مفاهیم اولیه اکتیو دایرکتوری

سرویس اکتیو دایرکتوری

سرویس دایرکتوری قابل توسعه و مقیاس پذیر فعال دایرکتوری (اکتیو دایرکتوری)به شما اجازه می دهد تا به طور موثر منابع شبکه را مدیریت کنید.

فعال دایرکتوری یک مخزن به صورت سلسله مراتبی از داده های مربوط به اشیاء شبکه است که وسیله ای مناسب برای یافتن و استفاده از این داده ها فراهم می کند.. رایانه فعال استدایرکتوری، نامیده شد کنترل کننده دامنه . از جانب اکتیو دایرکتوریتقریباً تمام وظایف اداری درگیر است.

فناوری Active Directory بر اساس استاندارد است پروتکل های اینترنتیو به تعریف واضح ساختار شبکه کمک می کند.

اکتیو دایرکتوری و DNS

AT فعال کارگردانyسیستم نام دامنه استفاده می شود.

دامنهنام سیستم، (DNS) یک سرویس اینترنتی استاندارد است که گروه‌هایی از رایانه‌ها را در دامنه‌ها سازماندهی می‌کند.دامنه های DNS ساختاری سلسله مراتبی دارند که اساس اینترنت را تشکیل می دهد. سطوح مختلفاین سلسله مراتب رایانه ها، حوزه های سازمانی و دامنه های سطح بالا را شناسایی می کند. DNS همچنین برای حل کردن نام هاست، به عنوان مثال، خدمت می کند z eta.webwork.com به آدرس های IP عددی، مانند 192.168.19.2. با استفاده از DNS، سلسله مراتب دامنه اکتیو دایرکتوری را می توان در فضای اینترنت ثبت کرد یا مستقل و از دسترسی خارجی جدا کرد.

برای دسترسی به منابع در دامنه از نام میزبان کاملاً واجد شرایط مانند zeta.webatwork.com استفاده می کند. اینجاzetaنام رایانه فردی است، webwork دامنه سازمان است و com دامنه سطح بالا است. دامنه های سطح بالا شالوده سلسله مراتب DNS را تشکیل می دهند و بنابراین فراخوانی می شوند دامنه های ریشه (دامنه های ریشه). آنها از نظر جغرافیایی سازماندهی شده اند و نام آنها بر اساس کدهای دو حرفی کشور (enبرای روسیه)، بر اساس نوع سازمان (سلولبرای سازمان های تجاری) و با قرار قبلی (میلیون برای سازمان های نظامی).

دامنه های معمولی مانند microsoft.com، تماس گرفت والدین (دامنه والد) زیرا اساس ساختار سازمانی را تشکیل می دهند. دامنه های والد را می توان به زیر دامنه های بخش های مختلف یا وابسته های راه دور تقسیم کرد. برای مثال، نام کامل یک کامپیوتر در دفتر مایکروسافت در سیاتل ممکن است jacob.seattle.microsoft.com باشد. , جایی که jacob- نام کامپیوتر، سهAltle - ساب دامنه و microsoft.com دامنه اصلی است. نام یک زیر دامنه دیگر - دامنه فرزند (دامنه فرزند).

اجزاء فعال فهرست راهنما

اکتیو دایرکتوری ساختار فیزیکی و منطقی اجزای شبکه را یکسان می کند. ساختارهای منطقی Active Directory به سازماندهی اشیاء دایرکتوری و مدیریت حساب ها و اشتراک های شبکه کمک می کند. ساختار منطقی است موارد زیر:

واحد سازمانی (واحد سازمانی) - زیرگروهی از رایانه ها که معمولاً ساختار شرکت را منعکس می کند.

دامنه ( دامنه ) - گروهی از کامپیوترها که یک پایگاه داده کاتالوگ مشترک را به اشتراک می گذارند.

درخت دامنه (دامنه درخت) - یک یا چند دامنه که یک فضای نام پیوسته را به اشتراک می گذارند.

جنگل دامنه - یک یا چند درخت که اطلاعات دایرکتوری را به اشتراک می گذارند.

عناصر فیزیکی به برنامه ریزی ساختار واقعی شبکه کمک می کنند. بر اساس ساختارهای فیزیکی، پیوندهای شبکه و مرزهای فیزیکی منابع شبکه شکل می گیرد. ساختار فیزیکی شامل عناصر زیر است:

زیر شبکه ( زیر شبکه) - گروه شبکهبا یک منطقه معین آدرس های IPو ماسک شبکه؛

سایت اینترنتی ( سایت) یک یا چند زیر شبکه این سایت برای راه اندازی دسترسی به دایرکتوری و تکرار استفاده می شود.

واحدهای سازمانی

واحدهای سازمانی (OUs) زیر گروه هایی در حوزه هایی هستند که اغلب ساختار عملکردی یک سازمان را منعکس می کنند. PU ها نوعی کانتینرهای منطقی هستند که میزبان حساب ها، اشتراک ها و سایر PU ها هستند. به عنوان مثال، می توانید در دامنه ایجاد کنید مایکروسافتتی. comتقسیمات منابع, آی تی, بازار یابی. سپس می توان این طرح را گسترش داد تا بخش های کودک را نیز شامل شود.

قرار دادن اشیاء در OP فقط از دامنه والد مجاز است. به عنوان مثال، RO از دامنه Seattle.microsoft.com فقط شامل اشیاء از آن دامنه است. اضافه کردن اشیاء ازمترy. مترicrosoft.com نمی تواند. OP در شکل گیری یک یا عملکردی بسیار راحت است ساختارهای تجاریسازمان های.اما این تنها دلیل استفاده از آنها نیست.

OP ها اجازه می دهند که خط مشی گروه برای مجموعه کوچکی از منابع در یک دامنه بدون اعمال آن در کل دامنه تعریف شود. OP نمایش های فشرده و قابل مدیریت تری از اشیاء دایرکتوری در یک دامنه ایجاد می کند که به مدیریت کارآمدتر منابع کمک می کند.

OPها به شما اجازه می‌دهند تا اختیارات را تفویض کنید و دسترسی مدیریت به منابع دامنه را کنترل کنید، که به تعیین محدودیت‌هایی برای اختیارات مدیران در یک دامنه کمک می‌کند. این امکان وجود دارد که به کاربر A فقط برای یک OU امتیازات مدیریتی داده شود و در عین حال برای همه OU های موجود در دامنه به کاربر B نیز امتیاز مدیریتی داده شود.

دامنه ها

دامنه اکتیو دایرکتوری گروهی از کامپیوترها است که یک پایگاه داده دایرکتوری مشترک دارند. نام دامنه اکتیو دایرکتوری باید منحصر به فرد باشد. به عنوان مثال، نمی تواند دو دامنه وجود داشته باشد مترicrosoft.com، اما می تواند یک دامنه والد microsoft.com با دامنه های فرزند seattle.microsoft.com و مترy.microsoft.com. اگر دامنه بخشی از یک شبکه بسته باشد، نامی که به دامنه جدید داده شده نباید با هیچ یک از نام های دامنه موجود در آن شبکه تضاد داشته باشد. اگر دامنه بخشی از اینترنت جهانی است، نام آن نباید با هیچ یک از نام های دامنه موجود در اینترنت مغایرت داشته باشد. برای اطمینان از منحصر به فرد بودن نام ها در اینترنت، نام دامنه اصلی باید از طریق هر ثبت کننده مجاز ثبت شود.

هر دامنه سیاست های امنیتی خاص خود را دارد و رابطه اعتمادبا سایر دامنه ها اغلب، دامنه ها در چندین مکان فیزیکی توزیع می شوند، یعنی از چندین سایت تشکیل شده اند و سایت ها چندین زیرشبکه را در بر می گیرند. پایگاه داده دایرکتوری دامنه اشیایی را ذخیره می‌کند که حساب‌هایی را برای کاربران، گروه‌ها و رایانه‌ها تعریف می‌کنند و همچنین منابع مشترک مانند چاپگرها و پوشه‌ها را ذخیره می‌کند.

توابع دامنه با نحوه عملکرد آن محدود و تنظیم می شود. چهار حالت کاربردی برای دامنه ها وجود دارد:

مختلط حالت ویندوز 2000 (حالت ترکیبی) - از کنترلرهای دامنه در حال اجرا ویندوز پشتیبانی می کند NT 4.0, Wi می دهد 2000 و پنجره ها سرور 2003;

حالت بومی ویندوز 2000 (حالت بومی) - از کنترلرهای دامنه با ویندوز 2000 و پنجره ها سرور 2003;

حالت متوسط پنجره ها سرور 2003 ( موقت حالت) - از کنترل کننده های دامنه در حال اجرا پشتیبانی می کند پنجره ها NT 4.0 و پنجره ها سرور 2003;

حالت ویندوز سرور 2003 - پشتیبانی از کنترلرهای دامنه در حال اجرا ویندوز سرور 2003.

جنگل ها و درختان

هر دامنه فعال فهرست راهنمادارد DNS-نام را تایپ کنید مایکروسافت.com دامنه هایی که داده های دایرکتوری را به اشتراک می گذارند یک Forest را تشکیل می دهند. نام های دامنه جنگلی در سلسله مراتب نام DNS هستند غیر پیوسته(ناپیوسته) یا مربوط(مداوم).

دامنه هایی که دارای ساختار نام پیوسته هستند، درخت دامنه نامیده می شوند. اگر دامنه‌های جنگلی دارای نام‌های DNS غیر پیوسته باشند، درخت‌های دامنه جداگانه را در جنگل تشکیل می‌دهند. شما می توانید یک یا چند درخت را در یک جنگل قرار دهید. کنسول برای دسترسی به ساختارهای دامنه در نظر گرفته شده است.فعال فهرست راهنما- دامنه ها و اعتماد (فعالفهرست راهنما دامنه هاو اعتماد).

عملکرد جنگل ها توسط رژیم عملکردی جنگل محدود و تنظیم می شود. سه حالت از این قبیل وجود دارد:

ویندوز 2000 - از کنترلرهای دامنه با ویندوز NT 4.0، ویندوز 2000 و ویندوز پشتیبانی می کند سرور 2003;

حد واسط ( موقت) پنجره ها سرور 2003 - از کنترل کننده های دامنه در حال اجرا ویندوز NT 4.0 و ویندوز سرور 2003 پشتیبانی می کند.

ویندوز سرور 2003 - پشتیبانی از کنترلرهای دامنه در حال اجرا ویندوز سرور 2003.

پیشرفته‌ترین ویژگی‌های Active Directory در حالت Windows Server 2003 موجود است. اگر همه دامنه‌های موجود در جنگل در این حالت در حال اجرا باشند، می‌توانید از تکرار کاتالوگ جهانی بهبود یافته و تکثیر داده‌های Active Directory کارآمدتر لذت ببرید. همچنین می‌توانید کلاس‌ها و ویژگی‌های طرحواره را غیرفعال کنید، از کلاس‌های کمکی پویا استفاده کنید، نام دامنه‌ها را تغییر دهید و اعتمادهای یک طرفه، دو طرفه و انتقالی را در جنگل ایجاد کنید.

سایت ها و زیرشبکه ها

سایت اینترنتی گروهی از کامپیوترها در یک یا چند زیرشبکه IP است که برای برنامه ریزی ساختار فیزیکی یک شبکه استفاده می شود. برنامه ریزی سایت مستقل از ساختار منطقی دامنه اتفاق می افتد. اکتیو دایرکتوری به شما این امکان را می دهد که چندین سایت را در یک دامنه واحد یا یک سایت واحد در چندین دامنه ایجاد کنید.

بر خلاف سایت هایی که می توانند چندین ناحیه آدرس IP را پوشش دهند، زیرشبکه ها دارای یک ناحیه آدرس IP و ماسک شبکه هستند. نام های زیر شبکه در قالب مشخص شده است net/bitmask, به عنوان مثال 192.168.19.0/24 که در آن آدرس شبکه 192.168.19.0 و netmask 255.255.255.0 ترکیب شده اند تا نام زیر شبکه 192.168.19.0/24 را تشکیل دهند.

رایانه ها بر اساس موقعیت مکانی آنها در یک زیرشبکه یا مجموعه ای از زیرشبکه ها به سایت ها اختصاص داده می شوند. اگر رایانه های موجود در زیرشبکه ها بتوانند با سرعت کافی بالا ارتباط برقرار کنند، نامیده می شوند به خوبی متصل است (به خوبی متصل است).

در حالت ایده‌آل، سایت‌ها از زیرشبکه‌ها و رایانه‌هایی تشکیل می‌شوند که به خوبی متصل هستند. اگر ترافیک بین زیرشبکه‌ها و رایانه‌ها کم است، ممکن است نیاز به ایجاد چندین سایت داشته باشید. ارتباط خوب به سایت ها مزایایی می دهد.

هنگامی که یک کلاینت به یک دامنه می‌پیوندد، فرآیند احراز هویت ابتدا کنترل‌کننده دامنه محلی را در سایت مشتری جستجو می‌کند، یعنی در صورت امکان، ابتدا از کنترل‌کننده‌های محلی پرس و جو می‌شود، که ترافیک شبکه را محدود می‌کند و احراز هویت را سرعت می‌بخشد.

اطلاعات دایرکتوری بیشتر تکرار می شود داخل سایت ها از بین سایت های. این امر ترافیک شبکه ناشی از تکرار را کاهش می دهد و تضمین می کند که کنترل کننده های دامنه محلی اطلاعات به روز شده را به سرعت دریافت می کنند.

شما می توانید ترتیبی که داده های دایرکتوری با استفاده از آن تکثیر می شوند را سفارشی کنید لینک های سایت (لینک های سایت). مثلا تعریف کنید سرور سر پل (سر پل) برای تکرار بین سایت ها.

بخش عمده ای از بار ناشی از تکرار بین سایت ها بر روی این سرور تخصصی قرار می گیرد، نه روی هیچ کدام سرور موجودسایت. سایت هایو زیر شبکه ها در کنسول پیکربندی شده اند اکتیو دایرکتوری-سایت ها و خدمات(سایت ها و خدمات اکتیو دایرکتوری).

کار با دامنه ها اکتیو دایرکتوری

برخط پنجره ها سرورسرویس 2003 فعالفهرست راهنمادر همان زمان پیکربندی شده استDNS. با این حال، دامنه های Active Directory و دامنه های DNS اهداف متفاوتی دارند. دامنه های Active Directory به مدیریت حساب ها، منابع و امنیت کمک می کنند.

سلسله مراتب دامنه DNS در درجه اول برای حل نام است.

رایانه‌هایی که از Windows XP Professional و Windows 2000 استفاده می‌کنند می‌توانند از مزایای Active Directory بهره ببرند. آنها به عنوان کلاینت‌های Active Directory در شبکه عمل می‌کنند و به Trustهای انتقالی که در یک درخت دامنه یا جنگل وجود دارند دسترسی دارند. این روابط به کاربران مجاز امکان دسترسی به منابع در هر دامنه در جنگل را می دهد.

سیستم Windows Server 2003 به عنوان یک کنترل کننده دامنه یا به عنوان یک سرور عضو عمل می کند. سرورهای اعضا با نصب Active Directory به کنترلر تبدیل می شوند. پس از حذف اکتیو دایرکتوری، کنترلرها به سرورهای عضو تنزل داده می شوند.

هر دو فرآیند انجام می شودجادوگر نصب اکتیو دایرکتوری. یک دامنه می تواند چندین کنترلر داشته باشد. آنها داده های دایرکتوری را بین خودشان با استفاده از یک مدل تکرار چندگانه تکرار می کنند که به هر کنترل کننده اجازه می دهد تغییرات دایرکتوری را پردازش کند و سپس آنها را به کنترل کننده های دیگر منتشر کند. با توجه به ساختار مولتی مستر، تمامی کنترلرها به طور پیش فرض مسئولیت یکسانی دارند. با این حال، می‌توانید به برخی از کنترل‌کننده‌های دامنه نسبت به سایرین در کارهای خاص اولویت بدهید، مانند ایجاد یک سرور سر پل که در هنگام تکرار داده‌های دایرکتوری در سایت‌های دیگر اولویت دارد.

علاوه بر این، برخی از کارها به بهترین وجه بر روی یک سرور اختصاصی انجام می شوند. سروری که نوع خاصی از کار را انجام می دهد نامیده می شود استاد عملیات (استاد عملیات).

همه رایانه‌های Windows 2000، Windows XP Professional و Windows Server 2003 که به یک دامنه متصل می‌شوند دارای حساب‌هایی هستند که مانند سایر منابع، به عنوان اشیاء Active Directory ایجاد و ذخیره می‌شوند. حساب‌های رایانه‌ای برای کنترل دسترسی به شبکه و منابع آن استفاده می‌شوند. قبل از اینکه رایانه با استفاده از حساب خود به دامنه‌ای دسترسی پیدا کند، باید مراحل احراز هویت را طی کند.

ساختار دایرکتوری

داده های دایرکتوری از طریق به کاربران و رایانه ها ارائه می شود ذخیره داده (ذخیره های داده) و دایرکتوری های جهانی (جهانی استکاتالوگ ها). اگر چه اکثر ویژگی هایفعالفهرست راهنمابر انبار داده تأثیر می گذارد، کاتالوگ های جهانی (GC) به همان اندازه مهم هستند زیرا برای ورود به سیستم و جستجوی اطلاعات استفاده می شوند. اگر GC در دسترس نباشد، کاربران عادی نمی توانند وارد دامنه شوند.تنها راه برای دور زدن این شرایط، کش کردن عضویت‌ها به صورت محلی است. گروه های جهانی

دسترسی و توزیع داده های اکتیو دایرکتوری به وسیله وسایلی فراهم می شود پروتکل های دسترسی دایرکتوری (فهرست راهنما دسترسی داشته باشیدپروتکل ها) و همانند سازی (همانند سازی).

برای توزیع داده های به روز شده در کنترل کننده ها، نیاز به تکرار است. روش اصلی توزیع به روز رسانی، تکثیر چندگانه است، اما برخی تغییرات فقط توسط کنترلرهای تخصصی انجام می شود - استادان عملیات (استاد عملیات).

نحوه انجام تکثیر مولتی مستر در ویندوز سرور 2003 نیز با معرفی بخش های دایرکتوری برنامه های کاربردی (کاربردفهرست راهنماپارتیشن ها). از طریق آنها، مدیران سیستم می توانند پارتیشن های تکراری را در جنگل دامنه ایجاد کنند، که ساختارهای منطقی هستند که برای مدیریت تکرار در جنگل دامنه استفاده می شوند. به عنوان مثال، می توانید پارتیشنی ایجاد کنید که تکثیر اطلاعات DNS در یک دامنه را انجام دهد. سیستم های دیگر در دامنه مجاز به تکثیر اطلاعات DNS نیستند.

پارتیشن های دایرکتوری برنامه می توانند فرزند یک دامنه، فرزند پارتیشن برنامه دیگر یا درخت جدیدی در جنگل دامنه باشند. کپی های پارتیشن را می توان بر روی هر کنترل کننده دامنه Active Directory، از جمله کاتالوگ های جهانی، میزبانی کرد. اگرچه پارتیشن های کاتالوگ برنامه ها در دامنه ها و جنگل های بزرگ مفید هستند، اما هزینه های برنامه ریزی، مدیریت و نگهداری را افزایش می دهند.

ذخیره اطلاعات

مخزن حاوی اطلاعاتی در مورد مهمترین اشیاءخدمات دایرکتوری Active Directory - حساب ها، سهام، OP و سیاست های گروه. گاهی اوقات انبار داده به سادگی فراخوانی می شود کاتالوگ (فهرست راهنما ). در کنترلر دامنه، دایرکتوری در فایل NTDS.DIT ​​ذخیره می شود که مکان آن در هنگام نصب Active Directory مشخص می شود (این باید یک درایو NTFS باشد). برخی از داده های کاتالوگ را می توان جدا از حافظه اصلی ذخیره کرد، به عنوان مثال، سیاست های گروه، اسکریپت ها و سایر اطلاعات ثبت شده در سیستم SYSVOL به اشتراک گذاشته می شوند.

به اشتراک گذاری اطلاعات دایرکتوری گفته می شود انتشار (انتشار). به عنوان مثال، هنگامی که یک چاپگر برای استفاده در شبکه باز می شود، منتشر می شود. اطلاعات منتشر شده در مورد پوشه به اشتراک گذاشته شدهکنترل‌کننده‌های دامنه بیشتر تغییرات را در فضای ذخیره‌سازی به صورت چند اصلی تکرار می‌کنند. مدیر یک سازمان کوچک یا متوسط ​​به ندرت تکثیر ذخیره سازی را مدیریت می کند زیرا خودکار است، اما می توان آن را بر اساس مشخصات معماری شبکه پیکربندی کرد.

همه داده های دایرکتوری تکرار نمی شوند، اما فقط:

داده های دامنه - اطلاعات مربوط به اشیاء موجود در دامنه، از جمله اشیاء حساب ها، سهام، OP و سیاست های گروه.

داده های پیکربندی - اطلاعاتی در مورد توپولوژی دایرکتوری: لیستی از همه دامنه ها، درختان و جنگل ها و همچنین مکان کنترل کننده ها و سرورهای دفتر کل.

داده های طرحواره - اطلاعات مربوط به تمام اشیاء و انواع داده هایی که می توانند در فهرست ذخیره شوند. طرح استاندارد Windows Server 2003 اشیاء حساب، اشیاء اشتراک‌گذاری و موارد دیگر را توصیف می‌کند و می‌تواند با تعریف اشیاء و ویژگی‌های جدید یا با افزودن ویژگی‌ها به اشیاء موجود گسترش یابد.

فهرست جهانی

اگر ذخیره محلی عضویت در گروه های جهانی انجام نمی شود، ورود به شبکه بر اساس اطلاعات عضویت است گروه جهانیتوسط GC ارائه شده است.

همچنین جستجوی دایرکتوری را در تمام دامنه های موجود در جنگل فراهم می کند. کنترل کننده، بازیگریسرور GC، یک کپی کامل از تمام اشیاء دایرکتوری را در دامنه خود و یک کپی جزئی از اشیاء را در بقیه دامنه های جنگل ذخیره می کند.

فقط برخی از ویژگی های شی برای ورود به سیستم و جستجو مورد نیاز است، بنابراین می توان از کپی های جزئی استفاده کرد. برای ایجاد یک کپی جزئی، تکرار نیاز به انتقال داده کمتری دارد که باعث کاهش ترافیک شبکه می شود.

به طور پیش فرض، اولین کنترل کننده دامنه به سرور GC تبدیل می شود. بنابراین، اگر تنها یک کنترلر در دامنه وجود داشته باشد، سرور GC و کنترل کننده دامنه همان سرور هستند. برای کاهش زمان پاسخ ورود به سیستم و سرعت بخشیدن به جستجوها، می توانید GC را روی یک کنترلر دیگر قرار دهید. توصیه می شود در هر سایت دامنه یک GC ایجاد کنید.

راه های مختلفی برای حل این مشکل وجود دارد. البته، می توانید یک سرور دفتر کل را بر روی یکی از کنترلرهای دامنه در دفتر راه دور ایجاد کنید. عیب این روش افزایش بار روی سرور GC است که ممکن است نیاز به منابع اضافی و برنامه ریزی دقیق زمان آپ تایم سرور داشته باشد.

راه دیگر برای حل مشکل این است که عضویت های گروه جهانی را به صورت محلی ذخیره کنید. با این حال، هر کنترل‌کننده دامنه می‌تواند درخواست‌های ورود به سیستم را به صورت محلی بدون تماس با سرور دفتر کل سرویس دهد. این کار روند ورود را سرعت می بخشد و در صورت خرابی سرور G/L کارها را آسان تر می کند. همچنین ترافیک تکراری را کاهش می دهد.

به جای تازه کردن دوره ای کل GC در سراسر شبکه، کافی است اطلاعات موجود در حافظه پنهان درباره عضویت در گروه جهانی را به روز کنید. به‌طور پیش‌فرض، بازخوانی هر هشت ساعت در هر کنترل‌کننده دامنه که از کش محلی عضویت گروه جهانی استفاده می‌کند، رخ می‌دهد.

عضویت در گروه جهانی به صورت جداگانه برای هر سایت. به یاد بیاورید که یک سایت یک ساختار فیزیکی متشکل از یک یا چند زیرشبکه است که دارای مجموعه ای جداگانه از آدرس های IP و یک نقاب شبکه است. کنترل کننده های دامنه پنجره هاسرور 2003 و GC که به آن اشاره می کنند باید در یک سایت باشند. اگر چندین سایت وجود دارد، باید کش محلی را در هر یک از آنها تنظیم کنید. علاوه بر این، کاربرانی که وارد سایت می شوند باید بخشی از دامنه ویندوز سرور 2003 باشند که در حالت جنگل ویندوز سرور 2003 اجرا می شود.

Replication در Active Directory

دایرکتوری سه نوع اطلاعات را ذخیره می کند: داده های دامنه، داده های طرحواره و داده های پیکربندی. داده های دامنه برای همه کنترل کننده های دامنه تکرار می شود. همه کنترل کننده های دامنه برابر هستند، به عنوان مثال. تمام تغییرات ایجاد شده از هر کنترل‌کننده دامنه به همه کنترل‌کننده‌های دامنه دیگر تکرار می‌شود. علاوه بر این، تمام اشیاء دامنه منفرد و برخی از خصوصیات اشیاء جنگل در GC تکرار می شوند. این بدان معناست که کنترل‌کننده دامنه، طرح‌واره درخت یا جنگل، اطلاعات پیکربندی برای همه دامنه‌های درخت یا جنگل، و تمام اشیاء و ویژگی‌های دایرکتوری را برای دامنه خودش ذخیره و تکرار می‌کند.

کنترل‌کننده دامنه که میزبان GL است، اطلاعات طرح‌واره را برای جنگل، اطلاعات پیکربندی برای همه دامنه‌ها در جنگل، و مجموعه‌ای از ویژگی‌های محدود برای تمام اشیاء دایرکتوری در جنگل (فقط بین سرورهای GC تکرار می‌کند) را در بر می‌گیرد و تکرار می‌کند. تمام اشیاء و خصوصیات دایرکتوری برای دامنه شما.

برای درک ماهیت تکرار، سناریوی زیر را برای راه اندازی یک شبکه جدید در نظر بگیرید.

1. در دامنه و اولین کنترلر نصب می شود. این سرور تنها کنترل کننده دامنه است. همچنین سرور GC است. همانند سازی در چنین شبکه ای رخ نمی دهد، زیرا هیچ کنترل کننده دیگری وجود ندارد.

2. در دامنه یک کنترلر دوم نصب می شود و تکرار شروع می شود. شما می توانید یک کنترلر را به عنوان اصلی زیرساخت و دیگری را به عنوان سرور GC تعیین کنید. زیرساخت اصلی نظارت و درخواست به روز رسانی GL برای اشیاء تغییر یافته است. هر دوی این کنترل‌کننده‌ها همچنین داده‌های طرح و پیکربندی را تکرار می‌کنند.

3. در دامنه و یک کنترلر سوم نصب شده است که هیچ GC روی آن وجود ندارد. زیرساخت اصلی به‌روزرسانی‌های GC را تماشا می‌کند، آنها را برای اشیاء تغییر یافته درخواست می‌کند و سپس تغییرات را در یک کنترل‌کننده دامنه سوم تکرار می‌کند. هر سه کنترل کننده همچنین داده های طرح و پیکربندی را تکرار می کنند.

4. دامنه B جدید ایجاد می شود، کنترل کننده ها به آن اضافه می شوند. سرورهای GC در دامنه A و دامنه B همه طرحواره ها و داده های پیکربندی و همچنین زیر مجموعه ای از داده های دامنه را از هر دامنه تکرار می کنند. همانندسازی در دامنه A همانطور که در بالا توضیح داده شد ادامه می یابد، به علاوه همانندسازی در دامنه B آغاز می شود.

فعالفهرست راهنماو LDAP

پروتکل دسترسی به دایرکتوری سبک وزن (LDAP) یک پروتکل استاندارد برای اتصالات اینترنتی از طریق شبکه های TCP/IP است. LDAP به طور خاص برای دسترسی به خدمات دایرکتوری با حداقل هزینه طراحی شده است. LDAP همچنین عملیات مورد استفاده برای پرس و جو و اصلاح اطلاعات دایرکتوری را تعریف می کند.

مشتریان اکتیو دایرکتوری از LDAP برای برقراری ارتباط با رایانه‌هایی که اکتیو دایرکتوری را اجرا می‌کنند، هر بار که وارد شبکه می‌شوند یا اشتراک‌ها را جستجو می‌کنند، استفاده می‌کند. LDAP ارتباط دایرکتوری و مهاجرت به اکتیو دایرکتوری را از سایر خدمات دایرکتوری ساده می کند. برای بهبود سازگاری، می توانید از رابط های سرویس اکتیو دایرکتوری (فعالفهرست راهنما سرویس- رابط ها, ADSI).

نقش های اصلی عملیات

Master Operations کارهایی را انجام می دهد که برای انجام آن ها در یک مدل تکرار چندمستری ناخوشایند است. پنج نقش اصلی عملیات وجود دارد که می توان آنها را به یک یا چند کنترل کننده دامنه اختصاص داد. برخی از نقش ها باید در سطح جنگل منحصر به فرد باشند، برای برخی دیگر سطح دامنه کافی است. نقش های زیر باید در هر جنگل Active Directory وجود داشته باشد:

استاد طرحواره) - به روز رسانی ها و تغییرات در طرح دایرکتوری را مدیریت می کند. به روز رسانی طرح کاتالوگ نیاز به دسترسی به طرح اصلی دارد. برای تعیین اینکه کدام سرور زمان داده شدهاستاد طرحواره در دامنه است، فقط پنجره را باز کنید خط فرمانو وارد کنید: dsquery server -داردfsmo طرحواره .

استاد نام گذاری دامنه - افزودن و حذف دامنه ها را در جنگل مدیریت می کند. برای افزودن یا حذف دامنه، دسترسی به نامگذاری اصلی دامنه مورد نیاز است. برای تعیین اینکه کدام سرور در حال حاضر مستر نامگذاری دامنه است، کافی است در یک پنجره خط فرمان تایپ کنید: dsquery server -داردfsmo نام .

این نقش ها که در کل جنگل مشترک هستند، باید در درون آن منحصر به فرد باشند.

نقش های زیر در هر دامنه اکتیو دایرکتوری اجباری است.

Master ID نسبی (Relative ID Master) - شناسه های نسبی را به کنترل کننده های دامنه اختصاص می دهد. هر بار که یک شی کاربر ایجاد می کنید، گروه کنید یا کامپیوتر، کنترل‌کننده‌ها یک SID منحصربه‌فرد را به یک شی اختصاص می‌دهند که شامل یک SID دامنه و یک شناسه منحصربه‌فرد است که توسط شناسه اصلی اختصاص داده شده است. برای تعیین اینکه کدام سرور در حال حاضر مستر شناسه های نسبی در دامنه است، کافی است در پنجره خط فرمان وارد کنید: dsqueryسرور-داردfsmoخلاص شدن از شر.

شبیه ساز PDC (شبیه ساز PDC) - در حالت دامنه مختلط یا مرحله‌ای، به عنوان کنترل‌کننده دامنه اصلی ویندوز NT عمل می‌کند. این سیستم ورود به ویندوز NT را احراز هویت می کند، تغییرات رمز عبور را مدیریت می کند و به روز رسانی ها را برای P DC تکرار می کند. برای تعیین اینکه کدام سرور در حال حاضر شبیه ساز PDC در دامنه است، کافی است در پنجره خط فرمان وارد شوید. dsquery سرور - hasfsmo پی دی سی.

میزبان زیرساخت (زیرساخت استاد ) - پیوندهای اشیاء را به روز می کند و داده های فهرست آن را با داده های دفتر کل مقایسه می کند. اگر داده‌ها قدیمی باشند، از GC برای به‌روزرسانی‌ها سؤال می‌کند و آن‌ها را برای بقیه کنترل‌کننده‌های دامنه تکرار می‌کند. برای تعیین اینکه کدام سرور در حال حاضر زیرساخت اصلی در دامنه است، کافی است در پنجره خط فرمان وارد شوید dsqueryسرور -hasfsmo infr .

این نقش ها که در کل دامنه مشترک هستند، باید در آن منحصر به فرد باشند. به عبارت دیگر، شما فقط می توانید یک Master ID نسبی، یک شبیه ساز PDC و یک Master زیرساخت را در هر دامنه پیکربندی کنید.

نقش‌های اصلی عملیات معمولاً به‌طور خودکار تخصیص می‌یابند، اما می‌توان آنها را دوباره تخصیص داد. هنگامی که یک شبکه جدید نصب می شود، تمام نقش های اصلی عملیات به اولین کنترل کننده دامنه در اولین دامنه اختصاص داده می شود. اگر بعداً یک دامنه فرزند یا دامنه ریشه جدید در یک درخت جدید ایجاد شود، نقش های اصلی عملیات نیز به طور خودکار به اولین کنترل کننده دامنه اختصاص داده می شود. در جنگل دامنه جدید، کنترل کننده دامنه به تمام نقش های اصلی عملیات اختصاص داده می شود. اگر یک دامنه جدید در همان جنگل ایجاد شود، به کنترل کننده آن نقش های اصلی شناسه های نسبی، شبیه ساز P اختصاص داده می شود.DC و استاد زیرساخت. نقش های اصلی طرح و نامگذاری دامنه با اولین دامنه در جنگل باقی می مانند.

اگر فقط یک کنترلر در دامنه وجود داشته باشد، تمام نقش های اصلی عملیات را انجام می دهد. اگر تنها یک سایت در شبکه وجود داشته باشد، مکان پیش‌فرض Masters Operations بهینه است. با این حال، با اضافه شدن کنترل‌کننده‌ها و دامنه‌ها، گاهی اوقات لازم است که نقش‌های اصلی عملیات به کنترل‌کننده‌های دامنه دیگر منتقل شوند.

اگر دو یا چند کنترل کننده دامنه در یک دامنه وجود دارد، توصیه می کنیم که دو کنترل کننده دامنه را برای خدمت به عنوان اصلی عملیات پیکربندی کنید. به عنوان مثال، یک کنترلر دامنه را به عنوان اصلی عملیات اصلی و دیگری را به عنوان پشتیبان تعیین کنید، که در صورت خرابی اولیه مورد نیاز خواهد بود.

مدیریت اکتیو دایرکتوری

سیبا استفاده از سرویس اکتیو دایرکتوری، حساب‌های رایانه ایجاد می‌شوند، به دامنه متصل می‌شوند و رایانه‌ها، کنترل‌کننده‌های دامنه و واحدهای سازمانی (OU) مدیریت می‌شوند.

ابزارهای مدیریت و پشتیبانی برای مدیریت اکتیو دایرکتوری ارائه شده است. ابزارهای فهرست شده در زیر به عنوان اسنپ‌این کنسول MMC اجرا می‌شوند (مایکروسافت مدیریتکنسول):

کاربران و رایانه های Active Directory (Active Directory کاربران و کامپیوترها) به شما اجازه می دهد تا کاربران، گروه ها، رایانه ها و واحدهای سازمانی (OU) را مدیریت کنید.

فعال فهرست راهنما- دامنه ها و اعتماد ( فعال فهرست راهنما دامنه هاو اعتمادها ) برای کار با دامنه ها، درختان دامنه و جنگل های دامنه استفاده می کند.

اکتیو دایرکتوری- سایت های وخدمات (سایت ها و خدمات اکتیو دایرکتوری) به شما امکان مدیریت سایت ها و زیرشبکه ها را می دهد;

نتیجه سیاست (مجموعه سیاست های حاصل برای مشاهده خط مشی کاربر یا سیستم فعلی و برنامه ریزی تغییرات خط مشی استفاده می شود.

AT Microsoft Windows 2003 Server می تواند مستقیماً از منوی Administrative Tools به این فایل های فوری دسترسی داشته باشد.

یکی دیگر از ابزارهای مدیریتی Snap است طرح فعالفهرست راهنما (فعال فهرست راهنما طرحواره) - به شما امکان می دهد تا طرح دایرکتوری را مدیریت و تغییر دهید.

ابزارهای خط فرمان فعال فهرست راهنما

برای مدیریت اشیاء فعال فهرست راهنماابزارهای خط فرمان وجود دارد که به شما امکان می دهد طیف گسترده ای از وظایف اداری را انجام دهید:

DSADD - می افزاید فعال فهرست راهنمارایانه ها، مخاطبین، گروه ها، OP ها و کاربران.

DSGET - ویژگی های رایانه ها، مخاطبین، گروه ها، OU ها، کاربران، سایت ها، زیرشبکه ها و سرورهای ثبت شده در فعال فهرست راهنما.

DSMOD - ویژگی های رایانه ها، مخاطبین، گروه ها، PO ها، کاربران و سرورهای ثبت شده را تغییر می دهد فعال فهرست راهنما.

DSMOVE - یک شی منفرد را به یک مکان جدید در یک دامنه منتقل می کند یا یک شی را بدون جابجایی آن تغییر نام می دهد.

DSQXJERY - جستجو برای رایانه ها، مخاطبین، گروه ها، POs، کاربران، سایت ها، زیر شبکه ها و سرورها در فعال فهرست راهنمابا توجه به معیارهای داده شده

DSRM - یک شی را از فعال فهرست راهنما.

NTDSUTIL - به شما امکان می دهد اطلاعات مربوط به سایت، دامنه یا سرور را مشاهده کنید، مدیریت کنید استادان عملیات (عملیات کارشناسی ارشد) و به پایگاه داده سرویس دهیدفعال فهرست راهنما.

هر کاربر مبتدی که با علامت اختصاری AD مواجه می شود، از خود می پرسد که Active Directory چیست؟ Active Directory یک سرویس دایرکتوری است که توسط مایکروسافت برای دامنه توسعه یافته است شبکه های ویندوز. در اکثر سیستم عامل های ویندوز سرور به عنوان مجموعه ای از فرآیندها و خدمات گنجانده شده است. در ابتدا، این سرویس فقط با دامنه ها سروکار داشت. با این حال، از ویندوز سرور 2008، AD به نام طیف گسترده ای از خدمات هویت مبتنی بر دایرکتوری تبدیل شده است. این باعث می شود اکتیو دایرکتوری برای مبتدیان برای یادگیری بهینه تر باشد.

تعریف پایه

سروری که Active Directory Domain Services را اجرا می کند، کنترل کننده دامنه نامیده می شود. همه کاربران و رایانه‌های موجود در دامنه شبکه ویندوز را تأیید و مجوز می‌دهد، یک خط‌مشی امنیتی را برای همه رایانه‌های شخصی تخصیص داده و اعمال می‌کند، و نرم‌افزار را نصب یا به‌روزرسانی می‌کند. به عنوان مثال، هنگامی که یک کاربر به رایانه متصل به دامنه ویندوز وارد می شود، Active Directory رمز عبور ارائه شده را تأیید می کند و تعیین می کند که آیا شیء یک مدیر سیستم است یا خیر. کاربر معمولی. همچنین به شما امکان می‌دهد اطلاعات را مدیریت و ذخیره کنید، مکانیسم‌های احراز هویت و مجوز را فراهم می‌کند، و چارچوبی برای استقرار سایر خدمات مرتبط فراهم می‌کند: خدمات گواهی، خدمات دایرکتوری فدرال و سبک، و مدیریت حقوق.

اکتیو دایرکتوری از LDAP نسخه 2 و 3، نسخه Kerberos مایکروسافت و DNS استفاده می کند.

اکتیو دایرکتوری - چیست؟ به عبارت ساده در مورد پیچیده

ردیابی داده های شبکه یک کار وقت گیر است. حتی در شبکه‌های کوچک‌تر، کاربران در یافتن فایل‌های شبکه و چاپگرها مشکل دارند. بدون نوعی دایرکتوری، شبکه های متوسط ​​تا بزرگ را نمی توان مدیریت کرد و اغلب در یافتن منابع مشکل دارند.

نسخه های قبلی ویندوز مایکروسافتشامل خدماتی برای کمک به کاربران و مدیران برای یافتن داده ها می شود. محیط شبکهدر بسیاری از محیط‌ها مفید است، اما اشکال آشکار رابط کاربری نامناسب و غیرقابل پیش‌بینی بودن آن است. WINS Manager و Server Manager را می توان برای مشاهده لیستی از سیستم ها استفاده کرد، اما برای کاربران نهایی در دسترس نبودند. مدیران از مدیر کاربر برای افزودن و حذف داده های یک نوع کاملاً متفاوت از شی شبکه استفاده کردند. ثابت شد که این برنامه ها برای شبکه های بزرگ ناکارآمد هستند و این سوال را ایجاد کردند که چرا در شرکت Active Directory؟

دایرکتوری در کلی ترین معنای آن است لیست کاملاشیاء. دفترچه تلفن نوعی دایرکتوری است که اطلاعات افراد، مشاغل و سازمان های دولتی و ... را ذخیره می کندآنها معمولاً حاوی نام، آدرس و شماره تلفن هستند.متعجب اکتیو دایرکتوری - چیست، به زبان سادهمی توان گفت که این فناوری مشابه کتاب مرجع است، اما بسیار انعطاف پذیرتر است. AD اطلاعات مربوط به سازمان ها، سایت ها، سیستم ها، کاربران، اشتراک ها و هر شیء شبکه دیگری را ذخیره می کند.

آشنایی با مفاهیم اولیه اکتیو دایرکتوری

چرا یک سازمان به Active Directory نیاز دارد؟ همانطور که در مقدمه Active Directory ذکر شد، این سرویس اطلاعات مربوط به اجزای شبکه را ذخیره می کند.راهنمای "اکتیو دایرکتوری برای مبتدیان" می گوید که این است به مشتریان اجازه می دهد تا اشیاء را در فضای نام خود پیدا کنند.این تی اصطلاح (که درخت کنسول نیز نامیده می شود) به منطقه ای اشاره دارد که یک جزء شبکه می تواند در آن قرار گیرد. به عنوان مثال، فهرست مطالب یک کتاب فضای نامی را ایجاد می کند که در آن فصل ها را می توان به شماره صفحه نگاشت کرد.

DNS یک درخت کنسول است که نام هاست را به آدرس های IP ماننددفترچه تلفن فضای نامی برای تفکیک نام برای شماره تلفن ها فراهم می کند.و چگونه این اتفاق در اکتیو دایرکتوری می افتد؟ AD یک درخت کنسول برای حل نام اشیاء شبکه به خود اشیاء ومی تواند طیف گسترده ای از اشیاء، از جمله کاربران، سیستم ها و سرویس های موجود در شبکه را حل کند.

اشیاء و صفات

هر چیزی که اکتیو دایرکتوری آن را ردیابی کند یک شی در نظر گرفته می شود.می توانید به زبان ساده این را در اکتیو دایرکتوری بگویید هر کاربر، سیستم، منبع یا سرویس است. اصطلاح رایج شی به این دلیل استفاده می شود که AD قادر به پیگیری بسیاری از عناصر است و بسیاری از اشیاء می توانند ویژگی های مشترکی را به اشتراک بگذارند. چه مفهومی داره؟

ویژگی ها اشیاء را در اکتیو دایرکتوری توصیف می کنند، به عنوان مثال، همه اشیاء کاربر ویژگی هایی را برای ذخیره نام کاربر به اشتراک می گذارند. این در مورد توضیحات آنها نیز صدق می کند. سیستم ها نیز اشیاء هستند، اما دارای مجموعه ای جداگانه از ویژگی ها هستند که شامل نام میزبان، آدرس IP و مکان است.

مجموعه ای از ویژگی های موجود برای هر نوع شی خاص، طرحواره نامیده می شود. کلاس های شی را از یکدیگر متمایز می کند. اطلاعات طرحواره در واقع در Active Directory ذخیره می شود. اینکه این رفتار پروتکل امنیتی بسیار مهم است این واقعیت است که این طرح به مدیران اجازه می‌دهد تا ویژگی‌هایی را به کلاس‌های شی اضافه کنند و آنها را در شبکه در تمام گوشه‌های دامنه بدون راه‌اندازی مجدد کنترل‌کننده‌های دامنه توزیع کنند.

ظرف LDAP و نام

کانتینر نوع خاصی از شی است که برای سازماندهی عملیات یک سرویس استفاده می شود. این یک موجودیت فیزیکی مانند یک کاربر یا یک سیستم را نشان نمی دهد. در عوض، برای گروه بندی عناصر دیگر استفاده می شود. اشیاء کانتینری را می توان در کانتینرهای دیگر تودرتو کرد.

هر عنصر در AD یک نام دارد. اینها آنهایی نیستند که شما به آنها عادت دارید، مثلاً ایوان یا اولگا. اینها اسامی متمایز LDAP هستند. نام‌های متمایز LDAP دشوار هستند، اما به شما این امکان را می‌دهند که هر شیء را بدون در نظر گرفتن نوع آن، به‌طور منحصربه‌فرد شناسایی کنید.

درخت اصطلاح و وب سایت

درخت اصطلاح برای توصیف مجموعه ای از اشیاء در اکتیو دایرکتوری استفاده می شود. این چیه؟ به زبان ساده، این را می توان با استفاده از یک ارتباط درختی توضیح داد. هنگامی که ظروف و اشیاء به صورت سلسله مراتبی با هم ترکیب می شوند، تمایل به تشکیل شاخه دارند - از این رو نام آن. یک اصطلاح مرتبط، یک زیردرخت پیوسته است که به تنه اصلی شکسته نشده درخت اشاره دارد.

در ادامه استعاره، اصطلاح "جنگل" مجموعه‌ای را توصیف می‌کند که بخشی از فضای نام یکسان نیست، اما دارای یک طرح، پیکربندی و فهرست جهانی مشترک است. اشیاء در این ساختارها در صورت اجازه امنیت برای همه کاربران در دسترس هستند. سازمان هایی که به چندین دامنه تقسیم می شوند باید درختان را در یک جنگل واحد گروه بندی کنند.

سایت یک مکان جغرافیایی است که در Active Directory تعریف شده است. سایت‌ها با زیرشبکه‌های IP منطقی مطابقت دارند و به همین دلیل می‌توانند توسط برنامه‌ها برای یافتن نزدیک‌ترین سرور در شبکه استفاده شوند. استفاده از اطلاعات سایت از Active Directory می تواند ترافیک WAN را به میزان قابل توجهی کاهش دهد.

مدیریت اکتیو دایرکتوری

مولفه ورودی اکتیو دایرکتوری - کاربران. این راحت ترین ابزار برای مدیریت اکتیو دایرکتوری است. مستقیماً از گروه برنامه Administrative Tools در منوی Start قابل دسترسی است. این برنامه مدیر سرور و مدیر کاربر ویندوز NT 4.0 را جایگزین و بهبود می بخشد.


ایمنی

اکتیو دایرکتوری نقش مهمی در آینده شبکه های ویندوز ایفا می کند. مدیران باید بتوانند از دایرکتوری خود در برابر مزاحمان و کاربران محافظت کنند در حالی که وظایف را به مدیران دیگر محول می کنند. همه اینها با استفاده از مدل امنیتی Active Directory امکان پذیر است که یک لیست کنترل دسترسی (ACL) را با هر کانتینر و ویژگی شی در دایرکتوری مرتبط می کند.

سطح بالای کنترل به یک مدیر اجازه می دهد تا به کاربران و گروه های فردی سطوح مختلف مجوز بر روی اشیاء و ویژگی های آنها را اعطا کند. آنها حتی می توانند ویژگی هایی را به اشیاء اضافه کنند و آن ویژگی ها را از گروه های کاربری خاصی پنهان کنند. برای مثال، می‌توانید ACL را طوری تنظیم کنید که فقط مدیران بتوانند تلفن‌های خانگی دیگر کاربران را مشاهده کنند.

مدیریت تفویض شده

یک مفهوم جدید برای سرور ویندوز 2000 مدیریت تفویض شده است. این به شما امکان می دهد بدون اعطای حقوق دسترسی اضافی، وظایفی را به سایر کاربران اختصاص دهید. مدیریت تفویض شده را می توان از طریق اشیاء خاص یا زیردرخت های دایرکتوری پیوسته اختصاص داد. این یک روش بسیار کارآمدتر برای اعطای مجوز در سراسر شبکه است.

AT مقصد برای شخصی با تمام حقوق مدیر دامنه جهانی، کاربر فقط می تواند مجوزهای یک زیردرخت خاص را دریافت کند. اکتیو دایرکتوری از وراثت پشتیبانی می کند، بنابراین هر شی جدید، ACL های کانتینر خود را به ارث می برد.

اصطلاح "اعتماد"

اصطلاح "اعتماد" هنوز استفاده می شود اما عملکردهای متفاوتی دارد. هیچ تفاوتی بین تراست های یک جانبه و دوجانبه وجود ندارد. پس از همه، تمام تراست های Active Directory دو طرفه هستند. علاوه بر این، همه آنها گذرا هستند. بنابراین، اگر دامنه A به دامنه B، و B به C اعتماد کند، یک رابطه اعتماد ضمنی خودکار بین دامنه A و دامنه C وجود دارد.

حسابرسی در اکتیو دایرکتوری - به عبارت ساده چیست؟ این یک ویژگی امنیتی است که به شما امکان می دهد تعیین کنید چه کسی سعی در دسترسی به اشیا دارد، و همچنین میزان موفقیت این تلاش را تعیین کنید.

استفاده از DNS (سیستم نام دامنه)

این سیستم که با نام دیگر DNS شناخته می شود، برای هر سازمانی که به اینترنت متصل است ضروری است. DNS تفکیک نام را بین نام‌های رایج مانند mspress.microsoft.com و آدرس‌های IP خامی که اجزا استفاده می‌کنند ارائه می‌کند. لایه شبکهبرای ارتباط

اکتیو دایرکتوری به طور گسترده از فناوری DNS برای جستجوی اشیا استفاده می کند. این یک تغییر قابل توجه نسبت به عملیات قبلی است سیستم های ویندوز، که نیاز به حل نام های NetBIOS توسط آدرس های IP دارند و به WINS یا سایر تکنیک های تشخیص نام NetBIOS متکی هستند.

اکتیو دایرکتوری زمانی که با سرورهای DNS دارای ویندوز 2000 استفاده می شود بهترین عملکرد را دارد. مایکروسافت مهاجرت به سرورهای DNS ویندوز 2000 را با ارائه جادوگران مهاجرت که سرپرست را در طول فرآیند هدایت می کند، آسان کرده است.

ممکن است از سایر سرورهای DNS استفاده شود. با این حال، در این مورد، مدیران باید زمان بیشتری را برای مدیریت پایگاه داده های DNS صرف کنند. تفاوت های ظریف چیست؟ اگر ترجیح می دهید از سرورهای DNS ویندوز 2000 استفاده نکنید، باید مطمئن شوید که سرورهای DNS شما با پروتکل جدید DNS Dynamic Update مطابقت دارند. سرورها برای یافتن کنترلرهای دامنه به به روز رسانی پویا سوابق خود متکی هستند. راحت نیست. پس از همه، eاگر به روز رسانی پویا پشتیبانی نمی شود، پایگاه های داده باید به صورت دستی به روز شوند.

دامنه های ویندوز و دامنه های اینترنتی اکنون کاملاً سازگار هستند. به عنوان مثال، نامی مانند mspress.microsoft.com کنترل کننده های دامنه Active Directory مسئول دامنه را شناسایی می کند، بنابراین هر کلاینت با دسترسی DNS می تواند کنترل کننده دامنه را پیدا کند.کلاینت‌ها می‌توانند از وضوح DNS برای جستجوی هر تعداد سرویس استفاده کنند، زیرا سرورهای Active Directory فهرستی از آدرس‌های DNS را با استفاده از ویژگی‌های به‌روزرسانی پویا جدید منتشر می‌کنند. این داده به عنوان یک دامنه تعریف شده و از طریق سوابق منابع خدمات منتشر می شود. SRV RR فرمت را دنبال کنید service.protocol.domain.

سرورهای Active Directory یک سرویس LDAP را برای میزبانی یک شی ارائه می دهند و LDAP از TCP به عنوان پروتکل لایه انتقال زیرین استفاده می کند. بنابراین، کلاینتی که یک سرور Active Directory را در دامنه mspress.microsoft.com جستجو می کند، یک ورودی DNS برای ldap.tcp.mspress.microsoft.com جستجو می کند.

فهرست جهانی

اکتیو دایرکتوری یک کاتالوگ جهانی (GC) ویک منبع واحد برای جستجوی هر شی در شبکه سازمان فراهم می کند.

کاتالوگ جهانی سرویسی در سرور ویندوز 2000 است که به کاربران امکان می دهد هر شیئی را که به آن دسترسی داده شده است بیابند. این قابلیت بسیار فراتر است برنامه های کاربردی را پیدا کنیدکامپیوتر موجود در نسخه های قبلیپنجره ها. پس از همه، کاربران می توانند هر شی را در Active Directory جستجو کنند: سرورها، چاپگرها، کاربران و برنامه ها.

Active Directory - یک سرویس دایرکتوری قابل توسعه و مقیاس پذیر Active Directory (Active Directory) به شما امکان می دهد منابع شبکه را به طور موثر مدیریت کنید.
اکتیو دایرکتورییک مخزن سازمان یافته به صورت سلسله مراتبی از داده های مربوط به اشیاء شبکه است که ابزار مناسبی برای یافتن و استفاده از این داده ها فراهم می کند. کامپیوتری که اکتیو دایرکتوری را اجرا می کند، کنترل کننده دامنه نامیده می شود. تقریباً تمام وظایف اداری مربوط به Active Directory است.
فناوری اکتیو دایرکتوری مبتنی بر پروتکل های استاندارد اینترنت است و به تعریف واضح ساختار شبکه کمک می کند، در جزئیات بیشتر نحوه استقرار دامنه اکتیو دایرکتوری از ابتدا، اینجا را بخوانید.

اکتیو دایرکتوری و DNS

اکتیو دایرکتوری از سیستم نام دامنه استفاده می کند.

مدیریت اکتیو دایرکتوری

با استفاده از سرویس اکتیو دایرکتوری، حساب های کامپیوتری ایجاد می شوند، به دامنه متصل می شوند و کامپیوترها، کنترل کننده های دامنه و واحدهای سازمانی (OU) مدیریت می شوند.

ابزارهای مدیریت و پشتیبانی برای مدیریت اکتیو دایرکتوری ارائه شده است. ابزارهای فهرست شده در زیر به عنوان اسنپ‌این MMC (کنسول مدیریت مایکروسافت) پیاده‌سازی می‌شوند:

  • اکتیو دایرکتوری - کاربران و رایانه ها (کاربران و رایانه های اکتیو دایرکتوری) به شما امکان می دهد کاربران، گروه ها، رایانه ها و واحدهای سازمانی (OD) را مدیریت کنید.
  • Active Directory - domains and trust (Active Directory Domains and Trusts) برای کار با دامنه ها، درختان دامنه و جنگل های دامنه استفاده می شود.
  • Active Directory - سایت ها و خدمات (Active Directory Sites and Services) به شما امکان مدیریت سایت ها و زیرشبکه ها را می دهد.
  • مجموعه سیاست های نتیجه برای مشاهده خط مشی کاربر یا سیستم فعلی و برنامه ریزی تغییرات خط مشی استفاده می شود.
  • در سرور مایکروسافت ویندوز 2003، می‌توانید مستقیماً از منوی ابزارهای مدیریتی به این فایل‌های فوری دسترسی داشته باشید.

ابزار مدیریتی دیگر - Active Directory Schema snap-in - به شما این امکان را می دهد که طرح دایرکتوری را مدیریت و تغییر دهید.

ابزارهای خط فرمان Active Directory

برای مدیریت اشیاء اکتیو دایرکتوری، ابزارهای خط فرمان وجود دارد که به شما امکان می دهد طیف گسترده ای از وظایف اداری را انجام دهید:

  • DSADD - رایانه ها، مخاطبین، گروه ها، OP ها و کاربران را به Active Directory اضافه می کند.
  • DSGET - ویژگی های رایانه ها، مخاطبین، گروه ها، PO ها، کاربران، سایت ها، زیرشبکه ها و سرورهای ثبت شده در Active Directory را نمایش می دهد.
  • DSMOD - ویژگی های رایانه ها، مخاطبین، گروه ها، PO ها، کاربران و سرورهای ثبت شده در Active Directory را تغییر می دهد.
  • DSMOVE - یک شی واحد را به یک مکان جدید در یک دامنه منتقل می کند، یا یک شی را بدون جابجایی آن تغییر نام می دهد.
  • DSQXJERY - رایانه ها، مخاطبین، گروه ها، OP ها، کاربران، سایت ها، زیرشبکه ها و سرورها را در Active Directory بر اساس معیارهای مشخص شده جستجو می کند.
  • DSRM - یک شی را از اکتیو دایرکتوری حذف می کند.
  • NTDSUTIL - به شما امکان می دهد اطلاعات سایت، دامنه یا سرور را مشاهده کنید، Masters Operations را مدیریت کنید و پایگاه داده Active Directory را نگهداری کنید.

من که از درون با کسب و کارهای کوچک آشنا هستم، همیشه به سوالات زیر علاقه مند بوده ام. توضیح دهید چرا کارمند باید از مرورگری که مدیر سیستم دوست دارد در رایانه محل کار استفاده کند؟ یا هر نرم افزار دیگه ای مثلا همون آرشیو بگیر سرویس گیرنده پست الکترونیکی، یک مشتری پیام فوری ... من به راحتی به استانداردسازی اشاره می کنم و نه بر اساس دلسوزی شخصی مدیر سیستم، بلکه بر اساس کافی بودن عملکرد، هزینه نگهداری و پشتیبانی از این موارد محصولات نرم افزاری. بیایید شروع کنیم به در نظر گرفتن فناوری اطلاعات به عنوان یک علم دقیق، نه یک کاردستی، زمانی که هر کسی هر کاری که می تواند انجام دهد. باز هم، مشکلات زیادی در این زمینه در مشاغل کوچک نیز وجود دارد. تصور کنید که یک شرکت در حال تغییر چندین مدیر این چنینی در یک زمان سخت بحرانی است، کاربران ضعیف در چنین شرایطی چه باید بکنند؟ به طور مداوم دوباره یاد بگیریم؟

بیایید از آن طرف نگاه کنیم. هر رهبر باید درک کند که اکنون در شرکت (از جمله در فناوری اطلاعات) چه اتفاقی می افتد. این برای نظارت بر وضعیت فعلی، برای پاسخ سریع به ظهور انواع مختلف مشکلات ضروری است. اما این درک برای برنامه ریزی استراتژیک اهمیت بیشتری دارد. در واقع، با داشتن یک پایه قوی و قابل اعتماد، می توانیم خانه ای در 3 یا 5 طبقه بسازیم، سقفی به اشکال مختلف بسازیم، بالکن یا باغ زمستانی بسازیم. به طور مشابه، در فناوری اطلاعات، ما یک پایه محکم داریم - می توانیم به استفاده از محصولات و فناوری های پیچیده تر برای حل مشکلات تجاری ادامه دهیم.

در مقاله اول، ما در مورد چنین پایه ای صحبت خواهیم کرد - خدمات Active Directory. آنها به گونه ای طراحی شده اند که به یک پایه قوی برای زیرساخت فناوری اطلاعات یک شرکت با هر اندازه و هر رشته تجاری تبدیل شوند. آن چیست؟ بیا اینجا در موردش صحبت کنیم...

و اجازه دهید گفتگو را با مفاهیم ساده - دامنه و خدمات اکتیو دایرکتوری آغاز کنیم.

دامنهواحد اداری اصلی در زیرساخت شبکه یک شرکت است که شامل تمام اشیاء شبکه مانند کاربران، کامپیوترها، چاپگرها، اشتراک‌ها و غیره است. مجموعه چنین دامنه هایی را جنگل می گویند.

خدمات اکتیو دایرکتوری (خدمات اکتیو دایرکتوری) یک پایگاه داده توزیع شده است که شامل تمام اشیاء دامنه است. محیط دامنه Active Directory یک نقطه واحد برای احراز هویت و مجوز برای کاربران و برنامه های کاربردی در سراسر سازمان است. با سازماندهی دامنه و استقرار خدمات اکتیو دایرکتوری است که ساخت زیرساخت فناوری اطلاعات شرکت آغاز می شود.

پایگاه داده Active Directory بر روی سرورهای اختصاصی - کنترل کننده های دامنه ذخیره می شود. Active Directory Services یک نقش اتاق عمل سرور است. سیستم های مایکروسافتسرور ویندوز Active Directory Services بسیار مقیاس پذیر است. بیش از 2 میلیارد شی را می توان در جنگل اکتیو دایرکتوری ایجاد کرد که امکان پیاده سازی یک سرویس دایرکتوری را در شرکت هایی با صدها هزار رایانه و کاربر فراهم می کند. ساختار سلسله مراتبی دامنه‌ها به شما این امکان را می‌دهد که زیرساخت‌های فناوری اطلاعات خود را به‌طور انعطاف‌پذیری در تمام شعب و بخش‌های منطقه‌ای شرکت‌ها مقیاس کنید. برای هر شعبه یا بخش شرکت می توان یک دامنه مجزا با خط مشی ها، کاربران و گروه های خاص خود ایجاد کرد. برای هر دامنه فرزند، اختیارات اداری را می توان به مدیران سیستم محلی تفویض کرد. در عین حال، دامنه های فرزند همچنان تابع دامنه های والد هستند.

علاوه بر این، خدمات اکتیو دایرکتوری به شما اجازه می دهد تا روابط اعتماد بین جنگل های دامنه را تنظیم کنید. هر شرکت دارای جنگل دامنه های خاص خود است که هر کدام منابع خاص خود را دارند. اما گاهی اوقات ممکن است لازم باشد دسترسی به منابع شرکتی خود را برای کارمندان یک شرکت دیگر فراهم کنید - کار با اسناد و برنامه های مشترک به عنوان بخشی از یک پروژه مشترک. برای انجام این کار، می توان روابط اعتماد بین جنگل های سازمان ها ایجاد کرد که به کارکنان یک سازمان اجازه می دهد تا به دامنه سازمان دیگر وارد شوند.

برای ارائه تحمل خطا برای خدمات اکتیو دایرکتوری، باید دو یا چند کنترلر دامنه را در هر دامنه مستقر کنید. همه تغییرات به طور خودکار بین کنترلرهای دامنه تکرار می شود. در صورت خرابی یکی از کنترل کننده های دامنه، شبکه تحت تأثیر قرار نمی گیرد، زیرا بقیه به کار خود ادامه می دهند. یک لایه انعطاف‌پذیری اضافی با میزبانی سرورهای DNS بر روی کنترل‌کننده‌های دامنه در اکتیو دایرکتوری ارائه می‌شود که به هر دامنه اجازه می‌دهد چندین سرور DNS داشته باشد که به منطقه دامنه اصلی سرویس می‌دهند. و اگر یکی از سرورهای DNS از کار بیفتد، بقیه به کار خود ادامه خواهند داد. در یکی از مقالات این مجموعه در مورد نقش و اهمیت سرورهای DNS در زیرساخت فناوری اطلاعات صحبت خواهیم کرد.

اما اینها همه جنبه های فنی پیاده سازی و نگهداری خدمات اکتیو دایرکتوری هستند. بیایید در مورد مزایای یک شرکت با دور شدن از شبکه های همتا به همتا با استفاده از گروه های کاری صحبت کنیم.

1. یک نقطه از احراز هویت

در یک گروه کاری روی هر کامپیوتر یا سرور، باید به صورت دستی لیست کاملی از کاربرانی که نیاز به دسترسی به شبکه دارند اضافه کنید. اگر ناگهان یکی از کارمندان بخواهد رمز عبور خود را تغییر دهد، باید آن را در تمام رایانه ها و سرورها تغییر دهید. خوب، اگر شبکه از 10 کامپیوتر تشکیل شده باشد، اما اگر تعداد آنها بیشتر باشد؟ هنگام استفاده از دامنه اکتیو دایرکتوری، همه حساب های کاربری در یک پایگاه داده ذخیره می شوند و همه رایانه ها برای مجوز به آن دسترسی دارند. همه کاربران دامنه در گروه های مناسب قرار می گیرند، به عنوان مثال، "حسابداری"، "بخش مالی". کافی است یک بار مجوز برای گروه های خاص تنظیم شود و همه کاربران دسترسی مناسب به اسناد و برنامه ها را دریافت کنند. اگر شرکت بیاید کارمند جدید، یک حساب برای او ایجاد می شود که در گروه مربوطه قرار می گیرد - کارمند به تمام منابع شبکه که باید به او اجازه دسترسی داشته باشد دسترسی پیدا می کند. اگر کارمندی استعفا دهد، کافی است مسدود شود - و بلافاصله دسترسی به تمام منابع (رایانه ها، اسناد، برنامه ها) را از دست خواهد داد.

2. نقطه واحد مدیریت سیاست

در یک گروه کاری، همه رایانه ها برابر هستند. هیچ یک از رایانه ها نمی توانند دیگری را کنترل کنند، کنترل انطباق با سیاست های یکسان و قوانین امنیتی غیرممکن است. هنگام استفاده از یک دایرکتوری اکتیو دایرکتوری، همه کاربران و رایانه ها به صورت سلسله مراتبی در واحدهای سازمانی توزیع می شوند که هر یک از آنها تابع خط مشی های گروهی یکسانی هستند. خط‌مشی‌ها به شما امکان می‌دهند تنظیمات و تنظیمات امنیتی یکسانی را برای گروهی از رایانه‌ها و کاربران تنظیم کنید. هنگامی که یک رایانه یا کاربر جدید به دامنه اضافه می شود، به طور خودکار تنظیماتی را دریافت می کند که مطابق با استانداردهای پذیرفته شده شرکت است. با کمک سیاست‌ها، می‌توانید کاربران را به صورت متمرکز اختصاص دهید چاپگرهای شبکه، برنامه های مورد نیاز را نصب کنید، تنظیمات امنیتی مرورگر را تنظیم کنید، پیکربندی کنید برنامه های کاربردی مایکروسافتدفتر.

3. افزایش سطح امنیت اطلاعات

استفاده از سرویس های Active Directory امنیت شبکه را تا حد زیادی بهبود می بخشد. اولا، این یک ذخیره سازی واحد و ایمن است حساب ها. در یک محیط دامنه، تمام رمزهای عبور کاربران دامنه بر روی سرورهای اختصاصی، کنترل کننده های دامنه، که معمولاً از دسترسی خارجی محافظت می شوند، ذخیره می شوند. ثانیا، هنگام استفاده از یک محیط دامنه، از پروتکل Kerberos برای احراز هویت استفاده می شود که بسیار امن تر از NTLM مورد استفاده در گروه های کاری است.

4. یکپارچه سازی با برنامه های کاربردی و تجهیزات شرکت

مزیت بزرگ خدمات Active Directory مطابقت با استاندارد LDAP است که توسط سایر سیستم ها مانند سرورهای پست (Exchange Server)، سرورهای پروکسی (ISA Server، TMG) ​​پشتیبانی می شود. و این لزوما فقط محصولات مایکروسافت نیست. مزیت این ادغام این است که کاربر برای دسترسی به یک برنامه خاص نیازی به به خاطر سپردن تعداد زیادی لاگین و رمز عبور ندارد، در همه برنامه ها کاربر دارای اعتبار یکسانی است - احراز هویت او در یک دایرکتوری Active Directory انجام می شود. Windows Server یکپارچه سازی Active Directory با پروتکل RADIUS را فراهم می کند که توسط طیف گسترده ای از تجهیزات شبکه پشتیبانی می شود. بنابراین، به عنوان مثال، امکان تأیید اعتبار کاربران دامنه هنگام اتصال از طریق VPN از خارج، با استفاده از نقاط اتصال وای فایدسترسی به شرکت

5. Unified Application Configuration Store

برخی از برنامه ها پیکربندی خود را در اکتیو دایرکتوری ذخیره می کنند، مانند Exchange Server. استقرار سرویس دایرکتوری اکتیو دایرکتوری یک پیش نیاز برای کار این برنامه ها است. ذخیره سازی پیکربندی برنامه در یک سرویس دایرکتوری از نظر انعطاف پذیری و قابلیت اطمینان مفید است. به عنوان مثال، در صورت خرابی کامل سرور Exchange، کل پیکربندی آن دست نخورده باقی می ماند. برای بازیابی عملکرد پست شرکتی، نصب مجدد Exchange Server در حالت بازیابی کافی است.

به طور خلاصه، من می خواهم یک بار دیگر بر این واقعیت تمرکز کنم که خدمات Active Directory قلب زیرساخت فناوری اطلاعات یک سازمان است. در صورت خرابی، کل شبکه، همه سرورها، کار همه کاربران فلج می شود. هیچ کس نمی تواند وارد رایانه شود، به اسناد و برنامه های خود دسترسی داشته باشد. بنابراین، سرویس دایرکتوری باید با در نظر گرفتن تمام تفاوت های ظریف ممکن، به دقت طراحی و مستقر شود، به عنوان مثال، پهنای باندکانال های بین شعب یا دفاتر شرکت (سرعت ورود کاربران به سیستم و همچنین تبادل داده بین کنترل کننده های دامنه مستقیماً به این بستگی دارد).

در مقاله‌های قبلی، در مورد مسائل رایج مربوط به خدمات دایرکتوری و اکتیو دایرکتوری صحبت کرده‌ایم. حالا وقت آن است که به تمرین بروید. اما برای اجرا به سرور عجله نکنید، قبل از استقرار ساختار دامنه در شبکه خود، باید آن را برنامه ریزی کنید و ایده روشنی از هدف داشته باشید. سرورهای فردیو تعاملات بین آنها

قبل از ایجاد اولین کنترلر دامنه خود، باید در مورد نحوه عملکرد آن تصمیم بگیرید. حالت عملکرد ویژگی های موجود را تعیین می کند و به نسخه برنامه مورد استفاده بستگی دارد. سیستم عامل. ما همه حالت های ممکن را در نظر نخواهیم گرفت، به جز مواردی که در حال حاضر مرتبط هستند. سه حالت وجود دارد: Windows Server 2003، 2008 و 2008 R2.

حالت Windows Server 2003 فقط زمانی باید انتخاب شود که سرورهای این سیستم عامل قبلاً در زیرساخت شما مستقر شده باشند و شما قصد دارید از یک یا چند مورد از این سرورها به عنوان کنترل کننده دامنه استفاده کنید. در موارد دیگر، بسته به مجوزهای خریداری شده، باید حالت Windows Server 2008 یا 2008 R2 را انتخاب کنید. لازم به یادآوری است که حالت عملکرد دامنه را همیشه می توان افزایش داد، اما کاهش آن امکان پذیر نخواهد بود (به جز با بازیابی از یک نسخه پشتیبان)، بنابراین با در نظر گرفتن برنامه های افزودنی احتمالی، مجوزها در شعب و غیره به این موضوع دقت کنید. . و غیره.

اکنون روند ایجاد یک دامین کنترلر را با جزئیات بررسی نمی کنیم، بعداً به این موضوع باز خواهیم گشت، اما اکنون می خواهیم توجه شما را به این واقعیت جلب کنیم که در ساختار کامل Active Directory کنترل کننده های دامنه باید وجود داشته باشد. حداقل دو. در غیر این صورت، شما خود را در معرض خطر غیرضروری قرار می دهید، زیرا در صورت خرابی یک کنترل کننده دامنه، ساختار AD شما به طور کامل نابود شده است. خوب است اگر یک نسخه پشتیبان به روز وجود داشته باشد و بتوانید از آن بازیابی کنید، در هر صورت در تمام این مدت شبکه شما کاملاً فلج می شود.

بنابراین، بلافاصله پس از ایجاد اولین کنترل کننده دامنه، بدون در نظر گرفتن اندازه و بودجه شبکه، باید دومین کنترلر را مستقر کنید. دومین کنترلر باید در مرحله برنامه ریزی ارائه شود و بدون آن، استقرار AD حتی ارزش انجام آن را ندارد. همچنین، نقش کنترل کننده دامنه را با هیچ نقش سرور دیگری ترکیب نکنید، به منظور اطمینان از قابلیت اطمینان عملیات با پایگاه داده AD، ذخیره ذخیره سازی روی دیسک غیرفعال است که منجر به افت شدید عملکرد دیسک می شود. زیر سیستم (این توضیح می دهد و بارگذاری طولانیکنترل کننده های دامنه).

در نتیجه، شبکه ما باید به شکل زیر باشد:

برخلاف تصور رایج، همه کنترل‌کننده‌ها در یک دامنه برابر هستند. هر کنترل کننده شامل اطلاعات کاملدر مورد تمام اشیاء دامنه و می تواند یک درخواست مشتری را ارائه دهد. اما این بدان معنا نیست که کنترلرها قابل تعویض هستند، درک نادرست این نکته اغلب منجر به خرابی AD و خرابی شبکه سازمانی می شود. چرا این اتفاق می افتد؟ وقت آن است که نقش FSMO را به یاد بیاوریم.

هنگامی که اولین کنترلر را ایجاد می کنیم، شامل تمام نقش های موجود می شود و همچنین یک کاتالوگ جهانی است که با ظهور دومین کنترلر، نقش های اصلی زیرساخت، مستر RID و شبیه ساز PDC به آن منتقل می شود. اگر مدیر تصمیم بگیرد به طور موقت سرور DC1 را غیرفعال کند، مثلاً آن را از گرد و غبار پاک کند، چه اتفاقی می افتد؟ در نگاه اول، اشکالی ندارد، خب، دامنه به حالت «فقط خواندنی» تغییر می کند، اما کار می کند. اما ما کاتالوگ جهانی را فراموش کرده‌ایم و اگر برنامه‌هایی که به آن نیاز دارند، مانند Exchange، در شبکه شما مستقر هستند، قبل از اینکه پوشش را از سرور حذف کنید، در مورد آن مطلع خواهید شد. شما از کاربران ناراضی یاد می گیرید و بعید است که مدیریت خوشحال شود.

که از آن نتیجه به دست می آید: باید حداقل دو کاتالوگ جهانی در جنگل وجود داشته باشد و از همه بهتر، یک کاتالوگ در هر دامنه. از آنجایی که ما یک دامنه در جنگل داریم، هر دو سرور باید دایرکتوری های جهانی باشند، این به شما امکان می دهد بدون هیچ مشکلی هر یک از سرورها را برای نگهداری استفاده کنید، عدم وجود موقت هر نقش FSMO منجر به خرابی AD نمی شود، بلکه فقط باعث می شود آن را تعمیر کنید. ایجاد اشیاء جدید غیرممکن است.

به عنوان یک مدیر دامنه، باید به وضوح درک کنید که نقش های FSMO چگونه بین سرورهای شما توزیع می شود و هنگام از کار انداختن یک سرور برای مدت طولانی، این نقش ها را به سرورهای دیگر منتقل کنید. و اگر سرور حاوی نقش های FSMO به طور غیرقابل برگشتی از کار بیفتد چه اتفاقی می افتد؟ اشکالی ندارد، همانطور که قبلاً نوشتیم، هر کنترل کننده دامنه حاوی تمام اطلاعات لازم است، و اگر چنین مزاحمتی رخ دهد، باید نقش های لازم را توسط یکی از کنترلرها ضبط کنید، این کار عملکرد کامل سرویس دایرکتوری را بازیابی می کند. .

زمان می گذرد، سازمان شما رشد می کند و شعبه ای در آن سوی شهر دارد و لازم است که شبکه آنها را در زیرساخت کلی شرکت قرار دهید. در نگاه اول، هیچ چیز پیچیده ای نیست، شما یک کانال ارتباطی بین دفاتر راه اندازی می کنید و یک کنترل کننده اضافی را در آن قرار می دهید. همه چیز خوب خواهد بود، اما یک چیز وجود دارد. شما نمی توانید این سرور را کنترل کنید و بنابراین دسترسی غیرمجاز به آن امکان پذیر است و ادمین محلی شما را به صلاحیت او شک می کند. چگونه در چنین شرایطی قرار بگیریم؟ برای این منظور، نوع خاصی از کنترلر به طور خاص وجود دارد: کنترل کننده دامنه فقط خواندنی (RODC), عملکرد داده شدهدر حالت‌های کاربردی دامنه از Windows Server 2008 به بعد موجود است.

یک کنترل کننده دامنه فقط خواندنی حاوی یک کپی کامل از تمام اشیاء دامنه است و می تواند یک کاتالوگ جهانی باشد، اما به شما اجازه نمی دهد که هیچ تغییری در ساختار AD ایجاد کنید، همچنین به شما امکان می دهد هر کاربری را به عنوان مدیر محلی منصوب کنید، که به او اجازه دهید تا به طور کامل خدمت کند سرور داده شده، اما دوباره بدون دسترسی به خدمات AD. در مورد ما این چیزی است که دکتر دستور داده است.

ما در شعبه RODC راه اندازی کردیم، همه چیز کار می کند، شما آرام هستید، اما کاربران شروع به شکایت از ورود طولانی مدت می کنند و قبوض ترافیک در پایان ماه بیش از حد نشان می دهد. چه اتفاقی می افتد؟ زمان آن رسیده است که یک بار دیگر در مورد معادل سازی کنترل کننده های دامنه به یاد بیاوریم، مشتری می تواند درخواست خود را به هر کنترل کننده دامنه، حتی در شعبه دیگر، ارسال کند. کانال ارتباطی کند و به احتمال زیاد شلوغ را در نظر بگیرید - این دلیل تاخیر ورود است.

عامل بعدی که در این شرایط زندگی ما را مسموم می کند تکرار است. همانطور که می دانید تمام تغییرات ایجاد شده بر روی یکی از کنترلرهای دامنه به طور خودکار به دیگران منتقل می شود و به این فرآیند Replication گفته می شود که به شما این امکان را می دهد که یک کپی به روز و ثابت از داده های هر کنترلر داشته باشید. سرویس Replication از شعبه ما و کانال ارتباطی کند اطلاعی ندارد و بنابراین تمام تغییرات در دفتر بلافاصله به شعبه تکرار می شود و کانال را بارگیری می کند و مصرف ترافیک را افزایش می دهد.

در اینجا به مفهوم سایت های AD نزدیک می شویم که نباید با سایت های اینترنتی اشتباه گرفته شود. سایت های اکتیو دایرکتورینشان دهنده روشی برای تقسیم فیزیکی ساختار یک سرویس دایرکتوری به مناطقی است که با پیوندهای آهسته و/یا ناپایدار از مناطق دیگر جدا شده اند. سایت ها بر اساس زیرشبکه ها ایجاد می شوند و تمام درخواست های مشتری ابتدا برای کنترل کننده های سایت آنها ارسال می شود، همچنین وجود یک کاتالوگ جهانی در هر سایت بسیار مطلوب است. در مورد ما، باید دو سایت ایجاد کنیم: سایت AD 1برای دفتر مرکزی و سایت AD 2برای یک شاخه، به طور دقیق تر، زیرا به طور پیش فرض ساختار AD قبلاً حاوی یک سایت است که شامل تمام اشیاء ایجاد شده قبلی است. حال بیایید ببینیم که چگونه Replication در یک شبکه با چندین سایت انجام می شود.

ما فرض می کنیم که سازمان ما کمی رشد کرده است و دفتر اصلی دارای چهار کنترل کننده دامنه است، تکرار بین کنترل کننده های یک سایت نامیده می شود. داخل سایتو فورا اتفاق می افتد. توپولوژی تکرار بر اساس طرح حلقه با این شرط ساخته می شود که بیش از سه مرحله تکرار بین هر کنترل کننده دامنه وجود نداشته باشد. طرح حلقه تا 7 کنترلر ذخیره می شود، هر کنترل کننده با دو همسایه نزدیک ارتباط برقرار می کند، با تعداد بیشتری از کنترلرها، اتصالات اضافی ظاهر می شود و حلقه مشترک، همانطور که بود، به گروهی از حلقه ها تبدیل می شود که روی یکدیگر قرار گرفته اند.

بین سایت Replication به صورت متفاوتی اتفاق می افتد، در هر دامنه یکی از سرورها (سرور پل) به طور خودکار انتخاب می شود که با سرور مشابه سایت دیگری ارتباط برقرار می کند. به طور پیش فرض، تکرار هر 3 ساعت (180 دقیقه) یک بار اتفاق می افتد، با این حال، ما می توانیم برنامه تکرار خود را تنظیم کنیم و برای صرفه جویی در ترافیک، تمام داده ها به صورت فشرده منتقل می شوند. اگر فقط یک RODC در یک سایت وجود داشته باشد، تکرار به صورت یک طرفه اتفاق می افتد.

البته موضوعاتی که به آنها پرداختیم بسیار عمیق هستند و در این مطالب فقط کمی به آنها پرداختیم، اما این حداقل دانش لازم است که قبل از اجرای عملی اکتیو دایرکتوری در زیرساخت سازمانی باید داشته باشید. این امر از اشتباهات احمقانه در هنگام استقرار و شرایط اضطراری در حین نگهداری و گسترش سازه جلوگیری می کند و هر یک از موضوعات مطرح شده با جزئیات بیشتری مورد بحث قرار خواهد گرفت.