دانلود گزارش کارآموزی بایگانی اطلاعات و امنیت شبکه در شرکت بیمه توسعه

گزارش کارآموزی کارشناسی ناپیوسته / گرایش نرم افزار

معرفی مکان کارآموزی :

جایی که من برای گذراندن واحد کارآموزی انتخاب نمودم شرکت بیمه توسعه  نهاوند بود. من در تاریخ  3/4/ 1391 کارآموزی خود را شروع کردم و از گذراندن کارآموزی در آن شرکت راضی بودم.در آن شرکت  تمامی فعالیت های گرافیکی و طراحی و انجام کارهای تایپ و کارهای مربوط به بایگانی اطلاعات بیمه شدگان را انجام می شد و میتوانست مکان فو ق العاده ای بر هر کسی اعم از دانشجو و .. باشد،من هم به کارهای طراحی خیلی علاقه داشتم وخیلی سعی کردم که بخش طراحی را به عنوان محل کارآموزی انتخاب کنم.و  بتوانم در آنجا کارهایی یاد بگیرم و از دانش خودم که قبلا کسب کرده بودم استفاده کنم و بتوانم کم وکاستی های خود را برطرف سازم.

وظایف من در محل کارآموزی :

من در امور کارهای کامپیوتری در این شرکت فعالیت میکردم. البته گاهی اوقات نیز برای گرفتن اطلاعات از متقاضیان بیمه و بررسی اطلاعات نیز همراه سرپرست شرکت میرفتم. اما در کل ، من با تایپ نامه های شرکت و وارد کردن اطلاعات بیمه و بیمه شوندگان و کارهای کامپیوتری دیگر که برای پیشرفت امور شرکت مهم بود؛ شرکت را یاری میدادم. لازم بذکر است در کارهای شبکه و گرافیکی این شرکت نیز نقش اساسی داشتم همچنین در این دوره با بسیاری از اجرای شبکه و نحوه کار با آنها و پیکربیندی آنها آشنا شدم که این خود یک شانس و پیشرفت خوب در دوره تحصیل من بود.

فصل دوم :

1-2 امنیت شبکه  :

همانطور که در قسمت بالا نیز ذکر کردم شرکت گرافیکی بیمه توسعه  دارای چیزی بالغ بر 10 سیستم کامپیوتری می باشد که این کامپیوتر ها توسط یک سرویس دهنده سرور با همدیگر در ارتباط هستند همانطور که می دانید امنیت در یک شبکه بسیار مهم می باشد به طور کلی معنا و مفهوم امنیت شبکه جلوگیری از دسترسی کاربران غیر مجاز به شبکه بوده است در ایجاد امنیت شبکه برای هر یک از کاربران حقوق معینی در نظر گرفته می شود و کاربر هنگام اتصال به شبکه باید نام و گذرواژه خود را وارد کند سرور معتبر بودن ترکیب این نام و گذرواژه را کنترل می کند سپس با استفاده از آن و با توجه به بانک اطلاعاتی مجوزهای دسترسی کاربران که روی سرور موجود است دسترسی کاربر مورد نظر را به منابع اشتراکی قبول و یا رد می کند  در محیط شبکه باید این اطمینان وجود داشته باشد که داده های حساس و مهم محفوظ باقی می ماند و فقط کاربران مجاز می توانند به آن ها دسترسی داشته باشند این کار نه تنها برای امنیت اطلاعات حساس بلکه برای حفاظت از عملیات شبکه نیز اهمیت دارد هر شبکه باید در برابر خسارات عمدی و یا غیر عمدی محفوظ نگه داشته شود به همین خاطر مدیریت محترم شرکت  میگفت که امنیت در شبکه ی سیستم شرکت باید به طور متعادل صورت بگیرد و نباید امنیت را آنقدر سخت گیرانه فراهم کرد تا کاربران برای استفاده از فایل های خودشان نیز دچار مشکل شود در اینجا من به این نتیجه رسیدم که باید امنیت شبکه به طور متعادل برقرار باشد یا در حد مورد نیاز امنیت برقرار باشد .

1-1-2 مفاهیم امنیت شبکه :

 امنیت شبکه یا Network Security  پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند :

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

     2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.

1- منابع شبکه:

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

       مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

2- حمله :

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرور های پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داده

3- تحلیل خطر :

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

2-     خسارت وارده به شبکه درصورت انجام حمله موفق

4- سیاست امنیتی :

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

5- طرح امنیت شبکه :

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروال ها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6- نواحی امنیتی :

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرور هایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-  استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

علل عمده ای که می توانست امنیت شبکه را تهدید کند به شرح زیر بود :

• دسترسی غیر مجاز کاربران به اطلاعات شبکه و دستکاری اطلاعات

•سوء استفاده الکترونیکی

•سرقت رفتن اطلاعات محرمانه شبکه

•وارد شدن خسارات عمدی و یا غیر عمدی به اطلاعات شبکه

مدیر شبکه با پیاده سازی این امنیت های شبکه ای و دادن مجوز به کاربران برای ورود به شبکه تضمین می کند تا شبکه در برابر تهدیدات امنیتی همچنان محفوظ و ایمن باقی بماند در ضمن به این مساله نیز بایستی دقت داشت که برقراری امنیت و ایمنی اطلاعاتی برای تمامی شرکت ها یکسان نیست و شرکت های بزرگ همراه با سیستم های زیاد نیاز بیشتری به محافظت دارد تا یک شرکت کوچک با امکانات کمتر .

ایجاد امنیت برای محافظت از دارایی­ها تعریف می­گردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ دارایی­ها موجود است.

در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.

امنیت

حفظ دارایی­ها برای جلوگیری از آسیب­رسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکه­های الماسی که در کهکشان موجود است، تعریف امنیت برای این دارایی­ها مادامی که تهدیدی برایشان نیست، معنی ندارد.

حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و می­تواند با سواستفاده از این آسیب­پذیری مورد حمله قرار بگیرد، انجام می­پذیرد. مثلا پایگاه داده­ای که در شبکه موجود است و اطلاعات و شناسه­های کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب می­شود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب می­رسد. پس این آسیب­پذیری می­تواند مورد سواستفاده قرار گیرد.

تشخیص

زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حمله­ها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیام­ها و بسیاری از پارامترهای شبکه آگاهی دارد.

این ابزار وضعیت شبکه را همچون موجود زند­ه­ای گزارش می­دهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام می­دهند.

محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده می­شود.

دسته­ دیگر تشخیص  را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده می­شود و توانایی پیش­بینی و پیشگیری از حمله­ها وجود ندارد.

ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخش­ها و مفاهیم متفاوتی است.

هراستانداردی بخش­هایی را برای امنیت تعیین می­کند وحفظ امنیت هر داده­ای بعضی از این بخش­ها را شامل می­شود. در ادامه به بخش­های اساسی مفهوم حفظ امنیت می پردازیم.

هراستانداردی بخشهایی را برای امنیت تعیین میکند وحفظ امنیت هر دادهای بعضی از این بخشها را شامل میشود. در ادامه به بخشهای اساسی مفهوم حفظ امنیت می پردازیم.

Access control-

Authentication -

Non-repudiation -

Data confidentiality -

Communication security -

Data integrity -

Availability -

Privacy -

برخی مفاهیم ضروری هستند. حفظ محرمانگی داده از ضروریات اولیه است. داده ارسالی که در شبکه تنها باید برای گیرنده و مقصد مفهوم و قابل استفاده باشد و بقیه گیرندگان غیر مجاز قابلیت بهره بردن از آن را نداشته باشند.

بجز محرمانگی , احراز هویت فرستنده پیام هم ارزشمند است.

فصــــل سوم :

1-3 نصب Fire Wall برای جلوگیری از ورود غیر مجاز به سیستم های کاربران :

این نرم افزار به عنوان مهمترین بخش برای کنترل حملات اینترنتی در شرکتی که در آن فعالیت می کردم بود و در آن تمامی سیستم ها دارای نرم افزار ذکر شده بودند تا سیستم ها را در برابر حملات اینترنتی محفوظ نگه دارد دیوارهای آتش به صورت نرم افزاری و سخت افزری موجود است که اطلاعات ارسالی به وسیله دو شبکه ارسالی را کنترل و فیلتر می کند در شرکت برای اتصال به اینترنت از یک دیوار آتش برای دسترسی به اطلاعات استفاده می کردیم بدون استفاده از دیوار آتش تمامی کامپیوتر های موجود در شبکه داخلی قادر به ارتباط با هر سایت و هر شخص بر روی اینترنت بوده و از طرف دیگر کامپیوتر های دیگر نیز به راحتی قادر خواهند بود به رایانه های شخصی و شبکه های کامپیوتری دیگر به راحتی وارد شوند و دزدی اطلاعات انجام دهند بنابر این تمامی سیستم ها را تک به تک چک کردم تا همگی فایر وال آن ها فعال باشد تا از بروز این مشکلات در شبکه شرکت مربوطه جلوگیری به عمل آید . در صورتی که بخواهید از فایر وال موجود بر روی ویندوز سیستم خود استفاده کنیم و آن را فعال کنیم می توانیم مراحل زیر را برای فعال کردن آن انتخاب کنیم .

Start >> Control Panel >> Windows Fire Wall

2-3 آشنایی با DNS ( Domain Name System) :

در این شرکت نرم افزاری چون عمده کاری بر روی شبکه انجام می گرفت با تکنولوژی دیگری نیز به نام DNS آشنا شدم و برداشتی که درباره این مورد داشتم فهمیدم که DNS ها در واقع یکی از پروتوکل های TCP\IP می باشد که برای تبدیل اسامی به آدرس های IP در اینترنت بکار می رود هرگاه سیستمی از یک نام FQDN استفاده کند از سرور DNS تقاضا می کند آدرس IP معادل آن اسم را معین کند تا بتواند به وسیله آن آدرس در شبکه به آن دسترسی پیدا کند .

3-3 آشنایی با DHCP ( Dynamic Host Configuration Protocol) :

این سرویس یکی از قابلیت های TCP/IP بوده و سرور 2003 می تواند این سرویس را ارایه کند در واقع این سرور در یک شبکه وظیفه دارد به سرویس گیرنده ها یک آدرس IP اختصاص دهد تا آن ها نیز بتوانند از شبکه استفاده کند این سرویس امکان پیکره بندی خودکاربه سرویس گیرنده ها را در لحظه ی شروع می دهد این سرور روش توزیع این قابلیت را به صورت اجاره ای انجام می دهد یعنی برای مدت معینی IP در اختیار Client قرار می گیرد و پس از پایان مدت اجاره لازم است دوباره تقاضای IP از Client صادر شده تا DHCP یک آدرس IP خالی را به آن اختصاص دهد در ویندوز 2003 سرور به طور پیش فرض 6 روز یا 144 ساعت مدت اجاره یک IP می باشد .

4-3 آشنایی با مفهوم Domain در شبکه و کاربرد آن :

یکی از مهمترین مسایل در شبکه درک مفهوم دامنه یا Domain می باشد در واقع یک دامین گروهی است متشکل از یک یا چند سرور و ایستگاه های کاری که موافقت خود را برای متمرکز کردن کاربران و حساب های کاربری آن ها در یک بانک اطلاعاتی مشترک اعلام داشته اند و به همین دلیل اجازه می دهد یک کاربر دارای یک نام کاربری و یک رمز عبور بوده و در یک Domain سازماندهی شده قابل استفاده باشد .

در شرکت مدیر شرکت وقتی می خواهد که یک کارمند را استخدام کند اول محل کار و نوع کار و نوع ارتباط های کاری این کارمند را تعیین می کند یا میزان دسترسی و مجوز دسترسی به منابع سیستم را برای آن تعیین می کند Domain یکی از بهترین راه های تمرکز و مدیریت کاربران است در ویندوز NT 3.51 مدیریت به کمک یک user Profile انجام می شد که در واقع ابزاری بود برای مدیریت دسکتاپ و تنظیمات لازم هنگام ورود Log In به سیستم . در NT 4 بحث دامین به وجود آمد که در واقع مکانی بود برای مدیریت تمرکز و سیاست های سیستم به منظور کنترل بیشتر کاربران . در ویندوز 2000 سرور یک Domain می توانست اطلاعات یک DNS را نیز متمرکز کند و سیاست های سیستم را نیز بهتر مدیریت کند که این بخش به Group Policies معروف گردیده است حال در پایین با توجه به بحث گفته شده در بخش بالا می خواهیم با نحوه ساختن Domain آشنا شویم من در طی این مدت کارآموزی خود چیزی بالغ بر 5 ‌Domain را ساختم که در زیر به نحوه ساختن یک Active Directory Domain به منظور ساخت Domain پردازیم .:

1-اول فرمان dcpromo را در زیر منوی Run از منوی Start نوشته و اجرا می کنیم برنامه نصب Active Directory Domain نمایش می یابد

2- در این ویزارد یک سری سوالات برای نصب می پرسد و در نهایت یک ساختار درختی را ایجاد می کند .

3- روی دکمه Next کلیک کنید تا کادر بعدی نمایان شود .

4- این پنجره پیغام میدهد که اگر شما یک دامین تحت 2003 سرور ساختید بدلیل افزایش امنیت نمی توانید از ویندوز 95 یا DOS استفاده کنید و این به دلیل استفاده از قرارداد SMB ماکروسافت به جهت جلوگیری از هک شدن Active Directory می باشد . در ضمن نیاز به یک ارتباط کامل بین سرویس گیرنده و Domain بوده و بایستی اطمینان داشته باشید که این ارتباط قطع نمی شود از طرف دیگر برای برقراری ارتباط ویندوز 98 با سرور 2003 لازم است که قبل از ارتباط توسط CD مربوط به 2003 سرور بخش Active Directory Client For Windows 98 نیز نصب بکنید .

5- پس از کلیک بر روی دکمه Next پنجره دیگری نمایش داده می شود که دارای دو بخش می باشد انتخاب بخش اول به این معنا است که می خواهید یک Domain Controller جدید ایجاد نمایید و بخش دوم نیز به این معنا می باشد که می خواهید یک Domain Controller جدید تحت یک دامین موجود ایجاد نمایید بخش اول را انتخاب کرده و بر روی گزینه Next کلیک کنید و در پنجره ظاهر شده مجددا Next را کلیک کنید .

6- در پنجره بعدی دو گزینه وجود دارد گزینه اول به این معنا می باشد که Dns روی این دستگاه تنظیم نشده است و لازم است ابتدا آن را تنظیم کنید و در صورتی که این گزینه انتخاب شود در پنجره بعدی دوباره پیغام تنظیم DNS را می دهد که البته با انتخاب View Help می توان از راهنمای تنظیم DNS آن را انتخاب کرد و در اینجا گزینه دوم بدین معناست که آیا مایل هستید کار ادامه یابد و DNS نیز پس از نصب Active Directory بر روی سیستم نصب شود بدین صورت که DNS را انتخاب نکرده اید گزینه دوم را انتخاب کنید و روی NEXT کلیک کنید

7-در پنجره بعدی لازم است نام کامل دامین خود را وارد کنید در این بخش نام دامین خود را My Domain.Edu قرار داده و روی Next کلیک کنید .

8-در پنجره بعدی از شما دو آدرس پرسیده می شود مسیر اول برای ذخیره سازی بانک اطلاعاتی مربوطه Active Directory بوده و لازم است پارتیشنی با سیستم فایل NTFS انتخاب شود مسیر دوم هم برای ذخیره Log فایل یا به عبارتی گزارش های Active Directory می باشد . و برای بازیابی و توانایی بازیابی بهتر داده ها بهتر است که این دو فایل در درایو فیزیکی نا برابر و یا مجزا از هم ذخیره شود آدرس این دو مسیر را بر روی دو درایو با سیستم فایل NTFS ذخیره کنید و بر روی NEXT کلیک کنید .

9- در پنجره باز شده آدرس پوشه ای به نام SYSVOL پرسیده می شود در واقع یک آدرس برای نگهداری یک کپی از فایل های عمومی از دامنه هاست در NT4 اطلاعات مهم کاربران و اطلاعات کنترلی آن ها در پوشه ای به نام NETLOGON در 2003 سرور همین کار را انجام می دهد NEXT را کلیک کنید

10- دو گزنه دیگر در اینجا وجود دارد : انتخاب اول یعنی سرویس گیرنده ها از ویندوزی قبل از 2000 استفاده می کنند انتخاب دوم یعنی سرویس گیرنده ها از ویندوزی بعد از 2000 استفاده می کنند پس بهتر است گزینه دوم که پیش فرض است را انتخاب کنیم

11- در این قسمت لازم است رمزی را برای وضعیت Restore Mode حساب کاربری Administrator تعریف کنید و در واقع این رمز هیچ ارتباطی با رمز اصلی ادمین شما ندارد و می تواند کاملا متفاوت باشد مثلا رمز 1234 را وادر کرده و پس از تایید بر روی NEXT کلیک کنید .

12-در صورت موافقت با آن ها بر روی NEXT کلیک کرده تا مراحل نصب نرم افزار انجام شود و در صورتی که نرم افزار شما به صورت صحیح نصب شده باشد حتما بعد از اتمام نصب سیستم شما Restart می شود اگر نشد جایی از مراحل نصب را اشتباه انجام داده اید به این صورت می تون دامین برای استفاده در شبکه های شازمان یا شرکت های نرم افزاری را ساخت .

5-3 آشنایی با زیرساختهای Active Directory :

يک دايرکتوري (Directory) مجموعهاي ذخيره‌شده از اطلاعات درباره‌ي اشيايي است که به نوعي با يکديگر مرتبطند. يک سرويس دايرکتوري (Directory Service) تمامي‌اطلاعاتي را که براي استفاده و مديريت اين اشيا لازم است، در يک محل متمرکز ذخيره نموده و بدين ترتيب نحوه‌ي يافتن و مديريت اين منابع را تسهيل مي‌بخشد. يک Directory Service زمينه‌اي را فراهم مي‌آورد تا دسترسي به منابع در سطح شبکه به بهترين نحو ممکن سازمان يابد . کاربران و مديران ممکن است که نام دقيق يک شئ مورد نياز را ندانند، اما با دانستن يک يا چند ويژگي از يک شئ و با استفاده از Directory Service مي‌توانند ليستي از اشيا با ويژگي مورد نظر خود را جستجو کنند.

1-5-3 چرا Service Directory ؟ :

نیاز به یك Active Directory قوى و شفاف، از رشد انفجارى شبكه ها ناشى مى شود. همان طور كه شبكه ها رشد مى كنند و پیچیده تر مى شوند و برنامه هاى كاربردى كه نیاز به شبكه و سیستم هاى دیگر در اینترنت دارند افزایش مى یابند، به همان میزان نیاز فراوانى به Service Directory احساس مى شود. دایركتورى سرویس یكى از مهمترین ابزارهاى سیستم هاى پیشرفته كامپیوترى است كه در این جا بد نیست مزایاى این سرویس را با هم مرور مى كنیم:

1- فراهم كردن یك مركز واحد و یكنواخت مدیریتى براى كاربران، برنامه هاى كاربردى و دستگاه ها.

2- فراهم كردن یك نقطه ورود جهت دسترسى به منابع شبكه و همچنین فراهم كردن ابزارهاى قوى و یكنواخت مدیریتى براى مدیریت سرویس هاى ایمنى براى كاربران داخلى و نیز كاربرانى كه از راه دور و توسط تلفن ارتباط برقرار مى كنند.

3- مهیا كردن دسترسى استاندارد و یكسان به همه امكانات اكتیو دایركتورى.

اكتیو دایركتورى یك جزء اصلى از معمارى شبكه ویندوز 2000 و هسته هاى مشابه است. Active Directory به سازمان ها اجازه مى دهد كه اطلاعات خود را در شبكه، شامل منابع موجود در شبكه و كاربران شبكه به اشتراك بگذارند و مدیریت كنند. اكتیو دایركتورى همچنین به عنوان یك مركز اصلى براى امنیت شبكه عمل مى كند. به طورى كه اجازه مى دهد سیستم عامل به طور شفاف هویت كاربر را تعیین نماید و همچنین دسترسى به منابع شبكه را توسط آن كاربر كنترل نماید. نكته مهمتر این است كه Active Directory به عنوان نقطه اى براى گردآورى تعمیم ها و مدیریت آنها عمل مى كند. این قابلیت ها به سازمان ها اجازه مى دهند كه قوانین كارى استانداردى را براى برنامه هاى كاربردى توزیع شده و منابع شبكه به كار ببرند، بدون اینكه نیازى به مدیرانى داشته باشند كه توانایى نگهدارى دایركتورى هاى مخصوصى را داشته باشند. در عین حال Active Directory یك نقطه مركزى را براى مدیریت حساب هاى كاربران و سرورها و برنامه هاى كاربردى در محیط ویندوز فراهم مى كند كه با برنامه هاى كاربردى تحت ویندوز و دستگاه هاى سازگار با ویندوز ارتباط برقرار كنند. به این ترتیب Active Directory باعث توسعه سرمایه گذارى در شبكه مى شود. همچنین باعث كم شدن هزینه استفاده از كامپیوتر از طریق افزایش مدیریت بیشتر و راحت تر شبكه، افزایش ایمنى شبكه و افزایش قابلیت همكارى بین شبكه ها مى شود. استراتژى Directory Service شركت مایكروسافت سبب مى شود كه بسیارى از فروشنده ها و مراكز، Service Directory هاى خاصى را در برنامه هاى كاربردى یا دستگاه هایشان تعبیه نمایند تا بتوانند درخواست ها و عملیات هایى را كه مورد نیاز مشتریان است برآورده سازند. براى مثال سرویس E-mail شامل Directory Service هایى است كه به كاربران اجازه مى دهد تا صندوق پست خود را جست وجو كنند. سیستم عامل هاى سرور نیز مى توانند از Directory Service ها براى امكاناتى نظیر مدیریت حساب كاربران، ذخیره كردن اطلاعات و پیكربندى براى برنامه هاى كاربردى استفاده كنند. Active Directory اولین Director Service كامل و جامع است كه اندازه پذیر بوده و از اندازه هاى كوچك شروع مى شود و به اندازه هاى بسیار بزرگ مى رسد و نیز براساس تكنولوژى اینترنتى ساخته شده و كاملاً با سیستم عامل هماهنگ است... علاوه بر این جهت برنامه هاى كاربردى تحت ویندوز، Active Directory طورى طراحى شده كه براى كاربران، محیط هاى ایزوله و محیط هاى انتقال، محیط مدیریت متمركز را با حداقل Directory Service مورد نیاز شركت ها فراهم مى كند و این توانایى Active Directory را براى مدت طولانى به عنوان پایه و ستون اصلى جهت اشتراك گذاشتن اطلاعات و مدیریت مشترك منابع شبكه، شامل استفاده از برنامه هاى كاربردى، سیستم عامل هاى شبكه و سرویس هاى وابسته به دایركتورى مطرح مى كند.

2-5-3 اکتیو دایرکتوری چگونه کار میکند ؟ :

اكتیو دایركتورى به سازمان ها اجازه مى دهد تا اطلاعات را به صورت سلسله مراتبى طبقه بندى كنند و براى پشتیبانى محیط هاى شبكه اى توزیع شده، مدل تكثیر اطلاعات در سرورهاى متناظر را ارائه مى كند. اكتیو دایركتورى از اشیا براى نمایش منابع شبكه استفاده مى كند. كاربران، گروه ها، ماشین ها، دستگاه ها و برنامه هاى كاربردى از بسته ها براى نشان دادن سازمان ها استفاده مى كنند مثل بخش بازاریابى و یا مجموعه اى از اشیاى وابسته به هم مانند پرینترها. این اطلاعات در ساختارهاى درختى كه از این اشیا ایجاد مى شوند سازماندهى مى شوند و همانند روشى است كه سیستم عامل هاى ویندوز براى فایل ها و شاخه ها جهت سازماندهى اطلاعات در كامپیوتر استفاده مى كنند. علاوه بر این اكتیو دایركتورى روابط بین اشیا و بسته ها را فراهم مى كند تا یك دید متمركز و جامع را نشان دهد و این باعث مى شود كه درك و كنترل منابع راحت تر شده و مدیریت آنها بهینه شود. ساختار سلسله مراتبى اكتیو دایركتورى كه یك ساختار انعطاف پذیر و قابل پیكربندى است باعث مى شود كه سازمان ها منابع را آن طور كه به آن نیازمند هستند سازماندهى كنند. گروه بندى اشیا در داخل دایركتورى اجازه مى دهد كه مدیران اشیا را در سطح ماكرو مدیریت كنند. این كار كارایى، دقت و مدیریت را افزایش مى دهد، به طورى كه سازمان ها مدیریت شبكه را با نیازهاى تجارى خودشان انجام مى دهند.

براى فراهم كردن قابلیت اجرایى بالا، دسترسى بهتر و قابلیت انعطاف در محیط هاى توزیع شده، اكتیو دایركتورى از تكثیر اطلاعات در سرورهاى متناظر استفاده مى كند و این به سازمان ها اجازه مى دهد كه نسخه هاى گوناگون از دایركتورى ها ایجاد كنند. در نتیجه، تعویض ها و تغییراتى كه در هر جاى شبكه صورت بگیرد به طور اتوماتیك در سراسر شبكه كپى مى شوند. از سوى دیگر اكتیو دایركتورى از تكثیر اطلاعات در سرورهاى متناظر براى قابلیت انعطاف، جهت افزایش و بالا بردن میزان دسترسى و اجرا پشتیبانى مى كند. براى مثال كپى دایركتورى Syncron مى تواند از هر موقعیت و مكانى در شبكه مورد استفاده قرار گیرد. چنین پردازشى مى تواند اجراى سریع تر را در اختیار كاربر بگذارد. به این دلیل كه كاربران براى دسترسى به منابع مورد نیازشان به جاى جست وجو در شبكه ، آن را از طریق جست وجو در دایركتورى سرور محلى خود پیدا مى كنند. این دایركتورى ها بسته به منابع مدیریتى كه در دسترس است مى توانند به طور محلى یا از راه دور مدیریت شوند.

3-5-3 مــــزایای اکتیو دایرکتوری :

به علت ارتباط تنگاتنگ و كاملاً مجتمع اكتیو دایركتورى با ویندوز 2000 این قابلیت در اختیار مدیران شبكه، برنامه نویسان و كاربران قرار گرفته كه به Service Directory زیر دسترسى داشته باشند:

1-آسان تر كردن كارهاى مدیریت

2-افزایش امنیت شبكه

3-قابلیت استفاده از سیستم هاى موجود در محیط شبكه هاى مختلف و آسان كردن مدیریت سیستم هاى توزیع شده كه اغلب منجر به اشتراك زمانى مى شوند. در عین حال زمانى كه شركت ها برنامه هاى كاربردى را به زیرساخت و شالوده خود اضافه كنند و یا پرسنل خود را بازنشسته مى كنند و همچنین نیاز به توزیع نرم افزار بر روى كامپیوترهاى خود و همچنین مدیریت دایركتورى هاى برنامه هاى كاربردى دارند، اكتیو دایركتورى به شركت ها اجازه مى دهد كه هزینه هاى خود را با استفاده از كنترل مركزى كاربران، گروه ها و منابع شبكه به همراه نرم افزار توزیع شده و مدیریت پیكربندى كامپیوترهاى كاربران كاهش دهند. اكتیو دایركتورى از سوى دیگر به شركت ها كمك مى كند كه مدیریت آسان تر و راحت ترى داشته باشند. این سرویس با سازماندهى كاربران و منابع شبكه به طور سلسله مراتبى به مدیران اجازه مى دهد تا یك مركز واحد مدیریت را براى حساب هاى كاربران و سرورها و برنامه هاى كاربردى داشته باشند. اكتیو دایركتورى مدیریت منابع شبكه را آسان مى كند. در واقع اكتیو دایركتورى با تعویض اختیار وظایف مدیریتى به افراد یا گروه هاى خاص، انجام كارهاى مدیریتى منابع شبكه را ارتقا مى دهد. اكتیو دایركتورى یك مزیت بزرگ دیگر نیز دارد و آن هم بالا بردن امنیت است.