12 مزیت برون سپاری مدیریت سرور

مدیریت سرور، چرا و چگونه؟

در این مطلب قصد داریم به شما کمک کنیم که تصمیم بگیرید که آیا تامین خدمات مدیریت سرور توسط یک مجموعه تخصصی تاثیر و مزایایی برای کسب و کار شما خواهد داشت یا خیر

سپردن مدیریت سرور به یک شرکت تخصصی، به‌ویژه برای کسب‌وکارهایی که به خدمات آنلاین و میزبانی وب وابسته‌اند، می‌تواند تصمیمی هوشمندانه باشد. در ادامه، دلایلی را از جنبه‌های مختلف بررسی می‌کنیم.

یک سرویس مدیریت شده از زبان PCMagazine بصورت خلاصه به معنای انجام زحمت کار بصورت حرفه ای و با تجهیزات و سامانه های به روز توسط مجموعه ای تخصصی در خارج از سازمان شماست.

1. صرفه‌جویی در زمان

مدیریت سرور نیازمند زمان زیادی برای نصب، پیکربندی، نظارت و رفع اشکال است. اگر بخواهید خودتان این کار را انجام دهید:

باید زمان زیادی را برای یادگیری مفاهیم اولیه و سپس حل مشکلات اختصاص دهید.
در صورت بروز مشکلات غیرمنتظره، ممکن است ساعت‌ها یا حتی روزها طول بکشد تا مسئله را برطرف کنید.
شرکت‌های تخصصی با داشتن تیم مجرب و ابزارهای پیشرفته می‌توانند مشکلات را سریع‌تر شناسایی و برطرف کنند.

مثال: تصور کنید یک وب‌سایت فروشگاهی دارید که به‌دلیل یک مشکل در سرور از دسترس خارج شده است. اگر تیم تخصصی مدیریت سرور داشته باشید، مشکل در کوتاه‌ترین زمان حل خواهد شد، اما اگر خودتان این کار را انجام دهید، ممکن است فروش قابل‌توجهی را از دست بدهید.

2. بهینه‌سازی هزینه‌ها

اگرچه در نگاه اول هزینه پرداخت به شرکت‌های تخصصی ممکن است زیاد به‌نظر برسد، اما در بلندمدت هزینه کمتری برای کسب‌وکار شما دارد:

استخدام یک مدیر سرور داخلی هزینه بیشتری دارد (حقوق ثابت، مزایا و غیره).
ابزارها و نرم‌افزارهای نظارتی و امنیتی گران‌قیمت هستند، اما شرکت‌های تخصصی به‌صورت اشتراکی از این ابزارها استفاده می‌کنند و هزینه آن‌ها در بین مشتریان تقسیم می‌شود.
هزینه‌های ناشی از خرابی سرور یا از دست رفتن داده‌ها به‌مراتب بیشتر از هزینه خدمات مدیریت سرور است.

3. دسترسی به دانش و تخصص پیشرفته

مدیریت سرور شامل موارد پیچیده‌ای مانند امنیت، بهینه‌سازی عملکرد، تنظیمات پیشرفته، و نظارت 24/7 است. شرکت‌های تخصصی تیم‌هایی دارند که:

با جدیدترین تکنولوژی‌ها و پروتکل‌های امنیتی آشنا هستند.
تجربه زیادی در مدیریت سناریوهای مختلف دارند.
در مواقع بحرانی می‌توانند سریع‌تر و دقیق‌تر عمل کنند.

مثال فنی: پیکربندی یک سرور به‌گونه‌ای که از حملات DDoS جلوگیری شود، نیازمند دانش عمیقی در زمینه فایروال‌ها و شبکه است. یادگیری و اجرای این تنظیمات به‌صورت شخصی ممکن است زمان‌بر و پرخطر باشد.

4. امنیت بالاتر

امنیت داده‌ها و سرور از حیاتی‌ترین دغدغه‌های هر کسب‌وکاری است. شرکت‌های مدیریت سرور:

نظارت مداوم بر سرور دارند و به‌سرعت تهدیدات را شناسایی می‌کنند.
از ابزارهای پیشرفته امنیتی استفاده می‌کنند که ممکن است هزینه خرید آن‌ها برای شما به‌صرفه نباشد.
به‌طور منظم به‌روزرسانی‌ها و پچ‌های امنیتی را اعمال می‌کنند.

اگر امنیت سرور خود را به‌درستی مدیریت نکنید، ممکن است قربانی هک، سرقت داده‌ها یا حملات سایبری شوید که می‌تواند خسارات مالی و اعتباری سنگینی به همراه داشته باشد.

5. پشتیبانی 24/7

سرورها ممکن است در هر لحظه از شبانه‌روز دچار مشکل شوند. شرکت‌های مدیریت سرور معمولاً تیم‌های پشتیبانی 24/7 دارند که:

به‌صورت دائمی سرور شما را زیر نظر دارند.
در صورت بروز مشکل به‌سرعت وارد عمل می‌شوند.
اطمینان می‌دهند که حداکثر زمان آپتایم (Uptime) برای سرور شما فراهم باشد.

اگر بخواهید خودتان این کار را انجام دهید، باید دائماً آماده باشید و حتی در نیمه‌شب نیز احتمالاً مجبور به رفع مشکلات خواهید شد.

6. بهبود عملکرد و کارایی

شرکت‌های مدیریت سرور به دلیل تجربه و تخصص خود می‌توانند سرور شما را به‌گونه‌ای پیکربندی کنند که بهترین عملکرد را داشته باشد:

بهینه‌سازی منابع سرور (CPU، RAM و فضای دیسک).
کاهش زمان بارگذاری (Load Time) که تأثیر مستقیم بر تجربه کاربری و سئو دارد.
ارائه پیشنهاداتی برای ارتقاء یا تغییر منابع در صورت رشد کسب‌وکار شما.

اگر خودتان این کار را انجام دهید، ممکن است پیکربندی نادرستی انجام دهید که باعث هدررفت منابع یا کاهش کارایی شود.

7. تمرکز بر کسب‌وکار اصلی

وقتی مدیریت سرور را به یک شرکت تخصصی بسپارید:

می‌توانید وقت و انرژی خود را صرف رشد و توسعه کسب‌وکار خود کنید.
از نگرانی‌های مربوط به نگهداری و مدیریت سرور خلاص می‌شوید.
تیم شما می‌تواند بر اهداف اصلی تمرکز کند، نه مسائل فنی پیچیده.

8. دسترسی به SLA (توافق‌نامه سطح خدمات)

بیشتر شرکت‌های مدیریت سرور SLA ارائه می‌دهند که در آن تعهد می‌کنند خدمات باکیفیت ارائه دهند. این شامل:

تضمین زمان پاسخ‌گویی.
تعهد به حل مشکلات در زمان معین.
جبران خسارت در صورت عدم رعایت SLA.

در مقابل، اگر خودتان مدیریت را بر عهده داشته باشید، هیچ ضمانتی برای رفع سریع مشکلات وجود ندارد.

9. مقایسه در سناریوهای واقعی

خرابی سرور: اگر شما تخصص کافی نداشته باشید، رفع خرابی ممکن است ساعت‌ها طول بکشد، اما شرکت‌های مدیریت سرور در کوتاه‌ترین زمان آن را برطرف می‌کنند.
ارتقاء منابع: تیم‌های تخصصی با تجزیه‌وتحلیل دقیق، منابع موردنیاز را پیشنهاد می‌دهند. اما اگر خودتان این کار را انجام دهید، ممکن است منابع اضافی و غیرضروری تهیه کنید که باعث افزایش هزینه شود.

10. کاهش ریسک و خطا

انجام تنظیمات و مدیریت سرور توسط افراد غیرمتخصص می‌تواند منجر به:

خرابی‌های غیرمنتظره.
از دست رفتن داده‌ها.
تنظیمات امنیتی ضعیف و آسیب‌پذیری در برابر حملات.

شرکت‌های تخصصی با داشتن فرآیندها و پروتکل‌های استاندارد، این ریسک‌ها را به حداقل می‌رسانند.

11. ارتقای سئو

به دلیل پایداری بهتر سایت شما رتبه بالاتری دریافت خواهد کرد.
بهینه سازی سرویس ها منجر به افزایش سرعت فراخوانی سایت و یا برنامه شما خواهد شد که باعث افزایش رتبه سایت شما خواهد شد.

12. دریافت مشاوره تخصصی:

با حضور یک تیم تخصصی در کنار خود، در زمان های ضروری می توانید از تخصص ایشان برای استفاده در توسعه کسب و کار خود مشاوره بگیرید.
در دسترس بودن مشاور متخصص در حوزه فن آوری اطلاعات به شما کمک شایانی در تصمیم گیری های مهم برای سایت و یا برنامه شما خواهد بود.

نتیجه‌گیری:

سپردن مدیریت سرور به یک شرکت تخصصی نه‌تنها باعث بهبود عملکرد و امنیت سرور می‌شود، بلکه از لحاظ زمانی و هزینه‌ای نیز به‌صرفه‌تر است. این کار به شما اجازه می‌دهد روی اهداف اصلی کسب‌وکار خود تمرکز کنید و نگرانی‌های فنی را به افراد حرفه‌ای بسپارید. چنانچه نیازمند خدمات مدیریت سرور برای بهبود عملکرد و کاهش هزینه های نگهداری نرم افزار و یا سایت خود هستید، در تماس با ما تردید نکنید.

Windows Server 2012: آموزش مدیریت Core Mode | بخش دوم

زاگریو5 تیر 1401

5.6kviews

در بخش اول آموزش نصب Windows Server 2012 Core Edition ، را به شما آموزش دادیم، در این بخش نحوه مدیریت کردن این سیستم (آموزش مدیریت Core Mode) را از طریق روش‌های مختلف به شما آموزش می‌دهیم، تا به صورت کامل با مبحث Windows Server 2012، آشنا شوید.

آموزش مدیریت سرور – Core Mode – بخش دوم | Windows Server 2012

با توجه به اینکه در این نسخه شما فقط با یک Command Prompt سر و کار دارید بهترین منبع آموزشی شما تایپ دستور help و زدن enter است. در این آموزش با استفاده از دستور sconfig.cmd آموزش را به پیش می‌بریم.
نکته مهم: در انتهای این آموزش برای کنترل و مدیریت این سرور به یک سیستم کلاینت ویندوز ۸ با یک سرور ۲۰۱۲ با GUI برای تنظیمات پیشرفته نیاز داریم.

با زدن دستور sconfig.cmd به محیطی وارد می‌شویم که در زیر آن را مشاهده می‌نمائید.

آموزش مدیریت Core Mode در اولین مرحله بهتر است با انتخاب گزینه ۲ نام کامپیوتر را به نام دلخواه خود تغییر دهیم، در این مرحله سیستم تقاضای reboot می‌کند.

Manage-Windows-Server-2012-Core-02 پس از reboot شدن مجددا دستور sconfig.cmd را بزنید، با انتخاب گزینه ۱ می‌توانید سرور خود را به دامنه (خرید دامنه) متصل نمائید، در این آموزش ما سرور را به دامین متصل نمی‌کنیم، اما لازم است برای سیستم با انتخاب گزینه ۸ یک IP تعریف کنیم.

حرف S را به معنای Static انتخاب کنید و IP و DNS مورد نظر خود را وارد نمائید و با زدن دکمه ۴ به منوی اصلی برگردید.

با در نظر داشتن اینکه Remote Management (نه Remote Desktop) فعال است باید بر روی سیستم کلاینت ویندوز ۸ خود برنامه Powershell را با دسترسی Administartor باز کنیم.

حالا دستور زیر را وارد نمائید، <YourtargetServernameHere> را با نام سرور خود (Netbios و FQDN) پر نمائید.

Set-Item WSMan:\localhost\Client\TrustedHosts -Value <YourtargetServernameHere> –Force

حتما قبل از زدن دستور فوق یک بار تلاش کنید با استفاده از نام سرور، سرور خود را ping نمائید تا از درست بودن نام‌ها مطمئن شوید.
در این مرحله لازم است ابزار Remote Server Administration Tool برای ویندوز ۸ را دانلود کنید. پس از نصب RSAT با زدن دکمه Start برنامه‌های نصب شده جدید را پیدا کنید و بر روی Server Manager کلیک کنید.

پس از اجرا بر روی Add other servers to manage کلیک کنید.

درصورتی‌که سیستم‌ها در دامین باشند به صورت خودکار لیست سرورها بروز می‌شود. با توجه به اینکه در این آموزش ما در دامین قرار نداریم باید به صورت دستی آن را وارد نمائیم.
بر روی تب DNS کلیک کنید، نام سرور موردنظر خود را وارد نمائید، پس از نمایش آدرس IP مطابق تصویر پیش روید.

بر روی All Servers در قسمت چپ کلیک کنید، با خطای Kerberos مواجه می‌شوید. این موضوع به دلیل این است که شما اطلاعات دسترسی به سرور را وارد نکرده‌اید. بر روی سرور دکمه راست موس را بزنید و گزینه Manage As را انتخاب نمائید.

اطلاعات کاربری و رمز عبور را وارد نمائید.

در بازگشت با پیغام In Progress مواجه می‌شوید.

پس از اتمام باید خروجی شبیه عکس زیر باشد.

حالا بر روی سرور دکمه راست را بزنید تا لیست امکانات سرور را مشاهده نمائید.

حالا می‌توانید Role و Feature های موردنظر خود را نصب نمائید. در این آموزش شما موفق به مدیریت سیستم Windows Server 2012 گردیدید.

10 ویژگی سیستم عامل Microsoft Nano Server

زاگریو19 خرداد 1401

4.4kviews

در این مطلب، قصد داریم موضوع جذاب Microsoft Nano Server را بررسی کرده و 10 ویژگی سیستم عامل Microsoft Nano Server، را به طور کامل برای شما توضیح دهیم. پس برای آموزشی دیگر، با زاگریو همراه باشید.

10 ویژگی سیستم عامل Microsoft Nano Server

در ادامه به بررسی ویژگی‌های متفاوت سیستم عامل Microsoft Nano Server، از جمله Nano Server چیست؟ ، آیا نانو سرور جایگزین Windows Server خواهد شد ‌‌و اینکه چه موقع Nano Server منتشر خواهد شد؟ ‌‌خواهیم پرداخت.

۱. Nano Server چیست؟

نانو سرور یک نسخه مقایسه‌ای headless از WindowsServer است که مایکروسافت در حال توسعه آن تحت نام کد Tuva است. این نسخه برای اجرای خدمات و مدیریت کاملا از راه دور طراحی شده است. مایکروسافت نانو سرور را تحت عنوان «یک سیستم عامل که با هدف اجرای نرم‌افزارها و محتوا در Cloud طراحی شده است.» توصیف می‌کند.

۲. تفاوت Nano Server با Windows Server چیست؟

اول اینکه نانو سرور یک نسخه کاملا Headless (بی‌سر) بدون GUI است و اینکه نانو یک ردپای خیلی کوچکتر از WindowsServer است critical bulletins کمتر و ۸۰% Reboot کمتر نیاز دارد.

یک سیستم عامل کوچکتر منجر به داشتن سیستمی خواهد شد که نرم‌افزارهای سیستمی کمتری دارد و نتیجتا نیاز به نگهداری کمتری در مقابل مشکلات امنیتی خواهد داشت به نصب سیستم عامل‌های فعلی ویندوز. این مورد همچنین پایداری سیستم را نیز افزایش خواهد داد. این فیلم از مایکروسافت نشان می‌دهد که نانو سرور با ۱TB حافظه رم و بیش از ۱۰۰۰ ماشین مجازی نانو سرور در حال فعالیت است.

۳. Nano Server هیچ رابط گرافیکی کاربر (GUI) یا مدیریت محلی دارد؟

Nano Server رابط گرافیکی کاربر (GUI) ندارد و برخلاف Windows Server Core بدون خط فرمان (command prompt) و کنسول PowerShell است. نانو سرور حتی local login هم ندارد. به طور کلی Nano Server برای حمایت و پشتیبانی از خدمات طراحی شده است.

۴. آیا Nano Server می‌تواند برنامه‌های کاربردی ویندوز را به طور منظم اجرا کند؟

خیر، شما نمی‌توانید برنامه‌های کاربردی رابط گرافیکی کاربر ویندوز را بر روی نانو سرور اجرا کنید. Nano Server برای ارائه خدمات زیرساخت طراحی شده است.

۵. اگر Nano Server برنامه‌های کاربردی ویندوز را اجرا نمی‌کند پس چه چیزی اجرا می‌کند؟

مایکروسافت دو سناریوی اصلی در مورد نانو سرور ارائه می‌دهد.

خدمات زیرساخت سرور Cloud از قبیل (Hyper-v، Hyper-V cluster، Scale-Out File Servers (SOFSs و نرم‌افزارهای born-in-the-cloud که در حال اجرا بر روی ماشین‌های مجازی (virtual machines) ، containers و یا پلت‌فرم‌های توسعه‌یافته هستند که به UI بر روی سرور نیاز ندارند. نانو سرور از runtime های مختلف مانند C# ، Java ، Node.js و Python پشتیبانی می‌کند. Nano Server یک API سازگار با ویندوز سرور خواهد بود، با زیرمجموعه‌ای از اجزایی که نانو فراهم می‌کند.

۶. علاوه بر GUI و command shell مایکروسافت چه چیزی را از WindowsServer برای ساخت نانو سرور حذف کرده است؟

علاوه بر حذف GUI و command shell، مایکروسافت پشتیبانی از ۳۲ بیت (WOW64)، از نصب MSI و بسیاری از Server Core components ها را حذف کرده است.

۷. شما چگونه می‌توانید Nano Server را بدون GUI و command prompt مدیریت کنید؟

تمام مدیریت Nano از راه دور با استفاده از WMI و PowerShell انجام می‌شود. مایکروسافت همچنین اعلام کرده است که نانو نقش‌های ویندوز سرور و ویژگی‌های پشتیبانی را با استفاده از ویژگی‌های on Demand and DISM (Deployment Image Servicing and Management) خواهد داشت.

نانو سرور همچنین انتقال فایل از راه دور، نوشتن اسکریپت از راه دور و اشکال‌زدایی از راه دور از Visual Studio را پشتیبانی می‌کند. مایکروسافت همچنین اعلام کرد که ابزار مدیریت مبتنی بر وب را برای Nano Server فراهم می‌کند.

۸. آیا نانو سرور جایگزین Windows Server خواهد شد؟

خیر، Nano Server برای زیرساخت‌های تخصصی سرور طراحی شده است. نانو سرور می‌تواند به عنوان یک گزینه نصب از تنظیمات برنامه WindowsServer نصب شود مانند ServerCore. مایکروسافت نسخه‌های جدیدی از Windows Server را به عنوان یک هدف کلی سیستم عامل سرور برای آینده قابل پیش بینی منتشر خواهد کرد.

۹. چه موقع Nano Server منتشر خواهد شد؟

مایکروسافت اعلام نکرده است که چه زمانی نانو سرور در دسترس خواهد بود. با این حال چون یک گزینه از Windows Server است انتظار می‌رود که با نسخه جدید Windows Server in 2016 منتشر شود.

۱۰. کجا می‌توانیم اطلاعات بیشتری در مورد Nano Server بدست بیارویم؟

شما می‌توانید از Windows Server Blog در مورد آینده نانو سرور اطلاعات بدست آورید. همچنین مایکروسافت در مورد نانو سرور اطلاعات بیشتری را در BUILD و Ignite منتشتر خواهد کرد.

روشن و خاموش کردن فایروال ویندوز با استفاده از دستورات

زاگریو19 فروردین 1401

4.3kviews

این مقاله توضیح می‌دهد که چگونه به سرعت می‌توانید فایروال ویندوز را خاموش و یا روشن کنید. این دستورات را برای ویندوز ویستا، ویندوز ۷ و ویندوز سرور ۲۰۰۸ قابل استفاده است.

روشن و خاموش کردن فایروال ویندوز با استفاده از دستورات

فایروال بر روی کامپیوترهایی که ویندوز ویستا، ویندوز ۷ و ویندوز سرور ۲۰۰۸ دارند به صورت پیش‌فرض فعال است. ممکن است شما به دلایل مختلف نیاز داشته باشید که فایروال را خاموش کنید. با استفاده از این دستورات می‌توانید فایروال را خیلی سریع روشن و یا خاموش کنید.

روشن و خاموش کردن فایروال

برای خاموش کردن فایروال از دستور زیر استفاده کنید:

NetSh Advfirewall set allprofiles state off

برای روشن کردن فایروال از دستور زیر استفاده کنید:

NetSh Advfirewall set allrprofiles state on

برای بررسی وضعیت فایروال از دستور زیر استفاده کنید:

Netsh Advfirewall show allprofiles

Windows PowerShell Web Access: آموزش نصب و استفاده

زاگریو19 تیر 1397

3.2kviews

Windows PowerShell Web Access که اولین بار در ویندوز سرور ۲۰۱۲ ارائه شد، به عنوان دروازه Windows PowerShell و کنسول Windows PowerShell مبتنی بر وب که هدفش کنترل سیستم‌های راه دور است، عمل می‌کند. این نرم‌افزار این مزیت را دارد که دستورات و اسکرپیت‌ها windows PowerShell را از کنسول windows PowerShell در یک مرورگر اجرا کنند بدون اینکه نیاز باشد windows PowerShell یا نرم‌افزار remote management و یا پلاگین‌های مرورگر بر روی دستگاه مشتری نصب شده باشد. Windows PowerShell Web Access به کاربران اجازه می‌دهد که با استفاده از Windows PowerShell در یک مرورگر وب به کامپبوترهایشان در سازمان دسترسی داشته باشند.

مواردی که ما برای اجرای کنسول Windows PowerShell Web Access مبتنی بر وب نیاز داریم یک دروازه Windows PowerShell Web Access است که به درستی پیکربندی شده باشد و یک مرورگر در دستگاه مشتری که از JavaScript® و کوکی پشتیبانی کند.

برای اجرای Windows PowerShell Web Access به وب سرور IIS، .NET Framework 4.5 و Windows PowerShell 3.0 و یا Windows PowerShell 4.0 نیاز داریم.

مرورگر و دستگاه های مشتری که پشتیبانی می کنند

Windows PowerShell Web Access تمامی مرورگرهای زیر را پشتیبانی می‌کند:

• Windows® Internet Explorer® for Microsoft Windows® ۸٫۰, ۹٫۰, ۱۰٫۰, and 11.0

• Mozilla Firefox® ۱۰٫۰٫۲

• Google Chrome™ ۱۷٫۰٫۹۶۳٫۵۶m for Windows

• Apple Safari® ۵٫۱٫۲ for Windows

• Apple Safari 5.1.2 for Mac OS®

اگر چه مرورگرهای تلفن همراه به طور رسمی پشتیبانی نمی‌شوند اما بسیاری از آن‌ها ممکن است قادر به اجرای کنسول Windows PowerShell مبتنی بر وب باشند. مرورگرهایی که کوکی‌ها را می‌پذیرند و جاوا اسکریپت را اجرا می‌کنند و با وب سایت‌های HTTPS کار می‌کنند ممکن است که توسط این نرم افزار پشتیبانی شوند اما به طور رسمی آزمایش نشده‌اند.

Windows PowerShell Web Access در سه مرحله نصب و کانفیگ می‌شود:

۱- مرحله اول نصب PowerShell Web Access است.

۲- مرحله دوم کانفیگ Gateway است.

۳- مرحله سوم کانفیگ قوانین مجازی که به کاربران اجازه می‌دهد به کنسول Windows PowerShell مبتنی بر وب دسترسی داشته باشند.

در ادامه ما مراحل نصب و کانفیگ را برای شما ارائه می‌دهیم:

مرحله اول: نصب Windows PowerShell Web Access

نصب Windows PowerShell Web Access با استفاده از cmdlet های Windows PowerShell Web Access

۱- برای باز کردن Windows PowerShell Web Access یکی از مراحل زیر را انجام دهید:

در دسکتاپ ویندوز از قسمت taskbar بر روی Windows PowerShell راست کلیک کنید و گزینه Run as Administrator را کلیک کنید.
در صفحه نمایش شروع ویندوز بر روی Windows PowerShell راست کلیک کنید و گزینه Run as Administrator را کلیک کنید.

۲- در ادامه دستور زیر را تایپ کنید و کلید enter کنید. computer_name، نام کامپیوتر راه دوری است که شما می‌خواهید بر روی آن Windows PowerShell Web Access نصب کنید را نمایش می‌دهد. پارامترهای راه‌اندازی مجدد در صورت نیاز به صورت اتوماتیک در سرور مقصد راه اندازی می‌شوند.

Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools –Restart

۳- هنگامی‌که نصب کامل شد، بررسی کنید که PowerShell Web Access که بر روی سرورهای مقصد با اجرای cmdletهای Get-WindowsFeature نصب شده بود، در کنسول Windows PowerShell که توسط کاربران سطح بالا باز شده، نصب است. شما همچنین می‌توانید Windows PowerShell Web Access که بر روی کنسول مدیریت سرور نصب شده است را با انتخاب سرور مقصد در صفحه All Server بررسی کنید و تقش‌ها و ویژگی‌ها را برای سرور انتخاب شده مشاهده نمائید. شما همچنین می‌توانید فایل Readme را برای Windows PowerShell Web Access ببینید.

۴- بعد از اینکه Windows PowerShell Web Access نصب شد، شما باید فایل Readme را مرور کنید که شامل دستورات پایه و دستورالعمل‌های موردنیاز برای تنظیم Gateway باشد. فایل Readme در مسیر C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt قرار دارد.

مرحله دوم: پیکربندی gateway برای Windows PowerShell Web Access

استفاده از Install-PswaWebApplication cmdlet یک راه سریع برای پیکربندی Windows PowerShell Web Access است. اگرچه شما می‌توانید پارامتر UseTestCertificate به Install-PswaWebApplication cmdlet جهت نصب یک گواهینامه self-signed SSL certificate برای تست اهداف آزمایشی اضافه کنید، اما این روش مطمعن و امنی نیست. برای ایجاد یک محیط امن از یک گواهینامه SSL که توسط یک مرجع صدور معتبر امضا شده است، استفاده کنید. مدیران می‌توانند گواهی تست را با یک گواهی امضادار به انتخاب خود و با استفاده از کنسول IIS Manager جایگزین کنند. در ادامه ما دو روش پیکربندی دروازه Windows PowerShell Web Access را برای شما ارائه می‌دهیم.

پیکربندی دروزاه Windows PowerShell Web Access با یک گواهینامه تست با استفاده از Install-PswaWebApplication:

۱- برای باز کردن Windows PowerShell Web Access یکی از گزینه‌های زیر را انتخاب کنید:

در دسکتاپ ویندوز، از قسمت Taskbar بر روی Windows PowerShell راست کلیک کنید.
در صفحه شروع ویندوز بر روی Windows PowerShell کلیک کنید.

۲- دستور زیر را تایپ کنید و کلید Enter را بزنید.

Install-PswaWebApplication –UseTestCertificate

پیکربندی دروازه Windows PowerShell Web Access با گواهینامه واقعی با استفاده از Install-PswaWebApplication و IIS Manager:

۱- برای باز کردن Windows PowerShell Web Access یکی از گزینه‌های زیر را انتخاب کنید:

در دسکتاپ ویندوز، از قسمت Taskbar بر روی Windows PowerShell راست کلیک کنید.
در صفحه شروع ویندوز بر روی Windows PowerShell کلیک کنید.

۲- دستور زیر را تایپ کنید و کلید Enter را بزنید.

Install-PswaWebApplication

تنظیمات Gateway که در ادامه آمده است، در حال اجرای cmdlet پیکربندی شده است. شما می‌توانید این تنظیمات را به صورت دستی در کنسول IIS manager در صورت دلخواه تغییر دهید. شما می‌توانید مقادیر پارامترهای WebsiteName و WebApplicationName را در Install-PswaWebApplication cmdlet مشخص کنید.

• Path: /pswa

• ApplicationPool: pswa_pool

• EnabledProtocols: http

• PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

۳- کنسول IIS Manager را با استفاده از یکی از روش‌های زیر باز کنید.

در دسکتاپ ویندوز با کلیک بر روی Server manager در taskbar آنرا start کنید. در منوی tools در server manager بر روی Internet Information Services (IIS) Manager کلیک کنید.
در صفحه نمایش شروع ویندوز بر روی server manager کلیک کنید.

۴- در پنجره درخت IIS Manager، گره‌ای را که سرور Windows PowerShell Web Access بر روی آن نصب شده است را گسترش دهید تا پوشه Site برای شما نمایش داده شود. پوشه های سایت را گسترش دهید.

۵- وب‌سایتی که نرم‌افزار وب Windows PowerShell Web Access را بر روی آن نصب کرده‌اید را انتخاب کنید. در پنجره Actions بر روی گزینه Bindings را کلیک کنید.

۶- در کادر محاوره‌ای Site Binding بر روی Add کلیک کنید.

۷- در کادر محاوره‌ای Add Site Binding در فیلد Type گزینه Https را انتخاب کنید.

۸- در فیلد SSL certificate، از منوی آبشاری signed certificate خود را انتخاب و ok کنید.

نرم افزار وب Windows PowerShell Web Access اکنون برای استفاده بر روی signed SSL certificate شما پیکربندی شده است. با وارد کردن آدرس https://<server_name>/pswa دریک پنجره مرورگر می توانید به Windows PowerShell Web Access دسترسی داشته باشید.

مرحله سوم: پیکربندی یک قانون با مجوز محدود

بعد از نصب PowerShell Web Access و پیکربندی Gateway کاربران می‌توانند وارد صفحه ورود شوند اما تا زمانی که مدیر Windows PowerShell به آنها اجازه دسترسی ندهد نمی‌توانند وارد سایت شوند. دسترسی‌های PowerShell Web Access با استفاده از مجموعه‌ای از Cmdlet های Windows PowerShell که در جدول زیر شرح داده شده است قابل کنترل است.

برای اضافه کردن قانون با مجوز محدود:

۱- یکی از گزینه‌های زیر را برای باز کردن Windows PowerShell با استفاده از کاربران با حقوق بالا انتخاب کنید:

در دسکتاپ ویندوز، از قسمت Taskbar بر روی Windows PowerShell راست کلیک کنید و بر روی گزینه Run as Administartor کلیک کنید.
در صفحه نمایش شروع ویندوزبر روی Windows PowerShell راست کلیک کنید و بر روی گزینه Run as Administartor کلیک کنید.

۲- مراحل اختیاری را برای محدود کردن دسترسی کاربران با استفاده از تنظیمات Using Session انجام دهید.

۳- در ادامه دستور زیر را تایپ کنید و Enter را بزنید.

Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

۴- شما می‌توانید قانونی را که ایجاد کردید با استفاده از Get-PswaAuthorizationRule cmdlet چک کنید.

تنظیمات معمولی:

مرحله اول: نصب Windows PowerShell Web Access

به منظور نصب Windows PowerShell Web Access با استفاده از Add Roles and Features Wizard:

۱- اگر server manager باز است به مرحله بعد بروید اما اگر باز نیست به یکی از روش‌های زیر اینکار را انجام دهید:

در صفحه دسکتاپ ویندوز با کلیک بر روی server manager در قسمت taskbar ،server manager را باز کنید.
یا در قسمت start ویندوز بر روی server manager کلیک کنید.

۲- از منوی manage بر روی Add Roles and Features کلیک کنید.

۳- در صفحه Select installation type، گزینه Role-based or feature- based installation را انتخاب کنید و next را کلیک کنید.

۴- در صفحه Select destination server یک سرور را از مجموعه سرورها و یا یک offline VHD را انتخاب کنید. برای انتخاب VHD آفلاین به عنوان سرور مقصد، ابتدا سروری که VHD روی آن بارگذاری می‌شود را انتخاب کنید و سپس فایل VHD را برای اطلاعات مربوط به چگونگی اضافه کردن سرور به مجموعه سرورها قسمت Server manager help بروید. پس از انتخاب سرور مقصد بر روی گزینه next کلیک کنید.

۵- در صفحه Select features از ویزاد، Windows PowerShell را باز کنید و سپس Windows PowerShell Web Access را انتخاب کنید.

۶- توجه داشته باشید که باید گزینه‌های مورد نیاز را مانند .NET Framework 4.5 و نقش خدمات (Web Server (IIS را اضافه کنید. گزینه‌های مورد نیاز را اضافه کرده و ادامه دهید.

نکته: نصب Windows PowerShell Web Access با استفاده از Add Roles and Features ،Web server را که IIS Manager snap-in را در برمی‌گیرد را نیز نصب می‌کند. span-in و دیگر ابزارهای مدیریت IIS اگر از Add Roles and Features Wizard استفاده کنید به صورت پیش‌فرض نصب هستند. اگر Windows PowerShell Web Access را با استفاده از Windows PowerShell cmdlets، همان‌طور که زیر آمده است نصب کنید، ابزارهای مدیریت به صورت پیش‌فرض نصب نمی‌شوند.

۷- در صفحه Confirm installation selections، اگر فایل‌های PowerShell Web Access در سروری که در مرحله ۴ انتخاب کرده‌اید، ذخیره نشده‌اند روی Specify an alternate source path کلیک کنید و مسیر را از روی فایل‌ها اعمال کنید در غیر این‌صورت Install را کلیک کنید.

۸- بعد از اینکه Install را زدید، در صفحه Installation progress، پیشرفت مراحل نصب، نتیجه و پیام‌هایی از جمله هشدارها، خطاها و یا مراحل تایید پس از نصب موردنیاز برای نصب Windows PowerShell Web Access را نشان می‌دهد. پس از اینکه Windows PowerShell Web Access نصب شد باید فایل Readme را مطالعه‌ای مختصر بنمائید زیرا دستورالعمل‌های ابتدایی موردنیاز برای مسیر دریچه (Gateawy) را در برمی‌گیرد. این دستورالعمل‌ها در همین قسمت هم نیز آورده شده‌اند. مسیر فایل Readme این است. C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

مرحله دوم: پیکربندی Gateway

دستورالعمل‌های این قسمت برای نصب برنامه PowerShell Web Access در یک فهرست فرعی – و نه در یک مسیر اصلی – وب‌سایت هستند. این فرآیند معادل GUI محور اقدامات انجام شده توسط Install – psw a web application است.

این بخش همچنین دستورالعمل‌هایی برای چگونگی استفاده از IIS manager به منظور پیکربندی مسیر Gateway در Windows PowerShell Web Access به عنوان وب سایت اصلی است.

استفاده از IIS manager برای پیکربندی مسیر Gateway در سایت موجود.

استفاده از IIS manager برای پیکربندی مسیر Gateway به عنوان یک وب‌سایت اصلی با گواهی قسمت.

استفاده از IIS manager برای پیکربندی مسیرGateway در سایت موجود:

۱- کنسول IIS manager را به یکی از روش‌های زیر باز کنید.

در صفحه دسکتاپ server manager را با کلیک بر روی آن در قسمت task bar ویندوز باز کنید. در منوی tools بر روی Internet Information server manager کلیک کنید.
در قسمت Start ویندوز بخشی از عبارت Internet Information server manager را تایپ کنید. روی Shortcut که در قسمت Apps ایجاد می‌شود کلیک کنید.

۲- یک مخزن نرم‌افزار برای PowerShell Web Access ایجاد کنید.گره Gateway Server را در پنجره درخت IIS Manager گسترش دهید و گزینه Application tools را انتخاب کنید و روی گزینه Add application tools در پنجره Action کلیک کنید.

۳- یک مخزن نرم‌افزار جدید با نام pswa_pool اضافه کنید و بر روی OK کلیک کنید.

۴- در قسمت پنجره درخت IIS Manager، گره‌ای که PowerShell Web Access بر روی آن نصب است را باز کنید تا پوشه Site پدیدار شود، آن را انتخاب کنید.

۵- بر روی وب‌سایتی (برای مثال default website) که می‌خواهید وب‌سایت PowerShell Web Access را به آن اضافه کنید راست کلیک کرده و سپس add application را بزنید.

۶- در قسمت Alias، PowerShell Web Access را تایپ کنید یا یک Alias دیگر را ارائه کنید. این Alias نام راهنمای مجازی می‌شود. مثلا pswa در URL زیر نشان‌دهنده نام عاریتی در این مرحله است. https://<servername>/pswa

۷- در قسمت Applicatin pool، مخزن برنامه‌ای که در مرحله ۳ ایجاد کرده بودید را انتخاب کنید.

۸- در قسمت Physical path، محل برنامه را مشخص کنید. می‌توانید از محل پیش‌فرض انتخاب کنید: windir/web و سپس ok را کلیک کنید.

۹- مراحل ذکر شده در قسمت پیکربندی گواهی SSL در IIS manager همین مقاله را بخوانید.

۱۰- مرحله امنیتی اختیاری: وقتی که وب‌سایت در پنجره درخت انتخاب شده است، در پنجره محتوا بر روی SSL Setting دابل کلیک کنید. گزینه repaire SSL را انتخاب کنید، سپس در پنجره actions روی گزینه apply کلیک کنید. می‌توانید در صورت تمایل در پنجره SSL
setting از کاربران متصل به وب سایت WPWA درخواست گواهی سرویس گیرنده کنید. گواهی سرویس‌گیرنده به شما کمک می‌کند هویت سرویس گیرنده را بررسی کنید.

۱۱- وب سایت Windows PowerShell Web access را باز کنید https://<Gateway-server-name>/pswa

مرورگر باید صفحه کنسول Windows PowerShell Web Access را نشان دهد.

نکته: تا زمانی که به کاربران امکان دسترسی به سایت یا اضافه کردن قوانین داده نشود شما نمی‌توانید وارد سایت شوید.

۱۲- در یک قسمت از Windows PowerShell که با حقوق و امکانات بالا (Run as administrator) باز شده است، فایل آغازگر زیر را که در آن application_pool_name نشان‌دهنده نام مخزن برنامه‌ای است که در مرحله ۳ ایجاد کردید را اجرا کنید تا به مخزن برنامه امکان دسترسی به فایل‌ها داده شود.

استفاده از IIS Mmanager برای پیکربندی مسیر دریچه به عنوان وب سایت اصلی با گواهی تست:

۱- به یکی از روش‌های زیر کنسول IIS Manager را باز کنید.

در صفحه دسکتاپ ویندوز Server manager را با کلیک بر روی آن در قسمت Taskbar ویندوز باز کنید. در قسمت tools در server manager روی Internet Information Services (IIS) Manager کلیک کنید.
در صفحه شروع ویندوز قسمتی از Internet Information Services (IIS) Manager را تایپ کنید. بر روی shortcut که در قسمت apps نمایش داده می‌شود را کلیک کنید.

۲- در پنجره درخت IIS Nanager، گره سروری که روی آن وب سایت Windows PowerShell Web access را باز کنید تا پوشه سایت برای شما نشان داده شود. پوشه سایت را انتخاب کنید.

۳- در صفحه Actions بر روی Add Website کلیک کنید.

۴- نام وب‌سایت را تایپ کنید به عنوان مثال PowerShell Web Access را تایپ کنید.

۵- یک مخزن برنامه به صورت خودکار برای وب‌سایت ایجاد می‌شود. برای استفاده از یک مخزن برنامه متفاوت Select را کلیک کنید تا یک مخزن برنامه را برای ارتباط‌دهی با وب سایت جدید انتخاب کنید. مخزن برنامه جایگزین را در کادر Select Application Pool انتخاب کنید و Ok را بزنید.

۶- در کادر Physical path این آدرس را وارد کنید.

۷- در قسمت Type از بخش Binding گزینه https را انتخاب کنید.

۸- یک شماره پورت را که مورد استفاده وب‌سایت یا برنامه‌ای نیست به این وب‌سایت اختصاص دهید. برای موقعیت‌یابی پورت‌های باز می‌توانید دستور netstat را در Command Prompt اجرا کنید.

شماره پورت پیش فرض ۴۴۳ است.

اگر وب‌سایت دیگری از پورت ۴۴۳ استفاده می‌کند یا دلایل امنیتی دیگری دارید، شماره پورت را تغییر دهید. اگر وب‌سایت دیگری روی مسیر Gateway از شماره پورت انتخابی شما استفاده می‌کند، هنگامی‌که کلید OK را در کادر Add Website می‌زنید، هشدار نشان داده می‌شود بنابراین باید پورتی که استفاده نشده است را انتخاب کنید.

۹- در صورت تمایل اگر برای سازمان لازم است یک Host name (نام میزبان) را که معقول و مناسب کاربران و سازمان است را انتخاب کنید و Ok را بزنید.

۱۰- برای یک محیط تولید ایمن‌تر، توصیه می‌کنیم که از یک گواهی معتبر که توسط CA به امضا رسیده است را استفاده کنید. شما باید یک گواهی SSL ارائه کنید زیرا کاربران تنها از طریق وب‌سایت https می‌توانند به PowerShell Web Access متصل شوند.

۱۱- روی گزینه ok کلیک کنید تا کادر Add Website بسته شود.

۱۲- در یک قسمت Windows PowerShell که با امکانات افزایش یافته کاربر (Run as Administrator) باز شده است، فایل آغازگر زیر را اجرا کنید که در آن application_pool_name نشان‌دهنده نام مخزن برنامه‌ای است که در مرحله ۴ ایجاد کرده‌اید تا به مخزن برنامه اجازه دسترسی به فایل اجازه (authorization file) را داده باشید.

$applicationPoolName = <application_pool_name>

$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"

c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

برای مشاهده حقوق دسترسی به فایل اجازه دستور زیر را اجرا کنید.

c:\windows\system32\icacls.exe $authorizationFile

۱۳- با وب سایت جدید انتخاب شده در پنجره درخت IIS Manager برای باز کردن و آغاز به کار وب‌سایت بر روی گزینه Start در پنجره action کلیک کنید.

۱۴- یک مرورگر را روی دستگاه یک سرویس گیرنده باز کنید.

۱۵- وب‌سایت Windows PowerShell Web Access را باز کنید.

از آنجا که وب سایت اصلی (root) به پوشه Windows PowerShell Web Access اشاره می‌کند و برمی‌گردد، مرورگر باید صفحه sign-in از Windows PowerShell Web Access را هنگامی که https://< gateway_server_name> را باز می‌کنید نشان می‌دهد نباید نیازی به اضافه کردن /pswa داشته باشد.

نکته: با به کاربران اجازه دسترسی به وب‌سایت، با اضافه کردن قوانین اجازه، داده نشود نمی‌توانید وارد شوند.

مرحله سوم: پیکربندی یک قانون با مجوز محدود

برای اضافه کردن قانون با مجوز محدود

۱- یکی از گزینه‌های زیر را برای باز کردن Windows PowerShell با استفاده از کاربران با سطح دسترسی بالا انتخاب کنید:

در دسکتاپ ویندوز، از قسمت Taskbar روی Windows PowerShell راست کلیک کنید و روی گزینه Run as Administartor کلیک کنید.
در صفحه نمایش شروع ویندوز روی Windows PowerShell راست کلیک کنید و روی گزینه Run as Administartor کلیک کنید.

۲- مراحل اختیاری را برای محدود کردن دسترسی کاربران با استفاده از تنظیمات Using Session انجام دهید. بررسی کنید که تنظیماتی که می‌خواهید در قوانین خود استفاده کنید، در حال حاضر وجود دارد.

۳- در ادامه دستور زیر را تایپ کنید و Enter را بزنید.

Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName<session_configuration_name>

۴- شما می‌توانید قانونی را که ایجاد کردید با استفاده از Get-PswaAuthorizationRule cmdlet و یا Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName چک کنید.
پس از این‌که قانون مجوز پیکربندی شده‌اند، شما برای ورود کاربران مجاز به کنسول مبتنی بر وب و شروع به استفاده Powershell Web Access آماده هستید.

پیکربندی یک گواهینامه واقعی:

برای یک محیط تولید امن، همیشه از یک گواهینامه SSL معتبر که توسط مرجع صدور گواهینامه (CA) امضا شده است، استفاده کنید. در این قسمت نحوه به دست آوردن و استفاده از یک گواهینامه SSL که توسط CA امضا شده است را ارائه می‌دهیم.

پیکربندی یک گواهینامه SSL در IIS Manager:

۱- در پنجره درخت IIS Manager سروری که Powershell Web Access روی آن نصب است را انتخاب کنید.

۲- در پنجره محتوا بر روی Server Certificates دوبار کلیک کنید.

۳- در پنجره Action، یکی از گزینه‌های زیر را انجام دهید:

برای وارد کردن گواهینامه معتبر از یک مکان از شبکه خود بر روی گزینه Import کلیک کنید.
برای درخواست یک گواهینامه از CA بر روی گزینه Create Certificate Request کلیک کنید.
برای استفاده فوری از یک گواهی که بعدا می‌توانید توسط CA آن را امضا کنید بر روی گزینه Create a Self-Signed Certificate را کلیک کنید.

۴- پس از ایجاد یا به دست آوردن یک گواهینامه وب‌سایتی که می‌خواهید گواهینامه بر روی آن اعمال شود را انتخاب کنید. در پنجره درخت IIS Manager، روی گزینه Binding در پنجره درخت Action کلیک کنید.

۵- در کادر Add Site Binding، برای سایت Https را اضافه کنید اگر در حال حاضر نمایش داده نمی‌شود. اگر شما از یک گواهی خود امضا استفاده می‌کنید این مرحله نیاز نیست.

۶- گواهینامه‌ای که در مرحله ۳ ایجاد کردید یا به دست آوردید را انتخاب کنید و بر روی گزینه Ok کلیک کنید.

مدیریت IIS: فعال‌سازی و تنظیم IIS توسط PowerShell از راه دور

زاگریو19 تیر 1397

3.4kviews

مدیریت IIS سرورهای وب از طریق GUI در صورتی که دسترسی به سرور داشته باشید بسیار ساده است، اما اگر شما نیز مثل من تعداد زیادی WebServer در موقعیت‌های مختلف و یا Cloud دارید دسترسی به کنسول سرور دشوار و یا بدتر از آن از RDP برای مدیریت آن‌ها استفاده می‌کنید که این روش شما اصلا منطقی و در راستای بهترین راه‌کارهای پیشنهاد توسط مایکروسافت نیست. راه‌کار بسیار بهتر و موثرتری برای مدیریت تعداد زیادی سرور از راه دور وجود دارد که همانا PowerShell Remoting برای مدیریت IIS است.

مراحل کار:

اگر قبلا این کار را از طریق GUI انجام داده‌اید در جریان مراحل انجام کار هستید، از طریق PowerShell نیز انجام این مراحل به همان شکل است با این تفاوت که بسیار سریعتر و کم‌دردسرتر است. ترتیب اجرای موارد به صورت زیر است:
۱- برقراری یک ارتباط (Session) با هر سرور
۲- نصب IIS Management Service
۳- فعال‌سازی IIS Management Service
۴- استارت سرویس WMSVC
۵- جایگزینی گواهینامه امنیتی Self-Signed
۶- اتصال از طریق IIS Manager

در این آموزش این سرویس را بر روی ۴ سرور مختلف با نام‌های web1,web2,web3 و web4 به صورت یک‌جا نصب خواهیم نمود.

۱- تعریف PowerShell Remoting برای Web Server ها برای مدیریت IIS

ابتدا یک متغیر با نام $Servers ایجاد می‌کنیم و تمامی نام‌های کامپیوترها را درون آن قرار می‌دهیم. شما نیز می‌توانید لیست آن‌ها را از یک فایل .csv و یا .txt نیز فراخوانی کنید. اگر سرورهای شما در Active Directory هستند می‌توانید با استفاده از دستور Get-ADComputer نیز سرورهای مقصد خود را شناسایی نمائید.

PS C:\ZAGRIO> $Servers = "web1,web2,web3,web4"

سپس یک Session به سمت هر سرور ایجاد می‌کنیم:

PS C:\ZAGRIO> $Sessions = New-PSSession -ComputerName $Servers

۲- نصب سرویس IIS Remote Management

با استفاده از دستور زیر برای تمامی سرورها سرویس IIS Remote Management را نصب میکنیم.

PS C:\ZAGRIO> Invoke-Command –Session $Sessions –ScriptBlock {Install-WindowsFeature Web-Mgmt-Service}

پس از نصب لازم است سرویس را فعال کنیم اما برای این کار cmdlet وجود ندارد

۳- فعال‌سازی سرویس Management Service برای مدیریت IIS

به صورت پیش‌فرض سرویس مدیریت IIS بر روی پورت ۸۱۲۷ فعال است. همچنین به صورت پیش‌فرض با نصب این سرویس یک گواهینامه امنیتی Self-Signed با مدت اعتبار ۱۰ سال نیز ایجاد می‌گردد. اگر در شبکه داخلی از این امکان می‌خواهید استفاده کنید این مورد اشکالی ندارد اما در ادامه به شما نشان خواهیم داد که به چه صورت آن را با یک گواهینامه امنیتی مورد اعتماد جایگرین نمائید. برای فعال‌سازی سرویس از دستور زیر استفاده می‌کنیم:

PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock{Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\WebManagement\Server -Name EnableRemoteManagement -Value 1}

حال سرویس شما فعال شده است اما کماکان لازم است سرویس مورد نظرstart شود .

۴- روشن کردن سرویس Management Service

با استفاده از دستورات زیر سرویس را start کرده و در حالت Automatic نیز قرار می‌دهیم تا با هر بار restart شدن سرور، سرویس مجددا فعال شود.

PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock {Set-Service -name WMSVC -StartupType Automatic}

PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock {Start-service WMSVC}

در این مرحله شما امکان اتصال به سرویس فوق را از طریق سیستم دیگری خواهید داشت. اگر تمایل به جایگزین نمودن گواهینامه امنیتی دارید (عموما مشکلی وجود ندارد) می‌توانید با استفاده از دستورات زیر گواهینامه امنیتی را جایگزین نمائید.

۵- جایگزین کردن گواهینامه امنیتی برای مدیریت IIS

شما می‌توانید یک گواهینامه امنیتی معتبر را از یک سرویس‌دهنده و یا Active Directory Certificate Services برای مدیریت سرورهای داخلی دریافت کنید.
گواهینامه را با فرمت .pfx به همراه یک کلمه عبور ذخیره کنید سپس با استفاده از دستور CertUtil.exe آن را نصب نمائید.
ابتدا فایل را در هر سرور کپی کنید سپس:

PS C:\ZAGRIO> $Servers | Foreach-Object {Copy-Item -Path C:\Remote.Company.loc.pfx -Destination "\\$_\c$"}

PS C:\ZAGRIO> Invoke-Command -Session $Sessions {certutil -p P@ssw0rd -importpfx c:\Remote.company.loc.pfx}

توجه داشته باشید که رمز عبور به صورت PLAIN در کد وجود دارد با توجه به اینکه ارتباط PS Remoting امن و کدگذاری شده است جای نگرانی وجود ندارد اما پیشنهاد می‌شود در اسکریپت‌های خودکار از این مهم اجتناب کنید.
پس از نصب فایل‌های .pfx را به دلایل امنیتی حذف کنید:

PS C:\ZAGRIO> $Servers | Foreach-Object {Remove-Item -Path "\\$_\c$\remote.Company.loc.pfx"}

در این مرحله لازم است Thumbprint گواهینامه امنیتی نصب شده را دریافت و آن را با سرویس Management Service جایگزین نمائید. برای این کار به PSProvider مربوطه به IIS نیاز دارید. ماژول WebAdministration را با دستور زیر فراخوانی کنید:

PS C:\ZAGRIO> Invoke-Command -Session $Sessions {Import-Module WebAdministration}

Thumbprint گواهینامه امنیتی را دریافت کنید:

PS C:\ZAGRIO> Invoke-Command -Session $Sessions {$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.subject -like "*company*"} | Select-Object -ExpandProperty Thumbprint}

تنظیمات قبلی SSL Binding را حذف کنید:

PS C:\ZAGRIO> Invoke-command -Session $Sessions {Remove-Item -Path IIS:\SslBindings\0.0.0.0!8172}

تنظیمات جدید SSL Binding را اعمال کنید:

PS C:\ZAGRIO> Invoke-Command -Session $Sessions {Get-Item -Path "cert:\localmachine\my\$cert" | New-Item -Path IIS:\SslBindings\0.0.0.0!8172}

حالا شما آماده اتصال به سرور از طریق یک GUI دیگر هستید!

۶- اتصال به سرور از طریق IIS Manager

پنجره مدیریت IIS را باز کنید و در صفحه اصلی در سمت چپ بر روی …Connect to a server کلیک کنید، نام سرور و مشخصات کاربری و رمز عبور را وارد نمائید. حال مشخصات شما و سرور جدید در سمت چپ ایجاد خواهد شد.

پایان

هر چند تنظیمات SSL ممکن است کمی پیچیده و با دردسر باشد اما کل منطق کار بسیار ساده است. شخصا به دلیل استفاده از PowerShell DSC این مراحل را مانند زمان قدیم تکرار نمی‌کنم. PowerShell Desired State Configuration این امکان را به شما می‌دهد تا تمامی تنظیمات موردنیاز خود را فعال و تنظیم کنید. پیشنهاد می‌کنم از این امکان حتما بازدید و استفاده نمائید.

Windows Server 2016: آموزش نصب – Core Mode

زاگریو18 تیر 1397

4.3kviews

در این مقاله قصد داریم به شما آموزش نصب Windows Server 2016 به دلیل عدم وجود رابط گرافیکی GUI مزایای زیر برای این نسخه بسیار محسوس است:
۱- سرعت بالاتر در لود سیستم عامل Boot Speed
۲- پایداری بسیار بالا به نسبت نسخه گرافیکی
۳- عدم هنگ و یا Crash سیستم به علت رابط گرافیکی
۴- مصرف بسیار پایین منابع سرور مانند CPU & RAM
۵- عدم دریافت بروزرسانی‌های زیاد که بیشتر مربوط به GUI است.
۶- به دلیل عدم وجود GUI بسیاری از مشکلات امنیتی که ممکن است در رابط گرافیکی وجود داشته باشد وجود ندارد.
۷- کاربر با سیستم گرافیکی کار نمی‌کند در نتیجه عدم نصب برنامه‌های غیرضروری بر روی سرور مشکلات کمتری بوجود می‌آورد.
۸- اشغال حجم کمتری از هارد دیسک
و بسیاری از موارد دیگر که در مقاله‌ای جداگانه به آن خواهیم پرداخت.

مراحل نصب Windows Server 2016 :

پس از راه اندازی سیستم عامل از طریق DVD همانند نسخه‌های دیگر با صفحه زیر روبرو می‌شوید، زبان مورد نظر خود را انتخاب و بر روی دکمه Next کلیک کنید.

Win2016-01

بر روی دکمه Install Now کلیک کنید.

Win2016-02

در این صفحه باید نسخه مورد نظر خود را انتخاب کنید. ما بر روی Windows Server 2016 Datacenter Evaluation کلیک می‌کنیم.

Win2016-03

حالا بایدبا شرایط و قوانین Licensing Terms موافقت نمائیم، گزینه …I Accept را انتخاب و بر روی گزینه Next کلیک کنید.

Win2016-04

حالا با توجه به اینکه قصد بروزرسانی و یا نصب جدید را دارید گزینه مورد نظر خود را انتخاب کنید، در این آموزش ما گزینه Custom: Install Windows (only (advanced را انتخاب می‌کنیم.

Win2016-05

درصورتی‌که مایل به پارتیشن‌بندی هستید بر روی گزینه New کلیک کنید، در غیراین‌صورت بر روی گزینه Next کلیک کنید.

Win2016-06

در این مرحله سیستم به حالت نصب می‌رود و کپی کردن فایل‌ها آغاز می‌شود. این مرحله مدتی طول می‌کشد.

Win2016-07

سیستم بعد از اتمام نصب ری‌استارت می‌شود.

Win2016-08

پس از نصب سرور و بوت شدن مجدد سیستم باید برای کاربر Administrator یک رمز عبور انتخاب نمائید، OK را انتخاب کنید.

Win2016-09

پسورد را دو مرتبه وارد کنید و Enter را بزنید.

Win2016-10

صفحه زیر نشان می‌دهد که پسورد شما با موفقیت تغییر یافته است.

Win2016-11

Win2016-12

با زدن دستور sconfig.cmd به محیطی وارد می‌شویم که در زیر آن را مشاهده می‌نمائید.

Win2016-13

در این قسمت می‌توانید سرور را مطابق نیاز خود کانفیگ کنید و از Windows Server 2016 خود استفاده نمایید.

بک‌آپ ویندوز سرور و ارسال ایمیل پس از اتمام بک‌آپ

زاگریو18 تیر 1397

872views

در گذشته که به وسیله نوار بک‌آپ تهیه می‌کردند، خیلی راحت زمان تکمیل بک‌آپ را متوجه می‌شدند چون نوار از دستگاه خارج می‌شد. بسیاری از مشتریان فعلی که با استفاده از دستگاه‌های USB بک‌آپ می‌گیرند، لازم است به صورت دوره‌ای دستگاه‌های USB را خارج کنند و مجددا USB های جدید جایگزین کنند. عموما این موضوع به این دلیل که قبل از اتمام بک‌آپ ویندوز سرور، USB را از دستگاه خارج می‌کنند هنگامی‌که بک‌آپ کامل سرور درحال تهیه است، باعث قطع شدن بک‌آپ و ایجاد مشکل می‌شود.
یکی از این‌گونه مشتریان از ما درخواست کردند هنگامی که بک‌آپ سرور تکمیل می‌شود یک ایمیل برایش ارسال شود که به این وسیله متوجه شوند که بک‌آپ به اتمام رسیده و دستگاهی که بک‌آپ روی آن گرفته می‌شود را خارج کنند. سرویس بک‌آپ ویندوز سرور به صورت پیش‌فرض این‌کار را انجام نمی‌دهد، به همین دلیل ما دو کار به صورت برنامه‌ریزی شده با استفاده از اسکریپت‌های پاورشل انجام می‌دهیم که موفقیت یا عدم موفقیت در تهیه بک‌آپ را به صورت ایمیل ارسال نمایند.
با استفاده از Notepad یک اسکریپت Powershell ایجاد کنید و آن را با عنوان ‘EmailBackupResults.ps1’ در سرور ذخیره کنید. شما نیاز دارید که متغییرها را متناسب پیکربندی خود تغییر دهید.

# Set up variables $SmtpServer = "192.168.1.1" $SmtpPort = 25 $FromEmail = "admin-email-address" $ToEmail = "recipient-email-address" $OutputFile = "C:BackupEmailBackupResults.txt"

# Create backup results file add-pssnapin windows.serverbackup $NextBackup = Get-Date (Get-WBSummary | select "NextBackupTime" | ft -hide | out-string) $LastBackup = (Get-Date $NextBackup) - (New-TimeSpan -day 1) Get-WinEvent -LogName "Microsoft-Windows-Backup" | Where {$_.timecreated -ge $LastBackup} | Sort-Object TimeCreated | Format-Table TimeCreated, Message -AutoSize -Wrap | Out-File $OutputFile

# Construct and send email $SmtpClient = new-object system.net.mail.smtpClient $Msg = new-object Net.Mail.MailMessage $SmtpClient.host = $SmtpServer $SmtpClient.Port = $SmtpPort $computer = gc env:computername $Msg.From = $FromEmail $Msg.To.Add($ToEmail) $Msg.Subject = "## Backup Complete on " +$Computer +" ##" $Msg.Body = "The backup for " +$Computer+" has completed. Please see the attached file for backup results." $Msg.Attachments.Add($OutputFile) $SmtpClient.Send($Msg)

در ادامه شما نیاز دارید یک scheduled task ایجاد کنید که اسکریپت Powershell را که شما ایجاد کرده‌اید را راه اندازی می‌کند. EmailBackupResults task به دو محرک پیکربندی شده که در شکل زیر نشان داده شده است، نیاز دارد. رویداد ۴ یک بک‌آپ موفق را نشان می‌دهد و رویداد ۵ یک بک‌آپ را نشان می‌دهد که failed شده است.

بک‌آپ ویندوز سرور

برای انجام این کار برنامه powershell.exe با یک دستور با آرگومان‌های “& C:BackupEmailEmailBackupResults.ps1” شروع می‌شود.
شما نیاز دارید که آرگومان‌های خود را برای مطابقت با محلی که اسکریپت را ذخیره کرده‌اید تغییر دهید.

بک‌آپ ویندوز سرور

اکنون، بک‌آپ شما که به زودی کامل می‌شود (با موفقیت یا شکست) و به آدرس ایمیلی که در اسکریپت‌پیکربندی وارد کردید یک ایمیل تاییدیه ارسال می‌شود که بک‌آپ به اتمام رسیده است. یک فایل متنی هم همراه ایمیل است که شامل نتایج بک‌آپ می‌شود.
همچنین ممکن است شما نیاز به پیکربندی یک Mail server داشته باشید که ایمیل‌های ناشناس را از آدرس IP سرور بک‌آپ قبول می‌کند.

IPSec: تامین امنیت گردش اطلاعات توسط فایروال ویندوز سرور

زاگریو16 تیر 1397

3.9kviews

IPSec چیست؟

Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP است که این امنیت را توسط Authentication (احراز هویت) و Encryption (کد گذاری) به ازای هر Session از بسته‌های ارتباطی IP تامین می‌کند.
IPSec همچنین شامل پروتکل‌هایی است که با استفاده از کلیدهای کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می‌کند.

چرا از IPSec استفاده کنیم؟

• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم‌افزارها
• این امکان را به شما می‌دهد که بر مبنی IP محدودیت‌هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم‌افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش‌نیازها:
• ورودی/خروجی پورت (IP Protocol 50 (ESP
• ورودی/خروجی پورت (IP Protocol 51 (AH
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت (UDP 4500 (NAT

با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory
لازم است تمامی مراحل زیر را انجام دهید:

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را می‌دهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.

۱- یک GPO در OU مورد نظر خود که می‌خواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها باید این GPO به آنها Link شده باشد.

۲- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید (پیش‌فرض بروزرسانی ۹۰ دقیقه است).

ایجاد Connection Security Rule بر روی سرور

۱- به سرور وارد شوید.
۲- پنجره Windows Firewall with Advanced Security را باز کنید.
۳- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-01

۴- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-02

۵- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-03

۶- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-04

۷- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-05

۸- در پنجره First Authentication Method گزینه Add را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-06

۹- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• (Signing algorithm : (default
• (Certificate store type: (default
• گزینه Browse را زده و مرجع صادرکننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-07

How-to-Secure-Windows-Traffic-with-IPsec-08

۱۰- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-09

۱۱- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
۱۲- در باکس To which ports and protocols does this rule apply سرویس‌ها و پروتکل‌های موردنظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می‌شود، شماره پورت موردنظر را وارد کنید و در قسمت Endpoint2 بر روی All Ports باشد.

How-to-Secure-Windows-Traffic-with-IPsec-10

۱۳- در باکس When does this rule apply تمامی چک باکس‌ها فعال باشد و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-11

۱۴- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client

۱- به ماشین Client وارد شوید.
۲- تمامی مراحل بالا را از مرحله ۳ تا ۱۴ برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است.)
۳- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiationارتباط است.
۴- در قسمت Monitoring شما باید ارتباط احراز هویت شده خود را فی‌مابین سیستم‌ها مشاهده کنید.

How-to-Secure-Windows-Traffic-with-IPsec-12

۵- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معناست که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSecایمن نشده است!

How-to-Secure-Windows-Traffic-with-IPsec-13

تنظیمات فایروال سمت سرور

۱- به سرور وارد شوید.
۲- یک New Rule از قسمت Inbound Connections ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-14

۳- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-15

۴- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-16

۵- پورت ورودی سمت سرور (مثلا ۴۴۵ SMB) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-17

۶- آدرس IP های موردنظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-18

۷- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-19

۸- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-20

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Users نیز OK را بزنید.
۱۱- در منوی Computer نیز OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-21

۱۲- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۳- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت

۱- به کلاینت وارد شوید.
۲- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-22

۳- انتخاب گزینه Custom و سپس مرحله بعد.
۴- انتخاب گزینه All Programs و سپس مرحله بعد.
۵- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-23

۶- آدرس IP های مورد نظر را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-24

۷- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
۸- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-25

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Computer نیز OK را بزنید.
۱۱- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۲- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی با IPSec

۱- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
۲- در قسمت Windows Firewall -> Security Associations -> Quick Mode باید گزینه ESP Encryption دارای مقدار موردنظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

How-to-Secure-Windows-Traffic-with-IPsec-26

مواردی که می‌بایست در نظر داشت:

• برای سیستم‌هایی که به دامنه متصل نیستند می‌توانید از PreShared Key استفاده کنید. این کلیدها به صورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می‌شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule باید به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-27

• برای سیستم عامل‌های قدیمی‌تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می‌توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می‌توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یک‌بار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم‌ها از یک تنظیمات استفاده نمائید. اطلاعات بیشتر

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم‌افزارهای جانبی نیاز خواهید داشت.

• آدرسهای IPv6 بصورت پیش‌فرض شامل IPSec هستند و به صورت خودکار تنظیم می‌شوند.

اسکریپت Powershell برای فشرده‌سازی فایل‌های VHDX

زاگریو15 تیر 1397

671views

اسکریپت powershell شامل یک تابع به نام Compact-VHDX است که می‌توان با استفاده از آن سایز دیسک‌های VHDX را که به صورت Dynamic تعریف شده‌اند و بیشتر از فضای واقعی درون آن‌ها را اشغال کرده‌اند را کاهش داد.

فایل VHDX باید حتما در ابتدا غیرفعال یا dismount شود تا اسکریپت powershell بتواند به آن دسترسی داشته باشد.

برای استفاده فایل زیر را از گالری Technet دریافت نمائید و مطابق راهنمای فراهم شده به شرح ذیل از آن استفاده نمائید.

https://gallery.technet.microsoft.com/scriptcenter/Powershell-Script-to-ae5c00ba/file/126931/1/Compact-VHDX.rar

دریافت راهنما:

Help Compact-VHDX -Full

مثال:

Compact-VHDX -VHDXPath D:\Dynamic1.vhdx -SDelete .\sdelete.exe

راهنما:

NAME
Compact-VHDX

SYNOPSIS
Function to remove unused space in Dynamic VHDX file

SYNTAX
Compact-VHDX [-VHDXPath] [-SDelete] [[-LogFile] ] [-WhatIf] [-Confirm] []

DESCRIPTION
Function is designed to work on Dynamic VHDX files – not Fixed.

To reduce size of Fixed VHDX file convert it to dynamic first then use this function.
For example:
Dismount-VHD -DiskNumber 13 -Confirm:$false
Convert-VHD -Path ‘d:\Fixed1.vhdx’ -DestinationPath ‘d:\Dynamic2.vhdx’ -VHDType Dynamic
Where ’13’ is the disk number as shown in Disk Management/Computer Management.

Before using this script, empty space on the VHDX disk first by deleting un-needed and
temporary files, and emptying the recycle bin

PARAMETERS
-VHDXPath
Path to VHDX file

Required? true
Position? 1
Default value
Accept pipeline input? true (ByValue, ByPropertyName)
Accept wildcard characters? false

-SDelete
Path to the SDelete.exe tool.
The tool is bundled with this script for ease of use. It can be downloaded from
http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx

Required? true
Position? 2
Default value .\SDelete.exe
Accept pipeline input? false
Accept wildcard characters? false

-LogFile

Required? false
Position? 3
Default value “.\Compact-VHDX-$(Get-Date -format yyyyMMdd_hhmmsstt).txt”
Accept pipeline input? false
Accept wildcard characters? false

-WhatIf []

Required? false
Position? named
Default value
Accept pipeline input? false
Accept wildcard characters? false

-Confirm []

Required? false
Position? named
Default value
Accept pipeline input? false
Accept wildcard characters? false

This cmdlet supports the common parameters: Verbose, Debug,
ErrorAction, ErrorVariable, WarningAction, WarningVariable,
OutBuffer, PipelineVariable, and OutVariable. For more information, see
about_CommonParameters (http://go.microsoft.com/fwlink/?LinkID=113216).

NOTES
Function by Sam Boutros
v1.0 – 10/12/2014

————————– EXAMPLE 1 ————————–

C:\ZAGRIO.COM\PS>Compact-VHDX -VHDXPath D:\Dynamic1.vhdx -SDelete .\sdelete.exe