آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / آرشیو برچسب: آموزش mcitp فارسی (صفحه ی 5)

آرشیوهای برچسب : آموزش mcitp فارسی

نصب NDES

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

  • ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
  •  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

ادامه ی مطلب

نصب AD CS – نصب Enterprise Issuing CA – بخش دوم

در مرحله قبل، شما CA صادرکننده (issuing CA) را نصب کردید. اما به دلیل اینکه root CA آفلاین بوده و نتوانستیم برای issuing CA یک certificate دریافت کنیم تا سرور معتبر شود. اکنون بایستی certificate را روی issuing CA نصب کرده تا نصب این CA کامل شود. در محیط های واقعی، شما می بایست فایل درخواست certificate ای که قبلا ایجاد کرده اید را با فلش به root CA منتقل کنید اما چون در محیط آموزشی هستیم، از طریق یک پوشه share شده روی سرور root CA اینکار را انجام می دهیم. به هر حال، فایل درخواست را به سرور root CA منتقل کنید.

  • برای شروع، پس از اینکه فایل درخواست certificate را به root CA انتقال کردید، کنسول Certificate Authority را از Administrative Tools اجرا کنید.
  • در کنسول Certificate Authority روی نام root CA راست کلیک کرده و از بخش All Tasks گزینه Submit New Request را انتخاب کنید.

certificate services 25

ادامه ی مطلب

نصب AD CS – نصب Enterprise Issuing CA – بخش اول

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

  • در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

ادامه ی مطلب

نصب AD CS – نصب Root CA

نصب AD CS کمی شما را نسبت به سایر سرویس ها بیشتر درگیر می کند، زیرا انتخاب بین stand-alone و enterprise انتخاب اصلی و مهمی ست که شما می بایست درس تصمیم بگیرید. در بسیاری از موارد، شما ساختار سلسله مراتبی دوگانه (two-tiered) را نصب می کنید که خب ابتدا stand-alone CA را نصب کرده و سپس enterprise CA!

سروری که قرار است AD CS را روی آن نصب کنید می بایست از لحاظ سخت افزاری، حداقل هایی را داشته باشد، که می تواند سرور فیزیکی یا مجازی باشد:

  • دارای چند پردازشگر بوده یا پردازشگری با بیش از یک هسته؛ زیرا فرایند صدور certificate را بیشتر می کند.
  • حداقل میزان RAM، زیرا RAM کمترین اثر را روی فرایند صدور certificate دارد. ماشین های مجازی به RAM بیشتر از 512 MB نیاز ندارند.
  • اختصاص هارد دیسک مجزا برای ذخیره certificate ها. روش ایده آل بدین شکل است که شما می بایست حداقل یک هارد دیسک جدا روی سرور نصب کنید تا دیتابیس روی آن ذخیره شود. سرورهایی که در سازمان های بسیار بزرگ certificate صادر میکنند، حتی می بایست هارد دیسکی برای log file های خود داشته باشند.
  • طول و اندازه کلید ها را در اندازه متوسط تنظیم کنید تا بهترین کارایی را از سرور مشاهده کنید. طول کلیدها تاثیر مستقیمی روی کارایی CPU و هارد دیسک دارد. کلید های کوتاه هارد دیسک بیشتر، و کلید های بلند CPU بیشتری را درگیر می کنند.
  • اگر از سیستم سخت افزاری و فیزیکی استفاده می کنید، استفاده از هاردهای RAID کارایی بهتر و مطمئن تری را مشاهده خواهید کرد.

شاید برایتان سوال شود که با نصب AD CS روی هر یک از نسخه های ویندوز سرور 2008 R2، کدامیک از ویژگی ها را خواهید داشت. لیست این ویژگی ها در جدول زیر آمده است:

ادامه ی مطلب

ویژگی های جدید AD CS در Windows Server 2008 R2

همانند دیگر سرویس های ویندوز سرور 2008 R2، سرویس AD CS نیز به روز شده و ویژگی های جدیدی نسبت به ویندوز های قبلی به آن اضافه می شود. سه ویژگی جدید:

  • سرویس های Certificate Enrollment و Certificate Enrollment Policy Web services
  • Certificate enrollment across forests
  • پشتیبانی بهتر از high-volume CA

سرویس های AD CS Web جدید

ویژگی Web Services جدید برای AD CS، پشتیبانی از certificate enrollment روی پروتکل HTTP است. Web Services به عنوان یک پ-ر-وک-س*ی بین کلاینت و Certificate Authority عمل می کند. این کار ارتباط مستقیمی بین کلاینت و CA روی اینترنت ایجاد کرده و certificate enrollment به همان راحتی و امنیت موجود در forest انجام می شود. کارمندانی که درحال سفرند، شرکت های پارتنر و کارمندانی که بصورت remote کارها را انجام می دهند، می توانند از طریق اینترنت درخواست certificate بدهند و آن را برای پشتیبانی ساده تر کنند. سازمان های بزرگ و یا سازمانهایی که می بایست از چندین مزر امنیتی عبور کنند تا به forest برسند، از این فرایند آسان شده توسط Web Services لذت ببرند.

برای استفاده از Web Services جدید، شبکه شما می بایست نیازمندی های زیر را داشته باشد:

  • Forest functional level می بایست ویندوز سرور 2008 R2 باشد.
  • Enterprise CA می بایست ویندوز سرور 2008 R2، ویندوز سرور 2008 و یا ویندوز سرور 2003 باشد.
  • کامپیوترهای کلاینت ها می بایست ویندوز 7 به بالا باشند.
  • برای پشتیبانی از cross-forest enrollment می بایست، enterprise CA ها در هر forest، باید یا نسخه Enterprise ویندوز سرور باشند یا نسخه Datacenter

ادامه ی مطلب