Flexible Single Master Operator یا FSMO در اکتیو دایرکتوری – قسمت دوم

[ad_1]

در مقاله قبل از این سری آموزش درباره FSMO Roles به طور کلی توضیح دادیم. همچنین نقش های Forest Wide با جزئیات بررسی شدند. در این آموزش جزئیات Role های Domain Wide را مورد بررسی قرار خواهیم داد.

نقش های Domain Wide بسیار بیش تر از Forest Wide مورد دسترسی و استفاده قرار می گیرند. در واقع یکی از دلیل هایی که وجود هر یک از آن ها در هر دامین کنترلر لازم است نیز همین است.

Infrastructure Master Role

وظیفه اصلی این Role نگه داری آبجکت های پنهانی به نام Phantom در دایرکتوری است. Active Directory به منظور ردگیری اعضای گروه هایی که در Local Domain و Local Database وجود ندارند ، از فانتوم ها استفاده می کند. بنابراین زمانی که Domain Controller خودش Global Catalog باشد ، نیازی به این ویژگی Infrastructure Master Role ندارد. چرا که تمام  آبجکت های موجود در فارست ، در دیتابیس Global Catalog وجود دارند.

Phantom ها شامل چند ویژگی هستند. مقدار ObjectGUID اعضای واقعی گروه ها در دامین خارجی ( Foreign Domain ) ، مقدار objectSID یا همان Security Identifier اعضای گروه ها و همچنین DN یا Distinguished Name اعضای گروه ها از این جمله هستند.

هر زمان که یکی از این Object ها در دامین دیگری ویرایش یا حذف شود ، فانتوم ها نیز باید ویرایش یا حذف گردند. Infrastructure Master وظیفه دارد که از به روزرسانی صحیح Phantom ها اطمینان حاصل نماید.

Infrastructure Master Role این کار را با اتصال به گلوبال کاتالوگ و یافتن Object مرتبط به فانتوم مورد نظر از طریق objectGUID انجام می دهد.

RID Master Role

RID Master که مخفف Relative Identifier است ، همان طور که از نامش بر می آید ، توزیع کننده Relative Identifier ها در تمام Domain Controller های قابل نوشتن در دامین سازمان است. ( Writable Domain Controllers یا دامین کنترلرهای قابل نوشتن در مقابل RODC ها یا Read Only Domain Controller ها می آیند ) هر زمان که یک Security Principal ( مثل User ، کامپیوتر ، گروه و … ) در یک دامین کنترلر ایجاد می شود ، DC با کمک RID یک SID یا Security Identifier برای آن ایجاد می کند. پیش تر درباره SID در یک مقاله جداگانه صحبت کرده ایم .

PDC Emulator Role

PDC Emulator برای حفظ سازگاری Forest و Domain با ویندوز سرورها و دامین کنترلرهای قدیمی ، مانند ویندوز ۲۰۰۰ استفاده می شود. دو وظیفه عمده آن همگام سازی زمان و Password Chaining است. در یک شبکه دامین تمامی دامین کنترل ها زمان خود را با Domain Controller ای که این Role را در اختیار دارد همگام سازی می نمایند.

Password Chaining در شبکه هایی که Domain Controller ها بین چندین سایت پراکنده شده اند کاربرد بیشتری دارد. در این نوع شبکه ها هر دامین کنترلر زمانی که درخواست تغییر پسورد را دریافت می کند آن را به یک دامین کنترلر که نقش PDC Emulator را بر عهده داشته باشد ارسال می کند. همچنین زمانی که احراز هویت یک کاربر با شکست مواجه می شود ، دامین کنترلر نزدیک به کاربر درخواست لاگین را برای بررسی بیشتر و تطابق با HASH ثبت شده مربوط به کاربر مذکور به PDC Emulator ارسال می کند که از غیر مجاز بودن ورود مطمئن شود.

در مقاله های آینده وب سایت تک تیک اهمیت دانستن وظیفه و کار هر یک از Role ها را بررسی خواهیم نمود و همچنین خواهیم گفت که در زمان بروز بحران و از بین رفتن Domain Controller ای که این نقش ها را بر عهده دارد ، چگونه FSMO را به اصطلاح Seizing نماییم.

اگر این مطلب برای شما مفید است ، لطفا آن را در شبکه های اجتماعی به اشتراک بگذارید.

 

 

[ad_2]

لینک منبع

Flexible Single Master Operator یا FSMO در اکتیو دایرکتوری – قسمت نخست

[ad_1]

یکی از مهم ترین مفهوم هایی که دانشجویان دوره های MCSE فرا می گیرند ، FSMO ، کوتاه شده عبارت Flexible Single Master Operator است. ممکن است در ویدیو های آموزش این عبارت را با تلفظ عامیانه Fizmo ( فیزمو ) نیز بشنوید.

FSMO در واقع ۵ نقش اساسی در تمام پیاده سازی های Directory Service شرکت مایکروسافت یا همان Microsoft Active Directory است که در تمام دامین ها وجود دارد. جالب است بدانید که از زمان به وجود آمدن ویندوز های سرور ، کاربرد و نقش این Role ها تغییرات چندانی نسبت به بقیه سرویس های مایکروسافتی نداشته است. FSMO به دو گروه اساسی نقش های Forest Wide و Domain Wide تقسیم بندی می شود.

در هر Forest یک نقش Schema Master و Domain Naming Master که از Role های Forest Wide هستند وجود دارد. در مقابل سه نقشِ PDC یا Primary Domain Controller ، RID یا Relative Identifier Master و Infrastructure Master به ازای هر یک دامین وجود خواهند داشت و به همین جهت به آن ها رول های Domain Wide  گفته می شود. بنابراین اگر به عنوان مثال شما دو یک Forest شامل سه دامین مختلف داشته باشید ، تعداد FSMO های شما در مجموع ۱۱ عدد  است. این به معنای ۲ نقش Forest Wide و ۹ نقش Domain Wide است.

Schema Master Role

به دلیل حفظ یکپارچگی Forest ، اگر نیاز باشد ، تغییراتی را در کلاس های دیتابیس انجام دهیم و ویژگی هایی را به آن اضافه کنیم یا برخی ویژگی ها تغییر کنند ، این تغییرات ، بایستی به صورت مستقیم در Schema اصلی ثبت شود. به همین دلیل Schema Master Role به عنوان یک نقش Forest Wide مشخص می شود. البته این بدان معنا نیست که Schema در دامین کنترلر ها وجود ندارد. بلکه در Domain Controller ها نیز Schema ای از نوع Read Only که یک کپی از Schema اصلی است وجود دارد.

Domain Naming Master

دومین نقش Forest Wide وظیفه بسیار کوچک اما مهمی را بر عهده دارد. در واقع هر زمانی که شما بخواهید یک دامین جدید را به فارست اضافه نمایید ، یا دامینی که قبل تر ایجاد شده است را حذف کنید ، Domain Naming  Master فراخوانده می شود. همچنین حذف و اضافه Application Partition ها نیز بر عهده این نقش است.

Application Partition ها از ویندوز سرور ۲۰۰۳ به Active Directory اضافه شد. Application Partition باعث می شود که یک گروه از Object ها که مربوط به برنامه ای خاص هستند در دسته ی مشخصی از دامین های Forest تکرار شوند. برای مثال زمانی که شما از ویژگی Active Directory Integrated DNS استفاده می نمایید ، از طریق Application Partition رکوردهای DNS را در دامین های خاصی تکرار می کنید.

مایکروسافت در زمان ایجاد Application Partition فکر می کرد که شرکت های زیادی با استفاده از این ویژگی خدمات خود را ارئه نمایند ، اما در واقع تنها استفاده مهم و مفید این ویژگی تنها همان Active Directory Integrated DNS باقی ماند. ( که البته بسیار مفید است )

تا اینجا نقش های Forest Wide را در ساختار اکتیو دایرکتوری بررسی کردیم. در مقاله آینده از این سری Role های Domain Wide را توضیح خواهیم داد.

 

 

[ad_2]

لینک منبع

IE ESC چیست و چگونه غیرفعال می شود؟

[ad_1]

یکی از پیغام های ویندوزهای سرور که برای اکثر کاربران آزار دهنده است ، هشدارِ Internet Explorer Enhanced Security Configuration یا IE ESC است. صرف نظر از اینکه واقعا چنین ساز و کاری چه تاثیری در امنیت دارد ، برای بعضی علت وجود آن یک راز است ، احتمالا شما هم مانند من مایلید که آن را غیر فعال نمایید. البته به خاطر اینکه درصد استفاده کنندگان از اینترنت اکسپلورر روز به روز کم تر می شود ، عملا وجود چنین قابلیتی هیچ تاثیری در امنیت IE ندارد. چون کم تر کسی از این مرورگر استفاده می کند.

در واقع اگر با وجود این قابلیت شما بخواهید وب سایت خود شرکت مایکروسافت را در ویندوز سرور ۲۰۱۲ از طریق مرورگر باز کنید ، مجبور خواهید بود که ۱۸ بار کلیک کنید ! ( Michael Pietroforte از وب سایت ۴Sysops این تعداد را شمرده است )

IE ESC

اگرچه بی انصافی است که بخواهیم این قابلیت را در ویندوز های سرور ، این چنین به سخره بگیریم. چرا که اگر واقعا برای تان مهم باشد که از روی سرور به چه سایت هایی متصل می شوید ، با تغییر تنظیمات پیش فرض در Zone Feature اینترنت اکسپلورر ، می توانید در ضمن استفاده از IE ESC ، از آرتروز انگشت نیز جلوگیری کنید.

در این آموزش به شما خواهیم گفت که چطور در اولین گام بعد از نصب ویندوز سرور یا بعد از تحویل ماشین مجازی تان ، این قابلیت را غیر فعال نمایید.

جهت انجام این مهم ، مانند سایر وظایفی که در ویندوز وجود دارد ، چندین راه مختلف وجود دارد. برای مثال شما می توانید از طریق Group Policy ، Power Shell و Registry آن را غیر فعال نمایید.

اما خوشبختانه یک راه حل بسیار ساده تر نیز وجود دارد. بعد از لاگین به سرور ، کنسول Server Manager را اجرا کنید.

در ویندوز سرور ۲۰۱۶ بر روی Local Server کلیک نمایید.

اکنون در بخش Properties گزینه IE Enhanced Security Configuration را بیابید و آن را بر روی Off قرار دهید.

همچنین این امکان وجود دارد که این ویژگی فقط برای Administrator ها غیر فعال باشد.

اگر این مقاله برای شما مفید است ، لطفا آن را در شبکه های اجتماعی به اشتراک بگذارید.

 

 

 

[ad_2]

لینک منبع

Execution Policy در Windows PowerShell

[ad_1]

یک از قابلیت های Windows PowerShell توانایی اجرای اسکریپت ها است. باید بدانیم که PowerShell ویندوز از نظر پالیسی  اجرای اسکریپت ها در چهار حالت مختلف قابل اجرا است. در این آموزش کوتاه تفاوت این چهار پالیسی را شرح خواهیم داد و همچنین یاد می گیریم که چگونه می توانیم پالیسی اجرای اسکریپت ها را در PowerShell ویندوز تغییر دهیم.

پالیسی Restricted در PowerShell

این Policy اجازه اجرای هیچ نوع Script ای را به Windows PowerShell نمی دهد. بنابراین در این وضعیت پاور شل تنها در حالت Interactive Mode قابل اجرا است.

AllSigned Policy

در این وضعیت تنها اسکریپت هایی که امضای دیجیتالی توسط پابلیشرهای مورد اعتماد ویندوز را داشته باشند قابل اجرا هستند.

پالیسی RemoteSigned

اسکریپت های دانلود شده ، قبل از اینکه بتوانند توسط PowerShell اجرا شوند ، بایستی توسط یک Publisher مورد تایید Sign شوند. برای مثال VMware PowerCLI در این حالت اجرا می شود.

Unrestricted Policy در پاور شل

و در نهایت Unrestricted یا نا محدود ، به معنای این است که هیچ محدودیتی اعمال نمی گردد.

اما برای اینکه ببینیم در حال حاضر Windows PowerShell ما از کدام Policy تبعیت می کند ، کافی است که پاورشل را اجرا نمایید. سپس دستور زیر را بنویسید و کلید Enter را بفشارید.

Get-ExecutionPolicy

همچنین جهت تغییر پالیسی به وضعیت دلخواه کافی ست که دستور Set-ExecutionPolicy و سپس در ادامه نام پالیسی مورد نظر را بنویسید و آن را اجرا نمایید. پیغام ظاهر شده را با کلید Y تایید کنید.

اگر مطالب وب سایت تک تیک برای شما مفید هستند ، لطفا آن ها را در شبکه های اجتماعی با دوستان تان به اشتراک بگذارید.

 

 

[ad_2]

لینک منبع

ایجاد Provisioning Package با استفاده از Windows Configuration Designer

[ad_1]

در آموزش قبل درباره Provisioning Package ها صحبت کردیم. همچنین روش دانلود Windows Configuration Designer توضیح داده شد. در این آموزش می خواهیم بدانیم که چطور با استفاده از WCD می توانیم فایل های ppkg را تولید و پیکربندی نماییم. در انتها یکی از روش های اعمال آن ها نیز توضیح داده می شود.

ایجاد فایل Windows Provisioning Package

برنامه Windows Configuration Designer را نصب و اجرا نمایید. بر روی New Project از منوی فایل کلیک کنید. یک نام برای پروژه انتخاب و بعد از تعیین آدر ذخیره Next را کلیک نمایید.

احتمالا در پنجره Project WorkFlow یک جریان کار بیشتر وجود ندارد. در هر حال Provisioning Package را انتخاب و Next را کلیک نمایید.

در پنجره بعدی برای اینکه بتوانید در فایل نهایی پیکربندی همه Edition های ویندوز را مشخص نمایید بر روی All Windows Editions کلیک و Next را برگزینید.

در پنجره Import a Provisioning Package بدون انتخاب هیچ مسیر خاصی بر روی Finish کلیک کنید تا پروژه ایجاد شود.

همان طور که در قسمت Available Customization مشاهده می کنید تنظیمات بسیاری برای اعمال به Provisioning Package موجود است. از تنظیماتی مثل آدرس Share Folder گرفته تا حساب های کاربری ، تنظیمات پیوستن به دامین و تنظیمات وایرلس که آن را در شکل زیر مشاهده می نمایید.

تنظیمات دلخواه خود را اعمال نمایید. این تنظمات بر اساس CSP یا Configuration Service Provider تعیین می شوند. اگر درباره CSP ها اطلاعات کمی دارید این لینک را مطالعه نمایید.

پس از اعمال پیکربندی کافی است که بر روی دکمه Export و سپس Provisioning Package کلیک کنید.

یک نام برای Provisioning Package تان مشخص نمایید.

در صورتی که مایل باشید می توانید فایل را رمزنگاری کنید. چرا که ممکن است کلمه های عبور و اطلاعات حساس دیگر را در آن ذخیره کرده باشید و تامین امنیت آن برای شما مهم باشد.

آدرس ذخیره فایل ppkg را مشخص کنید.

بر روی Build کلیک کنید. در زمان کوتاهی فایل شما ساخته خواهد شد.

Windows 10 Provisioning Package 9

که می توانید متعلقات آن را در تصویر زیر مشاهده نمایید.

برای اعمال فایل به کلاینت های دلخواه کافی است که فایل با فرمت ppkg را به یکی از روش های گفته شده در مقاله قبل ( مانند Email و … ) ارسال نمایید و از کاربر بخواهید که پس از دانلود یا کپی فایل ، آن را اجرا کند.

 

بعد از اجرا پیغام زیر به نمایش در خواهد آمد. بر روی Yes, add it کلیک نمایید.

پیغام بعدی اعلام می نماید که سیستم تا کم تر از ۱ دقیقه دیگر برای اعمال تنظیمات Reboot می شود. کافی ست که منتظر بمانید و بعد از Restart سیستم همه پیکربندی هایی که مد نظر شما است بدون کوچک ترین دخالت کاربر بر روی سیستم اعمال خواهد شد.

یکی دیگر از راه های اعمال Provisioning Package ها بر روی کلاینت ها در سازمان ها و شبکه های بزرگ استفاده از سیستم قدرتمند SCCM یا System Center Configuration Manager است که در مقاله های آینده وب سایت تک تیک درباره آن صحبت خواهیم کرد.

[ad_2]

لینک منبع

Windows Provisioning Package چیست؟

[ad_1]

یکی از روش های ساده اعمال تنظیمات مختلف در سیستم عامل دستگاه های کاربران استفاده از Windows Provisioning است. توسط Windows Provisioning این امکان وجود دارد که بدون استفاده از روش ساخت ایمیج های متعدد و مختلف برای سیستم عامل ، تنظیمات حیاتی کاربران را در یک فایل ذخیره نمود. کاربر نهایی تنها با اجرای فایل نهایی و بعد از چند دقیقه می تواند کلیه تنظیمات شبکه سازمان شما را برای سیستم عامل خود دریافت نماید. بدون اینکه دانش فنی خاصی درباره Network داشته باشد.

ابزار ساخت این نوع فایل ها که با نام Provisioning Package شناخته می شوند و فرمت آن ppkg. است Windows Configuration Designer نام دارد. Windows Configuration Designer به معنای “طراحی پیکربندی در ویندوز” است. برای نصب این ابزار بر روی Windows 10 دو راه وجود دارد. راه اول نصب آن از طریق بسته نرم افزاری Windows Assessment and Deployment Kit یا همان ADK برای ویندوز ۱۰ است. راه دوم تهیه و دانلود از Microsoft Store از طریق این لینک می باشد.

قابل ذکر است که Windows ADK در چهار نسخه و برای سیستم عامل های ویندوز ۱۰ ورژن ۱۶۰۷ ، ویندوز ۱۰ ورژن ۱۷۰۳ ، Windows 10 IoT  و ویندوز ۸.۱ در لینک ارائه شده موجود است.

برخی از قابلیت های Provisioning Packages به شرح زیر است :

  • پیکربندی سریع دستگاه های جدید بدون نیاز به نصب و ساخت یک ایمیج تازه
  • امکان پیکربندی چندین دستگاه مختلف تنها با یک فایل
  • پیکربندی سریع دستگاه های خود کارمندان در محیط های BYOC در سازمان هایی که فاقد زیرساخت MDM یا Mobile Device Management هستند.
  • تنظیم دستگاهی که به شبکه متصل نیست.

فایل های Provisioning Package به دلیل حجم بسیار کم از راه های زیر قابل دسترسی هستند :

  • نصب از طریق Removable Media ها مقل SD Card یا USB Flash Drive
  • ارسال از طریق ایمیل
  • دریافت از Network Share
  • دریافت از برچسب یا بارکد های NFC

بعضی از کارهایی که با Provisioning Packages قابل انجام است :

  • اختصاص نام به دستگاه ، اعمال Product Key ، پیکربندی مسیرهای Share ، حذف نرم افزارهای اضافی و …
  • تنظمیات و اتصال به شبکه Wi-Fi
  • ثبت نام دیوایس های موبایل در Azure Active Directory
  • نصب نرم افزار !

در آموزش آینده تک تیک ، نحوه ساخت فایل های Provisioning Package را فرا خواهید گرفت. توصیه می کنم این آموزش جذاب را از دست ندهید. برای اطلاع از آموزش های بعدی در کانال تلگرام تک تیک عضو شوید.

[ad_2]

لینک منبع

بررسی دستورات مورد استفاده در TCP/IP

[ad_1]

 

در این مقاله با برخی از دستورات مهم شبکه آشنا می شویم. این دستورات را در CMD وارد کنید، برای باز کردن CMD هم کافی است برنامه Run را با استفاده از کلید های ترکیبی Windows + R  سپس عبارت cmd را وارد کنید.

Shutdown-CMD

۱- از دستور Hostname برای مشاهده نام کامپیوتر استفاده می شود.

Hostname

Command TCP


راه دیگر برای مشاهده نام کامپیوتر می توانید بر روی this PC کلیک راست گزینه Properties را انتخاب کنید. سپس در مقابل Computer name نام کامپیوتر را می توانید مشاهده کنید.

Command TCP


۲-  از دستور ipconfig برای مشاهده و تنظیمات TCP/IP بر روی کارت شبکه استفاده می شود. که اطلاعاتی اعم از IPv4, IPv6, Default Gateway را می توانید مشاهده کنید.

Ipconfig

Command TCP


۳- از دستور ipconfig /all برای مشاهده جزئیات دقیق تر تنظیمات TCP/IP استفاده می شود و اطلاعاتی اعم از مک آدرس کارت شبکه ها، وضعیت DHCP، زمان انقضای IP، آدرس سرور DHCP و ….

Command TCP

 


۴- از دستور getmac برای بدست آوردن مک آدرس های کارت شبکه استفاده می شود.

getmac

Command TCP


۵-  از دستور Ping برای تست نمودن ارتباط بین دو دستگاه استفاده می شود. به صورت پیش فرض ۴ پکت به سایز ۳۲ byte ارسال می کند.
بعد از عبارت Ping باید آدرس IP و یا Hostname را وارد کنید.

 

Ping 172.16.11.10

Command TCP

 

با اضافه کردن سوییچ t-  پکت ها به صورت نامحدود ارسال می شود و زمانی که کلید ترکیبی CTRL + C دیگر از ارسال Packet جلوگیری می کند.

Ping 172.16.11.10 –t

با اضافه کردن n- می توانید به تعدادی خودتان مشخص می کنید Packet ها را ارسال کند.

Ping 172.16.11.10 –n 10

با اضافه کردن l- می توانید سایز Packet های ارسالی را خودتان مشخص کنید.

Ping 172.16.11.10 –l 65


۶- از دستور ARP برای تبدیل Mac Address به Logical Address (منظور آدرسIP) و بالعکس استفاده می شود.
برای مشاهده اینکه کارت های شبکه با چه IP هایی در ارتباط بوده است کافیست دستور arp- a را وارد کنید.

Arp –a

Command TCP

برای حذف این جدول از دستور arp –d استفاده می شود.

[ad_2]

لینک منبع

خطاهای رایج در نصب WSUS – قسمت اول

[ad_1]

یکی از خطاهایی که در زمان نصب نقش WSUS در ویندوز سرور ۲۰۱۲ و ۲۰۱۶ به وفور رخ می دهد ، این Error است : “the operation cannot be completed because the server that you specified requires a restart”

آن طور که از متن پیغام بر می آید ، بنا به دلیل نامشخصی ، ویندوز عملیات معلقی دارد ، که باید طی یک Restart به پایان برسد و بعد از آن شما خواهید توانست سرویس WSUS را نصب کنید. اما با راه اندازی مجدد خواهید دید که همچنان پیغام خطا پابرجا می ماند.

 برای رفع این مشکل مراحل زیر را دنبال نمایید.

به دلیل اینکه راه حل این مشکل اعمال یک تغییر کوچک در Group Policy است ، امکان استفاده از Local Group Policy یا ویرایش GPO از طریق دامین وجود دارد. اگر حساب کاربری که نصب WSUS را انجام می دهد دسترسی تغییر پالیسی مورد نظر را در Local Group Policy داشته باشد ، بهتر است که از این روش استفاده شود ، اما در صورتی که پالیسی مذکور توسط GPO کنترل می شود ، تنها راه باقیمانده انجام آن از طریق GPO در دامین کنترلر می باشد.

در این آموزش انجام آن از طریق GPO توضیح داده خواهد شد ، که با مطالعه آن به راحتی می توانید همان مراحل را در Local Group Policy نیز انجام دهید.

ابتدا به سرور Domain Controller لاگین نمایید. Group Policy Management را از Administrative Tools اجرا کنید. بر روی GPO ای که به سرور WSUS اعمال می شود راست کلیک نمایید و Edit را کلیک کنید.

WSUS needs to restart for installing 2

از Computer Configuration گزینه Windows Settings ، Security Settings و سپس Local Policies و User Rights Assignment را انتخاب کنید.

آن را اجرا کنید و حساب کاربری زیر را به آن اضافه نمایید.

NT SERVICEALL SERVICES

اکنون به سرور WSUS لاگین نمایید و در Command Prompt دستور  gpupdate /force را اجرا کنید.

حال بدون هیچ مشکلی می توانید نقش WSUS را بر روی Windows Server 2012  و ۲۰۱۶ نصب نمایید.

لازم به ذکر است که مسیر ذکر شده در Local Group Policy نیز به همان صورت است.

[ad_2]

لینک منبع