ایجاد Child Domains جدید
برای ایجاد یک child domain جدید در forest موجود یا در حال کار، شما احتیاج به یک اکانت معتبر دارید که عضو گروه Enterprise Admins مربوط به آن domain داخل forest در حال کار باشد. شما میتوانید از مراحل زیر استفاده کنید :
با اجرای ویزارد Active Directory Domain Services از مسیر کلیک کردن Start ، نوشتن dcpromo در جعبه جستجو Search box و فشار دادن کلید Enter ، اینستال کردن را آغاز میکنیم. قبل از اجرای ویزارد، اطمینان حاصل کنید که AD DS binaries اینستال شده باشد. اگر شما AD DS binaries را اینستال نکرده باشید، ویزارد آن را اینستال میکند. بعد از اینستال کردن AD DS binaries در صورت احتیاج، ویزارد صفحه مقدماتی را نمایش میدهد .
ویزارد به صورت پیشفرض از مد Basic Installation استفاده میکند . اگر میخواهید نام NetBIOS دومین را ست کنید، مد Use Advanced Mode Installation را قبل از کلیک کردن Next ، انتخاب کنید.
اگر صفحه سازگاری سیستم عامل Operating System Compatibility نشان داده شد، خلاصه هشدار در مورد تنظیمات پیشفرض امنیتی برای دومین کنترولر ویندوز سرور ۲۰۰۸ است، سپس Next را کلیک کنید .
در صفحه Choose A Deployment Configuration ، ابتدا Existing Forest را انتخاب کرده سپس Create A New Domain In An Existing Forest انتخاب میکنیم، همانطور که در شکل ۱۴-۲ نشان داده شده است. این گزینه برای ایجاد اولین دومین کنترولر در یک دومین که یک child domain برای دومین موجود است، میباشد. با انتخاب این گزینه، شما مشخص میکنید که parent domain لازم در حال کار یا موجود میباشد. بطور مثال، شما زمانی که این گزینه را انتخاب میکنید که parent domain به نام adatum.com موجود یا در حال کار است و شما میخواهید دومین sales.adatum.com را به عنوان یک child domain برای این دومین adatum.com ایجاد کنید.
شکل ۱۴-۲ ساخت یا ایجاد یک دومین اضافی additional domain در forest
با کلیک کردن Next ، شما صفحه Network Credentials را مشاهده خواهید. در این قسمت نام کامل DNS دومین خود را که میخواهید در forest موجود، با اینستال کردن دومین کنترولر برای ایجاد domain tree جدید ایجاد کنید، بنویسید. ترجیها نام باید شبیه forest root domain بطور مثال cpandl.com باشد (فرمت نام). اگر شما به یک دومین لاگان کردید و اکانت شما عضو گروه Enterprise Admins میباشد، شما میتوانید از اعتبار اکانت خود استفاده کنید و نصب و راه اندازی کنید. در غیر اینصورت گزینه اعتبارنامه جایگزین Alternate Credentials را انتخاب کنید، Set را کلیک کنید و اسم یوزر و پسوردی را بدهید که در گروه Enterprise Admins میباشد. سپس Next را کلیک کنید .
وقتی شما Next را کلیک میکنید، ویزارد پیکربندی forest را چک میکند و تلاش میکند تا با یکی از دومین کنترولرهای مربوط به دومین قبلی ارتباط برقرار کند. اگر احراز هویت با خطا مواجه شد، ممکن است اکانت شما معتبر نباشد و یا پسورد شما اشتباه باشد که به مرحله قبل برگردید تنظیمات اعتبار credential را چک کنید. اگر خطای پیکر بندی رخ دهد، شما نیاز به تغییرات پیکربندی، قبل از ادامه دادن خواهید داشت. با چک کردن تنظیمات TCP/IP شروع کنید. حداقل، سرور باید دارای آدرس IPv4 معتبر و preferred DNS server باشد. اگر این تنظیمات درست هستند، شما نیاز به بررسی رکورد ldap SRV _ برای tcp zone _ بر روی سرور DNS معتبر خود دارید . اطمینان حاصل کنید که این رکوردهای گفته شده و رکوردهای A به درستی پیکربندی شده اند .
در صفحه Name The New Domain که در شکل ۱۵-۲ نشان داده شده، در اولین field ، اسم کامل DNS مربوط به parent domain را که بطور مثال cpandl.com است، تایپ کنید یا دگمه فهرست Browse را کلیک کنید و دومین موجود را جستجو و انتخاب کنید. در field دوم، نام تک مربوط به child domain را که بطور مثال sales است، تایپ کنید. قبل از کلیک کردن Next و ادامه دادن، اطمینان حاصل کنید که اسم داخل FQDN of the new child domain کاملا درست میباشد .
شکل ۱۵-۲ ست کردن نام کامل child domain
بقیه مراحل به همان صورتی است که قبلا توضیح داده شده است که میتوانید در مرحله قبل (ایجاد domain tree جدید) آن را بخوانید.
روی یک سرور برای اینستال کردن ویندوز سرور ۲۰۰۸ به صورت Full یا Core ، شما میتوانید یک child domain جدید را با استفاده از اینستال unattended یا فرمان command ایجاد کنید. شما باید با اکانتی که عضو گروه Enterprise Admins در forest لاگان کرده باشید.
با روش unattended برای اینستال کردن، شما باید در ابتدا یک فایل پاسخ answer file آماده کنید که در آن مقادیر تنظیمات گنجانده شده باشد. شما میتوانید یک فایل پاسخ answer file برای ایجاد یک child domain جدید با استفاده از مراحل زیر ایجاد کنید :
Notepad یا هر برنامه ای که میتواند text را ادیت کند را باز کنید .
اگر شما میخواهید در داخل answer file توضیحاتی comments بنویسید، در ابتدای هر خط توضیح از نقطه و ویرگول semicolon (;) استفاده میکنید. هر خطی که ابتدا با نقطه و ویرگول semicolon (;) آغاز شود به عنوان توضیح comment شناخته میشود .
در اولین خط [DCINSTALL ] را تایپ کنید .
این ورودی ها را وارد کنید، هر ورودی در یک خط باشد :
ReplicaOrNewDomain=Domain
NewDomain=Child
ParentDomainDNSName=FQDNOfParentDomain
ChildName=SingleLableNameOfNewDomain
DomainNetbiosName=NetBiosName
DomainLevel=DomainFunctionalLevel
SiteName=SiteName
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=Yes
UserDomain=DomainOfAdminAccount
UserName=AdminAccountInParentDomain
Password=*
ReplicationSourceDC=SourceDCName
DatabasePath="LocalDatabasePath"
LogPath="LocalLogPath"
SYSVOLPath="LocalSysVolPath"
SafeModeAdminPassword=
RebootOnCompletion=Yes
تیپ: شما ReplicaOrNewDomain=Domain ست میکنید، چون شما به جای اینستال کردن یک دومین کنترولر اضافی additional DC ، یک دومین جدید اینستال میکنید. شما NewDomain را Child ست میکنید، چون شما میخواهید یک child domain جدید ایجاد کنید. شما ChildName را با یک نام تک برای child domain ست میکنید، مانند نام sales . شما NewDomainDNSName را با نام کامل دومین fqdn ست میکنید، بطور مثال sales.cpandl.com .
اگر اکانتی که برای اینستال کردن AD DS استفاده میشود، متفاوت با اکانت داخل parent domain که دارای مجوز است میباشد، نیاز به ساختن یک DNS delegation میباشد، شما باید با قرار دادن این پارامترها اکانتی که میخواهد DNS delegation را ایجاد کند، مشخص کنید :
DNSDelegationUserName=DelegationAdminAccount
DNSDelegationPassword="Password"
فایل پاسخ answer file را با فرمت .txt ذخیره کنید و جایی قرار دهید که بتوانید از سرور مورد نظر به آن دسترسی داشته باشید .
در زیر یک مثال کامل را میبینید :
; New child domain promotion
[DCInstall]
ParentDomainDNSName=cpandl.com
ChildName=sales
DomainNetbiosName=SALES
DomainLevel=2
SiteName=LA-First-Site
DNSDelegationUserName=cpandl.com\williams
DNSDelegationPassword=*
UserDomain=cpandl.com
UserName=cpandl.com\williams
ReplicationSourceDC=CorpServer65.cpandl.com
DatabasePath="D:\Windows\NTDS"
LogPath="D:\Windows\NTDS"
SYSVOLPath="D:\Windows\SYSVOL"
; Set SafeModeAdminPassword later
; Run-time flags (optional)
وقتی فایل پاسخ answer file را ایجاد کردید، میتوانید از فرمان زیر برای آغاز اینستال unattended استفاده کنید :
"dcpromo /unattend:"PathToAnswerFile
بطور مثال، فایل پاسخ answer file به نام newchild.txt و در مسیر C:\data میباشد، که فرمان به صورت زیر میشود :
”dcpromo /unattend:”C:\data\newchild.txt
با استفاده از فرمان، شما میتوانید اولین دومین کنترولر در child domain جدید را با فرمان زیر ایجاد کنید :
dcpromo /unattend
/ReplicaOrNewDomain=Domain
/NewDomain=Child
/ParentDomainDNSName=FQDNOfParentDomain
/ChildName=SingleLableNameOfNewDomain
/DomainNetbiosName=NetBiosName
/DomainLevel=DomainFunctionalLevel
/SiteName=SiteName
/InstallDNS=Yes
/ConfirmGc=Yes
/CreateDNSDelegation=Yes
/UserDomain=DomainOfAdminAccount
/UserName=AdminAccountInParentDomain
/Password="Password"
/ReplicationSourceDC=SourceDCName
/DatabasePath="LocalDatabasePath"
/LogPath="LocalLogPath"
/SYSVOLPath="LocalSysVolPath"
/SafeModeAdminPassword="Password"
/RebootOnCompletion=Yes
وقتی اینستال unattended یا فرمان به صورت کامل تمام شد، Dcpromo با یک کد return code برگشت خارج میشود . یک کد بازگشت return code از 1 تا 10 موفقیت را نشان میدهد. یک کد بازگشت return code از 11 تا 100 شکست یا ناموفق بودن را نشان میدهد. متن خطا را یادداشت کنید تا در صورت لزوم اقدام مناسبی را انجام دهید . کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری
Patris_70 edited Original. Comment: added contents link