computerstream

تبلیغات

آپلود فایل | آپلود عکس | uppc.ir

درباره وب سایت


ثبت نام در سایت

نام کاربری :
پسورد :
تکرار پسورد:
ایمیل :
نام اصلی :

ورود به سایت

نام کاربری :
پسورد :

نظر سنجی

نتیجه

تبالدل لینک اتوماتیک

لینک :

لینک های تبادلی

فاقد لینک

عضویت در خبرنامه

عضویت لغو عضویت

صفحات جانبی

موضوعات و مطالب

    موضوعي ثبت نشده است

آرشیو مطالب

آمار و امکانات
rss

هميشه به عنوان كسي كه دوره هاي شبكه را پشت سر گذاشته ايد ، چه دوره هاي مايكروسافت و چه دوره هاي سيسكو ، يكي از دغدغه هاي ذهني شما اين است كه در صورتيكه از شما يك طراحي شبكه بخواهند يا بخواهند يك شبكه را مجددا طراحي و ترميم كنيد بايستي چه ملاك هايي را در نظر بگيرم ؟ قطعا در دوره هاي آموزشي شبكه ( البته بستگي به استاد داره ) به اين موارد جانبي شبكه پرداخته نمي شود ، در اين نكته قصد دارم هفت فاكتور اصلي كه بايستي در طراحي شبكه ها حتما در نظر گرفته شود را عنوان كنم و اميدوارم كه مورد توجه شما دوستان قرار بگيرد .

1- غير مجاز مي باشدt يا هزينه
هميشه هزينه اولين معيار و فاكتور مهم در طراحي يك شبكه است. هزينه خريد تجهيرات سخت افزاري ، هزينه نصب و راه اندازي نرم افزاري و هزينه پشتيباني از هزينه هايي است كه در هنگام طراحي يك شبكه بايستي به خوبي در نظر گرفته شود. ممكن است شما در ابتداي طراحي يك شبكه به هيچ عنوان به هزينه ها فكر نكرده باشيد و همين موضوع باعث بروز مشكلات بسياري براي شما خواهد شد. هميشه در خصوص هزينه با كارفرماي خود به صراحت صحبت كنيد. برخي اوقات پيش مي آيد كه شما به جاي استفاده از يك سويچ سيسكو 1و نيم ميليون توماني مي توانيد از يك سويچ دي لينك 300 هزار توماني استفاده كنيد و مقياس و اندازه شبكه شما هم به گونه اي است كه اين نوع سويچ جوابگوي نياز شما خواهد بود ، بنابراين شما مي توانيد در يك پروژه شبكه با يك تغيير نوع سخت افزار كلي در هزينه هاي خود صرفه جويي كنيد. البته اين كاملا بستگي به كارفرما و نيازمندي هاي آينده وي دارد.

2- Security يا امنيت
امنيت بصورت خلاصه محافظت از اجزا و داده هاي اطلاعاتي شبكه مي باشد. امنيت سالهاست به عنوان يك معيار اصلي در طراحي شبكه مطرح مي شود و شبكه اي كه در آن از بدو طراحي امنيت ديده نشده باشد قطعا به مشكلات زيادي در آينده بر مي خورد. امنيت را مي توانيد بصورت لايه اي طراحي كنيد ، مدل مرجع OSI مي تواند يكي از بهترين راهنماهاي امنيتي باشد كه الگوي كار قرار بگيرد. باز هم در بحث امنيت و درجه امنيت مورد نياز اين كارفرماي شما است كه بايستي تصميم گيري كند ، در اينجا باز هم بحث هزينه مطرح است ، شما مي توانيد در Edge شبكه خود از يك PC كه بر روي آن نرم افزار TMG نصب شده است به عنوان فايروال استفاده كنيد و هزينه بسيار كمي كنيد و يا مي توانيد از فايروال سخت افزاري Juniper با قيمت هاي ده ها ميليوني استفاده كنيد.

3- Speed يا سرعت
سرعت به معناي ميزان انتقال اطلاعات بين نقاط مختلف شبكه است. در طراحي شبكه بايستي بر حسب نياز ، نوع سرويسي كه كارفرما مي خواهد ، پيشبيني هاي آينده اين مورد تخمين زده شود. براي مثال شما براي شبكه اي مي توانيد از تجهيزاتي استفاده كنيد كه سرعت گيگابيت را پشتيباني مي كنند اما در همين حين از نوع كابلي در بستر شبكه استفاده كرده ايد كه تا حداكثر 100 مگابيت بر ثانيه سرعت را پشتيباني مي كند و در نهايت سرعت شما تا 100 مي تواند بالا برود. بنابراين مبحث سرعت را در همه ابعاد شبكه بايستي پيشبيني كنيد ، كارت شبكه ، كابل ، سويچ ، روتر و ساير موارد بايستي در نظر گرفته شوند.

4- Topology يا همبندي
قالب فيزيكي كه سيستم هاي شبكه به آن متصل مي شوند و همچنين قالب منطقي كه داده ها در شبكه منتقل مي شوند در طراحي شبكه شما بسيار مهم است. شما مي توانيد در شبكه هاي خود بر حسب نياز بين ساختمان ها از همبندي هاي ستاره اي استفاده كنيد يا از همبندي تركيبي اما برخي اوقات پيش مي آيد كه هزينه هاي همبندي هاي فيزيكي براي كارفرما بسيار بالا مي رود ، شما بايستي بتوانيد با هزينه كمتر بهترين همبندي را ارائه دهيد ، براي مثال همبندي بيسيم يا وايرلس امروزه در شركت هاي مختلف و متعدد زيادي مرسوم شده است كه پياده سازي ساده و آساني دارد ، اما از طرفي در همين بحث طراحي همبندي بيسيم ، سرعت پايين و اعوجاج و بسياري از مسائل امنيتي ديگر نيز وجود دارد كه بايستي در نظر گرفته شوند.

5- Scalability يا مقياس پذيري
مقياس پذيري به اين معناست كه آيا اين شبكه اي كه شما طراحي كرده ايد در آينده مي تواند از سخت افزارهاي جديد ، تعداد كاربران بيشتر ، نرم افزارهاي بيشتر و رشد كلي بيشتر پشتيباني كند يا خير ؟ هيچگاه شبكه را در حالت فعلي طراحي نكنيد ، هميشه آينده را چه در بعد نرم افزاري و چه در بعد سخت افزاري پيشبيني كنيد و كمي جلوتر حركت كنيد. براي مثال اگر قرار است تعداد 50 عدد سيستم در شبكه فعلي وجود داشته باشند شما تخمين پيشرفت تا 200 عدد را بدهيد ، تعداد آدرس هاي IP كه در Subnetiing تعيين مي كنيد را متناسب با آينده در نظر بگيريد. در حوزه سخت افزاري تعداد Node ها را بيش از اندازه فعلي در نظر بگيريد و آينده را پيشبيني كنيد چه در كابل كشي ، چه در اندازه رك و .... هميشه آينده نگر باشيد.

6- Reliability يا قابل اعتماد بودن
قابل اعتماد بودن در شبكه به اين معناست كه شما چقدر مي توانيد به تجهيزات و ارتباطات بين آنها اعتماد داشته باشيد كه بدون بروز مشكل كار كنند و اتفاق ناخوشايندي براي آنها پيش نيايد. اين موضوع بسيار بسيار متنوع است ، شما بايستي امكاناتي را فراهم كنيد كه تجهيزات شما بتوانند Reliable باشند ، براي مثال سويچ ها و روترهاي سيسكو به گونه اي طراحي شده اند كه اگر در محيط ايده آل كار قرار بگيرند مي توانند مدت ها بدون بروز كوچكترين مشكلي فعاليت كنند. اين بحث در خصوص سيستم عامل ها نيز وجود دارد ، به نظر من سيستم عامل ويندوز يك سيستم عاملي است كه چندان نمي توان به Reliability آن توجه كرد زيرا با بروز كوچكترين مشكل ممكن است شبكه شما را دچار اختلال كند ، اما از طرفي سيستم عامل لينوكس آنقدر Reliable است كه به قول برخي از دوستان مي توانيد آن را Config كنيد و بعد چالش كنيد !!! ملاكي كه براي محاسبه Reliability در نظر گرفته مي شود به نام MTBF يا Mean Time Between Failures نمايش داده مي شود و بدين معناست كه در صورت بروز مشكل براي اين سيستم چقدر زمان ميبرد كه بتوان آن را به حالت اول بازگرداند يا آن را جابجا كرد.

7- Availability يا دسترسي پذيري
سرويس هاي شما بايستي در زماني كه مورد نياز است در دسترس افرادي كه به آن نياز دارند قرار بگيرد ، اين اصل دسترسي پذيري است ، اگر سرويس شما شب تا صبح بدون وقفه كار كند اما صبح به هنگام نياز كاربران در دسترس نباشد دسترسي پذيري آن دچار اختلال شده است. شما مي توانيد معيار هاي زيادي براي اين مورد را در شبكه ها مشاهده كنيد ، استفاده از تجهيزات و نرم افزارهاي جايگزين مي تواند يكي از مهمترين موارد در خصوص بالا بردن دسترسي پذيري سيستم باشد . شما براي ساختار اكتيودايركتوري خود يك Additional Domain Controller در نظر ميگيريد تا در سطح نرم افزار دسترسي پذيري را بالا ببريد ، همين نكته مي تواند در تجهيزات سيسكو نيز وجود داشته باشد و شما با استفاده از پروتكل HSRP براي سويچ هاي خود قابليت Load Balancing و Fail-over ايجاد مي كنيد تا در صورت بروز مشكل براي يكي از اين موارد دسترسي پذيري شما دچار مشكل نشود. دسترسي پذيري با معيار درصد در سال محاسبه مي شود . تعداد دقايقي كه يك سرويس در سال در دسترس مي باشد را Uptime مي گويند و تعداد دقايقي كه در دسترس نمي باشد را Downtime مي گويند كه با معيار درصد اندازه گيري مي شود. ITPro باشيد.




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

 مقدمه و معرفي Windows 8
معرفي ويندوز 8


Windows 8 جديد ترين سيستم عامل مايكروسافت سه سال پس از راه اندازي موفقيت آميز windows 7 است و بر خلاف نسخه هاي اخير , windows8تغييرات بسيار مهمي را در جهان سيستم عامل هاي ويندوز به ارمغان آورده است اگر windows 7 براي اجرا بر روي رايانه هاي سنتي يعني كامپيوتر هاي روميزي و laptop ها يا net-book ها طراحي شده بود windows 8 براي اجرا بر روي تنوع وسيع تري از دستگاهها ساخته شده است و همچنين مي تواند به صورت موفق بر روي كامپيوتر ها و laptop ها با صفحه نمايش لمسي مورد استفاده قرار گيرد و اميخته ازچند كاربره بودن( hybrids ) بر روي يك laptop با امكان جابجايي بر روي يك tablet است.

اگر windows 7 به روزرساني رشد يافته اي براي windows vista بود windows8 بازآفريني تجربه هاي windows است كه داراي جدولي از قابليت هاي جديد و الهام گرفته شده از پلت فورم windows phone است واين رابط كاربري جديد سازگار با دستگاههاي لمسي طراحي شده است اما به طور كامل بر روي كامپيوتر هاي سنتي با ورودي mouse وkeyboard اجرا ميشود همچنين windows8 پشتيباني از پردازنده هاي ARM را به اين سيستم عامل اضافه كرده است كه امروزه مورد استفاده گوشي هاي هوشمند (smartphones) وtablet ها ميباشد .اين اولين باري است كهwindows را ميتوان بر روي پردازنده (cpu ) هاي غير از برند هاي ساخته شده توسط intel وAMD با معماري x86 استفاده كرد اگر شما در مورد windows8 به مطالعه پرداخته باشيد ويا آن را در عمل ديده باشيد ميدانيد كه چيز هاي بسيار جديد زيادي براي ياد گيري وجود دارد. در ادامه شما را با تعدادي از اين قابليت ها اشنا ميكنم.

نسخه هاي windows8
معرفي نسخه هاي مختلف ويندوز 8


سه نسخه اصلي windows8 عبارتند از windows RT , windows 8 Pro, windows 8 در دو مورد windows 8 و Proمي توانيد اين محصولات را از طريق فروشگاهها خريداري كنيد اما در مورد windows RT بايد به اين نكته اشاره كنم كه فقط به صورت windows از پيش نصب شده بر روي laptop ها tablet و smartphones ها با پردازنده هاي ARM قابل دسترسي مي باشند اما امكان خريداري و استفاده از windows RT به صورت جداگانه نيز ميسر مي باشد. نكته ديگر اينكه هر سه نسخه windows 8 Pro, windows 8, Windows 8 Enterprise در نسخه هاي 32 bit و64bit در دسترس مي باشد . نسخه windows 8 Enterprise تنها براي كسب و كارهاي بزرگ مناسب ميباشد. Windows 8 Enterprise همه قابليتهاي windows 8 Pro را دارد و يك سري قابليتهاي كمكي ديگر مانند windows To Go , App locker , App Deployment و..... اين نسخه براي تضمين نرم افزاري مشتريان است.

حداقل سخت افزار مورد نياز براي نصب و راه اندازي windows 8
توصيه هاي سخت افزاري مايكروسافت براي اجراي windows 8

    پردازنده 1GHz يا سريعتر را داشته باشد.
    1GB RAM براي نسخه هاي 32Bit ويا 2GB RAM براي نسخه هاي 64 Bit
    مقدار فضاي آزاد از hard disk براي نصب windows بايد 16GB براي نسخه هاي 32Bit و20GB براي نسخه هاي 64 Bit نيازميباشد.
    سيستم بايد داراي graphics Direct X9با WDDM10 يا درايور بالاتر را داشته باشد.


هرچند اين موارد حداقل هاي مورد نياز براي اجراي windows 8 است اما توجه شما را به هشدارهاي زير همكه شايد نياز باشد در رابطه با آنها اطلاع داشته باشيد جلب مي كنم.

    حداقل screen resolution يا وضوح صفحه نمايش براي اجراي برنامه هاي windows 8 بايد درحد 1024.768 باشد. اگر screen resolutionبراي اجراي برنامه هاي جديد windows8 از1024.600e.g)& (800.600 كمتر باشد يك پيغام خطا دريافت خواهيد كرد.
    براي استفاده از قابليت Snap با برنامه هاي كاربردي جديد در windows 8 حداقل resolution مورد نياز شما(1366.768) مي باشد بنابراين براي استفاده از windows8 بر روي صفحه نمايش بهتر است اين سطح از resolution را داشته باشيد تا حداكثر پشتيباني از resolutionرا براي شما محيا سازد.
    استفاده از windows 8 بر روي يك پردازنده تك هسته اي 1GHz امكان پذيراست اما تجربه خوبي نيست به توصيه مايكروسافت استفاده از يك پردازنده دو هسته اي با سرعت 1GHz مناسبتر است( پردازنده هايي كه از سال 2006 به بعد وارد بازار شدند) windows 8 بهينه سازي شده نسبت به windows7 با اين پردازنده هاي جديد بهتر كار ميكند.
    windows 8 نسخه 32 Bitبا1GB Ram كار خواهد كرد اما براي استفاده بهتر بدون در نظر گرفتن نسخه windows استفاده حداقل از 2 GB Ram توصيه ميشود.
    5 GB يا 20 GB بسته به نوع نسخه شما بايد فضا از hard disk خود را براي نصب و استفاده از windows اختصاص دهيد اگر هم كه قصد نصب بازي ها و برنامه هاي زيادي بر روي سيستم خود را داريد حدقل فضاي 25 GB را براي partition كه windows بر روي آن نصب است را توصيه ميكنيم.
    با استفاده از windows 8 بر روي hard SSD بجاي استفاده از hardهاي سنتي شاهد عملكرد بهتري خواهيد بود شما بااين كار سريع ترين روش شروع به كاري را كه تاكنون با سيستم عامل هاي windows را تجربه كرده ايد خواهيد ديد همچنين راه اندازي بسياري از برنامه هاي كاربردي و بازي ها بسيار سريعتر ازdisk hardهاي سنتي خواهد بود.اميدوارم مورد استفاده قرار بگيرد




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

براي بسياري از كاربران عبارت مشكلات اتصال، بسياري از مسائل را به ياد مي آورد كه شامل كانكشن ناموفق شبكه، برنامه اي كه به دليل فايروال نمي تواند متصل شود و مشكلات جدي در اجراي برنامه ها است.
براي پيدا كردن منشا اين مشكلات، مراحل زير را طي كنيد و به سوالات جواب دهيد تا اينكه به يك بخش ديگر راهنمايي شويد:

    Network And Sharing Center را باز كنيد. Troubleshoot Problems را كليك كنيد و مراحل آن را طي كنيد. اگر Windows Diagnostics مشكل را پيدا و برطرف نكرد، لطفا اطلاعات مشكل را به مايكروسافت بفرستيد تا Windows Network Diagnostics را كامل تر كنيم. سپس مراحل زير را دنبال كنيد.

Windows Network Diagnostics


    آيا مي خواهيد به يك شبكه بي سيم وصل شويد ولي درخواست شما براي اتصال پذيرفته نمي شود؟
    آيا مي خواهيد به يك شبكه از طريق وي پي ان متصل شويد ولي درخواست شما براي اتصال پذيرفته نمي شود؟
    آيا گاهي اوقات مي توانيد به منابع شيكه متصل شويد ولي دسترسي ثابت نيست و يا سرعت پايين است؟
    آيا مي توانيد به ديگر امكانات شبكه دسترسي داشته باشيد (مانند ايميل و يا وب سايت ها)؟ اگر نه، مشكلي در كانكشن و يا در name resolution داريد. اگر به سرور با استفاده از آدرس IP به جاي نام هاست دسترسي داريد و يا اگر زماني كه آدرس IP اختصاص ميدهيد، به سرور دسترسي نداريد يا اينكه نمي دانيد كه آدرس IP چيست، به قسمت بعدي (چگونه مشكلات اتصال به شبكه را برطرف كنيم.) مراجعه كنيد.
    آيا مي خواهيد به يك دامين متصل شويد و يا مي خواهيد وارد اكانت كامپيوترتان با استفاده از حساب كاربري دامين شويد ولي با پيغام "دامين كنترلر قابل دسترسي نيست" مواجه مي شويد؟
    يك صفحه Command Prompt را باز كنيد و در آن دستور زير را اجرا كنيد:


Nslookup name_of_your_server


اگر nslookup جوابي مانند زير را نمايش داده نشد، مشكلي در name resolution داريد.

C:>nslookup itpro.ir

Non-authoritative answer:
Name:    itpro.ir
Addresses:  178.162.203.20


7. آيا مي خواهيد به يك فولدر به اشتراك گذاشته شده وصل شويد؟
8. اگر برنامه هاي ديگر به خوبي كار مي كنند و name resolution هم مشكلي نداشت، احتمالا مشكل شما در فايروالتان است.

چگونه مشكلات اتصال به شبكه را برطرف كنيم؟

اگر شما مشكلي در اتصال به شبكه داشته باشيد، ديگر نمي توانيد از هيچ يك از امكانات شبكه تان كه در حالت عادي با يك شبكه قطع، قابل دسترس هستند، استفاده كنيد. براي مثال اگر اينترنت شما قطع شده باشد، همچنان مي توانيد به شبكه ي LANتان متصل شويد. اگر شبكه LANتان قطع شده باشد، ديگر به هيچ چيز روي شبكه دسترسي نداريد. بيشتر مشكلات شبكه از موارد زير ناشي مي شوند:

    قطعي كارت شبكه
    مشكل در سخت افزارهاي شبكه
    مشكل در كانكشن
    قطعي در كابل ها
    تنظيمات اشتباه سخت افزارهاي شبكه
    تنظيمات اشتباه كارت شبكه

نكته:
اكثر مردم فكر مي كنند كه اگر يكي از سرويس هاي شبكه از كار افتاد، كل شبكه مختل شده است. براي مثال اگر سرويس DNS Server غيرفعال شده باشد، كامپيوتر شما نمي تواند host nameها را تبديل كند كه اين امر باعث مي شود كه كامپيوتر نتواند منابع روي شبكه را با نامشان شناسايي كند. به همين صورت اگر يك كاربر تنها به سرويس ايميل شبكه دسترسي داشته باشد و اين سرويس غيرفعال شود، آن كاربر فكر مي كند كه تمام شبكه ارايه دهنده اين سرويس مختل شده است.
تنها پس از اينكه دليل اصلي مشكل را پيدا كرديد، مي توانيد به دنبال راه حل باشيد و يا مشكل را به تيم فني درست عودت دهيد. براي مثال اگر بفهميد كه كارت شبكه تان خراب شده است، شما يك قطعه جايگزين براي آن نياز داريد. اگر متوجه شديد كه اينترنتتان قطع شده است، شما بايد با ISPتان تماس بگيريد. مراحل زير را براي پيدا كردن دليل اصلي مشكلات اتصال به شبكه دنبال كنيد:

    Network And Sharing Center را باز كنيد. در پايين همين صفحه روي Troubleshoot Problems كليك كنيد و مراحل آن را طي كنيد. اگر Windows Network Diagnostics مشكل را پيدا نكرد و يا آن را برطرف نكرد مراحل زير را دنبال كنيد.
    يك صفحه Command Prompt را باز كنيد. دستور ipconfig /all را اجرا كنيد. خروجي اين دستور را به روش زير تحليل كنيد.

    اگر هيچ كارت شبكه اي را فهرست نكرده و يا يكي از كارت هاي شبكه در ليست نيست (يا چيزي شبيه اين ها)، درايور كارت شبكه نصب نشده است.
    اگر براي همه كارت هاي شبكه، Media State برابر Media Disconnected است، كامپيوتر به صورت فيزيكي به شبكه وصل نيست. اگر با كابل ب شبكه وصل شده ايد، دو سر كابل را قطع كنيد و دوباره وصل كنيد. اگر مشكل همچنان برقرار بود، كابل شبكه را عوض كنيد. سعي كنيد كه يك كامپيوتر ديگر را به همان كابل شبكه وصل كنيد. اگر كامپيوتر جديد به شبكه وصل شد، كارت شبكه كامپيوتر اصلي مشكل دارد. اگر هيچ كدام از كامپيوترها به شبكه وصل نشدند، مشكل در كابل كشي شبكه، سوئيچ شبكه يا هاب شبكه است. اگر لازم بود سخت افزار مشكل دار شبكه را جايگزين كنيد.

    Media State . . . . . . . . . . . : Media disconnected


    اگر آدرس IPv4 كارت شبكه در محدوده بين 169.254.0.1 تا 169.254.255.254 بود، كامپيوتر داراي آدرس APIPA است. اين يعني كه كامپيوتر طوري تنظيم شده است كه از سرور DHCP استفاده كند ولي هيچ سرور DHCPي در دسترس نيست. يك Command Prompt را باز كنيد و دستورات زير را در آن اجرا كنيد.

    Ipconfig /release
    Ipconfig /renew
    Ipconfig /all

اگر كارت شبكه تان آدرس APIPA داشته باشد، سرور DHCP خاموش است. يك سرور DHCP را راه اندازي كنيد و كامپيوتر را ريستارت كنيد. اگر شبكه از سرور DHCP استفاده نمي كند، يك Ipv4 استاتيك يا alternate از مدير شبكه تان يا از ISPتان بگيريد و روي كارت شبكه آن را تنظيم كنيد.

    DHCP براي همه كارت هاي شبكه فعال است؟ خير، (در خروجي دستور ipconfig /all اين موضوع را بررسي كنيد) تنظيمات كارت شبكه اشتباه است. اگر DHCP غيرفعال است، كامپيوتر يك Ipv4 استاتيك دارد كه براي كامپوترهاي كلاينت غيرمعمول است. تنظيمات Ipv4 كارت شبكه را طوري تغيير دهيد كه بتواند آدرس IP و آدرس سرور DNS را به طور اتوماتيك بگيرد(همانند شكل زير). سپس به تب Alternate Configuration برويد و تنظيمات IP استاتيك را در آن وارد كنيد.


Internet Protocol Version 4 Properties


3. حالا كه به اين مرحله رسيده ايد، مي دانيد كه كامپيوترتان يك آدرس Ipv4 معتبر را از DHCP مي گيرد و مي تواند با LAN ارتباط برقرار كند. بنابراين هر مشكلي در اتصال به شبكه از طرف سخت افزارهاي خراب يا داراي تنظيمات اشتباه است. اگرچه نمي توانيد مشكل را از يك كامپيوتر كلاينت برطرف كنيد، اما مي توانيد دليل مشكل را پيدا كنيد. خروجي دستور ipconfig را ببينيد و آدرس Ipv4 مربوط به Default Gateway را شناسايي كنيد. مطمئن شويد كه آدرس Ipv4 مربوط به Default Gateway در محدوده(subnet) آدرس IP كارت شبكه تان است. اگر محدوده آن ها يكسان نيست، آدرس Default Gateway اشتباه است. محدوده آدرس Default Gateway بايد با آدرس Ipv4 كامپيوتر كلاينت يكسان باشد.
نكته:
براي اينكه بفهميد كه يك Ipv4 در محدوده آدرس Ipv4 كامپيور شما است، ابتدا به subnet mask خودتان نگاه كنيد. اگر subnet maske شما برابر 255.255.255.0 است، سه دسته عدد اول را در Ipv4 مقايسه كنيد (به هر دسته اوكتت مي گويند) (براي مثال 192.168.1 يا 10.25.2). اگر هر سه اوكتت دقيقا با هم برابر بودند، دو Ipv4 در يك محدوده هستند. اگر subnet mask شما برابر 255.255.0.0 است، دو اوكتت اول را مقايسه كنيد. اگر subnet mask شما برابر 255.0.0.0 است، تنها اوكتت اول را مقايسه كنيد (اولين گروه اعداد قبل از نقطه در آدرس IP). اگر هيچ كدام از اعداد subnet mask بين 0 و 255 نيست، شما بايد با استفاده از رياضيات باينري و عملگر AND بفهميد كه آن ها در محدوده يكساني هستند.
4. Default Gateway را با استفاده از دستور زير ping كنيد:

Ping default_gateway_ip_address

براي مثال اگر خروجي Ipconfig به اين صورت باشد:

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::1dd2:93f6:68c4:5662%12
   IPv4 Address. . . . . . . . . . . : 192.168.2.101
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.2.1


شما بايد دستور زير را اجرا كنيد:

Ping 192.168.2.1


اگر خروجي هاي ping اين باشد "Request timed out" آدرس IP اختصاص داده شده براي Default Gateway اشتباه است و يا Default Gateway خاموش است و يا Default Gateway درخواست هاي ICMP را مسدود مي كند. اگر خروجي Ping به اين صورت باشد "Reply from ..." به اين معني است كه Default Gateway به درستي تنظيم شده است و مشكل در جاي ديگري از شبكه است.
نكته:
Ping ابزار قابل اعتمادي براي تعيين كردن اينكه كامپيوترها و يا تجهيزات شبكه در دسترس هستند، نيست. امروزه بسياري از متخصصين شبكه، دستگاه ها را طوري تنظيم مي كنند كه به دستور Ping پاسخ ندهند. با اين حال دستور Ping ابزاري قابل اطميناني براي تست روترها است و بسياري از مديران شبكه، روترها را طوري تنظيم مي كنند كه بتوانند به درخواست هاي Ping از طرف شبكه داخلي پاسخ دهند. زماني كه همه چيز به خوبي كار مي كند و فقط مي خواهيد بفهميد كه تجهيزات شبكه تان در شرايط عادي پاسخ مي دهد يا نه، از دستور Ping استفاده كنيد.
5. از دستور tracert براي اطمينان از ارتباط با دستگاه هاي بيرون LAN استفاده كنيد. مي توانيد هر سروري را در شبكه بيروني را انتخاب كنيد. من در اين مثال از هاست www.itpro.ir استفاده كردم.

C:>tracert www.itpro.ir


 Tracing route to www.itpro.ir [178.162.203.20]
 over a maximum of 30 hops:
1    192.168.2.1
2    77.104.116.1
3    10.10.53.93
4    10.10.53.201
5    80.77.0.205
6    xe-8-2-0.0.pjr02.nyc007.flagtel.com [85.95.25.66]
7    85.95.25.166
8    so-1-0-0.0.cjr02.ldn004.flagtel.com [85.95.25.10]
9    jun.tc2.leaseweb.net [195.66.225.100]
10    te0-1-0-3.crs.evo.leaseweb.net [62.212.80.3]
11    xe-1-1-2.peering-inx.fra.leaseweb.net [46.165.255.120]
12    46.165.255.173
13    178.162.223.153
14    hosted-by.leaseweb.com com [178.162.203.20]



خط 1، Default Gateway است. خط هاي 2 و بالاتر، روترهاي بيرون شبكه داخلي شما هستند.

    اگر پيغام "Unable to resolve target system name" را ديديد، سرور DNS به دليل خاموش بودن، غير قابل دسترس است و يا تنظيمات كامپيوتر كلاينت اشتباه است و يا شبكه قطع است. اگر سرور DNSتان بر روي LANتان است (همان طور كه در دستور ipconfig /all گفتيم) و مي توانيد روتر را Ping كنيد، سرور DNS قطع است و يا تنظيماتس نادرست است. اگر سرور DNSتان بر روي يك شبكه ديگر است، ممكن است كه مشكل در زيرساخت شبكه و يا در name resolution باشد. اين مرحله را با دستور Ping براي اتصال به سرور DNS تكرار كنيد (همان طور كه براي دستور ipconfig /all گفته شد).
    اگر هيچ جوابي بعد از خط 1 نداشتيد، Default Gateway نمي تواند با شبكه هاي خارجي ارتباط برقرار كند. Default Gateway را ريستارت كنيد. اگر Default Gateway مستقيما به اينترنت متصل شده است، اتصالتان به اينترنت يا دستگاهي كه شما را به اينترنت وصل مي كند (مانند كابل يا مودم DSL) قطع شده باشد. با ISP براي عيب يابي هاي بيشتر تماس بگيريد.
    اگر يك Default Gateway چندين بار در Tracert تكرار شد، شبكه دچار يك حلقه مسيريابي شده است. حلقه هاي مسيريابي مي توانند مشكلات اجرايي يا قطعي سراسري ارتباطات را منجر شوند. شبكه ها معمولا به صورت اتوماتيك حلقه هاي مسيريابي را برطرف مي كنند. با اين حال بهتر است كه به پشتيبان هاي شبكه تان اطلاع دهيد تا مطمئن شويد كه آن ها از مشكل اطلاع دارند. خروجي Tracert زير دچار حلقه مسيريابي شده است، چون خط هاي 5، 6 و 7 تكرار مي شوند.

    C:>tracert www.itpro.ir


     Tracing route to www.itpro.ir [178.162.203.20]
     over a maximum of 30 hops:
    1    192.168.2.1
    2    77.104.116.1
    3    10.10.53.93
    4    10.10.53.201
    5    80.77.0.205
    6    xe-8-2-0.0.pjr02.nyc007.flagtel.com [85.95.25.66]
    7    85.95.25.166
    8    80.77.0.205
    9    xe-8-2-0.0.pjr02.nyc007.flagtel.com [85.95.25.66]
    10    85.95.25.166
    11    80.77.0.205
    12    xe-8-2-0.0.pjr02.nyc007.flagtel.com [85.95.25.66]

    اگر هيچيك از روترهاي خط هاي 2 يا بالاتر پاسخگو نبودند (مهم نيست كه آخرين هاست پاسخ دهد)، كامپيوتر كلاينت و Default Gateway به درستي تنظيم شده اند. مشكل در زيرساخت هاي شبكه است و يا اتصالتان به اينترنت قطع شده است. مراحل عيب يابي كه در قسمت بعدي اين مقاله توضيح داده ام را پيگيري كنيد و يا با پشتيباني شبكه تماس بگيريد.


براي اطمينان بيشتر از نتايج، اين مراحل را با يك كامپيوتر كلاينت ديگر بر روي همين شبكه تكرار كنيد. اگر كامپيوتر دوم هم همين نشانه ها را داشت، مطمئن باشيد كه بخشي از زيرساخت شبكه قطع شده است. اگر كامپيوتر دوم بدون هيچ مشكلي با شبكه ارتباط داشت، خروجي هاي دستور ipconfig /all را در دو كامپيوتر با هم مقايسه كنيد. اگر آدرس هاي Default Gateway و يا DNS Server متفاوت بود، تنظيمات كامپيوتر مشكل دار را همانند كامپوتر سالم كنيد. اگر با اين كار مشكل حل نشد، مشكل از طرف كامپيوتر خراب است و نشانه يك مشكل در شخت افزار و يا درايورها است.




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)


ACLهاي Extended (گسترده)
در ادامه توضيحات قبل در مقاله گذشته در مورد اين ACLها، نكته ديگراين است كه اين ACLها بسيار قابل انعطاف بوده و دست ما را در فيلتر كردن انواع مختلف ترافيك باز مي گذارند. گفتيم كه ACLهاي extended عمل فيلتراسيون را براساس پارامترهاي زير انجام مي دهند:

    آدرس IP فرستنده و گيرنده پيام ها
    نوع پروتكل IP مورد استفاده مثل IP، ICMP، TCP، UDP و ...
    اطلاعات مربوط به پروتكل ها مثل شماره پورت در TCP و UDP و نوع پيامها يا Message type در پروتكل ICMP


تركيب دستورات مورد استفاده براي ايجاد اين نوع ACL به شكل زير است:

Router(config)#access-list 100-199| 2000-2699 permit|deny IP_Protocol
source_address source_wildcard_mask
[protocol_information]
destination_address destination_wildcard_mask
[protocol_information] [log]


از اين دستور نيز مي توان فهميد كه دستورات بكار رفته در ايجاد ACLهاي extended كمي پيچيده تر از قبلي است. شماره اي كه براي نام گذاري ACLها بكار مي رود را مي توان در رنج 100 تا 199 و نيز 1699 تا 2000 انتخاب نمود. بعد از مشخص نمودن گزينه هاي permit / deny نوع پروتكل مورد نظر را نيز بايد مشخص نماييم كه اين نكته اولين تفاوت اساسي بين ACLهاي استاندارد را با ACLهاي گسترده نشان مي دهد. اين پروتكل ها شامل موارد زير مي شوند:

IP,TCP,ICMP,GRE,UDP,IGRP,EIGRP,IGMP,IPINIP,NOS,OSPF                                     


دومين تفاوت بين اين دو ACL اين است كه در ACLهاي گسترده علاوه بر مشخص نمودن آدرس دستگاه فرستنده، آدرس دستگاه گيرنده را هم بايد تعيين نماييم. مشخص كردن Wildcard Mask نيز انتخابي است. بسته به نوع پروتكل موردنظر مي توانيم اطلاعات بيشتري را در مورد آن پروتكل ها مشخص كنيم. براي مثال اگر از پروتكل IP استفاده مي كنيم، مي توان شماره هاي پورت دستگاه ها را هم تعيين كرد. براي ICMP نيز مي توان انواع پيام هاي ارسالي را مشخص نمود. در آخر نيز با بكار بردن log مي توان نتايج را به پورت كنسول و يا يك سرور حاوي اطلاعات log يا sylog منتقل كرده و آنها را به صورت متمركز در آنجا تحت بررسي قرار داد. بكار بردن log در اين دستور نيز انتخابي مي باشد.

به كار بردن ACL گسترده در TCP/UDP
دستور زير را براي پيكربندي يك ACL گسترده در پروتكل هاي TCP و UDP بكار مي بريم:

Router(config)# access-list 100-199|2000-2699 permit|deny
tcp|udp
source_address source_wildcard_mask
[operator source_port_#]
destination_address destination_wildcard_mask
[operator destination_port_#] [established] [log]


مشاهده مي كنيد كه ما بعد از مشخص كردن يكي از گزينه هاي permit يا deny نام پروتكل آورده مي شود كه در اينجا بحث ما بر سر يكي از پروتكل هاي TCP يا UDP مي باشد. در هنگام به كار بردن اين پروتكل ها، آدرس منبع، آدرس مقصد، شماره و يا نام پورت هاي مورد استفاده را مي توان تعيين نمود. همچنين در اين پروتكل ها بايد يك اپراتور را نيز مشخص كنيم. در جدول زير ليست اپراتورهاي موجود به همراه شرح آنها نيز آمده است. در ياد داشته باشيد كه اين اپراتورها فقط در TCP و UDP كاربرد دارند. همانطوريكه اشاره شد اگر پروتكل مورد استفاده ما TCP يا UDP باشد مي توان شماره يا نام پورت ها را هم مشخص نمود. مثلا اگر منظور ما يك ارتباط telnet باشد، هم مي توان عبارت telnet را بكار برد و يا شماره 23 را به عنوان شماره پورت متناظر آن استفاده نمود. جدول زير نام و شماره برخي از پورت هاي متداول را ليست كرده است.

شماره پورت ها


در زير به ليست كامل متناظر با پورت هاي TCP اشاره مي كنيم:


Bgp,chargen,daytime,domain,echo,finger,ftp,ftp_data,gopher,hostname,irc,klogin,kshell,lpd,nntp,
pop2,pop3,smtp,sunrpc,syslog,tacacs-ds,talk,telnet,time,uucp,whois,www


Pop3 معمولا در دسترسي كاربران به سرورهاي mail كاربرد دارد. www هم در دسترسي به سرورهاي http مورد استفاده قرار مي گيرد. اگر نام يك پورت در ليست بالا موجود نبود، مي توانيد همچنان از شماره آنها استفاده كنيد. اگر شماره يا نام پورت موردنظر را مشخص نكنيم، بطور پيش فرض تمامي ارتباطات TCP تحت تاثير قرار خواهند گرفت.

در جدول زير نيز برخي از نام ها و شماره پورت هاي معمولي كه در UDP بكار مي رود نشان داده شده اند:

ACL ها در سيسكو


اگر به دستوريكه در اول اين بحث آورده ايم دقت كنيد، متوجه وجود يك كلمه به نام established در آخر دستورات خواهيد شد. در مواقعي احتمال دارد كه يك ترافيك TCP را در داخل شبكه ايجاد كرده باشيم و بخواهيم كه ترافيك هاي برگشتي آن را در هنگام ورود به شبكه فيلتر نماييم. در اينصورت اين كلمه باعث خواهد شد كه روتر اجازه دسترسي را به تمامي بسته هايي كه داراي بيت هاي RST يا ACK در قسمت سر پيام باشند يا داده و يا اجازه ورود را به آنها ندهد. به اين نوع از اتصالات، وابسته به ارتباط يا connection-oriented مي گويند.

فعال ساختن يك ACL گسترده
به وسيله دستور زير مي توان بعد از ايجاد يك ACL گسترده آن را در روي يكي از اينترفيس هاي روتر فعال سازيم:

Router(config)#interface type [module_#] port_#
Router(config)#ip access-group ACL_# in|out


لابراتوار : << پيكربندي Extended Access-list بر روي روتر >>
در اين لابراتور ميخواهيم 6 عدد pc به نام هاي PC1 تا PC6 و يك سرويس دهنده ي فايل با نام File server وجود خواهد داشت كه در سه subnet قرار دارند، با استفاده از Extended Access listهاريال مي خواهيم دسترسي PC5 از SUBNET3 به File server موجود در subnet1 را مسدود كنيم، ولي دسترسي به ساير كامپيوترهاي subnet1 توسط PC5 و ساير PCها در ساير subnetها وجود داشته باشد.

سناريو ACL ها در سيسكو


مرحله اول : پيكربندي IP Address روي اينترفيس هاي روتر
پيكربندي IP Address روي اينترفيس FastEthernet 0/0 روتر

Router#config t
Router(config)#interface fastethernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shut down


پيكربندي IP Address روي اينترفيس FastEthernet 1/0 روتر

Router#config t
Router(config)#interface fastethernet 1/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shut down


پيكربندي IP Address روي اينترفيس FastEthernet 2/0 روتر

Router#config t
Router(config)#interface fastethernet 2/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shut down


مرحله دوم: پيكربندي Extended Access list بر روي روتر
در اين مرحله، يك ACL نوع Extended تعريف و شماره آن را 101 انتخاب خواهيم كرد و با استفاده از اين ACL مانع از دسترسي كامپيوتر PC5 در 3Subnet به File Server موجود در Subnet1 خواهيم شد و PC5 اين توانايي را خواهد داشت كه به ساير كامپيوترهاي Subnet1 دسترسي داشته باشد.

Router#config t
Router(config)#access-list 101 deny ip host 192.168.3.2 host 192.168.1.4
Router(config)#access-list 101 permit ip any any


ACL ها در سيسكو

ACL ها در سيسكو


مرحله سوم: اعمال Access list به اينترفيس
در اين مرحله ما مي خواهيم ACL شماره 101 را كه در مرحله 2 ايجاد نموده ايم، به اينترفيس FastEthernet 2/0 براي Inbound اعمال نماييم. اين عمل ما باعث خواهد شد كه هر ترافيكي كه مي خواهد، به اينترفيس FastEthernet 2/0 وارد شود، با قوانين داخل Access list شماره 101 بررسي شود كه آيا اجازه عبور دارد يا خير.

Router#config t
Router(config)#هinterface fastethernet 2/0
Router(config)#ip access-group 101 in


ACL ها در سيسكو


مرحله چهارم : تصديق پيكربندي Access List
مرحله بعد، ما از PC5 كه عضو Subnet3 مي باشد، كامپيوتر سرور را كه عضو Subnet1 مي باشد، ping مي كنيم.

Pc5>ping 192.168.1.4

pinging 192.168.1.4 with 32 bytes of data:

request timed out
request timed out
request timed out
request timed out


همانطور كه مي بينيد، ارتباط بين PC5 كه عضو Subnet3 مي باشد با سرور كه عضو Subnet1 مي باشد، توسط ACL مسدود (deny) شده است. مرحله بعد ما از PC5 كه عضو Subnet3 مي باشد كامپيوتر PC1 را كه عضو Subnet1 مي باشد، ping مي كنيم:

Pc5>ping 192.168.1.2

pinging 192.168.1.2 with 32 bytes of data:

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254


مرحله پنجم : مشاهده همه ACLها روي روتر و مشاهده تعداد PACKETهايي كه با قوانين ACLها Match بوده اند
براي مشاهده همه ACLها روي روتر و مشاهده تعداد PACKETهايي كه با قوانين ACLها Match بوده اند، از ذستور show access-list استفاده خواهد شد همانطور كه در دستور زير مشاهده مي كنيد:

Router#show access-list
Extended IP access list 101
deny ip host 192.168.3.2 host 192.168.1.4 (4 match (es))
permit ip any any (4 match (es))




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)


آپديت كردن تنظيمات Group Policy از طريق GPMC
در ويندوز سرور 2012 و ويندوز 8 براي آپديت كردن Policy ها و اعمال شدن تنظيمات Policy ها به كلاينت ها علاوه بر استفاده از Command ، روشي گرافيكي نيز در نظر گرفته شده است كه بواسطه آن كلاينت براي دريافت تنظيمات Refresh مي شود .بنابراين ادمين ها از طريق GPMC مي توانند تنظيمات و آپديت ها را بر روي سيستم هاي موجود در يك OU خاص اعمال كنند.اين قابليت تنها براي كامپيوتر ها موجود بوده و براي يوزرها نمي باشد . براي استفاده از اين امكان كافيست كه در كنسول مديريتي گروپ پالسي روي OU مربوط به اكتيو دايركتوري راست كليك كرده و گزينه ي Group Policy Update… را انتخاب كنيم .

در پنجره ي باز شده مشخص شده كه اين عمليات روي چند كامپيوتر اثر گذار خواهد بود. اگر Container اي را انتخاب كرده باشيم كه در آن كامپيوتري موجود نباشد، سيستم به ما پيغام خواهد داد .

در نهايت همانند تصوير زير مي توانيم وضعيت آپديت و چگونگي بروزرساني يا روند اعمال شدن تنظيمات يك Policy را مشاهده كنيم . كه از بعد عيب يابي اين امكان يك مزيت محسوب مي شود . پس از تكميل فرايند با كليك روي گزينه Save مي توان گزارش گرفته شده از روند اعمال آپديت را در قالب يك فايل با پسوند .CSV ذخيره كرد.

Status Update
Group Policy زير ساختي پيچيده دارد كه به ما اجازه مي دهد تنظيمات Policy ها را به صورت remote به كاربران و كامپيوتر هاي دومين اعمال كنيم .در صورت عدم اجراي اين تنظيمات ادمين بايد به عيب يابي فرايند و رفع خطا بپردازد.اما اين روش براي زماني كه هزاران GPO موجود است كه بايد تنظيمات آن به هزاران كاربر و كامپيوتر اعمال شوند، قطعا مناسب نخواهد بود. بعنوان مثال يك شركت بزرگ را در نظر مي گيريم كه در چندين كشور با محدوده زماني متفاوت شعبه دارد كه اين شرايط مي تواند تاثير قابل توجهي روي تاخير بوجود آمده در Replicate ميان دومين كنترلر ها داشته باشد.مي توان انتظار داشت كه عدم تطابق GPO در شماره هاي ورژن بين Group Policy Container ها و Group Policy template ها و نيز عدم تطبيق GPO بين دومين كنترلر هاي مختلف، در تاخير بوجود آمده اثر گذار باشد.

در نسخه هاي قبلي ويندوز ابزاري همچون GPOTOOL.exe براي ارائه يك الگو و گزارشي از فرايند Replication ميان GPO ها استفاده مي شد. كه البته اطلاعات متناقضي را ارائه مي داد.در ويندوز سرور 2012 يكي از بروزرساني هاي انجام شده در كنسول مديريتي گروپ پالسي ، اضافه شدن قابليت نمايش وضعيت زيرساخت گروپ پالسي تحت دومين مي باشد. با انتخاب دومين موجود در كنسول مديريتي گروپ پالسي تب Status در پنل مياني نمايش داده مي شود .تب Status در واقع بخشي از اطلاعات است كه سلامت زير ساخت گروپ پالسي را با توجه به دومين كنترلر ها ، Replication GPO ها و ورژن هاي GPO نمايش مي دهد.اين قابليت به شناسايي تناقضات بوجود آمده و پيش بيني مسائل، كمك شايان توجهي مي كند.به كمك بخش Status يك ادمين مي تواند وضعيت Replication و يكسان سازي GPO هاي موجود در تمامي دومين كنترلر هاي يك دومين را براي تشخيص اينكه عمليات Replicate موفقيت آميز بوده و يا در حين عمليات خطايي پيش آمده و اينكه چه خطايي اتفاق افتاده و ....را بررسي كند.

درتب status تمامي جزئيات قابل مشاهده نيستند و با كليك روي گزينه ي Detect now سيستم تمام ارتباطات دومين كنترلر ها را براي Replication با جزئيات آن نمايش خواهد داد. انتخاب گزينه detect now موجب مي شود كه GPMC با تمامي دومين كنترلر ها در دومين ارتباط برقرار كرده و در رابطه با Group Policy Object ها به جمع آوري اطلاعات از اكتيو دايركتوري ها و SYSVOL ها بپردازد و از “Baseline” دومين كنترلر براي مقايسه اطلاعات GPO با اطلاعات GPO هاي تمامي دومين كنترلر ها استفاده مي كند) در علم كامپيوترbaseline در واقع الگويي است كه به عنوان مرجع مقايسه براي تشخيص تغييرات بوجود آمده در سيستم هاي كامپيوتري به كار برده مي شود ). در قسمت Domain controllers with replication in sync آن دسته از دومين كنترلر هايي قرار دارند كه GPO information آنها با Baseline دومين كنترلر مطابقت دارد و آن تعداد از دومين كنترلر هايي كه اطلاعات GPO آنها با Baseline دومين كنترلر همخواني ندارد در بخش Domain controllers with replication in progress قرار مي گيرند كه اين حالت بدين معني است كه مشكلي در حين عمليات synchronization به وقوع پيوسته و يا اينكه درفرايند Replication هنوز همگرايي لازم صورت نگرفته است.


براي DC هايي كه در بخش In progress قرار مي گيرند، جزئياتي اضافي نيز ارائه مي شود كه بيانگر علت عدم Replication مي باشد. در اين قسمت به بيان آنها براي دو بخش اكتيو دايركتوري و فايل سيستم يا SYSVOL ها مي پردازيم .

توجه: بخشي از يك GPO در اكتيودايركتوري و قسمتي از آن در SYSVOL هاي دومين كنترلر ذخيره مي شود .قسمتي كه در اكتيو دايركتوري ذخيره شده Group policy Container و بخشي از GPO كه در SYSVOL ها ذخيره مي شود را Group Policy Template مي نامند.
پيام هاي عدم Replication مرتبط با اكتيو دايركتوري و SYSVOL ها به قرار زير هستند:

    Accessibility يا قابليت دسترسي : اگر سرويس اكتيو دايركتوري و نيز SYSVOL ها قادر به ايجاد ارتباطات روي دومين كنترلر نباشند اين پيغام نمايش داده خواهد شد.
    GPO Version: اگر اطلاعات مربوط به ورژن GPO با Baseline دومين كنترلر در اكتيو دايركتوري و همچنين اطلاعات ورژن GPO ذخيره شده در فايل GPT.ini موجود در SYSVOL ها با baseline دومين كنترلر تفاوت داشته باشد اين پيام نمايش داده مي شود .كه براي مشاهده ي جزئيات بيشتر بايد روي پيام كليك كنيم
    تعداد GPO ها : اگر تعداد كل GPO ها در SYSVOLها و نيز در اكتيو دايركتوري با baseline دومين كنترلر متفاوت باشند اين پيام مشاهده خواهد شد.
    ACL ها : اگر SYSVOL permission ها و AD permission هاي هر GPO متمايز از baseline دومين كنترلر باشند اين پيغام ظاهر مي شود كه براي مشاهده ي جزئيات در مورد اين سطوح دسترسي مي توانيم روي پيام كليك كنيم .
    Modified Dateيا تازيخ ويرايش: اين پيام هنگامي نمايش داده مي شود كه تاريخ مربوط به تغيير و ويرايش هاي صورت گرفته براي هر GPO كه در اكتيو دايركتوري ذخيره شده با Baseline دومين كنترلر متفاوت باشد.
    Create Date يا تاريخ ايجاد: در صورت متفاوت بودن تاريخ ايجاد هر GPO كه در اكتيو دايركتور ذخيره شده با Baseline دومين كنترلر متفاوت باشد اين پيغام ظاهر خواهد شد.
    GPO Contents يا مطالب GPO: اگر محتواي SYSVOL ها براي هر GPO با Baseline دومين كنترلر متفاوت باشد اين پيغام نشان داده مي شود كه براي مشاهده ي جزئيات پيرامون GPO هاي با مطالب متناقض مي توان روي پيام كليك كرد. براي مقايسه محتوا بايد يك هش فايل براي تمامي فايل هاي دورن فولدر GPO موجود در SYSVOL ايجاد كرد و به مقايسه هش Baseline دومين كنترلر با هش گرفته شده از هر DC پرداخت.


DFS Management
فايلهاي GPO در فولدر SYSVOL موجود در اكتيو دايركتوري ذخيره مي شوند .فايل هاي GPO در SYSVOL توسط سرويس DFS Replication يا DFS-R همسان سازي مي شوند .كنسول مديريتي DFS ادمين ها را قادر مي سازد تا به پيكربندي آپشن هاي replication همچون برنامه ريزي و ساير وظايف مديريتي بپردازند .SYSVOL به اشتراك گذاشته شده بعنوان يكي از Voliume هاي سيستم دومين شناخته مي شود و replication اين Volume از برنامه زمانبندي site link replication تبعيت مي كند. تغيير يا مديريت برنامه زمانبندي همسان سازي Domain system volume ها ميان دامين كنترلر هاي موجود در يك Active Directory site يكسان يك آپشن محسوب نمي شود. همانطور كه قبلا گفتيم يك امكان جديدكه به GPMC موجود در ويندوز سرور 2012 اضافه شده قابليت مشاهده ي وضعيت زيرساختار گروپ پالسي مي باشدكه در بردارنده ي وضعيت همسان سازي Back-end فايل هاي GPO كه در SYSVOL ذخيره شده ، مي باشد.

مديريت Powershell در group policy:
با انتشار ويندوز سرور2012 و ويندوز 8 ، مايكروسافت قابليت جديد مديريت Group Policy از طريق Powershell را ارائه كرد.اين قابليت با نصب Group Policy Management feature روي ويندوز سرور 2012 يا ويندوز 8 به صورت اتوماتيك فعال خواهد شد. در صورت نصب بسته ي RSAT آخرين cmdlet هاي powershell را دريافت خواهيم كرد. Cmdlet ها دستوراتي تخصصي و سبك هستند كه در محيط Powershell وظايف ويژه اي را انجام ميدهند .الگوي دستورات cmdlet بصورت <اسم>-<فعل> مي باشد. در جدول زير تعدادي از cmdlet هاي مورد استفاده براي مديريت Group Policy ليست شده اند:
Image

براي مشاهده ي cmdlet ها در powershell ويندوز سرور 2012 ، تنها كافيست در صفحه ي دسكتاپ اشاره گر موس روي قسمت راست صفحه قرار داده و از charm bar نمايان شده گزينه search را انتخاب كنيم . در بخش search بايد عبارت Windows PowerShell ISE را جست و جو كنيم . تصوير زير نمايي از group policy powershell cmdlets را نشان داده شده است:
Image


Event Viewer
Event Viewer موجود در ويندوز سرور 2012 و ويندوز 8 ، event log هاي متعددي را در بر مي گيرد . كه در اينجا با توجه به موضوع مقاله به بحث در مورد GPO Log ها مي پردازيم . گزارشات گرفته شده از يك GPO در بردارنده ي رويداد هاي مربوط بهGPO administrative و GPO operational مي باشد. به صورت پيش فرض حداقل گزارشات از پردازش هاي Group Policy گرفته مي شود . اگر به troubleshooting و يا log هاي بيشتري نياز داشته باشيم ، مي توانيم سطح Log برداري را افزايش دهيم .

Administrative event ها پردازش هاي انجام شده بواسطه ي GPO روي كامپيوتر و يا يوزري خاص را شامل مي شود و اطلاعات سطح بالايي از جزئيات موفقيت و يا عدم موفقيت GPO در پردازش را ارائه مي دهد. براي مشاهد ه ي Administrative event هاي Group Policy از بخش search app موجود در ويندوز 2012 ) همانند مراحل طي شده براي يافتن powershell ) ، Event Viewer را باز مي كنيم . و از بخش Windows Log موجود در پنل سمت راست زير گره ي System را انتخاب كرده و در پنل سمت چپ روي عبارت Filter Current Log كليك مي كنيم . در نهايت در Event sources در پنجره ي باز شده عبارت Group Policy(Microsoft-Windows-GroupPolicy) را ماركدار كرده و OK را مي زنيم.
Image

بدين ترتيب گزارشات گرفته شده از Administrative event ها همراه با شرح جزئيات در پنل مياني Event Viewer مشاهده خواهند شد. با راست كليك روي گزينه System انتخاب Clear filter و نيز با بستن Event Viewer مي توان log هاي فيلتر شده را پاك كرد.

Operational Event ها يا رويداد هاي عملياتي يك GPO در واقع جزئيات بسيار دقيق و ريز پردازش هاي GPO را بيان مي كنند. هنگاميكه GPO پردازش عميات را آغاز مي كند ، ُسيستم از تمامي كارهاي انجام شده در طي پردازشهاي گروپ پالسي Log برداري مي كند. اين قابليت جديد log برداري از پردازشهاي GPO خطا يابي پردازش هاي GPO را بسيار آسان كرده است. براي مشاهده ي Operational Event هاي GPO بايد در پنل سمت چپ موجود در Event Viewer به مسير بيان شده در زير رفت :

Applications and Service Logs => Microsoft => Windows => Group Policy => Operational




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

در اين مقاله به معرفي كلي Group Policy در ويندوز سرور 2012 خواهيم پرداخت و ساختار كاري ، كنسول هاي مديريتي و نيز قابليت هاي جديد اضافه شده به آن را بررسي خواهيم كرد. همانگونه كه مي دانيم Group Policy مبحث بسيار وسيعي است كه بحث در مورد آن مسلما در يك مقاله نمي گنجد بنابراين در اينجا به طور اجمالي به شرح برخي قابليت هاي Group policy مي پردازيم . مايكروسافت ابزارهاي مديريتي متعددي را براي ساخت و مديريت Group Policy سيستم هاي Local و تحت Domain فراهم آورده است .بواسطه ي Group Policy مي توانيم تنظيماتي خاص را به كاربران و كامپيوتر ها اعمال كنيم .تنظيمات Group Policy در بخش group policy objects يا GPO قرار دارند كه به سايت ها و دومين ها ويا OU ها لينك داده مي شوند . مي توان گفت Group Policy يكي از دلايل مهم استفاده از اكتيو دايركتوري است چرا كه بواسطه آن مي شود كاربران ، اشيا و كامپيوتر ها را مديريت كرد. همانطور كه مي دانيم براي اينكه تنظيمات Group Policy تنها به كاربران و يا كامپيوتر لوكال اعمال شود از Local Group Policy Editor استفاده مي كنيم و نيز براي مديريت تنظيمات گروپ پالسي در محيط اكتيو دايركتوري از Group Policy Management Console يا GPMC بهره مي گيريم .

معرفي كنسول هاي مديريتي Group Policy

كنسول مديريتي Group Policy يا GPMC
Group policy management console يكي از Feature هاي ويندوز سرور است كه مي توان آن را از طريق Server manager و يا با استفاده از دستور Install-WindowsFeature GPMC نصب كرد . علاوه بر راه هاي ذكر شده مي دانيم كه اين كنسول با نصب دومين كنترلر به صورت خودكار ايجاد خواهد شد چراكه يكي از Feature هاي نصب سرويس ADDS محسوب مي شود. كنسول مديريتي Group Policy يا GPMC يك ابزار بسيار كاربردي و مفيد براي ايجاد و مديريت Group Policy ها در اكتيودايركتوري، مي باشد. GPMC پس از انتشار ويندوز سرور 2003 ، معرفي شده و ابزار اصلي براي مديريت زير ساخت Group Policy محسوب مي شود. GPMC يك كنسول مديريتي مايكروسافت يا MMC snap-in است كه مي تواند به يك كنسول اختصاصي(custom console) اضافه شود.GPMC snap-inدامنه عملكرد وسيعي را براي مديراني كه وظيفه مديريت Group Policy يك دومين را بر عهده دارند ، فراهم مي آورد.قابليت هاي مديريتي ارائه شده در GPMC ويندوز سرور 2012 به شكل زير است :

    فعال كردن قابليت Starter GPO و ساخت Starter GPO هاي جديد . (ِ “Starter GPOs”يك container است كه تنظيمات مربوط به Template هاي اجرايي براي يوزرها و كامپيوتر ها بصورت از پيش تعريف شده در آن موجود مي باشد ،وقتي يك Group Policy جديد از يك starter GPO مي سازيم در واقع از تمامي اين تنظيمات بهره مي گيريم )
    ايجاد Group Policy هاي جديد براي دومين
    ايجاد يك Group Policy جديد با استفاده از Starter GPOs به عنوان يك الگو يا Template
    ساخت و پيكربندي GPO و لينك دادن آن به سايت ها ، دومين ها و OU ها
    مشاهده وضعيت و مديريت GPO ها در دومين بصورت لوكال و در forest هايي از اكتيو دايركتوري كه به آنها Trust داريم.
    قابليت گرفتن نسخه پشتيبان و بازگرداني آن براي يك GPO و يا همه ي GPO ها در يك دومين
    گرفتن بكاپ و بازگرداني اين بكاپ گرفته شده از يك و يا همه ي Starter GPO هاي موجود در يك دومين
    مديريت GPO link enforcement و فعال يا غير فعال كردن لينك ها ( Enforce كردن يك GPO براي OU باعث مي شود كه تنظيمات آن روي تنظيمات گروپ پالسي OU زير مجموعه كه اصطلاحا به آن Subfolder مي گويند ، Override نكند )
    پياده سازي تنظيمات block inheritance براي سايت ها ، دومين ها و OU ها . ( استفاده از Block inheritance موجب مي شود كه سايت ، دومين يا OU پايين دستي از GPO لينك داده شده به سايت ، دومين و يا OU بالا سري خود تبعيت نكند)
    مديريت وضعيت GPO براي كنترل اينكه كدام گره در GPO فعال يا غير فعال است.
    ايجاد WMI فيلترينگ و لينك دادن آن به GPO ها .(WIM فيلترينگ مكانيزمي است كه باعث مي شود مديران به صورت اتوماتيك محدوده GPO ها را بر اساس ويژگي هاي كامپيوتر هدف تعيين كنند. اين قابليت بصورت چشم گيري شرايط فيلترينگ GPO را بسيار امن تر نسبت به امنيت ايجاد شده بوسيله ي مكانيزم فيلترينگ پيشين فراهم مي آورد)
    مديريت Security filtering در GPO ، بصورت پيش فرض GPO به تمامي يوزرها و كامپيوتر هاي موجود در سايتي كه GPO به آن لينك داده شده اعمال مي شود . با اين حال مي توان با استفاده از قابليت Security filtering در GPO و اصلاح permission هاي يك GPO تعيين كنيم كه كه تنها بر كاربران ويژه و يا اعضاي يك گروه امنيتي اثر گذار باشد .

توجه : براي كسب اطلاع از شيوه ي كار WMI filters و Security filtering به مقاله مهندس قرباوي در اين خصوص مراجعه كنيد.

    امنيت اجرايي و مديريت واگذاري اختيارات كه به بواسطه آن مي توان براي كاربران يك سري دسترسي ها و اختيارات براي انجام يك سري امور خاص در محدوده اي كه آن كاربر ممكن است به آن دسترسي نداشته باشد ، در نظر گرفت .
    مديريت و ساماندهي پردازش هاي روي Container ها كه با GPO link هاي چند گانه صورت مي گيرند.
    نمايش كليه ي تنظيمات انجام شده براي Group Policy هاي موجود و ساير اطلاعات اضافي ديگر از قبيل Revision number ها ،filtering ، واگذاري اختيارات و گرفتن گزارش از تنظيمات .
    چك كردن وضعيت همسان سازي و Replication زيرساخت هاي GPO
    ايجاد گزارشهاي HTML كه به طور خلاصه به بيان گزارش پياده سازي و تنظيمات Group Policy مي پردازند.
    اجراي يك ويزارد مدلسازي براي تشخيص اينكه چگونه Group Policy بايد به يوزرها و كامپيوتر ها و نيز Container هاي خاص اعمال شود.
    اجراي يك ويزارد نمايش نتايج براي بررسي اينكه Policy ها چگونه به كامپيوتر هاي خاص و User Object ها اعمال شده اند.
    Import كردن Group Policy از دومين هاي خارجي و Migrate كردن تنظيمات امنيتي با استفاده از جدول مربوط به Migration براي اطمينان از مناسب و صحيح بودن مسير Import .(به كمك عمليات Import مي توان تنظيمات را از يك GPO به GPOاي ديگر در همان دومين و يا به GPO اي در دوميني ديگر در يك Forest مشترك و نيز به GPO اي در يك دومين در Forest اي غير مشترك انتقال داد. همچنين براي كپي و يا Import كردن يك GPO از يك دومين به ديگري از Migration table استفاده مي كنيم. migration table جدول ساده ايست كه مسير مبدا و مقصد copy يا import تنظيمات GPO را مشخص مي كند )


Group Policy Object Editor
The Group Policy Object Editor يا GPOE ابزاريست كه براي Edit كردن Policy هاي كامپيوتر و يوزر هاي گروه لوكال استفاده مي شود . به صورت پيش فرض هر سرور و هر كامپيوتر Workstation اي يك local security policy دارد. كنسول مديريتي Local Security Policy بصورت Shortcut در فولدر Administrative Tools قابل مشاهده و دسترسي است:
Image

در حال حاضر ويندوز هاي ويستا ، ويندوز سرور 2008 و ساير ويندوزهاي منتشر شده ي اخير از Local Group Policy هاي چند گانه نيز پشتيباني مي كنند.بنابراين GPOE بايد براي ايجاد و مديريت هر local group policy غير از پيش فرض مورد استفاده قرارگيرد.GPOE براي ويرايش تمامي تنظيمات و پيكربندي هاي يك Policy مورد استفاد قرار مي گيرد كه پيكربندي Security Setting،Installation Software & Packages و ايجاد Restriction Policy ها و تعريف اسكريپت مورد استفاده ي يوزرها و كامپيوتر ها و بسياري ديگر از اين قبيل قابليت ها را شامل مي شود.

Group Policy Management Editor
براي مديريت دومين Group Policy ها ازGroup Policy Management Editor يا GPME استفاده مي شود كه تمامي قابليت هاي GPOE را به علاوه ي يكسري قابليت هاي اضافي ديگر را كه تنها با استفاده از اين ابراز مسير است ، در اختيارمان قرار مي دهد. يكي از بزرگترين تفاوت هاي GPOE با GPME در اين است كه GPME نه تنها گره ي Policy Settings را در بر دارد بلكه در بردارنده ي گره ي preferences setting كه تنها در سطح دومين ها در دسترس است ، نيز مي باشد. GPME روي ويندور هاي ويستا و ويندوزهاي بعدي ديگر بواسطه دانلود ونصب ابزارهاي RSAT يا (Remote Server Management Tool) براي هر سرويس پك خاص يك سيستم عامل ، نصب مي شود. در ويندوز سرور هاي 2008 و 2008 R2 و 2012 ابزارهاي Group Policy را با استفاده از اپلت Add Features موجود در Server Manager مي توان نصب كرد.

Group Policy Starter GPO Editor
در Group Policy ويندوز سرور 2008 يك Container جديد بنام "Starter GPOs " در نسخه دوم كنسول مديريتيGroup Policy ايجاد شد كه مي توان اين نسخه را به صورت مجزا براي ويندوز ويستا سرويس پك يك نيز دانلود كرد. Starter GPOs تمامي Template ها را براي ايجاد يك GPO جديد، در خود نگه مي دارد. بنابراين براي سهولت و افزايش سرعت در ايجاد GPO هايي با پيكربندي يكسان قادر خواهيم بود از Starter GPO به عنوان يك الگو استفاده كنيم.
Starter GPO Editor براي ويرايش Starter GPO هايي كه توسط ادمين هاي Group Policy ايجاد مي شوند ، استفاده مي شود. اين كنسول تنها گره هاي Administrative templates را بعنوان زير مجموعه ي بخشهاي User/Computer Configuration نمايش مي دهد . به صورت پيش فرض تنظيمات موجود در Administrative Templates همان تنظيماتي هستند كه در Starter GPO ايجاد شده اند. در ويندوز سرور 2012 نيزGroup policy starter GPO در ابزار RSAT گنجانده شده است.
Image

حال كه در اين بخش از مقاله از Administrative Template ها نام برديم ارائه توضيحي مختصر در رابطه با Administrative template فايل ها نيز خالي از لطف نيست:

Template فايل هاي اجرايي در Group policy
Administrative template ها مستقيما تنظيمات بسياري از محصولات و سرويسهاي مختلف را ارائه مي دهند.بعنوان مثال Desktop ، Event Log ها ، Power ، Printing و Windows Remote Management تنها تعداد محدودي از template هاي اجرايي شناخته شده هستند كه امكانات اجرايي و كنترل را براي ما فراهم مي آورند .Administrative template ها در قالب فايل هاي متني با پسوند .ADM يا .ADMX تعريف شده اند. ADM Template فايلها تنظيمات مديريتي هستند كه مي توانند ابزارهاي Group Policy را پيكربندي كنند . وقتي كه يك Group Policy Object جديد ايجاد مي شود ، بصورت پيش فرض دو ADM فايل به نام هاي Inters.adm يا Internet Explorer Setting و System.admيا Windows operating system component settings بارگذاري مي شوند. ADM template ها در بخش %SystemRoot%Inf folder موجود در ويندوز گنجانده شده اند.Administrative template هاي Group Policy در ويندوزهاي سرور 2000و 2003و ويندوز XP از نوع ADM هستند و تنها پنج Admin templates به نامهاي Conf.adm، Inetres.adm، System.adm Wmplayer.admو Wuau.adm. براي آنها موجود است .اما در ويندوزهاي سرور 2008 و 2008R2 و2012 و ويندوزهاي 7 و 8 از نوع جديدي ازAdministrative template ها كه مبتي بر XML بوده با پسوند ADMX و ADML(براي الگو هاي خاص يك زبان) بهره گرفته شده و تعداد آنها به ميزان قابل توجهي نسبت به نسخه هاي قبلي ويندوز افزايش يافته است.

Print Management Console
اين كنسول براي اولين بار در ويندوز سرور 2003 R2 معرفي شد . كنسول مديريت چاپ يا همان Print management Console براي مديريت Printer هاي اكتيو دايركتوري و سرورهاي Local و ايستگاه هاي كاري استفاده مي شود . از اين كنسول براي مشاهده ي تنظيمات ، پيكربندي درايور ها و آپشن ها ، مديريت Printer ها و Print job ها ي موجود روي يك سيستم خاص و يا يك اكتيو دايركتوري استفاده مي شود . از كنسول Print Management مي توانيم جهت Deploy كردن پرينترها براي كامپيوترها و يوزرهايي كه از گره ي Deployed Printers استفاده مي كنند ، بهره بگيريم . Deploying Printers بواسطه قابليت موجود در Group Policy شرايطي را فراهم مي كند كه Printerها براي مجموعه اي از پيش تعيين شده از كاربران و يا Computer Object هايي كه يك GPO به آنها لينك داده شده است ، deploy شوند.

Image


در GPOE و GPME نسخه هاي مختلف ويندوز ويستا و ويندوزهاي پس از آن ، گره ي Deployed Printers به عنوان زير گره ي Windows settings موجود در بخشهاي User/Computer Configuration تعريف شده بود . اما در سري ويندوز سرور هاي 2008 كنسول Print Management بايد بواسطه ي بخش Features موجود در ُServer Manager نصب شود .در ويندوز سرور 2012 نيز براي نصب كنسول Print Management در اپلت Add Features موجود در Server Manager گزينه ي Print & Document Services Tools را از زير منوي Remote Administration Tools انتخاب مي كنيم .


دستورات ابزار Gpupadate.exe
ابزار gpupdate.exe يك ابزار Command-line است كه به كاربران ادمين كمك مي كند تا به عيب يابي پردازشهاي يك GPO و يا شروع يك پردازش GPO بر حسب درخواستها بپردازند. فقط بخشي از تنظيمات Group Policy بهنگام logon كردن يك يوزر و يا از Startup كامپيوتر به آنها اعمال مي شوند در حاليكه باقي تنظيمات انجام شده پس از طي يك بازه زماني و يا پس از گذشت يك زمان تناوبي در نظر گرفته شده براي Refresh ، اجرا خواهند شد. براي تنظيماتي كه از طريق logon كردن كاربر و يا به هنگام راه اندازي يك كامپيوتر apply مي شوند ، در صورتيكه در طول اين بازه، ارتباطات شبكه اي با دومين كنترلر ها دچار اختلال شوند ، اين تنظيمات ممكن است هرگز در دسترس كامپيوتر ها و يوزرها قرار گرفته نشود. همچنين ايستگاههاي كاري كه بصورت ريموت با دومين كنترلر ارتباط برقرار مي كنند و سيستم هايي كه Sleep يا Hibernate مانده اند و نيز كاربراني كه با يوزرهاي كش شده login مي كنند ، معمولا قادر به دريافت Policy هاي اعمال شده نخواهند بود. اينجا است كه سرويس Network Location Awareness وارد عمل مي شود. اين سرويس تشخيص مي دهد كه دومين كنترلر در دسترس بوده و بازه ي در نظر گرفته شده براي Refresh را راه اندازي مي كند.ابزار gpupdate.exe كمك مي كند تا بتوانيم Policy هاي مربوط به كاربران و كامپيوتر ها را در لحظه اعمال كنيم . يكي از رايج ترين نوع استفاده از اين ابزار نوشتن اسكريپت و ارسال آن از طريق ارتباطات اين نام مجاز نمي باشد به ايستگاههاي كاري ريموت است تا تنظيمات Group Policy را به آنها اعمال كند .اين ابزار آپشنهاي ذكر شده ي زير را در بردارد :

    gpupdate.exe /Target : {Computer | user : بواسطه اين آپشن پردازش و اجراي تنظيمات براي كامپيوتر و يا يوزر مشخص شده انجام مي شود.
    gpupdate.exe /Force:اين آپشن به اعمال مجدد تنظيمات Policy پرداخته و موجب Reboot كامپيوتر و Log off يوزر به صورت خودكار نخواهد شد.
    gpupdate.exe /Wait : اين آپشن تعيين مي كند كه چند ثانيه زمان مي برد تا پردازش GPO به اتمام برسد . به صورت پيش فرض زمان تعيين شده 600 ثانيه و يا 10 دقيقه مي باشد. در اينجا در نظر گرفتن عدد 0 به معني عدم صرف وقت و -1 به معني صرف زمان به طور نامحدود مي باشد.
    gpupdate.exe /Logoff : اين آپشن پس از تكميل پردازش GPO موجب Log off شدن يوزرها مي شود و معمولا براي اجراي Policy هايي همچون تنظيمات مربوط به software installation و folder restriction كه با Refresh شدن ، apply نمي شوند و براي اعمال نياز به log on كردن يوزرها دارند، در سمت كلاينت ها استفاده مي شود.
    gpupdate.exe /Boot : اين آپشن پس از اتمام پردازش Group Policy سيستم را reboot مي كند. اين امكان براي زماني كاربرد دارد كه كامپيوتر براي دريافت Policy هاي در نظر گرفته شده بايد مجددا راه اندازي و بوت شود .مثل اعمال تنظيمات مربوط به software installation.
    gpupdate.exe /Sync : آپشن sync معمولا پردازش و اعمال تنظيماتي از GPO را كه از طريق start up كامپيوتر ها و log on كردن يوزرها پذيرش و اجرا مي شوند را به عهده دارد كه به اين گونه از تنظيمات foreground Policy مي گويند. اين آپشن مستلزم اين است كه ادمين تعيين كند كه كامپيوتر restart و يوزر log off شود.
    Ggpupdate.exe/؟ استفاده از اين آپشن بخش help ابزارgpupdate را در Command prompt نشان مي دهد .




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

همانطور كه مي دانيد در شبكه هايي كه تعداد كلاينت هاي آنها نسبتا بالا است ديگر از سيستم آدرس دهي دستي IP استفاده نمي كنيم ، در اينجاست كه سرويسي به نام Dynamic Host Configuration Protocol يا همان DHCP كار آدرس دهي و انجام تنظيمات TCP/IP شما را انجام مي دهد.با استفاده از اين سرويس شما مي توانيد كليه تنظيمات و پيكربندي هاي مرتبط با پروتكل TCP/IP را بر روي كلاينت خود انجام دهيد ، بر خلاف عده اي كه تصور مي كنند كار DHCP فقط آدرسي دهي به كلاينت ها است بايستي ذكر كنيم كه DHCP يه معناي پروتكل انجام پيكربندي هاي كامپيوترهاي كلاينت بصورت پويا مي باشد و اين بدني معناست كه خيلي از كارها وجود دارد كه شما حتي تصور نمي كنيد كه بتوانيد از طريق سرويس DHCP انجام دهيد. ساده ترين كارهايي كه در سرويس DHCP مي توان انجام داده يكپارچه كردن اين سرويس با ساختار اكتيودايركتوري و همكاري نزديك با سرويس DNS است ، با استفاده از همين سرويس DHCP شما مي توانيد مزاحمين را در شبكه شناسايي كنيد و جلوي فعاليت آنها را بگيريد. در اين مقاله مي خواهيم شما را با مفاهيم Option Class ها و اينكه چه زماني بايد چه نوع Option Class اي ايجاد كرد آشنا كنيم.

DHCP options يا امكانات DHCP چيست ؟

هر گونه تنظيماتي كه شما از طريق DHCP به كلاينت هاي خود اعمال مي كنيد به شكلي از Option ها يا امكانات موجود در DHCP هستند. برخي از اين امكانات صرفا براي سيستم عامل هاي مايكروسافتي وجود دارند و برخي ديگر براي استفاده و يا هماهنگي بين DHCP و ساير دستگاه ها يا تجهيزات مورد استفاده قرار مي گيرند. بيش از 70 نوع امكانات مختلف در DHCP وجود دارد كه شما به عنوان مدير شبكه شايد اسم آنها را هم نشنيده باشيد و صرفا برخي اوقات بر حسب شرايط با آنها آشنايي پيدا كرده باشيد. براي مثال و درك بهتر شما از Option هاي DHCP مي توانيم بگوييم كه ساده ترين Option هايي كه شما در هنگام ايجاد يك Scope در DHCP ايجاد مي كنيد تنظيمات مربوط به آدرس IP كلاينت ها ، آدرس DNS سرور ، آدرس WINS سرور و آدرس Default Gateway هستند. هر يك از اينها به عنوان يك Option در DHCP معرفي مي شوند كه شما مي توانيد از قسمت هاي Scope Options يا Server Options آنها را مشاهده و يا تغيير دهيد.

DHCP Options چيست


هدف ما در اينجا معرفي هر 70 و اندي Option موجود در سرويس DHCP نيست بلكه مي خواهيم به موارد كلي تر اين موضوع اشاره كنيم. ممكن است برخي از اين Option ها را در طول زندگي تخصصي خود حتي نگاه هم نكنيد اما اگر سري به قسمت Configure Options در كنسول DHCP بزنيد و به تب Advanced برويد به غير از Option هاي موجود دو قسمت است كه به چشم مي آيد ، يكي به نام Vendor Class و ديگري به عنوان User Class شناخته مي شوند كه با اينكه چندان توجهي به اين موارد در DHCP نمي شود اما بسيار مي توانند كاربردي باشند. در اين مطلب بصورت ويژه به اين دو موضوع خواهيم پرداخت.

كاربرد Vendor Class و User Class در DHCP


Option Class ها در DHCP در واقع روش هاي اضافه بر سازماني هستند كه سرويس DHCP به شما ارائه مي دهد تا بتوانيد پيكربندي هاي تنظيمات هاي خود را در يك scope براي كلاينت ها گروه بندي كنيد. به زبان ساده تر اين Option Class ها روشي براي گروه بندي كلاينت ها بر اساس تنظيمات دلخواهي است كه شما مي خواهيد بر روي آنها داشته باشيد. در DHCP همانطور كه گفتيم دو نوع Option Class وجود دارد كه به ترتيب User Class و Vendor Class مي باشند. با استفاده از User Class شما مي توانيد كلاينت هايي را كه مي خواهيد از يك سري تنظيمات مشترك استفاده كنند و تنظيمات خاصي از DHCP دريافت كنند را مشخص كنيد. در Vendor Class همانطور كه از نامش پيداست همان تنظيمات دلخواه بر روي كلاينت ها را انجام مي دهيد با اين تفاوت كه در اينجا كلاينت هايي كه تنظيمات را دريافت مي كنند با يكديگر از نظر ساختاري داراي يك سري وجه تشابه هستند ، مثلا سيستم عامل نسخه خاصي را استفاده مي كنند. براي اينكه اطلاعات بيشتري در اين خصوص داشته باشيد به ادامه مطلب توجه كنيد.

مديريت User Class ها در DHCP Options

با استفاده از گزينه User Class شما مي توانيد كلاينت هاي خود را بر اساس تنظيمات مورد دلخواه خودتان گروه بندي كنيد. منظور از User در اينجا User هاي موجود در اكتيودايركتوري شما نمي باشد بلكه يك گروه بندي مد نظر شما مي باشد كه براي پيگربندي درست و گروه بندي كاربران و كامپيوترها انجام مي دهيد. براي اينكه بتواند كلاينت شما وارد يك User Class شود يك User Class ID در DHCP سرور تعريف مي شود كه كلاينت بتواند به عضويت آن در بيايد . براي مثال ممكن است شما يك سري كاربر و كامپيوتر موبايل در سازمان داشته باشيد كه بخواهيد آنها را در يك گروه از پيكربندي هاي شبكه قرار بدهيد كه با استفاده از User Class ID اينكار امكانپذير مي شود. شما زماني از User Class استفاده مي كنيد كه بخواهيد تنظيمات خاصي را براي گروه خاصي از كامپيوترها انجام دهيد ، مثلا مي خواهيد گروهي از كامپيوترهاي پرتابلي كه به شبكه وارد مي شوند به عضويت يك User Class در بيايند و اين گروه زمانيكه درخواست IP به DHCP مي دهد زماني Lease Duration آن نسبت به كلاينت هاي معمولي شبكه كمتر باشد. زمانيكه شما هيچگونه User Class اي براي كلاينت هاي خود تعريف نكنيد سرويس DHCP بصورت خودكار تنظيمات پيشفرض را ارائه خواهد داد. فرآيند زير در زمانيكه كلاينت درخواست دريافت آدرس IP به سرور مي دهد انجام مي شود :

    ابتدا درخواستي كه از طرف كلاينت به سمت سرور ارسال مي شود توسط سرور بررسي مي شود كه آيا Class ID اي مرتبط به Class ID اي كه كلاينت درخواست داده است در سرور وجود دارد يا خير.
    اگر چنين Class ID اي بر روي سرور تعريف شده بود و تنظيماتي نيز بر روي آن انجام شده بود قابليت Class Based Assignment يا صادر كردن تنظيمات با توجه به Class تعريف شده فعال مي شود. براي ساير User Class ها شما بايستي ابتدا User Class مورد نظر را در سرور اضافه و پيكربندي كنيد تاب بتوان از آن استفاده كرد.
    اگر User Class شناسايي شد ، سپس سرور بررسي مي كند كه آيا براي كلاينت مورد نظر در Option ها تنظيمات خاصي مانند Reservation انجام شده است يا خير.
    اگر تنظيماتي در User Class هاي در قسمت Reservation انجام شده باشد اين تنظيمات بر تنظيمات سرور اولويت پيدا مي كند در غير اينصورت تنظيمات User Class هايي كه بر روي Option هاي سرور انجام مي شود اعمال خواهد شد. اين عمليات طي فرآيند DHCPACK انجام مي شود.


كاربرد User Class در DHCP


    نكته : قبل از اينكه بتوانيد از قابليت هاي User Class استفاده كنيد بايستي بر روي DHCP Client هاي خود از دستور ipconfig /setclassid براي تعيين كردن Class ID تعريف شده بر روي سرور استفاده كنيد. توجه كنيد كه يكي از مهمترين موارد كاربرد User Class ها در DHCP اين است كه شما مي توانيد كلاينت هاي خود را بر حسب مثلا طبقه هاي يك ساختمات طبقه بندي كنيد و بر فرض مثال براي آنها تعيين كنيد كه كلاينت هايي كه در طبقه چهارم هستند از اين آدرس Gateway و DNS استفاده كنند و اين در حالي باشد كه كلاينت هاي طبقه اول از آدرسهاي متفاوتي استفاده مي كنند.


    نكته : زمانيكه شما در DHCP سرور User Class ها را تعريف مي كنيد ، مطمئن شويد كه كه User Class ID اي كه در سمت سرور و سمت كلاينت تعريف مي شوند هر دو داراي يك كد ASCII مشترك باشند زيرا تعريف شدن اين Class ها تنها با استفاده از كدهاي ASCII امكانپذير است. توجه كنيد كه هر كارت شبكه اي كه در شبكه وجود داشته باشد صرفا از يك عدد Class ID مي تواند استفاده كند و چند Class ID را نمي تواند براي يك كارت شبكه تعريف كرد.


مديريت Vendor Class ها در DHCP Options

با استفاده از گزينه Vendor Class همانطور كه از نامش پيداست شما مي توانيد گروه بندي هاي مد نظر خودتان را بر اساس نوع Vendor مورد استفاده توسط كلاينت ها تعريف كنيد. براي اينكه يك كلاينت بتواند عضويت خود در يك Vendor Class را متوجه شود ، براي كلاينت ها يك مقدار به عنوان Vendor Class Identifier در سرور تعريف مي شود و زمانيكه كلاينت درخواست خود را به سرور مي دهد اين مقدار باعث عضويت كلاينت در گروه مد نظر مي شود. اطلاعات موجود در Vendor Class Identifier در واقع يك رشته از كاراكترهاست كه توسط DHCP سرور تعيين مي شوند. مايكروسافت شناسايي Vendor هايي مثل ويندوز XP و ويندوز ويستا را پشتيباني مي كند. ساير Vendor هاي موجود را بايستي بصورت دستي براي اين سيستم تعريف كرد. DHCP سرورهايي كه بر روي ويندوز سرور 2008 راه اندازي مي شوند از Vendor Class ID ها پشتيباني مي كنند و اين DHCP سرور بعد از تعريف شدن Vendor Class ها ، بعد از دريافت درخواست IP از طرف كلاينت ها يك سري تنظيمات علاوه بر سازمان نيز براي درخواست ها انجام مي دهد كه به شرح زير مي باشد :

    ابتدا سرور بررسي مي كند كه آيا اين Vendor Class درخواست داده شده توسط كلاينت در سرور قبلا تعريف شده است يا خير. توجه كنيد كه همانطور كه قبلا هم اشاره شد مايكروسافت بصورت پيشفرض Vendor هاي تعريف شده خود را شناسايي مي كند و ساير Vendor ها بايستي بصورت دستي برايش تعريف شوند.
    بعد از اينكه DHCP سرور از وجود چنين Vendor Class اي در سرور اطمينان حاصل كرد سپس بررسي مي كند كه آيا براي اين كلاينت خاص تمهيداتي مقل Reservation انجام شده است يا خير ، در صورتيكه انجام شده باشد ابتدا بايستي Option هاي موجود در Reservation بررسي شوند كه اولويت بالاتري نسبت به ساير Option ها دارند.
    در نهايت اگر Reservation هم از وجود Vendor Class ذكر شده مطمئن شد درخواست كلاينت را با استفاده از پيكربندي هايي كه بر روي Vendor Specific Information انجام شده است در قالب بسته DHCP ACK به كلاينت مورد نظر با آدرس IP مد نظر برگشت مي دهد.


كاربرد Vendor Class در DHCP


    نكته : همانند User Class Option در Vendor Class Option هم توجه كنيد كه مقاديري كه در سرور تعريف مي شوند بايستي مشابه مواردي باشند كه در كلاينت تعريف مي شوند.




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

يكي از مسائل مهمي كه در هر سازماني يا شركتي بايد در نظر گرفته شود ، نحوه ي محافظت از منابع اطلاعاتي است و يكي از مواردي كه هر ادمين شبكه اي با آن مواجه مي شود ، تلاش بر اين است كه منابع آن سازمان يا شركت براي افراد غير مجاز،قابل دسترس نباشد.خوب اين يك روي سكه است، روي مخالف سكه كه به اندازه روي قبلي آن اهميت دارد اين است كه افراد مجاز به راحتي بتوانند به منابع شبكه آن سازمان يا شركت دسترسي پيدا كنند. در سازمانها يا شركتهاي كوچك اين مسئله و نگراني اصلا وجود ندارد چون در سازمانهاي كوچك چندين دومين به ندرت در كنار هم قرار گرفته اند.خوب با در نظر گرفتن مسئله امنيت در همچنين مواقع ، ادمين ها نيازمند ابزاري براي مديريت اين دسترسي ها در Forest ها ،يا در ميان چندين دومين مي باشند.

امكاني كه وظيفه ي فوق را به خوبي انجام مي دهد و از پس آن نيز بر مي آيد Active Directory Domains and Trusts مي باشد.با استفاده از اين امكان مديران شبكه مي توانند بين دومين هاي متفاوت ارتباط برقرار كنند كه اين ارتباط به كاربران يك دومين ( مثلا دومين A )اجازه استفاده از منابع دومين ديگري ( مثلا دومين B ) را ، بدون آنكه آن كاربر به عضويت آن دومين ( دومين B ) در بياد استفاده كند .خوب با استفاده از اين امكان ،ادمينهاي شبكه مي توانند اين اطمينان خاطر را داشته باشند كه كاربران در دومين هاي مختلف بدون اينكه در آن دومينها داراي اكانتي باشند،از منابع آنها استفاده كنند.در اين ميان و براي شروع ، اين دو واژه را به خاطر داشته باشيد :

    Trust يعني مسيرمنطقي احراز هويتي كه بين دو دومين وجود دارد. ( به كلام ديگر اعتماد بين دومين ها براي برقراري ارتباط)
    Trust Path تعداد Trust هايي مي باشد كه بايد بين منابع مقصد و مبدا متقاضي طي شود.( به كلام ديگر مسير اعتماد بين دومين ها )


خوب همانطور كه از نام آن بر مي آيد، Trust در اينجا در بردارند ه ي مفهوم ايجاد اعتماد براي اشتراك گذاري اطلاعات مي باشد. پس از نظر امنيتي،شما بايد قبل از ايجاد Trust ، بررسي هاي لازمه را انجام دهيد و به خوبي بدانيد كه كدام نوع Trust را مي خواهيد پياده سازي كنيد.در ادامه خواهيد ديد كه Trust انواع مختلفي دارد كه ادمينهاي شبكه متناسب با نوع نياز و دسترسي هايي كه لازم است داشته باشند اقدام به پياده سازي Trust مي كنند.همواره مراقب باشيد كه در صورت اعمال تنظيمات نادرست،كاربران خارجي غيرمجاز به اطلاعات و منابع داخلي شما دسترسي پيدا خواهند كرد.Trustمانند يك خيابان است كه مستقيما شما را به منابع داخلي Forest هدايت مي كند.اين درست مانند زماني است كه شما كليد خانه خودتان را به شخصي بدهيد و اميدواريد كه آن شخص اعتماد شما را سلب نكند. همه دومين كنترلرها فرآيند احراز هويت را انجام ميدهند اما همه ي آنها لزوما به يكديگر اعتماد يا Trust ندارند ! اينجا جايي است كه شما وارد عمل مي شويد و روابط ميان دومين كنترلر ها را تعريف و مشخص مي كنيد.

اصلي ترين ويژگي هاي ساختار Trust

Trust ها بصورت كلي دو ويژگي اصلي دارند كه به ترتيب جهت اعتماد يا Trust Direction است و ديگري انتقال پذيري اعتماد ياTrust Transitivity است.

    Direction يا جهت : يك Trust، از سمت دوميني كه اعتماد مي كند به سمت دوميني كه به آن اعتماد شده است برقرار مي شود . Direction در واقع بيانگر جهت اعتماد است. دومين Abadan به دومين Ahwaz اطمينان دارد.خوب جهت دسترسي ( Access ) هميشه در خلاف Direction است، يعني دومين Ahwaz به منابع دومين Abadan دسترسي دارد كه البته اين منطقي است ( چون شما به شخص مهندس قرباوي اعتماد داريد كليد خانه خودتان را به آن مي دهيد ، پس اين شخص مهندس قرباوي است كه به وسايل خانه شما دسترسي دارد :D ) . فراموش نكنيد كه اين شكل نمونه اي از يك Trust يك طرفه است. همينطور دومين Ahwaz به دومين Tehran اعتماد دارد اما Abadan به Tehran اعتماد ندارد. مي توان Trust را هم با Directionو جهت يك طرفه ( One-way ) ايجاد كنيد و هم با Direction و جهت دو طرفه ( bidirectional ). در One-way Trust يا اعتماد يك طرفه شما مي توانيد در دسترسي منابع يكي از طرفين Trust به ديگري محدوديتهايي ايجاد كنيد. همينطور در صورت تمايل مي توانيد از دو Trust يك طرفه ، براي بهره گيري از يك Trust دوطرفه استفاده كنيد. ( اصلا تابلو نبود كه نويسنده آباداني هست D: )


    Transitivity يا انتقال پذيري : ويژگي مهم بعدي Transitivity است.Transitive Trust با مثالي به شما دوستان معرفي مي كنم:فرض كنيد دو Treeكه Parentهاي آنها به نامهاي Domain A وDomain B داريم كه هر كدام از اينها داراي زيرمجموعه اي از دومينها مي باشند.حال مي خواهيم بين اين دو Tree رابطه Transitive Trust برقرار كنيد.با تعريف Transitive Trust بين Domain A و Domain B علاوه بر اينكه اين دو دومين به يكديگر Trust مي كنند،بين كليه دومين هاي زيرمجموعه Domain A و Domain B نيز رابطه Transitive Trust ايجاد مي شود و همينطور بين كليه دومينهاي زيرمجموعه Domain B و Domain A . به عبارت ديگر زمانيكه شما بين دو دومين رابطه Transitive Trust ايجاد ميكنيد،كليه دومين هايي كه به دومين اعتماد كننده نيز اعتماد دارند،به منابع دوميني كه به آن اعتماد شده است دسترسي پيدا خواهند كرد(يعني داشتن يك اعتماد متقابل).در واقع Transitive Trust شاه كليد دسترسي هاست .زمانيكه Domain A به Domain Bاعتماد مي كند، به تمامي Child Domain هاي Domain Bنيزاعتماد كرده است . خوب حال اگر به هر دليلي Domain A نخواهد به يكي از Child Domain هاي Domain B اعتماد كند،مي تواند با اعمال محدوديتها يا بلاك كردن دسترسي هايي مانع از دسترسي آن Child Domain به منابع Domain A شود. اگر بخواهيم همين مورد را با استفاده از مثال بالا انجام دهيم فرض كنيد من كليد خانه را به (مثلا ) استيوجابز مرحوم داده ام و به وي اعتماد دارم ، حال استيوجابز كليد را به شخص ديگري كه به وي اعتماد دارد مي دهد تا بتواند وارد خانه ما شود ، به دليل اينكه من به استيوجابز اعتماد دارم به دوست وي نيز اعتماد دارم به اين روش اعتماد Transitive Trust مي گويند. اما در non-transitive Trust بدين صورت نيست و تنها دومين اعتماد كننده به منابع دومين اعتماد شونده دسترسي دارد.


نكته: به خاطر داشته باشيد كه به صورت پيشفرض در ويندوز سرور 2008،رابطه هاي Trust به صورت دوستانه هستند. به صورت پيشفرض دو Trust متداول در اكتيودايركتوري ،يعني Trust هاي Parent and Child و Tree-root به صورت دو طرفه و transitive مي باشند.اين بدان معني است كه Trust Path در سرتاسر Forest گسترش پيدا كرده است. همينطور به محض ايجاد اكتيودايركتوري ، اين دو Trust ايجاد مي شوند.

براي درك بهتر مفهوم Trust هاي دو طرفه و Transitive ، بزرگي از اين جمله استفاده مي كند كه "هر كدام از دوستان تو،دوست من نيز هستند". با توجه به مفهوم Trust ها دوطرفه و Transitive كه در بالا توضيح داديم، اين يعني زمانيكه Parent دو مجموعه دومين به يكديگر اعتماد ( Transitive and bidirectional Trust ) داشته باشند و دوست باشند، كليه زير مجموعه هاي آنان نيز به يكديگر Trust داشته يا دوست هستند. در ويندوز سرور 2008 انواع ديگري از Trust وجود دارد كه در ادامه به معرفي و توضيح هر كدام خواهم پرداخت ،اما چيزي كه در اين ميان حائز اهميت است،اين است كه قبل از تعريف و ايجاد Trust ،شمايي از Forest و دومين ها و دومين كنترلرهاي داخل آن را بر روي كاغذي براي خود رسم كنيد و سپس مشخص كنيد كه مي خواهيد بين هر ِDomain يا Forest چه روابطي وجود داشته باشد و كدام دومينها و كاربران هستند كه بايد به منابع كدام دومينها يا ّForset هاي ديگر دسترسي داشته باشند.سپس متناسب با اين روابط و دسترسي ها ،اقدام به تعريف و ايجاد Trust با انواع متناسب با آن دسترسي ها كنيد. زمانيكه متناسب با نيازتان ،اقدام به تعريف هر كدام از انواع Trust كرديد، از لحاظ امنيتي براي شما بهتر است كه پسوردهايي كه تعريف ميكنيد طولاني،تصادفي و پسوردهاي پيچيده ( Complex ) اي باشند.بهترين راه اين است كه از آپشن New Trust Wizard استفاده كنيد تا در هر دو طرف Trust ،پسوردهاي قوي براي شما تعريف كند.

مفاهيم Implicit و Explicit در Trust ها

دو option ديگري كه در رابطه با Trust ها بايد با آنها آشنايي داشته باشيد،مفاهيم Implicit و Explicitهستند.Implicit Trust، تراست هايي هستند كه به صورت اتوماتيك و پيش فرض بين دومينها در Forest ايجاد مي شود .به عنوان مثال Implicit Trust بين هر دومين Parent و Child اش و همچنين Root Domain هاي هر فارست وجود دارد. اما Explicit Trust، تراستي است كه توسط Administrator ايجاد مي شود.اين Trust به صورت اتوماتيك وجود ندارد اما بايد با صراحت ايجاد شود. به عنوان مثال Administrator يك Explicit Trustبين Child Domain هاي Domain Treeها ، براي ايجاد روابط مستقيم و احراز هويت هاي سريعتر ، به صراحت ايجاد مي كند. درواقع اين نوع Trust ،Trust اي است كه بايد تعريف و ايجاد شود تا بتوان از قابليتهايي كه در مفهوم Trust در اختيارمان قرار مي دهد استفاده كنيم .اين Trust در نقطه مقابل Trust هايي كه به صورت اتوماتيك و پيشفرض ايجاد و تعريف شده اند قرار مي گيرد.


با توجه به اينكه بين ريشه هاي دو فارست 2و3 ،رابطه Trust دوطرفه وجود دارد ، پس بين كليه Domain هاي موجود در اين Forest ها ، Trust برقرار خواهد شد پس Implicit Trust نيز با ايجاد Transitive Two-Way Trust نيز ايجاد مي شود.اما چون بين دوForest شماره 1و3 هيچ رابطه ي Trust اي ايجاد نشده است ، پس Implicit Trust ي نيز وجود نخواهد داشت.

تا اينجاي مقاله بايد متوجه شده باشيد كه يكي از مزاياي اصلي روابط Trust در اكتيودايركتوري اين است كه ادمينهاي شبكه ديگر نيازي به ايجاد Multiple User Accounts ها كه به منابع همه دومينها دسترسي داشته باشند ، نخواهند داشت.حال ادمينهاي شبكه تنها بايد براي خود يك ليست كنترل دسترسي ( ACL ) براي كنترل دسترسي ها ي User هاي دومينهاي ديگر به منابع خودشان ايجاد كنند.براي بهره بردن از همه ي مزاياي Trust ها ،ادمينهاي شبكه بايد با انواع تراستهايي كه وجود دارد آشنا باشند و به خوبي بدانند كه در چه زماني بايد از كدام تراست استفاده كرد. از اينرو در ادامه به معرفي انواع تراست ها خواهم پرداخت.

انواع Trust

به صورت كلي 5 نوع Trust وجود دارد:

    Default Trusts يا اعتمادهاي پيشفرض
    Forest Trusts يا اعتمادهاي در سطح Forest
    Shortcut Trusts يا اعتمادهاي ميانبر
    Realm Trusts يا اعتمادهاي قلمرويي
    External Trusts يا اعتماد هاي خارجي


Default Trusts يا اعتمادهاي پيشفرض
زمانيكه شما ويزارد نصب اكتيودايركتوري را براي ايجاد يك دومين جديد در فارستي كه از قبل وجود داشته است را اجرا ميكنيد،به صورت پيشفرض دو تراست ايجاد شده است: اولين آنها تراست Parent و Child است و بعدي Tree-root Trust. مابقي انواع تراستهايي كه به خدمتتان عرض كردم را مي توانيد با استفاده از New Trust Wizard يا دستورات مشابه آن در Command-lineنيز نصب كنيد. همانطور كه پيش تر از اين گفته بودم ، اين دو تراست به صورت پيش فرض و از قبل توسط مهندسين و كارشناسان محترم شركت مايكروسافت تعريف و ايجاد شده است ، يعني براي شما به عنوان دومين Parent به محض تعريف Child ي براي خودتان ( :D ) بين شما و اين Child محبت و تراست Parent-Child به صورت مادرزادي ايجاد ميشود.در مورد Tree-root Trust هم كه آشكار است،ريشه هاي هر درخت به شاخه هاي خود اطمينان دارد ، چون اين شاخه ها از ريشه ي درخت است كه تغذيه ميشوند پس روابط صلح آميزي در ميان آنها برقرار است .همينطور به صورت پيش فرض در ويندوز سرورهاي 2000،2003،2008 تراستهاي پيش فرض يا Default Trust ها به صورت Transitive و Two-way تعريف شده اند.

با توجه به اينكه تراست Parent and Child نيز يك تراست پيش فرض است پس رابطه تراست Transitive و دوطرفه دارد. اين خصوصيت باعث مي شود در خواستهاي احراز هويتي كه در Child Domain ايجاد مي شوند ، در دومين Parent مورد تاييد قرار گيرند.چون تراستها Transitive هستند، درخواستها به سمت دومين Parent و سپس در راستاي دومين ريشه پيش ميرود تا به namespace domain برسند و مورد بررسي قرار گيرند.خوب اينگونه روابط باعث مي شود كه هر كاربري در صورتي كه Permission هاي لازم را داشته باشد ، بتواند به كليه منابع دومين دسترسي داشته باشد.در Tree-root Trust نيز همين رابطه برقرار است ،يعني كليه Childها درخواستهاي خود را به دومين ريشه يا Root ارسال مي كنند و رفتاري مشابه رفتار تراست هاي Parent and Child نيز دارد.

Forest Trusts يا اعتمادهاي سطح Forest
همانطور كه از اسم آن پيداست ،اين نوع تراست تنها بين دومينهاي ريشه يا Root Domain هاي بين دو فارست ايجاد مي شود. هر دو فارستي كه مي خواهيد بين آنها Forest Trust ايجاد شوند بايد داراي يك سيستم عامل ( يا ويندوز سرور 2003 يا 2008 ) باشند.اين تراستها مي توانند تراستهاي يك طرفه يا دو طرفه باشند.همچنين اين تراستها به صورت Transitive در نظر گرفته مي شوند به اين دليل كه Child Domain هاي درون يك فارست بتوانند براي دسترسي به منابع فارست ديگر ،احراز هويت شوند.

نكته : توجه داشته باشيد كه رابطه Transitivity فقط به Child Domain هاي درون يك فارست اعمال مي شود.اين اصل،زماني كه دو فارست به وسيله Forest Trust با يكديگر ارتباط برقرار كرده اند، وجود دارد. قابليت Transitivity در فارست سومي وجود نخواهد داشت تا زمانيكه يك Explicit Trust ديگر ايجاد شود.

اين نوع تراست به شما در مورد ساختار اكتيودايركتوري كمك مي كند.مديريت منابع بين دو تراست را با كم كردن تعداد External Trust هاي لازم، به صورت ساده مي توان انجام داد.به جاي تعريف كردن Multiple External Trust ، يك Forest Trust دوطرفه بين دو Root Domain ، كنترل كامل به دومينهاي مورد نظر را مي توان اعمال كرد.به علاوه ، Administrator ميتواند از مزاياي پروتكلهاي احراز هويت Kerberos و NTLM براي انتقال داده هاي قابل دسترسي بين دو فارست استفاده كند. در نهايت Forest Trust براي داشتن يك اعتماد يا تراست دو طرفه بين دومينهاي دو فارست مجزا ارائه شده است. همچنين شما مي توانيد Multiple Forest ها را ايجاد كنيد تا از اين طريق داده ها ي ايمني در فارست داشته باشيد و يا Directory Replication بين هر تراست را نيز ايزوله كنيد.

External Trusts يا اعتمادهاي خارجي
شما براي اينكه بتوانيد با دومينهاي خارج از فارستي كه در آن قرار داريد رابطه برقرا كنيد ، از اين نوع تراست استفاده ميكنيد. اين تراستها بنا بر نياز شما مي توانند يك طرفه يا دوطرفه باشند.اين نوع تراست هميشه ذاتا ( D: Non-transitive )است،اين بدان معني است كه شما يك Explicit Trust بين دو دومين ايجاد مي كنيد و دومينهايي كه خارج از اين اطمينان و تراست هستند، مورد تاثير قرار نميگيرند.شما مي توانيد از اين تراست در مواقعي استفاده كنيد كه رابطه تراست بين فارستي كه دومين شما و دومين ديگري كه مي خواهيد با آن ارتباط داشته باشيد ، تعريف نشده است ( و يا لزومي به تعريف وجود ندارد )


بعد از اينكه رابطه تراست بين دوميني در داخل فارست با دوميني در خارج از فارست ايجاد شد،Security Principal ها از دومين خارج از دومين قادر به دسترسي به منابع موجود در دومين داخل فارست مي شوند.خوب حالا اين Security Principal ها چي هستند ؟! Security Principal ها مي توانند Users ، Groups ، Computers يا Services از دومين خارجي باشند. در واقع اونها Account Holder هايي هستند كه به هركدوم به طور اتوماتيك يك SID جهت كنترل دسترسي به منابع دومين اختصاص داده ميشود.اكتيودايركتوري در دومين داخل فارست، Security Principle هاي خارجي رو ايجاد خواهند كرد ،اين يعني Security Principleهاي خارجي به راحتي قابل شناسايي هستند.شما ميتوانيد از اين Security Principleها در Local Groupهاي دومين استفاده كنيد،از اينرو اعضاي جديد مورد اعتماد از خارج فارست خواهند توانست به منابع داخلي دومين دسترسي پيدا كنند.Security Principle هاي خارجي در كنسول Active Directory Users and Computers قابل مشاهده هستند.به دليل اينكه اكتيودايركتوري آنها را به صورت اتوماتيك ايجاد ميكند،شما نبايد تغييري در آنها به وجود آوريد.

Shortcut Trusts يا اعتمادهاي ميانبر
Shortcut Trustها در اصل Transitive هستند و ميتوانند يك طرفه يا دوطرفه نيز باشند.از اين نوع تراست زماني استفاده مي شود كه يك كاربر در يك دومين نياز به دسترسي به منابع دومين ديگري داشته باشد.Shortcut Trust ها بنا بر نياز و سياستهاي حاكمه ميتوانند يك طرفه يا دوطرفه تعريف شوند.با استفاده از اين نوع تراست مسير مربوط به احراز هويت كاربران كوتاه ميشود،چرا كه ديگر براي دسترسي به منابع دومين ديگري نيازي نيست ابتدا به دومين Parent و يا Root رفته و سپس در دومين مقصد احراز هويت صورت گيرد.اين تراست در سازمانها يا مجموعه هايي كه بزرگ هستند و از چندين دومين و Tree تشكيل شده اند بسيار مورد كاربرد و استفاده است.يكي از موارد استفاده از اين نوع تراست اين است: فرض كنيد دو دومين A و B از Subdomain هاي مختلفي تشكيل شده اند.شما ميخواهيد بين Edu.A دومين و Info.B دومين رابطه تراست برقرار شود.از اينرو بهترين انتخاب شما Shortcut Trustميباشد.

SID Filtering يا فيلتركردن شناسه امنيتي
يكي از نگرانيهاي امنيتي كه در رابطه با تراست ميتواند وجود داشته باشد Malicious User ها هستند .اين كاربران افرادي هستند كه با ايجاد دسترسي هايAdministrator اي در دومين هاي مورد اعتماد،شروع به Sniff يا به طور عاميانه شنود به اطلاعات رد و بدل شده مي كنند.با اين دسترسي كه اين كاربران دارند مي توانند براي خود SID مقبول در دومينهاي قابل اعتماد ايجاد كنند تا بتوانند دسترسي كامل به منابع آن دومينها داشته باشند.به اين نوع از تهديدات اصطلاحا Elevation Of Privilege Attack مي گويند.خوب مكانيزمي كه ويندوز سرور 2003 و 2008 جهت مقابله با اين نوع تهديدات به كار ميگيرد SID Filtering است. SID Filtering تاييد ميكند كه آيا درخواستهاي احراز هويت رسيده شده از دومينهاي مورد اعتماد تنها شامل SIDهاي مربوط به آن دومينها ميباشند يا خير؟ اين كار با استفاده ازخصوصيت SID History در Security Principle مورد استفاده قرار ميگيرد. همانطور كه پيشتر در مورد آن صحبت شد Security Principle شامل Object هاي درون اكتيودايركتوري مي شود،مثل Users ، Groups و ... . SID Filtering از SID هاي دومين براي تاييد هر Security Principle استفاده ميكند. بدين صورت كه اگر يك Security Principle داراي يك SID Domain تكراري بود، SID Filtering درخواست آن SID را حذف خواهد كرد. اين باعث ميشه كه Malicious Userها نتوانند جهت دسترسي به منابع دومينهاي مورد اعتماد،دسترسي هاي خود را در دومين افزايش دهند .




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)


TCP/IP مهمترين پروتكل ارتباطي در شبكه هاي كامپيوتري و به ويژه شبكه اينترنت مي باشد.در اينترنت پروتكل هاي مختلفي وجود دارد كه هر يك وظيفه خاص خود را انجام مي دهند . در وهله اول و قبل از اينكه توضيح بدهيم كه TCP/IP چيست ، بايستي بدانيم كه منظور و مفهوم از پروتكل چيست ؟ پروتكل ها با توجه به تعريفي كه در كتاب پروفسور تنن باوم به نام شبكه هاي كامپيوتري آمده است به قوانين و روال هايي كه براي برقراري ارتباطات مورد استفاده قرار مي گيرند اطلاق مي شود. اما در زبان عاميانه پروتكل يك زبان مشترك بين سيستم هاي كامپيوتري است كه آنها را قادر مي سازد بتوانند با همديگر تبادل اطلاعات داشته باشند.

پروتكل را مي توان به يك زبان تشبيه كرد ، هر يك از زبان هاي موجود در دنيا را يك پروتكل در نظر بگيريد ، براي مثال : فارسي ، انگليسي ، عربي ، چيني ، هندو ، ژاپني و ... هر يك به نوبه اي يك زبان هستند ، شما زمانيكه مي خواهيد با يك فرد انگليسي صحبت كنيد ، براي اينكه بتوانيد ارتباط موفقي داشته باشيد دو حالت وجود دارد ، اولين حالت اين است كه شما به زبان انگليسي صحبت كنيد ، دومين حالت اين است كه شخص مقابل شما با زبان فارسي صحبت كند. اما معمولا در مجامع بين المللي شما از زباني استفاده مي كنيد كه بيشتر شناخته شده است و مورد استفاده بيشتري دارد. در همين مثال مي توان كشور ايران را مثال زد ، در كشور ما همه به زبان فارسي صحبت مي كنند اما لهجه هاي مختلفي وجود دارد ، كردي ، لري ، اصفهاني و ... هر يك از اين لهجه ها در محل خود معتبر هستند اما در استان ديگر ممكن است مورد استفاده قرار نگيرند ، اما به هر حال شما اگر از زبان فارسي استفاده كنيد در تمامي استان هاي ايران قادر به برقراري ارتباط خواهيد بود. اما زبان فارسي پروتكلي نيست كه در دنيا بصورت عامه مورد استفاده قرار بگيرد و شما بايستي براي برقراري ارتباط با جهانيان از زبان انگليسي كه پروتكل جهاني است استفاده كنيد.

در شبكه هاي كامپيوتري نيز به همين شكل است ، پروتكل هاي مختلفي براي برقراري ارتباط بين سيستم ها و شبكه هاي كامپيوتري در كشورهاي مختلف دنيا وجود دارد ، اما تنها پروتكل هايي مي تواند مورد استفاده قرار بگيرد كه از طرف سازمان استاندارد جهاني به عنوان پروتكل مشترك تعيين شده باشد. در شبكه هاي كامپيوتري دو مجموعه پروتكل TCP/IP و IPX/SPX بيشترين مورد استفاده را دارند اما به دليل درصد استفاده كم از پروتكل IPX/SPX كه در سيستم عامل هاي ناول استفاده مي شود TCP/IP به عنوان يك پروتكل جهاني معروف شد و امروزه تمامي بستر اينترنت از اين پروتكل استفاده مي كنند. توجه كنيد كه TCP/IP به تنهايي يك پروتكل نيست و يك پشته پروتكل يا مجموعه پروتكل ارتباطي مي باشد كه از تركيب شدن چندين پروتكل به وجود آمده است.

مقايسه مدل مرجع OSI و TCPIP


اكثر سيستم عامل هايي كه امروزه مي شناسيد ، اعم از ويندوز ، لينوكس ، يونيكس ، مك ، اندرويد و حتي ناول از اين پشته پروتكل پشتيباني مي كنند و به همين دليل است كه شما مي توانيد از طريق سيستم عامل ويندوز خود از سرويس هايي كه سيستم عامل هاي ديگر مانند لينوكس و يونيكس ارائه مي دهند استفاده كنيد. براي مثال سرويس ايميل و وب سايت ياهو از سيستم عامل يونيكس و وب سرور هاي يونيكسي استفاده مي كنند اما شما با ويندوز خود مي توانيد از خدمات آنها استفاده كنيد و تنها دليل اين امكان داشتن پروتكل مشترك ارتباطي به نام TCP/IP مي باشد.

كلمه TCP/IP مخفف Transmission Control Protocol Internet Protocol مي باشد كه نشان دهنده اين مي باشد كه اين پشته پروتكل بصورت كلي از دو پروتكل اصلي TCP و IP تشكلي شده است . اين دو پروتكل وظيفه تعيين چگونگي برقرار ارتباط بين سيستم ها در شبكه و روش انتقال اطلاعات بين آنها را تعيين مي كنند ، درون پشته پروتكل TCP/IP همانطور كه اشاره شد چندين پروتكل وجود دارند كه وظيفه ارتباطات داده ها را در شبكه بر عهده دارند ، اين پروتكل ها عبارتند از :

    TCP يا Transmission Control Protocol كه وظيفه برقراري ارتباطات بين نرم افزارهاي كاربردي در شبكه را عهده دار است
    UDP يا User Datagram Protocol كه وظيفه برقراري ساده ترين حالت برقراري ارتباطات داده اي بين نرم افزارها در شبكه را عهده دار است.
    IP يا Internet Protocol كه وظيفه برقراري ارتباطات بين كامپيوترها در شبكه را عهده دار است
    ICMP يا Internet Control Messaging Protocol كه وظيفه بررسي خطاها و وضعيت شبكه را بر عهده دارد.
    DHCP يا Dynamic Host Configuration Protocol كه وظيفه آدرس دهي خودكار در شبكه را عهده دار است.


توجه كنيد كه TCP يك پروتكل Connection Oriented يا اتصال گرا است و بدين معناست كه صحت اطلاعات ارسالي براي اين پروتكل بسيار مهم است و از جهتي سرعت آن نسبتا پايين است . پروتكل IP يك پروتكل Connection Less يا غير اتصال گرا است كه بدين معناست صحت داده هاي ارسالي چندان مهم نيست و سرعت بيشتر مد نظر است ، در شبكه هاي مبتني بر TCP بيت به بيت داده ها بعد از انتقال در شبكه بررسي مي شود و همين دليل كندي آن است ، در صورتيكه در شبكه هاي IP سرعت ارسال مهم است . پشته پروتكل TCP/IP نقاط ضعف هر يك از اين دو پروتكل را پوشش داده است و يك پروتكل تركيبي خوب ايجاد كرده است. مدل TCP/IP نيز مانند مدل مفهومي OSI داراي ساختار لايه بندي يا Layering مي باشد و برخلاف مدل OSI كه داراي 7 لايه مي باشد اين پشته پروتكل داراي 4 لايه به نامهاي Internet يا اينترنت ، Transport يا انتقال ، Application يا كاربردي و Network Interface يا رابط شبكه مي باشد. موفق و پيروز باشيد.




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

زمانيكه براي اولين بار به يك سيستم Login مي كنيد ، سيستم عامل براي آن كاربر يك سري تنظيمات مانند ايجاد پوشه Desktop ، My Documents و بسياري ديگر از اينگونه موارد را كه منحصر به فرد براي همان كاربر ساخته مي شوند را ايجاد مي كند. به اين تنظيمات در اصطلاح پروفايل كاربري يا User Profile گفته مي شود كه در قالب يك محيط شخصي براي هر كاربر ايجاد مي شود ، سيستم عامل پس از ورود كاربر به سيستم و ايجاد پروفايل وي ديگر اجزاي محيط كاربري را بر اساس همين پروفايل كاربري تنظيم مي كند.


انواع يورز پروفايل ها
پروفايل كاربر محلي يا Local User Profile
يك پروفايل كاربر محلي يا Local User Profile زماني ايجاد مي شود كه براي اولين بار كاربر در كامپيوتر لاگين كند. اين پروفايل در هارد ديسك محلي ( مخصوص خودش ) يك كامپيوتر ذخيره ميشود . تغييراتي كه در پروفايل كاربر محلي اعمال مي شود ، صرفا خاص خود آن كاربر محلي و كامپيوتري است كه در آن تغييرات اعمال شده اند.


پروفايل يوزر رومينگ يا Roaming User Profile
پروفايل هاي كاربري Roaming در واقع همان پروفايل هاي Local هستند با اين تفاوت كه به جاي اينكه بر روي سيستم محلي قرار داشته باشند ، تمامي محتويات آنها كپي شده و در يك فايل سرور تحت شبكه به اشتراك گذاشته مي شوند . به محض اينكه كاربري در شبكه با استفاده از اين نوع پروفايل بر روي سيستم خود Login كند ، كليه محتويات پروفايل وي تحت شبكه بر روي كامپيوتر وي دانلود شده و مي توان از آنها استفاده كرد. به محض اينكه تغيير بر روي پروفايل هاي كاربري انجام شود ، اين تغيير بعد از Logoff كردن كاربر ، با پوشه موجود در فايل سرور يكسان سازي مي شود. مهمترين مزين وجود Roaming User Profile در شبكه اين است كه ديگر نيازي به ايجاد چندين پروفايل Local براي هر كاربر بر روي سيستم هاي مختلف نخواهد بود و كاربران در هر جاي شبكه صرفا يك پروفايل يكپارچه دارند.


پروفايل كاربري اجباري يا Mandatory User Profile
يك پروفايل كاربري Mandatory يك نوع پروفايلي است كه مديران مي توانند براي تنظيمات خاصي براي كاربران ايجاد كنند . فقط مديران سيستم ميتواند تغييرات براي پروفايل كاربري Mandatory اعمال كنند . تغييرات اعمال شده توسط كاربران در دسكتاپ از بين ميرود وقتي كه كاربر Logoff شود . به نوعي مي توان گفت در كامپيتورهايي كه بصورت عمومي استفاده مي شوند ، مانند كامپيتورهاي كيوسك ، از اين نوع پروفايل استفاده مي شود تا بعد از استفاده هر كاربر از سيستم ، تنظيمات به حالت اوليه بازگردانده شود ، شما مي توانيد اين نوع پروفايل را با كاركرد نرم افزارهايي همچون Deep Freeze مقايسه كنيد.

پروفايل كاربري Temporary
زمانيكه براي پروفايل يك كاربر مشكلي پيش مي آيد كه load شدن آن را دچار مشكل مي كند ، سيستم عامل بصورت خودكار يك پروفايل براي كاربر ايجاد مي كند كه به آن Temporary User Profile گفته مي شود . اينگونه پروفايل ها صرفا در زماني كه كاربر در سيستم Login كرده معتبر هستند و به محض اينكه كاربر از سيستم عامل Logoff كنيد اين پروفايل و اطلاعات درون آن به همراه تنظيماتي كه كاربر بر روي آن انجام داده است بصورت يكجا حذف خواهند شد. اين نوع پروفايل ها صرفا در سيستم عامل هاي ويندوز 2000 به بالا وجود دارند.


يك پروفايل كاربري شامل عناصر زير است :

فايل تنظيمات رجيستري
زمانيكه كاربر به سيستم Login مي كند ، فايلي به نام NTuser.dat براي وي در پروفايل ساخته مي شود كه به كليدهاي رجيستري موجود در قسمت HKEYCurrentUser متصل مي شوند. تمامي تنظيماتي كه كاربر بر روي سيستم عامل انجام مي دهد در قالب اين فايل براي ذخيره سازي در ساختار رجيستري قرار مي گيرند .
مجموعه اي از پوشه هاي پروفايل در سيستم فايل ذخيره است . فايل هاي پروفايل كاربري در دايركتوري Profile ذخيره مي شوند ، در پوشه ي پايه ي هر كاربر . پوشه پروفايل كاربر يك كانتينر (است) براي برنامه هاي كاربردي و ديگر اجزاي سيستم براي پر كردن با زيرپوشه ها ، و همچنين اطلاعات هر كاربر مانند پرونده ها و فايل هاي پيكربندي مي باشد . Windows Explorer از پوشه هاي پروفايل كاربري رو به طور گسترده براي هر آيتمي مثل يوزر دسكتاپ ، استارت منو و داكيومنت فولدر! استفاده ميكند .

مزاياي پروفايل كاربري:

    سيستم با همان تنظيماتي كه كاربر log off ميشه ، log on مي شود .
    زماني كه كامپيوتر يا ديگر كاربران به اشتراك گذاشته مي شود ، هر كاربري پس از ورود آن را روي دسكتاپ خودش مي بيند .
    تنظيمات پروفايل يك كاربر منحصر به فرد براي هر كاربري است . اين تنظيمات براي ديگر كاربران قابل دسترسي نيست . تنظيمات اعمال شده روي يك پروفايل كاربري ، بر روي ديگر پروفايل كاربري هاي ديگر تأثيري ندارد .




برچسب: ،
تاریخ ارسال : ۱۳ ارديبهشت ۱۳۹۶ بازدید: نویسنده : computerstream نظرات (0)

[ ۱ ]

.:.بقیه صفحات سایت.:.