مدير سيستم يا System Administrator امروزه نقش پررنگي را در سازمان‌ها و مراكز مجهز به سيستم‌هاي كامپيوتري و شبكه‌هاي كامپيوتر ايفا مي‌كند. اين مسئوليت طيف وسيعي از وظايف از نصب و آماده‌سازي تجهيزات Passive و سخت‌افزاري تا پياده‌‌سازي نرم‌افزار و پشتيباني را در بر مي‌گيرد.

امروزه در برخي از سازمان‌ها وضعيت به‌گونه‌اي است كه هر يك از وظايف يادشده به‌تنهايي داراي چنان حجمي هستند كه مدير سيستم به‌تنهايي قادر به انجام كليه وظايف ياد شده نيست. در چنين سازمان‌هايي تعريف وظايف مدير سيستم ساختار پيچيده‌اي داشته و به‌دليل حساسيت‌هاي موجود در برخي موارد ترجيح داده مي‌شود تا در هر حيطه به‌طور جداگانه از افراد متخصص استفاده شود.

در اين وضعيت نقش مدير سيستم نقشي نظارتي بوده و وظيفه وي ايجاد هماهنگي در بين واحدهاي مختلف اعم از سخت‌افزار، نرم‌افزار و پشتيباني خواهد بود. چنين وضعيتي فقط در سازمان‌هاي بزرگ و داراي وسعت و تنوع سيستمي مشاهده مي‌شود. اما در عمده موارد، شخص مدير سيستم مسئوليت راهبري كليه واحدها را برعهده داشته و به‌همين دليل بايد تسلط خوبي بر كليه حوزه‌هاي زيرمجموعه داشته باشد.


فهرست محتوا:

10 نکته درباره رفع ايرادهاي اتصالات VPN
10 نکته درباره امنیت ارتباطات بی‌سیم
10 نکته درباره تنظیمات دامین‌ها در Active Directory
10 نکته درباره ابزار NETSH
10 نکته درباره کار با مجوزها
10 نکته درباره Microsoft SQL Server 2005
10 نکته درباره سرویس‌های Microsoft SharePoint
10 نکته درباره سرویس به‌روزرساني ويندوز سرور
10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS
10 نکته درباره مدیریت پروژه‌های IT


http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نکته درباره رفع ایرادهاي اتصالات VPN

Virtual Privacy Network) VPN)


1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نيست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌ هاست NetBIOS یا DNS مشکل ايجاد کند.

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های VPN می‌توانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند.

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانايی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنيد. این مشکل اغلب زمانی به‌وجود مي‌آيد که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام مي‌کنند.
2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمي‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمي‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.
3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکه‌ای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نمي‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكل‌هاي VPN كار كند.

همه ابزارهاي NAT و فايروال‌ها در كار با پروتكل‌هاي VPN مبني بر IPSec از IPSec پشتيباني مي‌کنند. اين پروتكل‌هاي VPN شامل پياده‌سازي‌هاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكل‌هاي VPN مي‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند.

چنان‌چه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايج‌ترين دليل براي اين مشكل اين است كه كلاينت از سيستم‌عامل Windows XP SP2 استفاده مي‌كند.

سرويس پك 2 پيمايش NAT Traversal را روي كلاينت‌هاي L2TP/IPSec به‌اصطلاح مي‌شكند. شما مي‌توانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آن‌گونه كه در آدرس زير توضيح داده شده حل كنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 (http://shabakeh-mag.com/links.aspx?l=http://support.microsoft.com/default.aspx?scid=kb;en-us;885407)

4 – كاربران از سرعت پايين شكايت دارند

سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبه‌رو مي‌شوند.

يكي از عمده‌ترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده مي‌کند. چنين ارتباطات شبكه‌اي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه مي‌توانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينت‌هاي ويندوزي به آدرس زير مراجعه کنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;283165 (http://shabakeh-mag.com/links.aspx?l=http://support.microsoft.com/default.aspx?scid=kb;en-us;283165)

5 – كاربران از طريق PPTP متصل مي‌شوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد

PPTP پروتكل ساده‌اي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرم‌افزار كلاينت توكار VPN كه به‌همراه تمام نسخه‌هاي سيستم‌عامل ويندوز ارائه مي‌شود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.

اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، به‌سادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه به‌طور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيده‌تر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.

تأييد اعتبار ماشين مي‌تواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبت‌شده صورت گيرد. اگر از كليد مشترك استفاده مي‌كنيد (كه معمولاً به دلايل امنيتي توصيه نمي‌شود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده مي‌كنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟
6 – اتصال VPN سايت‌به‌سايت برقرار مي‌شود، اما هيچ ترافيكي بين گيت‌وي‌هاي VPN جابه‌جا نمي‌شود

هنگامي كه يك ارتباط VPN سايت‌به‌سايت بين سرورهاي RRAS ويندوزي ايجاد مي‌كنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكه‌هاي متصل‌شده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده و‌هاست‌ها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.

عمده‌ترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راه‌حل آن نيز تغيير الگوي آدرس‌دهي IP روي يك يا هر دو شبكه‌ بوده تا به‌اين ترتيب، تمام شبكه‌هاي متصل‌شده به‌صورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.
7 – كاربران نمي‌توانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند

به‌طور معمول سرور VPN و کلاينت‌ها به‌طور صحيح پيکربندي مي‌شوند تا بتوانند از مُد تونل IPSec يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN استفاده کنند و در نتيجه ارتباط با شکست مواجه مي‌شود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده مي‌كنيد، اما كلاينت‌هاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبه‌رو مي‌شوند.

دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماس‌هاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آن‌هابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيت‌وي VPN واحد مالتي‌پلكس كنند.

حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اين‌كه پياده‌سازي VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكان‌پذير خواهد بود. اگر اين‌گونه نبود، از فروشنده درباره وجود Firmware براي به‌روز رساني سؤال كنيد.
8 – كاربران نمي‌توانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند

برخي از اوقات كاربران مواردي را گزارش مي‌كنند كه در آن ذكر شده، مي‌توانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش مي‌كنند، مشاهده مي‌كنند كه نمي‌توانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.

دليل عمده براي اين مشكل اين است كه سرور VPN ورودي‌هاي جدول روزمره را براي تمام IDهاي شبكه‌هايي كه كاربر نمي‌تواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راه‌دور نيستند.

راه‌حل اين مشكل پركردن جدول مسيريابي روي سرورVPN به‌گونه‌اي‌ است كه آدرس گيت‌وي تمام IDهاي شبكه‌هايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.
9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند

در برخي مواقع كاربران نمي‌توانند پس از اين‌كه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اين‌حالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده مي‌شود كه نرم‌افزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيت‌وي پيش‌فرض خود پيكربندي شده‌باشد. اين تنظيم، تنظيم پيش‌فرض نرم‌افزار كلاينت VPN مايكروسافت است.

از آنجا كه همه ‌هاست‌ها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت به‌سمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN به‌گونه‌اي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينت‌هاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبه‌رو خواهد شد.

راه‌حل اين مشكل پيكربندي سرور VPN به‌گونه‌اي است تا به كلاينت‌ها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروال‌ها از چنين پيكربندي پشتيباني مي‌كنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيت‌وي پيش‌فرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناخته‌شده و خطرناك امنيتي محسوب مي‌شود، فعال خواهد کرد.
10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل مي‌شوند

يكي از خطراتي كه تمام سازمان‌هايي را كه اقدام به پياده‌سازي امكانات دسترسي راه‌دور به سرور VPN مي‌کنند، تهديد مي‌كند، اين‌است كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک مي‌گذارند. در بسياري از پياده‌سازي‌هاي سرور VPN شما قادر خواهيد بود نه‌تنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راه‌حل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.

به‌عنوان مثال، شما مي‌توانيد مجوز كلاينت كاربر را نيز بررسي كنيد. به‌اين ترتيب، هيچ كاربر ديگري نمي‌تواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارت‌هاي هوشمند، ابزارهاي بيومتريك و ديگر روش‌هاي دو فاكتوري تعيين هويت است.


http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg

10 نكته درباره امنيت ارتباطات بي‌سيم

Wireless Security

1 – استفاده از رمزنگاري

رمزنگاري مهم‌ترين و اصلي‌ترين ابزار امنيتي به‌حساب مي‌آيد، با ‌وجود اين، در بسياري از نقاط دسترسي بي‌سيم (WAP) ويژگي رمزنگاري به‌صورت پيش‌فرض فعال نيست. اگر چه اغلب WAPها از پروتكل WEP (سرنام Wired Equivalent Privacy) پشتيباني مي‌كنند، اما اين پروتكل نيز به‌صورت پيش‌فرض فعال نيست.

WEP داراي چند نقيصه امنيتي بوده و يك هكر مسلط مي‌تواند به آن نفوذ كند، اما در حالت كلي وجود آن بهتر از عدم وجود هرگونه پروتكل رمزنگاري خواهد بود. اطمينان حاصل كنيد كه روش تأييد WEP به‌جاي Open System روي Shared Key تنظيم شده باشد.

روش دوم، ديتاها را رمزنگاري نمي‌کند، بلكه تنها اقدام به بررسي اعتبار كلاينت مي‌كند. تغيير دادن كليد WEP در بازه‌هاي زماني مشخص و حداقل استفاده از الگوي 128 بيتي روش‌هايي هستند كه به بهبود امنيت شبكه بي‌سيم شما كمك شاياني خواهند کرد.
2 – از رمزنگاري قوي‌تري استفاده كنيد

به‌دليل وجود برخي نقاط ضعف در WEP مي‌توانيد به‌جاي آن از پروتكل WPA (سرنام Wi-Fi Protected Access) استفاده كنيد. براي استفاده از WPA، پروتكل WAP شما بايد از آن پشتيباني کند (با ارتقاي فريم وير مي‌توانيد پشتيباني از اين پروتكل را به نسخه‌هاي قديمي‌تر WAP بيافزاييد) همچنين كارت شبكه بي‌سيم (NIC) شما نيز بايد مناسب كار با اين پروتكل بوده و نرم‌افزار بي‌سيم كلاينت نيز از آن پشتيباني كند.

Windows XP SP2 به‌عنوان پيش‌فرض كلاينت WPA را نصب مي‌كند. ماشين‌هايي را كه روي آنان SP1 نصب شده است نيز مي‌توانيد با استفاده از بسته Wireless Update Rollup Package را به كلاينت Windows WPA مجهز کنيد
(آدرس http://support.microsoft.com/kb/826942/ (http://shabakeh-mag.com/links.aspx?l=http://support.microsoft.com/kb/826942/) را مشاهده كنيد).

يكي ديگر از گزينه‌هاي رمزنگاري استفاده از IPSec است. البته، شرط استفاده از آن، پشتيباني روتر بي‌سيم شما از اين پروتكل خواهد بود.
3 – كلمه عبور پيش‌فرض Administration را تغيير دهيد

اغلب توليدكنندگان از كلمه عبور مشخصي براي رمز عبور Administration كليه نقاط دسترسي بي‌سيم خود استفاده مي‌كنند. اين كلمات عبور مشخص و ثابت در نزد هكرها شناخته شده بوده و مي‌توانند به‌سادگي از آن براي تغيير تنظيمات WAP شما استفاده كنند. اولين كاري كه بايد هنگام تنظيم يك WAP انجام دهيد، تغيير رمز عبور، به رمزي قوي‌تر، با حداقل هشت كاراكتر طول و استفاده تركيبي از حروف و اعداد و استفاده نكردن از كلمات موجود در فرهنگ لغت است.
4 – ويژگي انتشار SSID را خاموش كنيد

SSID (سرنام Service Set Identifier) نام شبكه بي‌سيم شما را مشخص مي‌كند. به‌عنوان پيش‌فرض اغلب WAPها SSID را نمايش مي‌دهند. اين‌کار موجب مي‌شود تا كاربران به‌راحتي بتوانند شبكه را پيدا كنند، زيرا در اين‌صورت نام شبكه بي‌سيم در فهرست شبكه‌هاي قابل دسترس و روي كلاينت بي‌سيم قابل مشاهده خواهد بود.

اگر نمايش نام SSID را خاموش كنيد كاربران ناچار خواهند بود تا براي اتصال به شبكه بي‌سيم از نام آن اطلاع داشته باشند. برخي معتقدند، اين‌کار بي‌فايده است، زيرا هكرها مي‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتي اگر ويژگي نمايش آن خاموش باشد) پيدا كنند.

اين مطلب صحيح است، اما چرا بايد كار را براي آنان آسان كنيم؟ اين مطلب مانند اين است كه بگوييم از آنجا كه سارقان مي‌توانند شاه‌كليد تهيه كنند، پس به‌كارگيري قفل روي درب منازل كار بيهوده‌اي است. خاموش كردن گزينه Broadcasting SSID نمي‌تواند مانع از كار يك هكر ماهر شود، اما مطمئناً جلوي کاربران كنجكاو و ماجراجو را (به‌عنوان مثال، همسايه‌اي كه متوجه وجود شبكه بي‌سيم شده و مي‌خواهد فقط به‌خاطر سرگرمي به آن نفوذ کند) خواهد گرفت.
5 – WAP را در مواقع غيرلازم خاموش كنيد

اين مورد ممكن است خيلي ساده‌انگارانه به‌نظر آيد، اما شركت‌ها و اشخاص انگشت‌شماري يافت مي‌شوند كه اين‌کار را انجام دهند. اگر كاربران بي‌سيم شما در ساعات مشخصي به شبكه متصل مي‌شوند، دليلي وجود ندارد تا شبكه بي‌سيم شما در تمام طول شبانه‌روز روشن باشد تا فرصتي را براي مهاجمان فراهم آورد. شما مي‌توانيد در مواقعي كه به نقطه‌دسترسي نيازي نداريد آن را خاموش کنيد. مانند شب‌ها كه همه به منازل خود مي‌روند و هيچ‌كس به ارتباط بي‌سيم احتياجي ندارد.
6 – SSID پيش‌فرض را تغيير دهيد

توليدكنندگان WAPها اسامي ثابت و مشخصي را براي SSID به كار مي‌برند. به‌عنوان مثال، دستگاه‌هاي Linksys از همين نام براي SSID استفاده مي‌كنند. پيشنهاد خاموش كردن نمايش SSID براي جلوگيري از اطلاع ديگران از نام شبكه شما است، اما اگر از نام پيش‌فرض استفاده كنيد، حدس زدن آن كار سختي نخواهد بود. همان‌طور كه اشاره شد هكرها مي‌توانند از ابزارهاي مختلفي براي پي بردن به SSID استفاده كنند، به همين دليل، از به كار بردن نام‌هايي كه اطلاعاتي را درباره شركت شما به آنان مي‌دهد (مانند نام شركت يا آدرس محل) خودداري کنيد.
7 – از فيلتر MAC استفاده كنيد

اغلب WAPها (به‌جز انواع ارزان‌قيمت) به شما اجازه خواهند داد از سيستم فيلترينگ آدرس‌هاي MAC (سرنامMedia Access Control )استفاده كنيد. اين به‌اين معني است كه شما مي‌توانيد «فهرست سفيدي» از كامپيوترهايي را كه مجاز به اتصال به شبكه بي‌سيم شما هستند بر مبناي MAC يا آدرس فيزيكي كارت‌هاي شبكه تعريف کنيد. درخواست‌هاي ارتباط از سوي كارت‌هايي كه آدرس MAC آن‌ها در اين فهرست موجود نيست، از جانب AP رد خواهد شد.

اين روش محفوظ از خطا نيست، زيرا هكرها مي‌توانند بسته‌هاي اطلاعاتي رد و بدل شده در يك شبكه بي‌سيم را براي تعيين مجاز بودن آدرس MAC امتحان كنند و سپس از همان آدرس براي نفوذ به شبكه استفاده کنند. با اين‌حال، اين كار باز هم قدري موضوع را براي «مهاجمان احتمالي» مشكل‌تر خواهد کرد. چيزي كه موضوع اصلي در امنيت است.
8 – شبكه بي‌سيم را از ديگر شبكه‌ها جدا سازيد

براي محافظت از شبكه باسيم داخلي خود در برابر تهديدهايي كه از طريق شبكه بي‌سيم وارد مي‌شوند مي‌توانيد نسبت به ايجاد يك DMZ بي‌سيم يا شبكه‌اي محيطي كه در برابر LAN ايزوله شده اقدام کنيد. براي اين‌کار مي‌توانيد با قرار دادن يك فايروال ميان شبكه بي‌سيم و LAN هر دو شبكه را از يكديگر جدا كنيد.

پس از آن بايد براي دسترسي كلاينت‌هاي بي‌سيم به منابع شبكه‌اي در شبكه داخلي، هويت كاربر را از طريق شناسايي توسط يك سرور راه‌دور يا به‌كارگيري از VPN تأييد كنيد. اين‌کار موجب ايجاد يك لايه محافظتي اضافي خواهد شد.

براي اطلاعات بيشتر درباره چگونگي دسترسي به شبكه از طريق VPN و ايجاد DMZ بي‌سيم با استفاده از فايروال ISA Server مايكروسافت، به آدرس زير مراجعه كنيد (براي دستيابي به اين آدرس به يک حق عضويت Tech ProGuil نياز خواهيد داشت):


http://techrepublic.com.com/5100-6350_11-5807148.html (http://shabakeh-mag.com/links.aspx?l=http://techrepublic.com.com/5100-6350_11-5807148.html)

9 – سيگنال‌هاي بي‌سيم را كنترل كنيد

يك WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال مي‌کند. اين ميزان با استفاده از آنتن‌هاي حساس‌تر قابل افزايش است. با اتصال يك آنتن external پرقدرت به WAP خود، خواهيد توانست برد شبكه خود را گسترش دهيد، اما اين‌کار مي‌تواند دسترسي افراد خارج از ساختمان را نيز به داخل شبكه امكان‌پذير سازد.

يك آنتن جهت‌دار به‌جاي انتشار امواج در ميداني دايره‌اي شكل آنان را تنها در يك راستا منتشر مي‌سازد. به‌اين ترتيب، شما مي‌توانيد با انتخاب يك آنتن مناسب، هم برد و هم جهت ارسال امواج را كنترل کرده و در نهايت از شبكه خود در برابر بيگانگان محافظت كنيد. علاوه بر اين، برخي از WAPها به شما اجازه مي‌دهند تا قدرت سيگنال و جهت ارسال آن را از طريق تنظيم‌هاي دستگاه تغيير دهيد.
10 – ارسال امواج روي فركانس‌هاي ديگر

يك راه براي پنهان ماندن از ديد هكري كه بيشتر از فناوري رايج 802.11b/g استفاده مي‌كند، اين است که تجهيزات 802.11a را به‌كار بگيريد. از آنجا كه اين استاندارد از فركانس متفاوتي (5 گيگاهرتز به‌جاي 2/4گيگاهرتز استاندارد b/g) استفاده مي‌كند، كارت‌هاي شبكه‌اي كه بيشتر براي فناوري‌هاي شبكه‌اي معمول ساخته شده‌اند نمي‌توانند اين امواج را دريافت كنند.

به اين تكنيك Security Through Obscurity يا «امنيت در تاريكي» گفته مي‌شود، اما اين كار زماني مؤثر است كه در كنار ديگر روش‌هاي امنيتي به‌كار گرفته شود. در نهايت اين‌كه Security Through Obscurity دقيقاً همان چيزي است كه وقتي به ديگران توصيه مي‌كنيم نگذارند بيگانگان از اطلاعات خصوصي آن‌ها مانند شماره تأمين اجتماعي يا ديگر اطلاعات فردي مطلع شوند، به آن اشاره مي‌كنيم.

يكي از دلايلي كه استاندارد 802.11b/g را محبوب‌تر از 802.11a مي‌سازد اين است كه برد فركانس آن بيشتر از a و تقريباً دو برابر آن است. 802.11a همچنين در عبور از موانع و ديوارها با قدري مشكل رو‌به‌رو است. از نقطه نظر امنيتي، اين «نقص» به‌نوعي «مزيت» به‌حساب مي‌آيد، زيرا به‌كارگيري اين استاندارد باعث مي‌شود تا نفوذ سيگنال به بيرون كاهش يابد و كار نفوذگران را حتي در صورت استفاده از تجهيزات سازگار با مشكل مواجه كند.
http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg

10 نکته درباره DomainTrust اکتیودایرکتوری

Domain Trust

1 - تعیین Trust متناسب با نیاز

پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:

Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)



Direction

Transitivity

Type

2way

Transitive

Parent and Child

2way

Transitive

Tree-root

1way OR 2-way

Nontransitive

External

1way OR 2-way

Transitive or Nontransitive

Realm

1way OR 2-way

Transitive

Forest

1way OR 2-way

Transitive

Shortcut

2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust

برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:



http://techrepublic.com.com/5100-6345_11-5160515.html (http://shabakeh-mag.com/links.aspx?l=http://techrepublic.com.com/5100-6345_11-5160515.html)

3 - آشنايی با ابزار

همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:

- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده مي‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بين Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust مي‌توان از آن استفاده کرد.

شما همچنین می‌توانید از ويندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌هاي اکتيو دايرکتوري‌اي که اعضايی از دامین‌های Trust و/ يا Forest دارند، مشاهده کنند.
4 - ایجاد یک محیط آزمایشی

بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.

علاوه بر اين، قبل از استفاده از گروه‌هاي زنده، اکانت‌ها و آبجکت‌هاي ديگر، به آزمايش الگوي آبجکت‌ها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت به‌دست آمده، نه بيشتر.
5 - مجوزها را بازبینی کنيد

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.
6 – طرح Trustها را تهيه كنيد

نقشه‌اي ساده با استفاده از پيكان‌ها و جعبه‌هايي كه نمايان‌گر دامين‌هاي داراي Trust، ارتباط آنان با يكديگر و اين‌كه اين Trustها يك‌طرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير‌(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آن‌ها را نمايش دهيد.

اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامين‌هاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامين‌ها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامين‌ها ايفا مي‌کنند.
7 – ارتباطات بين Trustها را مستند كنيد

امروزه، سازمان‌ها دائم در حال پيوستن و جدا شدن از يكديگر هستند. به‌همين دليل، اين نكته اهميت دارد كه نقشه واضحي از ارتباط بين دامين‌ها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود.

به‌عنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود.

نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيش‌بيني شده براي Trust، مجوز، اطلاعات پايه‌اي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامين‌ها از اطلاعاتي هستند كه ذخيره‌سازي آنان در يك محل مطمئن بسياري از كارها را آسان‌تر خواهد کرد.
8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد

براي صرفه‌جويي در وقت و زمان، از جلو بردن عضويت‌ها در بيش از يك لايه هنگام كار و استفاده از Trust در دامين‌ها و فارست‌هاي چندگانه پرهيز كنيد. با اين‌كه تودر تو کردن عضويت‌ها مي‌تواند به يكپارچگي و كاهش آبجکت‌هاي قابل مديريت در AD كمك کند، اما اين‌کار موجب افزايش ميزان تصميم‌گيري در مديريت اعضا خواهد شد.
9 – چگونگي مديريت نسخه‌هاي مختلف ويندوز

وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا مي‌كنيد، امكانات كامل براي دامين‌ها و فارست‌هاي عضو فراهم خواهد بود. چنان‌چه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آن‌ها به‌دليل ناتواني در شناسايي آبجكت‌هاي AD محدود خواهد شد. راه‌حل عمومي اين سناريو ايجاد «دامين‌هاي جزيره‌اي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نمي‌شوند.
10 – Trustهاي منقضي و Overlap شده را پاك كنيد

تغييرات ايجاد شده در روابط مابين سازمان‌هاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه به‌عنوان فعال مورد استفاده قرار نمي‌گيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آن‌ها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست مي‌تواند مكمل خوبي براي سياست‌هاي استحكام يافته امنيتي شما به‌حساب آيد.

http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نكته درباره ابزارهاي NETSH
NETSH

1 – NETSH چيست؟

NETSH يكي از قوي‌ترين ابزارهاي شناخته‌شده شبكه است كه به همراه ويندوز 2000 و ويندوز 2003 سرور ارائه مي‌شود. اين ابزار به‌عنوان پيش‌فرض به‌همراه سيستم عامل و در پوشه systemroot%\system32 % نصب مي‌شود. NETSH در ويندوز XP نيز در دسترس است.

NETSH به شما کمک مي‌کند تا نسبت به نمايش، تغيير، ورود و خروج بسياري از وجوه پارامترهاي شبكه در داخل سيستم اقدام كنيد. با کمک اين ابزار خواهيد توانست با استفاده از پارامتر ماشين راه‌دور (-r) به‌صورت راه‌دور به ديگر سيستم‌ها متصل شويد.
2 – محتويات NETSH

محتويات يا Context ابعاد مشخصي از پيكربندي شبكه هستند كه مي‌توانند با استفاده از NETSH مديريت شوند. در ادامه با Contextهاي ويندوز سرور 2003 آشنا مي‌شويم:



Description

Context

Authentication, authorization, accounting, and auditing

aaaa

DHCP server administration

dhcp

OS and network service parameters

diag

NIC configuration; includes subcontexts

interface

Alternative to IP Security Policy Management

ipsec

Network bridging configuration

netshbridge

Remote access server configuration

ras

(Routing administration (instead of RRAS

routing

Subnet and interface settings

rpc

Windows Internet Name Service administration

wins

توجه داشته باشيد که هر Context مي‌تواند يک Subcontext داشته باشد. به‌عنوان مثال، interface، سه Subcontext دارد: IP، Ipv6 و NETSH.protprox اين Subcontextها را به عنوان Context درنظر مي‌گيرد.

مانند اين NETSH interface IP :Context توجه کنيد که ويندوز اکس‌پي مجموعه Contextهاي متفاوتي دارد. هنگام استفاده از عمليات Import و Export در حالت None interactive، بايد از پيکربندي Context يا Subcontext مطمئن شويد.
3 – كنترل تغييرات شبكه با استفاده از NETSH

از NETSH مي‌توان براي ارسال يا دريافت پيکربندي شبكه‌ استفاده كرد. به‌عنوان مثال، اگر بخواهيد سيستمي را از يك شبكه منفك و وارد شبكه جديدي کنيد، كانال‌هاي ارتباطي نيازمند تنظيم و تطبيق آنان با ديگر سيستم‌ها هستند.

با استفاده از NETSH Export خواهيد توانست تنظيمات مختلف را به يكباره انجام دهيد. به‌عنوان مثال، به اين بخش از NETSH Export كه در عمليات dump صورت مي‌گيرد، توجه كنيد:



set address name = “Teamed NIC” source = static addr = 10.64.32.100 mask = 255.255.252.0
set address name = “Teamed NIC” gateway = 10.25.44.1 gwmetric = 1
set dns name = “Teamed NIC” source = static addr = 10.64.22.50
add dns name = “Teamed NIC” addr = 10.95.61.22
add dns name = “Teamed NIC” addr = 10.95.45.34
set wins name = “Teamed NIC” source = static addr = 10.95.45.70
add wins name = “Teamed NIC” addr = 10.95.45.25

دقت كنيد كه پيش از اجراي فرامين از صحت پارامترها و مقادير صحيح آدرس‌ها و نام‌ها مطمئن شويد. بهترين بخش كار اين است كه پس از آن مي‌توانيد كل فايل را به ويندوز Import کرده تا از بروز اشتباه در دفعات بعدي جلوگيري شود. اين يك نمونه از Interface Context بود. كل موارد گفته‌شده براي ديگر اسكريپت‌هاي Context صادق است.
4 – استفاده از NETSH جهت تغيير پوياي آدرس‌هاي TCP/IP

مي‌توانيد با استفاده از NETSH و توسط Import يك فايل ساده نسبت به تغيير دايناميك آدرس‌هاي IP از IP استاتيك به DHCP اقدام كنيد. NETSH همچنين مي‌تواند پيكربندي لايه 3 (آدرس‌هاي TCP/IP، تنظيمات DNS، تنظيمات WINS ،IP aliase و ...) را به‌دست گيرد.

اين ويژگي به‌خصوص هنگامي كه در حال كار روي شبكه‌اي هستيد كه DHCP روي آن وجود نداشته و كامپيوترهاي موبايل به چندين شبكه متصل مي‌شوند، مفيد خواهد بود. ميانبرهاي NETSH موجب افزايش قابليت‌هاي Windows Automatic Public IP Addressing مي‌شود.

در زير مثالي از اجراي يك آپديت دايناميك را براي يك آدرس IP مشاهده مي‌كنيد:



C:\NETSH –f filename.netsh

در اين مثال Filename.netsh به فايلي اشاره مي‌كند كه حاوي يك رابط بصري پيكربندي dump است. شما مي‌توانيد در ويندوز ميان‌برها را در يك فايلBAT. قرار داده و آن را اجرا كنيد. به‌اين ترتيب، قادر خواهيد بود به‌سادگي ميان‌برهايي را براي دريافت يك آدرس DHCP اضافه کرده و به IP استاتيك در سايت يك مشتري، شبكه DMZ يا هر شبكه ديگري با IP استاتيك سوييچ كنيد.
5 – يك تمرين خوب: از پسوند NETSH. استفاده كنيد

عمليات Import و Eexport در NETSH با فرمت متن ساده صورت مي‌گيرد و مي‌توان متون آنان را با استفاده از هر ويرايشگر ساده متني مشاهده کرد. به‌هرحال، فايل‌هاي NETSH به‌عنوان يك Filetype خاص در نظر گرفته مي‌شود، زيرا از آنان براي مستندسازي پيكربندي شبكه و همچنين فرآيند Import و Export استفاده مي‌شود.

به‌عنوان يك تمرين خوب مي‌توانيد تمام عمليات Export را در يك فايل FILE.NETSH آماده کرده تا هنگام نياز به Export توسط NETSH مورد استفاده قرار گيرد. اين كار از اهميت ويژه‌اي برخوردار است، زيرا فايل Export حاوي كلمه NETSH در داخل خود نيست. به‌اين ترتيب، حتي يك تازه‌كار هم مي‌تواند متوجه شود كه محتويات اين فايل چه چيزي است.

پسوند فايل Export ،dupm) dupm) و f) import-) كاملاً توسط كاربر مديريت مي‌شوند. براي راحتي بيشتر مي‌توانيد پسوند NETSH. را داخل ويندوز براي كار با ويرايشگر متني خود تعريف كنيد.
6 – NETSH در حالت تعاملي (Interactive Mode)

NETSH يكي از ابزارهاي ويندوز است كه مي‌تواند هم در محيط تعاملي و هم در محيط غير تعاملي اجرا شود. ابزارهاي تعاملي (مانند Nslookup و Dnscmd) اين قابليت را دارند تا سناريوهاي متفاوت و مؤثري را بسته به محيط انتخاب شده داشته باشند.

حالت تعاملي خود داراي دو Mode است: آنلاين و آفلاين. مد آنلاين تا زماني كه در وضعيت تعاملي هستيد، مستقيم با اجزاي شبكه در ارتباط خواهد بود. مد آفلاين نيز به شما اجازه خواهد داد تا به‌عنوان فعال تغييراتي را اعمال کرده و آنان را بلافاصله و به‌صورت آنلاين برگردانيد.
7 – NETSH در حالت غيرتعاملي Noninteractine

در مد غير تعاملي مي‌توانيد فرامين NETSH را از طريق Import کردن يك فايل اجرا كنيد. استفاده از مد غير تعاملي براي عمليات Import و Export فايل پيشنهاد مي‌شود با فايل NETSH در مد غير تعاملي مي‌توانيد تنظيمات كليدي را از هر Export ،Contex كنيد.

به‌علاوه، اگر با مشكلي مواجه شويد مي‌توانيد اسكريپت NETSH را دوباره در حالت غير تعاملي دريافت کرده و شبكه را به وضعيت قبل برگردانيد. توجه داشته باشيد كه NETSH نمي‌تواند از اطلاعات موجود در Contextها (مانند پايگاه داده WINS) پشتيبان تهيه کند.
8 – اسکريپت‌ها را واضح تهيه كنيد

هنگام رد و بدل كردن اسكريپت‌هاي NETSH شما مي‌توانيد براي درخواست بازخورد از كامنت استفاده كنيد. اين‌کار به‌شما اجازه خواهد داد تا هر ورودي را توضيح داده يا از آن به‌عنوان يك ابزار آموزشي براي ديگران استفاده كنيد. كافي است عبارت REM را در فايل Export شده NETSH قرار داده و عباراتي را به آن بيافزاييد. از کامنت‌هاي زيادي استفاده نكنيد، هر آنچه ضروري است، ذكر كنيد.
9 – ضروريات NETSH

NETSH ابزار قدرتمندي است كه بايد با احتياط از آن استفاده کرد. استفاده در حالت تعاملي و در مد آنلاين (مد پيش‌فرض) براي اعمال تغييرات روزانه مي‌تواند ريسك بيشتري نسبت به انجام تغييرات در حالت تعاملي و در مد آفلاين و سپس ورود به مد آنلاين و اعمال تغييرات به‌همراه داشته باشد.

در هر صورت استفاده از حالت Noninteractive براي اعمال تغييرات روش معمول‌تري بوده، زيرا در اين حالت مي‌توان تغييرات را مشاهده و ثبت کرد. بهتر است براي كسب مهارت بيشتر NETSH را روي يك ماشين مجازي يا روي يك «سيستم آزمايش» امتحان كنيد.
10 – نقاط منفي NETSH

امكان دارد در ابتدا وسعت ويژگي‌هاي NETSH استفاده از آن را دشوار کند. بهتر است به امكانات در دسترس NETSH نگاهي بياندازيد و استفاده از اينترفيس آن را در حالت تعاملي (interactive) تمرين كنيد (اين کار براي کاربراني که به ابزارهاي غيرتعاملي عادت کرده‌ايم کمي دشوار است).

دسترسي به NETSH در حالت تعاملي بسيار ساده است: كافي‌است دستور NETSH را در خط فرمان تايپ كنيد و سپس از راهنماي زير براي بررسي امكانات اين دستور استفاده کنيد: براي تغيير به Context ديگر نام Context را تايپ كنيد.

به‌عنوان مثال، فرمان Interface ip بي‌درنگ شما را از هر Contextاي كه در آن هستيد، به‌طور مستقيم به كانتكست Interface ip خواهد برد. براي تغيير مد، دستور online يا offline را تايپ كنيد. دستور آفلاين موجب آفلاين شدن نشست (Session) تعاملي فعلي خواهد شد.

به‌همين دليل، هيچ تغييري بي‌درنگ اعمال نخواهد شد. دستور online موجب آنلاين شدن نشست فعلي خواهد شد. به‌اين ترتيب كليه تغييرات بي‌درنگ روي تمام عناصر شبكه‌اي اعمال خواهند شد. با تايپ كردن دستور Show Mode مي‌توانيد مد فعلي را مشاهده کنيد.

مد پيش‌فرض online است. به‌همين دليل، اگر در حال آزمايش كردن چيزي هستيد، بي‌درنگ به حالت آفلاين برويد. با تايپ كاراكتر؟ يا دستور Help كليه دستورات قابل دسترس در مكان Context فعلي به‌نمايش درخواهند آمد. اگر روي روت ابزار قرار داريد، هيچ كانتكست فعالي وجود نداشته و رابط‌بصري شما در اين ابزار پرامپت

دستورات جهاني يا Global Commands مانند آنلاين و Quit دستوراتي هستند كه مي‌توانيد در هر موقعيتي از آن‌ها استفاده كنيد. دستورات Context تنها زماني قابل دسترس هستند كه در كانتكست جاري از آنان استفاده شود. ب

به‌عنوان مثال، از كانتكست

http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نكته درباره كار با مجوزها

Permissions

1 – NTFS و مجوزهاي اشتراكي

مهم‌ترين نكته گيج‌كننده درخصوص به‌اشتراك‌گذاري در سيستم‌هاي تحت ويندوز اين است كه NTFS و مجوزهاي سطح اشتراك، هر دو روي توانايي كاربر در دسترسي به منابع موجود روي شبكه تأثير خواهند گذاشت. همواره به‌ياد داشته باشيد كه در ويندوز اکس‌پي و ويندوز 2003 سرور (و به‌خصوص نسخه‌هاي بعدي اين سيستم‌عامل) مجوزهاي اشتراكي به‌عنوان پيش‌فرض روي Read-Only تنظيم شده‌اند.

اين مطلب موجب خواهد شد تا مجوزهاي NTFS در زمان دسترسي به آنان از طريق شبكه به حالت Read محدود مي‌شوند.

بهترين راه براي تشخيص مجوزهاي اشتراكي از مجوزهاي NTFS در نظر گرفتن اين نكته است كه مجوزهاي اشتراكي به‌عنوان دروازه ورودي منابع به‌حساب مي‌آيند. فقط پس از به‌اشتراك‌گذاري مجوزها و بعد از Change و/ يا Full Control است كه مجوزهاي NTFS مي‌توانند مورد استفاده قرار گيرند.

تركيب مجوزهاي سطح اشتراكي و مجوزهاي NTFS مي‌تواند به‌عنوان ظرفيت بالاسري مدير شبكه فرض شود، اما به‌خاطر داشته باشيد: مجوزهاي اشتراكي نقش دروازه ورود و دسترسي به منابع شبكه‌اي را ايفا مي‌كنند. وقتي از طريق يك مجوز اشتراكي وارد يكي از منابع شبكه‌اي مي‌شويد، اين مجوز به‌شما ديكته مي‌كند كه با توجه به شرايط اشتراك چه اختياراتي داريد.

مجوزهاي NTFS مشخص مي‌سازند كه چه كارهايي را مي‌توانيد با فايل‌ها و فولدرها انجام دهيد. در حالت Troubleshooting مشخص کنيد كه آيا سطح اشتراكي مي‌تواند در آنجا نقش ايجاد کند يا خير.
2 – از اشتراك‌هاي تو در تو (Nested) دوري كنيد

مشكلاتي كه با هر دو مجوز NTFS و مجوزهاي اشتراكي درگير هستند مي‌توانند موقعيت را بسيار سخت و دشوار کنند. در ساختار فايل‌هاي خود از اشتراك‌هاي تودرتو پرهيز كنيد، زيرا اين وضعيت مي‌تواند در صورت دسترسي به منابع از طريق مجوزهاي مختلف موجب بروز اختلال و رفتارهاي ناسازگارانه در قبال منابع شبكه‌اي يكسان شود.

اين‌کار به‌منزله به‌دنبال دردسر گشتن است. به‌خصوص زماني كه مجوزهاي اشتراكي متفاوت باشند. اشتراک تودرتو یا Nested Share به پوشه به اشتراک‌گذاشته‌ای اطلاق مي‌شود که خود در داخل یک پوشه دیگر که خود به اشتراک گذاشته شده قرار داشته باشد.

البته، موجودیت‌های مشترک و پنهان زیادی وجود دارند (از قبلي$لD$،C و مانند آن‌ها) که در سطوح پايین‌تر از خود فایل‌ها و پوشه‌های پنهان تودرتوی دیگری را به‌همراه دارند که همگی نیز به‌عنوان پیش‌فرض به این وضعیت هستند. در هر حال اگر کاربران از دو اشتراک غیر پنهان تودرتو استفاده کنند، این احتمال وجود دارد تا مجوزهای اشتراک دچار Conflict و ناسازگاری شوند.
3 - از CACLS و XCACLS استفاده کنید

شما می‌توانید از CACLS و XCACLS به‌همراه یکدیگر براي جمع‌آوری اطلاعات فایل‌هایی که منعکس‌کننده مجوزهای پیکربندی شده NTFS هستند، استفاده کنید. این ابزارها اطلاعات مربوط به مجوزهای فایل‌ها و پوشه‌های خاص و روی منبع خاص را در اختیار مدیر شبکه قرار خواهند داد.

تفاوت بین مجوزهای NTFS و ACL (سرنام Access Control List) چیست؟ مجوزهای NTFS از داخل ويندوز اکسپلورر یا از طریق یک مکانیزم خودکار برای فایل‌ها و پوشه‌ها تعریف می‌شوند. این درحالی است که ACL عبارت است از نمایش و مدیریت عملیاتی که می‌توان یا نمی‌توان روی فایل‌های همان منبع انجام داد.

شما می‌توانید از CACLS و XCACLS برای افزودن یا برداشتن مجوزهای NTFS آن‌هم در محیط اسکریپت استفاده کنید. به‌همین دليل، اگر حجم مجوزهایی که با آن‌ها سر و کار دارید زیاد هستند، می‌توانید با استفاده از یک اسکریپت بلندبالا آنان را مدیریت کنید.

به‌عنوان یک تمرین خوب برای فایل‌ها و فولدرهای مهم که به‌اشتراک گذاشته شده و دارای یک مجوز منحصر‌به‌فرد NTFS هستند، می‌توانید با استفاده از ابزار CALCS.EXE به ایجاد یک اسکریپت تسهیل‌کننده اقدام کرده و ACL فایل‌ها و فولدرهای مجزا را ثبت کنيد (يا به صورت دستي مراحل را براي انجام اين کار طي کنيد).

توجه داشته باشید که می‌توانید به آسانی و با اجرای CALCS * /T از داخل خط فرمان اقدام به ایجاد سندی حاوی مجوزهای NTFS کنيد که شامل اطلاعات مجوزهای فولدر، محتویات آن و زیرپوشه‌ها باشد. چنین کاری روی منبع مقصد صورت خواهد گرفت و می‌تواند هنگام کار روی فولدرهای تودرتو و دارای مسیر طولانی، صددرصد توان پردازنده را به‌خود اختصاص دهد.

البته، به فاکتورهای زیادی بستگی دارد، اما انجام یک بازبینی برای ایجادACL می‌تواند زمان بسیار طولانی را صرف کند. این شبیه حالتی است که می‌خواهید مجوزهای جدید NTFS را روی فولدرهای بزرگ اعمال کنيد.
4 - مقایسه بین مجوزهای ساده و مجوزهای ویژه NTFS

مجوزهای ویژه که فقط یک راست‌کلیک با آن فاصله دارید، امکانات بسیار بیشتری را در خصوص نیازمندی‌های یک دسترسی خاص در اختیار مدیرسیستم خواهند گذاشت. قابل توجه است اگر بدانید استفاده از مجوزهای ویژه با پیچیده‌تر کردن فرآیند مجوزدهی، موجب افزایش وظایف مدیریتی مرتبط با مجوزهای NTFS خواهد شد.

به همين دليل، بهترین حالت استفاده از مجوزها در زمانی است که واقعاً به آن‌ها نیاز باشد. مجوزهای استاندارد NTFS اغلب ویژگی‌های موردنیاز را برای یک دسترسی ایمن به منابع به‌اشتراک‌گذاشته شده و منابع محلی در اختیار دارند.

نکته: مطمئن شوید که در زمان بروز مشکل، مجوزهای خاص برداشته شده باشند. تمام مدیران شبکه حداقل یک‌بار مشکلاتی را با مواردی مانند مجوزهای مشترک، مجوزهای NTFS، عضویت‌های گروهی، اکانت‌های کاربری مشترک و... تجربه کرده‌اند. در بسیاری از موارد یک نگاه به مجوزهای ویژه می‌تواند مشکل را به‌سرعت شناسايی و برطرف کند.
5 - مجوزهای ویژه را جداگانه و روی منابع مختلف نگه‌دارید

اگر بتوانید این سناریو را اجرا کنید، تمرین خوبی خواهد بود تا بتوانید مجوزهای مورد نیاز منابع مختلف را به‌صورت گروه‌های جداگانه یا فولدرهایی با مجوزهای مشابه با دیگر فولدرهای واقع در منابع دیگر تعریف و دسته‌بندی کنید. اختلاط مجوزهای استاندارد با مجوزهای ویژه در یک مکان مشترک می‌تواند وظایف مدیریتی را سنگین‌تر کند.
6 - درک مجوزهای موروثی

مجوزهای موروثی یا Inherited permissions يکي ازصفات پیش‌فرضی مجوزهای NTFS روی ویندوز 2003 و 2000 سرور است. این مجوزها به مدیر شبکه اجازه می‌دهند تا تنظیمات NTFS یک فولدر را به محتویات آن و تمام اشیاء و فولدرهای درون آن منتقل کنند.

توارث، هنگامی که از تنظیمات پیش‌فرض استفاده می‌کنیم درک آسانی دارد. اما زمانی که block می‌شود، عیب‌یابی آن کار دشواری خواهد بود. چنین دشواری‌اي زمانی که یک فولدر در داخل فولدر دیگری قرارمی‌گیرد، مشخص‌تر خواهد شد. در عیب‌یابی صفات موروثی بهتر است ابتدا کار را از روت مشکل آغاز کرده و در راستای ساختار شاخه به‌سمت بالا حرکت کنیم.
7 - هنگام پاک کردن صفات موروثی مراقب باشید

وقتی صفات موروثی مجوزهای NTFS را از درون یک Parent Container پاک می‌کنید، با دو گزينه رو‌به‌رو هستید: Copy و Remove. گزينه Copy باعث Recurse شدن آبجکت Child و نوشتن مجوزهای NTFS از فولدر parent خواهد شد.

گزينه Remove تمام مجوزهای پیش‌فرض Administratorها، کاربران، Creative Owner ،System و... را که توسط NTFS ایجاد شده‌اند، از داخل فهرست Group یا User Name برمی‌دارد. هنگام آزمایش دستور Remove مراقب بلوکه شدن خصیصه‌های موروثی باشید.
8 - از نتیجه طفره نروید!

بدترین کاری که در زمان حل مشکلات مرتبط با مجوزها می‌توانید انجام دهید، این‌است که برای رفع مشکل، فردی را به عضویت گروه Admin یا دیگر گروه‌های دارای اختیارات قدرتمند درآورید. مشکل با افزودن مجوزهای بیشتر به کاربران حل نمي‌شود. همیشه مشکل را شناسايی کرده و با توجه به شرایط بهترین راه‌حل را انتخاب کنید.
9 – هیچ‌گاه بیش از اندازه مجوز ندهید

یکی از اشتباه‌هاي رایج، اعطای مجوزهای بیش ازاندازه (معمولاً از طریق عضویت در گروه‌ها) به کاربران برای دسترسی به منابع است. به‌خصوص اگر از Active Directory استفاده می‌کنید، ایجاد ساختاری سازمان‌یافته با عضویت‌ها و تعریف صحیح نیازهای دسترسی برای کاربران یا گروه‌های مدیریتی بهترین کاری است که می‌توانید انجام دهید. تنظیمات فایروال را به گونه‌ای انجام دهید که مطابق با نیازهای کاربران باشد.

اعطای مجوزهای بیش از اندازه در ظاهر مشکلی را ایجاد نخواهد کرد، اما این امکان وجود دارد تا به‌عنوان تصادفی به یک گروه یا دیگر خصیصه‌های عضویت مجوزهای زیادی داده شود.

عضویت در گروه‌ها آسان‌ترین راه برای ایجاد دسترسی زیاد یا اندک به منابع خواهد بود. به‌ویژه در پیکربندی دامین‌ها، پیچیدگی توسط عضویت‌های چندگانه و/يا گروه‌های تودرتو افزایش خواهد یافت. از ابزار Effective Permissions برای مشاهده مجموعه نتایج و در زمان به‌کارگیری AD از عضویت در گروه‌ها استفاده کنيد.

هرچند از این طریق نمی‌توان به‌طور مستقيم مجوزهای NTFS را نمایش داد، اما می‌توانید دریابید که عضویت در هر گروه برای هر آبجکت چگونه می‌تواند به رفع مشکل منجر شود.
10 - نحوه استفاده صحیح از Copy و Move

دستورات استاندارد Copy و Move نتایج مشخصی را به‌همراه دارند که می‌توان از آنان برای بررسی پیکربندی مجوزها (یا شکستن آن‌ها) استفاده کرد. يك راه خوب براي به‌خاطر سپردن اين مطلب اين است كه در نظر داشته‌باشيم، عمليات Copy موجب ايجاد مجوزهايي برمبناي Container مقصد شده و Move از Parent Container محافظت مي‌کند.

مكانيزم به‌يادسپاري: CC/MM – CopyCreate/MoveMaintain يا اين‌كه CopyCreate/MoveMake. البته، يك نكته نيز وجود دارد و آن نياز به كپي‌کردن منابع و نگهداري از مجوزهاي NTFS است كه ايجاد دوباره آن‌ها قدري مشكل است.

ابزار حذف شده SCOPY همان امكانات دستور XCOPY را با پارامترهاي O/ و X/ در اختيار قرار مي‌دهد. استفاده از اين فرمان به‌همراه پارامترهاي مربوطه به عمليات COPY اجازه مي‌دهد فايل‌ها يا فولدرها را در مكان جديد كپي‌كرده و مجوزهاي NTFS آنان را معادل با مجوزهاي Source Container تعريف كنند.


http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نکته درباره SQL Server 2005
SQL Server2005

1 – حالا ديگر نوعي داده از جنس XML وجود دارد

اگر بخواهيم درباره مهم‌ترين ويژگي SQL Server 2005 صحبت كنيم بايد به XML اشاره كرد. دليل اين اهميت در آنجا نهفته است كه با توجه به گرايش‌هاي اخير به‌سمت برنامه‌هاي وب، اين نوع جديد داده به ما امكان خواهد داد تا نسبت به طراحي ويژگي‌هايي برخلاف عرف رايج مايكروسافت، كه عموماً مايل است خود براي ما طراحي كند، اقدام كنيم.

پسوند داده XML داراي ويژگي‌هاي زير است:
- مي‌توان از آن در ستون جدول‌ها استفاده كرد.
- مي‌تواند در فرآيند ذخيره و به‌عنوان يك پارامتر قابل‌تغيير مورد استفاده قرار گيرد.
- اطلاعات تايپ نشده را مي‌تواند نگهداري کند.
- قادر به بررسي داده‌هاي ذخيره شده در ستون‌ها و از نوع XML و مقايسه آنان با الگوي پيشين است.
- نگاشت بين داده‌هاي XML و داده‌هاي Relational نيز دوسويه است.
2 – جايگزيني DMO (سرنام Distributed Management Objects) با SMO (سرنام SQL Server Management Object)

SMO (سرنام SQL Server Management Object) يك چارچوب مديريتي بر مبناي NET Framework. بوده كه به‌شما اجازه مي‌دهد نسبت به ايجاد ابزارهاي كاربردي شخصي براي مديريت سرور خود اقدام كنيد. SMO (مانند DMO) شما را قادر خواهد ساخت تا با ستون‌ها، جدول‌ها، پايگاه داده و سرورها به‌عنوان يك آبجكت قابل برنامه‌ريزي كار کنيد و از برخي امكانات جديد SQL Server 2005 مانند Service Broker پشتيباني مي‌کند.

SMOها به‌گونه‌اي بهينه‌سازي شده‌اند كه تا زماني كه يك آبجكت به‌عنوان كامل معرفي نشده و مورد استناد قرار نگرفته، از آنان استفاده نمي‌كند. شما همچنين مي‌توانيد فرامين SQL را به‌صورت Batch اجرا کرده و از اسكريپت‌ها براي ايجاد آبجكت‌ها استفاده كنيد. نرم‌افزار مديريت سرور شخصي شما مي‌تواند براي مديريت SQL Server 7 و در داخل سيستم SQL Server 2000 به‌كار گرفته شود.
3 –CTEها؛ جست‌وجوهاي بازگشتي

يك CTE (سرنام Common Table Expression) پرس‌وجو‌ها را بازگشت‌پذير مي‌کند. CTE مي‌تواند خود ارجاع بوده و براي نفوذ آن، حد بالايي تعريف شود. شما مي‌توانيد از CTE به‌عنوان بخشي از يك WITH در مجموعه فرامين SELECT ،UPDATE ،INSERT يا DELETE استفاده كنيد.
4 – ترافيک غيرهمزمان در SQL Server با The Service Broker

يك سيستم نهايي براي جست‌وجو و صف‌بندي وجود دارد كه همه چيز را تحت تأثير خود قرار خواهد داد. شما اينك مي‌توانيد ترافيك SQL Server را با استفاده از رندر غيرهمزمان (Asynchronous) و توسط سرويس جديد Service Broker مديريت کنيد.

اين سرويس موجب افزايش قابليت مقياس‌پذيري از طريق افزايش ظرفيت پذيرش ترافيك از سوي سيستم به‌صورت منطقي و فيزيكي مي‌شود. از طريق فرامين مي‌توان به SQL دسترسي پيدا كرد.

اين ويژگي با افزودن قابليت كار نامتقارن به‌همراه پيكربندي ساده در لايه داده، به‌عنوان موهبتي براي برنامه‌نويسان محسوب شده و امكانات زيادي را پيش روي آنان خواهد گشود. Service Broker به تنهايي مي‌تواند دليل كافي براي ارتقا به SQL Server 2005 باشد.
5 – Triggerهاي NET. ايجاد كنيد

SQL Server 2005 با فناوري NET. يكپارچه شده است. يكي از مفيدترين دستاوردهاي اين يكپارچگي قابليت ايجاد Triggerهاي كاربرپسند از طريق Visual Studio 2005 است.

ويژگي Trriger را مي‌توانيد از درون فهرست الگوهاي Visual Studio يافته و با استفاده از آن فايلي را براي Trigger شدن يك كد ايجاد كنيد. مكانيزم اتصال اين كد به SQL از طريق SqlPipe است.

6 – پيكربندي SQL Server 2005 دايناميك است

اگر شما SQL Server 2005 را روي ويندوز سرور 2003 اجرا مي‌كنيد بايد بدانيد كه پيكربندي آن كاملاً دايناميك و پويا است. شما مي‌توانيد مقادير پارامترها را به‌صورت آني و بدون نياز به راه‌اندازي دوباره سيستم تغيير داده و پاسخ را بي‌درنگ دريافت داريد.

7 – نوع داده خود را مشخص كنيد

سفارشي کردن انواع داده از طريق يكپارچه‌سازي SQL Server 2005 باNET CLR. امكان‌پذير بوده و نوعي ادغام در شيوه‌هاي پيشين محسوب مي‌شود. به‌اين ترتيب، خواهيد توانست نسبت به ايجاد برنامه‌هاي كاربردي (يا محيط) با ويژگي‌هاي خاص و مورد نظر اقدام کنيد. شما مي‌توانيد انواع فايل‌هاي جديدي را به File Typeهاي عمومي اضافه كنيد تا به‌اين ترتيب اين فايل‌ها مقادير تعريف شده از جانب شما را دريافت دارند.
8 – اطلاعات بيشتر، در يك‌بار اتصال

اين يك ويژگي جديد ديگر است كه نه براي يادآوري، بلكه براي توجه و به‌هيجان آمدن مديران شبكه ذكر مي‌شود. MARS (سرنام Multiple Active Result Sets) شما را قادر خواهد ساخت تا چندين query را به‌همراه نتايج چندگانه آنان تنها با يك‌بار اتصال دريافت داريد. ابزاري كه مي‌تواند بارها و مطابق با نياز كاربر ميان مجموعه‌ نتايج باز جابه‌جا شود. كارايي و مزاياي مقياس‌پذيري اين ويژگي كاملاً بارز و مشهود هستند.

اين ترفند جديد از سوي ADO.NET و در كنار قابليت SQL Server 2005 براي تطبيق فرامين چندگانه در اختيار ما گذاشته شده است. از آنجا كه MARS بخشي از SQL Server 2005 و همچنين بخشي از ADO.NET است، بنابراين فقط درصورت استفاده همزمان از هر دو در دسترس خواهد بود.

9 – WAITFOR…RECEIVE

در نسخه‌هاي پيشين SQL، فرمان WAITFOR يك فرمان استاتيك بود. براي اين دستور مقدار عددي تعريف مي‌شد تا مطابق با آن زمان Wait-Time مشخص شود. اين تمام كاري بود كه اين دستور مي‌توانست انجام دهد. اينك WAITFOR دايناميك شده و مي‌توان به آن گفت كه تا زمان حصول نتايج RECEIVE منتظر بماند.

علاوه بر تعريف‌هاي رايج، مي‌توان از اين فرمان به‌خاطر تطبيق با سرويس جديد Service Broker قدرداني کرد. همچنان كه Service Briker جست‌وجوهاي پايگاه داده را به‌صورت غير همزمان و از طريق صف‌بندي (كه كاملاً دايناميك است) انجام مي‌دهد، يك query ممكن است براي مدت نامعلومي در نوبت و منتظر وصول پاسخ قرار گيرد. فرمان جديد و پوياي WAITFOR تا زمان حصول نتايج RECEIVE كه آن‌هم از سوي Service Briker و به صلاح‌ديد آن انجام خواهد گرفت، منتظر خواهد ماند.

10 – DTS سرويس‌ها را يكپارچه مي‌سازد

معماري جديدي در زير فرآيند تبديل اطلاعات (Data Trtansformation) آرميده است. DTS محبوب و پركاربرد اينك وظيفه يكپارچه‌سازي سرويس‌ها را بر عهده داشته و شامل يك Data Transformation Pipeline و يك Data Transformation Runtime است.

Pipeline با اتصال «منبع اطلاعات» به «مقصد اطلاعات» با هدف تبديل داده‌ها، نقش واسط را در ميان آن‌ها ايفا مي‌کند. اين يك ساختار قراردادي است كه به‌اين ترتيب و براي پيچيده شدن پياده‌سازي مي‌شود. به‌عنوان مثال، شما مي‌توانيد Mapping يك به چند را انجام داده و ستون‌ها را با نتايج اخذشده از يك تغيير ايجاد کنيد.

Data Transformation Runtime اجزايي را براي مرتب كردن اطلاعات بارگذاري شده و فرآيند تبديل آنان به عمليات توليدمحور در اختيار شما قرار خواهد داد تا بتوانيد ارتباطات را مديريت کرده و متغيرها را دستكاري كنيد. اين ابزار در اصل يك چارچوب كاري براي آبجكت‌هاي Run-Time بوده كه قابل مديريت توسط ابزارهاي NET. هستند.

اجزاي DTP و DTR براي ايجاد بسته‌هاي Integration Services استفاده شده و از لحاظ ساختاري مشابه بسته DTS هستند، اما با سطوح بالاتري از قابليت پيكربندي و كنترل؛ به‌خصوص در ناحيه workflow.


http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نكته درباره Microsoft Share Point Services

Microsoft Share Point Services

1 - SharePoint و توسعه Exchange Server

اگر شما به‌عنوان‌یک مدیر شبکه از Exchange Server برای اداره‌کردن ترافیک ایمیل استفاده می‌کنید، SharePoint قادر است عملیات توزیع را تا اندازه زیادی تسهیل کند. شما می‌توانید یک سایت SharePoint را به‌عنوان نقطه‌ای منفرد برای دریافت ترافیک Exchange ایجاد کرده و در آن واحد به‌صورت عملي و ضمن داشتن کلیه فاکتورهای امنیتی و امکانات Membership، اقدام به توزیع ترافیک برای یک گروه یا چند گروه خاص کنيد.

با تعیین یک پوشه عمومی برای SharePoint و اختصاص آن از درون Exchange، وظیفه Exchange به‌انجام رسیده و SharePoint از داخل آن پوشه وظایف خود را به انجام خواهد رساند.
2 - مقیاس‌پذیری راه‌حل‌های مبتنی بر SharePoint

مایکروسافت این مطلب را به‌خوبی جا انداخته که SharePoint Services اصولاً یک جعبه ابزار حاوی راه‌حل‌های مشارکتي است. ایجاد سایت‌هایی برای تعاملات گروهي، به‌اشتراک‌گذاری و مدیریت اسناد و فایل‌های مرتبط با پروژه‌ها، انجام آزمايش و دیگر عملکردهای مشارکتي از وظایف طبیعی SharePoint هستند.

یکی از وجوه کمتر شناخته شده SharePoint این‌است که این ابزار قابلیت‌های بسیار بالايی از لحاظ همکاری با دیگر ابزارها داشته و مقیاس‌پذیری آن بسیار بالا است. آنچه به‌عنوان كتابخانه منبع توسط يك گروه به اشتراك گذاشته مي‌شود، مي‌تواند با هدف تطبيق با كل سازمان يا جامعه وسيع‌تري از كاربران تحت نظر قرار گرفته شود. SharePoint Services به‌سهولت روي سرورهاي چندگانه استقرار يافته و امكان ذخيره‌سازي حجم عظيمي از اطلاعات را فراهم مي‌سازد.
3 – سايت‌هاي SharePoint كاملاً قابل سفارشي‌سازي هستند

SharePoint Services كاملاً با FromtPage 2003 يكپارچه شده است، بنابراين كليه ابزارهاي WYSIWYG متعلق به FrontPage قابل استفاده در سايت‌هاي SharePoint هستند (اگر سازمان شما از لحاظ فني در سطوح بالايي قرار دارد، تمام اين ابزارها از طريق ASP.NET قابل دسترسي هستند).

شما مي‌توانيد با استفاده از FrontPage به‌كارگيري ابزار Web Parts را آسان کنيد. اين ابزار به‌شما اين امكان را خواهد بخشيد تا قطعات ماجولار كدها را دوباره در سايت‌هاي SharePoint به‌كار گيريد. به‌اين ترتيب، داده‌هاي live را از منابع متعددي دريافت داريد.

همچنين قادر خواهيد بود تا به كاربران اجازه دهيد اين ماجول‌هاي كد را از طريق جاي دادن بخش‌هايي از Web Parts در داخل سايت خود كنترل کرده و در نتيجه كنترل‌هاي پيچيده‌اي را با روش drag-and-drop در اختيار داشته باشند. مديران شبكه مي‌توانند كنترل كاملي را از طريق XSLT كه مستقيم يا از طريق FrontPage در اختيارشان قرار مي‌گيرد، در اختيار داشته و در صورت لزوم Conditional Formatting را به‌كار ببرند.
4 – SharePoint و توسعه امكانات InfoPath

InfoPath 2003، يك ابزار دسكتاپ متعلق به مايكروسافت است كه وظيفه آن مديريت جامع فرم‌ها و انتقال داده‌ها است. اين نرم‌افزار فناوري قدرتمندي داخل خود دارد و آنچنان كه بايد مورد استفاده قرار نمي‌گيرد. اين فناوري امكاني را براي مديران شبكه فراهم مي‌سازد تا برخي از امكانات اين ابزار مانند قابليت‌هاي XML و فرم‌هاي كاربرپسند آن را با SharePoint درهم‌آميزند.

شما اين ويژگي را به‌خصوص در زمان انتشار مستقيم فرم‌هاي InfoPath به كتابخانه SharePoint بسيار مفيد و كارآمد خواهيد يافت. در اين كتابخانه، فرم‌ها قابليت ذخيره‌سازي داشته و از همه مهم‌تر مي‌توان آن‌ها را به‌اشتراك گذاشت. به‌اين ترتيب و از طريق دسترسي گروه كاري به اين فرم‌ها SharePoint مي‌تواند نقش يك ابزار مشاركتي را ايفا کند.

در زمان استفاده از اين قابليت فرم اصلي در Header كتابخانه ذخيره شده و مجموعه نتايج به‌صورت XML ايجاد مي‌شوند. همچنين با استفاده از SharePoint Portal مي‌توانيد سرويس‌هاي SharePoint Portal Web را براي كمك به ابزار فرم‌ساز InfoPath و استفاده از آن در دسكتاپ اشتراكي به‌كار گيريد. از اين طريق مي‌توان دسترسي به اين اطلاعات را در ديگر سيستم‌ها و داخل سازمان فراهم کرده و استفاده از آنان را وسعت بخشيد.
5 – استفاده از Meta Data براي ايجاد دايناميك سيستم‌هاي ذخيره‌ساز تركيبي

فرا داده يا Metadata يك مفهوم حياتي و حساس در SharePoint Services بوده كه به روش‌هاي مختلف قابل استفاده است. با استفاده از Metadata مي‌توانيد به‌عنوان مؤثر اقدام به ايجاد آرگومان‌هاي جست‌وجو آن‌هم به‌صورت سفارشي کرده و اطلاعات خود را به‌صورت دايناميك ساماندهي كنيد. در اين‌صورت شما قادر خواهيد بود تا از جست‌وجوي مضامين در يك كتابخانه اسناد براي استخراج اطلاعات از كتابخانه ديگري استفاده کنيد.

همچنين شما مي‌توانيد براي مرتب كردن كتابخانه‌هاي اسناد خود پا را فراتر از فولدرهاي سلسله‌مراتبي سنتي گذاشته و با ايجاد جست‌وجوهايي بر مبناي Metadataها از آنان نه‌فقط به‌عنوان كليدهاي سازماني براي اسناد يك كتابخانه، بلكه در آرگومان‌هاي جست‌وجو و تعيين مكان اسناد در ديگر كتابخانه‌ها استفاده كنيد.

از اين راه قادر خواهيد بود تا نسبت به ايجاد مخازن قابل جست‌وجوي اسناد با قابليت‌هاي مؤثر دايناميك و نه تنها با قابليت جست‌وجو، بلكه با قابليت ساماندهي مكرر و بدون نياز به دستكاري فيزيكي اسناد بهره جوييد.
6 – SharePoint به‌عنوان مكانيزم انتقال داده

يكي از قابليت‌هاي اصلي SharePoint امكان ايجاد نقاط توزيع مشترك براي داده‌هايي است كه در چندين منبع متفاوت قرار دارند و انتقال آنان با استفاده از مدهاي متفاوت. البته، نقش انتقال داده در اينجا به پايان نمي‌رسد. بسته به اين‌كه سايت سازماني شما حاوي چه اطلاعاتي بوده و اين سايت‌ها چه نقشي را در سيستم شما ايفا مي‌كنند، مي‌توانيد عمل انتقال و توزيع حقيقي داده را از يك سرور به سرور ديگر و با استفاده از ابزارهاي «انتقال سايت» SharePoint انجام دهيد.

به‌عنوان مثال، اگر يك سايت SharePoint را به‌صورت داخلي و براي ارائه اطلاعات در مراحل مختلف كاري پياده‌سازي کرده‌ايد، محتويات SharePoint پايگاه داده در اين سايت مي‌تواند در يك فرآيند واقعي با استفاده از اين ابزارها(که برنامه‌هاي Command Line و در نتيجه قابل اسکريپت‌نويسي) مورد تغيير قرار گيرد.
7 – استفاده از Task Pane براي تبديل كتابخانه‌هاي Word به سيستم‌هاي مشارکتی دارای مدیریت توکار

کاربرد اصلی SharePoint Services عمدتاً در مدیریت اسناد است. اما ذخیره‌سازی اسناد Word در SharePoint، قرار دادن اسناد در کتابخانه‌ها و بررسی اسناد ورودی و خروجی از دیگر وظايفی هستند که این سرویس در اختیار مدیر سیستم قرار می‌دهد.

با وجود اين، امتداد این امکانات و ورود آن به فضاي کاري اشتراکي عاملی است که قدرت حقیقی این ویژگی‌ها را به‌نمایش خواهد گذاشت. برای این‌کار می‌توانید از Task Pane که اسناد را به کتابخانه‌‎ها متصل می‌سازد استفاده کرده و از برخی گزينه‌های دیگر که در داخل آن وجود دارد برای مدیریت آسان‌تر اسناد، به‌ویژه در به‌اشتراک‌گذاری آنان در فضای کاری مشترک بهره برد. با استفاده از Task Pane می‌توان امکانات زیر را در اختیار داشت:

- پیگیری وضعیت و مقایسه نسخه‌های اسناد
- تعیین اشخاص دارای مجوز برای دسترسی به سایت و اسناد
- نظارت بر وظايف
- ایجاد اخطارها
البته، شما می‌توانید نه تنها Word، بلکه کلیه اسناد بسته کاربردی آفیس را در SharePoint به‌کار گیرید.
8 - توانايي Sharepoint در استخراج داده از پايگاه داده خارجی و دیگر منابع داده

معماری Web Parts و Web Part (قابل دسترس برای SharePoint از طریق FrontPage 2003 و ASP.NET) این قابلیت را دارد تا به‌عنوان یکی از اجزاي قدرتمند سایت‌های SharePoint وارد میدان شوند. به‌خصوص Data View Web Parts شما را قادر خواهد ساخت تا viewهای مختلفی را از منابع اطلاعاتی مختلف به سایت بیافزایيد.

شما می‌توانید viewهای خاصی را مخصوص سایت‌های SharePoint خود ایجاد کرده و آنان را به یکدیگرمرتبط کنید. منابع اطلاعاتی می‌توانند پايگاه داده، سرویس‌های وب محور یا هر منبع XML دیگری (مانند اسناد InfoPath و ...) باشند.
9- نقش Excel در تسهیل مدیریت اسناد

صدور (Export) اسناد به نرم‌افزار اکسل به‌خوبی از سوی SharePoint پشتیبانی شده و ایجاد نمودارها و به‌کارگیری امکانات چاپ (از طریق فرمان Print در اکسل و همچنین Chart در بخش Options این نرم‌افزار) از مواردی هستند که این کار را امکان‌پذیر خواهد ساخت.

البته، می‌توان Export داده‌ها به اکسل را تنها با هدف افزودن مدیریت‌پذیری انجام داد. ویژگی Excel Export موجب ایجاد یک Excel Web query و اتصال آن به داده اصلی خواهد شد. به‌اين ترتیب، شما می‌توانید صفحات گسترده‌ای را که قابلیت ورود اطلاعات دارند، ایجاد کرده و سپس اطلاعات را به SharePoint منتقل کنيد.

این‌کار می‌تواند از طریق ایجاد صفحات گسترده اکسل و ارتباط صفحات گسترده با SharePoint (با استفاده از فرامین Export و Link واقع در Datasheet Task Pane) انجام شود. پس از انجام این‌کار داده‌ها می‌توانند وارد صفحات گسترده شده و از طریق گزينه Synchronize List به اکسل منتقل شوند.
10 - توانايي ایجاد نسخه پشتیبان از مجموعه‌ای از سایت‌ها فقط از طریق یک عملیات واحد

توانايي انتقال یک سایت به همراه هر آنچه در آن وجود دارد (شامل سایت اصلی، سایت‌های زیرمجموعه و دیگر محتواها)، قابليتي است که نبايد آن را دست کم گرفت. هر مدیر شبکه‌ای که که حداقل یک بار به انجام این کار اقدام کرده است می‌داند این عملیات تا چه اندازه می‌تواند ناامیدکننده و طاقت‌فرسا باشد. SharePoint Services دو ابزار دارد که به‌شکل مؤثری موجب کاهش زحمت‌ها می‌شوند: STSADM و SMIGRATE.

SMIGRATE در ابتدا زندگی خود را از طریق یک ارتقا آغاز کرد؛ ارتقاي ابزاری که وظیفه آن هدایت داده‌ها از نسخه قديمي SharePoint به سایت جدید بود. اینک این ابزار وظیفه backup/restore را برای انتقال کامل سایت بر عهده دارد. این ابزار، یک ابزار خط فرمان بوده که در زمان استفاده از اسکریپت می‌تواند به‌صورت سفارشی مورد استفاده قرار گیرد.

این ابزار می‌تواند موجب آسان‌سازی فرآیند انتقال یک سایت و محتویات آن به نقطه‌ای دیگر شود که این ویژگی در برخی سناریوها آن را به ابزاری برای توزیع محتوا تبدیل می‌کند. این ابزار یک نقطه ضعف نیز دارد در زمان انتقال يك سايت با استفاده از ابزار SMIGRATE، تنظيمات امنيتي آن، به‌همراه ديگر اطلاعات منتقل نمي‌شود.

به‌ياد داشته باشيد كه پس از انتقال يا Restore حتماً اين تنظيم‌هارا بررسي كنيد. هرچند SMIGRATE تنظيمات امنيتي شما را نگهداري نمي‌كند، اما STSADM اين كار را انجام مي‌دهد. اين ابزار كاربردي نه فقط يك سايت، بلكه مجموعه‌اي از سايت‌ها را منتقل کرده و علاوه بر آن قابليت‌هاي ديگري نيز دارد. از اين قابليت‌ها مي‌توان به ايجاد سايت، Import الگوها و انتقال داده اشاره کرد.

http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نكته درباره سرويس به‌روزرساني ويندوز سرور
Windows Server Update Service

1 – فقط به به‌روز رساني ويندوز بسنده نكنيد

SUS كه نسخه پيشين WSUS بود، مي‌توانست Windows 2000 SP2, Windows XP Pro و Windows Server 2003 را به‌روز نگه دارد. WSUS به‌روز رساني ديگر محصولات مايكروسافت را نيز مديريت مي‌کند. نسخه اوليه WSUS (سرنام Windows Server Update Service) قادر به به‌روزرساني ويندوز 2000 و نسخه‌هاي بعد از آن، آفيس XP و 2003، Exchange Server 2003 و SQL Server 2000 بوده و شامل نسخه دسكتاپ و MSDE 2000 است. مايكروسافت در نظر دارد، در‌نهايت WSUS را به ابزاري براي به‌روزرساني كليه محصولات مايكروسافت مبدل سازد.
2 – ملزومات كلاينت و سرور WSUS

اجــزاي سـرور WSUS روي Windows 2000 SP4 يــا Windows Server 2003 اجــرا شـــده و نيــــازمنـــد
(IE 6 SP1+ ، SQL Server 2000 SP3a+ ، MSDE، IIS، .Net Framework1.1 SP1، Background Intelligent Transfer Services 2.0 (BITS و WinHTTP 5.1 است.

در سمت كلاينت سيستم‌عامل‌هاي Windows 2000 SP3+ ، ويندوز اکس‌پي يا ويندوز سرور 2003 مورد نياز هستند. در بخش سخت‌افزار نيز مايكروسافت پيشنهاد مي‌كند براي سيستم‌هايي كه وظيفه آپديت كمتر از پانصد كلاينت را بر عهده دارند از پردازنده‌اي سريع‌تر از يک گيگاهرتز و يک گيگابايت رم و براي سيستم‌هايي كه وظيفه به‌روز‌رساني پانصد تا ده هزار كلاينت را برعهده دارند از پردازنده‌اي سريع‌تر از سه گيگاهرتز و يک گيگابايت رم و در‌نهايت براي سيستم‌هايي كه به‌روز‌رساني بيش از ده هزار كلاينت را انجام مي‌دهند از پردازنده دو‌هسته‌اي با يک گيگابايت رم استفاده شود.
3 – SMS (سرنام Systems Management Server) در برابر WSUS

SMS و WSUS مشتركات زيادي داشته و هر دو اصلاحيه‌هاي به‌روزرساني را روي سرورها و سيستم‌هاي روميزي نصب مي‌کنند. هرچند WSUS فاقد قابليت SMS براي مديريت سيستم‌ها است. SMS قابليت‌هاي ديگري مانند Inventory Management، گزارش‌گيري پيشرفته و Remote Administration دارد.
4 – تخصيص بهتر پهناي باند با استفاده از BITS

WSUS و Windows Update به‌روزرساني‌هاي كلاينت را از طريق سرويس Background Intelligent Transfer Services (BITS) 2.0 صورت مي‌دهد. BITS با استفاده از پهناي باند قابل دسترس براي دانلود به‌روز‌رساني‌ها آن‌هم در پشت صحنه اقدام مي‌كند.

اين سرويس مي‌تواند به‌روز‌رساني‌هاي حجيم را دانلود کرده و مشكلاتي نظير قطعي‌هاي شبكه را شناسايي و رفع کند. اين ويژگي در مقايسه با مكانيزم به‌روزرساني قبلي اهميت بيشتري دارد. به‌ويژه در مواردي كه در اثناي دانلود به‌روز‌رساني‌هاي حجيم، كارايي كلي شبكه براي تمام كاربران كاهش مي‌يابد.

باوجود اين‌كه اين راه‌حل هنوز يك راه‌حل ايده‌آل و به‌دور از ايراد و اشكال براي مديريت پهناي باند نيست، اما BITS پيشرفتي در خصوص نگه‌داشتن ترافيك به‌روز‌رساني‌ها به پشت صحنه و مديريت آن‌ها محسوب مي‌شود.
5 – گزارش قابليت‌ها توسط WSUS

SUS فاقد يك گزارش‌دهي خوب بود و مايكروسافت اين كوتاهي را از طريق قرار دادن قابليت‌هاي قدرتمند گزارش‌دهي در WSUS جبران کرده است. «گزارش وضعيت اصلاحيه‌ها» در WSUS به مدير سيستم كمك خواهد کرد تا نسبت به شناسايي ماشين‌هايي كه نيازمند نصب اصلاحيه بوده و به‌نوعي يك تهديد امنيتي محسوب مي‌شوند، اقدام کند.

ديگر گزارش‌هاي استاندارد يك ديد كلي را به تنظيمات پيكربندي WSUS مي‌افزايد و ويژگي تشخيص به‌روز‌رساني‌هاي مناسب براي كلاينت‌ها و همچنين مشاهده وضعيت كلي هر يك از دستگاه‌ها از امكاناتي هستند كه WSUS در اختيار مدير سيستم قرار خواهد داد.
6 – توانايي WSUS در مديريت به‌روز‌رساني‌ از چندين طريق

كلاينت‌هاي WSUS مي‌توانند به‌روز‌رساني‌هاي كاملي را از WSUS Server يا به‌طور مستقيم از روي سرور به‌روز‌رساني مايكروسافت دانلود كنند. دانلود اصلاحيه از سرور محلي بالاترين كارايي را به همراه خواهد داشت، زيرا در اين‌صورت كلاينت‌ها مي‌توانند از طريق يك خط اختصاصي پرسرعت به‌عنوان مستقيم از روي شبكه به‌روز رساني‌ها را دانلود كنند. در مواردي كه بستر ارتباطي كلاينت‌ها با سرور محدوديت‌هايي دارد، بهترين راه دانلود مستقيم آن‌ها از روي سرور به‌روز رساني مايكروسافت خواهد بود.
7 – كنترل پياده‌سازي به‌روز رساني‌ها از طريق هدف‌يابي Client-Side يا Server-Side

سرويس WSUS مدير سيستم را قادر مي‌سازد تا مقصد به‌روز‌رساني‌ها را با استفاده از «گروه‌هاي ماشين» كه ايجاد شده از طريق دو روش هدف‌يابي مي‌کنيد: هدف‌يابي سمت سرور (Server-Side) يا هدف‌يابي سمت كلاينت‌ها (Client-Side) . براي استفاده از هدف‌يابي Server-Side بايد گروه‌هايي را از داخل برگه Computers كنسول WSUS ايجاد و تعريف کنيد.

براي هدف‌يابي Client-Side نيز بايد دستگاه را از طريق Group Policy يا از طريق دستكاري در رجيستري به گروه خاصي اختصاص دهيد. براي ايجاد يك گروه جديد در كنسول WSUS از مسير Computers> Create A Computer Group نام جديدي براي گروه انتخاب کرده و روي دکمه OK كليك كنيد.
8 – قابليت‌هاي خط فرمان WSUS

برنامه wsusutil.exe شامل گزينه خط فرماني است كه به مدير سيستم اجازه مي‌دهد نسبت به Export و Import کردن متاديتاي به‌روز‌رساني اقدام کرده و ضمن جابه‌جايي مجوز به‌روز‌رساني‌ها از سرور SUS به WSUS، فهرستي از مجوزها تهيه كرده و در ضمن مجوزهاي غيرمعتبر را حذف کند.

wsusutil.exe به‌عنوان پيش‌فرض در مسير C:\Program Files\Update Services\Tools سرور WSUS قرار دارد. براي مشاهده فهرستي از پارامترهاي خط فرمان WSUS دستور?/C:\Program Files\Update Services\Tools\wsusutil را در خط فرمان تايپ کنيد.
9 – WSUS مقياس‌پذير است

باوجود اين‌كه حتي از طريق يك سرور WSUS نيز خواهيد توانست از تعداد زيادي از كلاينت‌ها (بيش از ده هزار) پشتيباني کنيد، اما مايكروسافت امكانات بيشتري را براي مقياس‌پذيري هر چه بيشتر اين محصول با سرورهاي Uupstream و Downstream در آن تعبيه کرده است. يك سرور WSUS Downstream به‌روز‌رساني‌هاي خود را از سرور بعدي Upstream دريافت مي‌دارد.

در‌نهايت، يكي از سرورها در اين زنجيره به‌روز‌رساني‌هاي خود را به‌طور مستقيم از Microsoft Update دريافت خواهد داشت. WSUS همچنين از اصول «نسخه‌برداري» نيز پشتيباني كرده و به‌اين ترتيب با كپي‌برداري چندين سرور از روي سرور اصلي WSUS، يك توپولوژي توزيع‌يافته از به‌روز‌رساني ايجاد خواهد شد.
10 – نياز WSUS به آخرين نسخه Automatic Update

WSUS به به‌روز‌رساني‌هايي نيازدارد که بتوانند از طریق Automatic Update روی سیستم‌ها اعمال شوند. WSUS همیشه در تلاش برای به‌روزرسانی مناسب و در چالش با نسخه‌های مختلف Automatic Update موفق نخواهد بود. یک به‌روز‌رساني ناموفق می‌تواند، موجب عدم نمایش کلاینت در کنسول WSUS شود. براي کسب اطلاعات بيشتر می‌توانید به آدرس زیر مراجعه کنيد:



http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/
WSUSOperationsGuideTC/b23562a8-1a97-45c0-833e-084cd463d037.mspx (http://shabakeh-mag.com/links.aspx?l=http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/wsus/wsusoperationsguidetc/b23562a8-1a97-45c0-833e-084cd463d037.mspx)

http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS

Cisco IOS ACL

1 - فهرست کنترل دسترسی یا ACL چیست؟

در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده مي‌شود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه می‌تواند رویدادهای مختلفي را که برای ترافیک اتفاق می‌افتند، شناسايی کند.
2 - رایج‌ترین نوع ACL کدام است؟

از IP ACLها می‌توان به‌عنوان رایج‌ترین نوع فهرست‌های کنترلی نام برد، زیرا IP معمول‌ترین نوع ترافیک شبکه است. به‌عنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و می‌تواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.
3 - رایج‌ترین اعداد برای IP ACLهاکدامند؟

رایج‌ترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرست‌های Standard و اعداد 100 تا 199 برای فهرست‌های Extended . گرچه طیف‌های عددی دیگری نیز مورد استفاده می‌گیرند:



Standard IP ACLs: 1 to 99 and 1300 to 1999
Extended IP ACLs: 100 to 199 and 2000 to 2699

4 - چگونه با استفاده از ACL می‌توان ترافیک را فیلتر کرد؟

فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P” قرار دارد: Per protocol ,Per Interface و Per direction. شما می‌توانید یک ACL را برای هر پروتکل (به‌عنوان مثال IP یا IPX)، یک ACL را برای هر Interface (به‌عنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) به‌کار گیرید.
5 - ACL و محافظت از شبکه در برابر ویروس‌ها

مدیر شبکه می‌تواند از ACL به‌عنوان یک Packet Sniffer برای بسته‌های اطلاعاتی که مشخصات به‌خصوصی داشته باشند، استفاده کند. به‌عنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال می‌کند، می‌توانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.

پس از آن می‌توانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرس‌های IP منبع که اقدام به ارسال اطلاعات روی پورت 194 مي‌کنند، استفاده کنید.
6 - ترتیب عملیات در یک ACL

روترها ACLها را از پايین به بالا اجرا می‌کنند. پس از این‌که روتر ترافیک را با فهرست مطابقت داد، آن‌گاه از ابتدای فهرست شروع کرده و به‌طرف پايین حرکت می‌کند و در مسیر حرکت خود ترافیک‌ها را تأيید یا آنان را رد مي‌کند. وقتی روتر به انتهای فهرست می‌رسد عملیات را متوقف می‌سازد.

این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا می‌شوند. اگر بخش‌های ابتدايی ACL ترافیک را رد کرده، اما بخش‌های پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:



Access-list 1 permit any
Access-list 1 deny host 10.1.1.1
Access-list 1 deny any

به‌نظر شما این ACL به کدام ترافیک اجازه عبور می‌دهد؟ خط اول کلیه ترافیک‌ها را تأييد می‌کند. به همین دليل، تمام ترافیک‌ها با این شرط مطابقت کرده و اجازه عبور می‌گیرند. سپس در انتها فرآیند با به‌اتمام رسیدن متوقف می‌شود.
7 - ترافیک‌هایی که آدرس آنان دقیقاً در ACL مشخص نمی‌شود

در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیک‌هایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:



Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255

این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچ‌کدام. روتر تمام ترافیک‌ها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. به‌عبارت دیگر، این ACL در واقع به‌شکل زیر خواهد بود:

Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 deny ANY

8 – نام‌گذاری روی ACLها

چه کسی می‌تواند با اعداد کار کند؟ مدیران شبکه می‌توانند با نام‌گذاری روی ACLها کار با آن‌ها را ساده‌تر کرده و نام‌هایی مناسب با اهداف را برای آن‌ها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نام‌گذاری هستند. در ادامه مثال‌هایی از نام‌گذاری ACLها را ببینید:

? router (config) # ip access-list
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
router (config) # ip access-list extended test
#router (config-ext-nacl)
router (config-ext-nacl) # 10 deny ip any host 192.168.1.1
router (config-ext-nacl) # exit
router (config) # exit
router# show ip access-list
Extended IP access list test
10deny ip any host 192.168.1.1

9 - تسلسل اعداد

پیش از این يک مدیر شبکه نمی‌توانست ACL را ویرایش کند، بلکه فقط مي‌توانست آن‌را در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روش‌ها برای ویرایش برخی از پیکربندی‌های سیسکو به‌حساب می‌آید.

البته، باید توجه داشت که این عمل می‌تواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کرده‌اید، روتر آن‌گونه که باید نمی‌تواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شماره‌گذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونه‌ای از این عملیات است:

router (config) # access-list 75 permit host 10.1.1.1
router (config) # ^Z
router# conf t
.Enter configuration commands, one per line. End with CNTL/Z
router (config) # ip access-list standard 75
router (config-std-nacl) # 20 permit any
router (config-std-nacl) # no 10 permit 10.1.1.1
router (config-std-nacl) # ^Z
router# show ip access-list 75
Standard IP access list 75
20permit any
#router

10 - کاربردهاي دیگر ACL

ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه می‌توانند از آن‌ها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفاده‌های احتمالی ACLها را می‌بینیم.

برای کنترل خروجی دیباگ: شما می‌توانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با به‌کارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کرده‌اید، اعمال خواهد شد.

برای کنترل دسترسی روتر، شما می‌توانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. به‌عنوان یک BGP ACL ، شما می‌توانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید.

برای مدیریت مسیریابی: می‌توانيد از ACL برای کنترل این‌که کدام ایستگاه‌های کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد.

براي رمزنگاری: شما می‌توانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال می‌کنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک به‌صورت بدون رمز ارسال شده و کدام یک مسدود شود.


http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip01_s.jpg
10 نکته درباره مدیریت پروژه‌های IT

Managing IT Projects

1 - حرفه‌ای باشید

در گذشته پروژه‌های IT سابقه بدی درخصوص کسری بودجه، کمبود زمان و پیاده‌سازی ضعیف داشتند. به‌کارگیری افراد حرفه‌ای در مسئولیت‌های کلیدی می‌تواند اعتبار زیادی به تلاش‌های شما ببخشد. اگر اندازه پروژه شما به‌میزانی‌است که می‌توان یک‌نفر را در جایگاه مدیر پروژه به‌کار گرفت، این‌کار را انجام دهيد. استفاده و به‌کارگیری مشاوران مناسب و معتبر نیز کارايی پروژه‌ها را افزایش مي‌دهد.
2 - قوانین رهبری را بشناسید

وادار ساختن کارکنان به احساس مسئولیت نسبت به معیارهای مشخص پروژه اهمیت به‌سزايی دارد. این‌کار از طریق انتساب افراد مناسب در جایگاه‌های مناسبی که متناسب با استعدادهای آنان باشد، صورت خواهد گرفت. اما باید مراقب بود تا این کار اعضاي ديگر را تحت تأثیر قرار نداده و تحریک نکند.

پروژه‌های IT غالباً تأکید بسیار زیادی بر قابلیت‌ها و مهارت‌های فنی برخی افراد معدود (و در مواردی حتی روی یک فرد) دارند و زمانی که درصد این منابع در جریان سیکل کاری پروژه کاهش می‌یابد، کارايی کلی پروژه با رکود و نقصان مواجه خواهد شد.

همچنین باید از این‌که کارکنان متصدی در حوزه‌های خاص پروژه مسئولیت‌های خود را انباشته نمی‌کنند، اطمینان حاصل کنید. به‌عنوان مثال، ممکن است یک فرد یا گروه کوچکی از افراد که همکاری خوبی با یکدیگر دارند، بدون این‌که نیازمند صرف زمان زیادی برای پروژه باشند، تأثیر خوبی روی پیشرفت کلی پروژه برجای گذارند و در حوزه کاری خود از برنامه پروژه نیز جلوتر باشند.

افراد در جایگاه رهبری بايد از این‌که پروژه در پایان کار مطابق با استانداردهای مورد نیاز به‌پايان خواهد رسید، اطمینان حاصل کنند. مثال‌های بارز این مطلب شامل مسئولیت‌هایی مانند مدیر فنی، مدیر پروژه يا مدیر امور اداری است.

مدیران این جایگاه‌ها با ایجاد سیستم نظارتی سلسله‌مراتبی پروژه را در مواردی مانند این‌که فردی به‌ شکل ناگهانی به سمتی رسيده یا به عکس شرکت را ترک می‌کند، محافظت خواهند کرد. پیوستگی و استمرار این زنجیره می‌تواند موجب قدرتمندتر شدن و یکپارچگی افراد در سطح پروژه شده و از این‌که مدیران پروژه با موفقیت آن را به پیش خواهند برد، اطمینان حاصل می‌شود.
3 - تمرکز بر «مدیریت محدوده»

مدیریت محدوده یا Scope Management طبق تعریف عبارت است از: «مديريت گروهي براي اطمينان از توجه به فعاليت‌هاي پروژه به صورت جامع و مانع شکلي كه هدف پروژه به‌عنوان كامل قابل حصول باشد.» این روش مدیریت یکی از مهم‌ترین وجوه پروژه‌های IT بوده و وظیفه کل گروه است تا از این موضوع که هرگونه تغییر در دامنه وظایف به‌عنوان صحیح منعکس شود، اطمینان حاصل کنند.

فرآیند پروژه شامل دستورالعمل‌هایی برای ارائه پيشنهاد‌هايي در زمینه تغییر در دیدگاه‌ها است. مطلب مهم دیگر این است که مکانیزم رسمی برای مستندسازی پروژه بايد با بازبینی اساسی رو‌به‌رو شود، زیرا اهداف می‌توانند در نیازمندی‌های عملیاتی تغییراتی ایجاد کنند و به‌اين ترتیب، تغییر در مستندات از موارد ضروری به‌حساب خواهد آمد.

در مواردی که تغییر در برنامه‌ها و دیدگاه‌ها الزامی به‌نظر می‌رسد، کنترل مناسب در بازبینی این اطمینان را به‌وجود خواهد آورد که سطوح عملیاتی اصلی کماکان از طریق مستندات قابل دسترس هستند.
4 - ایجاد تعریف دقیق از پروژه

مشخص ساختن پروژه آن‌هم به‌صورت شفاف و کامل می‌تواند راه را برای پیاده‌سازی صحیح کلیه وجوه بعدی پروژه هموار سازد. وجود یک تعریف دقیق از پروژه و فرآیندهای مرتبط با آن موجب خواهد شد تا پروژه زیرساختی قدرتمند و استوار داشته باشد.
5 - تهدیدات را شناسايی کنید

طبیعت پروژه‌های IT به‌گونه‌ای است که می‌توانند به روش‌هاي مختلف موجبات بروز تهدید را فراهم کنند، زیرا این پروژه‌ها به وفور از محصولات فروشندگان مختلف، خدمات مشاوران و پیمانکاران بهره می‌برند. به‌عنوان مثال، چنان‌چه سازمان شما با یک شرکت پیمانکار قراردادی را براي یاری رساندن به کارمندان شما برای پیاده‌سازی اکتیودایرکتوری و مهاجرت از Windows 2000 Professional به Windows XP Professional برای کلاینت‌ها انعقاد کند، ممکن است با ریسک رهاکردن کار از سوی پیمانکار، رفتن به‌سمت یک مشتری مهم‌تر یا ارائه یک کار نامرغوب و بی‌کیفیت رو‌به‌رو شوید.

هر يك از عناصر مرتبط با ريسك (منابع، برنامه‌ريزي، كارائي، هزينه و...) بايد به‌خوبي ارزيابي و شناسايي شوند. اين وظايف معمولاً برعهده مدير پروژه يا يكي ديگر از كاركنان مجاز براي انجام اين‌کار است. ارزيابي‌هاي دوره‌اي ريسك و پيگيري‌هاي لازم به‌طور مستقيم به فرآيندهاي پروژه وابسته هستند. فرآيندهاي آشكارساز ريسك‌ها نيز به‌خودي خود در يك چرخه پروژه نيازمند برخي منابع هستند. به‌عنوان مثال، اگر يكي از پيمانكاران پروژه در مقطعي از كار، وظايف خود را به شركت ديگري واگذار کرد از اختصاص منابع لازم براي نظارت بر پيمانكار جديد اطمينان حاصل كنيد.
6 – مديريت روابط با طرف‌هاي بيروني

پروژه‌هاي IT همواره در برخي از سطوح داراي ارتباطاتي با طرف‌هاي بيرون از سازمان هستند. اين طرف‌ها مي‌توانند به‌شكل زير باشند:

- مشاوران
- شركاي تجاري
- فراهم كنندگان سرويس
- فروشندگان
- توزيع‌كنندگان نرم‌افزار
- توليدكنندگان تجهيزات

وجود روابط با طرف‌هاي بيروني نيازمند اختصاص برخي از منابع داخلي و همچنين وجود توانايي براي ارائه مناسب اطلاعات مرتبط با پروژه خواهد بود. در هر حال و در هر شرايطي مطمئن شويد كه هر يك وظايف سازماني و نيازمندي‌ها به‌خوبي تعريف شده باشند.

در هر پروژه بايد يكي از كاركنان مسئوليت مديريت روابط خارجي را برعهده داشته تا همواره از در دسترس بودن منابع لازم براي طرف‌هاي بيروني اطمينان حاصل شود. اگر سازمان شما چندين پروژه را در آن واحد در دست دارد، به احتمال اين فرد بايد همه اين مسئوليت‌ها را براي تمام پروژه‌ها در اختيار داشته باشد.
7 – ايجاد استانداردهاي قوي براي مستندسازي

مستندسازي كليد موفقيت پروژه‌هاي IT محسوب مي‌شود. به‌خصوص در مواقعي كه پس از پياده‌سازي، نياز به برخي تغييرات احساس مي‌شود. همواره مطمئن باشيد كه توقعات از مستندات به‌وضوح تعريف شده و مخازن استاندارد براي نگهداري صحيح اسناد در دسترس باشد. مكانيزم‌هاي كنترل بازبيني نيز از اهميت به‌سزايي برخوردار هستند.

به‌ويژه زماني كه تغييرات سفارشي و خارج از برنامه بايد صورت پذيرند. علاوه بر اين موارد، در اختيار داشتن مستنداتي كه نيازهاي اسنادي را به‌خوبي تعريف کنند نيز ايده مناسبي خواهد بود. شايد اين‌کار در مرحله اول كاري اضافي به‌نظر آيد، اما با پيچيده‌تر شدن مقياس‌هاي پروژه، وجود چنين استانداردهايي ارزش بيشتري يافته و پياده‌سازي و مديريت پروژه را به موفقيت نزديك خواهد کرد. وجود استانداردهاي قوي براي مستندسازي، فوايد زير را متوجه پروژه‌هاي IT خواهد کرد:

- افراد جديد سريع‌تر با ديگران تطبيق مي‌يابند.
- كارهاي مرتبط با پروژه كه قرار است در آينده اجرا شوند، به‌سهولت آغاز مي‌شوند.
- تغيير در وظايف آسان‌تر صورت گرفته و آزمايش مي‌شود.
8 – كانال‌هاي ارتباطي مؤثري ايجاد كنيد

http://www.shabakeh-mag.com/Data/Gallery/2009/8/s100--100-Network-Trip02_s.jpg (http://shabakeh-mag.com/img.aspx?l=/data/gallery/2009/8/s100--100-network-trip02.jpg)مديريت پروژه نيازمند ارتباطات صريح است. ايميل مكانيزم مناسبي در اين راه به‌نظر مي‌رسد. درنتيجه، اين ابزار به‌سرعت مي‌تواند به ابزاري ناكارآمد و مزاحم تبديل شود. يك راه مناسب، شناسايي دقيق مخاطبان است، آن هم درست در زماني که نياز به پاسخ احساس شود.

با استفاده صحيح از فيلدهاي :TO و :CC مي‌توانيد از ارسال پيام‌هاي مبهم و غيرضروري به افرادي كه بي‌ارتباط با موضوع هستند، جلوگيري كند. شكل روبه‌رومثال است خوبي از يك ايميل ارتباطي كه مسئوليت‌هاي مشخصي را ابلاغ مي‌کند:

اين ايميل به وضوح نشان مي‌دهد كه گيرنده نامه ويليام (William) است. اگر نياز باشد تا وظايف خاصي از طريقي خاص انجام پذيرد، مشخص است كه اين وظايف بر عهده (ويليام) خواهند بود. افراد ديگري كه به‌نحوي مسئوليت‌هاي ديگري را در اين ارتباط برعهده دارند، به اين شكل درخصوص وظايف خود آگاهي خواهند يافت. برخي عادات كوچك مي‌توانند كارايي‌هاي مؤثري را به الگوهاي ارتباطي بيافزايند.

به‌ويژه زماني كه با طرف‌هاي بيروني در تعامل هستيد. در مثال بالا افراد متعلق به ديگر سازمان‌ها براي روشن شدن نحوه تقسيم وظايف در گروه‌هاي مجزا دسته‌بندي شده‌اند. تاكنون چند ايميل كاري دريافت كرده‌ايد كه در مخاطب قرار گرفتن خود ترديد داشته‌ايد؟

مهم‌تر از آن اين‌كه پاسخ آن ايميل‌ها را بايد به كجا ارسال مي‌كرديد؟ براي ارسال برنامه‌هاي مربوط به زمان‌بندي، وضعيت گزارش‌ها، طرح ديدگاه‌ها و موارد جديدي كه در ارتباط با پروژه اتفاق مي‌افتند، برنامه‌ريزي داشته و آنان را اولويت‌بندي كنيد. ايجاد ارتباطات صريح، واضح و داراي مخاطب مشخص، يكي از عادات مثبتي است كه در پروژه‌هاي IT به‌شما ياري خواهد رساند.
9 – مراقب هزينه‌ها باشيد

هر اندازه بيشتر از فناوري استفاده كنيد، دغدغه‌هاي مربوط به هزينه افزايش بيشتري خواهند يافت. هزينه يكي از مهم‌ترين موارد در پروژه به‌حساب مي‌آيد. هر يك از اعضاي مرتبط با پروژه بايد نگران هزينه‌هاي مرتبط با وظايف خود در پروژه باشند. اين موضوع به‌خصوص زماني اهميت بيشتري مي‌يابد كه اهداف و دامنه پروژه دچار تغيير و دگرگوني شده است. به‌عنوان مثال، سناريوهاي فني زير را در نظر بگيريد:

- نسخه جديدي از يك نرم‌افزار حساس و كليدي منتشر شده است.
- يك حفره امنيتي در يكي از اجزاي نرم‌افزاري پروژه نمايان است.
- تجهيزات كامپيوتري سريع‌تر و جديدتر مورد نياز باشد.

تغيير در اهداف و موضوع پروژه مي‌تواند يكي از دلائل بروز اين موارد باشد كه مي‌تواند به افزايش هزينه‌ها منجر شود. نياز به مجوزهاي نرم‌افزاري جديد، كمبود فضا، مجوزهاي منقضي شده، تجهيزات و نرم‌افزارهاي بدون استفاده و زمان‌هاي از دست‌رفته همگي از عواملي هستند كه هزينه‌هاي يك پروژه را به‌نحو قابل توجهي افزايش خواهند داد. تأثير نگراني حاصل از افزايش هزينه‌ها نمي‌تواند مانع از تغيير در برنامه‌ها شود. با ‌وجود اين، اين عامل نيز بايد به‌عنوان يكي از عوامل دخيل در پروژه مد نظر قرار گيرد.
10 – مرحله اتمام پروژه

زماني كه تعهدات به پايان رسيده و كليه موارد ذكر شده در قرارداد به‌عنوان مناسب انجام شدند، وقت اتمام و بستن پروژه فرا خواهد رسيد. بسته به نوع پروژه و وظايف تعريف شده در آن، مرحله اتمام پروژه و تحويل كار اهميت زيادي خواهد يافت. از اين‌كه تمام اعضا وظايف مرتبط با خود را به‌نحو احسن انجام داده و رضايت كارفرما (چه داخلي و چه خارجي) درخصوص نتيجه نهايي برآورده شده اطمينان حاصل كنيد.

با توجه به اهداف و طبيعت پروژه‌هاي IT ، مرحله تحويل پروژه ممكن است نيازمند بخشي به‌نام «پشتيباني» باشد. ممكن است نياز باشد كه در اين مرحله برخي از منابع (انساني و غير انساني) كماكان به وظايف خود ادامه دهند كه در اين‌حالت اطلاعات جمع‌آوري شده در زمان اجراي پروژه كمك خوبي به ارتقاي كيفي مرحله پشتيباني كه بخشي از پروژه است، خواهد کرد.