دومین کنترولرها

وقتی شما ویندوز سرور را روی یک کامپیوتر اینستال میکنید، شما میتوانید کامپیوتر را بصورت یک سرور مستقلstand-alone ، یک سرور عضو member server یا یک دومین کنترولر تنظیم کنید. یک دومین کنترولر DC ، یک کامپیوتر است که میزبان یا هاست اکتیو دایرکتوری میباشد. اگر شما از ویندوز سرور ۲۰۰۸ استفاده میکنید، شما اکتیو دایرکتوری را در دو مرحله اینستال میکنید. در ابتدا شما رول Active Directory Domain Services را با استفاده از ویزارد Add Role اضافه میکنید. سپس شما ویزارد اکتیو دایرکتوری را برای اینستال کردن اجرا میکنید. اگر به هر دلیلی DNS اینستال نشده باشد، به شما پیغام درخواستی داده میشود که DNS را اینستال کنید. اگر دومینی وجود نداشته باشد، این ویزارد به شما کمک میکند تا یک دومین ایجاد کنید و اکتیو دایرکتوری را برای دومین جدید پیکربندی کنید. این ویزارد همچنین میتواند به شما کمک کند تا child domain به ساختار دومین موجود اضافه کنید.

همانند ویندوز سرور ۲۰۰۰ و ۲۰۰۳، ویندوز سرور ۲۰۰۸ نیز بصورت primary یا backup دومین کنترولر نیست. در عوض، ویندوز سرور ۲۰۰۸ از یک مدل multimaster replication ساپورت میکند. در این مدل همانطور که در شکل ۴-۱ نشان داده شده، هر دومین کنترولر میتواند تغییرات دایرکتوری را انجام دهد و سپس به صورت اتوماتیک این تغییرات انجام شده را به دومین کنترولر دیگر تکرار replicate کند. این متفاوت است نسبت به ویندوز NT که دارای مدل single-master replication بود، که دومین کنترولر primary یک master copy ذخیره میکرد و دومین کنترولرهای backup در خود کپی که از primary داشتند را ذخیره میکردند. همچنین در ویندوز NT فقط دیتابیس Security Accounts Manager - SAM توزیع شده بود، اما از ویندوز سرور ۲۰۰۰ به بعد تمام اطلاعات داخل دایرکتوری مربوط به منابع، توزیع شده است .



شکل ۴-۱ هر دومین کنترولری میتواند تغییرات را تکرار کند

دنیای واقعی: از آنجا که انجام بعضی از تغییرات در مد multimaster غیر ممکن است، اکتیو دایرکتوری از single-master استفاده میکند. در اینجا یک یا چند دومین کنترولر به عنوان operations masters تعیین میشوند و آنها اختصاص داده شده اند تا عملیاتی انجام دهند که مجاز نیست در همان زمان، در جاهای مختف شبکه انجام شود .

اکتیو دایرکتوری از یک روش multimaster استفاده میکند تا بسیاری مزایا و کارایی ها را ارائه دهد. به شما اجازه میدهد تا دایرکتوری را بر روی هر دومین کنترولری به روز رسانی کنید. دومین کنترولر این تغییرات را با استفاده از replication به دومین کنترولرهای دیگر انتقال میدهد. وقتی شما چندین دومین کنترولر دارید، در صورتی که هر دومین کنترولر تنها ایراد داشته باشد، replication ادامه پیدا میکند .

گرچه دومین های اکتیو دایرکتوری میتوانند تنها با یک دومین کنترولر کار کنند، اما شما میتوانید و باید چندین دومین کنترولر برای دومین خود داشته باشید. به این ترتیب اگر یک دومین کنترولر ایراد پیدا کند، شما میتوانید از یکی دیگر از دومین کنترولرها برای احراز هویت و سایر خدمات حیاتی استفاده کنید .

دومین کنترولرها تمام جنبه های فعل و انفعالات یوزر با اکتیو دایرکتوری را مدیریت میکنند. آنها لاگان یوزر را معتبر میکنند، اشیاء را تعیین میکنند و خیلی بیشتر از این کارها را انجام میدهند. داخل اکتیو دایرکتوری، اطلاعات دایرکتوری به صورت منطقی logically تقسیم شده است. هر دومین کنترولر یک کپی از پارتیشن های مربوطه را ذخیره میکند. پارتیشن های مربوط به یک دومین کنترولر خاص مشخص یا تعیین میکند کجا دومین کنترولر قرار گرفته و برای چه کاری استفاده میشود .

دومین کنترولرها تغییراتی که برای اطلاعات ذخیره میشود را مدیریت میکنند و تغییرات را با استفاده از replication به دومین کنترولرهای دیگر ارسال میکنند. به علت نحوه کارکرد replication ، ممکن است یک تضاد بوجود بیاید، در صورتی که یک صفت attribute در یک دومین کنترولر تغییر کند، چون تغییر همان صفت attribute در یک دومین کنترولر دیگر نیز وجود دارد. حال اکتیو دایرکتوری با استفاده از مقایسه شماره ورژن ویژگی صفتها attributes ، این مشکل تضاد را حل میکند (یک مقدار اولیه زمانی که یک صفت attribute ایجاد و هر زمان تغییری در صفت attribute انجام میدهیم و به روز رسانی میشود، ایجاد میشود).

به صورت نرمال دومین کنترولرها قادر به خواندن readable و نوشتن writable هستند. اما ویندوز سرور ۲۰۰۸ و ویندوز سرورهای بعد از آن از دومین کنترولرهای خواندنی read-only domain controller - RODC نیز ساپورت میکنند. یک RODC دومین کنترولری است که هاست یک کپی از دایرکتوری دومین است. بصورت پیشفرض پسوردها و اعتبارات credentials را در خود ذخیره نمیکند و فقط اکانت کامپیوتر خود و Kerberos Target - krbtgt اکانت خود را ذخیره میکند. همین امر سبب میشود که RODC برای شعبه هایی که نمیتوان به صورت فیزیکی امنیت داشت مناسب باشند .

عکس ۵-۱ نشان میدهد که یک RODC برای شعبه نصب شده است. در دفتر مرکزی چندین دومین کنترولر وجود دارند که دیتا writable هستند. در شعبه یک RODC وجود دارد که دیتا read-only است. برای شعبه به علت اینکه نمیتوان امنیت را تضمین کرد از RODC استفاده شده است .

توجه: RODC به غیر از پسوردها، مانند دومین کنترولرهای writable تمام صفتها attributes و اشیاء objects را در خود ذخیره میکنند. این صفتها و اشیاء توسط عملیات replication از دومین کنترولر writable به عنوان یک پارتنر replication انتقال داده میشوند. با اینکه RODC میتواند از دومین کنترولر ۲۰۰۳ اطلاعات را دریافت کند، اما فقط میتواند اطلاعات پارتیشن دومین domain partition را از یک دومین کنترولر ۲۰۰۸ به بالا که در دومین یکسان هستند دریافت کند .

RODC اعتبارات credentials یوزرها و کامپیوترها را از یک دومین کنترولر ۲۰۰۸ به بالا دریافت میکند. سپس اگر Password Replication Policy که از دومین کنترولر writable اعمال میشود اجازه دهد، RODC اعتبارات را تا زمان تغییر در خود ذخیره میکند. به این علت فقط زیر مجموعه های اعتبارات subsets of credentials در RODC ذخیره میشوند، زیرا امکان دارد که اعتبارات به خطر بیفتند .