر کاربر روی فایل سرور این جا به مقدار حجمی که می تونه استفاده کند را مشاهده می کنیم, کاربرانی که به فایل سرور دسترسی دارند می تونند با وارد کردن این ادرس در Run به خود فایل سرور برن یا این که این ادرس رو از طریق پالیسی براشون map drive کنیم (domain name\namespace\\)
با برگشت به قسمت Quotas می تونیم مشاهده کنیم که هر کاربر چه میزان از فضای قابل دسترس اش را استفاده کرده است
اگر کاربری بیش از فضای قابل استفاده اش فایل روی فایل سرور قرار دهد با پیغام زیر مواجه می شود البته به هنگام اضافه کردن فایل تا میزانی که فضای قابل دسترس کاربر اجازه می دهد اون فایل copy می شود, باز هم به قسمت quotas برگردیم مشاهده می کنیم
امیدوارم که مورد توجه دوستان قرار گرفته باشد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:36 | نویسنده : حمید مقصودی |
گام هشتم - استفاده از فایل سرور به شکل آفلاین
در مقالات قبلی راه اندازی فایل سرور ما به بررسی برخی از مهمترین موارد مورد نیاز برای طراحی درست و اصولی یک فایل سرور پرداختیم . در این مقاله به بررسی آفلاین فایل ها ( Offline Files ) و نقش آن در شبکه برای کمک کردن به کاربران در استفاده از فایل سرور می پردازیم . آفلاین فایل ها یک ویژگی در ویندوز7 و ویندوز xp می باشد که به کلاینت های شبکه این اجازه را می دهد که یک کپی از فایل های مورد نیاز خود که در پوشه های به اشتراک گذاری شده در فایل سرور قرار دارند را به شکل محلی در کامپیوتر خود کش نماید تا زمانی که به هر دلیلی ارتباط آنها از شبکه قطع می شود ، باز بتوانند کار با فایل های مورد نیاز خود در فایل سرور را ادامه دهد . منتها اینبار کاربر در حالت قطع از شبکه ، با فایل های ذخیره شده در کش سیستم خود کار می کند و زمانی که ارتباط سیستم کاربر با شبکه دوباره برقرار می شود ، فایل های موجود در کش داخلی سیستم او با فایل های موجود در سیستم فایل سرور همگام سازی ( synchronizes ) می شود .
به طور پیش فرض هر کاربر می تواند با کلیک راست کردن بر روی فایل های موجود در فایل سرور و انتخاب گزینه Always Available Offline ، آنها را برای استفاده آفلاین در سیستم خود کش نماید . زمانی که کاربر فایل مورد نظر را در وضعیت آفلاین قرار می دهد ، هر موقع که نسخه جدیدی از آن فایل ایجاد گردد یا در آن تغییراتی ایجاد شود ، آنگاه نسخه قدیمی فایل در کش سیستم دور انداخته می شود و جدیدترین نسخه از فایل در سیستم کاربر دوباره کش می شود .
زمانی که به اینترنت وصل هستید و صفحات اینترنتی را با مرورگر خود باز می کنید ، آن صفحات به شکل محلی در سیستم شما کش می شود و هر موقع که اینترنت قطع می شود باز می توانید با قرار دادن مرورگر خود در وضعیت آفلاین ، همان صفحات اینترنتی گذشته را دوباره مشاهده نمایید . شیوه کار آفلاین فایل ها هم شبیه کار با صفحات اینترنتی می باشد و هر موقع که اتصال شما در شبکه قطع می شود ، باز می توانید با فایل های آفلاین کار نمایید . در ضمن هنگامی که فرآیند کش کردن فایل کامل شد ، فایلی که کاربر برای استفاده آفلاین انتخاب کرده است به شکل زیر برای کاربر نمایش داده می شود.
ویندوز7 به صورت خودکار فایل های کش شده در سیستم را حذف نمی کند ، و وظیفه حذف آنها را به عهده خود کاربر می گذارد که شیوه حذف آنها در ادامه گفته خواهد شد .
زمانی که اتصال یک کاربر با شبکه قطع می شود ، اگر آن کاربر اقدام به تغییر فایل آفلاین ( فایل کش شده درون سیستم محلی کاربر ) نماید ، وقتی که دوباره اتصال برقرار می شود ، فایل آفلاین تغییر کرده درون کش سیستم کاربر با فایل اصلی درون پوشه به اشتراک گذاری شده در سیستم فایل سرور جایگزین می شود .
و زمانی که فایل درون پوشه سیستم فایل سرور تغییر کند ، آنگاه این فایل در فرآیند همگام سازی (synchronization process ) بر روی فایل آفلاین کش شده درون سیستم کاربر بازنویسی (overwrites ) می شود.
ولی اگر زمانی که شبکه قطع می باشد ، فایل موجود در پوشه به اشتراک گذاری شده فایل سرور و فایل آفلاین موجود در کش سیستم کاربر ، هر دو تغییر کنند ، آنگاه زمانی که شبکه دوباره وصل می شود یک تضاد ( conflict ) میان این دو فایل به وجود می آید که کاربر لازم است با استفاده از Sync Center به حل این تضاد بپردازد که در ادامه مقاله با شیوه استفاده از Sync Center و نحوه حل تضادهای آفلاین فایل ها با استفاده از آن ، می پردازیم .
ویژگی Offline Files ها در ویندوز7 دارای چهار حالت عملیاتی زیر می باشد :
Online mode : تغییرات ایجاد شده در یک فایل ابتدا به فایل به اشتراک گذاری شده و سپس به کش محلی اعمال می شود. درخواست های خواندن از کش محلی سیستم استفاده می کنند. همگام سازی به طور اتوماتیک اتفاق می افتد و یک کاربر می تواند همگام سازی را به طور دستی آغاز کند. این حالت پیش فرض عملیات می باشد.
Auto offline mode : وقتی یک خطای شبکه شناسایی شد، ویندوز7 به حالت auto offline تغییر پیدا می کند. عملیات بر روی فایل به اشتراک گذاری شده فقط در local catch ذخیره می شود. ویندوز7 هر دو دقیقه سعی می کند که به طور اتوماتیک دوباره به شبکه متصل شود. اگر فرآیند دوباره متصل شدن موفق بود، Offline Files به طور اتوماتیک به online mode تغییر حالت پیدا می کند.
Manual offline mode : وقتی کاربر در Windows Explorer قسمت Work Offline را انتخاب می کند، انتقال به حالت offline به طور اجباری صورت می پذیرد. کامپیوتر باید به طور دستی با کلیک کردن بر روی Work Online در Windows Explorer به حالت online برگردانده شود.
Slow-link mode : این حالت به طور پیش فرض در ویندوز7 فعال است و وقتی به راه می افتد که سرعت لینک به زیر حد پیش فرض 64,000 bits per secondبرسد. این مقدار از طریق policy قابل تنظیم می باشد. در این حالت، عملیات فایلی بشکل local cache صورت می پذیرد. کاربران به طور دستی می توانند همگام شوند، اما همگام سازی اتوماتیک اتفاق نمی افتد. وقتی سرعت لینک فراتر از حد تنظیم شده برسد، کامپیوتر به حالت online انتقال پیدا می کند.
استفاده از Sync Center و شیوه حل تضادهای آفلاین فایل ها :
( 1 ) شما می توانید از Sync Center برای هماهنگ سازی فایل ها ، مدیریت آفلاین فایل ها و حل تضادها در فرآیند هماهنگ سازی آفلاین فایل ها به شکل دستی استفاده کنید . Sync Center درون Control Panel قرار دارد . با کلیک کردن بر روی لینک Manage Offline Files در سمت راست پنجره Sync Center ، برای شما پنجره Offline Files باز می شود . با استفاده از برگه General در این پنجره و کلیک کردن بر روی دکمه Disable offline files ، شما می توانید آفلاین فایل ها را در سیستم خود غیر فعال کنید . در همین برگه ، دکمه View your offline files قرار دارد ، که شما می توانید با استفاده از آن ، کپی آفلاین فایل های خود ( همان فایل های کش شده در سیستم ) را ببینید . با استفاده از برگه Encryption در همین پنجره Offline Files ، می توانید آفلاین فایل ها را رمزنگاری نمایید .
همانگونه که قبلا گفتیم ، ویندوز7 بصورت خودکار اقدام به حذف کپی آفلاین فایل ها در کش سیستم نمی کند و حذف کردن آنها را به عهده خود کاربر می گذارد . یکی از راه های حذف کپی آفلاین فایل ها در کش سیستم ، استفاده از دکمه View your offline files در برگه General پنجره Offline Files ، و پیدا کردن کپی فایل کش شده مورد نظر در آنجا می باشد . بعد از پیدا کردن کپی مورد نظر بر روی آن کلیک راست کرده و گزینه Delete Offline Copy را انتخاب کنید تا آن کپی از کش سیستم پاک شود .
همچنین در پنجره Offline Files ، برگه Disk Usage قرار دارد که می توانید از طریق آن و با استفاده از دکمه Change limits ، فضای مورد نیاز برای آفلاین فایل ها و کپی آنها را پیکربندی نمایید . در همین برگه ، دکمه Delete temporary files قرار دارد که می توانید با استفاده از آن ، کلیه کپی های آفلاین فایل های کش شده در سیستم را حذف نمایید .
( 2 ) یک sync conflict (ناسازگاری) وقتی اتفاق می افتد که تغییراتی در یک فایل به اشتراک گذاری شده ، هم درون فایل سرور و هم درون کش محلی سیستم کاربری که بصورت offline به آن فایل دسترسی دارد ، اعمال شده باشد. برای مثال رضا تقی زاده فایلی با نام .txt1 در فایل سرور ایجاد می کند که بصورت offline در کامپیوتر خودش هم در دسترس می باشد. رضا لپ تاپ خود را به خانه می آورد و در آخر هفته بر روی فایل مورد نظر کار می کند. محمد نصیری در آخر هفته به دفتر می رود و فایل .txt1 را که در فایل سرور دخیره شده است را ویرایش می کند. وقتی رضا کامپیوتر لپ تاپ خود را دوباره به شبکه وصل می کند، Sync Center به او اعلام می دارد که یک ناسازگاری ( sync conflict ) رخ داده است. رضا می تواند از این ابزار برای رفع ناسازگاری به وجود آمده بین فایلی که او در خانه تغییر داده و فایلی که محمد بر روی فایل سرور تغییر داده است ، استفاده کند. ( البته یادتان باشد که نظر مدیر سازمان همیشه بسیار مهم است پس حواستان باشد که فایل ویرایش شده توسط او را هیچوقت پاک نکنید ... در این جور مواقع راه سومی وجود دارد که در ادامه به آن اشاره می شود . )
اگر روی View Sync Conflicts در Sync Center کلیک کنید، شما می توانید لیستی از فایل هایی که در حین همگام سازی دچار مشکل شده اند را مشاهده نمایید: همانند شکل زیر وقتی شما روی Resolve در ناحیه ی View Sync Conflicts کلیک می کنید، می توانید از میان سه عمل یکی را انتخاب کنید :
Keep the local version : نسخه ی فایلی که بر روی کامپیوتر محلی دخیره شده است، نگه داشته خواهد شد. این نسخه بر روی نسخه ی تغییر یافته ی فایل به اشتراک گذاری شده در فایل سرور بازنویسی می شود
Keep the server version : نسخه ی فایلی که که بر روی فایل به اشتراک گذاری شده در فایل سرور ذخیره شده است نگه داشته می شود و تغییراتی که به نسخه محلی اعمال شده است از بین می رود.
Keep both versions : نسخه ای از فایل مورد نظر که در کش کامپیوتر محلی کاربر قرار دارد rename شده و سپس در فایل سرور ذخیره می شود . نسخه ی فایل موجود در فایل سرور ، نام اصلی را نگه خواهد داشت.
تنظیم قابلیت آفلاین فایل ها برای پوشه های به اشتراک گذاری شده :
کاربران در شبکه تنها زمانی می توانند از فایل های موجود در فایل سرور به شکل آفلاین استفاده کنند که میزبان این فایل ها ( همان کامپیوتری که به عنوان فایل سرور سازمان است ) از ویژگی offline files برای این فایل ها پشتیبانی کند . شما می توانید یک پوشه به اشتراک گذاری شده در فایل سرور را طبق مراحل زیر برای پشتیبانی ویژگی offline files پیکربندی نمایید :
1 . بر روی پوشه به اشتراک گذاری شده در فایل سرور کلیک راست کرده و گزینه properties را انتخاب کنید .
2 . سپس در برگه ( تب ) Sharing بر روی دکمه Advanced Sharing کلیک نمایید .
3. در dialog box مربوط به Advanced Sharing بر روی دکمه Caching کلیک نمایید . در این حالت یک پنجره برای شما باز می شود که می توانید از طریق آن یکی از سه گزینه زیر را انتخاب نمایید :
- only the files that a user specifies to be available offline : تنها فایلهایی که یک کاربر خودش مشخص می کند به شکل آفلاین در دسترس او قرار گیرد .
- all files to be available offline : همه فایل هایی که کاربر از پوشه اشتراکی باز می کند ، بصورت اتوماتیک ، آفلاین در دسترس او قرار گیرند .
- no files to be available offline : فایل های موجود در پوشه به شکل آفلاین در دسترس کاربران قرار نگیرد .
معرفی چند پالیسی مهم در مورد آفلاین فایل ها :
یک سری سیاست ها و پالیسی در مورد ویژگی آفلاین فایل ها وجود دارد که شما می توانید آنها را از طریق کنسول Group Policy Management در دامین کنترولر به کلیه کامپیوتر ها و کاربران دامین اعمال کنید . این سیاست ها هم به کامپیوترها و هم به کاربران قابل اعمال می باشد . می توانید Offline Files policy ها را از مسیر زیر به کامپیوترهای عضو دامین اعمال کنید :
1 | Computer Configuration\Administrative Templates\Network\Offline Files |
مهمترین پالیسی های موجود در این بخش به قرار زیر می باشند :
- Files not cached : از طریق این پالیسی می توانید فایل هایی را که دارای پسوند مشخصی هستند را انتخاب کنید تا در کامپیوترهای عضو دامین کش نشوند . مثلا می توانید قابلیت استفاده از آفلاین فایل ها را به صورت اتوماتیک بر روی پوشه های اشتراکی فایل سرور فعال کنید ولی از طریق این پالیسی کاری کنید که فایل های ویدیویی ( .avi، .wmv ، .mp4 ) در سیستم کاربران کش نشوند.
- Synchronize all offline files before logging off : از طریق این پالیسی فرایند هماهنگ سازی آفلاین فایل ها با نسخه اصلی در فایل سرور قبل از logging off اتفاق می افتد .
- Synchronize all offline files before logging on :از طریق این پالیسی فرایند هماهنگ سازی آفلاین فایل ها با نسخه اصلی در فایل سرور قبل از logging on اتفاق می افتد .
همچنین می توانید Offline Files policy ها را از مسیر زیر به کاربران دامین اعمال کنید :
1 | User Configuration\Administrative Templates\Network\Offline Files |
مهمترین پایسی های موجود در این بخش هم به قرار زیر می باشد :
- Synchronize all offline files before logging off : از طریق این پالیسی فرایند هماهنگ سازی آفلاین فایل ها با نسخه اصلی در فایل سرور قبل از logging off اتفاق می افتد .
- Synchronize all offline files before logging on : از طریق این پالیسی فرایند هماهنگ سازی آفلاین فایل ها با نسخه اصلی در فایل سرور قبل از logging on اتفاق می افتد .
در پایان این مقاله لازم به یادآوری است که دادن قابلیت آفلاین فایل ها به پوشه های اشتراکی در شبکه بیشتر برای راحتی کاربران شبکه در استفاده از فایل ها می باشد و همچنین یک نوع وضعیت failover را برای فایل ها به وجود می آورد . به همین دلیل در مقاله بیشتر به آموزش استفاده و مدیریت آفلاین فایل ها در سمت کاربران شبکه پرداختیم . پس یادتان باشد که این قابلیت زمانی می تواند در شبکه مفید واقع شود که کاربران شبکه به درستی در مورد استفاده از آفلاین فایل ها آموزش دیده باشند .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:33 | نویسنده : حمید مقصودی |
گام هفتم - سهمیه بندی دیسک های مربوط به فایل سرور (Disk Quota)
ما در مقالات قبلی راه اندازی فایل سرور به معرفی فایل سرور و راه اندازی نقش DFS برای آن پرداختیم. اگر اولین مقاله ی این مجموعه را مطالعه کرده باشید، ما در آن جا به برخی از مشکلاتی که در یک فایل سرور ممکن است به وجود بیاید، اشاره کردیم. یکی از این معضلات این است که اگر شما برای کاربران شبکه در دسترسی به حجم های کامپیوتر فابل سرورتان، محدویت و سهمیه بندی قرار نداده باشید، آنگاه کابران می توانند به هر میزان که می خواهند از فضای حجم فایل سرور استفاده کرده و هر چقدر که می خواهند در آنجا، فایل ها و اطلاعات خود را به اشتراک می گذارند. همین موضوع به ظاهر ساده، خود می تواند منشا مشکلات بسیاری در مدیریت فایل سروتان بشود. فرض کنید که کابران عادی شبکه در یک شرکت، این قابلیت را دارند که بدون هیچ محدودیتی بر روی فایل سرور ، فایل به اشتراک بگذارند و کامپیوتر فایل سرور هم فضای بسیار زیادی برای ذخیره سازی فایل های کاربران ندارد. حالا ممکن در این شرکت چند کاربر باشند که دارای مقادیر بسیار زیادی از فایل های پر حجم ( مثلا فیلم ) باشند و تصمیم بگیرند که از این قابلیت بالقوه ی خود استفاده کرده و این منابع بسیار مهم اطلاعات !!! را از روی خیرخواهی برای بقیه ی همکاران خود به اشتراک بگذارند. همین اقدام بسیار ساده، می تواند کلیه سیاست های مدیریتی در یک شبکه را زیر سوال ببرد. زیرا اولا پس از چند روز همین چند کاربر خیرخواه، می توانند کلیه ی حجم فایل سرور را به فایل های خود اختصاص دهند و برای بقیه کاربران دیگر فضایی باقی نگذارند و مدیر شبکه را با اعتراض دیگر کابران مواجه سازند . و دوما کارمندان وظیفه شناس شرکت نیز ممکن است تصمیم بگیرند از این نعمت بادآورده برای دستیابی به انبوهی از فایل هایی ویدیویی، بیشترین استفاده را کرده و با حداکثر توان به کپی برداری از آن ها اقدام نمایند. همین اقدام کاربران، می تواند ترافیک شبکه را آن چنان بالا ببرد که عملا کار شبکه مختل شود. پس شما به عنوان یک مدیر شبکه باید متوجه این موضوع باشید که اصولا رو دادن به برخی از کاربران شبکه، فایده ای جز به دردسر انداختن خود ندارد. اما شما در این مورد نگران نباشید، چون طراحان سیستم عامل های ویندوزی، متوجه این موضوع بوده اند و برای مدیریت و سهمیه بندی دیسک سخت، امکان مدیریتی بسیار ساده ای را در اختیار مدیر کامپیوتر قرار داده اند که Disk quota نام دارد و مهمترین کاربرد آن، استفاده از این قابلیت در سهمیه بندی حجم های فایل سرور می باشد. پس ما در این مقاله به بررسی سهمیه بندی دیسک می پردازیم و پیکربندی آن را مثل گذشته با انجام یک سناریو عملی انجام می دهیم.
سهمیه بندی دیسک روشی است برای مدیریت میزان فضای دیسکی که کاربران می توانند پر کنند. میزان فضای دیسک را برای کاربران شبکه می توان محدود کرد و و به آن ها میتوان فقط اجازه داد که از مقدار مشخصی از فضای حجم فایل سرور برای قرار دادن فایل های خود درون آن استفاده کنند. این قابلیت البته مزایا و معایب خود را دارا می باشد. از یک طرف یک ابزار فوق العاده برای جلوگیری از استفاده خیلی زیاد از دیسک می باشد.، اما از سوی دیگر شما باید مدام شکایت های کاربران شبکه در مورد کم بودن فضا و تقاضا برای فضای بیش تر را تحمل نمایید. ( پیشنهاد من در این مورد اینست که فقط در جواب بگویید، دلم می خواهد و بحث را خاتمه دهید – البته نه در جواب مدیر شرکت یا افراد آقا بالا سر خود، چون با این نوع جواب خود را رسما بیچاره کرده و خود را در معرض اخراج از شرکت قرار خواهید داد – از آن جایی که در هر سازمان، همیشه یک آقا بالا سر وجود دارد که هر چه کفت باید انجام شود و هر چه خواست باید بکند، ماکروسافت این موضوع را در نظر داشته و به شما این امکان را می دهد که برای افراد ویژه و سرور سازمان ، سهمیه ویژه و حتی بدون محدودیت استفاده قرار دهید. )
دو روش برای سهمیه بندی دیسک وجود دارد که به قرار زیر می باشد:
سهمیه بندی اکید: که کاربران نمی توانند از فضای مجاز تعیین شده، بالاتر روند.
سهمیه بندی آزاد: که کابران را قادر می سازد از سهمیه ی خود بالاتر روند، ولی میزان استفاده آن ها پیگیری می شود تا بتوان به کاربرانی که فضای دیسک زیادی را مصرف می کنند، هشدار داد. این روش به این طریق عمل می کند که وقتی سهمیه بندی را در دیسک فعال می کنید، می توانید به آسانی گزارش های سریعی در مورد سهمیه ها به دست آورید. و اگر فضای دیسک فایل سرور مشکل خاصی نداشته باشد ، می توانید با کاربر مربوطه در مورد عبور او از سهمیه اش صحبت کرده و از او بخواهید که بعضی از فایل های خود را از روی فایل سرور بردارد .
نکاتی در مورد سهمیه بندی دیسک :
- سهمیه بندی به حجم ( Volume) ، اعمال می شود و نه به پوشه ها . چه حجم بخشی از یک دیسک باشد که خود دارای چند حجم می باشد و یا حجم بر روی چند دیسک فیزیکی گسترده باشد . ساختار پوشه های درون حجم هیچ نقشی در سهمیه بندی ندارند و کاربر می تواند به هر میزان دلخواه که مجوز آن را داشته باشد در حجم پوشه ایجاد نماید .
- حجم باید با ساختار NTFS فرمت بندی شده باشد .
- به منظور مدیریت سهمیه ها باید کاربر عضوی از گروه Administrators ، باشد .
در اینجا ما می خواهیم شیوه سهمیه بندی دیسک و امکاناتی که برگه quota برای این منظور در اختیار ما قرار می دهد را بررسی نماییم و توضیحات را همراه با یک مثال عملی بیان کنیم . همانگونه که در مقالات قبلی در مورد طراحی یک فایل سرور گفتیم ، ما در فایل سرور های موجود در شبکه مان ، پوشه ای به نام Public داریم که در کامپیوتر server2 قرار دارد . این پوشه مربوط به تمامی کاربران موجود در شبکه ، شامل کارمندان ، حسابداران و helpedesk های سازمان می باشد که برای هر کدام سطحی از دسترسی بنا بر نیاز قرار داده شده است و کلیه کاربران می توانند با استفاده از آن اطلاعات خود را در شبکه به اشتراک بگذارند .
حال ما می خواهیم کاری کنیم که کاربران عادی شبکه ( شامل کاربران گروه کارمندان و حسابداران ) فقط بتوانند 20 مگابایت از فضای دیسک را اشغال کنند ( احتمالا مدیر شبکه اهل .... است که اینهمه دستودلبازی می کند ! ) و به کاربران helpedesk هم 200 مگابایت اختصاص دهیم و کاربر مدیر سازمان ( همان آقا بالاسر معروف و سرور شاغلین محترم ) هم بتواند بدون هیچ محدودیتی از فضای دیسک استفاده کند . مراحل انجام تنظیمات به شرح زیر می باشد :
- همانگونه که قبلا گفتیم ، ما سهمیه بندی دیسک را بر روی Volume ها ( همان به اصطلاح درایو ها ) انجام می دهیم نه بر روی پوشه ها . پس بر روی Volume ی که پوشه Public در آنجا قرار دارد کلیک راست کرده و سپس بر روی گزینه properties کلیک کرده و آنگاه برگه Quota را انتخاب می کنیم . ابتدا همه تنظیمات خاکستری و غیر فعال است . برای اینکه بتوانیم تنظیمات را اعمال کنیم باید ابتدا گزینه Enable quota management را علامت بزنید .
- از آنجایی که می خواهیم به کاربران عادی شبکه ( کارمندان و حسابداران ) به صورت پیش فرض 20 مگابایت فضا اختصاص دهیم ، همانند شکل زیر در کادر مشخص شده ابتدا گزینه Limit disk space to را علامت زده و سپس در کادر روبروی آن مقدار فضای مورد نظر ( 20 مگابایت ) را وارد می کنیم . در زیر این کادر ، گزینه Set warning level to قرار دارد که میتوانیم برای کاربران یک سطح هشدار قرار دهیم که اگر به آن مقدار رسیدند ، سیستم به آنها یک هشدار بدهد . ( سطح هشدار را کمتر از میزان فضای اختصاص داده شده مثلا 15 مگابایت قرار می دهیم ) این پیکربندی به صورت پیش فرض به همه کاربران شبکه اعمال می شود .
- در پایین برگه دو قسمت برای لاگ برداری از وضعیت سهمیه بندی برای کلیه کاربران شبکه وجود دارد که یکی مربوط به زمانی است که کاربر از سهمیه تعیین شده برای خود تجاوز می کند و دیگری مربوط به زمانی است که کاربر از سطح هشدار عبور می کند . می توانیم هر دو گزینه را برای لاگ برداری علامت بزنیم و آن ها را از طریق Event Viewer مشاهده نمایید . ولی توجه کنید که این نوع از لاگ برداری چندان مفید نیست و برای تنظیم آنچنان ضروری نمی باشد .
- در پایین برگه Quota دکمه Quota Entries قرار دارد که وضعیت کلیه سهمیه های اختصاص داده شده به کاربران را به ما نشان می دهد . همچنین شما می توانید با استفاده از آن برای کاربران خاص ، سهمیه ویژه اختصاص دهید . برای انجام این کار ابتدا بر روی این دکمه کلیک کرده تا برای شما صفحه Quota Entries for… باز شود. سپس بر روی گزینه Quotaکلیک کرده ودر منو باز شده گزینه New Quota Entry… را انتخاب می کنیم . این گزینه این امکان را به ما می دهد که به یک کاربر خاص یا مجموعه ای از کاربران یک سهمیه ویژه اختصاص دهیم.
- بعد انتخاب گزینه New Quota Entry… ، برای شما صفحه Select Users باز می شود که شما باید در آنجا نام کاربران مورد نظر خود را برای اختصاص سهمیه ویژه وارد نمایید .همانطور که از ابتدا گفتیم ، ما در این سناریو می خواهیم به هر کدام از کاربران helpdesk ، 200 مگابایت از فضای دیسک را اختصاص دهیم . پس در صفحه Select Users نام کاربران helpdesk را وارد کرده و دکمه OK را میزنیم تا برای ما صفحه Add New Quota Entry باز شود . سپس همانند شکل زیر مقادیر مورد را وارد می کنیم .
- حالا ما می خواهیم به کاربر مدیر شرکت این امکان را بدهیم که بدون هیچ محدودیتی از فضای دیسک فایل سرور استفاده کند . همانند مرحله قبل گزینه New Quota Entry… را میزنیم و سپس مانند تصویر زیر نام کاربر مدیر شرکت را وارد کرده و در صفحه Add New Quota Entry گزینه Do not limit disk usage را علامت می زنیم .
- بعد از اتمام مراحل بالا در صفحه Quota Entries for… وضعیت سهمیه کلیه کاربران و میزان فضای اختصاص داده شده به آنها ، قابل مشاهده می باشد . ( فلش سبز رو به بالا درون دایره سفید رنگ نشان می دهد که سهمیه کاربر زیر سطح هشدار قرار دارد )
- همانگونه که در ابتدای مقاله گفتیم ، برای سهمیه بندی دیسک دو روش وجود دارد : یکی سهمیه بندی اکید و دیگری سهمیه بندی آزاد .
- اما چنانچه گزینه Deny disk space to users exceeding quota limit علامت نخورد ، روش سهمیه بندی ما به شکل آزاد می باشد و کاربر می تواند هر چقدر خواست فایل در پوشه مخصوص خود در فایل سرور قرار دهد ، ولی میزان استفاده او به شکل یک گزارش در سیستم ثبت می شود . مثلا در مثال قبلی با تنظیم سهمیه بندی به شکل آزاد ، کاربر User1 می تواند بالای 20 مگابایت در پوشه مخصوص به خود در فایل سرور قرار دهد ولی سیستم برای او یک اخطار از نوع تجاوز کردن از حد سهمیه ثبت می کند . ( علامت تعجب در دایره قرمز رنگ نشان دهنده عبور کاربر از حد سهمیه خود می باشد ) و شما به عنوان مدیر شبکه می توانید با مشاهده این اخطار با کاربر مربوطه تماس گرفته و از او بخواهید که برخی از فایل های خود را از فایل سرور بردارد اما چنانچه کاربر به درخواست شما اهمیتی نداد ، می توانید خودتان به روش زیر اقدام به این کار کنید تا کاربران متوجه باشند که باید همیشه به درخواست های مدیر شبکه توجه کنند.... ( یادتان باشد ادمین در شبکه همیشه ادمین است و هر کاری می تواند بکند . )
- برای انجام اینکار همانند شکل زیر با کلیک راست کردن بر روی اخطار مربوطه و انتخاب گزینه Delete ، برای شما صفحه Disk Quota باز می شود که کلیه فایل ها مربوط به کاربر در آنجا نمایش داده می شود . شما می توانید برخی از این فایل ها را انتخاب و با زدن دکمه Delete آنها را حذف نمایید ، و یا با استفاده از دکمه Browse به جای دیگری انتقال دهید .
در پایان این مقاله یادآوری این نکته ضروری است که ، اصولا سهمیه بندی دیسک را باید بر اساس نیاز و گستردگی سازمان اعمال کرد و شیوه طراحی سهمیه بندی و میزان فضای اختصاص داده شده به کاربران بر اساس نوع وظیفه شغلی آنها و دیگر ملزومات خاص ، منظور می گردد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:32 | نویسنده : حمید مقصودی |
رونوشت برداری از فضای نام و پوشه ها به کمک DFS یا ( DFS Replication ) :
همانگونه که قبلا گفتیم سیستم فایل توزیع شده ( DFS ) به شما این اجازه را می دهد که پوشه های به اشتراک گذاری شده در شبکه را به شکل متمرکز گروه بندی و مدیریت نمایید و به کاربران از طریق یک درخت مجازی از پوشه هایی که مجموعا به عنوان یک فضای نام شناخته می شوند ( پوشه ی فضای نام و پیوندهای درون آن ) اجازه دسترسی می دهد. کاربران نیاز ندارند که برای دسترسی به یک فایل خاص کلیه ی شبکه را جست وجو نمایند. همه ی فایل ها و پوشه ها در یک مکان با هم نمایش داده می شوند. DFS این کار را به وسیله ی هدایت کردن کاربران به مکانی که اطلاعات به اشتراک گذاری شده قرار دارد انجام می دهد. به این طریق شما برای دسترسی به پوشه های به اشتراک گذاری شده ی شبکه از یک مسیر واحد استفاده می کنید.
باید توجه کرد که در DFS بر اساس دامنه دسترسی به همه ی فایل سرورها از طریق اکتیودایرکتوری یکپارچه شده با ریشه ی DFS امکان پذیر است. از طریق DFS ما می توانیم از یک فضای نام و پیوندهای درون آن یا حتی از کلیه ی پوشه های به اشتراک گذاری شده در یک سرور خاص رونوشت برداری کنیم. در این حالت فایل سرورهای شما دارای خاصیت failover می باشند. یعنی failover برای هر کاربر زمانی اتفاق می افتد که منبع اولیه اطلاعات غیر قابل دسترس باشد که در این جا DFS کاربر را به نسخه ی دومی از اطلاعات ( رونوشتی از پوشه های به اشتراک گذاری شده ) هدایت می کنند. به عبارت دیگرمی توان از فضای نام یکپارچه شده ی DFS با اکتیودایرکتوری زمانی که مکان اولیه ی فایل ها و پوشه های به اشتراک گذاری شده غیر قابل دسترس می باشد استفاده کرد و از طریق آن کاربران را به مکان های دیگری برای دسترسی به همان فایل ها یا پوشه ها هدایت نمود.
DFS این کار را با هدایت درخواست های دسترسی به فایل ها به یک سرور پشتیبان دومی که همان اطلاعات عینا در آن قرار دارد ، انجام می دهد. DFS ابتدا درخواست ها را به سرور محلی می فرستد ، اما اگر پاسخی دریافت نکرد ، آنگاه درخواست را به سرور پشتیبان هدایت می کند. به خاطر داشته باشید که دسترسی به همه فایل سرور ها از طریق اکتیودایرکتوری یکپارچه شده با DFS امکان پذیر است ، پس تا زمانی که اکتیو دایرکتوری قابل دسترس است ، دستیابی به فایل سرور ها ادامه پیدا می کند .
در طول failover چه اتفاقی می افتد:
در DFS failover کلاینت ها بعد از این که از یکی از هدف ها ( یکی از پوشه های به اشتراک گذاری شده در شبکه ) پاسخی دریافت نکردند و یا زمانی که آن هدف دیگر جز فضای نام نباشد، سعی دارند که به یک هدف دیگر دسترسی پیدا کنند.برای این که failover اتفاق بیفتد کلاینت ها باید به یک فضای نام مبتنی بر دامین با استفاده از فرمت DomainName\ RootName \\ دسترسی پیدا کنند. اگر یک کلاینت به یک فضای نام مستقل ( DFS مستقل ) دستیابی پیدا کرد ( RootServer\ RootName \\ ) ، آنگاه failover ریشه ی هدف اتفاق نمی افتد.
در ضمن DFS failover زمانی اجرا می شود که یک کلاینت، فایل یا پوشه ای را باز کند. اگر یک کلاینت فایل یا پوشه ی بازی را در اختیار داشته باشد و سعی کند در حالی که سرور هدف آن فایل یا پوشه غیر قابل دسترس است از روی آن فایل یا پوشه بخواند یا بر روی آن بنویسد، کاربر یک پیغام خرابی عمیات را دریافت خواهد کرد.
سویچینگ بین رونوشت ها در طول failover :
هنگامی که یک کلاینت برای دسترسی به یک پوشه خاص در شبکه به DFS مراجعه می نماید ، پس از بدست آوردن آدرس آن پوشه در شبکه از طریق پیوندهای موجود در فضای نام DFS ، هر کدام از ارجاع ها ( آدرس یک پوشه در شبکه ) را برای افزایش کارایی در حافظه نهان ( کش سیستم ) خود به شکل محلی ذخیره می کند و بعد از آن کلاینت در مراجعات بعدی خود به شبکه تا یک مدت زمان مشخص از همین کش سیستم خود برای دسترسی به پوشه های شبکه استفاده می کند . وقتی که ما برای یک پوشه و یا حتی یک فضای نام یک رونوشت ( المثنی ) ایجاد می کنیم . زمانی که یک کلاینت برای دسترسی به یک آدرس خاص به DFS مراجعه می کند ، اگر رونوشتی ( المثنی ) از یک پوشه و یا حتی یک فضای نام وجود داشته باشند ، تمامی رونوشت ها برای کلاینت های DFS مهیا می باشند و این کلاینت است که انتخاب می کند در یک فرایند failover کدام ارجاع مورد استفاده قرار گیرد و اولویت به رونوشتی داده می شود که دارای سایت مشابهی با کلاینت باشد . ( اگر رونوشت در یک سایت فیزیکی یکسان با کلاینت قرار داشته باشد ، این ارجاع اول برای کلاینت فرستاده می شود ) . بعد از اینکه یک ارجاع انتخاب شد ، برای دسترسی به آن پوشه مورد نظر یک نشست (session ) اجرا می شود .
اگر ارجاع انتخاب شده خراب شود ، یک فرایند failover دیگر شروع می شود . سرعت و علت failover بستگی به این دارد که کلاینت هنگام وقوع خرابی مشغول انجام چه کاری بوده است ، چگونه خرابی اتفاق افتاده است و تحمل پذیری یک برنامه در برابر تاخیر اجرا چگونه است .
6-1 . رونوشت برداری از یک فضای نام ( ریشه ) در DFS :
ما در ابزار مدیریتی DFS می توانیم از هر کدام از ریشه های موجود ( فضای نام ) در DFS یک رونوشت برداریم . یعنی همانگونه که می دانید itpro.ir\ File server \\ یک ریشه ی DFS یکپارچه شده با اکتیودایرکتوری می باشد و DFS این امکان را فراهم می سازد که از پیوندها درون هر فضای نام برای در دسترس پذیری بیش تر به کمک اکتیودایرکتوری رونوشت برداری کرد. اگر یکی از سرورهایی که فضای نام ( ریشه ) اشتراک گذاری فایل ها و پوشه ها را فراهم می کند خراب شود، کلاینت ها به طور اتوماتیک از کپی دیگری از همان فضای نام ( ریشه ) که بر روی اکتیودایرکتوری سرور دیگری (یک کپی از ریشه بر روی یک دامین کنترلر پشتیبان ) قرار دارد استفاده کرده و از اطلاعاتی که بر روی سرورها قرار دارند استفاده می کنند .
مثلا فرض کنید که ما می خواهیم از فضای نامی که به اسم File server نامگذاری کرده ایم و بر روی بر روی server1 قرار دارد یک کپی یا رونوشت بر روی کامپیوتر server2 ایجاد کنیم . برای این کار باید ابتدا نقش کامپیوتر server2 را به عنوان یک دامین کنترولر اضافی ( دامین کنترولر پشتیبان ) ارتقا داده و سپس ابزار DFS را بر روی آن نصب کنیم . در این هنگام کامپیوتر server2 این آمادگی را دارد که به عنوان یک پشتیبان برای فضای نام های موجود در DFS کامپیوتر server1 ایفای نقش کند .
- برای اینکه بتوانیم از فضای نام File server یک رونوشت برداریم باید ابتدا بر روی آن فضای نام کلیک راست کرده و از منو باز شده گزینه Add Namespace Server را انتخاب نماییم . ( تصویر 1 )
- سپس در پنجره باز شده در کادر Namespace Server ، نام سروری که قرار است نسخه پشتیبان فضای نام بر روی آن قرار بگیرد را وارد می کنیم . ما در اینجا نام server2 را در کادر مربوطه نوشته و دکمه OK را می زنیم . سپس صبر می کنیم تا نسخه پشتیبان فضای نام File server بر روی کامپیوتر server2 ایجاد شود . ( تصویر 2 )
- چنانچه در تصویر 3 می بینید ، اگر ابزار Management DFS را در کامپیوتر server2 باز کنیم ، مشاهده می کنید که فضای نامی به اسم File server بر روی سرور 2 ایجاد شده است که درون آن همان پیوندهایی که در server1 قرار دارند ، وجود دارد . اگر server1 به هر دلیلی از شبکه خارج شود ، آنگاه ریشه به اسم File server بدلیل اینکه یک پشتیبان از آن وجود دارد ، باز در دسترس کلاینت های شبکه می باشد. ( تصویر 3 )
6-2 . رونوشت برداری از پوشه های به اشتراک گذاری شده در شبکه :
رونوشت از یک پوشه در حقیقت یک منبع اشتراکی مشابه از همان پوشه در یک سرویس دهنده ( سرور ) دیگر می باشد که این دو منبع اشتراکی در قالب یک پیوند ( لینک ) گروه بندی می شوند . ما در ابزار DFS این امکان را داریم که رونوشت هایی از هدف های DFS ( همان پوشه های به اشتراک گذاری شده درون شبکه ) را در سرور های دیگری ایجاد کنیم تا اگر یکی از سرور ها از کار افتاد ، کاربران شبکه باز بتوانند به فایل های خود دسترسی داشته باشند .
مثلا همانطور که می دانید پوشه Public در server2 قرار دارد و کلیه کارهای مدیریتی آن بعهده دستیاران مدیر شبکه ( helpdesk ) می باشد . فرض کنید که به هر دلیلی کامپیوتر server2 به علت خرابی از مدار شبکه خارج می گردد . در این حالت کاربران عادی شبکه دیگر امکان دسترسی به فایل های خود درون پوشه Public را ندارند ، زیرا سروری که مسئول پاسخگویی به درخواست ها می باشد در مدار شبکه قرار ندارد .
در این مواقع رعایت یک نکته در مدیریت شبکه بسیار ضروری می باشد و آن اینست که ما باید حتما از پوشه هایی که کاربرد و مراجعه فراروانی در شبکه دارند یک رونوشت یا پشتیبان در سرور دیگری داشته باشیم تا اگر سرور اصلی مسئول آن پوشه از کار افتاد ، سرور دیگری در شبکه وجود داشته باشد تا بتواند پاسخگوی درخواست های کاربران باشد. مزیت دیگر رونوشت برداری از پوشه ها اینست که از آنجایی که پوشه های مربوطه عینا در چندین سرور وجود دارند ، پس برای کلاینت های شبکه چندین سرور برای دسترسی به پوشه موردنظر وجود دارد و بدین ترتیب ترافیک شبکه بر روی یک سرور خاص کاسته می شود .
در اینجا ما قصد داریم از پوشه Public که بر روی server2 قرار دارد یک رونوشت درون server1 ایجاد نماییم . برای انجام اینکار باید به ترتیب زیر عمل کنیم :
- برای انجام رونوشت برداری از پوشه ها حتما باید بر روی سرور میزبان آن پوشه ابزار DFS نصب باشد تا بتواند عملیات Replication را میان چندین سرور انجام دهد . پس در این مثال اولین کار اینست که در سرور میزبان پوشه Public یعنی server2 ، نقش DFS را نصب نماییم و همانگونه که در شکل زیر می بینید DFS خود دو بخش دارد : یکی DFS Namespaces و دیگری DFS Replication . برای مورد اخیر نصب DFS Replication بر روی server2 کافی است . ( تصویر 1 )
- دومین مرحله اینست که ما باید یک پوشه به نام Public در کامپیوتر server1 ایجاد نماییم و آن را در شبکه به اشتراک بگذاریم .این پوشه جدید در server1 نقش پشتیبان را برای پوشه Public در server2 بعهده دارد و باید کلیه سطوح دسترسی NTFS Permissions و Share Permissions آن همانند پوشه اصلی در server2 باشد . برای تنظیم سطوح دسترسی به پوشه Public می توانید به مقاله راه اندازی فایل سرور - بخش اول رجوع نمایید. ( تصویر 2 )
- ما رونوشت برداری از یک پوشه به اشتراک گذاری شده در شبکه را از طریق پیوند ( لینک ) آن پوشه درون ابزار DFS انجام می دهیم . مثلا ما در اینجا می خواهیم از طریق پیوند (لینک) Public که درون فضای نام PFS قرار دارد، یک رونوشت از پوشه به اشتراک گذاری شده Public برداریم . کاری که ما باید انجام دهیم اینست که بر روی پیوند Public کلیک راست کرده و گزینه Replicate Folder را انتخاب می نماییم . ( تصویر 3 )
- سپس همانگونه که در تصویر 4 مشخص است برای شما پنجره New Folder Target باز می شود . شما باید در اینجا مسیر (UNC ) پوشه ای که پشتیبان پوشه Public است را وارد نمایید . از آنجایی که ما قبلا یک پوشه جدید به نام Public در server1 ایجاد کرده و آن را به عنوان پشتیبان پوشه اصلی قرار داده ایم ، پس UNC این پوشه پشتیبان را در کادر مربوطه وارد می نماییم و دکمه OK را می زنیم. (تصویر 4 )
- بعد از انجام مرحله قبل ، پس از چند لحظه برای شما پیامی ظاهر می شود که می گوید از یک replication group برای هماهنگ نگهداشتن پوشه ها استفاده می شود ، آیا شما می خواهید یک replication group را ایجاد نمایید ؟ دکمه OK را بزنید و چند ثانیه صبر نمایید تا به مرحله بعد بروید . ( تصویر 5 )
- بعد از گذشت چند ثانیه شما وارد مرحله ساخت یک replication group برای هماهنگ نگهداشتن پوشه پشتیبان با پوشه اصلی می شوید . اولین پنجره ای که باز می شود دارای دو فیلد می باشد . فیلد اول replication group name نام دارد و برای نامگذاری replication group ای است که ما می خواهیم ایجاد نماییم و در فیلد دوم هم باید اسم پوشه ای که قرار است از آن رونوشت برداری شود ، نوشته شود . سیستم به صورت اتوماتیک این فیلدها را پر می کند و شما معمولا نیازی به تغییر آن ندارید . ( تصویر 6 )
- پنجره بعدی که باز می شود به شما می گوید که چه پوشه هایی و بر روی کدام یک از سرورهای شبکه قابلیت عملیات رونوشت برداری ( replication ) را با هم دارند . مثلا در این پروژه ، پوشه Public واقع در سرور2 ( پوشه اصلی ) با پوشه Public درون سرور1 ( پوشه شتیبان ) به منظور عملیات رونوشت برداری باید با هم هماهنگ شوند. ( یعنی هر تغییری که درون یک پوشه اعمال شود ، درون پوشه دیگر هم اعمال می شود ). ( تصویر 7 )
- در پنجره ی بعدی که باز می شود شما باید نام کامپیوتر میزبان پوشه اصلی که قرار است از روی آن رونوشت برداری شود را از جعبه کشویی مربوطه انتخاب نمایید . در مثال ما ، کامپیوتر server2 میزبان اولیه یا اصلی پوشه Public می باشد. ( تصویر 8 )
- در پنجره بعدی شما باید نوع توپولوژی که پوشه ها از آن برای هماهنگ سازی و تکرار اطلاعات درون خود از آن استفاده می کنند را مشخص کنید . توپولوژی Full mesh یک انتخاب مناسب می باشد ، آن را انتخاب کرده و به مرحله بعد می رویم . ( تصویر 9 )
- پنجره بعدی که به نمایش در می آید Replication Group Schedule and Bandwidth نام دارد و برای تعیین زمانبندی رونوشت برداری و همچنین میزان پهنای باندی از شبکه که عملیات رونوشت برداری به خود اختصاص می دهد ، می باشد . و دارای دو گزینه می باشد . یک گزینه Replicate during the specified days and time می باشد . که با استفاده از آن و زدن دکمه Edit Schedule شما می توانید همانند شکل زیر تعیین کنید که رونوشت برداری از پوشه مورد نظر در چه روزهایی از هفته و چه ساعاتی انجام شود . همچنین می توانید میزان پهنای باندی که برای اینکار استفاده می شود را تعیین کنید . ( تصویر 10 )
- گزینه دیگری که در همان صفحه وجود دارد ، گزینه پیش فرض می باشد و به ما می گوید که عملیات رونوشت برداری به شکل پیوسته در تمام روزهای هفته انجام می شود و شما فقط باید پهنای باند را مشخص نمایید . ما این گزینه را انتخاب کرده و همچنین کلیه پهنای باند را به رونوشت برداری اختصاص می دهیم . ( تصویر 11 )
- در پایان خلاصه ای از پیکربندی که شما انجام داده اید به نمایش در می آید . دکمه Create را بزنید تا یک replication group برای عملیات رونوشت برداری ایجاد گردد . ( تصویر 12 )
پس از اینکه یک replication group برای عملیات رونوشت برداری ما از پوشه Public واقع در سرور2 ایجاد شد ، چنانچه در تصویر 13 می بینید اگر بر روی پیوند Public درون فضای نام PFS کلیک کنید . اولا مشاهده می کنید که بر روی این پیوند یک فلش سبز رنگ قرار گرفته است که نمایانگر عملیات رونوشت برداری از هدف های این پیوند ( همان پوشه هایی که این پیوند به آنها لینک می کند ) می باشد .
و دوما شما در سمت راست پنجره DFS دو هدف برای پیوند Public می بینید که نشان می دهد این پیوند به دو پوشه اشتراکی یکی در server2 ( به عنوان پوشه اصلی) و دیگری در server1 ( به عنوان پوشه پشتیبان ) لینک می کند و می تواند کاربران را در صورتی که پوشه Public واقع در server2 در دسترس نباشد به پوشه پشتیبان آن به نام Public واقع در server1 هدایت نماید. ( تصویر 13 )
تصویر 14 نیز به ما نشان می دهد که replication group ی که ما ساخته ایم دارای دو پوشه هدف یکی بر روی server1 و دیگری بر روی server2 است که عملیات رونوشت برداری و هماهنگ سازی بر روی آن ها انجام می گیرد . ( تصویر 14 )
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:29 | نویسنده : حمید مقصودی |
گام پنجم - پیکربندی DFS بر اساس دامنه (سیستم فایل توزیع شده بر اساس دامنه) :
ما در مقاله قبلی درباره چگونگی نصب ابزار DFS در ویندوز سرور 2008 صحبت کردیم . همانگونه که شما مشاهده کردید ، ما در زمان نصب امکان ایجاد و پیکربندی یک Namespace ( فضای نام - ریشه ) را داشتیم و همانطور که دیدید ما در زمان نصب DFS در کامپیوتر server1 ، یک Namespace (فضای نام) به نام File server ایجاد کردیم و لینک هایی برای پوشه های Administrator و Accounting درون آن به وجود آوردیم . اما باید توجه کرد که ما ممکن است پوشه های جدیدی در سرور هایمان داشته باشیم که بخواهیم آن ها را درون شبکه به اشتراک بگذاریم و یا بنا بر نیازهای جدید تصمیم داریم برای بعضی از پوشه ها شبکه یک Namespace جدید ایجاد کنیم ، در این صورت ما باید همه این کارها را درون ابزار مدیریتی DFS انجام دهیم . ما در گام پنجم از سری مقالات راه اندازی فایل سرور سعی داریم به شیوه پیکربندی ابزار DFS بپردازیم .
5-1 . معرفی تب های درون ابزار DFS Management :
پس از نصب نقش DFS در کامپیوتر ویندوز سرور 2008 ، با اجرای ابزار DFS Management شما با یک محیط گرافیکی مانند تصاویر زیر برخورد می کنید که دارای تب های گوناگونی می باشد و هر یک از این تب ها معرفی کننده یک مورد خاص در DFS Management می باشند. ما در اینجا قصد داریم به معرفی بعضی از این تب ها بپردازیم :
- چنانچه بر روی نام ریشه ای ( Namespace ) که ایجاد کرده ایم ( در اینجا نام File server ) کلیک کنیم ، در سمت راست پنجره DFS Management چندین تب به نمایش در می آید . که شرح آن به قرار زیر می باشد :
دومین تب Namespace Servers نام دارد که معرفی کننده سروری است که پوشه Namespace درون آن قرار دارد . مثلا پوشه فضای نامی به اسم File server درون Server1 قرار دارد. ( تصویر 2 )
سومین تب ، Delegation نام دارد که کاربران و گروه هایی که مجوز مدیریت و پیکربندی Namespace ما را بعهده دارند را نمایش می دهد ( تصویر 3 ) . شما می توانید با کلیک راست بر روی فضای نام Namespace و انتخاب گزینه Delegate Management Permissions ، کاربران و گروه های مورد نظر خود را برای پیکربندی به آن اضافه نمایید ( تصویر 4 ) .
- چنانچه بر روی نام ریشه ای که ایجاد کرده ایم (در اینجا نام File server ) کلیک راست کرده و از منوی باز شده گزینه Properties را انتخاب کنید ( تصویر 5 ) برای شما پنجره ای باز می شود که دارای سه برگه (تب) می باشد:
دومین برگه Referrals نام دارد که یکی از مهمترین قسمت های آن بخشی است که مشخص می کند که کلاینت های شبکه هر چند ثانیه یکبار به DFS مراجعه کنند و آخرین تغییرات فضای نام ( از قبیل آخرین وضعیت لینک های درون فضای نام و آخرین اصلاحات صورت گرفته ) را در کش سیستم خود ذخیره نمایند . اگر میزان تغییرات درون فضای نام ( ریشه ) زیاد می باشد بهتر است زمان رجوع به DFS را کمتر کنید. برای انجام اینکار می توانید زمان مورد نظر خود را در کادر مشخص شده در ( تصویر 7 ) وارد نمایید.
- چنانچه بر روی هر کدام از پیوندها ( لینک ها ) کلیک راست کرده و منوی باز شده گزینه Properties را انتخاب کنید ( تصویر 8 ) برای شما پنجره ای باز می شود که دارای دو برگه می باشد :
دومین برگه Referrals نام دارد مهمترین قسمت آن بخشی است که مشخص می کند که کلاینت های شبکه هر چند ثانیه یکبار به DFS مراجعه کنند و آخرین تغییرات صورت گرفته درون پیوند را در کش سیستم خود ذخیره نمایند . ( توجه کنید که هر پیوند خود می تواند به چندین پوشه یکسان بر روی سرورهای متفاوت اشاره کند . این موضوع به خصوص در بحث Replication ها که در مقاله بعدی مورد بررسی قرار می گیرد کاملا مشهود است ) برای تنظیم زمان رجوع کلاینت ها به DFS می توانید از کادر مشخص شده در ( تصویر 9 ) استفاده کنید .
توجه : هر کلاینت زمانی که برای دسترسی به یک پوشه خاص در شبکه به DFS مراجعه می کند ، آدرس فضای نام و همچنین آدرس پوشه مورد نظر را پس از بدست آوردن در کش ( حافظه نهان ) سیستم خود برای یک مدت زمان مشخص ذخیره می کند تا کاربر (برای کاستن از ترافیک شبکه ) از این آدرس های ذخیره شده در کش استفاده نماید . سیستم پس از به پایان رسیدن زمان مشخص شده برای کش ، آن وقت به هنگام درخواست بعدی کاربر به DFS رجوع می کند .
- چنانچه بر روی هر کدام از پیوندها کلیک کنید در سمت راست پنجره DFS Management دو تب (برگه) به نمایش در می آید که اولین برگه آن Folder Targets نام دارد . در این برگه وضعیت و آدرس پوشه ای که پیوند به آن اشاره می کند قابل مشاهده است . مثلا تصویر 10 نشان می دهد که پیوند Accounting به پوشه ای به نام Accounting واقع در server1 اشاره می کند و این پوشه برای رجوع کلاینت ها فعال می باشد . شما با کلیک راست بر روی شماتیک پوشه به اشتراک گذاری شده Accounting در server1 و انتخاب گزینه Disable Folder Target از منوی باز شده می توانید آن را از دسترس کاربران خارج نمایید . ( تصویر 10 )
چنانچه در همان منوی باز شده بر روی گزینه Properties کلیک نمایید . برای شما پنجره ای باز می شود که در برگه General آن اطلاعات عمومی همانند آدرس پوشه ای که پیوند به آن اشاره می کند، نوشته شده است . در این برگه دکمه ای به نام Share Permissions قرار دارد که شما می توانید به راحتی از طریق آن مجوزهای دسترسی Share Permission ها را برای آن پوشه به شکل متمرکز مدیریت نمایید . ( تصویر 11 )
5-2 . پیوند دادن یک پوشه اشتراکی جدید درون Namespace موجود در DFS :
برای اینکه پوشه اشتراکی Namespace مان قابل استفاده باشد باید چندین پیوند (لینک) درون آن ایجاد نماییم . هر پیوند اشارگری ( لینکی ) به یک هدف است ، که آن هدف معمولا پوشه ای است که می خواهیم از طریق DFS در اختیار کاربران قرار بگیرد . در واقع کار این پیوندها دقیقا مشابه پیوند های موجود در صفحات وب است ، کافی است آن را کلیک کنید تا به محل دیگری برده شوید ( بدون نیاز به وارد کردن مسیر آن محل ) . همانطور که گفته شد در ابزار مدیریتی DFS ، امکان پیوند دادن پوشه ای جدید به Namespace موجود در DFS وجود دارد .
اگر در مقالات قبلی توجه کرده باشید ما در سناریو آموزشی ، سه پوشه به اشتراک گذاری شده داشتیم که دو تای آن به نام های Administrator و Accounting در کامپیوتر server1 قرار داشتند و در زمان نصب DFS ، درون فضای نام File server ، پیوند داده شدند . یک پوشه دیگر به نام Public در server2 وجود دارد که حالا قصد داریم آن را به فضای نام File server پیوند دهیم . برای اینکار مراحل زیر را انجام می دهیم :
- فضای نام DFS ای که ایجاد کرده ایم ( به نام File server ) را کلیک راست کرده و گزینه New Folder را انتخاب می کنیم تا پنجره مکالمه New Folder باز شود. ( تصویر 1 )
- سپس در پنجره مکالمه New Folder ، دکمه Add را کلیک کرده تا پنجره مکالمه Add Folder Target باز شود . سپس در فیلد Path to folder target آدرس پوشه ای ( UNC پوشه اشتراکی ) که می خواهیم برای آن پیوند درست کنیم را وارد می کنیم . در این مثال ما آدرس پوشه Public را وارد کرده و دکمه OK را کلیک می نماییم . ( تصویر 2 )
- چنانچه در تصویر 3 مشاهده می نمایید در کادر Folder targets مسیر پوشه Public ، قرار گرفته است . حالا کاری که ما باید انجام دهیم اینست که در کادر Name نامی برای پیوندمان انتخاب کنیم . ما نام پیوند را Public ، همنام با خود پوشه اشتراکی انتخاب کرده و دکمه OK را کلیک می نماییم . ( تصویر 3 )
- همانگونه که در تصویر 4 می بینید در برگه Namespace متعلق به فضای نام itpro.ir\File server \\ ، علاوه بر پیوند های Administrator و Accounting ، پیوند Public هم افزوده شده است. بدین ترتیب ما برای پوشه Public یک پیوند درون فضای نام File server ایجاد کرده ایم. ( تصویر 4 )
5-3 . ایجاد یک Namespace ( فضای نام - ریشه ) جدید درون DFS :
همانگونه که قبلا اشاره شد ، فضای نام ( ریشه ) در حقیقت اسم یک پوشه اشتراکی درون پوشه DfsRoots می باشد که در آن لینک های ( پیوند ) پوشه های اشتراکی در شبکه قرار می گیرد و کاربران شبکه از طریق همین پوشه ریشه به منابع اشتراکی شبکه دسترسی پیدا می کنند .
همانگونه که قبلا دیدید امکان ایجاد یک Namespace برای فایل سرورمان در زمانی که ما در حال نصب ابزار DFS درون ویندوز سرور 2008 بودیم ، وجود داشت و اتفاقا ما نیز همین کار را انجام دادیم و یک فضای نام ( ریشه ) به نام File server را در زمان نصب DFS راه اندازی و پیکربندی کردیم .
اما باید توجه کرد که امکان ایجاد یک فضای نام (Namespace ) جدید در ابزار DFS Management وجود دارد و شما به هر تعداد دلخواه می توانید Namespace در آنجا ایجاد نمایید.
فرض کنید که ما می خواهیم یک فضای نام به اسم PFS داشته باشیم که درون آن پیوندی ( لینک ) به پوشه Public شبکه وجود دارد . و کاربران عادی شبکه می توانند از این فضای نام برای دسترسی به پوشه Public استفاده می کنند . برای این کار باید مراحل زیر را انجام دهیم :
- ابتدا باید همانند شکل زیر بر روی گزینه Namespace کلیک راست کرده و سپس گزینه New Namespace را انتخاب نماییم . ( تصویر 1 )
- بعد از انتخاب گزینه New Namespace برای ما پنجره Namespace Server باز می شود . در اینجا ما باید نام کامپیوتر سروری که قرار است پوشه فضای نام جدید ( ریشه ) در آنجا ایجاد شود را وارد نماییم. پس ما کامپیوتر server1 را به عنوان میزبان فضای نام جدید انتخاب می کنیم. ( تصویر 2 )
- سپس در مرحله بعد پنجره Namespace Name and Settings باز می شود . در اینجا ما باید در کادر Name ، اسم فضای نام مورد نظر خود را وارد کنیم . که ما نام PFS را در کادر مربوطه نوشته و به مرحله بعدی می رویم . ( تصویر 3 )
- سپس در مرحله بعد پنجره Namespace Type باز می شود . در اینجا ما باید نوع DFS ی که می خواهیم ایجاد نماییم را انتخاب کنیم . از آنجایی که ما بر اساس اکتیو دایرکتوری عمل می کنیم پس گزینه Domain-based namespace را انتخاب کرده و به مرحله بعد می رویم. ( تصویر 4 )
- در اینجا یک خلاصه ای از تنظیمات به نمایش در می آید . دکمه Create را بزنید تا فضای نام جدید در DFS ایجاد شود . ( تصویر 5 )
- بعد از انجام مراحل بالا چنانچه در ( تصویر 6 ) مشخص است ، فضای نام ( ریشه ) جدیدی به اسم PFS ایجاد شده است. کاری که در این مرحله باید انجام دهیم ، اینست که یک پیوند برای پوشه Public درون فضای نام PFS ایجاد نماییم . برای انجام اینکار ما باید دقیقا مراحل گفته شده در بخش 5-2 این مقاله (پیوند دادن یک پوشه اشتراکی جدید درون Namespace موجود در DFS ) را دنبال کنیم . پس از انجام مراحل گفته شده لینک پوشه Public درون فضای نام PFS ایجاد می گردد . ( تصویر 7 )
ما در این مقاله در رابطه با چگونگی تنظیمات و پیکربندی DFS صحبت کردیم . در مقاله بعدی در رابطه با مبحث بسیار مهم رونوشت برداری از فایل ها و پوشه ها به کمک DFS صحبت می نماییم .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:28 | نویسنده : حمید مقصودی |
گام چهارم - معرفی و نصب نقش DFS (سیستم فایل توزیع شده) در ویندوز سرور 2008 :
همانطور که در مقاله راه اندازی فایل سرور - بخش اول ملاحظه کردید ، ما برای دسترسی به هر یک از پوشه های به اشتراک گذاری شده در فایل سرورهایمان ، باید در Run ویندوز کامپیوترمان ابتدا نام سروری که پوشه مورد نظر بر روی آن قرار دارد و سپس نام خود پوشه را تایپ کنیم ( آدرس دقیق UNC پوشه ) . مثلا برای دسترسی به پوشه Accounting از طریق شبکه باید به شکل server1\ Accounting \\ و برای دسترسی به پوشه Public باید به شکل server2\ Public \\ عمل کنیم . دلیل انجام این کار هم اینست که ما پوشه های به اشتراک گذاری شده را بر روی دو سرور مجزا قرار داده ایم .
حال شما خود را بعنوان مدیر شبکه در یک شرکت با هزاران کاربر فرض کنید که هر یک از کاربران عادی شبکه می دانند که برای دسترسی به پوشه Public فایل سرور باید مثلا آدرس server2\ Public \\ را تایپ کنند . به هر دلیلی بعد از مدتی شما تصمیم می گیرید که پوشه Public را از روی server2 بردارید و بر روی سرور دیگری به نام server3 قرار دهید . هنگامی که شما این کار را انجام دادید، دیگر هیچ یک از کاربران نمی توانند از آدرس قبلی برای دسترسی به پوشه Public استفاده کنند، زیرا نام سروری که این پوشه بر روی آن قرار دارد عوض شده است. اینجاست که شما باید به دنبال راهی برای اطلاع رسانی به کاربران در مورد تغییر آدرس باشید . یکی از راهها استفاده از پیغام الکترونیکی از طریق Exchange server برای اطلاع رسانی می باشد که هیچ تضمینی نیست که کاربران به پیام های شما توجه کنند و ناآگاهانه به خاطر در دسترس نبودن پوشه Public به شما اعتراض نکنند. ( راه دیگر هم اینست که یک بلندگو بردارید و در کل محیط شرکت بچرخید و در مورد تغییر صورت گرفته حضورا اطلاع رسانی نمایید !!! )
همانطور که می بینید یک تغییر کوچک در فایل سرور ممکن است برای شما مشکلات فراوانی به وجود بیاورد.به خاطر به وجود آمدن مشکلاتی شبیه به این در محیط شبکه شرکت های بزرگ ، ویندوز سرور 2003 و 2008 ، ابزاری به نام DFS یا ( Distributed File System ) را در اختیار مدیر شبکه می گذارد. این ابزار یک ساختار منطقی از پوشه های به اشتراک گذاری شده که بر روی چندین سرور قرار دارند را در اختیار کاربران قرار می دهد. DFS ابزاری است که این امکان را به کاربران شبکه می دهد که برای دسترسی به تمامی پوشه های شبکه از یک نام واحد استفاده کنند و به همین دلیل است که مشکل گفته شده در شبکه دیگر به وجود نمی آید . زیرا دستیابی به پوشه های به اشتراک گذاری شده دیگر وابسته به دانستن آدرس دقیق UNC یا ( ServerName\Sharename \\ ) پوشه ها نیست و مدیران شبکه می توانند به راحتی فایل سرورها را تغییر دهند و اسناد و پوشه ها را بدون اطلاع کاربران عادی از روی یک سرور به سرور دیگر جابجا نمایند.
در حقیقت DFS دارای یک پوشه به اشتراک گذاری شده (ریشه) با یک نام ثابت است که درون آن لینک های تمامی پوشه های شبکه وجود دارد و کاربران از طریق همین پوشه ثابت (ریشه) می توانند به تمامی پوشه های شبکه دسترسی داشته باشند. و در صورت عوض شدن مسیر یک پوشه، تنها کاری که مدیر شبکه باید انجام دهد اینست که لینک مربوط به آن پوشه را اصلاح نماید.
نکته 1 : به منظور پیکربندی DFS باید با اجزای آن آشنا باشید که به قرار زیر می باشند :
- Namespace (فضای نام - ریشه ) : نامی است که برای کاربران شبکه قابل دیدن است و کاربران از این نام برای دسترسی به پوشه های فایل سرور استفاده می کنند. این نام شروع سلسله مراتب DFS است و در حقیقت به شکل یک پوشه ثابت به اشتراک گذاری شده در شبکه است که درون آن لینک هایی ( پیوند ) قرار دارد که ما را به پوشه های اشتراکی فایل سرور هدایت می کند .
- پیوند ( لینک - New Folder ) : عنصری است که درون ریشه (Namespace ، فضای نام ) قرار می گیرد و ما را به پوشه های به اشتراک گذاری شده درون شبکه وصل می کند . در حقیقت یک پیوند به یک پوشه ی به اشتراک گذاری شده در شبکه اشاره می کند . کار پیوندها همانند کار لینک ها در صفحات وب است .
- هدف ( Folder Target ) : مقصد یک پیوند ( لینک ) می باشد . هدف در واقع همان آدرس UNC یک پوشه اشتراکی می باشد که یک پیوند از آن برای هدایت کاربران به یک مقصد خاص در شبکه استفاده می کند.
- رونوشت ( Replication ) : رونوشت در حقیقت یک کپی از پوشه های اشتراکی می باشد که بر روی یک سرور دیگر ( نقش DFS باید بر روی آن سرور نصب شده باشد ) قرار می گیرد . سرویس FRS ( File Replication Service ) مراقب است که محتویات هر دو پوشه همگام باقی بماند . استفاده از رونوشت ها تحمل خرابی در DFS را ممکن می سازد ولی باید توجه کرد که بدلیل همگام سازی فایل ها میان دو سرور ممکن است ترافیک شبکه بالا برود . پس در استفاده از رونوشت ها باید دقت کرد و فقط از پوشه های بسیار مهم و حساس رونوشت ( کپی ) برداریم .
نکته 2 : ویندوز سرور 2008 دو نوع پیاده سازی DFS را در اختیار مدیران شبکه قرار می دهد. یکی DFS مستقل و دیگری بر اساس دامنه :
- DFS مستقل : در یک سیستم مستقل ، ریشه ( Namespace ) در سرویس دهنده میزبان ذخیره می شود و مسیر دستیابی به ریشه ( Namespace ) با اسم سرویس دهنده میزبان آغاز می شود. در DFS مستقل هر ریشه فقط بر روی یک سرور قرار دارد و هر پیوند فقط به یک سرویس دهنده اشاره می کند. یعنی هیچ رونوشتی از ریشه ( فضای نام ) یا پوشه های به اشتراک گذاری شده ( مقصد لینک های درون فضای نام ) نمی تواند وجود داشته باشد. اگر هدف ریشه ( سرویس دهنده ای که فضای نام به آن اشاره می کند قابل دسترسی نباشد کل فضای نام DFS غیر قابل دستیابی می شود.
- DFS دامنه : در DFS بر اساس دامنه ، اطلاعات پیکربندی در اکتیودایرکتوری ذخیره می شوند و مسیر دستیابی به ریشه ( یا یک پیوند ) با اسم دامنه آغاز می شود. در این نوع پیکربندی هر ریشه ( فضای نام ) می تواند بر روی چندین سرور قرار داشته باشد و به این ترتیب redundancy و high availability ( افزونگی و دسترسی بالا ) برای پیکربندی ما فراهم می شود. در حقیقت ریشه ( فضای نام ) و هدف ها ( مقصد هر پیوند یا همان پوشه های به اشتراک گذاری شده ) می تواند رونوشت هایی داشته باشد و می توان یک برنامه ی زمانی را برای تکرار تنظیم کرد. تکرار توسط FRS انجام می شود. در DFS دامنه تحمل خرابی توسط FRS مدیریت می شود. FRS به صورت اتوماتیک کاربران را به سراغ داده های رونوشت می برد. در DFS دامنه کاربران نمی دانند که پوشه های اشتراکی در کدام سرویس دهنده هستند و نیز نمی دانند که DFS در کدام سرویس دهنده است. همه ی این ها از دید کاربران مخفی می باشد.
توجه 1: DFS بر اساس دامنه در اکتیودایرکتوری جای می گیرد ، لذا اگر از سیستم هایی ویندوز سرورسی در شبکه استفاده می کنید که از اکتیودایرکتوری استفاده نمی کند ، فقط می توانید یک DFS مستقل را پیاده سازی نمایید. اگر از اکتیودایرکتوری استفاده می کنید باز می توانید از یک DFS مستقل استفاده کنید. ولی برای شبکه های بزرگ استفاده از DFS بر اساس دامنه عاقلانه تر است.
توجه 2 : در ویندوز سرور 2003 با نصب ویندوز ، DFS به طور اتوماتیک نصب می شود. ولی در ویندوز سرور 2008 چنین نیست و شما باید نقش DFS را هر موقع که به آن نیاز داشته باشید نصب نمایید.
نصب نقش DFS در ویندوز سرور 2008 :
- ما قصد داریم نقش DFS را بر روی کامپیوتر دامین کنترولر server1 نصب نماییم . برای اینکار ما همانند شکل زیر از طریق مسیر زیر عمل نماییم .
1 | Server Manager --> Roles --> File Services --> File Server --> Add Role Services |
- بعد از کلیک کردن بر روی گزینه Add Role Services ، صفحه زیر باز می شود که از شما می خواهد یکی از نقش های مربوط به سرویس های فایل را انتخاب نمایید . در اینجا شما باید گزینه DFS یا Distributed File System را انتخاب کرده و سپس دکمه Next را بزنید.
- پنجره زیر از شما می خواهد که یک Namespace ( فضای نام - ریشه ) برای DFS انتخاب نمایید . شما باید در کادر مربوطه نام مورد نظر برای Namespace را تایپ نمایید، که ما نام File server را برای Namespace پروژه خود انتخاب کرده ایم . ( در ضمن شما می توانید Namespace و کل فرایند هایی که بعد از این گفته می شود را در خود DFS Management نیز انجام دهید )
- در پنجره زیر از شما خواسته می شود که نوع DFS ای که می خواهید پیاده سازی کنید را انتخاب نمایید . از آنجایی که ما در پروژه خود بر اساس اکتیودایرکتوری عمل می کنیم ، گزینه فضای نام بر اساس دامنه ( Domain-based namespace ) را انتخاب می کنیم .
- در پنجره زیر از شما خواسته می شود که برای ساختن یک DFS بر اساس دامنه ، نام و پسورد یک اکانت متعلق به گروه Domain Admin را وارد نمایید . که همانند شکل زیر عمل می کنیم .
- در پنجره زیر شما می توانید Namespace (فضای نام) مورد نظر خود را پیکربندی نمایید. چنانچه در شکل زیر مشخص است در پایین پنجره کادری به نام Folder target وجود دارد و مسیری را نشان می دهد که پوشه Namespace در آنجا ایجاد می شود. (به طور پیش فرض Namespace به صورت یک پوشه به اشتراک گذاری شده درون کامپیوتری که DFS در آن نصب است ، ایجاد شود.) در اینجا شما می توانید با کلیک کردن دکمه Add ، پوشه های به اشتراک گذاری شده بر روی سرورهای خود را به Namespace (فضای نام ) پیوند دهید. که با اینکار پوشه های به اشتراک گذاری شده سرورها درون پوشه Namespace مپ می شوند . دکمه Add را می زنیم و به مرحله بعد می رویم .
- با زدن دکمه Add در مرحله قبلی ، پنجره Add Folder to Namespace برای شما باز می شود که از شما می خواهد پوشه های به اشتراک گذاری شده بر روی سرورهای خود را انتخاب نمایید . با زدن دکمه Browse ، پنجره Brows for Shared folder باز می شود . در اینجا ما قصد داریم پوشه های Administrator و Accounting را که بر روی server1 قرار دارند را به پوشه File server ( فضای نام - ریشه ) پیوند دهیم . برای اینکار در کادر Server نام کامپیوتر سرور خود ( server1 ) را می نویسیم و سپس بر روی دکمه Show Shared Folders کلیک می کنیم در اینجاست که پوشه های به اشتراک گذاری شده ما بر روی کامپیوتر server1 به نمایش در می آید. یکی از پوشه ها را انتخاب کرده و دکمه OK را فشار می دهیم .
- چنانچه در شکل زیر می بینید بعد از انتخاب پوشه Accounting در پنجره Brows for Shared folder ، کلیه اطلاعات مربوط به آن از جمله ، آدرس پوشه Accounting در server1 ، نام پوشه ای که مسئول لینک کردن به پوشه Accounting است ( همان پوشه پیوند یا لینک درون Namespace ) ، و آدرس پوشه پیوند مورد نظر ( itpro.ir\ File server\ Accounting \\ ) ، به نمایش در می آید . در اینجا دکمه OK را می زنیم و به پنجره Configure Namespace بر می گردیم .
- چنانچه در شکل زیر می بینید هر دو پوشه Accounting و Administrator به شکل پوشه های پیوند ( لینک ) شده به پوشه Namespace ( همان پوشه File server ) به نمایش در آمده است . در اینجا پیکربندی Namespace به پایان رسیده است و با زدن دکمه Next و سپس Install ، ابزار DFS نصب می شود و سپس در درون پوشه Namespace ( همان پوشه File server ) دو پوشه مپ شده ( دو پوشه به شکل لینک ) برای پوشه های Accounting و Administrator ایجاد می گردد.
پس از نصب DFS ، برای دسترسی به این ابزار می توانید از طریق Administrative Tools | DFS Management اقدام نمایید. چنانچه در شکل زیر پیداست بعد از انجام مراحل قبل ، یک Namespace (فضای نام) به نام File server و با آدرس itpro.ir\ File server \\ درون DFS Management ایجاد شده است و در درون فضای نام File server دو لینک به نام های Accounting و Administrator برای پوشه های مورد نظر ایجاد شده است .
چنانچه ملاحظه می کنید پس از نصب DFS ، درون درایو C ویندوز سرورتان یک پوشه به نام DfsRoots ایجاد شده است که درون آن پوشه Namespace شما (File server) وجود دارد . و درون پوشه File server ، هر دو پوشه لینک شده به پوشه های اشتراک گذاری شده شما دیده می شود.
بعد از این اگر بر روی هر یک از کلاینت های شبکه ، آدرس itpro.ir\File server \\ ( نام ریشه \ نام دامین \\ ) را تایپ کنید شما به فضای نام File server هدایت می شوید و می توانید از طریق آن به پوشه های اشتراکی شبکه دسترسی پیدا کنید .
ما در این مقاله فقط در باره مفاهیم DFS و چگونگی نصب آن صحبت کردیم . در مقاله بعدی از این سری مقالات چگونگی پیکربندی و تنظیمات درون ابزار DFS به طور دقیق مورد بررسی قرار می گیرد .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:25 | نویسنده : حمید مقصودی |
مقدمه :
هدف از راه اندازی یک فایل سرور در حقیقت اینست که کاربران شبکه بتوانند تحت شرایطی که مدیر شبکه تعیین می کند ، فایل ها و اطلاعات خود را در شبکه به شکل متمرکز به اشتراک بگذارند.
اگرچه در حالت عادی کاربران می توانند با استفاده از Tab (سر برگ) Sharing در هر پوشه بر روی کامپیوتر خود آن را به راحتی در یک شبکه به اشتراک بگذارند. ولی اجازه دادن به کاربران برای انجام این کار یک اشکال عمده برای مدیر شبکه ایجاد می کند . شما باید خود را به عنوان یک مدیر و طراح شبکه در یک شرکت بزرگ با هزاران کامپیوتر تصور کنید ، حالا فرض کنید که شما این اختیار را به کاربران عادی شبکه می دهید که بتوانند هر پوشه ای را درون کامپیوتر خود بدون هیچ محدودیتی در شبکه به اشتراک بگذارند! در اینصورت شما به عنوان مدیر در شبکه دهها هزار پوشه به اشتراک گذاری شده دارید که دیگر هیچ کنترولی بر روی آنها ندارید و اینجاست که مصیبت واقعی شما در شبکه نمایان می شود؟؟؟
بعد از گذشت چند روز کارمندان و کاربران محترم شرکت ، شبکه سازمان را عملا تبدیل به یک اینترنت داخلی با دهها هزار فایل پراستفاده (از قبیل فیلم ، عکس ، mp3 ، ویروس ،....) می کنند!! ( این مورد را در کشور عزیز خودمان تصور کنید و فکر کنید چه اتفاقاتی که در شبکه نخواهد افتاد !؟؟ بعد به ادامه ماجرا بپردازید... )
از این به بعد کاربران عملا وقت شریف اداری خود را تبدیل به اوقات خوش اداری همراه با استفاده از اینترنت داخلی رایگان!!! می کنند و بعد از چند وقت درخواست نصب بازی تحت شبکه هم به شما خواهد رسید . حالا شما دیگر هر کاری که لازم است ( خواهش ، تهدید ، تطمیع ، نذر و نیاز و ...) انجام دهید. اگر پلیس فدرال آمریکا (FBI) توانست اینترنت را کنترول کند ، شما هم می توانید شبکه شرکت را کنترول کنید. ( البته یک راه اینست که کل شبکه را روی کاربران ببندید و خود را از این همه دردسر راحت کنید !!!)
همه این مشکلات به دلیل اینست که ما یک شعار همیشگی را در شبکه فراموش کرده ایم و آن اینکه مدیر ( admin ) هر کاری باید بتواند انجام دهد و کاربر هر کاری نباید بتواند انجام دهد. ( البته این محترمانش بود... ) پس ما برای محقق شدن این شعار حداقل برای مورد به اشتراک گذاری پوشه ها ( و انشاالله در سایر موارد شبکه ) گام به گام مراحل طراحی یک فایل سرور مناسب را توضیح می دهیم باشد که مورد توجه شما قرار بگیرد .
نکته : باید توجه کرد که اگر شبکه یک سازمان بر اساس اکتیو دایرکتوری باشد . کاربران عادی شبکه (Domain Users) در حالت عادی نمی توانند پوشه ای را در شبکه به اشتراک بگذارند . ولی ممکن است در یک سازمان لازم باشد به کاربران فنی آن سازمان این امکان را بدهیم که بتوانند خود بر روی سیستم هایشان نرم افزارهای مورد نیاز خود را نصب کنند (عضویت یک اکانت کاربری در گروه Local Administrator) و یا یک سازمان کوچک داریم و شبکه آن به شکل Workgroup می باشد و کاربران آن ممکن است عضو گروه Administrators باشند . که در این صورت بی نظمی های گفته شده در شبکه ممکن است به وجود بیاید.
گام اول - بررسی نیازهای کاربران و طراحی بر اساس ساختار اکتیودایرکتوری :
اولین گام برای طراحی یک فایل سرور ، بررسی نیازهای واقعی کاربران از فایل سرور می باشد. که در نتیجه آن به کاربران بر اساس نقشی که در شرکت به عهده دارند ، مجوزهای دسترسی مناسب به پوشه های فایل سرور داده می شود. از آنجایی که طراحی ما احتمالا بر اساس چارچوب اکتیودایرکتوری می باشد ، برای اینکه بتوانیم مراحل کار را به شکل عملی دنبال کنیم ، طراحی را بر اساس یک شرکت فرضی انجام می دهیم .
فرض کنید که یک شرکت فعال در زمینه کامپیوتر و IT داریم که شبکه آن بر اساس اکتیودایرکتوری طراحی شده است و نام دامین شرکت itpro.ir می باشد (البته شما همیشه برای نامگذاری دامین شبکه داخلی خود از پسوند local. استفاده کنید) . این شرکت دارای دو سرور می باشد که یکی به عنوان دامین کنترولر ( DC ) است و دیگری راه اندازی برخی از نقشها (مثلا DHCP server وWeb server) را به عهده دارد و فقط عضو دامین می باشد. و همچنین شرکت دارای سه نوع گروه کاربری به قرار زیر می باشد :
• کاربران بخش خدمات و کاربران فنی (گروه karmandan )
• کاربران بخش حسابداری و مالی ( گروه hesabdaran )
• دستیاران مدیر شبکه ( گروه helpdesks )
مدیریت شرکت تصمیم می گیرد که فایل سرور دارای سه پوشه خاص ( به نامهای Public ، Accounting، Administrator ) برای به اشتراک گذاری در شبکه باشد و از هر دو سرور شبکه به عنوان فایل سرور استفاده شود .
• Public : برای کلیه کاربران شبکه
• Accounting : برای قرار دادن فایل های مالی و حسابداری شرکت توسط حسابداران شرکت
• Administrator : برای مدیریت شبکه و کاربران دستیار مدیر
ساختار اکتیودایرکتوری و فایل سرور شرکت همانند شکل های زیر می باشد :
گام دوم - ایجاد یک ساختار حجم مناسب برای هارد دیسک های فایل سرور :
ما قرار است که فایل سرور را بر روی هر دو سرور شبکه ( server1و server2) ایجاد کنیم . فرض کنید که ما بر روی این کامپیوتر های سرور ، تعدادی هارد دیسک با ظرفیت زیاد داریم که می توان از آن به عنوان یک منبع ذخیره سازی قابل اطمینان داده استفاده کنیم . کاری که حالا باید انجام دهیم اینست که این هارد دیسک ها را با یک ساختار حجم مناسب پیکربندی نماییم. چندین معیار برای پیکربندی هارد دیسک ها برای استفاده در یک فایل سرور وجود دارد که از جمله داشتن قابلیت تحمل پذیری در مقابل خرابی ، کارایی مناسب و داشتن ساختار فایل NTFS برای دادن مجوزهای دسترسی به پوشه ها می باشد . پیشنهاد می شود که این هارد دیسک ها بر روی هر دو سرور از ساختار Stripped volume with parity) RAID-5) تبعیت کنند . زیرا هر دو قابلیت تحمل پذیری در مقابل خرابی و کارایی مناسب و ... را همزمان دارد . باید توجه کرد که برای داشتن ساختار RAID-5 ، ما حداقل به سه عدد هارد هم اندازه نیاز داریم. برای پیکربندی هارد دیسک ها شما می توانید از فرمان diskmgmt.msc در Run یا از Server Manager استفاده کنید . برای آشنایی بیشتر با شیوه پیکربندی هارد دیسک ها و دلایل استفاده از آنها می توانید به مقالات خانم قرباوی در لینک های زیر مراجعه نمایید :
مدیریت دیسک ها در ویندوز 7
مدیریت دیسکها در ویندوز - ایجاد و اضافه کردن هارد دیسک در ویندوز
گام سوم - به اشتراک گذاری پوشه های مورد نظر بر روی سرورها و دادن سطوح دسترسی مناسب به آنها :
هدف ما از بکاربردن هر دو سرور شبکه به عنوان فایل سرور ، تقسیم پوشه های به اشتراک گذاری شده میان دو سرور و از این طریق کم کردن ترافیک شبکه بر روی سرورها می باشد . در ضمن با انجام این کار در صورتی که یکی از سرورها دچار مشکلی شود ، شما می توانید به راحتی بخشی از فایل سرور را جابجا کرده و بر روی سرور دیگر قرار دهید. ما در این مورد در جای مناسب خود بیشتر صحبت می کنیم. پس ما دو پوشه Administrator و Accounting را بر روی سرور دامین کنترولر (Server1 ) و پوشه Public را بر روی سرور دوم ( Server2 ) قرار می دهیم. ( توصیه می شود آن پوشه هایی که مراجعه بیشتری دارند را بر روی سروی بگذارید که ترافیک کمتری از شبکه بر روی آن قرار دارد. )
در به اشتراک گذاری پوشه ها نکته بسیار مهم اینست که ، مجوز های دسترسی که به پوشه ها می دهیم باید دقیقا مطابق با نیازهای کاربران باشد ( نه کمتر و نه بیشتر ) و همچنین باید میان NTFS Permissions و Share Permissions توازن برقرار باشد و گرنه در صورت عدم توازن ، پوشه ها کمترین دسترسی داده شده را به خود می گیرند .
برای دادن مجوزهای NTFS Permissions و Share Permissions باد بر روی پوشه مورد نظر کلیک راست کرده و برای دادن مجوز NTFS از برگه Security و برای دادن مجوز اشتراک از برگه Sharing استفاده می کنیم .
3-1. مجوزهای پوشه Administrator :
• مدیرشبکه کنترل کاملی بر روی آن دارد.
• helpdesk ها ( دستیاران مدیر ) می توانند در آن فایل و پوشه بریزند ولی نمی توانند از آن چیزی حذف کنند.
• Karmandan و hesabdaran هیچگونه دسترسی به این پوشه ندارند.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Administrator همانند شکل های زیر می باشد :
توجه1: نکته ای که در دادن NTFS Permissions باید توجه کرد اینست که هنگامی که می خواهید مجوزهای جدید را به یک پوشه اعمال کنید باید ابتدا خاصیت ارث بری پوشه مورد نظر را از پوشه بالاسری خود ( پوشه والد خود ) برداریم . ما اینکار را مانند شکل زیر انجام می دهیم ( توجه کنید که اینکار را برای هر سه پوشه انجام دهید ) :
- NTFS Permissions :
توجه 2 : بعد از اعمال مجوزهای NTFS Permissions شما باید کاری کنید که این مجوزها به فایل ها و پوشه های درون پوشه مورد نظر ( پوشه های فرزند ) نیز اعمال شوند . ما اینکار را مانند شکل زیر انجام می دهیم :
- Share Permissions :
3-2. مجوزهای پوشه Accounting :
• مدیرشبکه و helpdesk ها ( دستیاران مدیر ) کنترل کاملی بر روی آن دارند.
• کاربران گروه hesabdaran می توانند در آن فایل و پوشه قرار دهند و ویرایش کنند ولی نمی توانند چیزی را درون آن حذف کنند.
• کاربران گروه karmandan هیچگونه دسترسی به این پوشه ندارد.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Accounting همانند شکل های زیر می باشد : ( باید توجه کرد که مجوزهای گروه Administrators با helpdesks یکسان می باشند. )
- NTFS Permissions :
توجه : برای اینکه کاربران گروه hesabdaran نتوانند فایل هایی که
خود ایجاد کرده اند حذف کنند ، شما می توانید گروه CREATOR OWNER را در
برگه Security حذف کنید یا مجوز Delete را در این گروه بردارید . البته این
کار باید بنا بر نیازهای امنیتی و مدیریتی انجام شود .
- Share Permissions :
3-3. مجوزهای پوشه Public :
• مدیرشبکه و helpdesk ها ( دستیاران مدیر ) کنترل کاملی بر روی آن دارند.
• کاربران گروه hesabdaran و karmandan می توانند در آن فایل و پوشه قرار دهند و ویرایش کنند ولی نمی توانند چیزی را درون آن حذف کنند.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Public همانند شکل های زیر می باشد : ( باید توجه کرد که مجوزهای گروه Administrators با helpdesks و مجوز های گروه hesabdaran با karmandan یکسان می باشند. )
- NTFS Permissions :
توجه : برای اینکه کاربران گروه hesabdaran و karmandan نتوانند
فایل هایی که خود ایجاد کرده اند حذف کنند ، شما می توانید گروه CREATOR
OWNER را در برگه Security حذف کنید یا مجوز Delete را در این گروه بردارید
. البته این کار باید بنا بر نیازهای امنیتی و مدیریتی انجام شود .
- Share Permissions :
پس از به اشتراک گذاری پوشه ها درون ویندوز سرورهایتان چنانچه در شکل زیر مشخص است ، نقش File Server نیز به صورت خودکار اضافه می شود و برای دسترسی به هر پوشه از طریق شبکه می توانید آدرس UNC پوشه را در RUN ویندوزتان وارد نمایید . مثلا برای دسترسی به پوشه Public ، به شکل server2\ Public \\ عمل می نماییم .
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : سه شنبه سی و یکم اردیبهشت ۱۳۹۲ | 8:17 | نویسنده : حمید مقصودی |
یکی از فابیت هایی که در ویندوز سرور ۲۰۰۳ نسخه Enterprise به بالا وجود دارد Hot Add Memory می باشد. در این حالت می توانید به ویندوز خود به صورت online رم اضافه کنید.
یعنی بدون اینکه ویندوز خود را خاموش کنید.
یکی از سخت افزار هایی که معمولا زیاد به یک سرور اضافه می شود رم سیستم می باشد. همانطوری که می دانیم ما تا جایی که امکان دارد نباید سرور خود را خاموش کنیم. به همین خاطر مایکروسافت این قابلیت را بر روی سرور های خود فعال کرده است.
برای اینکه این قابلیت را نشان بدهم از VMware استفاده می کنم. در vmware رم یک ویندوز ۲۰۰۳ را افزایش می دهم. شما خواهید دید بدون اینکه نیاز باشد سیستم را restart کنم رم آن افزایش می یابد.
سخت افزاری که شما از آن استفاده می کنید باید این قابلیت را داشته باشد. پس قبل از انجام این کار حتما فایل های مربوط به سخت افزار خود را به صورت کامل مرور کنید. چون در صورت اشتباه سخت افزار شما می تواند از بین برود.
در تصویر بالا مشخصات سرور من در vmware را مشاهده می کنید. همانطور که می بینید میزان رم استفاده شده ۳۸۴ MB می باشد.
در vmware مقدار رم را به ۱۰۲۴ افزایش می دهم.
حال اگر دوباره System Properties بگیرم می بینم که مقدار رم افزایش پیدا کرده است.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : پنجشنبه بیست و ششم اردیبهشت ۱۳۹۲ | 9:7 | نویسنده : حمید مقصودی |
در
این مطلب می خواهم به بررسی مراحلی بپردازم که در طی آن یک کاربر به domain وارد می شود. برای چک
کردن
username و password d ی که کاربر وارد می کند مراحل زیر بین کامپیوتر
کلاینت و DC اتفاق می افتد:
موضوعات مرتبط: اکتیو دایرکتوری
- کاربر اطلاعات کاربری مورد نیاز را وارد می کند. username, password, domain name
- در این لحظه Local Security Authority LSA پسورد وارد شده را هش می کند سپس به وسیله آن زمان کامپیوتر را رمزنگاری می کند. سپس زمان رمزنگاری شده را به صورت عادی (بدون رمزنگاری) همراه با زمان رمزنگاری شده در پکیج ساخته شده قرار می دهد. این پکیج که به آن authenticator گفته می شود توسط LSA به پکیج Kerberos بر روی کامپیوتر کلاینت تبدیل می شود.
- سپس authenticator به Kerberos Distribution Center (KDC) یا محل ذخیره سازی حساب های کاربری بر روی یک DC فرستاده می شود.
- در این لحظه KDC زمان قرار داده شده در پکیج (بدون رمزنگاری) را با زمان خود چک می کند. در صورتی که اختلاف زمانی بین زمان پکیج و زمان سرور بیش از پنج دقیقه (این مقدار به صورت پیش فرض می باشد، می توان به وسیله policy ها این مقدار را عوض کرد Policy مربوط به این تنظیم با نام Maximum tolreance for computer clock synchronization) باشد. سرور عملیات authentication را لغو می کند. در غیر این صورت پروسه authentication ادامه پیدا می کند.
- سپس KDC به وسیله هش پسوردی که بر روی هارد خود ذخیره کرده است زمان قرار داده شده درون پکیج (زمان رمزنگاری نشده) را رمزنگاری می کند.
- در صورتی مقدار بدست آمده با مقدار رمزنگاری شده در پکیج یکی بود، سرور به کلاینتی که authenticate شده یک TGT می فرستد. این TGT شامل اطلاعات رمزنگاری شده ای می باشد که فقط بر روی همان کامپیوتری که کاربر login کرده است قابل استفاده می باشد. همچنین شامل اطلاعاتی در مورد user SID و group SID هایی می شود که کاربر عضو آنها می باشد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه بیست و پنجم اردیبهشت ۱۳۹۲ | 7:17 | نویسنده : حمید مقصودی |