View RSS Feed

محمد گنجی

جلسه 28 - ویندوز سرور 2008 - برخی امکانات شبکه ای جدید

امتیاز
توسط - 2011-08-05 - 11:21 AM (بازدید: 6515)
  
برخی امکانات شبکه‌ای جالب در Windows Server 2008 R2
زمان نسبتا زیادی از عرضه ویندوز سرور 2008 و نسخه R2 آن میگذرد اما شاید بسیاری هنوز هم از ویندوز 2003 (و یا حتی 2000) استفاده می‌کنند. در اینجا قصد داریم به برخی امکانات شبکه‌ای مهم در Windows Server 2008 R2 اشاره کنیم، شاید شما هم ترغیب شوید که هر چه زودتر سراغ این سیستم‌عامل جدید بروید.
برخی از این امکانات که در اینجا اشاره مختصری به آنها خواهیم داشت عبارتند از:

ویژگی DirectAccess:
با استفاده از این ویژگی، رایانه‌های عضو دامین همیشه به صورت امن شبکه اینترانت شما متصل هستند بدون اینکه نیازی به زدن یک اتصال VPN باشد. شاید بعضا شنیده باشید که DirectAccess را نوعی VPN به شمار می‌آورند اما باید آن را بسیار فراتر از یک ارتباط VPN دانست. در واقع مایکروسافت به دنبال جایگزینی VPN با DirectAccess بوده است. خوب ! ببینیم تفاوت این دو در چیست؟
یک شبکۀ خصوصی مجازی یا همان Virtual Private Network (VPN) به شما کمک می‌کند تا به یک شبکۀ دیگر به صورت امن متصل شده و از منابع مختلف آن استفاده کنید. اما DirectAccess کار جالب‌تری انجام می‌دهد و آن گسترده کردن خود شبکه و دربرگرفتن تمام رایانه‌هایی است که این قابلیت روی آنها فعال شده است. در نتیجه کاربران همواره به شبکۀ اینترانت شما متصل هستند. بزرگترین مزیت استفاده از این ویژگی آن است که دیگر برای مدیریت رایانه‌ها، اعمال تغییرات روی آنها و ... نیازی به برقراری ارتباطات VPN بین دو طرف نیست بلکه این رایانه‌ها (انگار که در شبکۀ داخلی شما و به صورت دائم متصل هستند) به سادگی قابل دسترسی، مدیریت و اعمال تغییرات و به روز‌رسانی‌ها و مواردی از این دست هستند.
دقت داشته باشید که DirectAccess در واقع یک فناوری منحصر به فرد و خاص نیست بلکه ترکیبی است از چندین فناوری که در کنار هم قرار گرفته و پیکربندی‌هایی روی آنها انجام می‌شود. فناوری‌های مهم تشکیل‌دهندۀ DirectAccess عبارتند از:

- Active Directory: سرور و کلاینت‌های DirectAccess باید عضوی از یک دامین اکتیو دایرکتوری باشند و احراز هویت آنها از این طریق صورت می‌گیرد.
- Group Policy: برای توزیع و اعمال تنظیمات مربوطه از اشیای سیاست‌های گروهی یا (GPO’s) استفاده می‌شود. (چه روی سرورها و چه روی کلاینت‌ها)
- DNS: در DirectAccess از DNS استفاده می‌شود تا معلوم شود چه کانکشن‌هایی باید مستقیما به سمت اینترنت بروند و چه کانکشن‌هایی باید از ارتباط DirectAccess برقرار شده استفاده کنند.
- PKI: در DirectAccess از احراز هویت رایانه‌ها (با گواهی‌های دیجیتالی) و IPSec استفاده می‌شود که مسلما این مساله نیاز به یک ساختار PKI دارد. (برای مدیریت گواهی‌ها (Certificate) )
- IPSec: فناوری DirectAccess از حالت‌های تونل (Tunnel mode) و انتقالی (Transport mode) در IPSec استفاده می‌کند تا ارتباطات را کاملاً امن سازد.
- IPv6: فناوری DirectAccess یک فناوری رو به جلو و پیش‌نگرانه است که بر اساس پروتکل شبکه‌ای آینده یعنی IPv6 بنا شده است. (البته اگر هنوز هم با آدرس‌های IPv4 سروکار دارید می‌توانید برای بهره‌گیری از DirectAccess از Forefront UAG استفاده کنید.)

برخی از این فناوری‌ها که جزو مسلم و لاینفک دامین‌ها هستند و حتما در شبکۀ شما هم وجود دارند، اما ممکن است برخی دیگر را هنوز پیاده‌سازی نکرده باشید. به یک نکتۀ مهم دقت کنید. در نسخه‌های قبلی ویندوز سرور هم این فناوری‌ها وجود دارند اما فقط و فقط این سیستم‌عامل Windows Server 2008 R2 است که می‌تواند آنها را در کنار هم قرار داده و فناوری DirectAccess را برای شما به ارمغان بیاورد.
مساله دیگر، دو حالت DirectAccess یعنی Windows DirectAccess و UAG DirectAccess است. اولی برای زمانی مناسب است که شبکه چندان بزرگ و تعداد سرورها چندان زیاد نیست، اما دامین شما حتما Windows Server 2008 R2 است و از IPv6 استفاده می‌کنید. حالت دوم یعنی UAG DirectAccess به درد حالتی می‌خورد که همه‌جا IPv6 ندارید و ضمنا برخی ویندوزهای سرور شما غیر از 2008 هستند. (البته حتما یک سرور 2008 برای نصب و پیاده‌سازی UAG نیاز دارید.)

برای مطالعۀ بیشتر:
DirectAccess
Windows Server 2008 R2: DirectAccess: Getting Started




directaccessinternettrafficrouting.jpg


ویژگی VPN Reconnect:
گفتیم DirectAccess فناوری است که مایکروسافت به دنبال جایگزینی VPN با آن است اما VPN Reconnect یک فناوری VPN جدید در Windows Server 2008 R2 است که شباهت زیادی با دیگر پروتکل‌های VPN مانند PPTP و L2TP/IPSec دارد. تفاوت اصلی در آن است که در این ویژگی، به محض قطع شدن ارتباط VPN به هر دلیل، ویندوز سریعاً و بدون اینکه پیغامی به کاربر نشان دهد، سعی در برقراری مجدد آن خواهد داشت.
فرض کنید در قطاری نشسته‌اید و با یک ارتباط وایرلس به اینترنت و شبکۀ داخلی شرکت متصل شده‌اید و روی یک فایل ارائه یا سایت داخلی یا .. مشغول کار هستید. قطار وارد تونل شده و ارتباط وایرلس شما قطع می‌شود. شما هیچ چیزی متوجه نمی‌شوید و به کار خود ادامه می‌دهید. فناوری VPN Reconnect در پشت صحنه مشغول به کار است. به محض خروج شما از تونل و برقراری ارتباط اینترنت شما، سریعا ارتباط VPN بین شما و دفتر مرکزی برقرار شده و شما اصلا این قطعی موردی را متوجه نمی‌شوید.
قابلیت VPN Reconnect با استفاده از برخی فناوری‌های جدید در ویندوز سرور 2008، یعنی فناوری‌های مخصوص جابجایی (Mobility) و تبادل اینترنتی کلید (Internet Key Exchange – IEK2) پیاده‌سازی می‌شود. این امکان فقط برای کلاینت‌های ویندوز 7 و سرورهای Windows Server 2008 R2 قابل اجراست.

شاید پیش خود فکر کنید این دو فناوری یعنی VPN Reconnect و DirectAccess شبیه به هم هستند اما تفاوت‌های عمده‌ای از جمله موارد زیر بین آنها وجود دارد.

- در فناوری DirectAccess نیاز است که کلاینت‌ها عضو دامین باشند اما در VPN Reconnect این مساله اجباری نیست.
- در DirectAccess ارتباط پیش از Logon کردن کاربر برقرار می‌شود اما VPN Reconnect زمانی شروع به کار می‌کند که ارتباط VPN اولیه توسط کاربر شروع گردد.
- از DirectAccess می‌توان برای برقراری ارتباط یک کلاینت به شبکه یا شبکه به شبکه (اصطلاحا End-to-Edge و Edge-to-Edge) استفاده کرد اما VPN Reconnect فقط برای حالت End-to-Edge استفاده می‌شود.)

برای مطالعه بیشتر
VPN Reconnect: A New Tunnel for Mobility - Routing and Remote Access Blog - Site Home - TechNet Blogs
Download Details - Microsoft Download Center - Step-by-Step Guide: Deploy VPN Reconnect
http://technet.microsoft.com/en-us/library/dd637830(v=ws.10).aspx





فناوری BranchCache:
یک فناوری جدید دیگر که بین کلاینت‌های ویندوز 7 و سرورهای Windows Server 2008 R2 قابل پیاده‌سازی است، BranchCache می‌باشد. این فناوری به کاربران راه دور (شعب دیگر) اجازه می‌دهد به اطلاعات موجود در سرورهای دفتر مرکزی، با سرعتی بسیار بیش از گذشته دسترسی داشته باشند. یکی از بزرگ‌ترین مشکلاتی که کاربران راه دور با آن درگیر هستند، اتصال به دفتر مرکزی با کمک لینک‌های WAN کم‌سرعت و یا ارتباطات Site-to-Site است. این مساله منجر به بروز مشکلات مختلف و یا کندی فراوان در دسترسی به اطلاعات دفتر مرکزی شده کسب و کار سازمان را دچار افت می‌کند.
با استفاده از BranchCache می‌توان اطلاعات را در شعبه‌های شرکت، ذخیره‌سازی یا به اصطلاح Cache کرد. وقتی که کاربری با استفاده از HTTP یا HTTPS یا SMB به سرورهای دفتر مرکزی وصل می شود و اطلاعاتی را فراخوانی می‌کند، این دیتا روی سرورهای شعبه هم ذخیره یا کَش می‌شوند. حال اگر کاربر دیگری قصد دسترسی به این اطلاعات را داشت، دیگر لازم نیست به مرکز وصل شود بلکه دیتای مورد نیاز وی از روی این کَش فراخوانی می‌شود). این مساله دسترسی به اطلاعات را بسیار سریع‌تر می‌سازد و البته این فناوری مراقب تغییرات احتمالی دیتای فراخوانی شده در سمت دفتر مرکزی هم هست.
فناوری BranchCache به دو صورت قابل پیاده‌سازی است.

حالت Hosted: در این حالت در شعب یک سرور وجود دارد که اطلاعات فرخوانی شده از دفتر مرکزی روی آن کَش می‌شود. بقیۀ قضایا واضح است و نیازی به توضیح ندارد. یکبار اطلاعات فراخوانی شده توسط کلاینت روی این سرور ذخیره می‌شود. کلاینت بعدی که این اطلاعات را نیاز داشته باشد از همین سرور محلی استفاده خواهد کرد.
حالت Distributed: در این حالت شعبۀ مرکزی سرور جداگانه‌ای برای BranchCache ندارد و کلاینت‌ها (که البته همه باید ویندوز 7 باشند) اطلاعات را بین خود به اشتراک می‌گذارند. کاربر 1 اطلاعاتی را از سرور مرکزی می‌خواند و این اطلاعات روی رایانۀ وی ذخیره می‌شوند. کاربر 2 هم همین اطلاعات را نیاز دارد. اینجاست که وی می‌تواند بسته به تنظیمات و دسترسی‌های تعریف شده، اطلاعات را از روی رایانۀ کاربر 1 بخواند و نیازی به برقراری ارتباط با دفتر مرکزی از طریق یک لینک WAN کند را ندارد.

برای مطالعۀ بیشتر:
BranchCache
Windows Server 2008 R2: Branch Cache






فناوری URL-Based QoS:
کلاینت‌های ویندوز 7 و سرورهای Windows Server 2008 R2 می‌توانند از کیفیت سرویس بر اساس URL استفاده کنند چیزی که قبلا فقط توسط سرورهای ISA و TMG امکان‌پذیر بوده است، اما اکنون کلاینت‌ها و سرورها می‌توانند بدون نیاز به یک نرم‌افزار واسط از آن بهره ببرند.
توضیح این مساله نیاز به آشنایی با برخی مفاهیم QoS دارد که در اینجا نمی‌خواهیم چندان به آنها بپردازیم. به طور کلی در نظر بگیرید که مقادیر سرویس متمایزی در بسته‌های IP قابل تعریف هستند (مقادیر DSCP) . مسیریاب‌هایی که برای استفاده از این مقادیر DSCP پیکربندی‌ شده‌اند می‌توانند بسته‌های IP را خوانده و با توجه به این پارامتر، ارسال و دریافت برخی بسته‌ها را در اولویت قرار دهند.
اما این کار با استفاده از آدرس‌های مبدا یا پروتکل‌ها و پورت‌ها صورت می‌گیرد اما امکان بسیار جالب در ویندوز 7 و Windows Server 2008 R2 توانایی پیاده‌سازی این مساله بر اساس آدرس‌های وب‌سایتهاست. سعی می‌کنم این مساله را با یک مثال ساده توضیح دهم.
فرض کنید من نسبت به شما اولویت دارم  ! بنابراین ترافیک من به سمت اینترنت باید نسبت به شما اولویت داشته باشد. پس در QoS تنظیم می‌کنیم که رایانۀ Ganji با آدرس 192.168.10.10 و ارتباطات Web (TCP 80) وی نسبت به بقیه اولویت دارد. من از این مساله سوء استفاده می‌کنم و به جای اینکه به سایت شرکت وصل بشوم و کارهای آن را انجام دهد به سایت Rapidshare.com رفته و شروع به دانلود می‌کنم !!
در URL-Based QoS چه اتفاقی رخ می‌دهد. ! بله درست است ! اولویت بر اساس URL درخواستی ! یعنی اگر گنجی یا هر کس دیگر قصد داشت به سایت Company.com وصل شود (کلا بسته‌ها به سمت این سایت) بسته‌های وی نسبت به ترافیک دیگر اولویت دارند و باید DSCP بالاتری بخورند و مسیریاب آنها را با اولویت بیشتر به سمت سرور وب Company.com بفرستد. امیدوارم خوب توضیح داده باشم.

برای مطالعۀ بیشتر
http://technet.microsoft.com/en-us/library/dd637810(WS.10).aspx


url-1.jpgurl-2.jpg
Hakimi، moh_jj، mory_relax و 27 نفر دیگر سپاسگزاری کرده‌اند.

Updated 2011-08-05 at 11:39 AM by th95

دسته ها
Windows Server , Windows Server 2008

نظر

  1. شناسه تصویری ADPJ
    خیلی خوب بودمن به تازگی به جمع آدمین ها پیوستم می خواستم کمکم کنید اطلاعات جامع و کاملی راجع به AD می خواستم بهم بدید البته زبانم هم قوی نیست در صورت امکان فارسی باشه ممنون
  2. شناسه تصویری amiri_ya
    متشكر..عاليي
  3. شناسه تصویری peyman_tbz
    سلام آقای گنجی عزیز بنده تقریبا 5 6 ساعتی هست که تمام جزوات ارزشمندی رو که جمع آوری کردید مطالعه کردم البته پیش از آغاز سرفصل مربوط به ویندوز سرور مشکلی نداشتم چرا که خودم نتورک پلاس و اکس پی رو تدریس کردم ، ضعف بنده در راه اندازی AD و سرویس ها است اگر امکانش هست منبع گویایی رو معرفی بفرمایید برای 2003 هم باشد خواهانم، سپاس از حوصله شما در جمع آوری مطالب ارزشمند امیدوارم بتلاش خود ادامه دهید.
    ارادتمند پیمان تبوزاده
    Email: peymantbzz@gmail.com
  4. شناسه تصویری meysamsfr
    آقای گنجی سلام
    این کاری که می کنید خیلی ارزشمدانس. و می دونم که قطعا میتونه خیلی براتوم وقتگیر باشه. ولی به هر حال خیلی ممنون میشم که اگه این تدریس ها پیوسته باشه. الان مدتی هست که مطلب تازه ای ننوشتین. ما که به شدت منتظریم.
    ممنون
    th95 سپاسگزاری کرده است.
  5. شناسه تصویری meisamphp
    سلام .. ایشا ا... خدا بهتون همیشه تن سالم بده که اینجا برای ما استادی کنید .. واقعاً مرسی ..
    th95 سپاسگزاری کرده است.
  6. شناسه تصویری HAMID YOYO
    سلام واقعا عالیه بود
    th95 سپاسگزاری کرده است.
  7. شناسه تصویری sarow
    با سلام و خسته نباشید خدمت استاد گرامی خواستم از زحمت های که برای یادگیری عزیزان عضو انجمن کشیدین تشکر و قدر دانی کنم واقعا خسته نباشید خیلی ممنون
    th95 سپاسگزاری کرده است.
  8. شناسه تصویری bayka
    موارد خیلی خوبی را اشاره کردن ممنون از سر نخ خوبی که دادی
  9. شناسه تصویری zovareh
    خیلیییییییییییی عالی بود. ممنوننننن
    خسته نباشیییی
  10. شناسه تصویری amirasadi
    بسیار عالی بود