ایجاد Domain Trees جدید
برای ایجاد یک domain tree جدید در forest موجود یا در حال کار، شما احتیاج به یک اکانت معتبر دارید که عضو گروه Enterprise Admins مربوط به forest در حال کار باشد که قرار است آن domain tree جدید بخشی از این forest در حال کار باشد. شما میتوانید با اینستال کردن یک دومین کنترولر با یک فضای نام مورد نظر، یک domain tree جدید ایجاد کنید که میتوانید از مراحل زیر استفاده کنید :
با اجرای ویزارد Active Directory Domain Services از مسیر کلیک کردن Start ، نوشتن dcpromo در جعبه جستجو Search box و فشار دادن کلید Enter ، اینستال کردن را آغاز میکنیم. قبل از اجرای ویزارد، اطمینان حاصل کنید که AD DS binaries اینستال شده باشد. اگر شما AD DS binaries را اینستال نکرده باشید، ویزارد آن را اینستال میکند. بعد از اینستال کردن AD DS binaries در صورت احتیاج، ویزارد صفحه مقدماتی را نمایش میدهد .
در صفحه اولیه ویزارد، قبل از کلیک کردن Next ، Use Advanced Mode Installation را انتخاب کنید و سپس ادامه دهید. اگر شما از Advanced Mode استفاده نمیکنید، شما میتوانید child domains در forest در حال کار ایجاد کنید ولی نمیتوانید یک domain tree جدید در forest در حال کار ایجاد کنید. همچنین مد Advanced به شما اجازه میدهد تا نام NetBIOS را برای دومین انتخاب کنید .
اگر صفحه سازگاری سیستم عامل Operating System Compatibility نشان داده شد، خلاصه هشدار در مورد تنظیمات پیشفرض امنیتی برای دومین کنترولر ویندوز سرور ۲۰۰۸ است، سپس Next را کلیک کنید .
در صفحه Choose A Deployment Configuration ، ابتدا Existing Forest را انتخاب کرده سپس Create A New Domain In An Existing Forest انتخاب و در آخر Create A New Domain Tree Root Instead Of A New Child Domain را انتخاب میکنیم، همانطور که در شکل ۹-۲ نشان داده شده است. شما این گزینه را انتخاب میکنید تا یک domain tree جدید که جدا از هر tree موجود در forest اکتیو دایرکتوری است، ایجاد کنید. با انتخاب آن مشخص میکنید که Domain جدید در parent domain موجود نمیباشد. بطور مثال شما دارای دومین adatum.com میباشید که در حال کار است، حال میخواهید یک دومین در tree جدید در forest به نام cpandl.com ایجاد کنید که این گزینه را انتخاب میکنید .
شکل ۹-۲ ایجاد یک Domain Tree جدید
با کلیک کردن Next ، شما صفحه Network Credentials را مشاهده خواهید کرد که در شکل ۱۰-۲ مشاهده میکنید. در این قسمت نام کامل DNS دومین خود را که میخواهید در forest موجود، با اینستال کردن دومین کنترولر برای ایجاد tree جدید ایجاد کنید، بنویسید. ترجیها نام باید شبیه forest root domain بطور مثال cpandl.com باشد (فرمت نام). اگر شما به یک دومین لاگان کردید و اکانت شما عضو گروه Enterprise Admins میباشد، شما میتوانید از اعتبار اکانت خود استفاده کنید و نصب و راه اندازی کنید. در غیر اینصورت گزینه اعتبارنامه جایگزین Alternate Credentials را انتخاب کنید، Set را کلیک کنید و اسم یوزر و پسوردی را بدهید که در گروه Enterprise Admins میباشد. سپس Next را کلیک کنید .
شکل ۱۰-۲ شناسایی دومین در forest موجود و ست کردن اعتبار credentials
وقتی شما Next را کلیک میکنید، ویزارد پیکربندی forest را چک میکند و تلاش میکند تا با یکی از دومین کنترولرهای مربوط به دومین قبلی ارتباط برقرار کند. اگر احراز هویت با خطا مواجه شد، ممکن است اکانت شما معتبر نباشد و یا پسورد شما اشتباه باشد که به مرحله قبل برگردید تنظیمات اعتبار credential را چک کنید. اگر خطای پیکر بندی رخ دهد، شما یک خطای شبیه شکل ۱۱-۲ خواهید دید که نیاز به تغییرات پیکربندی، قبل از ادامه دادن خواهید داشت. با چک کردن تنظیمات TCP/IP شروع کنید. حداقل، سرور باید دارای آدرس IPv4 معتبر و preferred DNS server باشد. اگر این تنظیمات درست هستند، شما نیاز به بررسی رکورد ldap SRV _ برای tcp zone _ بر روی سرور DNS معتبر خود دارید . اطمینان حاصل کنید که این رکوردهای گفته شده و رکوردهای A به درستی پیکربندی شده اند .
شکل ۱۱-۲ مرور هشدارها و مسائل مربوط، قبل از ادامه دادن
در مرحله بعد، ویزارد فهرست دومین ها در forest را میخواهد و اسم در صفحه New Domain Tree Root را که در شکل ۱۲-۲ میبینید، نشان میدهد. اسم کامل DNS را که برای دومینی که میخواهید پایه domain tree جدید باشد، تایپ کنید و سپس Next را کلیک کنید. اسم دومینی که شما استفاده میکنید، نباید subdomain برای parent domain موجود در هر tree داخل forest باشد .
شکل ۱۲-۲ اسم دومین جدید به عنوان پایه برای domain tree جدید مشخص میکند
ویزارد تلاش میکند که اسم دومین را معتبر کند. اگر دومینی در forest موجود با این نام باشد، شما پیغام خطا خواهید دید و احتیاج دارید که دوباره به مرحله قبل برگردید و یک اسم دومین دیگر بنویسید. اگر این اسم در دومین های موجود در forest نباشد، ویزارد تلاش میکند که این اسم را رجیستر کند. برای اینکار، ویزارد احتیاج به استفاده از اعتبار یوزری دارد که عضو گروه Enterprise Admins باشد و شما در مراحل قبل آن را وارد کردید. اگر آن عضو این گروه گفته شده نباشد، اینستال با شکست برخورد میکند و شما مجبور هستید دوباره به مراحل قبل برگردید. بنا بر این اگر شما یک پیغام هشدار در مورد اعتبار یوزر مشاهده کردید، No را کلیک کنید تا به صفحه Name The New Domain Tree Root برگشته و سپس Back را کلیک کنید تا یک اعتبار جدید در صفحه Network Credentials ست کنید .
هنگامی که ویزارد نام دومین را قبول و تائید کرد، آن از این اسم استفاده میکند و نام پیشفرض NetBIOS را بوجود میاورد. اگر شما از مد advanced installation استفاده میکنید یا ویزارد یک تضاد conflict را تشخیص دهد، شما میتوانید نامی که ویزارد بوجود آورده را قبول کنید و یا یک اسم جدید NetBIOS را که ماکزیمم ۱۵ کارکتر باشد، تایپ کنید. سپس Next را کلیک کنید .
در صفحه Set Domain Functional Level ، سطح کارکرد دومین خود را برای دومین کنترولری که شما قصد نصب در دومین دارید، مشخص کنید. سپس Next را کلیک کنید .
وقتی شما Next را کلیک کنید، ویزارد sites های موجود در اکتیو دایرکتوری را مشخص میکند. در صفحه Select A Site ، شما لیست sites های موجود را مشاهده میکنید، که در شکل ۱۳-۲ نشان داده شده. اگر یک site مربوط به آدرس IP ای که سرور شما دارد باشد، قسمت Use The Site That Corresponds To The IP Address Of This Computer را کلیک کنید تا دومین کنترولر جدید به این site انتقال داده شود. اگر شما میخواهید دومین کنترولر را به یک site دیگر یا subnet ای که برای آدرس IP موجود وجود ندارد منتقل کنید، site ای که مورد نظر دارید تا دومین کنترولر در آن باشد را انتخاب کنید .
شکل ۱۳-۲ دومین کنترولر را به site مناسب منتقل کنید
وقتی شما Next را کلیک میکنید، ویزارد تنظیمات DNS را بررسی میکند و تلاش میکند تا ببیند سرورهای معتبر DNS در دسترس هستند و سپس صفحه Additional Domain Controller Options را نشان میدهد. قابلیت سرور DNS به صورت پیشفرض انتخاب شده است تا دومین کنترولر بتواند به عنوان سرور DNS نیز کار کند. یک DNS zone و یک delegation برای zone مربوطه به صورت اتوماتیک برای این دومین ایجاد یا ساخته میشود. قابلیت گلوبال کاتالوگ Global Catalog به صورت پیشفرض انتخاب نشده است. اگر شما قابلیت گلوبال کاتالوگ را انتخاب میکنید، به خاطر داشته باشد که این اولین دومین کنترولر در domain tree جدید است که همچنین میزبان رول های operations master در سراسر دومین جدید است که رول infrastructure master نیز شامل آن است. بودن رول infrastructure master بر روی سرور گلوبال کاتالوگ در یک دومین child میتواند سبب مشکلات شود، مگر آنکه تمام دومین کنترولرها سرور گلوبال کاتالوگ باشند .
بقیه مراحل به همان صورتی است که قبلا توضیح داده شده است که میتوانید در مرحله قبل (ایجاد forest جدید) آن را بخوانید. توجه کنید که شما از Use Advanced Mode Installation استفاده کردید، دومین کنترولر اصلی پارتیشن های دایرکتوری configuration و schema را replicate میکند. اگر شما Let The Wizard Choose An Appropriate Domain Controller را انتخاب کنید، اولین دومین کنترولر نوشتنی در forest به جستجوی ویزارد پاسخ میدهد و برای replication استفاده میشود. برای مشخص کردن آنکه کدام دومین کنترولر برای replication کردن پارتیشن های دایرکتوری configuration و schema استفاده شود، Use This Specific Domain Controller را انتخاب کنید و سپس نام دومین کنترولر را و سپس Next را کلیک کنید .
علاوه بر این، بعد از اینستال کردن AD DS ، شما احتیاج به پیکربندی DNS دارید که تفکیک پذیری نام name resolution با همه دومین های موجود کار کند. برای فعال کردن name resolution ، برای کامپیوترهای داخل دومین جدید، شما احتیاج به ساخت secondary zones برای تمامی دومین های موجود در دومین جدید دارید و سپس Zone Transfers را پیکربندی کنید. برای فعال کردن تفکیک پذیری نام name resolution از دومین های موجود به دومین جدید، شما احتیاج به ساخت secondary zones در دومین های موجود برای دومین جدید دارید و سپس Zone Transfers را پیکربندی کنید .
روی یک سرور برای اینستال کردن ویندوز سرور ۲۰۰۸ به صورت Full یا Core ، شما میتوانید یک domain tree جدید را با استفاده از اینستال unattended یا فرمان command ایجاد کنید. شما باید با اکانتی که عضو گروه Enterprise Admins در forest لاگان کرده باشید.
با روش unattended برای اینستال کردن، شما باید در ابتدا یک فایل پاسخ answer file آماده کنید که در آن مقادیر تنظیمات گنجانده شده باشد. شما میتوانید یک فایل پاسخ answer file برای ایجاد یک domain tree جدید با استفاده از مراحل زیر ایجاد کنید :
Notepad یا هر برنامه ای که میتواند text را ادیت کند را باز کنید .
اگر شما میخواهید در داخل answer file توضیحاتی comments بنویسید، در ابتدای هر خط توضیح از نقطه و ویرگول semicolon (;) استفاده میکنید. هر خطی که ابتدا با نقطه و ویرگول semicolon (;) آغاز شود به عنوان توضیح comment شناخته میشود .
در اولین خط [DCINSTALL ] را تایپ کنید .
این ورودی ها را وارد کنید، هر ورودی در یک خط باشد :
ReplicaOrNewDomain=Domain
NewDomain=Tree
NewDomainDNSName=FQDNOfNewDomain
DomainNetbiosName=NetBiosName
DomainLevel=DomainFunctionalLevel
SiteName=SiteName
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=Yes
UserDomain=DomainOfAdminAccount
UserName=AdminAccountInParentDomain
Password=*
ReplicationSourceDC=SourceDC
DatabasePath="LocalDatabasePath"
LogPath="LocalLogPath"
SYSVOLPath="LocalSysVolPath"
SafeModeAdminPassword=
RebootOnCompletion=Yes
توجه: مقادیری که شما باید مشخص کنید، به صورت ضخیم bold نشان داده شده است. اگر شما نمیخواهید پسورد را داخل فایل بنویسید، شما میتوانید برای پسورد ستاره Asterisk (*) ست کنید. وقتی شما Dcpromo را اجرا کنید و آغاز به تجزیه و تحلیل کند، از شما پسورد را درخواست میکند.
تیپ: با ست کردن CreateDNSDelegation=Yes ، شما از پیکربندی تنظیمات DNS برای دومین مطمئن میشوید. شما ReplicaOrNewDomain را برای دومین ست میکنید چون شما بجای اینستال یک دومین کنترولر جدید، یک دومین جدید اینستال میکنید. شما set NewDomain را Tree ست میکنید، چون شما یک domain tree جدید ایجاد میکنید .
اگر اکانتی که برای اینستال کردن AD DS استفاده میشود، متفاوت با اکانت داخل parent domain که دارای مجوز است میباشد، نیاز به ساختن یک DNS delegation میباشد، شما باید با قرار دادن این پارامترها اکانتی که میخواهد DNS delegation را ایجاد کند، مشخص کنید :
DNSDelegationUserName=DelegationAdminAccount
DNSDelegationPassword="Password"
فایل پاسخ answer file را با فرمت .txt ذخیره کنید و جایی قرار دهید که بتوانید از سرور مورد نظر به آن دسترسی داشته باشید .
در زیر یک مثال کامل را میبینید :
; New Domain Tree
[DCInstall]
NewDomainDNSName=fabrikam.com
DomainNetbiosName=FABRIKAM
DomainLevel=2
SiteName=LA-First-Site
CreateDNSDelegation=No
UserDomain=cpandl.com
UserName=cpandl.com\williams
ReplicationSourceDC=CorpServer65.cpandl.com
DatabasePath="D:\Windows\NTDS"
LogPath="D:\Windows\NTDS"
SYSVOLPath="D:\Windows\SYSVOL"
; Set SafeModeAdminPassword later
; Run-time flags (optional)
وقتی فایل پاسخ answer file را ایجاد کردید، میتوانید از فرمان زیر برای آغاز اینستال unattended استفاده کنید :
"dcpromo /unattend:"PathToAnswerFile
بطور مثال، فایل پاسخ answer file به نام newtree.txt و در مسیر C:\data میباشد، که فرمان به صورت زیر میشود :
”dcpromo /unattend:”C:\data\newtree.txt
با استفاده از فرمان، شما میتوانید اولین دومین کنترولر در domain tree جدید را با فرمان زیر ایجاد کنید :
dcpromo /unattend
/ReplicaOrNewDomain:Domain
/NewDomain:Tree
/NewDomainDNSName:FQDNOfNewDomain
/DomainNetbiosName:NetBiosName
/DomainLevel:DomainFunctionalLevel
/SiteName:SiteName
/InstallDNS:Yes
/ConfirmGc:Yes
/CreateDNSDelegation:Yes
/UserDomain:DomainOfAdminAccount
/UserName:AdminAccountInParentDomain
/Password:"Password"
/ReplicationSourceDC:SourceDC
/DatabasePath:"LocalDatabasePath"
/LogPath:"LocalLogPath"
/SYSVOLPath:"LocalSysVolPath"
/SafeModeAdminPassword:"Password"
/RebootOnCompletion:Yes
وقتی اینستال unattended یا فرمان به صورت کامل تمام شد، Dcpromo با یک کد return code برگشت خارج میشود . یک کد بازگشت return code از 1 تا 10 موفقیت را نشان میدهد. یک کد بازگشت return code از 11 تا 100 شکست یا ناموفق بودن را نشان میدهد. متن خطا را یادداشت کنید تا در صورت لزوم اقدام مناسبی را انجام دهید . کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری