سازماندهی یا اصلاح زیر ساخت های دایرکتوری

شما forests جدید، domain trees جدید و domains جدید را با اینستال کردن دومین کنترولر در فضای نام مورد نظر اینستال  میکنید. به هر حال شما برنامه ریزی برای سازمان دهی یا اصلاح زیرساخت های اکتیو دایرکتوری مربوط به سازمان خود خواهید کرد، که برخی از تصمیم گیری های اولیه باید در آن وجود داشته باشد. این امر شبیه زمانی است که شما یک دومین کنترولر را به دومین موجود خود اضافه و یا آن را از دومین موجود حذف میکنید. برای آغاز برنامه در مورد زیر ساخت اکتیو دایرکتوری سازمان خود به نکات زیر نگاه کنید :

forests ها و domains ها  

واحدهای سازمانی Organizational units - OUs

سایت ها Sites و ساب نت ها Subnets

با توجه به forests ها و domains ها، بسیار مهم است که بدانیم چگونه Trust کار میکند . Trust یک لینک بین دو domain است که در آن یک domain که به نام trusting domain شناخته میشود، اجازه احراز هویت ورود logon authentication به domain دیگر که به نام trusted domain شناخته میشود، میدهد. Trust سبب اتصال domains های parent و child در یک domain tree مشابه میشود و همچنین همین عمل در مورد root در domain tree . بین forests ها به صورت پیش فرض Trust وجود ندارد. به صورت پیش فرض هر forest به صورت جداگانه و متمایز از forests های دیگر میباشد و شما احتیاج دارد که بین آنها Trust ایجاد کنید .

شما میخواهید تلاش کنید تا زیر ساخت اکتیو دایرکتوری را به یک forest محدود کنید. در غیر این صورت شما باید از چندین schemas ، configuration containers ، global catalogs و trusts نگهداری کنید و همچنین یوزرها به مراحل اضافی برای کار با دایرکتوری نیاز خواهند داشت. به هر حال شما به چندین forest احتیاج خواهید داشت، زمانی که سازمان شما به واحدهای بیزینس مستقل نیاز دارد، یا شما احتیاج دارید که schemas ، configuration containers و global catalogs مستقل داشته باشید، یا نیاز دارید که trusts ها را در داخل سازمان محدود کنید. بطور مثال، شما احتیاج دارید که واحدهای تحقیق و برنامه نویسی بتوانند دسترسی به منابع در یک واحد دیگر داشته باشند، اما نمیخواهید دیگران که در واحدهای تحقیق و برنامه نویسی نیستند به این منابع دسترسی داشته باشند .

در برخی شرایط، شما ممکن است که کنترل بر روی سازمان خود که دارای چندین forests میباشد، نداشته باشید. بطور مثال، در نتیجه ادغام یا خرید چند شرکت دیگر توسط سازمان شما، حالا صاحب چندین forests دیگر نیز شده اید. در این مورد، شما احتیاج دارید که forests ها بتوانند با هم دیگر ارتباط داشته و کار کنند و بین این forests ها از trust استفاده میکنند .

با forests های متعدد، شما دیگر صاحب یک واحد تک single top-level برای به اشتراک گذاشتن منابع و مدیریت آنها، نیستید. شما دارای ساختارهای جداگانه میباشید که جدا و مستقل از یکدیگر هستند. به صورت پیشفرض، forests ها schema ، اطلاعات configuration information ، trusts ها، global catalogs و forestwide administrators را به اشتراک نمیگذارند .

شما میتوانید با استفاده از cross-forest trusts ها، forests ها را به هم متصل  join کنید. برخلاف interforest trusts ها که به صورت اطمینان دو طرفه two-way trust و متعدی transitive به صورت پیشفرض default است، cross-forest trusts ها یا دو طرفه two-way هستند و یا یک طرفه one-way میباشند. با یک two-way trust یوزرهای هر دو forest میتوانند به منابع هر دو forest دسترسی داشته باشند. با یک one-way trust فقط یوزرهای یک forest میتوانند به منابع forest دیگر دسترسی داشته باشند و نه بالعکس .

وقتی شما یک forest جدید ایجاد میکنید، اولین domain که ایجاد میکنید forest root domain میباشد. این forest root domain میتواند یا به صورت پایه اختصاصی dedicated root باشد یا به صورت پایه غیر اختصاصی nondedicated root میباشد. یک پایه غیر اختصاصی nondedicated root به عنوان یک قسمت نرمال normal part از دایرکتوری استفاده میشود. آن اکانتهای یوزرها و گروه ها را دارد و برای اختصاص دسترسی به منابع استفاده میشود. یک پایه اختصاصی dedicated root به نام پایه خالی empty root معروف است، به عنوان صاحب محل اختصاص داده میشود تا اساس دایرکتوری directory base را برقرار کند . هیچکدام از اکانتهای یوزر یا گروه متفاوت از اکانتهایی نیست که در زمان ایجاد یک forest root ساخته میشوند تا بتوان forest را مدیریت کرد. از آنجا که هیچ اکانت اضافی یوزر یا گروه داخل آن نیست، یک پایه دومین اختصاصی dedicated root domain برای تعیین دسترسی به منابع استفاده نمیشود .

زمانی که شما برای داشتن چندین دومین domains برنامه ریزی میکنید، استفاده از پایه دومین اختصاصی dedicated root domain مفید است. مدیریت یک empty root  ساده تر از یک root domain که دارای اکانتهای یوزر و منابع است، میباشد.آن به شما اجازه میدهد تا root domain را از بقیه forest جدا کنید. این مهم است چون نمیتوان forest root domain را جایگزین کرد. اگر root domain از بین برود و نتوان آن را بازیابی کرد، شما باید دوباره کل forest را از نو ایجاد کنید .

توجه: forest root domain دارای اکانت ادمین های forestwide (Enterprise Admins و Schema Admins ) میباشد، همچنین صاحب forestwide operations masters (domain naming master و schema master ) میباشد. آن باید در دسترس باشد، زمانی که یوزرها به دومین های دیگر به غیر از دومین خودشان لاگان logon میکنند و همچنین یوزرها دسترسی به منابع سایر دومین ها دارند .

در داخل یک forest ، شما سلسله مراتب دومین domain hierarchy را توسط تعیین کردن تعداد domain trees ، تعیین tree root domains و مشخص کردن سلسله مراتب مورد نیاز subdomains معلوم میکنید. شما domains ها را با اختصاص دادن نام DNS به forest root domain برای هر forest نام گزاری میکنید، به tree root domain برای هر tree و برای هر یک از subdomain باقیمانده. زمانی که یک domain جدید ایجاد میکنید و یک فضای نام namespace جدید معین میکنید، شما نمیتوانید به راحتی آن را بازسازی یا تغییر نام دهید .

قبل از اضافه کردن یک domain tree یا child domain به forest موجود، شما باید مخارج و هزینه های سخت افزار hardware را در نظر بگیرید. دلیل استفاده از چندین domains نباید بر اساس یا پایه تعداد یوزرها، گروه ها و اشیاء objects دیگر باشد. اگرچه تعداد اشیاء objects یکی از فاکتورهای نقطه نظر مدیریتی است، اما یک domain به تنهایی میتواند میلیونها اشیاء objects داشته باشد .

برای اطمینان حاصل کردن دسترس پذیری availability و اجازه داشتن بازیابی در اتفاقات disaster recovery ، هر دومین باید تعداد دو یا بیشتر دومین کنترلرها داشته باشد. برخی از دلایل برای ایجاد دومین جدید میتواند اینها باشد :

ایجاد فضاهای نام namespaces مجزا  

بهینه سازی ترافیک عملیات replication

برخوردهای امنیتی خاص یا نیازهای مدیریتی

صرف نظر از اینکه forest شما از یک فضای نام تک یا فضاهای نام متعدد استفاده میکند، دومین های اضافی در همین forest دارای ویژگیهای زیر هستند :

به اشتراک گذاشتن ادمینهای forestwide مشترک: تمام دومین ها در forest دارای ادمین های top-level یکسان هستند، Enterprise Admins که تنها ادمین هایی هستند دارای اجازه دسترسی forestwide میباشند و Schema Admins که تنها ادمین هایی هستند اجازه مدیریت schema را دارند.

به اشتراک گذاشتن یک گلوبال کاتالوگ global catalog مشترک: همه دومین ها در forest دارای گلوبال کاتاگ global catalog یکسان میباشند و آن یک کپی جزئی partial replica از تمام objects های forest در خود ذخیره میکند .

به اشتراک گذاشتن یک پیکربندی Trust مشترک: همه دومین ها در forest دارای پیکربندی Trust به سایر دومین های داخل forest دارند و این Trust به صورت دو طرفه two-way trust و متعدی transitive است .

به اشتراک گذاشتن یک Schema مشترک: همه دومین کنترولرها در یک forest دارای Schema یکسان میباشند و یک schema master تک برای forest طراحی شده است .

به اشتراک گذاشتن یک پیکربندی پارتیشن دایرکتوری Configuration Directory Partition مشترک: همه دومین کنترولرهای ظرف پیکربندی configuration container یکسان را به اشتراک میگذارند و آن اطلاعات پالسی policy information و پیکربندی پیشفرض default configuration را  ذخیره میکند .

با داشتن مکان های مختلف، احتیاج داریم تا تغییرات دومین را بر روی همه دومین کنترولرها replicated کنیم و تفکیک جغرافیایی اغلب یک عامل تصمیم گیری است. در ابتدا به این خاطر که ترافیک replication کمتری بین دومین ها نسبت به داخل دومین ها میباشد. بنا بر این اگر محل های بیزینس از لحاظ جغرافیایی جدا هستند، آن میتواند برای محدود کردن ترافیک replication بین محل ها مفید باشد (در صورت امکان) و همچنین یک راه برای ایجاد دومین های متعدد میباشد .

حتی در داخل یک محل بیزینس، نیاز به محدود کردن ترافیک replication میتواند عامل تصمیم گیری برای ایجاد دومین های متعدد باشد. بطور مثال یک سازمان بزرگ که یوزرها در ساختمان های مختلف هستند، امکان دارد که سرعت اتصال بین این نقاط کافی نباشد و ممکن است که لازم به ایجاد دومین متعدد برای محدود کردن replication باشد .

به عنوان بخشی از سازمان دهی و ایجاد forest و سازه های دومین، شما باید قرار دادن سرورهای DNS را مشخص کنید. برای اطمینان از تصمیم در مورد نام مناسب، forest اکتیو دایرکتوری شما نیاز به سرورهای DNS معتبر authoritative برای هر دومین دارد. اگر شما در زمان اینستال کردن اکتیو دایرکتوری اجازه دهید که DNS به صورت اتوماتیک پیکربندی شود، دومین کنترولر جدید به صورت اتوماتیک نیازهایی مقتضی DNS برای پیوستن به دومین را تنظیم میکند. با این حال اگر شما DNS را به صورت دستی تنظیم میکنید و یا معماری شما اجازه به روز رسانی dynamic DNS را نمیدهد، شما نیاز به :

اطمینان حاصل کنید که SRV رکورد _ldap._tcp.dc._msdcs.DNSDomainName در موجود است. DNSDomainName اسم DNS دومین اکتیو دایرکتوری است .

اطمینان حاصل کنید که یک رکورد A برای host نام DNS مربوط به دومین کنترولرها در دیتا رکورد SRV منابع وجود دارد .

قبل از اینستال اکتیو دایرکتوری، شما باید مطمئن شوید که سرور یک آدرس IP ثابت دارد. اگر DNS پیکربندی شده است و این سرور به عنوان یک سرور DNS عمل نمیکند، شما preferred DNS server و alternate DNS server روی آن ست میکنید. اگر دومین کنترولر به عنوان سرور DNS نیز عمل میکند، شما میتوانید preferred DNS server را روی آدرس loopback که 127.0.0.1 میباشد تنظیم کنید و alternate DNS server ها را پاک کنید (یا اجازه دهید که خود setup این کار را انجام دهد).

بعد از بررسی نقشه forest و domain سازمانتان، شما باید نقشه organizational unit - OU هایتان را بررسی کنید. درون دومین ها، شما از OUs ها برای مدیریت وظایف ادمین بر روی اکانتهای یوزرها، گروه ها و کامپیوترها و وظایف ادمین بر روی سایر منابع مانند پرینترها و فولدرهای به اشتراک گذاشته شده استفاده میکنید. نتیجه برنامه ریزی شما، باید یک دیاگرام ساختار OUs ها در هر دومین و یک لیست از گروه های یوزر در هر OU باشد .

در روشهای مشابه، شما از OUs ها برای گروه یوزرها و منابع استفاده میکنید. شما از sites ها برای گروه کردن کامپیوترها استفاده میکنید. با این حال forests ها، domains ها و OUs ها گروه های منطقی هستند. sites ها گروه های فیزیکی هستند. sites ها ساختار فیزیکی شبکه شما را برای شبکه سازمانتان منعکس میکنند و برای بهینه سازی ترافیک شبکه استفاده میشوند. شما یک site برای هر شبکه تعریف میکنید و یا مجموعه چندین شبکه که با سرعت بالا وصل شده اند. هر محل که به خوبی متصل نیست و یا با SMTP e-mail در دسترس است باید در site خودش باشد .

توجه: همانطور که site خود را طراحی میکنید، شما میخواهید معین کنید که آیا منابع شبکه های دیگر نیز مناسب این طراحی شما میباشد. شما باید site ها را با Domain Name System - DNS ، Dynamic Host Configuration Protocol - DHCP ، Distributed File System (DFS) file shares ، certificate authorities ، Microsoft Exchange servers و سایر سرویس های ضروری دیگر طراحی کنید. به صورت ایده آل، شما میخواهید site را طوری طراحی کنید که وقتی کلاینت منابع خاص شبکه را جستجو میکند، در داخل site بتواند جواب خود را پیدا کند. اگر هر کلاینت جستجو خود را برای هر منابع شبکه به site راه دور remote بفرستد، سبب میشود که ترافیک شبکه به صورت قابل توجهی بین site ها افزایش یابد که این میتواند سبب مشکل بر روی یک لینک WAN با سرعت پایین شود. با این حال، تنظیمات ایده آل همیشه عملی یا قابل انجام نیست و شما باید قرار دادن منابع در شبکه را به دقت بررسی کنید .

در داخل ها، شما دومین کنترولرها را با استراتژی قرار میدهید، به خاطر اینکه اکتیو دایرکتوری در دسترس باشد که آن نیز به در دسترس بودن دومین کنترولر بستگی دارد. همیشه و باید یک دومین کنترولر در دسترس باشد تا یوزرها بتوانند احراز هویت کنند. برای یک دسترسی و زمان پاسخ مطلوب، شما باید از مورد زیر مطمئن باشید :

هر site دارای حداقل یک دومین کنترولر DC باشد .

هر دومین domain دارای حداقل دو دومین کنترولر DC باشد .

به علت اینکه بین site ها عملیات replication از طریق site links ها انجام میشود، شما باید از درست پیکربندی شدن site links ها مطمئن باشید. یک استراتژی درست سبب عملیات replication کارآمد و تحمل خطا fault tolerance میشود. اگر یک لینک در یک site به صورت نامطمئن، متناوب یا اشباع شده میباشد، شما باید در این site یک دومین کنترولر اضافی دیگر قرار دهید .

هر دومین باید حداقل یک سرور گلوبال کاتالوگ داشته باشد. به صورت پیشفرض اولین دومین کنترولری که در دومین اینستال میشود، به عنوان سرور گلوبال کاتالوگ تنظیم میشود. شما میتوانید سرورهای گلوبال کاتالوگ را تغییر دهید و همچنین سرورهای اضافی کلاوگ سرور را در صورت نیاز اضافه کنید .

وقتی شما site ها را پیکربندی میکنید، تعیین سرورهای گلوبال کاتالوگ برای جستجوی دایرکتوری forestwide و کمک کردن کلاینتهای دومین برای لآگان زمانی که universal groups در دسترس هستند، ضروری میباشد. زمانی که در یک دومین universal groups در دسترس هستند، یک دومین کنترولر باید یک گلوبال کاتالوگ سرور باشد تا درخواست لاگان را پردازش کند .

برای مکان های راه دور، شما باید مشخص کنید که آیا فقط RODCs ها مناسب هستند. علاوه بر این، اگر لینک WAN ارتباط بین remote site و hub site محدود شده میباشد، شما میتوانید از universal group membership caching در remote site برای نیاز لاگان یوزرها به site استفاده کنید. قابلیت کاتالوگ سرور را بر روی دومین کنترولری که رول infrastructure operations master را دارد، فعال نکنید (مگر آنکه همه دومین کنترولرها در دومین گلوبال کاتالوگ سرور هستند و یا فقط یک دومین دارید).


کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری