اکتیو دایرکتوری

صفحه اصلی کارگروهها >> شبکه و امنیت  >> اکتیو دایرکتوری
حسین فرجی

حسین فرجی

در کارگروه: شبکه و امنیت
تعداد ارسالي: 50
11 سال پیش در تاریخ: سه شنبه, شهريور 21, 1391 16:52

 موضوعات این مقاله شامل :
ـ معرفی سرویس های دایرکتوری
ـ ساختار A.D و نسخه برداری سایت (Site Replication)
ـ مفاهیم A.D
ـ مقدمه ای بر طرح ریزی (Planning)
- نصب سرویس های دایرکتوری A.D
ـ پیکربندی نسخه برداری از A.D


1. مقدمه :
می توانیم از (سرویس دایرکتوری) برای تعیین یکنواخت یکپارچه کاربران و منابع موجود در شبکه استفاده نمائید. سرویس های A.D در تمام محصولات خانوادة W2K Server یافت می شود. تکنولوژی A.D یک نقطة مشخص برای مدیریت شبکه ها بدست می دهد و به شما اجازة افزودن، حذف کردن و جابجائی کاربران و منابع را با سهولت فراوان اعطا می کند.
در این مقاله سعی دارم تا شما را با سرویس های دایرکتوری A.D و چگونگی طرح ریزی لازم جهت پیاده سازی آن آشنا گردانم. در پایان نحوة پیکربندی و نسخه برداری از A.D را با ایجاد یک سایت ، پیکربندی یک پیوند سایت و تنظیمات یک سرور کاتالوگ کلی (Global Catalog Server) شرح خواهیم داد.

2. پیش نیازهای لازم جهت نصب A.D
1. داشتن کامپیوتری که حداقل شرایط سخت افزاری مورد نیاز نصب ویندوز 2000 را برآورده نماید.
2. نصب W2K-Server نصب کامپیوتر به شکل یک سیستم Stand-Alone در یک گروه کاری و نصب پروتکل TCP/IP
3. کامپیوترتان می بایستی یک آدرس IP ی ثابت داشته باشد .
4. می بایستی یک سرور DNS در شبکه تان داشته باشئید و یا سرور خودتان بشکل DNS نصب شده باشد.
5. در اختیار داشتن CD ی اصلی W2K-Server
نکته : ویژگی سرویس A.D در نسخه های W2K-Server و نیز W2K-Data Center نیز وجود دارد.
¬

3. نگاهی کلی تر به ویژگی های سرویس های دایرکتوری A.D
قبل از نصب A.D می بایستی درک کاملی از مفهوم A.D و نقشئی (Role) که در شبکة ویندوز2000 بازی می کند داشته باشئید . به علاوه دانستن ویژگی های کلیدی A.D که انعطاف پذیری و سهولت راهبری را بدست می دهند مورد نیاز می باشند.

4. سرویس دایرکتوری Directory Service))
• یک سرویس دایرکتوری A.D عبارت از یک سرویس شبکه است که تمام منابع موجود در شبکه را مشخص کرده و آنها را برای کاربران و برنامه های کاربردی در دسترس قرار می دهد.
• سرویس های A.D دایرکتوری ای را در بردارند که اطلاعات مربوط به منابع شبکه و کلیه سرویس هائی که این اطلاعات را قابل دسترس و مفید می نمایند در خود نگه می دارند.
• منابع ذخیره شده در دایرکتوری مواردی چون کاربران، داده های کاربری، چاپگرها ، سرورها، بانکهای اطلاعاتی ، گروهها ، کامپیوترها وسیاستهای امنیتی که به صورت اشئیاء شناخته می شوند می باشند.

5. سهولت راهبری Administration))
• سرویس A.D منابع شبکه رابه صورت ساختار سلسله مراتبی Hierarchically)) در حوزه ها (Domains) سازماندهی می نماید. یک حوزه(Domain) عبارت از گروه بندی (دسته بندی) منطقی سرورها و دیگر منابع شبکه تحت یک نام حوزة مشخص (Single) می باشد.
• یک حوزه ، واحد اصلی نسخه برداری Replication)) و امنیت در یک شبکة مبتنی بر ویندوز2000 می باشد.
• هر کنترولر حوزه می تواند شامل یک یا چند کنترولر حوزة دیگر باشد. یک کنترولر حوزه کامپیوتری است که سرور ویندوز 2000 بر روی آن اجرا می شود و برای نگهداری یک نسخة کامل از دایرکتوری حوزه ، بکار می رود.
• جهت ساده سازی وظایف راهبری، تمام کنترولرهای حوزه نظیر هم هستند. شما می توانید در هر کنترولری تغییراتی صورت دهید و این تغییرات به تمام حوزه های دیگر ارسال شود. Replicate)).
• سرویس های دایرکتوری A.D ، نقطه واحدی را برای مدیریت تمام اشئیاء درون شبکه بدست می دهند.

6. مقیاس پذیری Scalability))
در سرویس های A.D یک دایرکتوری تمام اطلاعات را به شکل بخش هائی که قابلیت ذخیره سازی تعداد بسیار زیادی از اشئیاء را دارد سازماندهی می نماید در نتیجه، دایرکتوری می تواند توسعه یابد ، همانطوریکه یک سازمان رشد می کند و به شما اجازه می دهد تا بتوانید از یک نصب کوچک با چند صد شئی به یک نصب با چندین میلیون شئی وارد شوید.
نکته شما می توانید اطلاعات دایرکتوری را در بین چندین کامپیوتر در شبکه توزیع نمائید.

7. پشتیبانی از استانداردهای باز (Open Standards)
• سرویس A.D مثل تمام سرویس های دایرکتوری اساساً یک فضای نام Namespace)) می باشد.
• یک فضای نام ( به اختصار NS) عبارت از محدوده مشخصی می باشد که در آن یک نام را میتوان بدست آورد Resolved)) . یافتن یا ترجمة نام Name Resolution)) عبارت از ترجمة یک نام به یک شئی یا اطلاعی است که آن نام معرفش می باشد.
• سرویس A.D مفهوم اینترنتی یک N.S را با سرویس های دایرکتوری W2K ادغام می کند. اینکار به شما اجازه می دهد تا چندین N.S را که در حال حاضر در محیط های ناهمگون نرم افزاری و سخت افزاری شبکه ای یک شرکت وجود دارند با هم آمیخته و مدیریت نمائید. سرویس های A.D از DNS Domain Name system)) برای سیستم نامگذاری اش استفاده کرده و می تواند اطلاعات را با هر برنامه یا دایرکتوری ای که از پروتکل های LDAP Lightweight Directory Access Protocol)) یا HTTP Hyper Text Transfer Protocol)) استفاده کند مبادله نماید.
• نکته : سرویس های A.D همچنین اطلاعات را با سرویس های دایرکتوری دیگری که از پروتکلهای LDAP ای نسخه 2و3 استفاده می کنند مثل (Novell Directory Services) NDS میتوانند به اشتراک بگذارند.

8. سیستم های نامگذاری حوزه (Domain Name System)
• فضای نام N.S)) سرویس A.D مبنی بر طرح Scheme)) نامگذاری DNS است که اجازه کار با تکنولوژی های اینترنت را می دهد . به تقلید از استانداردهای DNS ، نام حوزة یک حوزة بچه Child)) عملاً یک نام نسبی است که در آن نام حوزة بچه به نام حوزة والد Parent)) متصل می باشد.
• در A.D چون از نامگذاری و مکان یابی حوزه مانند روش DNS استفاده می شود، اسامی حوزة ویندوز 2000 می تواند اسامی DNS نیز باشند.
• ویندوز 2000 از DDNS) Dynamic DNS) استفاده می کند تا مشتریانی Clients)) را که به شکل دینامیک آدرس دهی شده اند را مستقیماً در سروری که سرویس DNS را اجرا می کند رجستر نماید و جدول DNS را به طور دینامیکی به هنگام Update)) کند. منظور از ریجستر کردن ثبت مشتریان در سرور DNS می باشد.
• DDNS نیاز به سرویس های دیگر نامگذاری اینترنت مثل ((Windows Internet Name Service WINS در یک محیط همگن را از بین می برد.
• توجه : برای اینکه سرویس های A.D و نرم افزارهای کلاینت مربوط بتوانند به درستی کار کنند، می بایستی حتما سرویس DNSرا نصب نمائید.


9. پشتیبانی ازLDAP و HTTP
• LDAP یک استاندارد اینترنتی برای دستیابی به سرویس های دایرکتوری است که به شکل یک بدل ساده تربرای پروتکل (Directory Access Protocol) DAP طراحی گردیده است.
• جهت کسب اطلاعات بیشتر درباره LDAP در اینترنت به دنبال RFC 1777 بگردید. پروتکل HTTP استاندراد نمایش صفحات در دنیای وب (World Access Protocol) www = می باشد. شما می توانید هر شئی درون A.D را به شکل یک صفحة HTML در درون مرروگرتان مشاهده نمائید.
• نکته : سرویس A.D از پروتکل LDAP برای تبادل اطلاعات بین دایرکتورها وبرنامه های کاربردی استفاده می کند .

10. پشتیبانی از فرمتهای نامگذاری استاندارد
سرویس A.Dاز چندین قالب نامگذاری عمومی استفاده می کند. در نتیجه اینکه کاربران و برنامه ها می توانند با استفاده از قالب های نامگذاری بسیار آشنا استفاه نمایند. در جدول زیر می توان برخی ازاین قالبهای نامگذاری استاندارد را که در سرویس های A.D استفاده می شوند مشاهده نمود.
« قالبهای نامگذاری شده که توسط سرویس های دایرکتوری A.D استفاده می شوند»
 RFC 822: اسامی RFC 822 به شکل Somename@some.doma (Somename@some.doma)in می باشد و کاربران با آنها از طریق آدرسهای پستی اینترنتی (Email) سر و کار دارند. مثل a_arabbeigi@hotmail.com (a_arabbeigi@hotmail.com)
 HTTP URL: این نوع نامگذاری توسط مرورگرهای اینترنتی و به شکلhttp://somedomain/path-to-page (http://somedomain/path-to-page) استفاده می شوند و به آنها URL (Uniform (Resource Locators می گویند . مثل http:/www.IBM.Com/input/default.html
 UNC: از این قالب جهت نامگذاری ولوم های اشتراکی ، چاپگرها و فایلها در شبکه استفاده می شود مثلاً : \\myco.com\xl\budget.xls
 LDAP URL: این قالب سروری را که A.D بر روی آن نصب شده و نام منتسب به شئی را نام فامیل، دپارتمان و آدرس Email وی می باشد،مشخص می کند. سرویس A.D از الگوی 1779 RFC پشتیبانی کرده و از صفحات به شکل زیر استفاده می کند :
LDAP://SomeServer.myco.com/OU=,jimsmith sys, product, OU = division, DC=devel
 CN معرف Common Name
 OU معرف نام واحد سازمانی و DC نام اجزای حوزه می باشد.


11. ساختار A.D و نسخه برداری سایت (Site Replication)
• سرویس A.D روشئی را برای طراحی ساختار یک دایرکتوری که نیازهای سازمانتان را مرتفع گرداند بدست می دهد. در نتیجه اینکه ، قبل از نصب سرویس های A.D ، می بایستی عملیات و استراکچر سازمانتان را امتحان نمائید.
• اکثر شرکتها ساختاری متمرکز دارند . برای مثال این شرکتها دپارتمانهای تکنولوژی اطلاعات (IT) قوی ای دارند که ساختار شبکه شان را تا کوچک ترین جزئیات تعریف و پیاده می نمایند. اما شرکت های دیگر، بخصوص شرکتهای عظیم ، بسیار غیرمتمرکز هستند . این شرکتها چندین فعالیت کاری دارند که هر یک از آنها خود شامل جزئیات زیادی می باشند. این شرکت ها نیاز به روشهای غیرمتمرکزی دارند که روابط تجاری و شبکه هایشان را مدیریت نماید.
• با انعطاف پذیری ای که در A.D سراغ داریم، می توان براحتی ساختار شبکه را جهت برآورده ساختن نیازهای آنان برپا نمود.
• A.D بطور کاملاً مجزا ساختار منطقی سلسله مراتب حوزه را از ساختار فیزیکی آن جدا می سازد.

12. ساختار منطقی
در سرویس های A.D‌، شما منابع را به شکل منطقی سامان می دهید. با این روش دسته بندی منطقی منابع، براحتی می تواند یک منبع را با استفاده از نامش به جای محل فیزیکی اش پیدا نمائید. ساختار منطقی اشئیاء واحدهای سازمانی، حوزه ها ، درختها، جنگل ها Forest)) تشکیل شده است.

13. شئی (Object)
• یک شئی عبارت از یک مجموعة نامگذاری شده و مجزا از صفاتی (Attributes) است که یک منبع شبکه را نشان می دهد. برای مثال ، صفات یک حساب کاربری ممکن است شامل نام و نام فامیل ، دپارتمان و آدرس Email وی می باشد.
• در A.D می توان اشئیاء را به شکل کلاسها (Classes) که گروه بندی منطقی اشئیاء می باشد سازماندهی نمود.برای مثال، یک کلاس شئی ممکن است حسابهای کاربران،گروهها،کامپیوترها ،حوزه ها یا واحدهای سازمانی باشد.

14. واحدهای سازمانی Organizational Units))
یک واحد سازمانی (OU) عبارت از نگهدارنده ای (Container) است که جهت سازماندهی اشئیاء درون یک حوزه به شکل گروه های قابل مدیریت منطقی (Logical Administrative) بکار می رود مثل حسابهای کاربران، گروهها، کامپیوترها، چاپگرها، برنامه ها ، فایلهای اشتراکی و OU های دیگر.

• از OU برای سازماندهی سرویس های A.D قرار گرفته در یک شرکت جهت دو منظور زیر استفاده کنید:
 ساختار سازمانی
 مدل سرپرستی و راهبردی شبکه

• اختصاص مجوزها به OU ها جهت تفویض اختیارات و کنترلهای سرپرستی
- هیچ محدودیتی در عمق بکارگیری OU ها وجود ندارد. و لیکن سلسله مراتب کم عمق (Shallow Hierarchy) بهتر از یک مشابه عمیق کار می کند، از این رو می توانید یک سلسله مراتب OU عمیق تر از حد نیازتان ایجاد نمائید .
- نکته : شما می توانید وظایف راهبری (Administrative) را با اختصاص مجوزها به OU ها تفویض (Delegate) نمائید.

15. حوزه (Domain)
• واحد مرکزی ساختار منطقی در سرویس های A.D را حوزه یا Domain می گویند.
• حوزه ها فقط اطلاعات اشئیاء درون خود را نگه می دارند، نه اشئیاء درون شبکه را . از نظر تئوری یکD.C (Domain Controller) میتواند تا 10 میلیون شئی را نگه دارد ، اما یک میلیون شئی در یک حوزه می تواند عملی تر باشد.
• یک حوزه ، یک منطقه امنیتی می باشد و دسترسی به اشئیای درون آن توسط لیستهای کنترل دسترسی یا ACL (Access control list) کنترل می شود. ACL ها مجوزهای لازم جهت دسترسی به اشئیاء توسط کاربران را در خود نگه میدارند. تمام تنظیمات و سیاستهای امنیتی از یک حوزه به حوزة دیگر منتقل نمی شوند، و راهبران حوزه ها تنها در حوزهای که قرار دارند دارای قدرت مطلق می باشند.

16. درخت و جنگل (Tree & Forest)
• یک درخت عبارت از گروه بندی یا آرایش سلسله مراتبی یک یا چند حوزه W2k است و یک جنگل گروه بندی یا آرایش یک یا چند درخت می باشد.
• هم درخت و هم جنگل فضاهای نامگذاری (N.S) می باشند.
• دو نوع N.S وجود دارند:

 فضای نام پیوسته (Contiguous)
نام یک شئی بچه در سلسله مراتب اشئیاء همیشه همراه با نام شئی والد می باشد. یک درخت عبارت از یک N.S پیوسته است زیرا نام یک شئی بچه همیشه همراه با نام یک شئی والد ذکر می شود.


 فضای ناپیوسته (Disjointed)
 در این N.S اسامی یک شئی والد و شئی بچة آن، مستقیماً به همدیگر مربوط نمی باشند. یک جنگل عبارت از یک N.S (فضای نام ) ناپیوسته است ، زیرا تمام درختان درون یک جنگل از یک استراکچر نامگذاری مشترک استفاده نمیکنند.
 از آنجائیکه تمام درختان موجود در یک جنگل ، از ساختار یکسانی برای نامگذاری استفاده نمی کنند، میتوانید از یک جنگل برای دسته بندی بخش های گوناگون درون یک شرکت استفاده نمائید و گرچه این بخش ها از طرح نامگذاری مشترکی استفاده نمیکنند، اما میتوانند با یکدیگر در ارتباط باشند.

17. سایتها و نسخه برداری درون یک سایت ( (Sites & Replication
• یک سایت ، ترکیبی از یک یا چند زیر شبکة (subnet) IP (Internet protocol) می باشد که می بایستی از طریق یک خط پر سرعت (High- Speed Link) بهم وصل شوند. برای نمونه ، یک سایت همان حد و مرزی را دارد که یک شبکة محلی LAN دارا می باشد. وقتی زیرشبکه ها را با هم گروه بندی می کنید می بایستی فقط زیرشبکه هایی را که ارتباط مطمئن، ارزان و سریع با یکدیگر دارند ترکیب نمائید.
• پیوند شبکه سریع ‌(Fast) حداقل 512 kbps سرعت دارد. پهنای باند 128 kbps و بیشتر کفایت می نماید. با تعریف سایتها به شکل یک مجموعه از زیرشبکه ها، می توانید توپولوژی نسخه برداری و دسترسی به سرویس های A.D را جهت بهره برداری بهتر پیکربندی نمائید.
دلایل ایجاد سایتها را می توان به دو فاکتور زیر تقسیم کرد :
1. جهت بهینه سازی ترافیک نسخه برداری (Replication)
2. به کاربران امکان بدهید تا با استفاده از یک خط پرسرعت و مطمئن به یک کنترولر وصل شوند.
• با A.D ، سایتها بخشئی از NS نمی باشند. هنگام جستجو در NS منطقی ، می بینید که کامپیوترها و کاربران در حوزه ها و OU ها Organizational Unite)) گروه بندی شده اند نه در سایتها.
فقط سایتها اشئیاء مربوط به کامپیوترها و ارتباطات (Connections) به کار رفته برای پیکربندی نسخه برداری بین سایتها را دربردارند.
توجه : یک حوزة تنها میتواند به چندین سایت در محلهای مختلف مربوط شود، و یک سایت تنها میتواند حسابهای کاربری و کامپیوتری متعلق به چندین حوزه را نگه دارد.
• سرویسهای A.D ، همچنین یک ویژگی نسخه برداری در خود دارند. نسخه برداری، به شما اطمینان می دهد که تغییرات اعمال شده در یک کنترولر حوزه، به تمام حوزه های دیگر درون آن حوزه کپی خواهد شد.
• برای اینکه عملیات نسخه برداری را درک نمائید، ابتدا می بایستی مفهوم کنترولرهای حوزه را متوجه شوید. یک کنترولر حوزة ، کامپیوتری است که یکی از نسخه های ویندوز سرور بر روی آن نصب شده باشد و میتواند یک نسخه (Replica) از دایرکتوری حوزه را در خود ذخیره نماید. در زیر، برخی از کارهایی را که یک کنترولر حوزه انجام می دهد آورده ایم :
 یک حوزه ، یک کپی کامل از اطلاعات سرویس های A.D برای آن حوزه را نگه می دارد، تغییرات اعمال شده روی این داده ها را مدیریت کرده و این تغییرات را به حوزه های دیگر درون آن حوضه کپی می نماید. (Replicate).
 وقتی عملیاتی صورت دهید که باعث تغییر در A.D شود، در واقع این تغییر در یک حوزه روی داده است . کنترولر حوزه سپس این تغییرات را به تمام حوزه های دیگر کپی می کند. شما میتوانید ترافیک نسخه برداری بین کنترولرهای حوزه را به این طریق کنترل نمائید که چه وقت نسخه برداری آغاز می شود و مقدار داده هائی که ویندوز 2000 منتقل می کند چه مقدار می باشد.
 کنترولرهای حوزه ( از این پس به اختصار DC یا Domain controllers)) بلافاصله تغییرات مهم مثل غیرفعال ساختن یک حساب کاربری را منتقل می نمایند. (Replicate)
 سرویس های A.D از چند نسخه برداری اصلی (Multimaster Replication) که در آنها هیچ DC ی اصلی ای (Master) وجود ندارد استفاده می کند. در عوض تمام DC های درون یک حوزه نظیر هم می باشند و هر DC یک کپی از بانک اطلاعاتی دایرکتوری را که می توان در آن نوشت در خود می دارد DC ها اطلاعات متفاوتی برای مدت زمان کوتاه در خود نگه می دارند تا تمام DC ها به طور همزمان تغییرات اعمال شده در سرویس های A.D را به کار بگیرند.
 داشتن چند DC به جای یک حوزه ، تحمل خطا (Fault Tolerance) را افزایش می دهد. اگر یک DC خاموش باشد ، DC ی دیگری می تواند تمام سرویس های لازم را ارائه دهد مثل ضبط تغییرات در سرویس های A.D .
 DC ها کلیه جنبه های ارتباطی میان کاربر و حوزه را مدیریت می کنند،مثل یافتن اشئیاء A.D و تائید نمودن تلاشهای کاربر جهت ورود (Logon).

• در یک سایت، سرویس های A.D به طور خودکار یک توپولوژی حلقوی (Ring) درست می کنند تا نسخه برداری بین DC ها درون یک حوزه انجام شود. توپولوژی مسیری را جهت جریان تغییرات بین DC ها مشخص می کند.
• مسیر حلقوی حداقل دو راه برای انتقال تغییرات بین DC ها بدست می دهد تا اگر یکی از DC ها خاموش شود مسیر دیگری برای نسخه برداری وجود داشته باشد. سرویس های AD به طور متناوب توپولوژی مورد نظر را آنالیز می نمایند تا کارایی آن کم نشود اگر یک DC را حذف یا اضافه نمائید، سرویس A.D ، این توپولوژی را مجدداً پیکربندی می کند تغییرات را منعکس می نماید.


18. مفاهیم دایرکتوری فعال (Active Directory = AD)
تعدادی مفهوم جدید به سرویس ها و A.D افزوده شده که می بایستی قبل از هر چیز از آنها مطلع شوید.
طرح یا شماتیک (Schema)
• طرح یا شماتیک ، شامل یک تعریف صوری از محتوا و ساختار سرویس دایرکتوری A.D می باشد که مواردی چون صفات (Attributes) ، کلاسها و خصوصیات کلاس ها را در بر می گیرد.
• به ازای هر کلاس شئی ، طرح یاشاما مشخص می کند که یک نمونه از کلاس می بایستی چه صفاتی داشته باشد، چه صفات اضافی می تواند به خود بگیرد و چه کلاس شئی ای می تواند والد کلاشئی شئی فعلی باشد.
توجه : تمام حوزه های دورن یک درخت واحد و تمام درختهای درون یک جنگل از یک طرح (Schema) مشترک استفاده می نمایند.
• نصب A.D قابل توسعه (Extensible) است، بدین شکل که می توانید انواع شئی دایرکتوری جدید و صفاتش را تعریف نمائید.با استفاده از آویز Snap – In) یا آیکون)Active Directory Schema Manager یا (ADSI) Active Directory Services Interface می توانید شماتیک یا طرحتان را گسترش دهید. هر دوی این ابزار در کیت منابع ویندوز 2000 (W2KRK) وجود دارند.
• شماتیک در کاتالوگ جامع (Global Catalog) یا کاتالوگ کلی ذخیره و پیاده سازی شده است، و به طور پویا به هنگام (Update) میشود. می توان نتیجه گیری کرد هر برنامه می تواند شماتیک را با صفات و کلاسهای جدید توسعه دهد و بلافاصله نیز از این تغییرات استفاده کند
توجه : مجوز نوشتن (write)در شماتیک، به طور پیش فرض برای اعضای گروه Administrators در نظر گرفته شده است .

19. فهرست کلی (Global Catalog)
• فهرست کلی (یا به اختصار GC) انبار مرکزی اطلاعات، دربارة اشئیاء موجود در درختها یا جنگل ها می باشد به شکل 8 نگاه کنید. سرویس هایA.D به طور خودکار محتوای GC ( کاتالوگ کلی) را از حوزه هایی درست می کنند که دایرکتوری را از طریق فرایند نسخه برداری (Replication) ساخته اند.
توجه : تمام حوزه های درون یک درخت تکی و تمام حوزه های واقع در یک جنگل از یک کاتالوگ کلی مشترک استفاده می نمایند.
• کاتالوگ کلی ، یک سرویس است و به عبارتی یک محل فیزیکی جهت ذخیرة کپی یدکی (Replica) از صفات انتخابی برای هر شئی درون سرویس های A.D می باشد. به طور پیش فرض، صفاتی (Attributes) که در کاتالوگ ذخیره می شوند آنهایی هستند که بیشتر در عملیات جستجو (مثل نام و فامیلی کاربر ، نام ورود و غیره) استفاده می شوند و برای یافتن یک نسخه کامل از شئی ضروری است می باشند. . در نتیجه شما میتوانید از کاتالوگ کلی برای پیدا کردن اشئیاء در هر جای شبکه استفاده کنید، بدون اینکه به نسخه برداری (Replication) ازتمام اطلاعات حوزه میان کنترولرهای حوزه نیاز باشد.

• وقتی سرویس های A.D را روی اولین کنترولر حوزه در یک جنگل جدید نصب نمائید. آن کنترولر حوزه به طور پیش فرض تبدیل به سرور کاتالوگ کلی می شود. یک سرور کاتالوگ کلی (GC Server) عبارت از یک کنترولر حوزه است که یک کپی از کاتالوگ کلی را نگه می دارد و پرس و جوهای ارسالی به آنرا پردازش می نماید .
• سرورهای GC ، راندمان جستجو در جنگ وسیع از طریق سرویسهای A.D را افزایش می دهد.
برای مثال ، اگر به دنبال تمام چاپگرهای درون یک جنگل بگردید ، سرور GC پرس و جو را از کاتالوگ شروع می کند و بعد نتایج را باز می گرداند. بدون یک سرور کاتالوگ کلی، این پرس و جو (Query) می بایستی در هر کنترولر حوزه که در یک حوزه و به آن تبع در یک جنگل وجود داشت انجام می گرفت.
• سرور کاتالوگ کلی، ظرفیت پشتیبانی از چند صدهزار تا یک میلیون شئی را دارد که می تواند تا بیش از این تعداد هم افزایش یابد.
• با استفاده از آویز (Active Directory Sites & Services) می توانید چندین کنترولر حوضه را به عنوان سرورهای کاتالوگ در نظر بگیرید. هر چه سرورهای GC بیش تر شود ترافیک نسخه برداری نیز بیشتر می شود ولیکن اگر سرورهای بیشتری در دسترس باشد، پاسخ دهی سریعتری را نیز بدست می دهند.
• به طور کلی به شما توصیه می کنیم که هر سایت اصلی در شرکتتان یک سرور کاتالوگ کلی داشته باشد.


pastoo

19-01-2007, 22:56


بخش 2

20. روابط موثق (Trust Relationships)
• یک رابطه موثق ، پیوندی میان دو حوزه است که در آن یک حوزه تائید کنده (Trusting) ، اعتبارات ورودی از یک حوزة تائید شده (Trusted)‌ را بررسی و تائید می کند.
نکته :‌تائیدیه (Authentication) بکار رفته در روابط موثق ویندوز 2000 از پروتکل Kerberos 5 پشتیبانی می کند که یک علت استاندارد صنعتی برای عملیات تائید بین سیستم عامل های مختلف می باشد.
• سرویس های A.D از دو حالت روابط موثق Trust)) پشتیبانی می نماید:
1. تائیدهای غیرانتقالی یک طرفه,No transitive Trusts) (One -way
2. تائیدهای انتقالی دو طرفه (Tow-Way, Transitive Trusts)
21. تائیدهای غیرانتقالی یکطرفه (One-way , No transitive Trusts)
• در یک رابطة موثق یکطرفه اگر حوزة A ، حوزة B را تائید کند . حوزة B به طور خودکار حوزة A را تائید نمیکند. در یک رابطة موثق غیرانتقالی، اگر حوزة A حوزة B را تائید کند و حوزة B حوزة C را تائید نماید، در نتیجه حوزة A به طور خودکار حوزة C را تائید نمی کند.
• شبکه های ویندوز NT و قدیمی تر از این روش استفاده می کنند. شما به طور دستی یک رابطة موثق غیرگذرا را یکطرفه بین حوزه های موجود درست می کنید. در نتیجه یک شبکه NT یا قدیمی تر ، با چندین حوزه نیاز به ایجاد چندین رابطة موثق دارد.
• سرویس های A.D از این نوع تائید کردن برای ارتباطات میان حوزه های NT و قدیمی تر استفاده می کند و اجازة پیکربندی روابط موثق بین حوزه های درون درختهای دیگر را می دهد.

22. تائیدهای انتقالی دو طرفه (Two-way , Transitive Trusts)
• تائیدیه انتقالی دو طرفه, عبارتست از رابطه ای میان حوزه های والد و فرزند در یک درخت و بین حوزه های سطح بالا در یک جنگل می باشد. . این نوع روابط موثق بین حوزه ها به طور پیش فرض در ویندوز 2000 سرور وجود دارند. تأییدیه انتقالی یکی از ویژکی های پروتکل تأیید اعتبار Kerberos می باشد که تصدیق توزیعی (شبکه ای یا Distributed) و اعتبار بخشئی در ویندوز 2000 را فراهم می سازد.

• در یک رابطه موثق دو طرفه، اگر حوزه , A حوزه B را تأیید کند ، بنابراین حوزه , B حوزه A را تأیید می کند. در یک رابطه موثق انتقالی اگر حوزه A , حوزه B را و حوزه B , حوزه C ¬ را تائید کند , حوزه A حوزه C را تائید خواهد کرد.بنابراین در یک رابطه موثق انتقالی دو طرفه (Tow-Way, Transitive Trust) , اگر حوزه A , حوزه B را تائید کند و حوزه B , حوزه C ¬ را تائید کند در نتیجه حوزه A , حوزه C را و حوزه C , حوزه A را مورد تائید قرارمیدهد.اگر یک رابطه موثق انتقالی دوطرفه, بین دو حوزه وجود داشته باشد, می توانید مجوزهای لازم برای منابع موجود در یک حوزه را به گروهها و کاربران حوزه دیگر اختصاص دهید و بالعکس.
• رابطه موثق انتقالی دو طرفه به طور پیش فرض در ویندوز 2000 وجود دارند زمانی که یک حوزه بچه (Child) درست می کنید, یک رابطه موثق به طور خودکار بین او و حوزه والدش به وجود می آید که آن را بین دیگر حوزه های درخت نیز برقراری می سازد. می توان این طور نتیجه گرفت که
کاربران یک حوزه می توانند به منابعی در حوزه های دیگر درخت که مجوزش را دارند دست پیدا کنند.23. قواعد نامگذاری (Naming Conventions)
هر شئی ای در دایرکتوری فعال (Active Directory) با یک نام مشخص می شود. سرویس های AD از انواع قواعد نامگذاری استفاده می کنند : اسامی متمایز (Distinguished) ,اسامی متمایز نسبی, شناسه های یکتا کلی (Globally Unique Identifiers) و اسامی اصلی کاربران (Principal).

24. نام های متمایز (Distinguished Name)
هر شئی در A.D دارای یک نام متمایز (DN) می باشد که به طور منحصر بفردی آن شئی را معرفی می کند و اطلاعات لازم برای یک شئی را در خود نگه می دارد تا آن شئی را بتوان از دایرکتوری بازیابی کرد.
DNنام حوزه و مسیرکامل در بردارنده (Container) آن شئی در سلسله مراتب را نگه می دارد.برای مثال, DN زیر شئی کاربر جیمز اسمیت در حوزه Microsoft.com را نشان میدهد.

/DC=COM/DC=Microsoft/OU=Dev/CN=Users/CN=James Smith

DC = Domain Component Name (نام قسمت حوزه)
OU = Organization Unit Name (نام واحد سازمانی)
CN = Common Name (نام عمومی)

DN نمی تواند تکراری باشد.

25. اسامی متمایز نسبی (Relative Distinguished Name)
A.D به شما اجازه می دهد تا به دنبال یک شئی بگردید حتی اگر DN دقیق آن ناشناخته و یا تغییر کرده باشد. اینکار با پرس و جوی صفات آن شئی صورت می گیرد.نام متمایز نسبی (RDN) یک شئی، بخشئی از نام است که خود صفت یک شئی تلقی می شود. در مثال قبلی، RDN شئی کاربر جیمز اسمیت، James Smith می باشد.RDN شئی والد آن Users است.شما می توانید RDNهای تکراری برای اشئیاء A.D داشته باشئید،اما نمی توانید دو شئی با یک RDN دریک OU داشته باشئید.برای مثال نمی توان از حساب کاربری Amy Jones برای کاربر دیگری در همان OU (واحد سازمانی) استفاده کنید.ولیکن بهرحال می توانید اسامی RDN تکراری در OU های مجزا از هم داشته باشئید زیرا آنها DN های مختلفی دارند.

26. شناسه منحصربه فرد کلی (Globally Unique Identifier)
یک شناسه (معرف) منحصربه فرد عمومی (GUID) یک عدد128 بیتی است که تضمین می کند یکتا باشد. GUID ها در زمان درست شدن اشئیاء تخصیص می یابند. GUID هرگز تغییرنمی کند، حتی اگر آن شئی را تغییر نام دهید و یا منتقل نمائید.برنامه ها می توانند GUID یک شئی را ذخیره نموده و آن را
صرف نظر از DN فعلی اش بازیابی نمایند.

27. نام اصلی کاربر (User Principal Name)
حساب های کاربری، یک نام دوستانه (Friendly) دارند که آن "نام اصلی کاربر" (UPN) می باشد.UPN از نام "کوتاه شده ای" برای حساب کاربر و نام DNS درختی که شئی کاربر را نگه می دارد تشکیل شده است. برای مثال کاربر James Smith دردرخت Microsoft.com ممکن است UPN به شکل James@microsoft.com (James@microsoft.com) داشته باشد.

28. مقدمه ای بر طرح ریزی (Planning)
وقتی تصمیم می گیرید که یک شبکه ویندوز 2000 برپا کنید،می بایستی در نظر بگیرید که چطور یک فضای نام DNS وسرویس های A.D را پیاده نمائید.در ابتدا ساختار تجاری و کارکرد سازمانتان را امتحان کنید. در بسیاری از سازمان ها، واحد IS , کار تعریف و پیاده سازی ساختار شبکه را همراه با کوچکترین جزییات بعهده دارد. در سازمان های دیگر به خصوص شرکت های بزرگ، از یک روش غیر متمرکز برای مدیریت روابط تجاری و شبکه استفاده می شود. این سازمان ها بایستی، چندین واحد تجاری داشته باشند، که هر کدام نیازهای مختلفی برای مدیریت منابع شبکه شان در اختیار دارند. هنگام طراحی NS (فضای نام) و A.D ملاحظات زیر را در نظر بگیرید: محل های فیزیکی دفاتر، سازماندهی مجدد و رشد آتی، ودسترسی به منابع شبکه.

29. طرح یک Name Space) NS)
اکر شبکه شرکت شما از قبل در اینترنت معرفی شده باشد،می بایستی تصمیم بگیرید که آیا قصد توسعه NS خارجی برای استفاده در داخل شبکه را دارید و یا می خواهید یک NS جدید بیافرینید.

30. توسعه بخشئیدن یک NS موجود
شما می توانید یک NS موجود را طوری توسعه دهید تا آن را درحوزه های ویندوز 2000 سرور قرار دهید. البته می بایستی درنظر بگیرید که از یکNS یکسان برای منابع داخلی و خارجی استفاده نمائید اگر قصد انجام کارهای زیر را دارید:
• اسامی درخت سازگاری برای منابع داخلی و خارجی داشته باشئید.
• از یک نام کاربری و نام ورود (Logon) برای منابع داخلی وخارجی استفاده نمائید.
• بیش از یک فضای نام DNS را نگه ندارید.
وقتی از یک NS استفاده می کنید، می بایستی دو منطقه (Zone) DNS جداگانه برای سازمانتان درست نمائید.یکی از Zone ها (مناطق) تبدیل نام (Name Resolution) برای منابع داخلی و دیگری برای منابع خارجی را فراهم می سازد مثل سرورهای Web، سرورهای FTP ، سرورهای Mail و غیره.
31. ایجاد یک NSداخلی جدید
شما همچنین می توانید NS های مختلفی برای منابع داخلی وخارجی داشته باشئید در این حالت، تمام سرورهای داخلی شرکت، از یک NSاستفاده می نمایند، در حالیکه منابع خارجی مثل سرورهای اینترنت و FTP از NS دیگری استفاده می کنند.این پیکربندی نیاز به این دارد که شما دو NS را با یک منبع ثبت DNS اینترنتی رزرو نمایید.یعنی دو NS شما توسط یک منبع در اینترنت ثبت شوند.داشتن NS های مختلف را برای حالات زیر در نظر بگیرید:
• یک تمایز واضح بین منابع داخلی و خارجی
• مدیریت منابع داخلی و خارجی به طور مجزا
• پیکربندی ساده کلاینت پراکسی و مرورگر کلاینت.

32. طرح ریزی یک سایت
شما ساختار یک حوزه و یک سایت را به طور جداگانه درسرویس های A.D نگه می دارید. یک حوزه تنها،می تواند چندین سایت داشته باشد و یک سایت تنها می تواند چندین حوزه یا بخش هایی از چندین حوزه را دربر بگیرد.وقتی سایتی را طرح می کنید، به وجود پهنای باند برای ترافیک نسخه برداری (Replication) که در یک حوزه ایجاد می شود توجه فرمائید.برای مثال، فرض کنید که شما دفاتری در فونیکس، آریزونا، وفلگ استف، آریزونا داشته باشئید. و فرض کنید هر دوی این دفاتر در یک سایت قرار دارند در چنین حالتی، کنترولرهای حوزه در هر دفتر می بایستی به طور مکرر نسخه برداری نمایند.ولیکن با نصب هر دفتر به طور جداگانه در یک سایت جداگانه،می توانید یک زمان نسخه برداری مشخص نمائید تا از لحظاتی که تقاضا در شبکه کم است و ارتباطات بیشتری در دسترس قرار دارند یا حتی برقراری ارتباطات تلفنی (Dial-up) بصرفه باشنداستفاده نمائید. وقتی می خواهید بدانید چطور می توان زیرشبکه ها (Subnets) را در سایت ها طرح ریزی نموده می بایستی نکات زیر را مدنظر قرار دهید:
• فقط زیرشبکه هایی که ارتباطات مطمئن، ارزان و سریع با سرعت حداقل 512 kbps را به دست می دهند با هم ترکیب کنید.
• سایت ها را طوری پیکربندی نمانید تا عمل نسخه برداری(Replication) در زمان هایی دهد که به راندمان و کارائی شبکه اثر نگذارد.

33. طرح ریزی واحدهای سازمانی (O.U)
در یک حوزه تنها، می توانید حساب های کاربری و منابع را با استفاده از یک سلسله مراتب از OUها سازماندهی کنید تا ساختار شرکتتان را منعکس نماید.درست به همان شکل که شرکت شما می تواند چندین سطوح مدیریتی داشته باشد به همان ترتیب نیز می توانید چندین سطح مدیریتی به شکل OUها در حوزه تان درست نمائید.اگر می خواهید کارهای زیر را صورت بدهید به فکر درست کردن یک OU باشئید:
• قصد منعکس کردن استراکچر و سازمان شرکتتان در یک حوزه را دارید. بدون OU ها تمام حساب های کاربری صرف نظر از دپارتمان، محل و یا موقعیت کاربر به شکل یک لیست تنها، نگهداری و نمایش داده می شود.
• کنترل منابع شبکه و وظایف سرپرستی را تفویض کنید، در حالی که قابلیت مدیریت آنها را حفظ می نمائید. منظور از تفویض وظایف همان Delegation می باشد. شما می توانید مجوزهای سرپرستی را به گروه ها یا کاربران در سطح OU اعطا نمائید که این خود تفویض وظایف یا Delegation می باشد.
• تطبیق و تعدیل نمودن تغییرات نهفته در استراکچر سازمانی شرکتتان.می توانید به راحتی حسابهای کاربری را بین OU ها انتقال دهید، در حالی که انتقال دادن این حساب ها بین حوزه ها معمولأ به تلاش و دقت بیشتری نیاز دارند (یکی از مزایای طرح OUها ).
• اشئیاء را گروه بندی نمائید تا راهبران بتوانند منابع شبکه را به راحتی پیدا کنند و وظایف سرپرستی را بخوبی انجام دهند.برای مثال می توانید تمامی حساب های کاربری را برای کارمندان موقت در OU ها گروه بندی نمائید.
• قابلیت مشاهده منابع شبکه در سرویس های A.D را در محدود نمائید.کاربران تنها می توانند اشئیائی را ببینند که اجازه اش را دارند.

34. نصب سرویس های دایرکتوری Active Directory
در این قسمت اطلاعات درباره نصب سرویس A.D با استفاده از جادوگر (Wizard) نصب A.D را شرح می دهیم و نیز ولوم های اشتراکی و بانک اطلاعاتی ای را که سرویس های A.D حین نصب درست می کنند نشان خواهیم داد.

35. جادوگر نصب Active Directory Installation Wizard) A.D)
از جادوگر نصب A.D برای مقاصد زیر استفاده نمائید:
• اضافه کردن یک کنترولر حوزه به یک حوزه موجود.
• ایجاد اولین کنترولر حوزه برای یک حوزه جدید.
• ایجاد یک حوزه بچه جدید.(Child Domain)
• ایجاد یک حوزه درخت جدید.
جهت اجرای برنامه نصب A.D (Active Directory Installation Wizard) می توانید از برنامه دیگری به نام Windows 2000 Configure Server Wizard شروع کنید و یا از دستور Dcpromo.exe استفاده نمائید. منظور از جادوگر پیکربندی سرور 2000 همان Windows 2000 Configure Server Wizard می باشد وقتی برنامه نصب A.D را روی یک کامپیوتر مستقل یا تنها Stand alone)) راه بیاندازید، شما را به مراحل نصب یک کنترولر حوزه جدیدی روی این کامپیوتر هدایت می نماید. در طول نصب می توانید معلوم کنید که کنترولر حوزه جدیدی برای یک حوزه موجود درست کنید و یا این کنترولر حوزه اولین کنترولر حوزه شما در شبکه باشد.

36. افزودن یک کنترولر حوزه به یک حوزه موجود
اگرگزینه نصب یک حوزه برای یک کنترولر حوزه موجود را بپذیرید ، یک کنترولر حوزه نظیر (Peer) درست خواهد شد. با ایجاد یک حوزه نظیر یک حوزه اضافه درست می کنید که بار شبکه روی حوزه موجود را کاهش می دهد.
37. ایجاد اولین کنترولر حوزه بعنوان یک حوزه جدید
با پذیرش این حالت یک حوزه جدید درست خواهید کرد با ایجاد یک حوزه یا حوزه های دیگر در شبکه می توانید اطلاعات را بخش بندی کنید، تا سرویس های A.D را قادر سازید نیازهای سازمان های بسیار بزرگ را برآورده سازد. وقتی یک حوزه جدید درست می کنید، می توانید یک حوزه بچه یا درخت جدید درست نمائید. یک حوزه بچه را می توانید برای یک حوزه درخت (Tree) درست کنید و حوزه درخت را نیز برای یک جنگل موجود (Forest) به وجود آورید، و یا اینکه یک درخت درست کنید و بعد یک جنگل راه بیاندازید.
توجه : اجرای دستور Dcpromo.exe باعث می شود تا اگر در یک حوزه قرار دارید آن حوزه را حذف نمائید و بعد آن را به شکل یک سیستم تنها یا مستقل (Stand-alone) درآورید.

38. بانک اطلاعاتی و ولوم اشتراکی سیستم
نصب سرویس ها ی A.D در بانک اطلاعاتی و فایدهای گزارش (Log) بانک را همراه با ولوم اشتراکی سیستم درست می نماید. نسخه برداری ولوم سیستم اشتراکی همزمان با نسخه برداری سرویس های A.D انجام می گیرد. در نتیجه، شما ممکن است به نسخه برداری از یا به ولوم سیستمی که جدیدأ ایجاد کرده اید توجه نکنید تا اینکه هر دو پریودهای نسخه برداری به اتمام برسند (برای نمونه 10 دقیقه است) و این بدین دلیل است که اولین پریود ( دوره تناوب شروع نسخه برداری) نسخه برداری فایل، پیکربندی ولوم های سیستمی دیگر را بهنگام (Update) می نماید به شکلی که انگار از ولوم های سیستمی که جدیدا ایجاد شده اند آگاهی دارند


pastoo

19-01-2007, 23:00


بخش 3

39. انواع حوزه (Domain Mode)
دو نوع حالت متفاوت برای حوزه های وجود دارد: حالت ترکیبی (Mixed) و حالت محلی (Native).
1) حالت ترکیبی (Mined Mode)
وقتی برای بار اول یک کنترولر حوزه Windows 2000 Server برپا می کنید و یا حوزه ای را که تحت ویندوز NT بوده به ویندوز 2000 سرور ارتقاء می دهید، کنترولرها ی حوزه در حالت ترکیبی اجرا می شوند. حالت ترکیبی اجازه می دهد تا کنترولر حوزه ها با هر کنترولر حوزه ای که درحوزه های ویندوز قبلی مثل NT اجرا می شوند کار کنند : کنترولرهای حوزه ای که روی نسخه های قبلی ویندوز NT اجرا می شوند را کنترولر های حوزه سطح پائین (Down-level Domain Controllers) می گویند.
2) حالت محلی یا نوعی (Native)
وقتی تمام کنترولرهای حوزه موجود در حوزه از ویندوز 2000 Server استفاده می کنند و اگر شما قصد افزودن هیچ کنترولر حوزه سطح پایین اضافه تری به این حوزه را ندارید، می توانید حوزه تان را از حالت ترکیبی به حالت محلی ببرید.چندین اتفاق خیر، تبدیل از حالت ترکیبی به حالت محلی روی می دهد:
• پشتیبانی از نسخه برداری سطح پائین و کنترولرهای حوزه سطح پائین متوقف می شود بنابراین تمام حوزه ها می بایستی ویندوز 2000 را اجرا نمایند.
• دیگر نمی توانید حوزه های سطح پائین را به حوزه وصل نمائید.
• سروری که به عنوان کنترولر اصلی حوزه عمل می کند در طول انتقال (از حالت ترکیبی به حالت محلی) دیکر حوزه اصلی نمی باشد، تمام کنترولرهای حوزه نظیر هم عمل می کنند.

توجه: تبدیل از حالت ترکیبی به حالت بومی یک طرفه است،یعنی نمی توانید از حالت محلی به ترکیبی بروید.
از مراحل زیر جهت رفتن به حالت های متفاوت حوزه استفاده نمائید:
• آویزی (snap-in) بنام Trust & Active Directory Domain را اجرا نمائید.
• روی نام حوزه کلیک راست نمائید و بعد روی Properties .
• از نوار General روی Change To Native Mode کلیک کنید.
• در جعبه Warning روی Yes کلیک کرده و بعد، OK نمائید.

40. امتحان نصب سرویس هایActive Directory و مشاهده حوزه
در این تمرین ابتدا یک سرور تنها (Stand-alone) یا متکی بخود را به یک کنترولر حوزه تبدیل می کنید و سرویس های A.D را به رویش نصب می نمائید. بعد از آن می توانید از طریق رفتن به بخش My Network Places مطمئن شوید که حوزه وجود دارد یا نه و بعد از طریق آویزActive Directory Users & Computer حوزه تان را مشاهده نمائید.آخرین کاری که باقی می ماند تبدیل حوزه ا ز حالت ترکیبی پیش فرض به حالت محلی است.

1) تمرین1 : ارتقاء دادن یک سرور مستقل (Stand-alone) به یک کنترولرحوزه
در این تمرین با استفاده از فرمان Dcpromo.exe سرویس های محلی را روی سرور مستقلتان نصب نمائید و آن را به شکل یک کنترولر حوزه در یک حوزه جدید تبدیل نمائید.
برای نصب سرویس های دایرکتوری A.D بر روی یک سرور مستقل مراحل زیر را پی بگیرید:
1) کلیک روی منوی Start و بعد Run
2) تایپ فرمان dcpromo و بعد OK .جادوگر نصب Active Directory ظاهر می شود.
3) کلیک روی Next ( صفحه نوع کنترولر حوزه ظاهرمی شود)
4) گزینه Domain Controller For A New Domain را علامت بزنید و بعد Next ، در این حالت صفحه Create Tree or Child Domain ظاهر می شود.
5) گزینه Create A New Domain Tree را علامت بزنید و بعد Next کنید.
6) گزینه Create A New Forest Of Domain Tree را علامت بزنید و بعد Next کنید. صفحه Domain Name ظاهرمی شود.
7) در جعبه Full DNS Name For New Domain جمله domain.com را وارد نمائید و بعد Next کنید.
توجه: اگر از عبارت domain.com بعنوان نام حوزه DNS تان استفاده نمی کنید، نام مورد نظرتان را بدهید.صفحه NetBIOS Domain Name ظاهر می شود.
8) مطمئن شوید که در جعبه Domain NetBIOS Name کلمه DOMAIN ظاهر شده باشد و بعد روی Next کلیک نمائید.(می توانید نام حوزه مورد نظرتان را وارد نمائید).صفحه Database And Log Locations ظاهر می شود.
9) مطمئن شوید که مسیر C:\Winnt\Ntds برای بانک اطلاعاتی و فایل گزارش مشخص شد. باشد و بعد Next نمائید.
نکته : اگر ویندوز 2000 را در درایوی بجز C و فولدری غیر از Winnt نصب کرده اید مسیر فوق را اصلاح کنید.صفحه Shared System Volume ظاهر می شود.
10) مطمئن شوید که محل فولدر Sysvol در C:\winnt\sysvol باشد.
11) روی Next کلیک کرده و مسیر C:\Winnt\sysvol را برای sysvol بپذیرید.صفحه Permission سریعا ظاهرمیشود.
12) مورد Permission http://www.developercenter.ir/Forum/images/smilies2/comp.gifatible only with Windows 2000 Server را پذیرفته و بعد Next‌ کنید.صفحه Directory Services Restore Mode Administrator Password ظاهر می شود.
13) در جعبه های Password و Confirm Password رمز عبور را وارد کرده و بعد Next نمائید.صفحه Summary همراه با لیستی از گزینه های انتخاب شده ظاهر می شود.
نکته : بهتر است رمزی وارد کنید که با رمز راهبری تان فرق داشته باشد.
14) محتوای صفحه Summary را مطالعه کرده و بعد Next کنید.فرآیند پیکربندی A.D شروع می شود و سرویس های A.D نصب می شوند این کار مدتی طول می کشد.
15) وقتی صفحه Completing The Active Directory Installation Wizard ظاهر می شود، روی Finish کلیک کرده و دکمه Restart Now را بپذیرید.

2) تمرین 2: حوزه تان را مشاهده کنید
در این تمرین حوزه ای ر ا که ساختید مشاهده می کنید:
جهت وارسی My Network Places :
1) به شکل Administrator وارد شوید.
2) دوباره روی My Network Places کلیک نمائید.پنجره مربوطه ظاهر می شود.
3) روی Entire Network دو بار کلیک کنید و بعد روی پیوند Entire Contents بزنید.آیکون Microsoft Windows Network ظاهر می شود.
4) روی آیکون Microsoft Windows Network دوبار کلیک کنید.در این حالت پنجره فوق باز می شود و آیکون Domain دیده می شود.
5) پنجره فوق را ببندید.

3) تمرین 3: استفاده از آویز یا قلاب (Snap-in) ، Active Directory Users & Computer
برای استفاده از این قلاب (Snap-in) یا آویز مراحل زیر را دنبال کنید:
1) مراحل زیر را دنبال کنید:
Start > Programs > Administrative Tools > Active Directory Users & Computer
2) در درخت کنسول، عبارت نام حوزه domain.com را باز کنید (یا نام حوزه فرضی خودتان)
3) در درخت کنسول،روی Domain Controllers کلیک کنید. نام سرورتان را ملاحظه خواهید کرد.
آویز فوق را همچنان باز بگذارید تا تمرین 4 را انجام دهید.

4) تمرین4: تغییر حوزه تان از حالت ترکیبی (Mixed) به حالت محلی (Native)
جهت تغییر حالت حوزه از ترکیبی به محلی روال زیر را دنبال نمائید:
1) در درخت کنسول، روی domain.com کلیک کنید (این نام فرضی می باشد).
2) کلیک روی Action , بعد کلیک روی Properties در منوی Action .جعبه گفتگوی Properties مربوط به حوزه domain.com ظاهر می شود.
3) در نوار General روی دکمه Change Mode کلیک کنید. درجعبهActive Directory Service هشداری نشان داده می شود که می گوید تغییر در حالت حوزه دیگر قابل برگشت نیست.
4) کلیک روی Yes و بعد OK تا جعبه Properties بسته شود.
پس از اتمام کار پیامی ظاهر می شود که نشان دهنده موفقیت عملیات است و می گوید این عملیات ظرف 15 دقیقه یا بیشتر کار کپی برداری روی تمام کنترولرهای حوزه را صورت می دهد.
5) OK کرده و تمام پنجره های باز را ببندید.

41. پیکربندی نسخه برداری دایرکتوری فعال(Active Directory Replication)
سرویس های دایرکتوری A.D،به طور خودکار یک توپولوژی (یا هم بندی) پیش فرض را برای فعال ساختن نسخه برداری در یک حوزه پیکربندی می نماید.گرچه برای شبکه ای با چندین محل (Location) ، شما می بایستی توپولوژی (شکل بندی- نحوه اتصال) نسخه برداری (Replication) را جوری سفارشئی نمائید تا فشار ترافیک نسخه برداری در شبکه را کاهش دهد (Customize) . برای پیکربندی نسخه برداری (المثنی سازی یا به نوعی اعمال تغییرات صورت گرفته روی یک حوزه بر روی بخش ها و حوزه های دیگر شبکه) شما نیاز به نگاشت (Map) شبکه فیزیکی تان به سرویس های دایرکتوری A.D دارید که اینکار با ایجاد سایت ها و پیوندهای سایت انجام می گیرد. یک سایت (Site) عبارت از ترکیبی از یک یا چند زیرشبکه IP (Internet Protocol) است که از طریق یک خط پر سرعت بهم مرتبط می باشند. یک پیوند سایت (Site Link) عبارت از یک ارتباط میان دو یا چند سایت می باشد. وقتی یک ارتباط سایت درست می کنید، مقادیری را مشخص می کنید که اطلاعاتی درباره ارتباطات قابل دسترس، دفعات تکرار ارتباط و پهنای باند موجود بدست می دهد. سرویس های A.D از این اطلاعات برای تعیین دفعات و ارتباطات مورد نیاز برای نسخه برداری که باعث ارائه بهترین کارائی و راندمان می شود استفاده می نمایند.

42. فهم نسخه برداری میان سایت ها
در ویندوز NT ، عمل نسخه برداری ، روی یک سیستم اصلی و یکتا انجام می گیرد. تمام تغییرات روی داده در حوزه بر روی کنترولر اصلی حوزه اتفاق می افتد. این تغییرات سپس مستقیما روی کنترولرهای پشتیبان نسخه برداری (نمونه برداری) می شوند. در ویندوز NT ، تنها راه کنترل جریان ترافیک نسخه برداری با ایجاد چندین حوزه و در محل های فیزیکی مختلف روی می دهد. ولیکن در ویندوز 2000 ، تمامی کنترولرهای حوزه متناظر (Peer) هستند و نسخه برداری چند اربابی است (Multimaster یعنی بیش از یک حوزه اصلی برای این کار وجود دارد و تمام حوزه ها می توانند اصلی باشند).
اینطور نتیجه می گیریم که شما می توانید تغییراتی را روی یک حوزه در درون هر کنترولر حوزه ای اعمال کنید و این تغییرات به هر کنترولر حوزه دیگری در حوزه نسخه برداری شود. در شبکه ویندوز 2000 ، می توان جریان ترافیک نسخه برداری را با پیکربندی سایت ها و پیوندهای سایت ها که استراکچر فیزیکی شبکه تان را با سرویس های A.D مرتبط (نگاشت یا Map) می کنند کنترل نمائید. در یک سایت ، ویندوز 2000 به طور خودکار نسخه برداری را پیکربندی می کند. اگرچه می توانید این پیکربندی را برای بهینه ساختن عمل نسخه برداری اصلاح نمائید. ولیکن بین سایت ها، می بایستی نسخه برداری را به طور دستی پیکربندی کنید.
وقتی شما سرویس های A.D را نصب می کنید، جادوگر نصب A.D به طور پیش فرض توپولوژی ای را درست می کند که نسخه برداری برای یک محل تنها با ارتباط پر سرعت را تعدیل می کند ولیکن اگر چندین محل داشته باشئید، نسخه برداری A.D برای ساختار شبکه تان بهینه نخواهد شد.
برای بهینه سازی ترافیک نسخه برداری ، می بایستی توپولوژی نسخه برداری پیش فرض را با نگاشت (Mapping) ساختار فیزیکی شبکه تان به سرویس های A.D سفارشئی نمائید.
فرق این روش سفارشئی شده با روش بالا، این است که تنظیم درست عمل نسخه برداری باعث می شود تا فقط با یکبار نمونه گیری اینکار را روی تمام کنترولرمای حوزه انجام داد. تحلیل این دو روش این است که در روش اول ، ابتدا تغییراتی در یکی ازحوزه های شهر آتلانتا روی می دهد، سپس این تغییرات از طریق یک خط کم سرعت به حوزه ای دیگر در شهر مکزیکوسیتی کپی برداری (نسخه برداری یا Replicate) می شود و بعد به حوزه دیگری درهمان شهر و سپس به حوزه دیگری در شهر آتلانتا اعمال می شود و بعد در بازگشت این تغییرات مجددا به حوزه ای دیگر در شهر مکزیکوسیتی برمی گردد و در پایان به آخرین حوزه در شبکه آتلانتا باز می گردد. می بینید که چندین بار تبادل اطلاعات بین شبکه های دو شهر روی می دهد که ترافیک زیادی ایجاد می کند اما در روش دوم که روش سفارشئی شده ای می باشد. ابتدا تغییرات در یکی از حوزه های شبکه آتلانتا روی می دهد و بعد از نسخه برداری این تغییرات روی تمام حوزه های شهر آتلانتا به حوزه های شهر مکزیکوسیتی ارسال می گردد که فقط به یکبار ارسال به شهر مکزیکوسیتی نیاز دارد بنابراین ترافیک را نسبت به روش اول بسیار کاهش می دهد.

43. آزمایش کردن محل قرارگیری ارتباط بین سایت ها
در ویندوز 2000 شما یک مدل برای سایت ها و پیوند بین آنها تعریف می کنید. با این مدل کنترل جریان ترافیک نسخه برداری را مشخص می کنید. بسته به مدلی که در نظر گرفتید سرویس A.D ارتباطی درست می کند که نسخه برداری را فعال می نماید. اگر ارتباطی در توپولوژی نسخه برداری قطع شود، سرویس A.D ارتباطات باقی مانده را طوری اصلاح می کند تا عمل نسخه برداری در شبکه مختل نشود.

44. ایجاد و پیکربندی یک سایت
بعد از تأمین هزینه برقراری ارتباط WAN( بین شهری)، می توانید شبکه فیزیکی تان را به سرویس هایA.D از طریق پیکربندی سایت ها متصل (MAP) نمائید و بعد پیوند سایت ها (Site Link) را جهت تعریف ارتباطات بین این سایت ها پیکربندی نمائید.
پیکربندی یک سایت مستلزم ایجاد یک سایت و پیکربندی یک زیرشبکه (Subnet) در سرویس ها دایرکتوری A.D است.زیرشبکه ها نواحی آدرس های IP را که در یک سایت وجود دارند تعریف می کنند. وقتی یک زیر شبکه را پیکربندی می کنید می بایستی آن را به یک سایت مربوط نمائید. نکته مهم: برای پیکربندی و ایجاد یک سایت و زیرشبکه (یا شبکه فرعی) در سرویس های A.D ، می بایستی جزء گروه Enterprise Admin باشئید. این گروه در حوزه ریشه یک جنگل وجود دارد.
بعد از ایجاد سایت ها می بایستی آن را به یک پیوند سایت مربوط نمائید. قبل از اینکار می بایستی یک پیوند سایت پیش فرض بنام DEFAULTIPSITELINK تعریف کنید.
نکته: جادوگر نصب Active Directory یک پیوند سایت پیش فرض در طول فرایند نصب درست می کند.
شما سایت ها را در سرویس های A.D برای بهبود ترافیک نسخه برداری درست می کنید و به کاربران امکان اتصال به کنترولر حوزه با استفاده از یک ارتباط سریع و مطمئن می دهید.برای ایجاد پیکربندی یک سایت، از آویز Active Directory Sites & Services استفاده کنید، روی Sites کلیک راست کرده و سپس روی New کلیک نمائید و بعد روی Site کلیک کنید. در این مرحله می بایستی یک نام سایت وارد کنید و یک پیوند سایت را انتخاب نمائید.
45. پیکربندی یک زیرشبکه در سرویس های Active Directory
یک زیرشبکه (Subnet) در سرویس های A.D ارتباطی بین آدرس های IP و سایت ها برقرار می سازد. شما فقط می توانید یک زیرشبکه را به یک سایت وصل کنید، ولیکن می توانید یک سایت را به چندین زیرشبکه وصل نمائید. وقتی یک زیرشبکه را در سرویس A.D پیکربندی می کنید، می بایستی یک شناسه همپوشانی بیتی/ شبکه (Network/bit-masked) برای زیر شبکه مشخص نمائید.
شناسه Network/bit-masked در خود ID زیرشبکه ((Identifier) شناسه شبکه) را برای زیر شبکه و شماره بیت های ماسکدار (Bits Masked) را برای ماسک زیرشبکه نگه می دارد (منظور از ماسک یا پوشش یعنی تطبیق دو سری از اعداد دودوئی با یکدیگر جهت پی بردن به مشابهت آنها با هم مثلا ماسک زیرشبکه یعنی تطبیق دو آدرسIP و زیرشبکه با یکدیگر برای یافتن یکسان بودن شبکه از نظر آدرس IP).
برای مثال اگرID زیرشبکه تان 10.14.208.0 باشد و ماسک زیرشبکه 255.255.240.0 جهت تعیین اینکه شناسه Network/bit-masked شما 10.14.208.0/20 باشد مراحل زیر را دنبال می کنیم.
توجه کنید که ماسک زیرشبکه با چهار عدد دسیمال که با نقطه جدا می شوند مشخص می شود. هر عدد را می توان با یک عدد اکتال (مبنای هشت) نیز معلوم کرد بدین صورت که با 8 عدد باینری (بیت ها) نمایش داده می شوند. برای محاسبه شماره بیت های ماسک شده می بایستی کارهای زیر را انجام دهید:
1) برنامه Calculator (ماشئین حساب) را اجرا کنید و در منوی View آن گزینه Scientific را بپذیرید.
2) دکمه Dec را علامت بزنید.
3) اولین عدد اکتال ماسک زیرشبکه تان را وارد کنید.اگر ماسک شما 255.255.240.0 بود، اولین اکتال 255 است.اولین عدد اکتال همیشه در سمت چپ قرار دارد.
4) روی دکمه Bin کلیک کنید.عددی به شکل دودوئی با هشت بیت 1 دیده می شود.
5) با فشردن Dec مجدداٌ به حالت قبل بازگردید.
6) سه عدد اکتال بعدی را نیز به همان ترتیب وارد نمائید و اعداد بدست آمده را در جدول زیر قرار دهید. اعداد ستون دوم را جمع و کل آنها را ضبط نمائید.

تعداد بیتهای یک Octet (عدد اکتال)
8 اولین عدد
8 دومین عدد
4 سومین عدد
0 چهارمین عدد
20 جمع کـــــل

جمع کل ، تعداد بیت های ماسک شده (پوشش داده شده) با ماسک زیرشبکه تان را نشان می دهد.
7) Calculator را ببندید.
برای پیکربندی یک زیرشبکه در سرویس های A.D ، از Active Directory Site & Service استفاده نمائید. عبارت Sites را باز کنید تا زیرشبکه ها (Subnets) دیده شوند.وقتی New Subnet را می پذیرید، می بایستی یک شناسه Network/bit-masked و یک سایت را که زیر شبکه بدان وصل است فراهم نمائید.

46. پیکربندی یک پیوند سایت (Site Link)
بعد از پیکربندی سایت ها، پیوند سایت ها را در سرویس های A.D ایجاد می کنید برای هرپیوند سایت ، نیاز به تعریف خصوصیات زیر برای معرفی ارتباطات شبکه تان دارید:
 هزینه (Cost) : به طور پیش فرض هزینه یک پیوند سایت 100 است.
 فاصله زمانی عمل نسخه برداری (Replication Interval) : فاصله زمانی نسخه برداری تعداد دفعات عمل نسخه برداری را مشخص می کند. به طور پیش فرض نسخه برداری هر سه ساعت روی می دهد.
 زمان بندی (Schedule) : زمان بندی مشخص می کند که کدام پیوند در دوره هایی از زمان فعال باشد. برای مثال، ممکن است پیوند سایتی که از خطوط تلفن (Dial-Up) استفاده می کند در ساعات اداری که نرخ مکالمات بالاست غیر فعال باشد. به طور پیش فرض نسخه برداری می تواند در تمام زمان ها روی بدهد.
توجه : برای تعیین خصوصیات پیوند سایت از نوار General در جعبه Properties مربوط به یک پیوند سایت استفاده نمایید.
برای ساختن یک پیوند سایت ، Services & Active Directory Sites را باز کرده، مورد Sites را بسط دهید (Expand) و گزینه Inter-Site Transports , را باز کنید.
روی IP یا SMTP کلیک راست نمائید، بسته به اینکه از کدام پروتکل انتقال برای پیوند سایتتان استفاده می کنید، و بعد روی New Site Link کلیک نمائید.
در جعبه Name ، نام پیوند را وارد کنید روی دو یا چند سایت کلیک کنید تا در این پیوند قرار دهید و بعد Add را بپذیرید.
توجه : برای برقراری ارتباط یا از پروتکل IPاستفاده کنید و یا از(Simple Mail Transport Protocol) SMTP به عنوان پروتکل انتقال برای ارتباطات بین سایت ها.
پروتکل بهتر IPاست زیرا SMTP در قابلیت های نسخه برداری محدودیت هایی دارد.بعد از پیکربندی سایت ها و پیوندهایشان سرویس های A.D جریان ترافیک نسخه برداری را هدایت می کنند.

47. پیکربندی یک سرور کاتالوگ سراسری (Global Catalog)
بعد از پیکربندی نسخه برداری Active Directory برای شبکه تان می بایستی یک سرور کاتالوگ (فهرست) سراسری برای هر سایت در شبکه درست کنید تا اهداف زیر را انجام دهند:
 برای بهبود اجرای پرس وجوها در جنگل های وسیع (Forestwide) ، با فراهم آوردن یک لیست جزئی از صفات برای هر شئی در سرویس های A.D . یعنی هر شئی دارای لیستی از صفات است که کار یافتن آن را آسان می سازد.
 کاهش زمان لازم جهت ورود کاربران (Login) با این تضمین که ترافیک ورود فقط در آن سایت باقی می ماند (یعنی این ترافیک در آن سایت نگه داشته می شود و به جاهای دیگر سرایت نمی کند).
 بهبود اطمینان از ورود کاربر، با این اطمینان که چندین سرور کاتالوگ کلی (سراسری) وجود دارند که ورود کاربر را کامل می کنند.
 برای پیکربندی یک کنترولر حوزه به شکل یک سرور کاتالوگ سراسری، از آویز Active Directory Site & Services استفاده نمائید. در درخت کنسول (ساختار چیدن مطالب در پنجره)، روی NTDS Settings کلیک راست نموده , Properties را پذیرفته و در نوار General جعبه Global Catalog Server را علامت بزنید.
توجه: سرویس های A.D به طور خودکار، اولین کنترولر حوزه در یک درخت را بعنوان سرور کاتالوگ کلی در نظر می گیرند.
حذف ارسالي ويرايش ارسالي