در شبکه های شرکتی و سازمانی برای مدیریت و کنترل متمرکز، سیتم ها را به Domain جوین می کنند و یکی از معضلاتی که ممکن است در زمان جوین سیستمها خصوصا سیستم های ویندوز 10 با آن مواجه شوید ارور Unable to join domain می باشد. اگر این مشکل را دارید ما در این پست نحوه برطرف کردن این مشکل را با راه حل هایی به شما نشان خواهیم داد.
با این فرض که سیستم شما، IP address مناسب دارد(یعنی از DHCP یا IP دستی بدان تخصیص داده شده باشد) و همچنین DNS server در کلاینت، ip address درست تنظیم شده باشد. شما با برای تست ارتباط با ip address، باید بتوانید بدون هیچ مشکلی ping دامین کنترلرها را داشته باشید.

پس با فرض اینکه موارد فوق رعایت شده، راه حل ها را دنبال کنید.

1. Modify the registry

در این روش از تظنیمات رجیستری استفاده خواهیم کرد و حتما قبل از هر تغییری از رجیستری خود بک آپ بگیرید.

در آموزش های قبلی تین کلاینت و موارد مصرف آن بصورت کامل برای شما همراهان گرامی معرفی شد که مهمترین نکته ای که راجع به این دستگاه ها می توان به آن اشاره کرد اتصال ریموت از تین کلاینت به یک کامپیوتر که می تواند یک سرور نیز باشد استفاده کرد  ، حال در این آموزش قصد داریم نحوه استفاده و راه اندازی یک مدل از تین کلاینت که محصول شرکت تسکو می باشد (مدل TNP 1210 ) را برای شما توضیح دهیم ، پس برای استفاده از این آموزش در ادامه این نوشتار همراه ما باشید .

قبل از شروع مقاله اجازه بدهید مشخصات کلی TNP 1210 را برای شما معرفی کرده و در ادامه به آموزش راه اندازی و استفاده از آن بپردازم . این مدل دارای یک پردازنده A7 Dual core 1GHz ، سیستم عامل  Linux3.4 ، رم 256MB ، چهار عدد پورت USB  ، یک پورت 10/100 و یک پورت VGA  برای اتصال مانیتور می باشد .

شاید بخواهید در شبکه ببینید چه پوشه و فایل هایی به اشتراک گذاشته شده است . به صورت معمول باید از Network کمک بگیرید اما بدلیل بعضی از محدودیت های شاید نتوانید بعضی از فایل ها را باز کنید .البته این توضیحات فقط مربوط به یک موضوع در شبکه می شود و پیش زمینه ای بود تا برنامه Net Share Monitor را به شما معرفی کنم .  Net Share Monitor نرم افزاری رایگان برای مشاهده و کنترل فایل های به اشتراک گذاشته شما از کاربران ناشناس در شبکه میباشد. هر زمان که یک کاربر ناشناس و یا از مکانی دیگر به فایل های شما دسترسی پیدا کند، برنامه ی Net Share Monitor بوسیله چشمک زدن یک آیکون یا به صدا درآوردن علامت اخطار شما را آگاه خواهد کرد. این برنامه به شما IP آدرس و نام کاربری فرد متجاوز و فایل های دستبرد زده شده را نمایش میدهد. علاوه بر این امکان کنترل برنامه ها و سیستم خود را از هکر ها نیز خواهید داشت، همینطور از تروجان که از طریق به اشتراک گذاری در شبکه پراکنده میشوند!

کی از جالب ترین ویژگی های Group Policy می تواند پیاده سازی نرم افزار ها و Application ها از طریق آن باشد . برای مثال در محیط Active Directory با تعداد زیادی User/Computer نصب نرم افزار روی تک تک سیستم ها کاری دشوار و وقت گیر خواهد بود . لذا با استفاده از Group Policy در حالات مختلف می توانید به پیاده سازی نرم افزار بپردازید . البته در این راهکار چندین نکته مهم وجود دارد که در طول مطلب به آنها اشاره خواهیم کرد . سعی می کنیم از توضیحات اضافی پرهیز کرده و مطلب را بصورت عملی پیش ببریم . از جمله مهم ترین نکاتی که باید به آن دقت کرد این است که در ساختاری که قصد انجام عملیات Software Deployment را دارید بایستی حتما از سیستم های عامل بکار رفته آگاه شوید . ساختار مناسب استفاده از Windows Server 2000 یا بالاتر همراه با Active Directory و وجود Client هایی با سیستم عامل Windows 2000 Professional یا بالاتر می باشد . در این بحث فرض بر این است که سرور ما از Windows Server 2003 استفاده می کند لذا توضیحات ارایه شده بر مبنای این سیستم عامل می باشد

و بر اون راست کلیک کرده و از منوی New گزینه Scheduled Tasks windows vista and later را انتخاب نمایید
در قسمت Name برای آن نامی انتخاب کنید
و بعد در تب Triggers یک new باز کرده و با انتخاب Daily زمان مورد نظر خود را هم انتخاب کنید مانند شکل زیر :

کسانی که از Wireless و Ethernet برای شبکه کردن استفاده میکنند اکثرا با مشکلات زیادی روبه رو میشوند. این مشکلات میتونه هر چیزی باشد مثله عدم وصل نشدن به اینترنت یا خارج شدن از شبکه و غیره.

متاسفانه بعضی وقت ها شناسایی مشکلات Network Connection خیلی سخت هست و به راحتی نمیشه فهمید مشکل اصلی از کجا هست. حالا ما اینجا به شما چند روش برای کمک کردن تو حل مشکلات معرفی میکنیم. منابع این مطالب از مقاله های آقای McDowell’s و Karl Gechlik’s هست که اینجا میگزارم.

من اینجا میخواهم 4 روش خوب برای درست کردن مشکلات اینترنتی و کانکشن ها معرفی کنم ، البته این دستور العمل ها فقط برای ویندوز های ایکس پی ، 7 و ویستا هست.

کی از تحولات شبکه در دهه اخیر استقبال گسترده از شبکه های Wireless  LAN است.همانطور که می دانید Wireless یک تکنولوژی ارتباطی است که در آن از سیم و کابل خبری نیست. Wireless برای تبادل و جا به جایی اطلاعات و داده ها از امواج رادیویی استفاده می کند و برای اتصال رایانه ها و دستگاه های دیجیتال به یکدیگر کاربرد دارد و سرعت توسعه شبکه را چندین برابر کرده است. به کمک این تکنولوژی می توان از اینترنت به صورت بیسیم بهره برد و این تکنولوژی کاریردهای فراوانی دارد که در ادامه به آن اشاره  خواهیم کرد. با استفاده از امکانات Wireless دیگر بدون محدودیت مکانی با استفاده از یک فضای تعریف شده می توانید از امکانات اینترنت به راحتی استفاده کنید. از آنجا که بدون معماری مناسب نمی توان یک شبکه را به بهره وری رساند مطالعه اصول اولیه و پایه ای شبکه بی سیم امری مهم است. برای بهره وری از این سیستم لازم است اطلاعات پایه ای را از ان بدانید.

مزایای شبکه بیسیم یا همان Wireless که باعث درک شما از اهمیت این مبحث شود:

1-      عدم نیاز به کابل کشی و حذف هزینه های آن

2-      حذف هزینه های جانبی ناشی از کابل کشی

3-      نصب سریع و آسان در زمانی کوتاه و صرفه جویی در زمان

4-      شبکه های کابلی در مقیاس های بزرگ قابل اجرا نیست برای مثال نمی توان مسافت شهر رشت تا شهر لاهیجان را با کابل شبکه کرد اما با این تکنولوژی این امر به راحتی میسر می شود.

در صورتیکه بخواهیم 3 عدد کامپیوتر را بدون داشتن از سویچ با یکدیگر شبکه کنیم کافیست از قابلیت Bridge سیستم عامل ویندوز استفاده نمائیم .

برای این منظور مراحل زیر را بترتیب انجام می هیم :

1- تجهیز یک کامپیوتر به 2 عدد کارت شبکه و اتصال آنها از طریق کابل کراس به 2 سیستم دیگر

2- وارد My Network Place  می شویم

3- از قسمت Network Task گزینه View Network Connection را انتخاب می کنیم

MPLS  Multiprotocol Label Switching برای حمل بسته های شبکه با کمک Label (مثل عمل Routing که توسط IP است) بوجود آمد.

این پروتکل برای این به وجود آمد که مشکلات کند شدن Router ها در شبکه های کلان و زیر فشار را با مکانیزمی ساده تر مثل Label زدن به ترافیک هر مشتری حل کند در حالیکه با پیشرفت روتر ها نیاز چندانی به MPLS برای حل این مشکل دیده نشد، از آن به خاطر توانایی های زیاد در Traffic Engineering – Quality of Services و هم چنین Virtual Private Networks و ( Any-Transport over MPLS ( AToM استفاده میشود.

این VPN با Virtual Private Network ی که در Internet از آن استفاده میکنیم متفاوت است. در واقع با MPLS شما میتوانید شبکه شهر خود را به شبکه های دیگر شهر های خود متصل کنید در حالیکه یک اتصال به سرویس دهنده کافی است و میتوان علاوه بر IP پروتکل های دیگر حتی در لایه دو نظیر ATM و Ethernet را منتقل کرد (به این دلیل به آن Multi-protocol میگویند.)

شاید این موضوع و مشکل برای شما هم اتفاق افتاده باشه ! گاهی وقتا براتون پیش اومده که وقتی با یوزری که درون کامپیوترتون هست لاگین میکنید البته اگه متوجه نشوید که اتفاقی برای پروفایلتون افتاده و بعد از مدتی کارکردن و ایجاد فایل مثل یک فایل Word در درون دسکتاپتون ذخیره کنین و سیستمتون رو خاموش کنین و فردا وقتی دوباره درون سیستمتون لاگین می کنین با یک دسکتاپ تر تمیز :( بدون فایل هایی که قبلا ذخیره کردین مواجه میشین گویی اولین بار است که وارد ویندوز میشوید. در این حالت یوزر شما Temp شده است حالا این Temp یعنی چی ؟؟؟؟؟؟؟؟؟؟ چه اتفاقی بر سر یوزر یا پروفایلتون اومده؟؟؟ دلیل این موضوع این است که ممکن است که لحظه‌ای که می‌خواهید لاگین کنید سرور دامین در دسترس نبوده و شما به‌صورت لوکال و با اکانت موقت Temp لاگین می‌شوید. این مشکل معمولاً در سیستم‌های موجود در شبکه زمانیکه شما قبلاً در یک سیستم لاگین کرده باشید اما در حال حاضر سرور دامین در دسترس نیست مثلاً کارت شبکه شما قطع‌شده است و یا به هر دلیلی ارتباط بین شما و سرور برقرار نیست. در این حالت سیستم چون Useername و password شمارا در حافظه دارد شمارا با کاربر موقت وارد ویندوز می‌کند. در این حالت شما هر تغییراتی که در پوشه‌های مربوط به پروفایل کاربر مانند My Document, Desktop, Start Menu و … اعمال کنید ذخیره نمی‌شود زیرا پروفایل این کاربر موقت پس از ریستارت سیستم حذف خواهد شد.

و اگر لپتاپ دارید که کار راحت تر هست چون تقریبا تمامی لپتاب هایی که از 5 سال قبل تولید می شند داخل خودشون کارت شبکه وای فای دارند. اگر از کامپیوتر روی میزی استفاده می کنید باید یک کارت وای فای بخرید فرقی نداره مثل مال من یو اس بی یا کارت ها یی که به مادربورد از طریق اتصال Pci متصل میشنود.

- اسم netbanan  را برای شبکه ی ad-hoc وارد کرده و سپس Security type را مطابق با عکس زیر روی No authentication قرار داده و گزینه ی Save this network را تیک بزنید.

- به این ترتیب ad-hoc connection ایجاد می شود:

- در لپ تاپ دوم، مطابق با عکس زیر روی کانکشن ad-hoc ایجاد شده، کلیک کرده و Connect را بزنید.

- اکنون در هر دو لپ تاپ، از قسمت Network and Sharing center می بایست network group را به HomeGroup تغییر دهید. (بسیار مهم)

- حال می بایست Password protected sharing را خاموش کنید. برای این منظور وارد Network and Sharing Center شده و از سمت چپ روی Change advance Sharing Settings کلیک کنید:

سپس در پنجره ی باز شده، مطابق با عکس زیر، گزینه ی Turn Off password protected sharing را انتخاب کرده و روی Save Changes کلیک کنید:

- اکنون Network and Sharing Center را باز کنید. روی network connection که آیکون وسط است  دابل کلیک کنید. در اینصورت پنجره ی Network باز شده و سیستم های متصل را نمایش خواهد داد. از این لحظه شما می توانید براحتی روی اسم هر کدام از لپ تاپ ها دبل کلیک کرده و وارد هر کدام از فولدرهای Share شده شوید. دقت کنید که برای Share کردن فولدرها می بایست روی فولدر موردنظرتان راست کلیک کرده و Properties را بزنید و به تب Sharing بروید و سپس روی Advanced Sharing کلیک کرده و تیک Share this folder را بزنید. سپس روی Permissions کلیک کرده و تیک های Allow را بزنید و چند بار OK کنید. در اینصورت آن فولدر در لپ تاپ دیگر قابل دسترسی خواهد بود.

خب. با هم ادامه مباحث قبلی رو پیش می گیریم.

TGT

TGT مخفف Ticket Grant Ticket هست.

در شبکه های دامینی همونطور که قبلا گفته شده ، پروتکلی که عمل احراز هویت رو انجام میده پروتکل Kerberos هست. وظیفه Kerberos ایجاد و کنترل TGT هست.

TGT به نوعی مثل ویزا هست و Kerberos نهاد صادر کننده ویزا هست. اگر شما ویزای تحصیلی از آمریکا گرفته باشید اجازه ندارید که در آنجا کار کنید و یا اگر ویزای تفریحی و توریستی داشته باشید باید بعد از تمام شدن یکماه به کشور خود بازگردید.TGT نیز به این صورت است. فرض کنید شما با یک یوزر نیم و پسوردی از طریق یکی از کلاینت ها وارد شبکه دامینی شدید. و حال می خواهید بر روی یکی از کلاینت ها دسترسی داشته باشید. اول بلیط شما یا TGT بررسی می شود که آیا شما اجازه دارید که این کار را انجام دهید یا خیر.اگر اجازه داشتید می توانید دسترسی داشته باشید.

Group Policy

داخل شبکه دامینی برای اعمال Policy به شبکه از Group Policy استفاده می کنند. داخل شبکه های دامینی دو نوع Group Policy وجود دارد :

1 –  Local Group Policy

2 - Default Domain Policy

Local Group Policy

اولی یا همون Local Group Policy داخل ویندوز های معمولی هم وجود دارد که دستور دسترسی به آن gpedit.msc (در Run ویندوز تایپ می کنیم) هست. هر تغییری که در Local Group Policy داده شود فقط و فقط به همون کامپیوتر اعمال می شود و بر روی کلاینت های دیگر تاثیری ندارد.

 Default Domain Policy

اما دومی یعنی Default Domain Policy داخل ویندوزهای معمولی وجود ندارد و برای دسترسی به آن باید داخل ویندوز سرور دستور gpme.msc را در Run تایپ کنیم. هر تغییری که در اینجا اعمال شود به کل شبکه دامینی اعمال می شود. بعنوان مثال اگر بخواهیم قسمتی را برای همه ببندیم ، باید در اینجا اعمال کنیم.

نکته دیگری که باید دقت کنید این است که پشت کامپیوتری که دامین کنترلر (DC) هست ما
Group Policy به نام Local نداریم و حتما باید از Default Domain Policy یا همون gpme.msc استفاده کنیم.

مسیر دسترسی به Default Domain Policy غیر از دستور gpme.msc

از قسمت Administrative Tools وارد Group Policy Management می شویم.

پس از باز شدن پنجره مذکور، زیر دامین مورد نظر ، بر روی Default Domain Policy کلیک راست می کنیم و گزینه Edit رو انتخاب می کنیم.

نکته!

کنسول Group Policy Management به صورت پیش فرض داخل ویندوز سرور 2003 وجود ندارد و برای اضافه کردن آن باید فایلی به نام gpmc.msi دانلود شود و نصب شود تا به ویندوز سرور اضافه شود.

حال می خواهیم زمان Ticket هایی که هر یوزر می گیرد تا وارد شبکه دامینی شود را، از طریق Group Policy دستکاری کنیم.

جهت این کار ابتدا در قسمت Run ویندوز سرور gpme.msc را تایپ کرده و از پنجره ظاهر شده به مسیر زیر می رویم.

Computer Configuration>Policies>Windows Settings>Security Settings>Account Policies> Kerberos Policy

و از پنجره سمت راست بر روی Maximum lifetime for user ticket کلیک می کنیم.

همانطور که در شکل هم می بینید زمان پیش فرض آن 10 ساعت می باشد که با Double Click بر روی آن می توانیم مقدار آن را تغییر دهیم.

همانطور که توضیح دادم Maximum lifetime for user ticket مدت زمان Session هر یوزر بود ، یعنی یک یوزر تا 10 ساعت می تواند بسته به نوع بلیتش از منابع و کلاینت های شبکه استفاده کند بعد از ده ساعت ، اگر بخواهد استفاده کند به ازاء هر بار درخواست از او Username  و پسورد می پرسد.

گزینه زیری آن یعنی Maximum lifetime for user ticket renewal مدت زمانی اعتبار تیکت هر کاربر هست. یعنی بعد از یک هفته اگر کلاینت به صورت مداوم کامپیوترش روشن باشد ، و بخواهد از منابع شبکه استفاده کند، دیگه با دادن یوزر نیم و پسورد هم قبول نمی کند و باید حتما یکبار Log off کند تا مجددا به آن تیکت تخصیص داده شود.

گزینه بعدی که در شکل مشخص استmaximum tolerance for computer clock synchronization هست که همانطور که از متن آن مشخص است، مقدار زمانی است که کلاینت ها اجازه دارند ساعتشان با ساعت سرور تفاوت داشته باشد. یعنی اگر این اختلاف بیشتر از 5 دقیقه باشد به کلاینت Error می دهد و به آن اجازه نمی دهد به شبکه دامینی متصل شود.

که ما در اینجا می توانیم آن را تغییر دهیم.

که البته سروری که به صورت اختصاصی این کار را انجام میدهد NTP Server هست.

نحوه فعال سازی NTP Server داخل ویندوز سرور 2008 :

از قسمت Domain Policy Default وارد مسیر زیر می شویم:

Computer Configuration>Policies>AdministrativeTemplates>System>WindowsTime Services > Time Providers

 و از پنجره سمت راست بر روی Configure Windows NTP Client کلیک می کنیم و سپس مطابق شکل بر روی Enable کلیک می کنیم تا سرور NTP فعال شود.

چون قصدم این است که جلسه بعد Join to domain رو به طور مفصل توضیح دهم ،این جلسه کمی کوتاه شد.

برای دوستانی که جلسات وبلاگ رو همزمان با کپچرها دنبال می کنند ، من الان تا کپچر دهم دقیقه  58 درس داده ام. امیدوارم از لحظه لحظه زندگی تون نهایت استفاده رو ببرید و همیشه خودآگاه زندگی کنید. موفق باشید.

Windows Server Enterprise Administration

خب. بحث کلاینتی تمام شد و از امروز به بعد وارد کورس سرور می شویم.در ابتدا انواع نسخه های ویندوز سرور 2008 را با هم بررسی می کنیم.

از دو جهت دسته بندی می شوند:1. 32 بیتی یا 64 بیتی بودن ویندوز 2. داشتن یا نداشتن قابلیتی به نام Hyper-v.

و اما Hyper-v چیست؟

از جمله نرم افزارهای شبیه سازی است که به ما اجازه می دهد سیستم عامل های مختلف رو به طور همزمان بر روی یک رایانه اجرا کنیم.با مجازی سازی صرفه جویی بسیاری در منابع سخت افزاری و هزینه ها صورت می گیرد.Hyper-v نام نرم افزار مایکروسافت است و از جمله نرم افزارهای دیگر Virtualization می توان به VMWare ESXi  (آموزش نصب )و نرم افزار شبیه سازی شرکت Citrix نام برد.

همینطور نرم افزار های ساده دیگری مثل VMware Workstation و VMware-Box و VMware-PC وجود دارد که می توان از آنها نیز استفاده نمود.(اگر روی نام نرم افزارها کلیک کنید می تونید اونها رو دانلود کنید)

به طور کلی دو نوع Hypervisor وجود دارد:

                 نوع اول: که به آن Bare-Matal Hypervisor نیز می گویند. در این نوع، Hypervisor مستقیما روی خود سیستم نصب می شود و به نوعی خودش سیستم عامل است و عمل I/O را خود Hypervisor به عهده دارد. مانند VMWare ESXi 5.0

                  نوع دوم: که به آن Hosted نیز  می گویند. در این نوع، احتیاج به یک سیستم عامل داریم که بتوانیم روی آن Hypervisor را نصب کنیم. در واقع عمل I/O را سیستم عامل به عهده دارد. این نوع از Hypervisor بیشتر برای محیط های Test کاربرد دارد. برای مثال VMWare Workstation از این نوع می باشد. vmware-box و vmware-pc نیز همینطور.

یک ادمین حرفه ای حتما سه نرم افزار حرفه ای که نام برده شد vmware-esxi و citrix و Hyper-v را باید بلد باشد.

نکته: Hyper-v فقط در نسخه های 64 بیتی می توان نصب کرد.

انواع نسخه های ویندوز سرور 2008:

1.   Windows Server 2008 Standard with Hyper-V

اولین نسخه ویندوز سرور 2008: Standard Edition هست.

برای شبکه های کوچک و متوسط کاربرد دارد که Hyper-v آن قابلیت Virtualization یک سرور را دارد.

2.   Windows Server 2008 Enterprise with Hyper-V

دومین نسخه:

برای شبکه های بزرگ طراحی شده است.و 4 تا Virtual Server می تواند ساپورت کند. ویژگی clustering رو ساپورت می کند و مهمترین آن این که دارای ویژگیHot-Add Memory  هست .

Hot-add memory : یعنی در هنگامی که سیستم روشن است می توان رم سیستم را تعویض کرد که البته این قابلیت باید از طریق مادربودر نیز ساپورت شود.

Clustering: در شبکه های بزرگ به صورت طبیعی تعداد مشتریان بالاست و همینطور تعداد سرورها برای برای سرویس دهی به مشتریان نیز بالاست. از طرفی ما می خواهیم وقتی مشتریان به سرورها وصل می  شوند اگر سروری از کار افتاد متوجه این قضیه نشوند. برای این کار ما می آییم یک گروه از مجموعه سرورهایی که داریم می سازیم و یک سرور مجازی بدست می آوریم و اجازه میدهیم که مشتری ها به جای ارتباط مستقیم با سرورها با آن سرور مجازی وصل شوند و سرور مجازی درخواست ها را بین سرورهای روشن پخش کند.

با استفاده از این روش اگر سروری هم از کار بیوفتد،کلاینت ها هیچ وقت متوجه این موضوع نمی شوند.

3.   Windows Server 2008 Data Center with Hyper-V

برای دیتا سنتر ها استفاده می شود  و مهمترین ویژگی های اون عبارت است از :

          Large Scale Virtualization هست.

هرچقدر بخواهیم Virtualization رو ساپورت می کند و محدودیتی ندارد.

                                                  .رو ساپورت می کند Clustering      

         High-End Applicationهست:یعنی نرم افزارهای به روز رو ساپورت می کند. مثل SQL و Xchange ( قویترین نرم افزار mail Server) و Mdaemon

          Hot-Add Memory و Hot-Add processor  نیز هست.

4.   Windows Web Server 2008

په صورت تخصصی برای جاهایی که کار Hosting و Application های تحت وب رو کار می کنند استفاده می شود.

IIS 7 و .NetFramework  رو به صورت تخصصی ساپورت می کند.

5.   Windows Server 2008 for Itanium-based systems

این نسخه تخصصی برای cpu های itanium  اینتل طراحی شده است  که 64 بیتی هم هستند.

آخرین و بهترین نسخه 2008 که در زمینه شبکه ارائه شده windows server 2008 R2 هست. R2 مخفف  Release 2 هست.

مطالب بالا را به طور خلاصه در تصویر زیر می توانید ببینید:

Application Server: نرم افزارهایی مثل SQL و Exchange و Share point.

و اما به این جدول هم توجه کنید:

همانطور که می بینید در این جدول Role های Active Directory برای هر کدام از ورژن های ویندوز سرور مشخص شده است که مطابق جدول با نسخه Web و Itanium ویندوز سرور 2008 هیچ کدام از Role های Active Directory ساپورت نمی شود. به عبارت ساده تر با این دو نسخه نمی توان شبکه های دامینی ایجاد کرد.

و اما با هم Role های Active Directory را یکی یکی بررسی می کنیم:

Active Directory در سرور 2008 داراری پنج Role زیر هست که عبارتند از:

             Active Directory Domain Service - ADDS

برای ایجاد یک شبکه دامینی فقط کافی است یک سرور 2008 قرار داده شود و پشت سرور رل ADDS نصب شود. سرور تبدیل به دامین کنترلر (DC) و شبکه هم تبدیل به شبکه دامینی می شود. تمام.

Dcpromo نام دستوری است که این Role رو در ویندوز سرور نصب می کند.(در Run باید وارد شود. البته در جلوتر به طور مفصل بررسی می شود.)

           Active Directory Lightweight Directory Service:

که به LDAP معروف است.LDAP مخفف Lightweight Directory Access Protocol هست. این Role در ویندوز سرور 2003 وجود نداشت و برای نصب آن در 2003 باید فایل کم حجم ADAM.msi دانلود می شد و نصب می شد تا این Role اضافه شود.

و اما دو نکته:

نکته اول:

در شبکه های دامینی دو پروتکل داریم که خیلی زیاد کاربرد دارند:

الف : LDAP: که پروتکل Search شبکه های دامینی هست.

ب: Kerberos: که پروتکل Authentication و احراز هویت در شبکه های دامینی هست که البته جلوتر به طور مفصل در مورد آنها صحبت می شود.

نکته دوم:

به نرم افزارهایی که می تونند از Database اکتیو دایرکتوری استفاده کنند به آنها نرم افزارهای Directory-Base گفته می شود مثل Exchange و Isa Enterprise . این نرم افزارها برای اتصال به پایگاه داده اکتیو دایرکتوری نیاز به رابط LDAP دارند. LDAP ارتباط این نرم افزارها را با دیتابیس AD برقرار می کند.

در انتها به عنوان نتیجه گیری اگر نرم افزار Exchange داریم حتما باید این سرویس رو نصب کنیم چون نرم افزار Exchange با دیتابیس اکتیو دایرکتوری ارتباط برقرار می کند و جهت این کار ما نیاز به LDAP داریم.

              Active Directory Rights Management Service - RMS

کنترل اعمال صحیح Policy ها داخل شبکه های دامینی است.این Role انحصاری برای 2008 هست. سخت افزاری وجود دارد که کار این سرویس را انجام می دهد به نام NAC که محفف
Network Access Control  هست و برای شرکت Cisco هست.

این ویژگی در ویندوزهای غیر سروری هم هست. کافی است دستور Gpedit.msc را در Run ویندوز تایپ کنید و به مسیر زیر بروید:

Computer Configuration>Windows Settings>Security Settings>Local Policies> User Rights Assignment

یکسری از Policy های RMS را میتوانید در اینجا مشاهده کنید.

مثلا در اینجا می توان اجازه داد که چه کسانی بتوانند به صورت Remote کامپیوتر مارا خاموش کنند.

        Active Directory Certificate Service

روی کامپیوتری که این Role نصب شود اون کامپیوتر به CA سرور تبدیل خواهد شد.اما کاربرد اون چیه؟

بزرگترین کاربرد اون تبدیل سایت های HTTP به HTTPS هست.

Active Directory Federation Service

این سرویس هم مخصوص 2008 هست و 2003 همچین سرویسی را نداشت.کار این سرویس ارائه ویژگی به نام S.S.O درارتباطات زنده هست.

اما S.S.O چیه ؟ عرض می کنم خدمتتون .

به عمل وارد شدن يك كاربر به سايت ها و برنامه هاي مختلف تنها با يك نام كاربري و گذرواژه يكسانSSO   يا  Single Sign-on(ورود يكپارچه) مي گويند.بعبارت ساده تر تا زمانی که مثلا صفحه ایمیل باز است شما بین Inbox و Outbox و Draft و... به راحتی جابه جا می شوید بدون این که مجددا از شما یوزرنیم و پسورد بخواهد و شما تنها بایک یوزرنیم و پسورد بین صفحات مختلف این سایت به راحتی جابه جا می شوید به این عمل S.S.O می گویند.

در S.S.O تا زمانی که Session جاری هست اون یوزر و پسوردی که دادیم اعتبار دارد و برای تمامی صفحات از آن استفاده می کند.

نکته :

Session یا جلسه، ارتباطی است که بین کامپیوتر ما و کامپیوتر مقصد برقرار می شود.برای مشاهده Session های جاری از دستور Netstat در محیط CMD استفاده می کنیم.

ما میتونیم بین شعبه ها Session بزنیم و تا زمانی که این Session برقرار هست از ما یوزرنیم و پسورد پرسیده نخواهد شد.

همه این پنج  Role که در ذکر کردیم ،به صورت کاملا تخصصی در آینده بررسی خواهد شد. نگران نباشید.

تابستان امسال فرصت خوبی است تا اطلاعات شبکه ای تان را بالا ببرید. این فرصت را از دست ندهید. من بخاطر مشغله کاری فراوان تصمیم گرفتم هر روز 6 صبح تا هفت ونیم قبل از کارم از خواب بلند شوم و وبلاگ رو آپدیت کنم. شما هم میتونید یک جایی زمانی باز کنید و این زمان رو به آموزش خودتون تخصیص بدید.

امیدوارم مفید واقع شده باشد.ببخشید یه کم این جلسه تئوری شد. موفق باشید.

Managing Boot Process in windows

در اینجا می خواهیم مراحل بوت ویندوز را باهم بررسی کنیم. یعنی از زمان فشار دادن دکمه پاور بر روی کیس تا بالا آمدن ویندوز چه سلسله اتفاقاتی می افتد تا ویندوز بالا بیاید؟

1. CPU سیستم به کد موجود در BIOS که نشانگر ویژگی هست به نام POST اشاره می کند. POST انجام می شود.

POST مخفف Power On Self Test  هست. یک جور تست سخت افزاری قطعاتی مثل رم و کارت گرافیک و... که پس از اطمینان از سالم بودن آنها یک Beep کوتاه می زند.

بعبارت دقیق تر دکمه پاور که فشار داده می شود ، CPU روشن می شود، صفحه مشکی BIOS نمایش داده می شود، بعد از صفحه BIOS ، وقتی می خواهد سوئیچ کند به صفحه دوم، POST انجام می شود.

اگر می خواهید بدانید  معنای بوق هایی که در مرحله اجرای POST به صدا در می آیند چیست، اینجا را بخوانید.

2. سپس سیستم کد موجود در BIOS ،به 512 بایت اول هارد اشاره می کند که اصطلاحا به آن MBR می گویند.

MBR مخفف Master Boot Record هست به معنای رکورد راه انداز اصلی، اولین سکتور از هارد هست که اطلاعات پارتیشن ها بر روی آن قرار دارد و در آن مشخص شده که کدام درایو Active هست. اولین سکتور(512 بایت اول ) از درایو Active ، بوت سکتور می گویند.

3. بوت سکتور مانند یک برنامه اجرا می شود و همزمان با اجرا شدن خود برنامه دیگری به نام Windows Boot Manager را اجرا می کند، که در XP به نام NTLDR  هست و در 7 به نام BootMGR.

4. بعد از آن ویندوز را ntldr بوت می کند. (البته در ویندوز XP و کلا ویندوزهای Legacy ) و در ویندوز های NG ویندوز را BootMGR بوت می کند. NTLDR مخفف New Technology Loader هست.

نکته ای که در اینجا لازم هست که بگم این هست که گاهی اشتباها فایل ntldr موجود در درایو C پاک می شود.و هنگام روشن کردن سیستم با اخطار ntldr is missing مواجه می شوید و ویندوز بالا نمی آید.

راه حل بسیار ساده ای دارد. کافی است 3 گام زیر را انجام دهید.

الف. Cd  ویندوز را داخل دستگاه قرار دهید و بوت را بر روی cd-rom بگذارید.

ب. سپس پس از بالا آمدن با cd  ویندوز حرف r  را بزنید تا وارد محیط repair بشوید.

ج. سپس با دستور زیر فایل ntldr را در درایو c کپی کنید.فرض کنید درایو H درایوی است که CD ویندوز در داخل آن قرار دارد.

C:\windows>cd ..

C:\>copy h:\i386\ntldr c:

دقت کنید که فایل را حتما باید در روت درایو C کپی کنید و در پوشه دیگری کپی نکنید. پس از پایان کپی دستور DIR را اجرا کنید که مطمئن شوید که فایل کپی شده است. این داستان برای فایل های دیگر هم کاربرد دارد.

اما برای BOOTMGR که برای ویندوزهای NG مثل 7 هست ، روش کار کمی متفاوت هست. باید CD ویندوز 7 را بگذاریم و وارد همان پنجره معروف Recovery Options بشویم و بر روی Startup Repair کلیک کنیم. البته می توانیم در همان پنجره Recovery Options بر روی Command Prompt کلیک کنیم و دستور زیر را وارد کنیم.

C:\> bootrec /fixboot

5. وقتی BootMGR و یا NTLDR اجرا می شود ،پردازنده از حالت Real Mode به حالت Protected Mode تغییر وضعیت می دهد.در این حالت سیستم عامل توان اجرا شدن پیدا می کند.یعنی تازمانی که BootMGR اجرا نشده بود CPU  در حالت Real Mode قرار داشت و سیستم عامل فقط به 640 کیلوبایت اول رم دسترسی داشت اما با اجرا شدن BootMGR ، سیستم عامل به تمام حافظه رم میتواند دسترسی داشته باشد. پس:

Protected Mode: حالتی است که سیستم عامل به تمام حافظه رم دسترسی دارد.

Real Mode: حالتی است که سیستم عامل به 640 کیلوبایت ابتدای رم دسترسی دارد.

6. حال BootMGR محتویات فایلی به نام BCD را می خواندو اگر چند سیستم عامل باشد، اسامی سیستم عامل ها را به کاربر نشان می دهد تا انتخاب کند. معادل BCD در ویندوز های Legacy فایل Boot.ini هست، که در ریشه درایو C قرار دارد.

BCD مخفف Boot Configuration Data هست.

7. در ویندوزهای Legacy در این مرحله NTLDR ، فایل NTdetect را فراخوانی می کرد که کار آن این بود که اطلاعات کلی درباره سخت افزار را از بایوس می گرفت و به NTLDR تحویل می داد.

8. حال NTLDR و یا BootMGR ، بعد از انتخاب یک سیستم عامل توسط کاربر، کرنل و یا هسته مربوط به آن سیستم عامل را فراخوانی می کند. نام فایل کرنل ntoskrnl.exe هست. همینطور Hall.dll را هم به همراه کرنل فراخوانی می کنند.

HAL مخفف Hardware Abstraction Layer هست.رابط بین کرنل و سخت افزار هست. بعبارت ساده تر ، کرنل وقتی می خواهد با سخت افزار حرف بزند از HAL استفاده می کند.

کرنل فایلی به نام smss.exe که مخفف Session Manager SubSystem را اجرا می کندو توسط این فایل مقداردهی اولیه می شود.

9. تمامی سخت افزار ها با کانفیگشان شناسایی شده و در مسیر

HKEY_Local_Machine>Hardware

تنظیماتشان ثبت می گردد.

10. حال پروسه لاگ آن به ویندوز توسط فایلی به نام Winlogon شروع می شود. همان صفحه welcome که از شما یوزرنیم و پسورد می خواهد. بعد از آن explorer.exe اچرا می شودو سپس سخت افزارها شروع به شناسایی می شوند.

در این مرحله درایورهای سخت افزاری ، همزمان با Logon به ویندوز لود می شوند. تمامی سخت افزارها که ویژگی Plug & Play داشته باشند شناسایی می شوند. و اگر سخت افزار جدیدی پیدا کند که درایور آن موجود نباشد ، صفحه Found New Hardware نمایش داده می شود.

با هم ده گام را از زمان فشاردادن دکمه پاور کیس تا زمان ورود به ویندوز XP ، شمردیم. یکی از منابع خوبی که به دقت مراحل بوت را برای ویندوزهای Legacy بررسی کرده و به زبان فارسی هم هست ، اینجا و به زبان انگلیسی اینجاست.

اگر شما مطالب جدیدتری داشتید، و می توانستید در کامل کردن بحث به من کمک کنید ، لطفا دریغ نکنید، من حتما با نام خود شما این مطالب را در وبلاگ قرار خواهم داد. موفق باشید.

 پایان جلسه بیستم

در جلسه گذشته مدیریت هاردها از طریق کنسول Disk Management را یادگرفتید.

جال مدیریت هارد توسط کامند Command

ابتدا از طریق Run ویندوز cmd را باز کنید.

همانطور که میدانید دستور Diskpart برای این منظور بکار می رود.

برای مشاهده لیست هاردها از دستور List Disk استفاده می کنیم.

برای انتخاب یک هارد و اعمال تغییرات بر روی آن از دستور Select Disk  استفاده می کنیم.

بهتر هست با یک مثال کامندها را بررسی کنیم.

می خواهیم یک پارتیش Primary بسازیم که سایز آن 500 مگابایت باشد و سپس یک پارتیشن extended بسازیم که سایز آنهم 500 مگابایت باشد  و در این پارتیشن extended دو درایو  Logical با حجم های 250 مگابایت بسازیم.

1. Diskpart 

 با این دستور وارد کنسول مدیریت هارد تحت داس می شویم

2. List disk

لیست هاردها را به ما نمایش می دهد

3. Select disk 2

هارد با ایندکس 2 را انتخاب می کنیم.

4. Create partition primary size=500

یک پارتیشن پرایمری با سایز 500 مگابایت می سازیم.

5. Create partition extended 

یک پارتیشن اکستندد می سازیم.

6. Create partition logical size=250 

حال یک پارتیشن لاجیکال با سایز250 مگابایت می سازیم.

7. Create partition logical 

فضای باقیمانده از پارتیشن اکستندد را به پارتیشن لاجیکال دیگر اختصاص می دهیم.

8. List partition

 با این دستور لیست پارتیشن های ساخته شده ما را نشان می دهد.

9. Select partition 1 

با این دستور اولین پارتیشن ساخته شده که پرایمری بود انتخاب می شود

10. Assign letter c: 

شروع به نامگذاری پارتیشن ها می کنیم البته با انتخاب کردن اونها حرف سی را برای پارتیشن اول گذاشتیم.

11. Select partition 3

  با این دستور سومین پارتیشن که لاجیکال هست، انتخاب می شود

12. Assign letter d:

13. Select partition 4

14.assign letter f:

  با این دستور چهارمین پارتیشن که لاجیکال هست ، انتخاب می شود و حرف f  برای نام آن انتخاب می شود.

ما پارتیشن 2 را انتخاب نکردیم چون پارتیشن های لاجیکال داخل ، پارتیشن Extended تعریف می شوند. و نمی شود به پارتیشن extended نام اختصاص داد.

تصویر زیر گویای همه چیز هست.

حالا اختصاص دادن نام به پارتیشن ها.

خب تا اینجا با هارد Basic کار کردیم و پارتیشن های Primary و Extended ساختیم. اما چگونه با هارد Dynamic کار کنیم و پارتیشن های معروف آن را بسازیم؟ پارتیشن هایی از قبیل RAID و Striped و Simple؟ در ادامه با من همراه باشید.

برای ساخت پارتیشن RAID که همان RAID-5 محسوب می شود باید سه دیسک داینامیک داشته باشیم.

دستور آن در محیط Command prompt به صورت زیر است :

Create volume raid size=250 disk=2,3,4

با دستور فوق ما به کامپیوتر می فهمانیم که یک پارتیشن 250 مگابایتی از نوع RAID-5 در سه دیسک 2و3و4 برای ما بساز.

با دستور زیر برایش نام تعیین می کنیم

Assign letter z:

و در پایان هم فرمتش می کنیم تا قابل استفاده شود:

Format z: /fs:fat32

همینطور اگر بخواهیم پارتیشن stripe بسازیم (همان RAID-0) به دو دیسک نیاز داریم.

به صورت زیر عمل می کنیم:

Create volume stripe size=250 disk=2,3

اگر سایز را مشخص نکنیم کل فضای باقیمانده را در نظر می گیرد.

همینطور با دستور زیر می توانیم در اینجا پارتیشن simple بسازیم . همانطور که می دانید پارتیشن simple همانند پارتیشن لاجیکال در هاردهای basic هست.

Create volume simple size=250 disk=2

 در تصویر زیر به صورت عملی مراحل بالا را من پیاده کردم .

 بعد از پیاده سازی این دستور ها وضعیت Disk Management به این صورت در آمد.

دقت کنید که من روی Disk به شماره 0 , 1 کاری انجام ندادم و موقع تجزیه تحلیل آنها را در نظر نگیرید.پارتیشن z  از نوع RAID-5 تعریف شده است، پارتیشن Y از نوع Stripe یا Raid-0  تعریف شده است. پارتیشن X هم از نوع Simple تعریف شده است.

خب اگر یک منبع خوب برای دستورات Command Prompt بخواهم به شما معرفی کنم، این فایل است.دانلود کنید و لذت ببرید. امیدوارم ازجلسه امروز هم نهایت استفاده را کرده باشید. اگر سوالی داشتید در قسمت نظرات بپرسید. همینطور شما می توانید اگر در مبحثی اطلاعات بیشتری دارید با من در میان بگذارید تا من مطلب را کامل تر کنم. موفق باشید.

پایان جلسه شانزدهم

Security Essentials

4 گام در سیستم عامل های مایکروسافتی معرفی شده که هرکس این 4 گام را در کامپیوترش رعایت کند ، می گویند کامپیوترش Health و سالم و امن هست.

این 4 گام عبارتند از:

1.Firewall always on

فایروال همیشه روشن باشد.

2. Antivirus always Update

آنتی ویروس داشته باشی و همیشه هم آپدیت باشد چون خیلی مهمه!

3.Antispyware always update

آنتی اسپای ور داشته باشی و همیشه هم آپدیت باشد.

4.Windows always update

ویندوز همیشه آپدیت باشد.

در شبکه های مایکروسافتی سروری داریم به نام NAP که مخفف Network Access Protection هست ، کار این سرور این هست که هر کسی وارد شبکه می شود آن 4 گام را روی آن تست می کند و بر اساس آن 4 تا امتیاز سالم بودن می دهد.

مثلا در این NAP سرور می توان تعیین کرد که هر کسی امتیازش زیر 50 شد نتواند به شبکه ما وارد شود.

تهدیداتی که در دنیای شبکه همیشه مارا تهدید می کنند:

1.virus: ویروس نام آشنا ترین تهدید هست که همه جا سروکله اش پیدا شده است.برنامه هایی هستند که برای اجرا شدن نیاز به Host دارند. یک جورایی حتما باید روی آن کلیک شود تا اجرا شود.

2. Worm: برنامه هایی که برای اجرا شدن نیاز به Host ندارند و فقط به دنبال کانکشن می گردند.

3.Trojan: برنامه هایی هستند که دو کار انجام می دهند:

الف- کنترل سیستم ما را به طرف مقابل می دهند.

ب- اطلاعات ما را ناخواسته ارسال می کنند.

به نظر شما کدام خطرناک تر هست؟

تروجان خطرناک ترین تهدید محسوب می شود و بعد از آن Worm و در مرحله آخر ویروس.

از کجا بفهمیم نرم افزاری که ما استفاده می کنیم تروجان هست یا خیر؟ یا اینکه تروجانی روی سیستم ما هست که بدون اجازه ما مشغول فعالیت باشد؟

Task Manager را باز کنید (Ctrl + Alt+Del را به صورت ترکیبی همزمان بگیرید) ، به سربرگ Processes بروید و از سربرگ view گزینه Select Columns را انتخاب کنید و از پنجره ظاهر شده گزینه PID (Process Identifier) را انتخاب کنید و OK بزنید.

حالاپروسه هایی که PID  اونها زیر 1024  باشدو در مود کاربری هم در حال اجرا باشند یعنی در ستون یوزرنیم اسم کامپیوتر شما باشد ، و برای خود سیستم هم نباشد(مثلا explorer برای خود سیستم هست و PID اش زیر 1000  هست) ، صددرصد تروجان هست.

اما از کجا بفهمیم که سیستم ویروسی هست یا خیر؟

در Run ویندوز تایپ می کنیم Msconfig و Ok می کنیم.

در پنجره ظاهر شده ، وارد سربرگ Startup می شویم. همه نرم افزارهایی که موقع استارت آپ باید اجرا شوند بی چون وچرا اینجا هستند . حال اگر نرم افزاری نام نداشت و یا اسم عجیب و غریب داشت و در اینجا جلوی نامش تیک خورده بود صددرصد ویروس هست.

البته راه ازبین بردنش به سادگی برداشتن تیک جلوی آن نیست ولی از این طریق حداقل مطمئن می شوید که ویروسی هستید.

خب از اینجا به بعد بحث Firewall رو شروع می کنم که ممکن است به خودی خود چندین جلسه به درازا بکشد.

Firewall

نرم افزار یا سخت افزاری است که بر اساس Rule ها یا قوانینی که ما برای آن تعیین می کنیم، جلوی برخی از ترافیک ها را می بندد و یا به برخی از ترافیک ها اجازه عبور می دهد.

فایروال ها می توانند سخت افزاری باشند مثل: PIX و ASA  و UTM و Cyberoam

و میتوانند نرم افزاری باشند مثل: Windows Firewall و ISA و Zone alarm

فایروال ها به خودی خود کاری انجام نمی دهند و آنها بر اساس Rule هایی که ما نوشتیم کانفیگ می شوند.

فایروال ها در مواجهه با ترافیک سه کار انجام می دهند:

1.Allow: اجازه عبور می دهند.

2. Deny: جلوی ترافیک را می بندند.

3.Reject: جلوی ترافیک را می بندند و خبر هم می دهند که این کار را کردند.

ما دونوع فایروال در ویندوزهای NG مثل 7 داریم :

1. Windows Firewall: این فایروال رو به صورت مشترک هم ویندوزهای Legacy دارند هم ویندوزهای Next Generation.

2.Windows firewall with advanced security: این را فقط ویندوزهای NG مثل 7 و Vista دارند.

نکته ای که وجود دارد این هست که ما تا قبل از 2004  به فایروال ویندوز XP، ویندوز Firewall نمی گفتیم، و همزمان با آمدن XP sp2 این اسم اختصاص پیدا کرد.

نام قبلی فایروال ویندوز XP، ICF بود که مخفف Internet Connection Firewall هست.

از سال 2004 به بعد که نام فایروال ویندوز تغییر کرد، کنسولی به ویندوز اضافه شد به نام Security Center که این کنسول در ویندوز7 به نام Action Center تغییر نام پیدا کرد.

اما از نکات بگذریم همانطور که در بالا گفتیم دو نوع فایروال در ویندوزهای NG وجود داشت ، فرقشان در چیست؟

ویندوز فایروال که در XP هم وجد داشت ، فقط می تواند جلوی ترافیک Inbound  را بگیرد، یعنی ترافیک هایی که از بیرون قصد داشتند به سیستم ما وارد شوند.

اما Windows Firewall With advanced security هم می تواند جلوی ترافیک Inbound  را بگیرد و هم جلوی ترافیک Outbound .به این فایروال ها در اصطلاح Two-way stateful-Inspection Windows Firewall هم می گویند.

اما فایروال ها در چه لایه هایی از مدل هفت لایه ای OSI کار می کنند؟

فایروال ها در لایه 2 (Data Link) و 3 (Network) و 4 (Transport) و 5 (Session) و 7 (Application) کار می کنند.

یک به یک به توضیح آنها می پردازیم:

-          اون دسته از فایروال هایی که در لایه Data Link یعنی لایه دو کار می کنند ، فیلترینگشان بر اساس Mac Address هست یعنی اگر بخواهند فیلتر کنند با مک فیلتر می کنند.

-          اون دسته از فایروال هایی که در لایه نتورک یعنی لایه 3 فعالیت می کنند، اساس فیلترینگشان براساس IP هست.

-          فایروال هایی که در لایه Transport فعالیت می کنند اساس فیلترینگشان براساس Port و کلا براساس Protocol Type هست.

به فایروال هایی که در لایه 3 یعنی Network و لایه 4  یعنی Transport کار می کنند اصطلاحا Packet Filter می گویند

اساس فیلترینگ این فایروال های بر اساس Source IP و Destination IP و Source Port و Destination Port و Protocol Type هست.

-          فایروال هایی که در لایه Session فعالیت می کنند اساس فیلترینگشان براساس Session هست.

فایروال هایی که بر اساس Session فعالیت می کنند،جدولی دارند به نام State Table . هر کانکشی که بین دو سیستم زده می شود، در این جدول یادداشت می شود به این صورت که کانکشن فلان ، امروز سر ساعت فلان به فلان کامپیوتر تشکیل شد.

به نظر شما چه لزومی دارد که این کار انجام شود و Session ها به شدت مانیتور شوند؟

بهتر است مثالی عملی در این زمینه بزنم تا کاملا متوجه شوید که چقدر حضور این فایروال ها الزامی است.

تا سال 2005 تکنیکی وجود داشت به نام Session Hijacking ، به معنای دزدیدن Session که دیگر امروزه منسوخ شده است.

روش کار آن به این صورت بود که شخص یوزر نیم وپسورد خریداری می کرد، به سرور وصل می شد و شروع به دانلود اطلاعات می کرد.

شخص هکر می آمدروی Session ها ، ما را از Session اخراج می کرد و خودش شروع به دانلود می کرد.

از سال 2005 به بعد سرور به هر ارتباطی که برقرار می شود، سوال می پرسد و اجازه نمی دهد که اشخاص بدون اجازه دانلود کنند.

به این فایروال ها که در لایه 5 یعنی Session کار می کنند در اصطلاح Stateful می گویند.

-           فایروال هایی که در لایه Application کار می کنند، اساس فیلترینگشان بر اساس Application و حتی Content و محتوا می باشد.. مثلا یک لغت خاص را فیلتر می کنیم که اجازه دسترسی به اینترنت را نداشته باشد.

فایروال ویندوز فقط می تواند Packet Filter و Stateful باشد. یعنی در لایه های 3 و 4 و 5 می تواند کار کند.

نکته ای که در اینجا وجود دارد این هست که داشتن تنها فایروال دلیلی بر ایجاد امنیت داخل یک شبکه نیست!! زیرا فایروال به تنهایی مکمل ندارد و باید مکمل های فایروال نصب کنیم.

IDS و IPS مکمل فایروال ها هستند.

IDS مخفف Intrusion Detection System هست که یک سیستم محافظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند . یکجور یک سیستم مزاحم یاب هست. فقط تشخیص می دهد که به شبکه حمله شده یا داره حمله میشه.اما کار خاصی انجام نمی دهد و به فایروال ها و آنتی ویروس ها ارجاع می دهد.

اما IPS: مخفف Intrusion Prevention System هست که علاوه بر تشخیص ، اقدام به خنثی کردن خرابکاری هم می کند. IPS داخل خودش IDS هم دارد. یعنی تشخیص هم می دهد.

قویترین IPS دنیا Snort هست که سایت آن Snort.org هست که کاملا Free هست البته نسخه پولی هم دارد.

فرق نسخه Free اش با نسخه پولی اش این هست که نسخه Free  ماهانه آپدیت می شودو نسخه پولی اش لحظه ای.

مشکلش این هست که کارکردن باهاش سخت هست و کنسول گرافیکی ندارد.

این نرم افزار یک تحلیلگر امنیتی محسوب می شود و داخل خودش هسته آی پی اس Snort را به صورت گرافیکی دارد.

این IPS سیستم عامل Live دارد و وقتی بالا می آید کنسول Web Base دارد.

وبسایت جناب آقای  پدرام حیاتی مقاله فارسی رو تحت عنوان آشنایی با سامانه های کشف مزاحمت و آشنایی با Snort منتشر کرده که از اینجا فایل word رو میتونید دانلود کنید و مطالعه بفرمایید.

قبول دارم که مبحث IDS و IPS کمی سنگین شد. سعی میکنم در آینده اگر لینک و سورس های مفیدی در این زمینه پیدا کردم در همین قسمت بگذارم تا با هم این مبحث رو بیشتر وبیشتر یاد بگیریم.

امیدورام جلسه امروز مفید واقع شده باشد. جلسه امروز بیش از حد تئوری شد ، قول می دهم جلسه آینده کاملا عملی بحث فایروال ها رو دنبال کنیم. موفق باشید.

پایان جلسه هفدهم

خب در جلسه پیش گفتیم که هاردهای DAS ،که همان هاردهای لوکال بر روی دستگاه ما بودند، از لحاظ نرم افزاری به دو دسته Basic و Dynamic دسته بندی می شوند.

جلسه پیش در مورد هاردهای Basic صحبت کردیم و گفتیم که در این نوع هاردها دو پارتیشن می توانیم بسازیم Primary و Extended. و بعد راجع به فایل سیستم های این پارتیشن ها صحبت کردیم و...

این جلسه می خواهیم در مورد هاردهای Dynamic با هم صحبت کنیم.

هاردهای Dynamic

از کجا بفهمیم که هاردمان در حالت Basic هست یاDynamic ؟

وارد DiskManagement بشوید (برای بازکردن این کنسول کافی است در Run ویندوز تایپ کنید Diskmgmt.msc)

همانطور که در شکل می بینید نوع Basic و Dynamic بودن هارد را مشخص کرده است.

اگر بخواهیم هارد را به Dynamic تبدیل کنیم کافی است در این قسمت بر روی هارد راست کلیک کرده و گزینه
" Convert to Dynamic Disk"  را انتخاب کنیم.

این گزینه را در دو جا نباید انتخاب کرد:

1. هاردی که بر روی آن سیستم عامل قرار دارد.

2. هاردی که بر روی آن اطلاعات ارزشمند داریم.

البته دقت داشته باشید که تبدیل Basic به Dynamic اگر اطلاعاتی هم داشته باشیم چندان مشکلی ندارد ولی احتیاط شرط عقل است.

اما اگر بخواهیم هارد را از Dynamic به Basic تبدیل کنیم حتما باید کل هارد را فرمت کنیم.

خب. حالا هاردی که به Dynamic تبدیل میشه 5 نوع پارتیشن بر روی آن می توان ساخت که عبارتند از:

1. Simple

2. Spanned

3. Striped

4. Mirrored

5. RAID (5)

حال یک به یک به توضیح آنها می پردازیم:

1. Simple

مثل پارتیشن Logical هاردهای Basic هست که فقط به درد ذخیره سازی اطلاعات می خورد.فقط می توان بر روی آن اطلاعات ریخت و قابلیت بوت ندارد.

2. Spanned

سایز پارتیشن ها را به هم می چسباند و یک پارتیشن ادغام شده نمایش می دهد. مثلا دو هارد 5 ترا داریم. می توانیم یک پارتیشن بسازیم مثلا D: که ده ترا بایت ظرفیت داشته باشد. این پارتیشن ادغامی از فضای دو هارد هست که حتما باید هاردها هر دو از نوع Dynamic باشند.

3. Striped

در لغت به معنای رشته رشته کردن هست که به آن RAID(0) هم گفته می شود.

RAID مخفف Redundant Array of Independent Disk یا Redundant Array of Inexpensive Disk هست. معمولا RAID بر روی هاردهای SCSII و هاردهایی که ویژگی SAS دارند پیاده سازی می شود.

خب اما RAID(0) چگونه است؟ به این صورت هست که وقتی شما یک سری اطلاعات دارید و اطلاعات به صورت بلوک بلوک هست(همانطور که می دانید در هاردهای SCSII و هاردهایی که ویژگی SAS دارند واحد ذخیره سازی اطلاعات به جای سکتور ، بلوک هست.) بلوک اول بر روی هارد اول نوشته می شود و بلوک دوم بر روی هارد دوم و مجددا بلوک سوم بر روی هارد اول و بلوک جهارم بر روی هارد دوم الی آخر.

دقت کنید که می تواند چندین هارد باشد و حتما نیازی نیست که دو هارد باشد. 

نکته دیگر اینکه اگر یک پارتیشن از نوع Striped ساخته شود فضایی که به آن اختصاص می دهد جمع فضای پارتیشن Striped کل هاردهاست. متوجه شدید؟

تصویر بالا از اینجا گرفته شده است.

مزیت:

مزیت آن در Performance و کارایی Read & Write هست که سرعت دسترسی به اطلاعات را بالا می برد.چون برای خواندن و نوشتن اطلاعات دو هد داره می چرخه و اگر هاردها از نوع اسکازی باشند که چون هاردهای اسکازی 4 تا هد دارند جمعا موقع خواندن اطلاعات 8 هد می چرخد که این سرعت را فوق العاده بالا می برد.

معایب:

-          بزرگترین مشکلش نداشن Backup و پشتیبان از اطلاعات است. اگر هارد اول از بین برود دیگر اطلاعات قابل خوندن نیستند چون بلوک ها کامل نیستند و کار تمام است.

نکته!

دقت کنید که نیازی نیست در RAID(0) سایز دو هارد باهم یکسان باشد و اگر یکی از هاردها پرشود، کل بلوک ها پشت سرهم در هارد بعدی ریخته می شود.به هرحال بهتر هست که سایز دو هارد یکسان باشد.

4. Mirrored

به آن RAID (1) هم گفته می شود.روی هاردهای SCSII و هاردهایی که ویژگی SAS را دارند پیاده سازی می شود.

به حداقل دو هارد احتیاج دارد که حتما باید سایز دو هارد یکسان باشد.

اما چگونه کار می کند؟

اطلاعات را بر روی یک هارد می نویسد و بر روی هارد دیگر به صورت اتوماتیک بکاپ می گیرد.و همانطور که از نام آن مشخص است هارد دیگر دقیقا آئینه هارد اول هست.مشخص است که اگر یکی از هاردها از کار بیفتد ، مهم نیست. چون بکاپ وجود دارد.

برای خواندن اطلاعات ، هر کدام از هارد ها که Queue یا صف کمتری در  انتظار استفاده از آنها باشد، مورد استفاده قرار می گیرد.

نکته!

RAID به دو صورت نرم افزاری ( توسط سیستم عامل ) و سخت افزاری پیاده سازی می شود.

بهتر هست که RAID(1) به لحاظ سخت افزاری پیاده سازی شود چون اگر به لحاظ نرم افزاری انجام دهیم به سیستم عامل و به طبع آن به RAM و CPU فشار می آد. درحالیکه RAID های سخت افزاری از سیستم عامل گرفته میشه و این RAID کنترلر هست که این وظیفه رو انجام میده.

5. RAID (5)

برای شناخت RAID (5) بهتر هست که ابتدا RAID(4) را بشناسیم .

RAID (4)

در این روش بر روی هارد اول بلوک یک و بر روی هارد دوم بلوک 2 و در هارد سوم ECC هارد یک و دو را می نویسیم. حال اگر هارد یک و دو خراب شود از روی هارد سه می توان هارد دوم را به دست آورد.

یک مثال ساده بزنم که مفهوم ECC را متوجه بشید. مثلا در 1+2=3  ، عدد 1 بر روی هارد اول و عدد 2 بر روی هارد دوم و عدد 3 بر روی هارد سوم ذخیره می شود. حالا اگر هارد دوم از بین برود و خراب شود. راحت می توان عدد 2 را مجددا به دست آورد.

معایب

1. اگر هارد سوم خراب شود کار تمام است.

2. برروی هارد سوم  Bottle neck یا سربار اتفاق می افتد چون هارد سوم یک نفره باید ECC ها را محاسبه و بر روی خودش دخیره کند.

به همین دلیل RAID (5) آورده شد.

نحوه کار:

در RAID (5) دیگر منحصرا اطلاعات ECC بر روی هارد سوم نوشته نمی شود و بر طبق یک Pattern خاصی که به آن Parity می گویند، ECC بین سه هارد پخش می شود. و دیگر این نگرانی وجود ندارد که اگر هارد سوم از بین رود کار ما تمام باشد.

دیگر Bottle Neck هم رخ نمی دهد چرا که پردازش بین هاردها پخش شده است.

مزیت RAID (5) در دنیای شبکه این هست که اگر یک هارد خراب شود و از دور خارج شود ، کافی است یک هارد جایگزین آن کنیم.اتوماتیک اطلاعات از روی هاردهای دیگر جایگزین می شود.

بعنوان نکته پایانی خدمتتون عرض کنم، دقت کنید که اگر یک هارد Dynamic داشته باشید فقط گزینه اول یعنی simple روشن می شود. اگر دو تا هارد داینامیک داشته باشید تا گزینه 4 روشن میشود یعنی تا Mirrored. و اگر سه تا هارد داینامیک داشته باشید گزینه آخر یعنی RAID-5 نیز روشن خواهد شد.

خب . امیدوارم از مطالب استفاده کرده باشید. ان شاء الله در جلسه بعد مدیریت هارد ها رو از طریق Command Line خواهم گفت.

پس تا فردا خدا نگهدار.

پایان جلسه پانزدهم

خب از این جلسه بحث هاردها رو شروع می کنیم .

Managing Storage Device in Networks

وسائل ذخیره سازی سه نوع هستند:

1. DAS: که مخفف Direct Attach Storage. هاردهایی را می گویند که به کامپیوتر ما وصل است حالا می تونه اینترنال و یا اکسترنال باشه.

2.SAN : که مخفف Storage Area Network. در شبکه های بزرگ یک Storage می خرند به نام SAN Storage که یک کیسی هست مثل کیس های خوابیده و داخل آن کلی هارد وجود دارد. کاری می کنند که کامپیوترهای شبکه ، اطلاعاتشان را داخل آن Storage بریزند.

3.NAS : گه مخفف Network Attached Storage. دستگاهی است که به منظور آرشیو اطلاعات در شبکه به کار می رود و هرکدام از Deivce های داخل شبکه می توانند از این Storage استفاده کنند. هر SAN مجموعه ای از چند تا NAS هست.

در این وبلاگ می تونید توضیح کامل و مفیدی از SAN و NAS بخونید. و همینطور در اینجا

اما بحث کلی ما بر روی DAS هست که در ادامه می آید.

هاردهای DAS به دو دسته تقسیم بندی می شوند:

1. از لحاظ نرم افزاری

2. از لحاظ سخت افزاری

هاردهای DAS از لحاظ نرم افزاری خود به دو دسته تقسیم بندی می شوند:

1. Basic

2. Dynamic

هاردهای DAS به لحاظ سخت افزاری نیز به دو دسته تقسیم بندی می شوند:

1. IDE

2. SCSII(بخوانید اسکازی)

ما در اینجا کاری به تقسیم بندی های سخت افزاری هاردها نداریم . موضوع مورد بحث ما تقسیم بندی هاردها به لحاظ نرم افزاری هست.

Basic

هاردهایی که ما پشت کامپیوترهامون استفاده می کنیم به صورت پیش فرض از نوع Basic هستند.هاردی که از نوع Basic باشد دو نوع پارتیشن می توان در آن ساخت:

انواع پارتیشنی که می توان بر روی هاردهای Basic ساخت:

1. Primary : این نوع پارتیشن بوتیبل هست (Bootable) و میتوان در آن سیستم عامل ریخت . نکته در اینجاست که درپارتیشن های Extended هم می توان سیستم عامل ریخت اما فایلهای بوتشان حتما باید در درایوهای Primary مثل درایوC قرار گیرد.

2. Extended :  فقط به درد ذخیره سازی اطلاعات می خورد .

بر روی یک هارد می توان کلا 4 تا پارتیشن Primary ساخت و یا 3 تا Primary و یک Extended ساخت. و در Extended هم 23 تا درایور logical ساخت به تعداد حروف الفبای انگلیسی منهای A و B و C.

یک نکته ای که باید در اینجا دقت کنید.

تفاوت پارتیشن با Volume:

به قسمت بندی هارد پارتیشن می گویند که این تعداد می توان بی نهایت باشد. اما به قسمت بندی هارد که بر روی آن حرف انگلیسی خورده باشد،  Volume می گویند که این تعداد 23 تا بیشتر نمیتواند باشد . همانطور که در بالا گفتیم.

مفهوم فایل سیستم – FileSystem

فایل سیستم نحوه ذخیره و بازیابی اطلاعات بر روی پارتیشن ها و Volume های یک هارد را مشخص می کند.

فایل سیستم هایی که در ویندوز قابل استفاده هستند:

1. FAT : که خودش دو نوع هست 16 و 32  .

FAT16 » کوچکترین خونه ای که می توان با آن ساخت 64 کیلوبایت هست.

FAT32» کوچکترین خونه ای که می توان با آن ساخت 16 کیلوبایت هست.

2. NTFS: که مخفف New Technology File System هست. کوچکترین خانه ای که می توان با NTFS ساخت 4 کیلوبایت هست.

به نظر شما اگر ما 5 کیلوبایت اطلاعات داشته باشیم چقدر از فضای FAT و چقدر از فضای NTFS هدر می رود؟

در اینجا که سایز اطلاعات 5 کیلوبایت هست و کم است بهتر است از سیستم فایل NTFS استفاده شود چون فضای کمتری هدر می رود (حدودا 1 کیلوبایت) در مقایسه با FAT16 که 59 کیلوبایت هدر می رود وFAT32  که 9 کیلوبایت هدر می  رود

برعکس اگر سایز اطلاعات بزرگ بود بهتر است از سیستم فایل FAT استفاده شود.

به فضای خالی که در هنگام ریختن فایل بر روی پارتیشن ها با سیستم عامل FAT و NTFS هدر می رود. Slack گفته می شود.

سیستم عامل جدولی دارد به نام MFT و این جدول کارش این هست که یک لینک از اطلاعات را فضاهای Slack نگه داری می کند.

واما تفاوت های بین سیستم فایل های FAT و NTFS:

اولین تفاوت در سایز سکتورها بود که پیش تر توضیحش گفته شد.

دومین تفاوت در سایز پارتیشنی که می توان با آن ساخت.

با FAT16 می توان ماکزیمم دو گیگا بایت پارتیشن ساخت.

با FAT32 می توان ماکزیمیم تا 32 گیگا بایت پارتیشن ساخت.

با NTFS در ویندوزهای Legacy مثل XP تا 2 ترابایت و در ویندوزها Next Generation مثل 7 تا 16 ترابایت می توان پارتیشن ساخت.

سومین تفاوت در یکسری ویژگی ها هست که NTFS دارد اما FAT ندارد

الف- Security . با استفاده از این ویژگی میتوانیم به فایلها Permission یا اجازه دسترسی بدهیم. اگر بر روی فایل مورد نظر در داخل یک درایو با سیستم فایل NTFS راست کلیک کنیم و گزینه Properties را انتخاب کنیم. در پنجره ظاهر شده از سربرگ Security می توانیم این کار را انجام دهیم.

اگر سربرگ Security نبود باید از قسمت FolderOptions سربرگ View تیک آخرین گزینه یعنی Use Simple file Sharing رو برداریم.

ان شاء الله در آینده نزدیک بیشتر راجع به Security در فایلها صحبت خواهیم کرد.

ب - Encryption. درایوهایی که با فایل سیستم NTFS فرمت شده باشند این ویژگی را دارا هستند. این ویژگی فایلهای مارا رمزنگاری می کند به این صورت که اگر کاربر دیگری با یک یوزر دیگر وارد سیستم شود نمی تواند به محتوای فایلهای ما دسترسی داشته باشد.

وقتی رمزنگاری انجام شد، رنگ آن پوشه یا فایل تبدیل به رنگ سبز خواهد شد.

حال سوال اینجاست اگر یوزی که در آن رمزنگاری انجام شد پاک شود چه اتفاقی بر سر فایلهای آن یوزر می آید؟ آیا فایل هایش غیرقابل خواندن می شوند ؟

پاسخ این است که خیر. یوزر Administrator در نقش Recover Agent یا شاه کلید می تواند به فایل ها دسترسی پیدا کند.

جهت انجام عمل Encryption بر روی پوشه یا فایل مورد نظر راست کلیک کرده و بر روی Properties کلیک می کنیم. در همان سربرگ اول در پایین دکمه Advanced را انتخاب کرده و تیک گزینه Encrypt Content To Secure Data را انتخاب می کنیم.

ج- Compression یا فشرده سازی. با فعال کردن این ویژگی پوشه یا فایل ما فشرده می شود و رنگ آن به آبی تغییر می کند.

دقت کنید که یک پوشه را همزمان نمی توان هم فشرده و هم Encrypt کرد.

برای فعال سازی آن هم به همان مسیر Encryption می رویم و این بار کزینه Compression را انتخاب می کنیم.

د- Quota: درایوهایی که از نوع NTFS باشند تبی دارند به نام Quota . در این تب می توان هر درایو را سهمیه بندی کرد . بعنوان مثال مشخص کرد که فلان یوزر از این درایو 20 مگابایت بیشتر استفاده نکند.

در بحث فایل سرورها در کورس دوم به طور مفصل Quota شرح داده می شود.

بحث هاردها کماکان ادامه دارد و فکر می کنم سه الی پنج جلسه به آن اختصاص پیدا کند.

دو نکته کاربردی برای امروز بگم و بحث امروز رو تمام کنم.

اول اینکه نحوه تبدیل یک درایو با فرمت FAT به NTFS بدون پاک شدن اطلاعات به صورت زیر هست:

CMD را باز می کنیم  در آن تایپ می کنیم:

Convert C:\ /fs:NTFS

دقت کنید درایوی که داخل آن ویندوز باشد با ریستارت بعدی درست می شود.

نکته بعدی اینکه در ویندوز XP چگونه یک فلش را به صورت NTFS فرمت کنیم؟

همانطور که میدونید در ویندوز 7میشه یک فلش را به صورت NTFS فرمت کرد اما در XP نمیشه .

جهت اینکار باید به صورت زیر عمل کرد.

ابتدا بر روی درایو فلش راست کلیک کرده و گزینه Properties را انتخاب کنیم. به سربرگ Hardware می رویم و در قسمت All Disk Drives درایو فلش را انتخاب می کنیم و بر روی دکمه Properties کلیک می کنیم.

در پنجره جدید ظاهر شده بر روی سربرگ Policies می رویم و در آنجا گزینه Optimize for Performance را انتخاب می کنیم.حال همه پنجره ها را OK می کنیم. حال اگر گزینه Format  را بزنیم می بینیم که NTFS نیز به لیست آن اضافه شده است.

دقت داشته باشید که ما به صورت عادی میتوانیم بدون انتخاب Safely Remove فلش را از کامپیوتر جدا کنیم. ولی اگر این کار را انجام دهیم یعنی از مسیر گفته شده گزینه Optimize for performance را انتخاب کنیم. برای جدا کردن فلش از کامپیوتر حتما باید گزینه Safely Remove را انتخاب کنیم و بعد فلش را جدا کنیم و اگر این کار انجام نشود اطلاعات بر روی فلش خراب خواهد شد.

امیدوارم از مطالب استفاده کرده باشید. موفق باشید.

پایان جلسه چهاردهم

خب در جلسه پیش مفصل راجع به RDP یا Remote Desktop Control صحبت کردیم. در این جلسه می خواهیم راجع به بقیه تکنولوژی های ریموت صحبت کنیم.

2.Telnet

دقیقا مثل RDP هست با این تفاوت که RDP یک محیط گرافیکی را در اختیار ما می گذارد اما تلنت یک محیط کامند لاینی و خطی را در اختیار ما می گذارد.

تلنت یک مشکل اساسی دارد و آن این است که اطلاعات کاملا بدون رمزنگاری و به صورت Clear Text بین مبدا  و مقصد جا به جا می شود.

Telnet در ویندوزهای Legacy مثل XP نصب هست اما Disable هست و از قسمت سرویس های باید آنرا از این حالت درآورد.

نحوه فعال سازی تلنت در ویندوزهای Legacy

به مسیر زیر می رویم:

Run>services.msc>telnet>Automatic>Start>Apply>ok

اما در ویندوزهای Next Generation مثل  مثل 7 اصلا نصب نیست و باید آنرا نصب کنیم.

نحوه فعال سازی تلنت در ویندوز های Next Generation

ControlPanel>Program&Features>Turn Windows Feature on off>

تیک دو گزینه زیر را در ویندوز 7  فعال می کنیم.

1.Telnet Server: برای اینکه کسی بتواند به ما تلنت کند.

2. Telnet Client: برای اینکه ما بتوانیم به کسی تلنت کنیم.

3. SSH

SSH مخفف Secure Shell هست و دقیقا مثل Telnet هست با این تفاوت که اطلاعات به صورت رمز شده بین ما سرور ردوبدل می شود.

به صورت پیش فرض در ویندوزهای مایکروسافت وجود ندارد. اما در لینوکس وجود دارد.

نحوه فعال سازی SSH

برای فعال سازی آن باید از نرم افزارهای جانبی استفاده کند

-          پشت کامپیوتری که می خواهد به ما SSH کند باید نرم افزاری نصب شود به نام Putty

-          پشت کامپیوتری که می خواهیم به آن SSH کنیم باید نرم افزارهایی مثل FreeSSHd و OpenSSHd و WinSSH و.. نصب شود. راحت ترینشان همان FreeSSHd هست.

پورت SSH ، 22 هست و پورت تلنت 23 هست.

4. VPN

VPN مخفف Virtual Private Network به معنای شبکه خصوصی مجازی است. تکنولوژی است که می تواند 2 یا چند شبکه Private را تحت یک بستر عمومی مثل اینترنت به صورت کاملا Secure و امن به هم وصل کند.

نکته ای که که داشت این هست که VPN فقط در بستر اینترنت نیست بلکه تحت هر بستر عمومی اجرا می شود.

در دنیای شبکه دو نوع VPN داریم:

1. Remote Access (که به آن Host-To-Host هم می گویند.)
2 Side-to-Side (که به آن Network-To-Network هم می گویند.)

Remote Access1.

این همان VPN ای است که در اینترنت باب هست . یعنی اون سر دنیا مثلا توی کانادا یا آمریکا یک سروری هست و پشت سرور اینترنت باز قرار دارد. شخص از سیستم خودش یک تونل می زند بین خودش و سرور. از طریق این تونل اینترنت کاملا باز را دریافت می کند.

2. Side-To-Side

مثلا یک شعبه در تهران داریم و یک شعبه در تبریز. دو سرور جلوی شبکه به یکدیگر تونل می زنند و کلاینت های این سرورها اگر بخواهند با یکدیگر ارتباط برقرار کنند اطلاعات به صورت رمز شده رد و بدل می شود.

دقت کنید که VPN جزو تکنولوژی های سروری است یعنی حتما باید یک طرف سرور باشد. حالا یا 2003 یا 2008.

نگران نباشید VPN جزو درس هایمان هست و مفصل در آینده نزدیک به آن می پردازم.

5. HTTP و FTP

دو پروتکلی که برای وصل شدن به صورت ریموت خیلی کاربرد دارند.

HTTP مخفف Hyper Text Transfer Protocol و FTP مخفف File Transfer Protocol هست.با HTTP که پورت آن 80  هست سایت را می بینیم و با FTP که پورت آن 21 هست ، از بیرون وصل می شویم و فایلها را میبینیم.

برای پیاده سازی HTTP  و FTP باید سرویس IIS بر روی سرور نصب شود . مثل VPN، سرویس IIS هم جزو سرویس های سروری است.

به سروری که بر روی آن IIS نصب شود وب سرور می گویند.

خب در این جلسه به صورت مختصرو مفید به تکنولوژی های ریموت اشاره ای کردم. تمامی این مباحث در آینده نزدیک به صورت مفصل مطرح می شود. موفق باشید.

User Profile - قسمت دوم از سربرگ Advanced در پنجره System properties

پروفایل ها مکان هایی هستند که در آن اطلاعات کاربری و تنظیمات شخصی ذخیره می شود.

محل ذخیره سازی پروفایل در ویندوز های Legacy با Next Generation متفاوت هست:

C:\users\نام کاربر  Next Generation=>7,Vista

C:\Documents & settings\نام کاربر   Legacy => Xp,2003

تنظیمات رجیستری هر یوزر داخل فایلی به نام NTUSER.DAT در داخل پوشه ی پروفایل کاربر ذخیره می شود. این فایل را می توان با نرم افزار های خاصی باز کرد و اطلاعات مهمی را از داخلش بیرون کشید.

خب.. کلا در دنیای شبکه 4 نوع پروفایل داریم که یک به یک به توضیح آنها می پردازیم:

1.Default User Profile

2.Local User Profile

3. Mandatory User Profie

4. Roaming User Pofile

اول: Default User Profile

اگر در ویندوز xp به این مسیر D:\Documents and Settings  و در ویندز 7 به این مسیر C:\users  بروید با یک پوشه مخفی به نام Default User حتما برخورد خواهید کرد.

وقتی یک یوزر جدید ایجاد می شود ، محتویات این پوشه به داخل یورز جدید ایجاد شده کپی می شود. بعنوان مثال اگر بخواهید در صفحه Desktop هر یورزی که ایجاد کردید به صورت خودکار یک فایل PDF قرار گیرد، برای این کار کافی است آن فایل PDF را داخل پوشه Default User ، داخل پوشه Desktop آن قرار دهیم.

دوم: Local User Profile

به پروفایلی که بعد از کپی  محتویات پوشه Default User ساخته می شود را می گویند. Admin باید به طور منظم و هفتگی از محتویات این پوشه بکاپ بگیرد. وقتی ویندوز خراب شود ، اولین جایی که اطلاعاتش پاک می شود محتویات این پوشه است.

البته دستوری هست که در موقع مشکل دار شدن ویندوز می توان استفاده کرد، این دستور که نیاز به cd ویندوز دارد، با استفاده از cd ویندوز فایل های صحیح و سالم را جایگزین فایلهای معیوب می کند

Sfc /scannow

سوم :Mandatory User Profile

راجع به نرم افزارهایی مثل Deep Freeze که توی کافی نت ها استفاده می شود چیزی شنیده اید؟ کار این نرم افزارها این است که  بعد از ریستارت شدن ویندوز همه تنظیمات را به حالت اول برمی گردانند و چیزی در پروفایل کاربر ذخیره نمی شود.

این یوزر پروفایل هم به همین صورت است. یعنی پروفایلی که از این نوع باشد هر تغییری که در آن انجام شود با ریستارت ویندوز از بین خواهد رفت. اما چگونه یک پروفایل Mandatory بسازیم؟

برای اینکه یک پروفایل را از نوع Mandatory کنیم کافی است وارد آن پروفایل شده و فایل NTUSER.DAT را به فایل NTUSER.MAN تغییر نام دهیم. با همین تغییر ساده پروفایل شما تبدیل به Mandatory می شود.

بهترین نرم افزاری که با آن می شود Mandatory User Profile ساخت نرم افزار DeepFreeze هست. با این نوع پروفایل در کورس پنجم یعنی Active Directory بیشتر آشنا خواهیم شد.

چهارم : Roaming User Profile

پروفایلی که بر روی سرور ساخته می شود  و از پشت هرکدام از کلاینت ها لود می شود اصطلاحا به آن پروفایل roaming می گویند.

به صورت پیش فرض ، در شبکه های دامینی پروفایل هر یوزری  از نوع Roaming هست. این پروفایل ها به صورت لوکال و محلی لود نمیشن و از روی سرور لود می شن.

در شبکه های workgroup هم می توان پروفایل Roaming ایجاد کرد اما سخت است .

حال برمیگیردیم به همان پنجره System Properties تب Advanced قسمت User Profile

در اینجا اگر گزینه Settings رو انتخاب کنید و از پنجره باز شده گزینه change type را انتخاب کنیم ، می بینیم که فقط می تونیم Local Profile رو انتخاب کنیم و Roaming Profile غیرفعاله! چرا؟ چون سرور داخل شبکه نداریم و این قسمت مخصوص شبکه های دامینی هست همانطور که در قبل توضیح دادم.

قسمت سوم Startup & Recovery

اگر چند سیستم عامل داشته باشیم در این قسمت می تونیم مشخص کنیم که ابتدا کدام سیستم عامل بالا بیاید . این عمل را در قسمت Default Operation System انجام می دهیم و از منوی باز شونده سیستم عامل را انتخاب می کنیم.

تنظیمات دیگری که در این قسمت انجام می شود که به دلیل اهمیت کم از آن سریع می گذرم.

-          اگر سی ثانیه سیستم عامل را انتخاب نکردم ، سیستم عامل پیش فرض را بالا بیار که میتونیم این ثانیه را تغییر بدیم

-          در قسمت edit می تونیم تغییراتی در نام مورد نمایش ویندوز و ... بدهیم. البته این گزینه در ویندوزهای Legacy وجود دارد.

-          اگر ویندوز با شکست مواجه شد: لاگ بنداز. به مدیر سیستم پیغام بده و به صورت اتوماتیک سیستم رو ریستارت کن.

-          دامپ فایل هم به مایکروسافت بفرست. دامپ فایلها خطاهای کرنلی هستند که هروقت اتفاق بیوفتند به صورت پیش فرض به مایکروسافت فرستاده می شوند تا آنها اقدام به رفع این مشکل کنند.

گاهی ویندوز با مشکل مواجه میشود و به طور مرتب ریستارت می شود اگر بخواهیم این ریستارت اتوماتیک را متوقف کنیم. مطمئنا نمی تونیم بیایم اینجا و تیک جلوی گزینه Automatically Restart رو برداریم چون زمان نداریم. جهت این کار باید در موقع بالا آمدن ویندوز کلید F8 را بزنیم و از منویی که در اختیارمون قرار می گیرد گزینه Disable Automatic Restart on System failure رو بزنیم و اینتر کنیم. آن گزینه دقیقا کار همین گزینه را انجام میدهد.

تب بعدی در پنجره System Properties عبارت است از System Protection

البته این تب در ویندوز های Legacy مثل XP به نام System Restore هست.

بواسطه این تب اگر اتفاقی برای ویندوز بیوفتد می توانیم به حالت قبل برگردیم. این کار را بواسطه Restore Point  ها انجام میدهیم.

Restore Point ها در مواقع زیر ایجاد می شوند:

1. هر 24 ساعت یکبار

2. موقع آپدیت ویندوز

3. موقع نصب درایور Unsign

4. به صورت دستی

نکته!

1. ریستور پوینت ها در ویندوزهای Legacy بعد از 90 روز و در ویندوزهای Next Generation بعد از 137  روز به صورت اتوماتیک پاک می شوند.

2. به صورت پیش فرض ده درصد از فضای هارد به ریستور پوینت اختصاص پیدا می کند.

3. اگر بخواهیم تنظیمات زمانی ریستور پوینت را تغییر دهیم مثلا ریستور پوینت ها بعد از نود روز پاک نشوند باید از رجیستری ویندوز به این کار اقدام کنیم . چگونه؟

از طریق Run ویندوز تایپ می کنیم Regedit و به مسیر زیر می رویم:

HKEY_Local_Machine>Software>Microsoft>Windows NT>Current Version> System Restore

در پنجره سمت راست دنبال گزینه RPGlobalInterval می گردیم و مقدار آن را تغییر می دهیم.

در ویندوز های Next Generation اگر ویندوز بالا نیومد میتونیم cd ویندوز را در دستگاه قرار دهیم و از آنجا گزینه Repair  سپس از پنجره Recovery Options گزینه System Restore را انتخاب کنیم و ویندوز را به چند روز پیش برگردانیم که خوب بالا میومد. بعد از ریستارت می بینم که مشکل ویندوز برطرف می شود.

همینطور اگر ویندوز بالا نیاید در قسمتی که ویندوز می خواهد لود شود کلید F8 را میزنیم و از آنجا گزینه

Last known good configuration

را انتخاب می کنیم. در بعضی مواقع این گزینه جواب میدهد.این گزینه سیستم را به به آخرین موقعی که خوب بالا آمده است ریستور می کند.

خب امیدوارم که این جلسه هم براتون مفید واقع شده باشد. موفق باشید .

 پایان جلسه یازدهم

در ادامه مباحث System Properties

تب آخر Remote

واژه ریموت یعنی خارج از کامپیوتر من. حالا این می تواند ده سانتیمتر آنورتر باشد یا می تواند کیلومترها ازمن فاصله داشته باشد. هر دو ریموت محسوب می شوند.

لایه ای که برای ریموت در مدل 7 لایه ای OSI استفاده می شود Session یا جلسه نام دارد.

همینطور اگر بخواهیم بفهمیم چه کسانی به کامپیوتر ما Remote زدند کافی است دستور Netstat –na را در محیط cmd تایپ کنیم. این دستور هم IP شخص و هم پورتی که از آن استفاده شده است را نمایش می دهد.

حال اگر در دستور netstat –na دیدیم که یک IP به کامپیوتر ما Session زده و بخواهیم آن راببندیم کافی است از دستور

 net use "ip طرف مقابل"  ipc$  /delete

اگر بخواهیم کلیه Session های جاری را ببندیم. کافی است از دستور

Net use * /d

استفاده کنیم.

در مورد Remote دو مقوله مطرح است:

1. بسترهای Remote

2. تکنولوژی های Remote

1. بسترهای Remote

1.PSTN

خطوط مسی تلفنی شهری که سرعت ارسال:56 کیلوبیت و دریافت 32 کیلوبیت داشتند.

2.ISDN

خطوط دیجیتال که سرعت ارسال و دریافت 128 کیلوبیت داشتند.

3. MPLS

سرعت آن از 128 کیلوبیت هست تا 6 مگابیت. مشکلش گرون بودن این خط هست.

4.Satellite

سرع آن از 128 کیلو بیت شروع میشود و تا 5 مگابیت را ساپورت می کند.

5.Vsat

Vsat یعنی دو تا بشقاب رو روی دو تا ساختمون بلند بگذاریم و این ها به صورت Point – to –pont همدیگر رو ببینند و به انتقال اطلاعات بپرازند. به این اقدام Vsat می گویند.

6. DSL

راجع به DSL میخوام کمی صحبت کنم.

همانطور که می دونید با پیشرفت تکنولوژی DSL سه نوع DSL موجود هست. ADSL و ADSL2 و ADSL2+

مشکل تکنولوژی DSL این هست که محدودیت مسافت دارد. به جدول زیر دقت کنید

همانطور که در جدول می بینید هرچقدر که تکنولوژی پیشرفت کرده مسافت کم شده ولی سرعت بالا رفته . تکنولوژی ADSL2+ میتواند سرعتی برابر 24 Mb به ما بده. اما آیا واقعا این سرعت در اختیار ما قرار می گیرد؟ چه سرعتی در اختیار ما قرار می گیرد؟

128 و نهایتا 1 مگابیت. پس چرا تبلیغات می شود ADSL2+ ؟ به چه درد ما می خورد؟ وقتی نمی توانیم از سرعت آن استفاده کنیم. برای ما همان ADSL کافی است چرا که مسافت بیشتری هم ساپورت می کند و این برای مایی که شاید از ISP فاصله داشته باشیم هم بهتر است. چرا که هر چقدر مسافت شما از ISP دورتر باشد به همان میزان سرعت اینترنت هم افت می کند.

7. Wireless

سرعت آن در قسمت های مختلف متفاوت هست.

مثلا در شبکه محلی بالای 300 مگابیت و درشبکه های شهری مثل WIMAX تا دو مگابیت ساپورت می کند.

8. CATV

که مخفف cable TV یا تلویزیون کابلی است.سرعت آن از دو مگابیت تا دوازده مگابیت هست .

روش کار آن:

اطلاعات در بستر فیبر نوری وارد منازل می شود و از آنجا با کابل کواکسیال وارد cable modem می شود که از آن دو خروجی می گیرند : یکی برای TV و دیگری برای اینترنت.

Cable TV توانایی Pause  کردن ، در هنگام مشاهده تلویزیون را داراست . مثلا در وسط اخبار یک لحظه اخبار را نگه میدارم تا کارم را انجام دهم و برگردم.  این عمل تا یک هفته می تواند بماند.

70 درصد شبکه های کشور آمریکا از نوع کابلی است.

واما تکنولوژی های ریموت چیستند؟

1. RDP

RDP یا Remote Desktop Protocal تکنولوژی هست که در خود ویندوز وجود دارد و میتوان از آن استفاده کرد.

برای اینکه از یک ویندوز به ویندوز دیگر Remote  بکنیم چند کار باید قبل از آن انجام شده باشد.

در ویندوز های Legacy کافی است وارد سربرگ Remote  بشویم و تیک

Allow users to connect remotely to this computer

را بزنیم.

 و سپس کافی است یک یوزر پسورد هم در اختیار شخص ریموت کننده در شبکه قرار دهیم تا بتواند به ما ریموت کند. همین.

حال شخص ریموت کننده کافی است در Run ویندوز تایپ کند mstsc و در پنجره ظاهر شده IP ما را بزند و سپس در صفحه بعدی یوزرنیم و پسورد ما را بزند و تمام. دسکتاپ ما در اختیارش قرار می گیرد.

اما در ویندوز های Next Generation مثل 7 قضیه کمی فرق می کند.

به RDP در ویندوزهای Next Generation یک ویژگی اضافه شده است به نام NLA.

NLA مخفف Network Level Authentication هست. درویندوزهای Legacy این ویژگی وجود ندارد. حال این ویژگی به چه دردی می خورد؟ عرض می کنم خدمتتون.

NLA چیست؟

در ویندوزهای NG مثل 7  وقتی RDP می کنی، اول از شما یوزرنیم پسورد می پرسد بعد شما را وصل می کند. اما در Legacy ها اول شمارا وصل می کند و بعد می پرسد که یوزرنیم پسورد شما چیست. یعنی در ویندوزهای Legacy ما تا پشت در سیستم میریم و این از لحاظ امنیتی فوق العاده بد است.

و اما توضیحات سربرگ Remote در ویندوز 7

در قسمت Remote Desktop سه گزینه وجود دارد.

1. گزینه اول یعنی

Don’t allow connections to this computer

که همانطور که مشخص است یعنی اجازه نده به این کامپیوتر کانکت شوند که حالت پیش فرض است.

2. گزینه دوم یعنی

Allow connections from computers running any version of Remote Desktop (less secure)

می گه همه کامپیوترها بتوانند به من ریموت کنند چه NLA  رو ساپورت کنند مثل 7 و چه NLA رو ساپورت نکنند مثل XP. خب مسلما انتخاب این گزینه منجر به پایین اومدن امنیت میشه همانطور که توضیحش رفت.

3. گزینه سوم یعنی

Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure)

می گه فقط کامپیوترهایی بتوانند به من ریموت بزنند که NLA رو ساپورت کنند که با انتخاب این گزینه ویندوزهایی مثل XP نمی تونند به 7 ریموت بزنند.

اما از کجا بفهمیم که ویندوز ما NLA را ساپورت می کند یا خیر؟

1. در Run ویندوز تایپ می کنیم mstsc

2. بر روی Caption یا نوار آبی رنگ بالای پنجره راست کلیک می کنیم و گزینه about را می زنیم.

3. در پنجره ظاهر شده اگر ویندوز ما XP باشد می نویسد :

Network Level Authentication not supported

که یعنی NLA را ساپورت نمی کند.

برای فعال سازی NLA در ویندوز XP کافی است RDP ورژن 6.1 را دانلود کنیم تا این ویژگی NLA را ساپورت کند.

نکته!

همانطور که می دانید در ویندوز اگر به یک کلاینت RDP کنیم، آن کلاینت به صورت دیفالت از سیستم Log off می شود و ما وارد می شویم.

البته این قضیه در ویندوزهای نسخه سروری وچود ندارد . و تا هشت نفر می توانند به آنها RDP بزنند بدون اینکه Log off شوند.

اما چکار کنیم که در ویندوز وقتی ریموت می زنیم ، ویندوز Log off نشود؟

سه راه حل دارد:

1.استفاده از dll های Remote Desktop نسخه سروری در ویندوز XP. یعنی dll های نسخه سرور را برداریم و جایگزین dll های Remote Desktop نسخه کلاینت کنیم.

که این کار زیاد جالب نیست و توصیه نمیشه.

2. استفاده از نرم افزار  UniversalTermsrvPatch كه هر دو نسخه 32 بيتي و 64 بيتي آن موجود مي باشد.

3. از نرم افزارهای جانبی استفاده کنیم.

نرم افزارهایی مثل:

-          Radmin

-          Netsupport

-          IdLAdministrator

 مي توانيد براي تكميل كردن اطلاعات خودتان به اين سايت كه مفصل در اين باره توضيح داده مراجعه كنيد.

یک نکته دیگر

پورتی که RDP در ویندوز استفاده می کند 3389  هست.

 خب. بررسی بقیه تکنولوژی های ریموت رو ان شاء الله به جلسه بعد موکول می کنیم. موفق باشید.

پایان جلسه دوازدهم

جلسه دهم

خب ادامه مباحث قبلی رو پی میگیریم. همانطور که می دانید ما در مورد System properties تب Hardware و قسمت Device Manager صحبت می کنیم.

اگر روی سخت افزار های موجود در Device Manager راست کلیک کنیم و Properties بگیریم با یکسری سربرگ ها برخورد می کنیم که به توضیح آنها می پردازم.

1. تب General

این تب مشخصات سخت افزار از قبیل کار آن ، سازنده آن و .. را نمایش می دهد.

2. تب Advanced

در این قسمت می تونیم یکسری تنظیمات سخت افزاری انجام بدهیم. که البته بای اطلاعات داشته باشید تا بتونید انجام بدید.

دقت داشته باشید تعداد تب های موجود در این قسمت و همینطور گزینه های موجود در هر تب به سخت افزاری بستگی دارد که شما از آن Properties  گرفته اید.

3. تب Driver

ورژن درایور را مشخص می کند و همینطور در این قسمت مشخص می شود که درایور های سخت افزار ساین شده اند یا خیر.

ساین یعنی درایور ها به تایید مایکروسافت رسیده اند یا خیر. اگر به تایید مایکروسافت نرسیده باشند همان موقع نصب درایور،پنجره ای ظاهر می شود و ویندوز تذکر می دهد که درایوری که در حال نصب آن هستید ساین نشده است! به هرحال ادامه دهم؟ (Continue Anyway)، احتمالا این پنجره را ، Continue anyway، موقع نصب کارت  گرافیک دیده باشید.

یک مشکل نصب درایورهای unsign ، لودینگ ویندوز هست ، مثلا در ویندوز اگر لودینگ و بالا اومدنش طولانی شود حتما درایورهای unsign شما زیاد شده است.

نکته!

اگر می خواهید ببینید چقدر درایور unsign دارید میتونید در run ویندوز تایپ کنید sigverif. از پنجره ظاهر شده گزینه start رو بزنید. ویزارد شروع به گشتن درایورهای unsign شما می کند و درپایان به شما نمایش می دهد.

در این تب یک دکمه بسیار کاربردی وجود دارد به نام Roll Back Driver . اما کارایی آن چیست؟ عرض می کنم خدمتتون.

اگر در ویندوز اقدام به آپدیت درایور یک سخت افزار بکنید و پس از آپدیت کارایی سخت افزار به هم بریزد شما می تونید با استفاده از این دکمه یک گام به عقب برگردید و درایورها را در وضعیت قبلی که خوب کار می کرد قرار دهید.

تب Resource

در این تب نشان می دهد که سخت افزار مورد نظر از چه منابع سخت افزاری استفاده می کند  و مهمتر این که در قسمت پایین مشخص می کند که conflict دارد یا خیر.

اگر device ما کانفلیک داشت چگونه باید آن را رفع کرد؟

همانطور كه در شكل مي بينيد ،جهت این کار کافی است در همین تب تیک گزینه use automatic settings را بردارید و دکمه change setting را انتخاب کنید و بعنوان مثال یک IRQ دیگر به آن اختصاص دهیم تا تداخل آن از بین برود.

تب آخر Power Management

در این تب تنظیمات برق سخت افزار را انجام میدهیم . البته این تب بیشتر در تنظیمات مودم و یا کارت شبکه وجود دارد.

بعنوان مثال می توان تعیین کرد که این سخت افزار بتواند کامپیوتر را روشن کند که به آن WOL یا Wake On LAN می گویند.

خب توضیحات Device Manager هم تموم شد. حالا برمیگردیم به همون تب Hardware که بودیم.

تب Hardware

همانطور که گفتم در این تب دکمه Device Manager رو توضیح دادم . در پایین تر قسمت Drivers می تونیم تنظیم کنیم که مثلا برای driver های unsign که در بالا توضیحش را دادم دیگر پیغام ندهد و مثلا آن ها را نصب کند و یا اینکه اصلا نصب نکند.(این تنظیمات در ویندوز های Lagacy وجود دارد مثل XP و در ویندوزهای NG مثل 7 وجود ندارد)

و همینطور در اینجا می تونیم تنظیم کنیم که درایور سخت افزارهای نصب نشده را خود ویندوز در سایت مایکروسافت سرچ کند و آن ها را نصب کند و یا اینکه اصلا این کار را انجام ندهد. این تنظیم در Next Generation ها هم وجود دارد.

و اما دکمه Hardware Profile

این قسمت در ویندوز های Next Generation حذف شده است و اگر به تب Hardware ویندوز 7 مراجعه کنید می بینید که این دکمه وجود ندارد. اما این دکمه چه کاربردی دارد؟

Hardware Profile به ما امکان جالبی می دهد تا بتوانیم پروفایل های خاصی برای کاربر تعریف کنیم. چگونه؟

ببینید ما میتونیم وارد این قسمت بشیم و از اینجا بر روی دکمه copy کلیک کنیم و یک نام اختصاص بدهیم. حال ویندوز را ریستارت کنیم . پس از ریستارت شدن ویندوز موقع بالا آمدن نام پروفایلی که ما ساختیم را به ما نمایش می دهد. حال ما میتونیم وارد آن پروفایل شده و از آنجا مثلا کارت شبکه را از کار بیاندازیم و یا USB را Disable کنیم تا کاربران نتوانند از آن استفاده کنند. سپس از طریق active Directory آن پروفایلی که ساختیم را به کاربر اختصاص بدهیم . به هرحال این کار فقط در شبکه کاربرد دارد.

ما بواسطه Hardware Profile می توانیم برای سخت افزار هایمان پروفایل تعریف کنیم تا در هر پروفایل سخت افزار خاصی کار کند.

 البته برای بستن USB در شبکه راه حل های بهتری نسبت به Hardware Profile وجود دارد ، نرم افزارهایی مثل Device Lock و GFI  این کار را به خوبی انجام می دهند.

سربرگ بعدی در قسمت System Properties، به نام Advanced

این سربرگ از سه قمست تشکیل شده است به نام های Performance و User Profiles   و Startup & Recovery .

قسمت اول Performance

سربرگ اول به نام Virtual effects برای تنظیمات افکت های تصویری در ویندوز هست که مثلا تعیین کنیم بهترین ظاهر یا بهترین کارایی را داشته باشد  که خیلی مهم نیست. دقت کنید نگاه آموزشی ما به ویژگی های ویندوز ، نگاه شبکه ای است و قصد نداریم کل ویژگی های ویندوز را درس بدیم. قصد داریم آن چیزهایی را یاد بگیریم که در شبکه به درد ما می خورد.

در سربرگ دوم به نام Advanced قسمت Processor Scheduling تعیین می کنیم سهم CPU را بیشتر به چه کسانی بدهیم؟

1. برنامه هایی که در پس زمینه ویندوز در حال اجرا شدن هستند.

2. یا برنامه هایی که توسط کاربر اجرا می شوند.

در همین سربرگ قسمت دیگری وجود دارد به نام Virtual memory .

Virtual Memory فضایی از هارد هست که به رم کمک می کند تا حافظه مورد نیازش را تامین کند.

Virtual Memory در درایو C  ساخته می شود و فایل آن Pagefile.sys نام دارد.

اگر بخواهیم در تنظیمات Virtual Memory تعییرات بدهیم از این قسمت استفاده می کنیم.

بعنوان مثال اگر بخواهیم که Virtual Memory را به درایو دیگری ببریم باید در این پنجره روی درایو مورد نظر کلیک کرده و از پایین No Paging file را انتخاب کنیم و سپس بر روی درایوی که می خواهیم virtual memory در آنجا باشد کلیک می کنیم و گزینه custom را میزنیم و سایز virtual memory را در آنجا تعیین می کنیم.

دقت داشته باشید که سایز virtual Memory نباید از 3 برابر رم بیشتر باشد. مثلا اگر رم شما 1 گیگ است نباید فضایی بیشتر از 3 گیگ به virtual memory اختصاص بدهیم.

سربرگ سوم به نام Data Execution Prevention که اصطلاحا به آن DEP گفته می شود، یک ویژگی نرم افزاری و سخت افزاری بر روی CPU هست که کار آن این است:

نگذارد هر کسی بیشتر از سهم خودش از CPU ، سهم CPU یا threat بگیرد. این قسمت برای محافظت سیستم در مقابل ویروس ها ، خیلی مهم هست . چون ویروس ها دوست دارند از CPU سهم زیادی بگیرند و سیستم را کند کنند.

کاربرد این قسمت برای بعضی از برنامه هایی هست که اجرا نمی شوند. این برنامه ها ویروس نیستند ولی درخواست سهم زیادی از CPU دارند .برای اینکه این برنامه ها اجرا شوند می تونیم دراین قسمت گزینه

Turn on DEP for all program and services except those I select:

را انتخاب کنیم و از پایین برنامه ای که اجرا نمی شود را add کنیم.

خب . تا همین جای بحث را داشته باشید تا ادامه قسمت System Properties سربرگ Advanced رو در جلسه بعد ان شاء الله دنبال کنیم.

شاد و موفق باشید.

پايان جلسه دهم.

How to Migrate to V6? - مهاجرت از IPv4 به IPv6

جهت این کار 4 روش وجود دارد که به شرح زیر است:

1. Dual Stack

2. Tunneling

3. 6 to 4

4.Mapping

که یک به یک به شرح آنها می پردازم.

1.Dual Stack

هفت لایه شبکه رو یادتون هست ؟ 1.physical 2.Data Link 3.Network 4. Transport 5.session 6.Presentation 7.Application به این هفت لایه شبکه در اصطلاح پروتکل Stack می گویند.

Dual Stack می گه که کامپیوتر شما هم پروتکل استک ورژن 4 را داشته باشد و هم پروتکل استک ورژن 6. هرجا نیاز بود با 4 کار کنی ، ورژن 4 و هر جا نیاز بود با 6 کار کنی ، از پروتکل استک ورژن 6 استفاده کنی.

2. Tunneling

ما در دو طرف دو تا devices داریم که IP ورژن 6 به اونها دادیم اما بستر انتقال ورژن4 هست . راه حل این هست که بین این دو Device تونل یا VPN بزنیم و بسته های IPv6 را از داخل تونل رد کنیم.

3. 6 to 4

همانطور که می دونید سایز پکت های ورژن 4 بخاطر هدر بزرگتری که دارند خیلی بیشتر و بزرگتر از IP ورژن شیش هست. یک راه حل هم این هست که بسته های IP ورژن 6 را بسته بندی با ورژن 4 کن.(همون گرگ تو لباس میش خودمون) و در مقصد این بسته را باز کن و بسته IP ورژن 6 برداشت کن.

به اصطلاح علمی تر : بسته های ورژن 6 را encapsulate با ورژن 4 می کنیم و در مقصد decapsulate می کنیم و ورژن 6 برداشت می کنیم.

این کار با روتر انجام می شود.

4. Mapping

بسته های IP ورژن 6 به 4 تبدیل می شود و در شبکه فرستاده می شود و مجددا بسته ها در آن طرف به شش تبدیل می شوند و دریافت می شوند.

 من روش ها رو به صورت خيلي خيلي خلاصه خدمتتون عرض كردم. به نظرم اونچنان نيازي به بسطشون نيست.

اما چگونه می توان در ویندوز XP ، آی پی ورژن 6 ست کرد؟

از دوطریق می توان به این کار اقدام کرد.

1. از طریق کنسول

از طریق Network Connections می توان بر روی connection کارت شبکه راست کلیک کرده و در قسمت Properties ، گزینه Install را بزنیم

 و سپس در پنجره باز شده Protocol را انتخاب کرده 

و در آنجا microsoft TCP/IP version 6 را انتخاب کنیم.

 اما از طریق این روش نمی توان بر روی کارت شبکه IPv6 ست کرد. چون اگر انتخابش کنیم گزینه properties آن روشن نمی شود تا به آن IP بدهیم مثل IPv4

همانطور كه مي بينيد گزينه properties خاموش است. 

راه حل در روش دوم ست کردن IPv6 در ویندوز xp است.

2.از طریق command

Run ویندوز را باز می کنیم و در آن تایپ می کنیم CMD. برای نصب ipv6 در اینجا فقط کافی است دستور زیر را تایپ کنیم به سادگی هرچه تمام تر نصب می شود.

Ipv6 install

حال برای IP ست کردن وارد netsh می شویم .تصویر گویای همه چیز هست.

همانطور که می بینید من IP، 2001::1 را بر روی کارت شبکه ام كه به نام Local area connection هست ست کردم.

خب . بحث IP ورژن 6 در همين جا بسته مي شود. اگر مطلبي به نظر شما رسيد كه من نگفته بودم لطفا بفرماييد اضافه كنم.

موفق باشيد.

پیاده سازی IP ورژن 6

همانطور که می دونید ، IP بر دونوع هست V4  و V6

فرم نوشتن IP ورژن 4 که معرف حضورتون هست. 192.168.2.100  به این فرم نوشتن در اصلاح Dotted-Decimal  گفته می شود . یعنی دهدهی که با نقطه از هم جدا شده است. که 32 بیتی هست و از 4 تا اکتد  8 بیتی تشکیل شده که با نقطه از هم جدا شده اند.

کل IP ورژن 4 حدودا 4 میلیارد IP هست که با جدا کردن IP های Private یا Invalid حدود 2  و نیم میلیارد باقی می مونه. و طبق پیش بینی ها IP ورژن 4 در سال 2012 تمام شد.طبق آخرین اخبار فیس بوک و گوگل هم نیز به IP ورژن 6 مهاجرت کرده اند.

حال اگر جمعیت کره زمین رو 7.5 میلیارد نفر درنظر بگیریم یعنی به ازاء هر سه نفر یک IP ورژن 4 داریم. در حالی که IP ورژن 6 اونقدر گستره اش زیاد هست که قابل شمارش نیست. در یک محاسبه جالب گفته اند که در IP ورژن 6 به ازاء هر مترمربع از کره زمین!! 6.5 ضربدر دو به توان 23 یعنی 55 میلیون  IP داریم!!

جالب است بدانید پیش بینی شده IP ورژن 6 با این گستره زیاد، تا سال 2030 تمام خواهد شد.

اما فرم نوشتن آن به چه صورت هست؟

یک مثال از IP ورژن 6:

2001:ABCD:0000:0198:0000:0000:ABCD:0001

-همانطور که می بینید در IP ورژن 6 ما با مبنای شانزده طرف هستیم و فرم نوشتنش colon-hexa Decimal هست.

-هدر پکت های IPV6 از ورژن 4 کوچکتر هست و مسلما سرعت بالاتری نسبت به IPv4 دارد.

-نکته جالب دیگری که IP ورژن 6 دارد این هست که همزمان می توان ده نوع IP داشت و برای یک دستگاه منحصرا یک نوع IP ست نمی شود.

-128 بیتی هست برخلاف IPV4 که 32 بیتی بود.

-روش های ساده کردن دارد.

روش های ساده کردن IP ورژن 6

1. چهار تا صفر پشت سر هم را میتوان با یک صفر نمایش داد.

مثلا در مثال بالا می توان اینگونه نوشت.2001:ABCD:0:0198:0:0:ABCD:0001

2. اعدادی که قبل از آنها صفر می آید را می توان صفر قبل از عدد را ننوشت:

باز به مثال بالا دقت کنید: 2001:ABCD:0: 198:0:0:ABCD: 1

3. اگر دو تا صفر خلاصه شده یا بیشتر پشت سرهم بیایند را می توان با دو تا کالن مشخص کرد

در مثال بالا: 2001:ABCD:0: 198::ABCD: 1

حالا شما بگین: این IP در اصل به چه صورت بوده؟ 2001::1

بله به این صورت بوده:2001:0000:0000:0000:0000:0000:0000:0001

مفهوم Subnet Mask و Prefix

در IP ورژن 4 ما مفهومی داشتیم به نام Subnet Mask در مورد Subnet Mask من خیلی زیاد حرف زدم خلاصه اینکه مرز بین Net ID و Host ID هست.

اما در ورژن 6 ما SubnetMask نداریم و مفهوم دیگیری داریم به نام Prefix.

Prefix برای جداسازی NetID از HostID بکار می رود و به صورت یک (عدد/ )در پایان IP ورژن 6 می آید و میتواند از 3 تا 127 باشد. البته خود 3 و 127 نمی تونند باشند.

مثلا در 2001::1/112 یعنی تا بیت 112 ، با آدرس شبکه روبرو هستیم و باید برای همه ثابت باشد. و از بیت 112 به بعد با بیت های هاست روبرو هستیم و مهم نیست ثابت باشد.

نکته جالبی که در اینجا وجود دارد سادگی آدرس دهی در عین پیچیدگی در IPv6 هست. بعنوان مثال در آدرس دهی کلاینت ها ما اولین کامیپیوتر را 2001::1 اختصاص می دهیم و دومین کامپیوتر را 2001::2  و همینطور الی آخر .همانطور که می بینید بسیار ساده کلاینت ها آدرس دهی می شوند و نیازی نیست اون همه عدد و رقم پشت سرهم بیایند.

نکته جالب دیگری که وجود دارد تعداد هاست هایی است که می توانیم داشته باشیم. ما تا 65535 هاست می تونیم در شبکه خودمون داشته باشیم!!

Bradcast،Multicast،Unicast در IP ورژن 6

Broadcast

در IPv4 وقتی برودکست انجام می شد،یک نفر به همه پکت می فرستاد. مشکلی که برودکست داشت این بود که همه باید جواب می دادند چه فردموردنظر باشند چه نباشند. مثلا فرض کنید من می خوام در یک کلاس حسن رو پیدا کنم. داد میزنم حسن کیه؟ از بین ده تا دانش آموز همون دومین نفر میگه حسن منم. ولی تا آخر بچه های دیگه بگن من نیستم، من نیستم ،من نیستم ،من نیستم. و این بار شبکه رو بالا می بره. حالا فرض کنید که برودکست زیادی در شبکه باشه بعد ببینید چه فاجعه ای میشه کل ترافیک شبکه رو این من هستم من نیستما اشغال میکنه.

اما در IPv6 این مشکل به طور کامل حل شده . ما در IP ورژن 6 به جای برودکست با مفهومی به نام Anycast  طرف هستیم. در Anycast اگر مثلا شخص موردنظر پیدا شد دیگه نیازی نیست بقیه جواب بدهند. مثل دنیای واقعی . مثلا ما توی یک کلاس داد میزنیم حسن کیه؟ کل کلاس که نمی گن من هستم من نیستم. یه نفر جواب میده و بقیه سکوت می کنند.

روترها پکت های AnyCast رو از خودشون عبور می دهند اما به صورت کنترل شده. همانطور که می دونید روتر ها نمی تونستن پکت های Broadcast رو از خودشون عبور بدهند. که البته اگر اینجور بود یک فاجعه رخ میداد. مثلا ما اگر شبکه امون به اینترنت وصل بود وتوی شبکه داخلی یک برودکست arp برای گرفتن mac رخ میداد(سیستم داد میزد این IP مکش چیه؟) کل دنیا جواب میدادند!! پس این رد نشدن برودکست از روتر واجب هست و یک قابلیت هست. اما روترها پکت های Anycast رو میتونن از خودشون عبور بدهند. مثلا ما یک شبکه دامینی داریم که مثلا شعبه تبریز زیر مجموعه شعبه تهران هست. اگر IPv6 داده باشیم. وقتی anycast صورت می گیره شعبه تبریز هم متوجه میشه و به صورت کنترل شده میشه در داخل مجموعه خودمون Anycast داشته باشیم.

در AnyCast اگر HostID شبکه را صفر بگذاری آدرس AnyCast بدست می آید.

تا اینجای مباحث را داشته باشید در مورد Unicast و Multicast ان شاء الله در جلسه بعد صحبت خواهم کرد.درضمن
 IP ورژن 6 مباحث بسیار زیادی برای گفتن دارد.موفق باشید.

پایان جلسه ششم

Set IP Address to Clients

خب . درشبکه اولین کار بعد از نصب سیستم عامل کلاینت ها IP ست کردن هست. به دو صورت میشه بر روی کلاینت ها IP ست کرد:

1. با استفاده از محیط گرافیکی ویندوز

2. با استفاده از دستورات CMD

نحوه ست کردن IP در محیط ویندوز

اگر کارت شبکه ما نصب باشد در قسمت Network Connections که در کنترل پنل قرار دارد می توان IP دهی کرد. به چه صورت؟ عرض می کنم خدمتتون.
برای ورود به نتورک کانکشن هم می توان از کنترل پنل رفت . هم میتوان در Run ویندوز دستور ncpa.cpl را تایپ کرد و وارد شد. خب گام به گام باهم جلو میریم.

1. بر روی Local Area Connection راست کلیک کرده و Properties را انتخاب می کنیم.

2. پس از باز شدن پنجره Properties ، در قسمت مشخص شده Internet Protocol (TCP/IP) را انتخاب و بر روی Properties کلیک می کنیم.

3. خب اینجا جایی است که ما IP ست میکنیم.

اگر بخواهیم به صورت اتوماتیک و DHCP آی پی دریافت کنیم. باید تیک گزینه obtain an IP address Automatically را بزنیم. مثلا در مودم های ADSL اگر دستی به کلاینت IP بدهیم به اینترنت وصل نمی شود و حتما باید خود مودم به ما به صورت DHCP آی پی بدهد تا بتوانیم به اینترنت وصل شویم.

اما اگر بخواهیم دستی خودمان IP بدهیم گزینه use the following Ip Address: را انتخاب می کنیم  و درقسمت IP Address مسلما باید IP آدرسی که قصد داریم به کلاینت اختصاص دهیم را وارد کنیم.

Subnet Mask هم که خودکار خودش می گذارد . Default Gateway دروازه ای است که ما برای اتصال به اینترنت ویا اتصال به شبکه های بالاتر نیاز داریم.

البته در درس های آینده به صورت خیلی مفصل تر این مباحث مرور می شود پس اصلا نگرانی به خودتون راه ندید.

در پایین تر دو قسمت Preferred DNS Server و  Alternate DNS Server وجود دارد. که باید در اینجا آدرس DNS سرور را بزنیم.

آی پی های 4.2.2.4   و 8.8.8.8 جزو مشهورترین ها هستند. علت دو تا بودن آدرس DNS سرور این هست که اگر اولی کار نکردبه سراغ دومی برود.

البته حتما کار DNS رو هم میدونید دیگه؟ DNS کارش تبدیل نام به IP هست چون ماشین ها با IP راحتند و ما انسان ها با نام. بخاطر همین سرورهای قدرتمندی هست که تمامی نام ها با IP هاشون رو دارند و وقتی شما نامی را وارد می کنید اون سرور به جدول خودش مراجعه می کند و می بیند که در مقابل اون نام چه IP ذخیره شده و شما رو به اون IP منتقل می کند.

نحوه ست کردن IP با دستورات Command Prompt

قبل از ست کردن IP با کامند نیاز هست که سرویس RRAS یا Route & Remote Access Service را enable و Start بزنید. جهت این کار لازم هست که در Run ویندوز تایپ کنید Services.msc تا کنسول سرویس های ویندوز باز شود.

در پنجره ظاهر شده به دنبال Route & Remote Access  بگردید و بر روی آن دابل کلیک بکنید. در پنجره جدید ظاهر شده Start Up Type را بر روی Automatic قرار دهید و Apply کنید و سپس بر روی Start کلیک کنیدو مجددا apply و پنجره را ببندید.

خب پس از انجام مراحل بالا cmd را از طریق Run ویندوز باز کنید ، و شروع کنید به تایپ دستورات زیر:

Netsh               که مخفف نتورک شل هست برای انجام تنظیمات شبکه ای از آن استفاده می شود.

Interface IP                  برای ورود به اینترفیس های آی پی ورژن 4

Show interface       برای نمایش وضعیت اینترفیس ها یا کارت های شبکه موجود روی کلاینت

Set address "Local Area Connection" dhcp

با دستور فوق اگر به کارت شبکه کلاینت IP داده باشیم برداشته می شود. دقیقا مثل این است که در محیط گرافیکی تیک گزینه obtain an IP address Automatically را زده باشیم.

Set address "local area connection" static 192.168.1.2 255.255.255.0

با دستور بالا من به کارت شبکه سیستم به صورت استاتیک و دستی IP ی 192.168.1.2 با سابنت مسک 255.255.255.0 را ست کردم.

اگر بخواهیم gateway هم تعیین کنیم فقط کافیه بعد از سابنت مسک آدرس آی پی gate way را هم بدهیم به صورت زیر

Set address "local area connection" static 192.168.1.2 255.255.255.0 192.168.1.1

در پایان این دستور هم میتونیم متریک را مشخص کنیم. متریک عددی است که هرچقدر پایین تر باشه در صورت داشتن چند کارت شبکه ارزش کارت شبکه خاص را بالاتر می برد.مثلا اگر دو کارت شبکه داشته باشیم و بخواهیم بر روی اینترنت برویم اینکه از کدام کارتهای شبکه استفاده کند برای ورود به اینترنت به متریک اونها بستگی دارد و هرکدام که متریک کمتری داشته باشد از همان استفاده می کند. خب در اینجا  مثلا متریک این کارت شبکه را میگذاریم 1

 Set address "local area connection" static 192.168.1.2 255.255.255.0 192.168.1.1 1

با استفاده از دستور زیر می تونیم DNS بر روی کارت شبکه ست کنیم

Add dns "local area connection" 4.2.2.4" index=1

در قسمت آخر دستور index رو مشخص کردیم که اگر index برابر 1 باشد یعنی IP داده شده را در قسمت preferred قرار بده و اگر index برابر 2   باشد یعنی IP وارد شده را در قسمت Alternate قرار بده .

DNS هایی که می توان مورد استفاده قرار داد :

4.2.2.4
8.8.8.8
192.9.9.3
192.9.9.4
85.15.1.10
85.15.1.12

کلیه دستوراتی که در بالا توضیح دادم رو میتونید در عکس زیر مشاهده کنید:

تنها دستور جدیدی که در بالا می بینید دستور

Set dns name="local area connection" source=dhcp

هست که برای مواقعی بکار می رود که از قبل بر روی dns آی پی ست شده است و دیگر اجازه نمی دهد که ما IP ست کنیم.

با استفاده از این دستور ما هر چه داخل فیلدهای dns هست را پاک میکنیم و مجددا IP میدهیم.

خب امیدوارم مفید واقع شده باشد. موفق باشید.

NAT

همانطور که میدانید NAT مخفف Network Address Translation هست و کار آن تبدیل آدرس های Invalid یا Private به آدرس های Valid یا Public هست.

اجازه بدهید با یک مثال بحث را شروع کنیم.

فرض بفرمایید شما از شاتل یک مودم ADSL خریدید و در منزل از طریق wireless به اینترنت وصل شده اید. این مودم از طریق dhcp به شما IP داده است مثلا 192.168.6.200   . شما برای اینکه بر روی اینترنت بروید باید این IP تبدیل به IP Public بشود. در شاتل یک سروری هست به نام NAT Server  هستکه کارش همین است. یعنی جدولی دارد به نام NAT Table که این IP را از شما می گیرد و آن را به IP Public مثلا  94.182.192.3  تبدیل می کند.

در سرورهای NAT فیلترینگ معنا ندارد. کارش فقط تبدیل IP است و به محتوای درخواست شما کاری ندارد. فقط کارش این است که شما را بر روی اینترنت ببرد.

اما ما قبل از سرور NAT ، سرور دیگری داریم به نام Proxy Server. کار این Server این هست که درخواست شما را میگیرد و به جای شما آن را بر روی اینترنت می برد و موقع بازگشت اگر از سایت های غیر مجاز باشد مثلا ، پیغام میدهد که دسترسی امکان پذیر نمی باشد.

به همین دلیل به Proxy Server، عبارت Send On Behalf هم میگویند.یعنی به نیابت از ما کاری را انجام میدهدو نتیجه و خروجی را با ما در میان می گذارد.

در ایران تمامی ISP ها از Proxy server قبل از سرور NAT شان برخوردار هستند که بر روی آن نرم افزار سپر ( نام نرم افزار فیلترینگ ایران است که توسط موسسه تبیان نوشته شده است) نصب شده است.

انواع NAT

در شبکه ها ما سه نوع سرور NAT داریم که عبارتند از:

1.Static NAT

در این نوع سرور به هر IP که Invalid هست یک IP پابلیک یا Valid اختصاص پیدا میکند. مثلا اگر 500 تا سیستم داشته باشیم باید 500 تا IP ی Valid داشته باشیم.

اگر یک سیستم خاموش باشد IP اش به کس دیگری اختصاص پیدا نمی کند و به صورت رزرو شده و انحصاری هر سیستم یک IP ولید دارد و برایش کنار گذاشته می شود تا آن سیستم روشن شود.

معمولا برای سرورهایی که در روی اینترنت سرویس می دهند مورد استفاده قرار میگیرد.

2. Dynamic NAT

در داینامیک NAT یک Pool یا مجموعه IP وجود دارد که تمام IP های Valid را داخل آن قرار داده شده است. نفر اول که می خواهد وارد اینترنت شود از این Pool یک IP به آن اختصاص پیدا می کند و به واسطه آن بر روی اینترنت می رود.

نفر دوم هم به همین صورت الی آخر... اگر کسی کارش با اینترنت تمام شد، IP خود را مجددا به داخل Pool می اندازد تا کس دیگری استفاده کند.

اما مشکلی که دارد این هست که فرض بفرمایید 50 تا IP ولید داخل این Pool هست. اگر هر 50 تا مشغول باشد ، نفر 51 که می خواهد وارد اینترنت شود باید صبر کند تا یک IP آزاد شود تا از آن استفاده کند و بر روی اینترنت برود.

به همین دلیل ISP ها از این نوع سرور هم استفاده نمی کنند.

3. PAT

PAT مخفف Port Address Translation هست که تقریبا همان Dynamic NAT هست با این تفاوت که همانطور که گفتیم در داینامیک NAT از داخل ظرف به اشخاص IP اختصاص داده می شدو اگر IP ها تمام می شد نفر جدیدی که می آمد باید صبر می کرد تا یک IP آزاد شود و به آن اختصاص داده شود اما در PAT اینگونه نیست.

در PAT پس از تمام شدن IP های ولید اگر نفر جدیدی وارد شود، آن را بر روی یک IP ولیدی که در حال استفاده است می اندازند و دیگر منتظر نمی مانند تا آن IP آزاد شود.

اجازه بدهید کمی بیشتر توضیح دهم.

همانطور که گفتم در PAT شخص را بر روی IP ولیدی که در حال استفاده است می اندازند و دیگر منتظر آزاد شدن آن IP نمی مانند، اما چگونه این کار انجام می شود؟ بر اساس پورت. یعنی چند نفر از یک IP ولید استفاده میکنند اما پورت آنها با هم فرق می کند.

بعنوان مثال نفر اول با پورت 1024  نفر دوم با همان آدرس IP اما با پورت 1025  و الی آخر. به همین خاطر به آن Port Address Translation می گویند . این پورت ها می تواند تا 65535  تا ادامه پیدا کند.

البته ISP ها سعی می کنند آن را بر روی IP هایی بیندازند که دانلود کمتری دارد. اصطلاحا به این روش Share کردن IP هم می گویند. معمولا ISP ها بسته به انصافشان IP را بین 7 تا 35 نفر share می کنند که در شرکت های ISP مختلف متفاوت است.

با توجه به تعاریف بالا ISP ها بهتر است IP های Valid بیشتری داشته باشند تا با توجه به رشد کاربران کمتر عمل sharing انجام شود. مثلا شاتل رینج IP که از شرکت ripe.net در اختیار گرفته است این هست:

94.182.192.0 - 94.182.199.255

یا رینج IP که شرکت عصر تله کام در اختیار گرفته است:

188.34.0.0 - 188.34.127.255

همانطور که می بینید شرکت عصر تله کام رینج IP بسیار بیشتری را در اختیار گرفته است.

منبع اطلاعات بالا سایت ripe.net هست.

مبحث NAT هم در همین جا به پایان می رسد. ان شاء الله در جلسه بعد ادامه مباحث رو پی می گیریم.

موفق باشید.