شبکه کامپیوتری
مجموعه ای از کامپیوتر های مستقل و متصل به هم که میتوانند تبادل اطلاعات و اشتراک گذاری منابع را انجام دهند.
منابع معمولا داده، سرویس های شبکه و دیوایس ها (پرینتر و ...)هستند.
اجزای شبکه های کامپیوتری
همانگونه که کامپوتر از اجزاء مختلفی ساخته شده است، شبکه های کامپیوتری هم اجزاء (component) های مخصوص خود را دارند.
همانگونه که کامپیوتر و اجزاء آن (cpu, ram,…) برای اغلب مردم آشنا است، اجزاء شبکه (networking devices, networking media, Network operating systems) هم برای اغلب متخصصان IT آشنا است.
سیستم عامل شبکه
یک سیستم عامل شبکه (Network Operating System àNOS) نرم افزاری است که توانایی مدیریت، نگهداری و فراهم کردن منابع شبکه را دارد.
علاوه بر آن، NOS توانایی اشتراک گذاری فایل ها و برنامه ها، ایجاد سرویس وب، مدیریت دسترسی به منابع، اداره کردن کاربران و کامپیوترها، فراهم کردن ابزار هایی برای پیکربندی و نگهداری و فراهم کردن منابع به مانند دیگر کاربرد های مرتبط با منابع شبکه را دارد.
NOSدر هنگام مدیریت منابع شبکه رایانه ای یک مؤلفه مهم است.
امروزه، نسخه های ویندوز سرور ، لینوکس سرور و macOS سرور همه NOS به حساب می آیند زیرا همه آنها قادر به ارائه خدمات شبکه هستند.
مفهوم کلاینت و سرور
اگر این طور در نظر بگیریم که در یک شبکه منابع هدف اصلی ما هستند، در این صورت کلاینتها همواره برای دسترسی به منابع درخواست میدهند و از طرفی سرورها مسئول فراهم کردن منابع برای کلاینت ها و همچنین مدیریت دسترسی آن ها به منابع هستند.
هم سرورها و هم کلاینت ها نقش مهمی را در شبکه های کامپیوتری دارند. در تصویر روبرو سرور مسئول تامین دسترسی کلاینت ها به پرینتر است.
میزبان و گره ها - hosts and nodes
با این که هاستها میتوانند به عنوان یک node در نظر گرفته شوند ولی node ها نمیتوانند به عنوان host در نظر گرفته شوند.
یک میزبان(host) هر دستگاهی است که یک آدرس IP به کارت شبکهاش اختصاص داده شده است و میتواند منابع بر روی شبکه را درخواست بدهد و یا فراهم کند.
معمولا کلاینت ها، سرورها، روترها به عنوان host در نظر گرفته می شوند.
رابط شبکه
رابط شبکه سرور را قادر می سازد به شبکه یک سازمان و اینترنت متصل شود.
سرورها معمولاً بیش از یک رابط شبکه دارند.
هرچه سرعت اتصال شبکه سرور سریعتر باشد ، داده های بیشتری نیز ارسال می شود که سرور می تواند از طریق شبکه ارسال و دریافت کند.
اگرچه گره (node) هر دستگاهی است که بتواند منابع شبکه را دریافت و انتقال دهد ولی هیچ آدرس IP به رابط شبکهاش اختصاص نمییابد.
گره ها دارای رابط شبکه ای (network interface) هستند که برای مدیریت آنها استفاده می شود.
کامپیوتر ها و فایل سرور ها به عنوان میزبان (host) در نظر گرفته می شوند در حالی که سوییچ ها نقش گره (Node) را دارند.
معماری شبکه های کامپیوتری
یک معماری شبکه های کامپیوتری یک طراحی شبکه را نمایان میکند که چگونه اجزاء مختلف شبکه باهم ارتباط برقرار میکنند.
معماری شبکه در واقع چارچوبی (framework) است که جنبه های مختلفی از جمله توپولوژی فیزیکی و منطقی ، مؤلفه های شبکه ، پروتکل های ارتباطی و اصول و رویه های عملیاتی آن را در بر می گیرد.
در میان معماری های شبکه، معروف ترین آنها نقطه به نقطه P2P و کلاینت سروری است.
معماری نقطه به نقطه P2P
شبکه P2P که گاها به عنوان شبکه workgroup هم شناخته میشود، شبکه ای است که میزبان ها (hosts) از نقش از پیش تعیین شده ای ندارند.
در عوض آن ها نقش هایشان را از کلاینت به سرور و برعکس همواره بر اساس فعالیتشان در شبکه تغییر میدهند.
برای مثال اگر PC1 منبعی را از PC2 درخواست کند نقش کلاینت را گرفته است و PC2 نقش سرور را گرفته است. همینطور اگر PC2 منبعی را از PC1درخواست کند نقششان عوض میشود.
معمولا، PAN ها مثال خوبی از یک شبکه P2P هستند.
شبکه های ویندوزی به صورت پیشفرض به صورت workgroup هستند. یعنی اگر اتصال فیزیکی بین چند کامپیوتر (windows) برقرار کنیم به شبکه P2P ایجاد کرده ایم.
شبکه های workgroup ساده ترین نوع شبکه هستند.
مدیریت متمرکز وجود ندارد. (هر کس مسئول کامپیوتر خودش است)
هر کامپیوتری database مخصوص خودش را دارد. به این معنی که حساب های موجود و ساخته شده در هر کامپیوتر فقط در همان کامپیوتر اعتبار دارند و میتوانند در همان کامپیوتر Login کنند.
هدف از شبکه های workgroup ، اشتراک گذاری فایل هاست.
سطح امینت آن پایین است.
هزینه ی راه اندازی این نوع شبکه پایین است.
معماری شبکه کلاینت سروری
Switching from P2P to Domain
اگر بنا به مسایل امنیتی یا مدیریتی بخواهیم شبکه را کنترل کنیم نیاز است یک سیستم مرکزی داشته باشیم. بنابراین از یک سرور که بر روی آن ویندوز سرور نصب شده است استفاده میکنیم تا بتوانیم شبکه را تحت کنترل خودمان بگیریم.
شبکه های –Domain کلاینت سروری
ویندوز سرور
در طول تاریخ، ویندوز سرور از یک سرور فایل ساده به یک سیستم عاملی که قادر است خدماتی نظیر مدیریت شبکه در محیط های پیچیده ای مانند شبکه های شرکتی ارایه دهد ، تبدیل شده است.
بنابراین ، ویندوز سرور می تواند سرویس های شبکه مانند کنترل کننده دامنه ، سرورهای وب ، پرینت سرور و فایل سرور را ارائه دهد.
ویندوز سرور اغلب به عنوان یک بستر مجزا عمل می کند که در آن برنامه های سازمانی مانند Exchange Server ، SQL Server ، SharePoint Server و دیگران اجرا می شوند.
از ویندوز سرور 2003 تا ویندوز سرور 2008 ، این معماری 32 بیتی و 64 بیتی بود. با این حال ، از ویندوز سرور 2012 تنها 64 بیتی است.
فایل سیستم NTFS به عنوان فایل سیستم اصلی ویندوز سرور قرار گرفته است.
از ویندوز سرور 2012 Resilient File System (ReFS) به عنوان جایگزین NTFS معرفی شد. با این حال همچنان در ویندوز سرور 2019 NTFS به عنوان فایل سیستم اصلی مورد استفاده قرار گرفته است.
نقش (Role) : مانند نرم افزاری است که سرور را قادر میسازد تا سرویس مشخصی را در شبکه ارایه دهد. مثل DHCP
ویژگی (Feature) : نرم افزار مستقلی که بعضی اوقات باید توسط Role ها نصب شوند. البته میتوانند مستقلا هم نصب شوند.
کنترل کننده دامنه
Domain controller تمامی اشیاء شبکه (مانند حساب های کاربری، کامپیوترها، پرینترها، فایل های اشتراکی و ...) را مدیریت میکند.
وجود DNS در domain باعث میشود که برای تبدیل اسم به IP از broadcast استفاده نشود (مشکلی که در شبکه های workgroup وجود دارد و باعث افزایش ترافیک شبکه می شود)
در حقیقت اگر قصد داریم یک شبکه مبتنی بر محصولات مایکروسافت را پیادهسازی و استفاده کنیم، ضروری است که یک کنترلکننده دامنه در اختیار داشته باشیم.
کنترلکننده دامنه راهکاری است که کامپیوترها و دستگاههای ما درون زیرساخت سرور شرکتهایمان را با یکدیگر مرتبط میکند، پس وجود آن ضروری است.
Domain Replication
میتوان برای کم کردن بار کاری سرور از بیشتر از یک دومین کنترلر استفاده کرد. علاوه بر آن به عنوان نسخه پشتیبان هم استفاده میشود. بنابراین اگر یکی از دومین کنترلر ها از کار بیوفتد، شبکه مختل نمیشود.
Tree
به مجموعه ی چند domain گفته میشود که از لحاظ نام مشترک اند، نسبت به هم trust دارند و از یک global catalog استفاده میکنند.
در طراحی ساختار Active Directory دومین را به صورت مثلث نشان میدهند.
برای نام گذاری حتما باید از یک پسوند ir/orgو ... استفاده کنیم.
Global catalog یک بانک اطلاعاتی است که در جستجوی اشیاء شبکه به ما کمک میکند.
با راه اندازی اولین دومین کنترلر، حتما همراهش GC ایجاد میشود.
Forest
به مجموعه ی چند domain گفته میشود که از لحاظ نام مشترک نیستند، نسبت به هم trust دارند و از یک GC استفاده میکنند.
هر tree برای خودش یک dns server مجزا دارد، زیرا نام هایشان متفاوت است.
Function Level
محدوده ی عملکرد domain controller ها را مشخص میکند.
اکتیو دایرکتوری
با نصب این نقش، سرور خود را به یک کنترلکننده دامنه تبدیل میکنید.
اکتیو دایرکتوری یک سرویس دایرکتوری است که محصولات ویندوز سرور را در بر میگیرد.
محصولات ویندوز سرور یعنی همان فایل های شیر شده در شبکه یا یوزر های ساخته شده در آن یا پرینترهای موجود در شبکه و یا از همه مهمتر دسترسی های موجود در شبکه را اکتیو دایرکتوری به صورت متمرکز درون خودش نگه داری میکند و به صورت تمیز و مرتب در اختیار مدیر شبکه قرار میدهد.
اکتیو دایرکتوری منابع را به صورت سلسله مراتبی در یک دامین سازماندهی میکند که این منابع یک سری گروه از سرور ها و منابع تحت شبکه هستند که یک دامنه واحد دارند.
هردامنه برای خود شامل یک یا چندین کنترلر است که یکی از انها درحال اجرا کردن ویندوز سرور میباشد.
اکتیودایرکتوری با متمرکز بخشیدن از یک نقطه مدیریت همه ی فعالیت ها را درون شبکه کنترل میکند چرا که اکتیودایرکتوری یک نقطه ورود واحد برای تمامی منابع شبکه است و مدیر شبکه قادر است که تغییرات مربوط درون شبکه را انجام دهد و وارد کامپیوتری شود و آنرا مدیریت کند.
اکتیودایرکتوری از سرویس دی ان اسDNS) ) استفاده میکند و قادر است که اطلاعات را با هر برنامه کاربردی و یا دایرکتوری مبادله کند.
عملیات AUTHENTICATION و AUTHORIZATION که عملیات تأیید هویت کاربر بعد از زدن رمز عبور و یوزرنیم انجام میپذیرد توسط همین Active Directory صورت میگیرد به این معنا است که هنگامی که سیستم عامل کاربران روشن میشود، آنها یوزر نیم و پسورد تعیین شده را وارد کرده و این اطلاعات به سمت سرور Active Directory مربوط به دامین رفته و در صورت صحیح بودن اطلاعات کاربری اجازه ورود کاربر به سیستم عامل خود را خواهد داد.
در Active Directory تمامی دسترسی هایی که به کاربران داده شده است توسط این سرویس اعمال میگردد و هنگام ورود کاربران اعمال میشود برای مثال مدیر شبکه اجازه اجرای برنامه را به شما نداده است. این قانون هنگام ورود شما به سیستم بعد از وارد کردن رمز عبور و تایید آن بر روی سیستم شما اعمال میگردد.
آشنایی با Group Policy یا GPO
یکی از مهمترین قابلیتهایی که در ویندوز سرور و AD وجود دارد، Group Policy است. درحقیقت با استفاده از کنسول مدیریتی Group Policy میتوان یکسری Group Policy Objects یا GPO ایجاد کرد که این GPOها مدیران را قادر میسازند تا بهراحتی بتوانند برای کاربران محدودیتهایی را اعمال کنند.
یکی از ویژگیهای اصلی سیستم عامل ویندوز، انعطافپذیری در انجام تنظیمات میباشد به این معنی که میتوان کوچکترین جزئیات را با استفاده از کنسول مدیریتی Group Policy کنترل کرد. به همین خاطر میتوان متناسب با نیازهای کاربران محدودیت هایی را درنظر گرفت تا کاربران نتوانند تغییراتی را در سیستم انجام دهند که باعث بروز مشکلاتی شود.
از این رو می توان گفت که یکی از اهداف اصلی در طراحی Group Policy اعمال محدودیت برروی مجموعه کارهایی است که کاربر میتواند با کامپیوتر انجام دهد.
تمامی تنظیمات GP ازطریق کنسول مدیریتی (Group Policy Management Consol) یا GPMC که در Administrative Tools قرار دارد، قابل دستیابی میباشند.
Policy:
سیاستی بوده که برای دستیابی به یک هدف در سازمان پیاده میشود.
Group Policy
به مجموعهای از سیاستها (یا Policyها) گفته میشود.
Object
یک شئ شامل مجموعهای از Policyها بوده که میتوان آن را به اشیاء موجود در دامنه اعمال کرد. یک GPO را میتوان به Site، Domain و OU اعمال کرد.
Scope
به محدودهای از کامپیوترها و کاربران که یک GPO برروی آنها اعمال میشود Scope آن GPO گفته میشود. درحالت استاندارد Scope میتواند Local، OU، Domain و یا Site باشد.
Local
هرکامپیوتر بهصورت محلی دارای یک GPO است که در خودش ذخیرهشده است و این GPO هم برای کاربر و هم کامپیوتر مورداستفاده قرار میگیرد.
Organizational Unit
دراین سطح جزئیترین تنظیمات GPO صورت میپذیرد که میتوان یکسری قوانین را برای بخشی از اشیاء یک دامنه که در زیرمجموعه یک OU قرار دارند، تعیین نمود.
Domains
دراین سطح تنظیمات GPO در دامنه قرارگرفته و بهکل اشیاء Userها و کامپیوترهایی که در دامنه وجود دارند، اعمال میگردند.
Sites
در این سطح مدیران سیستم میتوانند GPOها را بهکل یک سایت در AD اعمال و پیکربندی کنند که این تنظیمات بهکل دامنهها و سرورهایی که عضو سایت میباشند، اعمال میشوند
اولویت در Group Policy
همانطور که در تصویر هم مشاهده میکنید، هر چه به سمت پایین می رویم، اولیت بالاتر میرود. یعنی بر فرض اگر محدودیتی در سطح Local تعریف شود و محدودیتی در سطح Domain، محدودیت های سطح Domain بر روی محدودیت های Local بازنویسی (overwrite) میشوند.
اولویت میان کاربر و کامپیوتر
سیاست های سطح کاربر بر سیاست های سطح کامپیوتر ارجحیت دارند و بازنویسی می شوند.
DHCP Server
به معنی پروتکل پیکربندی پویای میزبان است.
به این وسیله ما می توانیم تنظیمات TCP/IP را به صورت خودکار به کلاینت های داخل شبکه اختصاص دهیم.
احتمال خطا را کاهش می دهد و در وقت صرفه جویی میکند.
سرور DHCP تنظیمات را برای مدت زمان خاصی به کلاینت ها در شبکه اختصاص میدهد و پس از گذشت زمان مشخص، کلاینت ها باید دوباره به DHCP سرور مراجه کنند و تنظیمات خود را درخواست بدهند.
DHCP Scope
مدیر شبکه میتواند با تعریف Scope، رنج یا محدوده ی آدرس IP هایی که سرویس DHCP میتواند داخل شبکه به interface ها اجاره بدهد را مشخص کند.
با تعریف Exclusion میتوانیم از اجاره ی یک سری IP در شبکه جلوگیری کنیم.
محدوده Reservation به این معناست که یک آی پی مشخص را به یک آدرس mac مشخص اختصاص میدهیم.
اگر در شبکه یک کلاینت آی پی مشخص شده ی زیر را گرفته بود به این معنی است که نتوانسته با DHCP ارتباط برقرار کند.
169.254.X.X
DHCP handshake
همانطور که در تصویر بالا نیز مشاهده میکنید، در 4 مرحله، IP و تنظیمات TCP/IP به سمت کاربر در نهایت فرستاده میشود. که این مراحل عبارتند از:
1. بسته Discovery : درخواست تخصیص IP به صورت Broadcast از سمت کاربر در سطح شبکه منتشر میشود. چون هنوز کاربر IP ندارد، آدرس mac خود را درون بسته قرار میدهد.
2. بسته Offer : سرور یکسری تنظیمات TCP/IP را به سمت کاربر ارسال میکند.(پیشنهاد میکند)
3. بسته Request : کاربر با بسته پیشنهادی موافقت میکند و درخواست اجاره IP را به سمت سرور میفرستد.
4. بسته Ack : سرور بسته تصدیق را به سمت کاربر ارسال میکند و از این پس کاربر میتواند با IP که از سرور دریافت کرده است درون شبکه فعالیت بکند.
DNS Server
وظیفه ی اصلی آن، تبدیل نام به آدرس IP است.
در شبکه برای این که کلاینت ها بتوانند با یکدیگر ارتباط برقرار کنند نیاز است تا با آدرس IP یک دیگر تعامل داشته باشند ولی به خاطر سپردن تعداد زیادی IP کار دشواری است و به همین خاطر از DNS سرور داخل شبکه استفاده میکنیم.
همانطور که در تصویر زیر هم مشاهده میکنید کاربر ابتدا به سراغ فایل host میرود و سپس DNS Cache سیستم خود. اگر همچنان نتیجه حاصل نشده بود به سراغ DNS Server های مختلف می رود تا به نتیجه ی خود برسد.
این پروسه پیچیده تقریبا هیچ تاخیری ندارد و کارها به سرعت انجام میشوند.
میتوان DNS را به یک دفترچه تلفن تشبیه کرد.
همچنین در تصویر زیر هم میتوانیم فرایند پیدا کردن آدرس IP گوگل را مرحله به مرحله مشاهده کنیم.
DNS Zone
عبارت Zone به معنای محدوده و قلمرو است.
در ساختار Dns،محدوده (zone) یک فضای مدیریت شده است و در واقع یک فایل است که درون آن تعدادی رکورد تعریف شده است. (برای مثال گوگل و آیپی متناظر با آن یک رکورد محسوب میشود.)
همانطور که در تصویر زیر نیز مشاهده میکنید، dns zone، دو نوع اصلی دارد:
اگر مثال دفترچه تلفن را به خاطر داشته باشیم، برای نظم دادن به لیست، بر اساس نام مرتب میکنند. در zone ها هم به همین صورت است. برای مثال اگر zone گوگل را در نظر بگیریم، تمامی زیرمجموعه های آن نظیر gmail.google.com و ... درون Zone اصلی قرار میگیرند. بدین ترتیب، هم نظم ساختاری ایجاد میشود و هم فرایند جستجو ساده تر میشود.
محدوده ی Dns، یا همان (dns zone) فارغ از این که از کدامین نوع باشند به 3 دسته تقسیم میشوند: Primary zone – Secondary zone –Stub zone
موضوع مهمی که اکثر مدیران شبکه نسبت به آن بی اهمیت هستند، بحث Round Robin است.
همانگونه که در تصویر بالا نیز مشاهده میکنید، به جای بالا بردن توان سخت افزاری سرور یا جایگزین کردن سرور با قدرت سخت افزاری بالا، میتوانیم از دو سرور معمولی کمکی برای متوازن کردن بار کاری در کنار سرور اصلی مان استفاده کنیم.
بدین صورت که درخواست هایی که از سمت شبکه به سمت swith شبکه ما می آید را توسط سرور dns بین سرور هایمان پخش میکنیم تا فشار زیادی به یک سرور وارد نشود.
در این گزارش سعی کردیم مروری بر ویندوز سرور Microsoft Network Manager داشته باشیم و تا حد خوبی با اجزاء آن آشنایی به دست آوریم.
بدرود.
منبع:
Windows Server 2019 Administration Fundamentals: A beginner’s guide to managing and administering Windows Server environments