مدیریت سرور توسط زاگریو

12 مزیت برون سپاری مدیریت سرور

Avatar for زاگریوزاگریو

مدیریت سرور، چرا و چگونه؟

در این مطلب قصد داریم به شما کمک کنیم که تصمیم بگیرید که آیا تامین خدمات مدیریت سرور توسط یک مجموعه تخصصی تاثیر و مزایایی برای کسب و کار شما خواهد داشت یا خیر

سپردن مدیریت سرور به یک شرکت تخصصی، به‌ویژه برای کسب‌وکارهایی که به خدمات آنلاین و میزبانی وب وابسته‌اند، می‌تواند تصمیمی هوشمندانه باشد. در ادامه، دلایلی را از جنبه‌های مختلف بررسی می‌کنیم.

یک سرویس مدیریت شده از زبان PCMagazine بصورت خلاصه به معنای انجام زحمت کار بصورت حرفه ای و با تجهیزات و سامانه های به روز توسط مجموعه ای تخصصی در خارج از سازمان شماست.

1. صرفه‌جویی در زمان

مدیریت سرور نیازمند زمان زیادی برای نصب، پیکربندی، نظارت و رفع اشکال است. اگر بخواهید خودتان این کار را انجام دهید:

  • باید زمان زیادی را برای یادگیری مفاهیم اولیه و سپس حل مشکلات اختصاص دهید.
  • در صورت بروز مشکلات غیرمنتظره، ممکن است ساعت‌ها یا حتی روزها طول بکشد تا مسئله را برطرف کنید.
  • شرکت‌های تخصصی با داشتن تیم مجرب و ابزارهای پیشرفته می‌توانند مشکلات را سریع‌تر شناسایی و برطرف کنند.

مثال: تصور کنید یک وب‌سایت فروشگاهی دارید که به‌دلیل یک مشکل در سرور از دسترس خارج شده است. اگر تیم تخصصی مدیریت سرور داشته باشید، مشکل در کوتاه‌ترین زمان حل خواهد شد، اما اگر خودتان این کار را انجام دهید، ممکن است فروش قابل‌توجهی را از دست بدهید.

2. بهینه‌سازی هزینه‌ها

اگرچه در نگاه اول هزینه پرداخت به شرکت‌های تخصصی ممکن است زیاد به‌نظر برسد، اما در بلندمدت هزینه کمتری برای کسب‌وکار شما دارد:

  • استخدام یک مدیر سرور داخلی هزینه بیشتری دارد (حقوق ثابت، مزایا و غیره).
  • ابزارها و نرم‌افزارهای نظارتی و امنیتی گران‌قیمت هستند، اما شرکت‌های تخصصی به‌صورت اشتراکی از این ابزارها استفاده می‌کنند و هزینه آن‌ها در بین مشتریان تقسیم می‌شود.
  • هزینه‌های ناشی از خرابی سرور یا از دست رفتن داده‌ها به‌مراتب بیشتر از هزینه خدمات مدیریت سرور است.

3. دسترسی به دانش و تخصص پیشرفته

مدیریت سرور شامل موارد پیچیده‌ای مانند امنیت، بهینه‌سازی عملکرد، تنظیمات پیشرفته، و نظارت 24/7 است. شرکت‌های تخصصی تیم‌هایی دارند که:

  • با جدیدترین تکنولوژی‌ها و پروتکل‌های امنیتی آشنا هستند.
  • تجربه زیادی در مدیریت سناریوهای مختلف دارند.
  • در مواقع بحرانی می‌توانند سریع‌تر و دقیق‌تر عمل کنند.

مثال فنی: پیکربندی یک سرور به‌گونه‌ای که از حملات DDoS جلوگیری شود، نیازمند دانش عمیقی در زمینه فایروال‌ها و شبکه است. یادگیری و اجرای این تنظیمات به‌صورت شخصی ممکن است زمان‌بر و پرخطر باشد.

4. امنیت بالاتر

امنیت داده‌ها و سرور از حیاتی‌ترین دغدغه‌های هر کسب‌وکاری است. شرکت‌های مدیریت سرور:

  • نظارت مداوم بر سرور دارند و به‌سرعت تهدیدات را شناسایی می‌کنند.
  • از ابزارهای پیشرفته امنیتی استفاده می‌کنند که ممکن است هزینه خرید آن‌ها برای شما به‌صرفه نباشد.
  • به‌طور منظم به‌روزرسانی‌ها و پچ‌های امنیتی را اعمال می‌کنند.

اگر امنیت سرور خود را به‌درستی مدیریت نکنید، ممکن است قربانی هک، سرقت داده‌ها یا حملات سایبری شوید که می‌تواند خسارات مالی و اعتباری سنگینی به همراه داشته باشد.

5. پشتیبانی 24/7

سرورها ممکن است در هر لحظه از شبانه‌روز دچار مشکل شوند. شرکت‌های مدیریت سرور معمولاً تیم‌های پشتیبانی 24/7 دارند که:

  • به‌صورت دائمی سرور شما را زیر نظر دارند.
  • در صورت بروز مشکل به‌سرعت وارد عمل می‌شوند.
  • اطمینان می‌دهند که حداکثر زمان آپتایم (Uptime) برای سرور شما فراهم باشد.

اگر بخواهید خودتان این کار را انجام دهید، باید دائماً آماده باشید و حتی در نیمه‌شب نیز احتمالاً مجبور به رفع مشکلات خواهید شد.

6. بهبود عملکرد و کارایی

شرکت‌های مدیریت سرور به دلیل تجربه و تخصص خود می‌توانند سرور شما را به‌گونه‌ای پیکربندی کنند که بهترین عملکرد را داشته باشد:

  • بهینه‌سازی منابع سرور (CPU، RAM و فضای دیسک).
  • کاهش زمان بارگذاری (Load Time) که تأثیر مستقیم بر تجربه کاربری و سئو دارد.
  • ارائه پیشنهاداتی برای ارتقاء یا تغییر منابع در صورت رشد کسب‌وکار شما.

اگر خودتان این کار را انجام دهید، ممکن است پیکربندی نادرستی انجام دهید که باعث هدررفت منابع یا کاهش کارایی شود.

7. تمرکز بر کسب‌وکار اصلی

وقتی مدیریت سرور را به یک شرکت تخصصی بسپارید:

  • می‌توانید وقت و انرژی خود را صرف رشد و توسعه کسب‌وکار خود کنید.
  • از نگرانی‌های مربوط به نگهداری و مدیریت سرور خلاص می‌شوید.
  • تیم شما می‌تواند بر اهداف اصلی تمرکز کند، نه مسائل فنی پیچیده.

8. دسترسی به SLA (توافق‌نامه سطح خدمات)

بیشتر شرکت‌های مدیریت سرور SLA ارائه می‌دهند که در آن تعهد می‌کنند خدمات باکیفیت ارائه دهند. این شامل:

  • تضمین زمان پاسخ‌گویی.
  • تعهد به حل مشکلات در زمان معین.
  • جبران خسارت در صورت عدم رعایت SLA.

در مقابل، اگر خودتان مدیریت را بر عهده داشته باشید، هیچ ضمانتی برای رفع سریع مشکلات وجود ندارد.

9. مقایسه در سناریوهای واقعی

  • خرابی سرور: اگر شما تخصص کافی نداشته باشید، رفع خرابی ممکن است ساعت‌ها طول بکشد، اما شرکت‌های مدیریت سرور در کوتاه‌ترین زمان آن را برطرف می‌کنند.
  • ارتقاء منابع: تیم‌های تخصصی با تجزیه‌وتحلیل دقیق، منابع موردنیاز را پیشنهاد می‌دهند. اما اگر خودتان این کار را انجام دهید، ممکن است منابع اضافی و غیرضروری تهیه کنید که باعث افزایش هزینه شود.

10. کاهش ریسک و خطا

انجام تنظیمات و مدیریت سرور توسط افراد غیرمتخصص می‌تواند منجر به:

  • خرابی‌های غیرمنتظره.
  • از دست رفتن داده‌ها.
  • تنظیمات امنیتی ضعیف و آسیب‌پذیری در برابر حملات.

شرکت‌های تخصصی با داشتن فرآیندها و پروتکل‌های استاندارد، این ریسک‌ها را به حداقل می‌رسانند.

11. ارتقای سئو

  • به دلیل پایداری بهتر سایت شما رتبه بالاتری دریافت خواهد کرد.
  • بهینه سازی سرویس ها منجر به افزایش سرعت فراخوانی سایت و یا برنامه شما خواهد شد که باعث افزایش رتبه سایت شما خواهد شد.

12. دریافت مشاوره تخصصی:

  • با حضور یک تیم تخصصی در کنار خود، در زمان های ضروری می توانید از تخصص ایشان برای استفاده در توسعه کسب و کار خود مشاوره بگیرید.
  • در دسترس بودن مشاور متخصص در حوزه فن آوری اطلاعات به شما کمک شایانی در تصمیم گیری های مهم برای سایت و یا برنامه شما خواهد بود.

نتیجه‌گیری:

سپردن مدیریت سرور به یک شرکت تخصصی نه‌تنها باعث بهبود عملکرد و امنیت سرور می‌شود، بلکه از لحاظ زمانی و هزینه‌ای نیز به‌صرفه‌تر است. این کار به شما اجازه می‌دهد روی اهداف اصلی کسب‌وکار خود تمرکز کنید و نگرانی‌های فنی را به افراد حرفه‌ای بسپارید. چنانچه نیازمند خدمات مدیریت سرور برای بهبود عملکرد و کاهش هزینه های نگهداری نرم افزار و یا سایت خود هستید، در تماس با ما تردید نکنید.

Windows Server 2012 : آموزش نصب Core Mode | بخش اول

Windows Server 2012 : آموزش نصب Core Mode | بخش اول

Avatar for زاگریوزاگریو
3.9kviews

در بخش اول آموزش نصب Windows Server 2012 Core Edition را به شما آموزش خواهیم داد، در بخش دوم نحوه مدیریت کردن این سیستم را از طریق روش‌های مختلف به شما آموزش می‌دهیم.

آموزش نصب – Core Mode – بخش اول

به دلیل عدم وجود رابط گرافیکی GUI مزایای زیر برای این نسخه بسیار محسوس است:
۱- سرعت بالاتر در لود سیستم عامل Boot Speed
۲- پایداری بسیار بالا به نسبت نسخه گرافیکی
۳- عدم هنگ و یا Crash سیستم به علت رابط گرافیکی
۴- مصرف بسیار پایین منابع سرور مانند CPU & RAM
۵- عدم دریافت بروزرسانی‌های زیاد که بیشتر مربوط به GUI است.
۶- به دلیل عدم وجود GUI بسیاری از مشکلات امنیتی که ممکن است در رابط گرافیکی وجود داشته باشد وجود ندارد.
۷- کاربر با سیستم گرافیکی کار نمی‌کند در نتیجه عدم نصب برنامه‌های غیرضروری بر روی سرور مشکلات کمتری بوجود می‌آورد.
۸- اشغال حجم کمتری از هارد دیسک
و بسیاری از موارد دیگر که در مقاله‌ای جداگانه به آن خواهیم پرداخت.

دریافت ویندوز Windows Server 2012:

با استفاده از این لینک آخرین نسخه Windows 2012 را دریافت نمائید. (نسخه Evaluation است)

مدیریت سرور

مراحل نصب :

پس از راه‌اندازی سیستم عامل از طریق DVD همانند نسخه‌های دیگر با صفحه زیر روبرو می‌شوید، زبان موردنظر خود را انتخاب و بر روی دکمه Next کلیک کنید.

Windows Server 2012

بر روی دکمه Install Now کلیک کنید.

Windows Server 2012

در این صفحه باید نسخه موردنظر خود را انتخاب کنید. در این مثال بر روی Windows Server 2012 Datacenter Evaluation (Server Core Installation) x64 کلیک می‌کنیم.
تفاوت نسخه Datacecnter و Standard در این است که نسخه Datacenter به شما اجاره استفاده لایسنس نامحدود Virtual Machine را می‌دهد در صورتی که نسخه Standard اجازه داشتن دو یا کمتر را می‌دهد. نسخه استاندارد عموما برای سرورهای استفاده می‌شود که به عنوان Hyper-V سرور استفاده نمی‌شوند و بیشتر برای نرم‌افزارها، سرویس‌ها و وب‌سایت‌ها استفاده می‌شود. در این قسمت بر روی گزینه Next کلیک می‌کنیم.

Windows Server 2012

حالا باید با شرایط و قوانین Licensing Terms موافقت نمائیم، گزینه I Accept .. را انتخاب و بر روی گزینه Next کلیک کنید.

حالا با توجه به اینکه قصد بروزرسانی و یا نصب جدید را دارید گزینه مورد نظر خود را انتخاب کنید، در این آموزش ما گزینه Custom: Install Windows only (advanced) را انتخاب می‌کنیم.

درصورتی‌که مایل به پارتیشن‌بندی هستید بر روی گزینه (Drive Options (advanced کلیک کنید، در غیر این‌صورت بر روی گزینه Next کلیک کنید.

حالا باید سیستم به حالت نصب برود. پیشنهاد می‌کنیم در این مرحله یک لیوان چای بنوشید و از سرویس‌های ما دیدن فرمائید :

خرید سرور مجازی

پس از نصب سرور و بوت شدن مجدد سیستم باید برای کاربر Administrator یک رمز عبور انتخاب نمائید، رمز عبور را دو دفعه وارد و ادامه دهید:

پس از ورود شما فقط یک صفحه سیاه رنگ مشاهده می‌کنید، با تایپ کردن دستور help می‌توانید لیستی از دستورات قابل اجرا را مشاهده نمائید.
برای مشاهده اطلاعات سیستم دستور systeminfo را تایپ نمائید، همچنین دستور ipconfig را وارد نمائید.

با استفاده از این دستور می‌توانید اطلاعات IP سیستم را مشاهده نمائید، این اطلاعات به شما کمک میکند تا بتوانید از راه دور این سرور را کنترل نمائید.
در بخش دوم این آموزش استفاده از ابزار Remote Server Administration Tool را در Windows Server 2012 به شما آموزش خواهیم داد.

میزبانی وب زاگریو

Windows Server 2012

Windows Server 2012: آموزش مدیریت Core Mode | بخش دوم

Avatar for زاگریوزاگریو
5.6kviews

در بخش اول آموزش نصب Windows Server 2012 Core Edition ، را به شما آموزش دادیم، در این بخش نحوه مدیریت کردن این سیستم (آموزش مدیریت Core Mode) را از طریق روش‌های مختلف به شما آموزش می‌دهیم، تا به صورت کامل با مبحث Windows Server 2012، آشنا شوید.

آموزش مدیریت سرور – Core Mode – بخش دوم | Windows Server 2012

با توجه به اینکه در این نسخه شما فقط با یک Command Prompt سر و کار دارید بهترین منبع آموزشی شما تایپ دستور help و زدن enter است. در این آموزش با استفاده از دستور sconfig.cmd آموزش را به پیش می‌بریم.
نکته مهم: در انتهای این آموزش برای کنترل و مدیریت این سرور به یک سیستم کلاینت ویندوز ۸ با یک سرور ۲۰۱۲ با GUI برای تنظیمات پیشرفته نیاز داریم.

با زدن دستور sconfig.cmd به محیطی وارد می‌شویم که در زیر آن را مشاهده می‌نمائید.

آموزش مدیریت Core Modeدر اولین مرحله بهتر است با انتخاب گزینه ۲ نام کامپیوتر را به نام دلخواه خود تغییر دهیم، در این مرحله سیستم تقاضای reboot می‌کند.

Manage-Windows-Server-2012-Core-02پس از reboot شدن مجددا دستور sconfig.cmd را بزنید، با انتخاب گزینه ۱ می‌توانید سرور خود را به دامنه (خرید دامنه) متصل نمائید، در این آموزش ما سرور را به دامین متصل نمی‌کنیم، اما لازم است برای سیستم با انتخاب گزینه ۸ یک IP تعریف کنیم.

آموزش مدیریت Core Modeحرف S را به معنای Static انتخاب کنید و IP و DNS مورد نظر خود را وارد نمائید و با زدن دکمه ۴ به منوی اصلی برگردید.
Manage-Windows-Server-2012-Core-04
با در نظر داشتن اینکه Remote Management (نه Remote Desktop) فعال است باید بر روی سیستم کلاینت ویندوز ۸ خود برنامه Powershell را با دسترسی Administartor باز کنیم.
Manage-Windows-Server-2012-Core-05
حالا دستور زیر را وارد نمائید، <YourtargetServernameHere> را با نام سرور خود (Netbios و FQDN) پر نمائید.
Set-Item WSMan:\localhost\Client\TrustedHosts -Value <YourtargetServernameHere> –Force
Manage-Windows-Server-2012-Core-06
حتما قبل از زدن دستور فوق یک بار تلاش کنید با استفاده از نام سرور، سرور خود را ping نمائید تا از درست بودن نام‌ها مطمئن شوید.
در این مرحله لازم است ابزار Remote Server Administration Tool برای ویندوز ۸ را دانلود کنید. پس از نصب RSAT با زدن دکمه Start برنامه‌های نصب شده جدید را پیدا کنید و بر روی Server Manager کلیک کنید.
Manage-Windows-Server-2012-Core-07
پس از اجرا بر روی Add other servers to manage کلیک کنید.
Manage-Windows-Server-2012-Core-08
درصورتی‌که سیستم‌ها در دامین باشند به صورت خودکار لیست سرورها بروز می‌شود. با توجه به اینکه در این آموزش ما در دامین قرار نداریم باید به صورت دستی آن را وارد نمائیم.
بر روی تب DNS کلیک کنید، نام سرور موردنظر خود را وارد نمائید، پس از نمایش آدرس IP مطابق تصویر پیش روید.
Manage-Windows-Server-2012-Core-09
بر روی All Servers در قسمت چپ کلیک کنید، با خطای Kerberos مواجه می‌شوید. این موضوع به دلیل این است که شما اطلاعات دسترسی به سرور را وارد نکرده‌اید. بر روی سرور دکمه راست موس را بزنید و گزینه Manage As را انتخاب نمائید.
Manage-Windows-Server-2012-Core-10
اطلاعات کاربری و رمز عبور را وارد نمائید.
Manage-Windows-Server-2012-Core-11
در بازگشت با پیغام In Progress مواجه می‌شوید.
Manage-Windows-Server-2012-Core-12
پس از اتمام باید خروجی شبیه عکس زیر باشد.
Manage-Windows-Server-2012-Core-13
حالا بر روی سرور دکمه راست را بزنید تا لیست امکانات سرور را مشاهده نمائید.
Manage-Windows-Server-2012-Core-14
حالا می‌توانید Role و Feature های موردنظر خود را نصب نمائید. در این آموزش شما موفق به مدیریت سیستم Windows Server 2012 گردیدید.
زاگریو
NANO SERVER

10 ویژگی سیستم عامل Microsoft Nano Server

Avatar for زاگریوزاگریو
4.4kviews
در این مطلب، قصد داریم موضوع جذاب Microsoft Nano Server را بررسی کرده و 10 ویژگی سیستم عامل Microsoft Nano Server، را به طور کامل برای شما توضیح دهیم. پس برای آموزشی دیگر، با زاگریو همراه باشید.

10 ویژگی سیستم عامل Microsoft Nano Server

در ادامه به بررسی ویژگی‌های متفاوت سیستم عامل Microsoft Nano Server، از جمله Nano Server چیست؟ ، آیا نانو سرور جایگزین Windows Server خواهد شد ‌‌و اینکه چه موقع Nano Server منتشر خواهد شد؟ ‌‌خواهیم پرداخت.

۱.  Nano Server چیست؟

نانو سرور یک نسخه مقایسه‌ای headless از WindowsServer است که  مایکروسافت در حال توسعه آن تحت نام کد Tuva است. این نسخه برای اجرای خدمات و مدیریت کاملا  از راه دور طراحی شده است. مایکروسافت نانو سرور را تحت عنوان «یک سیستم عامل که با هدف اجرای نرم‌افزارها  و محتوا در Cloud طراحی شده است.» توصیف می‌کند.

NANO SERVER

۲. تفاوت Nano Server با Windows Server چیست؟

اول اینکه نانو سرور یک نسخه کاملا Headless (بی‌سر) بدون GUI است و اینکه نانو یک ردپای خیلی کوچکتر از WindowsServer است critical bulletins کمتر و ۸۰% Reboot کمتر نیاز دارد.
یک سیستم عامل کوچکتر منجر به داشتن سیستمی خواهد شد که نرم‌افزارهای سیستمی کمتری دارد و نتیجتا نیاز به نگهداری کمتری در مقابل مشکلات امنیتی خواهد داشت به نصب سیستم عامل‌های فعلی ویندوز. این مورد همچنین پایداری سیستم را نیز افزایش خواهد داد. این فیلم از مایکروسافت نشان می‌دهد که نانو سرور با ۱TB حافظه رم و بیش از ۱۰۰۰ ماشین مجازی نانو سرور در حال فعالیت است.

۳. Nano Server هیچ رابط گرافیکی کاربر (GUI) یا مدیریت محلی دارد؟

Nano Server رابط گرافیکی کاربر (GUI) ندارد و برخلاف Windows Server Core بدون خط فرمان (command prompt) و کنسول PowerShell است. نانو سرور حتی local login هم ندارد. به طور کلی Nano Server برای حمایت و پشتیبانی از خدمات طراحی شده است.

۴. آیا Nano Server می‌تواند برنامه‌های کاربردی ویندوز را به طور منظم اجرا کند؟

خیر، شما نمی‌توانید برنامه‌های کاربردی رابط گرافیکی کاربر ویندوز را بر روی نانو سرور اجرا کنید. Nano Server برای ارائه خدمات زیرساخت طراحی شده است.

خرید سرور

۵. اگر Nano Server برنامه‌های کاربردی ویندوز را اجرا نمی‌کند پس چه چیزی اجرا می‌کند؟

مایکروسافت دو سناریوی اصلی در مورد نانو سرور ارائه می‌دهد.

خدمات زیرساخت سرور Cloud از قبیل (Hyper-v، Hyper-V cluster، Scale-Out File Servers (SOFSs و نرم‌افزارهای born-in-the-cloud که در حال اجرا بر روی ماشین‌های مجازی (virtual machines) ، containers و یا پلت‌فرم‌های توسعه‌یافته هستند که به UI بر روی سرور نیاز ندارند. نانو سرور از runtime های مختلف مانند C# ، Java ، Node.js و Python پشتیبانی می‌کند. Nano Server یک API سازگار با ویندوز سرور خواهد بود، با زیرمجموعه‌ای از اجزایی که نانو فراهم می‌کند.

۶. علاوه بر GUI و command shell مایکروسافت چه چیزی را از WindowsServer برای ساخت نانو سرور حذف کرده است؟

علاوه بر حذف GUI و command shell، مایکروسافت پشتیبانی از ۳۲ بیت (WOW64)، از نصب MSI و بسیاری از Server Core components ها را حذف کرده است.

مدیریت سرور

۷.  شما چگونه می‌توانید Nano Server را بدون GUI و command prompt مدیریت کنید؟

تمام مدیریت Nano از راه دور با استفاده از WMI و PowerShell  انجام می‌شود. مایکروسافت همچنین اعلام کرده است که نانو نقش‌های ویندوز سرور و ویژگی‌های پشتیبانی را با استفاده از ویژگی‌های on Demand and DISM (Deployment Image Servicing and Management) خواهد داشت.

نانو سرور همچنین انتقال فایل از راه دور، نوشتن اسکریپت از راه دور و اشکال‌زدایی از راه دور از Visual Studio را پشتیبانی می‌کند. مایکروسافت همچنین اعلام کرد که ابزار مدیریت مبتنی بر وب را برای Nano Server فراهم می‌کند.

command prompt

۸.  آیا نانو سرور جایگزین Windows Server خواهد شد؟

خیر، Nano Server برای زیرساخت‌های تخصصی سرور طراحی شده است. نانو سرور می‌تواند به عنوان یک گزینه نصب از تنظیمات برنامه WindowsServer نصب شود مانند ServerCore. مایکروسافت نسخه‌های جدیدی از Windows Server را به عنوان یک هدف کلی سیستم عامل سرور برای آینده قابل پیش بینی منتشر خواهد کرد.

Windows Server

۹.  چه موقع Nano Server منتشر خواهد شد؟

مایکروسافت اعلام نکرده است که چه زمانی نانو سرور در دسترس خواهد بود. با این حال چون یک گزینه از Windows Server است انتظار می‌رود که با نسخه جدید Windows Server in 2016 منتشر شود.

۱۰.  کجا می‌توانیم اطلاعات بیشتری در مورد Nano Server بدست بیارویم؟

شما می‌توانید از Windows Server Blog در مورد آینده نانو سرور اطلاعات بدست آورید. همچنین مایکروسافت در مورد نانو سرور اطلاعات بیشتری را در BUILD  و Ignite منتشتر خواهد کرد.
میزبانی وب زاگریو
نحوه حذف و مشاهده لیست برنامه های نصب شده در ویندوز نسخه Core

نحوه حذف و مشاهده لیست برنامه های نصب شده در ویندوز نسخه Core

Avatar for زاگریوزاگریو
355views

 

اگر از ویندوز نسخه Core استفاده می کنید، برای مشاهده و حذف برنامه های نصب شده می توانید از روش های زیر استفاده کنید:

 

1- در پاورشل از دستورات زیر میتوانید استفاده کنید:

2- در cmd دستور زیر را بزنید:

3- می توانید کلیدهای رجیستری زیر را مشاهده کنید، البته این لیست به دلایل نامشخصی در مقایسه با مواردی که در کنترل پنل مشاهده می شود کامل نیست.

البته راه کارهای مشابه و زیادی برای مشاهده و حذف این برنامه ها وجود دارد، بهترین روش استفاده از گزینه setup همان برنامه ای است که آن را نصب کرده اید، میتوانید با سوئیچ های Uninstall برنامه های نصبی، آنها را حذف کنید.

RDP و RDS چیست

RDP و RDS چیست؟

Avatar for Saman YazdannikSaman Yazdannik
2.8kviews

در این مطلب شما با مفهوم کلی (Remote Desktop Services) RDS و (Remote Desktop Protocol) RDP و همچنین اجزای آن، به طور کامل آشنا خواهید شد، احتمالا شما با کلمه Remote آشنایی دارید و از Remote Desktop Connection موجود در ویندوز 7 استفاده کرده‌اید و حداقل یک بار به گوشتان خورده است. در زاگریو به بررسی این مطالب خواهیم پرداخت.

RDP/RDS چیست؟

پروتکل اتصال ریموت به دسکتاپ (یا به اختصار RDP) یک پروتکل اختصاصی است، که توسط مایکروسافت توسعه داده شده و برای نشان‌دادن اتصال به یک کامپیوتر متصل به شبکه به صورت گرافیکی کاربرد دارد. RDP اساساً یک پروتکل برای کار با یک سیستم دیگر به صورت کامل درجای دیگر است. همانطور که باید بدانید این پروتکل از نوعی است که تعداد زیادی راه برای کنترل امنیت، احراز هویت، کنترل توانایی های امنیتی و کنترل نوع رمزنگاری ارتباط را داراست.

RDP/RDS

در گذشته TSE (Terminal Services) و حالا RDS (Remote Desktop Services) یک نقش بومی  یا نیتیو در Windows Server 2008, 2012/2012R2, 2016 و 2019 می‌بود و مجموعه‌ای از سرویس‌هاست که به یک یا چند کاربر اجازه می‌دهد از طریق پروتکل RDP به برنامه‌های (RemoteApp Programs), Windows Desktop (Remote Desktop Sessions) یا دسکتاپ مجازی (VDI) دسترسی همزمان داشته باشند. این اتصال و دسترسی با استفاده از شبکه داخلی درون یک مجموعه یا اینترنت صورت می‌گیرد.

اجزای RDS

RDS شامل شش سرویس است:

1 . Remote Desktop Session Host (RDSH): به شما اجازه می دهد چندین دسکتاپ را با اتصال همزمان از راه دور  مدیریت کنید.

2 . Remote Desktop Virtualization Host (RDVH): سرور RDVH با “Microsoft Hyper-V” ادغام می شود تا دسکتاپ‌های مجازی یا ویرچوآل ماشین‌ها را بر اساس تقاضا توزیع نماید. نقش RDVH نشان دهنده زیرساخت Microsoft VDI می‌باشد.

3 . Remote Desktop License Server (RDLS): این نقش نصب و توزیع کلیه  RDS CAL را مدیریت می کند. (برای هر کاربر و هر دستگاه)

4 . Remote Desktop Connection Broker (RDCB): برای مدیریت لود بالانس و سشن‌های اتصال مجدد RDS بکار می‌رود.

5 . Remote Desktop Gateway (RDG): RDG به عنوان یک فایروال RDP برای تمامی کاربران از راه دور دسکتاپ عمل می‌کند. RDG فقط از  HTTPS / 443 استفاده می کند و برای ایمن سازی، RDP را روی HTTPS انتقال می‌دهد.

6 . Remote Desktop Web Access (RDWA): این یک پورتال دسترسی به وب RDS است که به شما امکان انتشار منابع (ریسورس‌های) داخلی RDS و توزیع‌ها را از طریق یک پورتال وب را به شما می‌دهد.

معماری RDS

در یک نگاه، معماری استاندارد RDS ویندوز سرور از نسخه 2008 تا 2019 با اجزای ذکر شده در بالا به صورت تصویر زیر اجرایی می‌گردند:

 

RDP Components

آیا RDP یک پروتکل امن است؟

پیکربندی پیش فرض RDP هنگام فعال بودن، آن را در برابر چند حمله متفاوت آسیب پذیر می‌کند. با این حال، برخی از پیشرفت های امنیتی در نسخه جدید RDS برای Windows Server ارائه شده است.

به طور پیش فرض، چندین حمله امکان پذیر است:

  • Denial of Service  🙁DoS) یا همان داس
  • Man-in-The-Middle 🙁MiTM)
  • Brute-Force: بروت فورس

ریسک‌های امنیتی پروتکل RDS

هنگام سروکله زدن با پروتکل RDP، به طور پیش فرض چندین آسیب پذیری و خطر امنیتی وجود دارد که باید آن‌ها را بشناسید و آن‌ها را در نظر بگیرید:

  • نمایش RDS بر روی اینترنت
  • Man-in-the Middle (MiTM)
  • حمله رمزگذاری
  • حمله داس Denial of Service (DOS)
  • تخلیه هش‌های رمزعبور
  • پیکربندی اشتباه RDS
  • باج افزار
  • حمله بروت فورس
  • استفاده از RDSH فضای اشتراک گذاشته‌ شده‌‌‌‌‌‌‌‌‌‌‌‌‌ی RDS
  • استفاده از KEY LOGGERها

 

نمایش RDS بر روی اینترنت

هیچ ضرورتی وجود ندارد که سرویس Remote Desktop را در در معرض اینترنت و اتصال از طریق اینترنت قرار دهید، اتصال از طریق اینترنت و خارج از شبکه داخلی باعث می‌شود کاربران خطرناک و افرادی که قصد حمله به RDS شما را دارند از این فرصت استفاده کنند و بیشتر نیز سعی می‌نمایند اکانت administrator را هدف قرار دهند. در این میان اگر هکرها موفق شوند رمز عبور با موفقیت حدس بزنند و پیدا کنند، دسترسی حاصل می‌تواند پیامدهای قابل توجهی برای سازمان شما داشته باشد و حملات بیشتر علیه زیرساخت های قابل اعتماد شما یا متصل به شما را تسهیل کند.

حمله Man-in-the Middle (MiTM)

اگرچه سرویس Remote Desktop رمزگذاری داده را بین کاربر و سرور به طور پیش فرض فراهم می‌کند ، اما تأیید هویت سرور Terminal / RDSH را تأیید نمی‌کند. این عدم تأیید هویت به هکر اجازه می دهد، با به کارگیری سایر روش‌های حمله و نفوذ، کلیه ارتباطات ارسالی بین کاربر و Terminal Server را رهگیری کند. احتمال این نوع حمله به توانایی هکر در کنترل ارتباطات بین سرویس گیرنده(کاربر) و Terminal Server بستگی دارد. به طور معمول، هکر نیاز به حملات دیگری مانند جعل ARP (پروتکل حل آدرس) یا جعل اطلاعات DNS (Domain Name System) دارد که اطلاعات را قبل از ارسال به سرور اصلی به سرور خود هدایت کند.

حمله رمزگذاری

به طور پیش فرض، سرویس Remote Desktop از تنظیمات رمزگذاری متوسط سازگار با کلاینت استفاده می‌کند. این سطح از رمزگذاری، اطلاعات ارسالی بین کاربر و سرور را با حداکثر قدرت کلید پشتیبانی شده توسط کاربر رمزگذاری می‌کند. به طور کلی در چنین محیطی تعدادی از کاربرها از نسخه‌های اولیه کلاینت استفاده می‌کنند که خود ریسک‌را افزایش می‌دهد. تنظیم رمزگذاری متوسط ممکن است باعث شود در مدت محدودی رمز شکسته شود و اطلاعات افشا شود.

حمله داس Denial of Service (DOS)

ترمینال‌هایی که از تأیید هویت سطح شبکه (NLA) پشتیبانی می کنند اما پیکربندی نشده اند بسیار خطرناک هستند. زیرا NLA قبل از اینکه سرور سشنی را برای آن کاربر ایجاد کند، رایانه کاربر را مجبور می کند تا اعتبار کاربر را برای تأیید اعتبار ارائه دهد. ایجاد سشن از منابع سرور استفاده می‌ند و برای همین NLA نیز یکسری دیوار دفاعی برای جلوگیری از اتصال کاربران ناخواسته یا هکرها دارد حال هکرها با استفاده از حمله DoS تعداد زیادی کانکشن به سرور ایجاد می‌کنند و همین امر و درگیری سرور برای شناختن کاربر صحیح از هکر منابع خود را صرف می‌کند واین کار موجب جلوگیری از اتصال کاربران صحیح به سرور می‌شود.

تخلیه هش‌های رمزعبور

باید اطمینان حاصل کنید ک هیچ یک از کاربران ریموت دسکتاپ شما “Local Administrators” نیستند زیرا اگر چندین Local Admin داشته باشید، این مدیران می‌توانند با استفاده از ابزارهای dump hash password رمز دیگر adminها را بر روی شبکه متوجه شوند. برای جلوگیری از هرگونه خطر مربوط به استفاده از ابزار dump hash password مانند Mimikatz، باید از AppLocker استفاده شود.

پیکربندی اشتباه RDS

همه سرور‌های RDS باید با استفاده از ابزارهای امنیتی امن گردند و قابلیت دسترسی برای پیکربندی غلط نداشته باشند تا خطر پیکربندی نادرست توسط افرادی که اجازه دسترسی ندارند نداشته باشند.

باج افزار

باج افزارها دارند فراگیر تر می‌شوند و سعی می‌شود که در این نوع حملات RDPها مورد حمله واقع شوند زیرا این پروتکل با ابزارهای موجود به استفاده کننده آن اجازه می‌دهد که کنترل کامل یک سیستم را بعهده گیرد و این امر می‌تواند بسیار خطرناک باشد. برای مقابله با این خطر بهتر است که تمامی سرور‌های RDSH قفل شوند تا دسترسی افراد بدون مجوز به آنها جلوگیری شود.

حمله بروت فورس

اگر از پسوردهای ضعیف استفاده می‌نمایید امکان آسیب پذیری شما در مقابل حملات بروت فورس بسیار بالاست. برای جلوگیری از این نوع حمله بهترین راه حل اطمینان از رمز عبور قدرتمند برای تمامی افرادی است که به RDS شما متصل می‌گردند. یکی دیگر از نکات مفید کم کردن تعداد افرادی است که به RDSHشما دسترسی دارند، هیچگاه از تنظیمات « illimited » با تعداد نامعلومی کاربر برای اتصال به سرور استفاده نکنید.

فضای اشتراک گذاشته‌ شده‌‌‌‌‌‌‌‌‌‌‌‌‌ی RDS

هنگامی که زیرساخت جدید RDS را مستقر می کنید ، مجموعه RDS جدید به طور خودکار ایجاد می شود. اکثر دپارتمان‌های IT  مجموعه RDS را با تنظیمات پیش فرض نگه ایجاد می‌کنند و آن را طوری پیکربندی می‌کنند که به همه کاربران ریموت دسکتاپ اجازه می‌دهند به یک بخش مشترک متصل شوند.

مجموعه RDS اغلب برای میزبانی از همه نوع برنامه‌ها یک شرکت (منابع انسانی، امور مالی، IT … ) استفاده می شود و هیچ استثنا و تغییری از لحاظ محدودیت دسترسی برنامه‌ها وجود ندارد در واقع همه برنامه‌ها در یک محیط “مشترک” / سرورهای میزبان RD اجرا می‌گردند. و این امر باعث ایجاد  حمله و نفوذ می‌شود. برای حل این موضوع بهتر است هر برنامه یا هر محیطی بر یک مجموعه RDS جداگانه اجرا شود.

حمله با استفاده از Keyloggerها به RDP

کی‌لاگر یک نرم افزار جاسوسی است که هر کلیدی که بر روی کیبور فشار داده شود را ثبت و ارسال می‌کند برای جلوگیری از آلوده شدن و ثبت کلیدها توسط کی‌لاگر نیاز است تا در AppLocker سیاستی اتخاذ شود تا برنامه‌های خاصی قابلیت اجرا بر روی سشن‌های RD داشته باشند.

تمهیدات امنیتی مهم برای RDP:

  • فعال کردن HA (High Availability) برای تمامی سرویس‌های RDS: فعال کردن برای RDSH/RDCB/RDWA/RDG/RDLS و SQL server
  • ایجاد یک مجموعه جدید RDS برای هر کاربر و هر برنامه
  • نصب RDG (Remote Desktop Gateway) برای همه کاربران خارج از مجموعه
  • فعال کردن MFA (یا 2FA)
  • فعال کردن NLA (Network Level Authentication) برای تمام مجموعه‌های RDS
  • رمزگذاری سطح بالا برای کلیه ارتباطات RDP (رمزگذاری 128 بیتی)
  • استفاده از احراز هویت TLS برای همه RDSH ها
  • AppLocker را در تمام سرورهای میزبان RD سشن‌ها تعریف و اعمال کنید
  • ایجاد پسورد قوی برای همه استفاده کنندگان
  • تغییر پورت پیش فرض RDP
  • عدم دسترسی حضوری به سرورهای RD
  • محدود کردن تعداد کاربران
  • تمام لاگ‌های RDباید ذخیره گردد و به صورت مداوم آنالیز شود

فعال کردن HA (High Availability) برای RDP

کلیه سرویس‌ها و اجزای RD باید در دسترس باشند:

1 . RD Session Host Server: حداقل دو سرور RDSH باید بخشی از یک مجموعه اختصاصی RDS باشند

2 . RD Connection Broker: حداقل دو سرور RDCB باید مستقر و پیکربندی شوند، حالت HA (SQL Server مورد نیاز است)

3 . RD Web Access: حداقل دو سرور RD Web Access باید در کنار Load balancer مستقر و پیکربندی شوند

4 . RD Gateway: حداقل دو سرور RD Gateway باید در حالت HA و کنار Load Balancer مستقر و پیکربندی شوند

5 . RD Licensing Server: حداقل دو سرور لایسنس RD در حالت HA باید مستقر و پیکربندی شوند

ایجاد یک مجموعه جدید RDS برای هر کاربر و هر برنامه

ابتدا باید تمام برنامه های منتشر شده خود را لیست کنید (RemoteApps) سپس، باید یک لیست دسته‌بندی از برنامه های خود ایجاد کنید. هر گروه برنامه باید از طریق یک مجموعه اختصاصی RDS Session (سرورهای اختصاصی RDSH) منتشر و توزیع شود. RD Web Access & RD Gateway را می توان برای همه کاربران ریموت دسکتاپ به اشتراک گذاشت (حالت اشتراکی برای سرویس های وب RD مجاز است).

نصب RDG (Remote Desktop Gateway) برای RDP

توصیه می شود برای همه کاربران ریموت دسکتاپ یک RD Gateway مستقر کنید و یک CAP قوی (خط مشی های دسترسی اتصال) و RAP (خط مشی های دسترسی به منابع) را برای بهبود سطح امنیت محیط RDS تعریف کنید. RD Gateway برای کار کردن به یک گواهینامه SSL معتبر نیاز دارد، گواهی SSL که به RD Gateway تحویل داده می شود باید توسط CA معتبر/معتمد (مرجع صدور گواهینامه) ارائه شده باشد.

RDP

فعال کردن MFA (یا 2FA)

توصیه می شود MFA (احراز هویت چند عاملی) را برای همه کاربران ریموت دسکتاپ فعال کنید که از خارج به منابع داخلی RDS شما متصل می‌شوند. سرویس MFA برای کارکرد به یک  RD Gateway نیاز دارد. کاربران ریموت دسکاپ برای تکمیل فرآیند MFA باید حداقل یک دستگاه فیزیکی (تلفن هوشمند و …) داشته باشند.

فعال کردن NLA (Network Level Authentication)

تأیید اعتبار سطح شبکه (یا NLA) از ارائه دهنده CredSSP برای ارائه اعتبارنامه کاربر به سرور، قبل از اینکه سرور یک سشن ایجاد کند استفاده می‌کند. این امر با جلوگیری از هرگونه خطر امنیتی مربوط به حمله DOS، سطح امنیتی محیط RDS را بهبود می‌بخشد. توصیه می شود NLA را در همه مجموعه‌های RDS خود فعال کنید.

رمزگذاری سطح بالا برای کلیه ارتباطات RDP (رمزگذاری 128 بیتی)

به طور پیش فرض، سرویس Remote Desktop از تنظیمات رمزگذاری متوسط سازگار با کلاینت استفاده می‌کند. این سطح از رمزگذاری، اطلاعات ارسالی بین کاربر و سرور را با حداکثر قدرت کلید پشتیبانی شده توسط کاربر رمزگذاری می کند. به طور کلی در چنین محیطی تعدادی از کاربرها از نسخه‌های اولیه کلاینت استفاده می‌کنند که خود ریسک‌را افزایش می‌دهد. بنابراین توصیه می‌شود از سطح رمزنگاری “High”برای رمزنگاری استفاده نمایید.

استفاده از احراز هویت TLS برای همه RDSH ها

تمامی سرورهای ایجاد کننده سشن RD باید توسط TLS برای RDS احرازهویت شوند، این کار برای جلوگیری از به سرقت رفتن هویت کاربران از راه دور  اجباری است. گواهینامه های SSL که برای تأیید اعتبار سرورهای RDSH استفاده می شوند باید توسط CA معتبر (مرجع صدور گواهینامه) یا PKI داخلی شما تایید و تحویل گردند.

اعمال AppLocker

شما باید RD Session Host خود را که میزبان جلسات و برنامه های منتشر شده است را قفل کنید. یک سیاست یا پالیسی قوی AppLocker باید برای همه سرورهای میزبان RD شما تعریف و اعمال شود. ابتدا باید برنامه های خود را بررسی کرده و تمام اطلاعات مورد نیاز مانند “Apps Thumbprint” را برای تعریف و استفاده از AppLocker  خود جمع آوری و ارسال کنید. در آخر توصیه می‌کنیم که یک لیست سفید از اپلیکیشن‌هایی که می‌توانند اجرا شوند ایجاد کنید.

ایجاد پسورد قوی برای همه استفاده کنندگان

ایجاد یک رمز قوی و یا یک سیاست رمز برای ایجاد آن توسط کاربران ریموت بسیار مهم و تاثیرگذار است. با استفاده از AD Group Policy Object ، می توانید سیاست گذرواژه خود را ایجاد ، پیکربندی و اعمال کنید (به عنوان مثال: RDS-USERS).

تغییر پورت پیش فرض RDP

به طور پیش فرض ، پروتکل RDP با پورت 3389 کار می‌کند. و این پورت توسط چندین نرم افزار مخرب/باج افزار هدف قرار می‌گیرد. هکرها نیز در مرحله Footprinting این پورت پیش فرض را هدف قرار می دهند پس توصیه ما تغییر این پورت به پورتی مانند 33381 می‌باشد. برای این تغییر می‌توانید از این اسکریپت استفاده کنید.

امن کردن دستگاه کاربران متصل به RDP

اگر خط مشی امنیتی شما محدود کردن کلیه تغییر مسیر منابع محلی (درایو محلی، چاپگرها، کلیپ بورد و… ) می‌باشد، باید تمام گزینه های تغییر مسیر منابع محلی را بر روی سرورهای RD Session Hosts خود (از طریق GPO) را انجام دهید و همین سیاست را نیز برای دستگاه‌های متصل از راه دور کاربران در پیش بگیرید. کلید رجیستری ذکر شده در بخش “ضمیمه” را می توان از طریق GPO پیکربندی کرد تا تمام تغییر مسیر منابع محلی RDC را غیرفعال کند> MSTSC.exe

محدود کردن تعداد کاربران

اگر لیست کاملی از همه کاربران ریموت دسکتاپ (داخلی و خارجی) را دارید، توصیه می شود حداکثر تعداد سشن‌های ریموت دسکتاپ مجاز را روی RD Gateway تنظیم کنید.

تمام لاگ‌های RDباید ذخیره و آنالیز گردند

تمام عملیات انجام شده در محیط RDS شما باید ثبت شوند: اتصالات ، اتصال مجدد ، تغییر/اصلاح ها تجزیه و تحلیل شوند تا ارتباطات مشکوک یا رفتارهای غیرعادی اگر وجود دارد کشف و رهگیری شود. در کمترین حالت حداقل باید سیاست WEF (Windows Event Forwarding) تعریف و پیکربندی شود.

تست نفوذ محیط RDS

پس از استقرار RDS، باید آزمایشات نفوذ را در محیط RDS خود انجام دهید، این HLV به شما امکان می دهد قبل از ادغام آن در محیط پروداکشن، سطح امنیتی بستر RDS خود را تأیید کنید. برای تأیید وضعیت امنیتی RDS باید چندین آزمایش زیر انجام شود:

  • امنیت تمام اجزای RDS شامل: RDG, RD Web Access
  • روند احراز هویت
  • حمله رمزگذاری
  • احراز هویت TLS
  • حمله MiMT
  • حمله D/DoS
  • انزوای شبکه
  • خط مشی محدودیت برنامه ها
  • مجموعه RDS Multi-tenancy

ضمیمه:  (محدود کردن تغییر مسیر منابع محلی(MSTSC.exe))

برای غیرفعال کردن تغییر مسیر کلیپ بورد، کلید رجیستری زیر باید در دستگاه های ریموت دسکتاپ/لپ تاپ های کاربر ایجاد شود:

Key Path : HKLM\SOFTWARE\Microsoft\Terminal Server Client
Registry Key Name : DisableClipboardRedirection
Key Type : REG_DWORD
Data Value : 1

 

برای غیرفعال کردن تغییر مسیر Local Drive، باید کلید رجیستری زیر در دستگاه های ریموت دسکتاپ/لپ تاپ های کاربر ایجاد شود:

 

Key Path : HKLM\SOFTWARE\Microsoft\Terminal Server Client
Registry Key Name : DisableDriveRedirection
Key Type : REG_DWORD
Data Value : 1

برای غیرفعال کردن تغییر مسیر پرینترها، اید کلید رجیستری زیر در دستگاه های ریموت دسکتاپ/لپ تاپ های کاربر ایجاد شود:

Key Path : HKLM\SOFTWARE\Microsoft\Terminal Server Client
Registry Key Name : DisablePrinterRedirection
Key Type : REG_DWORD
Data Value : 1

 

قفل کردن سرورهای RDSH

 

RDP 2

 

 

RDP 4

Web Application Proxy (WAP) dmz

تنظیم پورت RPC استاتیک در Active Directory Domain Controller

Avatar for Saman YazdannikSaman Yazdannik
637views

 

 

قراردادن فایروال بر روی یک دامنه که با یک سیستم ویندوزی Join شده کاری چالش برانگیز است. اما ما توانستیم این کار را انجام دهیم و قصد داریم در این مطلب شما را راهنمایی کنیم تا (Web Application Proxy(WAP خود را در یک شبکه DMZ قرار دهید.

و بدین صورت بتوانید تمام ورودی و خروجی‌های ACL را مشخص نمایید.

چالش اصلی پیکر بندی کنترل کننده‌های دامنه است تا بر پورت‌های مشخص شده RPC باشند. پس ما تنها مجاز به استفاده از تعدادی پورت‌های TCP/UDP می‌باشیم.

اسکریپت زیر باید بر روی هر Domain Controller اجرا شود که توسط سرورهای موجود در DMZ امکان پذیر است. اسکریپت زیر بر ویندوز سرور 2019 اجرا شده و تست گردیده است.

پس از راه اندازی مجدد Domain Controller، دستور gpupdate را روی سرور DMZ خود اجرا می کنم تا مطمئن شوم که سرویس های AD در دسترس هستند. برای اطمینان از عدم مسدود شدن پورت ، راه اندازی و ورود مجدد به سیستم را انجام می‌دهیم.

 

 

 

Windows Server 2016: آموزش نصب – Core Mode

Avatar for زاگریوزاگریو
4.3kviews

در این مقاله قصد داریم به شما آموزش نصب Windows Server 2016 به دلیل عدم وجود رابط گرافیکی GUI مزایای زیر برای این نسخه بسیار محسوس است:
۱- سرعت بالاتر در لود سیستم عامل Boot Speed
۲- پایداری بسیار بالا به نسبت نسخه گرافیکی
۳- عدم هنگ و یا Crash سیستم به علت رابط گرافیکی
۴- مصرف بسیار پایین منابع سرور مانند CPU & RAM
۵- عدم دریافت بروزرسانی‌های زیاد که بیشتر مربوط به GUI است.
۶- به دلیل عدم وجود GUI بسیاری از مشکلات امنیتی که ممکن است در رابط گرافیکی وجود داشته باشد وجود ندارد.
۷- کاربر با سیستم گرافیکی کار نمی‌کند در نتیجه عدم نصب برنامه‌های غیرضروری بر روی سرور مشکلات کمتری بوجود می‌آورد.
۸- اشغال حجم کمتری از هارد دیسک
و بسیاری از موارد دیگر که در مقاله‌ای جداگانه به آن خواهیم پرداخت.

مراحل نصب Windows Server 2016 :

پس از راه اندازی سیستم عامل از طریق DVD همانند نسخه‌های دیگر با صفحه زیر روبرو می‌شوید، زبان مورد نظر خود را انتخاب و بر روی دکمه Next کلیک کنید.

Win2016-01

بر روی دکمه Install Now کلیک کنید.

Win2016-02

در این صفحه باید نسخه مورد نظر خود را انتخاب کنید. ما بر روی Windows Server 2016 Datacenter Evaluation کلیک می‌کنیم.

Win2016-03

حالا بایدبا شرایط و قوانین Licensing Terms موافقت نمائیم، گزینه …I Accept را انتخاب و بر روی گزینه Next کلیک کنید.

Win2016-04

حالا با توجه به اینکه قصد بروزرسانی و یا نصب جدید را دارید گزینه مورد نظر خود را انتخاب کنید، در این آموزش ما گزینه Custom: Install Windows (only (advanced را انتخاب می‌کنیم.

Win2016-05

درصورتی‌که مایل به پارتیشن‌بندی هستید بر روی گزینه New کلیک کنید، در غیراین‌صورت بر روی گزینه Next کلیک کنید.

Win2016-06

در این مرحله سیستم به حالت نصب می‌رود و کپی کردن فایل‌ها آغاز می‌شود. این مرحله مدتی طول می‌کشد.

Win2016-07

سیستم بعد از اتمام نصب ری‌استارت می‌شود.

Win2016-08

پس از نصب سرور و بوت شدن مجدد سیستم باید برای کاربر Administrator یک رمز عبور انتخاب نمائید، OK را انتخاب کنید.

Win2016-09

پسورد را دو مرتبه وارد کنید و Enter را بزنید.

Win2016-10

صفحه زیر نشان می‌دهد که پسورد شما با موفقیت تغییر یافته است.

Win2016-11

با توجه به اینکه در این نسخه شما فقط با یک Command Prompt سر و کار دارید بهترین منبع آموزشی شما تایپ دستور help و زدن enter است. در این آموزش با استفاده از دستور sconfig.cmd آموزش را به پیش می‌بریم.

Win2016-12

با زدن دستور sconfig.cmd به محیطی وارد می‌شویم که در زیر آن را مشاهده می‌نمائید.

Win2016-13

در این قسمت می‌توانید سرور را مطابق نیاز خود کانفیگ کنید و از Windows Server 2016 خود استفاده نمایید.

بک‌آپ ویندوز سرور و ارسال ایمیل پس از اتمام بک‌آپ

Avatar for زاگریوزاگریو
872views

در گذشته که به وسیله نوار بک‌آپ تهیه می‌کردند، خیلی راحت زمان تکمیل بک‌آپ را متوجه می‌شدند چون نوار از دستگاه خارج می‌شد. بسیاری از مشتریان فعلی که با استفاده از دستگاه‌های USB بک‌آپ می‌گیرند، لازم است به صورت دوره‌ای دستگاه‌های USB را خارج کنند و مجددا USB های جدید جایگزین کنند. عموما این موضوع به این دلیل که قبل از اتمام بک‌آپ ویندوز سرور، USB را از دستگاه خارج می‌کنند هنگامی‌که بک‌آپ کامل سرور درحال تهیه است، باعث قطع شدن بک‌آپ و ایجاد مشکل می‌شود.
یکی از این‌گونه مشتریان از ما درخواست کردند هنگامی که بک‌آپ سرور تکمیل می‌شود یک ایمیل برایش ارسال شود که به این وسیله متوجه شوند که بک‌آپ به اتمام رسیده و دستگاهی که بک‌آپ روی آن گرفته می‌شود را خارج کنند. سرویس بک‌آپ ویندوز سرور به صورت پیش‌فرض این‌کار را انجام نمی‌دهد، به همین دلیل ما دو کار به صورت برنامه‌ریزی شده با استفاده از اسکریپت‌های پاورشل انجام می‌دهیم که موفقیت یا عدم موفقیت در تهیه بک‌آپ را به صورت ایمیل ارسال نمایند.
با استفاده از Notepad یک اسکریپت Powershell ایجاد کنید و آن را با عنوان ‘EmailBackupResults.ps1’ در سرور ذخیره کنید. شما نیاز دارید که متغییرها را متناسب پیکربندی خود تغییر دهید.

# Set up variables
$SmtpServer = "192.168.1.1"
$SmtpPort = 25
$FromEmail = "admin-email-address"
$ToEmail = "recipient-email-address"
$OutputFile = "C:BackupEmailBackupResults.txt"

# Create backup results file
add-pssnapin windows.serverbackup
$NextBackup = Get-Date (Get-WBSummary | select "NextBackupTime" | ft -hide | out-string)
$LastBackup = (Get-Date $NextBackup) - (New-TimeSpan -day 1)
Get-WinEvent -LogName "Microsoft-Windows-Backup" | Where {$_.timecreated -ge $LastBackup} | Sort-Object TimeCreated | Format-Table TimeCreated, Message -AutoSize -Wrap | Out-File $OutputFile

# Construct and send email
$SmtpClient = new-object system.net.mail.smtpClient
$Msg = new-object Net.Mail.MailMessage
$SmtpClient.host = $SmtpServer
$SmtpClient.Port = $SmtpPort
$computer = gc env:computername
$Msg.From = $FromEmail
$Msg.To.Add($ToEmail)
$Msg.Subject = "## Backup Complete on " +$Computer +" ##"
$Msg.Body = "The backup for " +$Computer+" has completed. Please see the attached file for backup results."
$Msg.Attachments.Add($OutputFile)
$SmtpClient.Send($Msg)

در ادامه شما نیاز دارید یک scheduled task ایجاد کنید که اسکریپت Powershell را که شما ایجاد کرده‌اید را راه اندازی می‌کند. EmailBackupResults task به دو محرک پیکربندی شده که در شکل زیر نشان داده شده است، نیاز دارد. رویداد ۴ یک بک‌آپ موفق را نشان می‌دهد و رویداد ۵ یک بک‌آپ را نشان می‌دهد که failed شده است.

بک‌آپ ویندوز سرور

 

بک‌آپ ویندوز سرور

 

برای انجام این کار برنامه powershell.exe با یک دستور با آرگومان‌های “& C:BackupEmailEmailBackupResults.ps1” شروع می‌شود.
شما نیاز دارید که آرگومان‌های خود را برای مطابقت با محلی که اسکریپت را ذخیره کرده‌اید تغییر دهید.

بک‌آپ ویندوز سرور

اکنون، بک‌آپ شما که به زودی کامل می‌شود (با موفقیت یا شکست) و به آدرس ایمیلی که در اسکریپت‌پیکربندی وارد کردید یک ایمیل تاییدیه ارسال می‌شود که بک‌آپ به اتمام رسیده است. یک فایل متنی هم همراه ایمیل است که شامل نتایج بک‌آپ می‌شود.
همچنین ممکن است شما نیاز به پیکربندی یک Mail server داشته باشید که ایمیل‌های ناشناس را از آدرس IP سرور بک‌آپ قبول می‌کند.

 

IPSec: تامین امنیت گردش اطلاعات توسط فایروال ویندوز سرور

Avatar for زاگریوزاگریو
3.9kviews

IPSec چیست؟

Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP است که این امنیت را توسط Authentication (احراز هویت) و Encryption (کد گذاری) به ازای هر Session از بسته‌های ارتباطی IP تامین می‌کند.
IPSec همچنین شامل پروتکل‌هایی است که با استفاده از کلیدهای کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می‌کند.

چرا از IPSec استفاده کنیم؟

• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم‌افزارها
• این امکان را به شما می‌دهد که بر مبنی IP محدودیت‌هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم‌افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش‌نیازها:
• ورودی/خروجی پورت (IP Protocol 50 (ESP
• ورودی/خروجی پورت (IP Protocol 51 (AH
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت (UDP 4500 (NAT

با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory
لازم است تمامی مراحل زیر را انجام دهید:

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را می‌دهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.

۱- یک GPO در OU مورد نظر خود که می‌خواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها باید این GPO به آنها Link شده باشد.

۲- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید (پیش‌فرض بروزرسانی ۹۰ دقیقه است).

ایجاد Connection Security Rule بر روی سرور

۱- به سرور وارد شوید.
۲- پنجره Windows Firewall with Advanced Security را باز کنید.
۳- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-01

۴- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-02

۵- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-03

۶- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-04

۷- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-05

۸- در پنجره First Authentication Method گزینه Add را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-06

۹- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• (Signing algorithm : (default
• (Certificate store type: (default
• گزینه Browse را زده و مرجع صادرکننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-07

 

How-to-Secure-Windows-Traffic-with-IPsec-08

۱۰- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-09

۱۱- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
۱۲- در باکس To which ports and protocols does this rule apply سرویس‌ها و پروتکل‌های موردنظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می‌شود، شماره پورت موردنظر را وارد کنید و در قسمت Endpoint2 بر روی All Ports باشد.

How-to-Secure-Windows-Traffic-with-IPsec-10

۱۳- در باکس When does this rule apply تمامی چک باکس‌ها فعال باشد و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-11

۱۴- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client

۱- به ماشین Client وارد شوید.
۲- تمامی مراحل بالا را از مرحله ۳ تا ۱۴ برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است.)
۳- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiationارتباط است.
۴- در قسمت Monitoring شما باید ارتباط احراز هویت شده خود را فی‌مابین سیستم‌ها مشاهده کنید.

How-to-Secure-Windows-Traffic-with-IPsec-12

۵- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معناست که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSecایمن نشده است!

How-to-Secure-Windows-Traffic-with-IPsec-13

تنظیمات فایروال سمت سرور

۱- به سرور وارد شوید.
۲- یک New Rule از قسمت Inbound Connections ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-14

۳- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-15

۴- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-16

۵- پورت ورودی سمت سرور (مثلا ۴۴۵ SMB) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-17

۶- آدرس IP های موردنظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-18

۷- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-19

۸- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

How-to-Secure-Windows-Traffic-with-IPsec-20

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Users نیز OK را بزنید.
۱۱- در منوی Computer نیز OK را بزنید.

 

How-to-Secure-Windows-Traffic-with-IPsec-21

۱۲- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۳- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت

۱- به کلاینت وارد شوید.
۲- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

How-to-Secure-Windows-Traffic-with-IPsec-22

۳- انتخاب گزینه Custom و سپس مرحله بعد.
۴- انتخاب گزینه All Programs و سپس مرحله بعد.
۵- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

How-to-Secure-Windows-Traffic-with-IPsec-23

۶- آدرس IP های مورد نظر را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-24

۷- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
۸- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

How-to-Secure-Windows-Traffic-with-IPsec-25

۹- در منوی Action بر روی OK کلیک کنید.
۱۰- در منوی Computer نیز OK را بزنید.
۱۱- در قسمت Profiles تمامی تیک‌ها را بزنید و به مرحله بعد بروید.
۱۲- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی با IPSec

۱- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
۲- در قسمت Windows Firewall -> Security Associations -> Quick Mode باید گزینه ESP Encryption دارای مقدار موردنظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

 

How-to-Secure-Windows-Traffic-with-IPsec-26

 

مواردی که می‌بایست در نظر داشت:

• برای سیستم‌هایی که به دامنه متصل نیستند می‌توانید از PreShared Key استفاده کنید. این کلیدها به صورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می‌شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule باید به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.

How-to-Secure-Windows-Traffic-with-IPsec-27

• برای سیستم عامل‌های قدیمی‌تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می‌توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می‌توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یک‌بار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم‌ها از یک تنظیمات استفاده نمائید. اطلاعات بیشتر

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم‌افزارهای جانبی نیاز خواهید داشت.

• آدرسهای IPv6 بصورت پیش‌فرض شامل IPSec هستند و به صورت خودکار تنظیم می‌شوند.