مدیریت سایت ها در اکتیو دایرکتوری (Active Directory Site and Service)

در صورت تمایل میتوانید برای آشنایی مفاهیم اکتیو دایرکتوری بخش اول و بخش دوم ،روی لینک ها کیلیک و مطالعه کنید.

 تقسیم بندی فیزیکی سرویس اکتیو دایرکتوری (Physical Infrastructure) فقط شامل Site است. تصور کنید که ما یک ساختمان داریم که در تهران است و در این ساختمان دومین اکتیو دایرکتوری را در این ساختمان نصب کردیم (IT.COM) که دوتا هم DC دارد به نام های DC1 و DC2 . یک ساختمان هم در کرج داریم و یک سری از کارمندان هم در آنجا هستند. این دوتا ساختمات با یک خط WAN به هم متصل شده اند (خطی با پهنای باند 4mbps). User هایی که در کرج هستند عضو دومین IT.COM هستند. حالا اگر در کرج یک نفر بخواهد لاگین کند باید Username و Password را کجا باید بفرستد؟ باید از خط WAN بفرستد به تهران سراغ DC1 یا DC2 .  برای اینکه یک User بخواهد از کرج بیاد تهران لاگین کندعیب بزرگی  وجود دارد این است که Overhead پهنای باند WAN داریم ما. فقط مسئله ی لاگین کردن و تیکت صادر کردن نیست و ما بعدا یاد خواهیم گرفت از طریق اکتیو دایرکتوری بخواهیم اپلیکیشن نصب کنیم. مثلا  User که Login کرد نرم افزار اتوماسیون اداری برایش نصب شود. طبیعتا در این مثال این کار از طریق خط WAN انجام میشود و این اصلا خوب نیست.

در اینجا دلیلی وجود ندارد که بخواهیم یک دومین جدید درست کنیم. پس تا اینجای کار مشکل ما روی WAN و پهنای باند است. برای اینکه بخواهیم لاگین کردن و دیگر کارهای مربوط به Active Directory در همان کرج انجام شود و از خط WAN استفاده نشود طبیعی است که باید یک DC دیگر در کرج راه اندازی کنیم (DC3). حالا یک کاربر بخواهد لاگین کند Username و Password را برای کی میفرستد؟ برای DC های آن Domain (نه الزاما DC3) که الان دومین IT سه تا DC دارد. تقریبا 33 درصد احتمال دارد که کاربران با DC3 لاگین کنند. پس 33 درصد کمتر شد و بقیه احتمال دارد به DC1,2 مراجعه کنند. حالا اگر دوتا DC بگذاریم چی؟ (در کنار DC3 ، DC4 هم بگذاریم در کرج). باز احتمال اینکه از خط Wan استفاده کنند و به سمت DC1,2 بروند کمتر میشود. اما باز 50 درصد User ها احتمالش هست برن تهران. پس باز هم خوب نیست. چون همانقدری که احتمال دارد کاربری که در کرج هست با DC3,4 لاگین کند احتمال دارد با DC1,2 لاگین کند. حالا Challenge بعدی این است: DC ها برای اینکه بخواهند با همدیگر Sync بشوند باید مدام با همدیگر Replicate بکنند.

• DC های داخل هر Site هر 15 ثانیه یکبار با هم دیگر Replicate میکنند.

پس حالا میبینم که 50 درصد امکان داره از کرج به تهران  و 50 درصد از تهران به سمت DC ها کرج بروند و لاگین کنند. حالا در کنار این ها DC ها نیز باید مدام با همدیگر Replicate کنند و مشاهده میکنید که خط WAN هنوز هم بهینه نیست.

در اینجا باید  اکتیو دایرکتوری شما در دو نقطه ی جغرافیایی مجزا راه اندازی شده باشد. تهران DC ها 1,2 را دارد و کرج هم DC های 3,4 و تهران و کرج در دو نقطه ی جغرافیایی مجزا هستند. وقتی میگوییم دو نقطه ی جغرافیایی یعنی بینشان خط WAN است LAN نیست. پس DC های 3 و 4 میفهمند که دیگر هر 15 ثانیه یکبار با DC ها 1 و 2، Replicate نکنند.(1 و 2 هم میفهمند که هر 15 ثانیه یکبار با هم دیگر Replicate نکنند) در این شرایط بصورت پیش فرض هر سه ساعت یکبار Replicate میکنند.

• DC های بین دو site به صورت پیش فرض هر سه ساعت یکبار با همدیگر Replicate میکنند. مینیمم این زمان 15 دقیقه است و ماکزیمم یک هفته است.

برای این دو مورد دو اصطلاح Inter-Site Replication (بین سایتی) و Intra-Site Replication (داخل سایتی) استفاده میشود. زمان سه ساعت بین سایتی هم قابل تغییر است اما داخل سایتی تغییر نمیکند.

اتفاق دیگری که با Site می افتد این است که تمامی User هایی که در کرج اند میفهمند که در سایت کرج اند و برای لاگین تا جای امکان نباید سراغ DC ها 1 و 2 بروند مگر اینکه DC های سه و چهار نباشند و مجبور شوند به سراغ DC های یک و دو بروند. User های تهران هم به همین شکل. پس در نتیجه؛ User های هر سایت تا جای ممکن برای لاگین به DC های همان سایت مراجعه میکنند و DC های بین سایتی هم به جای هر 15 ثانیه هر سه ساعت یکبار Replicate میکنند. این کار به شدت در Performance خط WAN تاثیر میگذارد. برای اینکه همه ی این قضایا رو به اکتیو دایرکتوری بفهمانیم باید سایت درست کنیم.

حالا در این مرحله میخواهیم یاد بگیریم که چطور اکتیو دایرکتوری را نصب کنیم:

در ابتدا باید چند نکته را بدانیم:

 – تمامی سرورها باید IP استاتیک داشته باشند و برایشان تعریف کنیم.

 – پیشنهاد میشود قبل از نصب اکتیو دایرکتوری در صورتی که میخواهید اسم کامپپیوتر را  عوض کنید. اگرچه که میتوانید بعد از نصب اکتیو دایرکتوری هم این کار را بکنید، اما همیشه پیشگیری بهتر از درمان است.

 – چیزی که خیلی مهم است این است که اسم کامپیوترها باید خوب و قابل فهم باشند. ضمنا اسم DC ها نیز به  همین صورت. مثلا DC1 یا DC2 (نام روی امنیت تاثیری ندارد زیرا برای فهمیدن اینکه چه کسی DC است ساده ترین کار این است که روی کارت شبکه ببینیم IP  DNS چه چیزی است، همان DC است اما امکانش هم هست که نباشد باز میتوانیم از همان DNS با یک Command ساده بپرسیم که DC چه کسی است).

پس در ابتدایی ترین کار اسم کامپیوتر را تغییر میدهیم:

یک پروتکل به نام Kerbrous داریم . وقتی لاگین میکنیم  Username و Password میفرستید DC چک میکند و برای شما Ticket صادر میکند، همه ی این کارها توسط Kerbrous انجام میشود. Kerbrous پروتکل Authentication در Active Directory است.

Kerbrous میگه اگر Time کلاینت با Time، DC بیشتر از 5 دقیقه فرق داشته باشد احتمالا مشکلات امنیتی در کار است و هیچ کس نمیتواند Login بکند. این عدد قابل تنظیم است و 5 دقیقه میتواند تغییر کرد.

پس یکبار با دستور زیر نام کامپیوتر را چک میکنیم که تغییر کرده است یا نه:

سپس با دستور زیر به کارت شبکه میرود و آن را ابتدا چک میکنیم:

نکته ی مهم این است که شما باید در کارت شبکه ی DC ، IP ی DNS تعریف بکنید. اکتیو دایرکتوری به شدت به DNS وابسته است. برای مثال اینکه چه کسی DC یا چه کسی GC است در DNS نوشته شده است. یا اینکه DC ها در کدام Site هستند در DNS است. حالا DNS را چه کسی باید بگذاریم؟ اکتیو دایرکتوری ها  تبدیل به DNS هم میشوند پس ما خودش را به عنوان DNS معرفی میکنیم:

بعد دوباره Time هم چک میکنیم که ببینیم تغییر کرده است یا خیر. بعد از اینکه این مراحل چک کردن تمام شد به سراغ مراحل اصلی نصب اکتیو دایرکتوری میرویم:

با زدن دستوری زیر میتوانیم وارد Wizard نصب اکتیو دایرکتوری شویم.

Promo یعنی promotion و DC هم که یعنی Domain Controller که در کل یعنی شما به DC تبدیل شوید. این Command از ویندوز 2012 برداشته شده است. این دستور Relocate شده داخل Server Manager و شما برای نصب اکتیو دایرکتوری باید به Server Manager شوید و Roll مربوطه را اضافه کنید. Roll  که شما را تبدیل به DC میکند. پس به Server manager میرویم.

در مرحله ی بعد باید Roll را نصب کنیم. تفاوت Roll و Feature در این است که Roll یعنی نقش و وقتی شما یک Roll را نصب میکنید یعنی میخواهید یک سرویسی را به دیگران بدهید (برای مثال Roll ئه DNS) اما Feature قابلیت هایی هستند که Roll نیستند و بر اساس آن سرویسی به دیگران داده نمیشود و آن Feature را خود آن سرور میخواهد استفاده کند (مثل .NetFramework). در شکل زیر لیست Roll ها را مشاهده میکنید. همانطور که مشاهده میکنید چندین Roll متفاوت برای Active Directory وجود دارد. سوال اینجاست که کدام یک از آن ها را باید نصب کنیم؟ وقتی اکتیو دایرکتوری از ویندوز 2000 به بعد آمد مایکروسافت فکر نمیکرد که این سرویس آنقدر فراگیر و بی رقیب شود . چندتا از اون Roll هایی که  در شکل زیر مشاهده میکنیدابتدایشان Active Directory نوشته شده اصلا اکتیو دایرکتوری نیستند. مثلا Active Directory Certificate Service یا ADCS سرویس CA Server است و برای احراز هویت به کار میرود و ارتباطی هم به اکتیو دایرکتوری ندارد و ما چه Active Directory  داشته باشیم و چه نداشته باشیم میتوانیم تیک آن را بزنیم.

اون چیزی که واقعا Active Directory است و سرور ما را به DC تبدیل میکند ADDs یا Active Directory Domain Service است. آن را انتخاب میکنیم و اجازه میدهیم که Feature هایی که میخواهد را  نصب کند:

تا آخر Next میزنیم و Install را انتخاب میکنیم تا نصب آغاز شود.

نکته ای هست که باید بدانیم این است که خیلی از سرویس ها Installation  دو تیکه ای است. مثلا اینجا که ما تیک Active Directory را زدیم و نصب کردیم در حقیقت Active Directory را نصب نکردیم بلکه فایل ها و زیرساخت مورد نیاز جهت نصب Active Directory را آماده کردیم. حالا که این مرحله تمام شد باید Installation را در آنجا انجام دهیم. پس تا اینجا هیچ Installation  انجام نشده و فقط فایل های مورد نیاز جهت نصب و زیرساخت نصب را آماده کردیم. همانطور که در شکل زیر مشاهده میکنید نصب در این مرحله تمام شده است:

برای مراحل بعدی باید روی لینک مشخص شده کلیک کنیم. اگر اینکار را نکنیم و Close کنیم روی Server Manager یک Alert Flag را مشاهده میکنیم:

میتوانیم روی آن هم کلیک کنیم و از آنجا مراحل را ادامه دهیم.

با انتخاب لینک تازه Wizard نصب Active Directory برایمان باز میشود:

در اینجا سوال میپرسد میخواهید چی کار کنید؟ گزینه ی اول  یک DC جدید به Domain موجود اضافه کنید. ما هنوز Domain  نداریم که بخواهیم به آن DC اضافه کنیم. گزینه دوم  یک Domain جدید به فارست موجود اضافه کنید. اگر این گزینه را انتخاب کنیم میپرسد میخواهی Child شوی یا Tree Domain.

گزینه ی سوم نیز از شما میپرسد یک Forest جدید اضافه کنید. اولین دومین راه انداز Forest ، اسم همان Forest هم هست. گزینه سوم را انتخاب میکنیم و نام دومین را انتخاب میکنیم.

وقتی Next را میزنیم مدتی مکس میکند و در این زمان یک پکت Broadcast در شبکه میفرستد که نام این دومین (مثلا در اینجا IT.COM) در شبکه موجود نباشد. سپس به مرحله ی بعدی میرویم.

ادامه این بخش را در مقاله های بعد خواهید دید.

نویسنده:مهندس محمد آجورلو