مدیریت سایت ها در اکتیو دایرکتوری (ACTIVE DIRECTORY SITE AND SERVICE)بخش دوم
مدیریت سایت ها در اکتیو دایرکتوری (ACTIVE DIRECTORY SITE AND SERVICE)
برای مطالعه بخش اول مدیریت سایت ها در اکتیو دایرکتوری در اینجا کیلیک کنید.
در اینجا چند نکته داریم. چون اولین دومین را در Forest راه اندازی میکنیم چک باکس Global Catalog تیک خورده است و نمیتوانیم تیک آن را برداریم. چون قبلا گفته بودیم اولین دومین راه انداز Forest الزاما GC است. وقتی DC های بیشتری میخواهید اضافه کنید میتوانید این تیک را بگذارید و یا بردارید ولی اولین DC در فارست الزاما GC است.
RODC یا Read only domain controller قابلیتی است که از ویندوز سرور 2008 به بعد آمده است. اگر این تیک را بزنیم یک DC میشود که امکان Write در آن وجود ندارد. یعنی مثلا نمیتوانیم پشت DC و برای مثال User درست بکنیم. Read Only چه مزیتی دارد؟ برای مثال در یک نقطه ای در یک Site داریم که آنجا نیستیم و تیم نگهداری کننده Network هم آنجا نیست و نگرانیم کسی پشت آن سرور نرود و چیزی را دستکاری کند. پس به لحاظ امنیتی باید یک DC بگذاریم که فقط Read Only باشد.
حالا اگر بخواهیم تغییراتی را ایجاد کنیم تغییرات روی DC های Writeable انجام میشود و بعد روی DC های Read only ، Replicate میشود. حالا چرا خاموشه؟ چون باز ما اولین DC هستیم ،یکی باید اول باشد که Read only آن شویم. گزینه ی اول از این بخش هم تیک DNS است و میخواهید در این فرآیند DNS هم نصب کنم؟ تیک آن به صورت پیش فرض خورده است. تنها دلیلی که بخواهیم این تیک را برداریم این است که قبلا یک زیر ساخت DNS راه اندازی کرده باشیم و قرار نیست DNS Server روی DC باشد. اما پیشنهاد مایکروسافت این است که پیش فرض DC ها DNS Server باشند. DNS وقتی روی Active Directory نصب میشود قابلیت های اضافه ای دارد نسبت به DNS که روی Active Directory نصب نمیشود.
سپس پسورد DSRM را میخواهد. سوال اینجاست که اصلا DSRM چیست؟
تصور کنید روی یک کامپیوتر ویندوز سرور 2012 نصب شده است و هنوز تبدیل به DC نشده است. لیست User ها و گروه ها در فایل SAM درست میشوند. حالا وقتی این کامپیوتر به DC ، Promote میشود تمامی اطلاعات در SAM به NTDS.DIT، Migarate میشوند و دیگر این کامپیوتر SAM خودش را استفاده نمیکند. حالا یک اتفاقی افتاده است و کامپیوتر DC به شکل نرمال Boot نمیشود. در این شرایط ما معمولا کامپیوتر را روشن میکنیم و f8 را میزنیم و با Safe Mode بالا می آییم. Safe Mode حالت safe است و درایور ها در آن Load نمیشوند و خیلی از سرویس ها در آن کار نمیکنند. حالا یک سوال؛ اگر در حالت Safe Mode بالا بیاییم Active Directory کار میکند؟ خیر. حالا می خواهیم لاگین کنیم. آیا SAM داریم؟ خیر. پس نه SAM داریم نه Active Directory، پس باید با این پسورد لاگین میکنیم. یک Administrator User داریم به نام DSRM Administrator. این پسورد DSRM Administrator است. پس زمانی که از Safe mode بالا می آیید User را مینویسید Administrator و این پسوردی که اینجا داده اید را میدهید. این پسورد هم میتواند با پسورد ادمین اصلی متفاوت باشد. حالا وقتی f8 میزنیم اصلا یک Mode ای داریم به نام Directory Service Restore Mode. بهتر است به جای safe mode از این روش استفاده کنیم.
تصور کنید ما در حال حاضر یک دومین داریم. این دومین موجود دوتا DC دارد که این DC ها ویندوزشان 2008 R2 است. بدیهی است که Windows 2012 R2 Active Directory نسبت به Winodows 2008 R2 Active Directory اطلاعات بیشتری دارد. حالا سوال اینجاست که اگر ما بخواهیم DC3 را در اینجا نصب کنیم که ویندوز آن 2012 R2 است، حال این سه DC باید با یکدیگر Replicate کنند. آیا DC1,2 چیزهایی که DC3، Replicate میکند را میفهمند؟ خیر. یعنی باید به 2012 بگوییم سطح عملیاتی خودت را در حد ویندوز 2008 R2 پایین بیاورد. چون ما در شبکه مان DC هایی داریم که ورژن آنها پایین تر است. حالا اگر در شبکه DC4 را داشته باشیم که ویندوز آن 2016 است. باید باز هم سطح عملیاتی را روی 2008 R2 بگذاریم. پس سطح عملیاتی را باید روی پایین ترین ورژن DC موجود ست کنیم. اولین گزینه سطح عملیاتی Forest را میگوید و دومی سطح عملیاتی Domain .
- Domain Functional Level = DFL
- Forest Functional Level = FFL
از روی شکل زیر میتوانید به مفهوم FFL نیز پی ببرید:
اما میدانیم که دومین های داخل Forest نیز با هم Replication هایی دارند. پس باید در سطح Forest هم سطح عملیاتی تعیین کنیم. باید سطح عملیاتی Forest را پایین ترین سطح عملیاتی یکی از Domain هامون بگذاریم. مثلا در اینجا 2008 است. سپس Next میکنیم و به مرحله ی بعدی میرویم:
در این بخش در زمینه ی DNS یک Warning داده میشود. این مطلب در آینده درس داده خواهد شد و فعلا آن را Next میزنیم و به مرحله ی بعد میرویم.
مرحله ی بعد:
در این مرحله NetBios name را خودش Verify میکند و مینویسد. اسم دومین را ما IT.COM گذاشتیم ولی خودش میگوید NetBIOS name ، IT است.
امروز پروتکلی که برای تبادل Data در شبکه ها استفاده میشود TCP/IP است. اما در گذشته هر شرکتی پروتکل خاص خودش را داشت. قبلا مایکروسافت از پروتکلی به نام NetBIOSاستفاده میکرد. یا مثلا Apple از پروتکلی به نام AppleTalk. Netbios استفاده میکرد که این پروتکلی است که مایکروسافت و IBM با هم نوشتند. در زمان Netbios ما IP و DNS و SubnetMask و Gateway و .. نداشتیم. پروتکل NetBIOS به صورت Broadcast Base کار میکرد. هر کامپیوتر در دنیای پروتکل NetBIOS یک اسم داشته است که به آن اسم NetBIOS Name میگویند. مثلا شما میخواستید از پشت یک کامپیوتر منابع share شده ی یک کامپیوتر دیگر را ببینید،باید در Run menu و میزدید:
\\BiosName
کامپیوتر شما Broadcast میکرد که کامپیوتری که NetBiosName آن این است MAC چیست؟مک رو میگرفت و با مک ارتباط برقرار میکردند (یعنی اصلا IP نداشتیم). NetBios Name خوب نبود و جمع شد و علت هم این بود که کارش با Broadcast انجام میشد. اما مایکروسافت هنوز هم از NetBios و NetBios Name استفاده هایی میکند. به همین دلیل است که در Wizard میخواهد تا اسم NetBios دومین را بدهیم. توجه داشته باشید ما در زمان NetBios چیزی به اسم Suffix نداشتیم. یعنی دات کام یا Suffix های دیگر را نداشت و همه ی حروف Capital بود و حداکثر 15 کاراکتر را میگرفت. به همین دلیل الان اسم دومین ما هست مثلا IT.COM ولی اسم NetBios شده IT با حروف بزرگ. نکته ی دیگر این است که بهتر است NetBios Name در اینجا تغییر نکند. یعنی میتواند به این صورت باشد که NetBios یک نام باشد و اسم دومین DNS ای یک اسم دیگر ولی بهتر است که تغییر نکند. اصطلاحا به اسم دومین DNS که IT.COM است (FQDN (fully qualified domain name میگویند و آن دومینی که IT است NetBios name میشود. پس اسم NetBios ای هم هرچیزی که Default هست قبول میکنیم. حالا وقتی Next را میزنیم دوباره یک Broadcast در شبکه میفرستد تا این Netbios name در شبکه موجود نباشد. در مرحله ی بعد سوال میپرسد که دیتابیس Active Directory و LogFile ، Active Directory رو کجا ذخیره کنم؟
Log File برای چیست؟ تصور کنید شما در دیتابیس Data ذخیره میکنید و ناگهان برق میرود. در اینجا اصطلاحا فایل Corrupt میشود. دفعه ی بعد که سیستم بالا می آید اصطلاحا دیتابیس Mount نمیشود. در اینجا شما به وسیله ی Log File میتوانید فایل های خراب را درست کنید و دیتابیس را از حالت Dirty خارج کنیم.
– Best Practice به این صورت است که دیسکی که دیتابیس روی آن است با دیسکی که Log ها روی آن است دو تا دیسک مجزا باشند.
SYSVOL چیست؟
ما با Local Group Policy آشنا بودیم .دستور آن gpedit.msc است و دستوری کهفقط تنظیمات امنیتی آن را میدیدیم secpol.msc بود. وقتی در دومین Active Directory Group Policy . طبیعی است وقتی روی یک DC یک policy را ست میکنیم در replication به بقیه DC ها نیز اعمال میشود. SYSVOL فولدری است که نگهداری کننده ی Policy های Domain است. به بیان دیگر Group Policy های Active Directory در SYSVOL ذخیره میشوند. نکته ای که وجود دارد این است که وقتی شما DC را نصب میکنید و بالا می آید یک فولدری روی DC ها Share شده است به نام SYSVOL. همه ی DC ها فولدر Share شده ی SYSVOL را دارند و SYSVOL ها را با همدیگر Replicate میکنند. باز برای Performance خیلی خوب بهتر است این فایل هم در یک دیسک جداگانه قرار بگیرد. Next میزنیم و به مرحله ی بعدی میرویم. در این مرحله کارهای قبلی را چک میکنیم:
Next که بزنیم میتوانیم Install را بزنیم و نصب اصلی را شروع کنیم. اما همانطور که در اینجا مشاهده میکنید یک گزینه داریم به نام View Script. روی آن کلیک میکنیم:
این اسکریپت همه ی این کارهایی است که انجام دادیم. مثلا این فایل اسکریپت را برای فردی که در یک شهر دیگر ایمیل میکنیم و آن شخص ازنصب Active Directory آگاهی لازم را ندارد کافیست این فایل را RUN کند و با این کار Active Directory نصب میشود. حالا چطو این فایل را باید RUN کرد؟ اگر دقت کنید بالای اسکریپت ها نوشته Windows Powershell. این یعنی این اسکریپت PowerShell است. ابتدا این فایل را در یک جایی Save میکنیم (هر اسم دلخواهی با پسوند .ps1). سپس روی آن کلیک کرده و Run with PowerShell را میزنیم:
ادامه دارد…
نویسنده:مهندس محمد آجورلو
pingback مدیریت سایت ها در اکتیو دایرکتوری (ACTIVE DIRECTORY SITE AND SERVICE)بخش سوم - گروه آموزشی AdminPro