دانلود مقاله Active Directory - اکتیو دایرکتوری

چرا باید در اکتیو دایرکتوری داشته باشیم؟

درست نقطه مقابل Work group, AD است.

در workgroup هر کامپیوتر حول حفظ و نگهداری کامپیوتر خودی می‌باشد.

و در روی هر کامپیوتر برای هر یوزر جداگانه باید user name و Password تعریف شود.

مثلا اگر 4 تا کامپیوتر داشته باشیم برای این که 4 کاربر از پای هر کامپیوتر بتوانند login کنند باید پای هر کامپیوتر 4 تا user name و password تعریف شود یعنی در مجموع 16 بار باید user name و pass word تعریف شود اما اگر اکتیو دایرکتوری نصب کنیم مدیریت این User name و pass word ها واحد می‌شود.

یعنی مرکزی وجود دارد که user name و pass word ها ار چک می‌کند درست مثل نگهبانی‌های خانه‌های سازمانی، آنها در بدو ورود اشخاص دقیقا از آنها می‌پرسند که چه شخصی هستند و با چه مراکزی کار دارند بعد به آنها اجازه ورود می‌دهند یا نمی‌دهند.

در اکتیو دایرکتوری هم دقیقا همین اتفاق می‌افتد یعنی روی یک کامپیوتر AD نصب می‌شود و یک بار کافی است که user name و pass word بر روی آن تعریف شود در این صورت آن کاربر از پای هر دستگاه می‌تواند به شبکه login کند.

توجه 1 :
sam چیست؟

Data Base همان user name و pass word است.
کجا می‌توان sas فایل‌ها را پیدا کرد؟

روی my computdr راست کلیک کرده manage را انتخاب پوشه‌ی local & group را که باز کنیم محتویات user همان SAM ماست
مراحل نصب Active Directory
1-اولا که حتما باید درایوی که AD نصب می‌شود باید Ntfs باشد.

در غیر این صورت ابتدا با دستور زیر آن را به Ntfs تبدیل کنیم.

Run  convedrt : / Fs : Ntfs / v
2-سرویس DNB ترجیحا قبلا نصب شده باشد.

البته در غیر این صورت در حین نصب این کار را خودش انجام می‌دهد.

3-حداقل 256 مگابایت فضا برای نصب نیاز داریم.

4-تنظیمات TCP / IP درست باشد و به صورت دستی تنظیم شده باشد.

5-در منوی Run عبارت dcpromo را تایپ کرده و مراحل نصب را به طریق زیر طی کنید.
دو صفحه اول را با Next رد می‌کنیم:
از پنجره‌ی سوم گزینه زیر را انتخاب می‌کنیم.

Domain controller for new domain  next
از پنجره چهارم گزینه‌ی زیر را انتخاب و Next کنید:
Domain a new forest 
 next پسوند .

نام full DNS name
(domani)  next یک نام Net BIOS که خودش پیشنهاد می‌دهد.
: C: \ windows \ NTDS \ Log file \ Next مسیر DB
چنانچه 2 تا هارد داریم بهتر است این مسیر روی هاردی ابشد که ویندوز روی آن نصب نشده است در غیر این صورت خیلی فرق نخواهد داشت.

یک pass word برای Restore mode می‌خواهد بعدها خواهیم دید موقع Next بوت شدن کامپیوتر با زدن کلید f8 و انتخاب Restore mode می‌توانیم یک سری از کارهای اصلی بر روی دومین انجام دهید.

این pass word را که اینجا از ما می‌رسد برای زمانی است که با Restore mode می‌خواهید به دست شوید.
یک pass word برای Restore mode می‌خواهد بعدها خواهیم دید موقع Next بوت شدن کامپیوتر با زدن کلید f8 و انتخاب Restore mode می‌توانیم یک سری از کارهای اصلی بر روی دومین انجام دهید.

این pass word را که اینجا از ما می‌رسد برای زمانی است که با Restore mode می‌خواهید به دست شوید.

ادامه‌ی مفهوم‌ها … هر عبارت را با چه شکلی نمایش می‌دهیم.

برای 2 ناحیه جغرافیایی متفاوت Domain Ou child domain forest تعریف child domain همیشه اولین دومینی که ایجاد می‌شود به نام Top level domain است، test com top level domain child domain child domain in.

test.

Com seles.

Test.

com تعریف trust هم trust یک طرفه داریم و هم دو طرفه: این اتصال فیزیکی مشخص شده در شکل بین 2 تا تاپ اول به دومین‌ها اجازه می‌دهد که برخی از DB های خودشان را Replicate کنند.

تعریف اسکیما Schema : ساختار properties هر آبجکت ثابت است و توی AD ذخیره می‌شود این ساختار قابل مدیریت کردن می‌باشد به انواع فیلدهایی که وجود دارد schema می‌گویند.

نرم افزار Exchange می‌آید schema های AD را تغییر می‌دهد که کپی خطرناک است.

بنابراین قبلا نسخه پشتیبانی از AD بگیرید.

تعریف Site‌: ما بر حسب ناحیه‌ی جغرافیایی متفاوت می‌توانیم دومین کنترلرهای مختلفی داشته باشیم.

سایت‌ها در واقع AD هایی هستند که از نظر فیزیکی جداگانه هستند.

چرا باید سایت site تعریف کنیم؟

چون در دومین کنترلرهای مختلف مرتبا Daplicate نشود و الکی پهنای باند مشغول نشود، بلکه هر زمان ما خواستیم این اتفاق بیافتد.

در غیر این صورت بین DC ها هر 15 دقیقه یکبار اتفاق می‌افتد.

تعریف Distingush name : وقعی guary می‌گیریم می‌گوید این user مربوط به کدام ou، کدام dc است مثلا CN=user 1, Ou= IT, dc = clomainl, dc=com این مشخصاتی را که از هر user می‌دهند، Dist in gushe می‌گویند.

Domain Trust Gp Gp Gp چطور نرم افزارها از طریق نصب کنیم.

Replication کردن سایتها Global catalog Operation master نگهداری back up ou – group – balk Import چطور تعداد زیادی user وارد کنیم بدون تایپ تک به تک .

توجه کنید: بعد از این که دومینی را ایجاد کردید نمی توانید نام دومین را عوض کنید اما نام کامپیوتر دومین را می‌توانیم عوض کنیم.

نحوه Remove کردن یک دومین کنترلر فرض کنید که دومین کنترلر بک آپ fail شده دومین کنترلر اصلی مرتبا می‌خواهد یک بک آپ خودش Replicate کند که نمی تواند بنابراین مرتبا log های error توی enent viewer بالا می‌رود.

برای آن که بقایای آن دومین کنترلر بک آپ مرحوم را به طور کامل پاک کنیم.

Run : cmd c:\> ntdsutil این را تایپ می‌کنیم Nt dsutil : metadata cleanup این را تایپ می‌کنیم Server conection : connect to server (نام کامل سرور) “server name” : quit نام کامل ضمنا یک سرویس توی AD داریم به نام Global catalog که یک جور دیتابیس است و وظیفه‌اش این است که object های مهم شبکه را در خودش دارد.

در واقع وقتی quary می‌گیریم می‌رود سراغ Global Catalog و از اطلاعات آن استفاده می کند.

Global Catalog کلیه اطلاعات دومین‌های فارست را توی خودش نگهداری می کند.

اولین دومین کنترلر یا همان pdc را که ایجاد می‌کنیم اتوماتیک این گزینه فعال است یعنی اولین دومین کنترلر ما Global catolog را در بر دارد اما زمانی که دومین کنترلر بک اپ ایجاد می‌کنیم این تیک را ندارد یعنی بک آپ دومین کنترلر Golobal catalog نمی‌باشد مگر این که بعدا این اختیار را به آن بدهیم.

حداقل یک gc باید در هر pomain داشته باشیم.

اگر دومین کنترلر که Global catalog بود و خدای ناخواسته fail شد باید روی دومین کنترلر دیگر (بک آپ یا اصلی) این اختیار را به آن تفویض کنیم برای این کار باید مسیر زیر را طی کنید: statrs programs adminstrator tools Aative Directory site and servicals sites Default – first – site – Name Servers بر روی نام کامپیتر بک‌آب دومین نترلر کلیک NTDS راست کلیک properties و گزینه‌ی Global Catalog را فعال کنید.

تست‌هایی که بعد از نصب Active Directory باید انجام دهیم: 1-مرتبا event viewer ها را چک کنید.

2-یک پوشه داریم به نام Net log on sys vol حتما باید share شده باشد باید چک کنید ببینید که آیا حتما این پوشه shave شده است یا خیر.

برای این منظور مراحل زیر را طی کنید.

manage share colders (راست کلیک) My copmputers چک کنید که آیا Net log ، Sysvol حتما shave شده باشد.

shave اشکالات رایج بعد از نصب AD 1-Access deniedت : 2 علت دارد.

علت اول : با Account ، مدیر شبکه Login نکرده‌اید.

علت دوم : با Account که login کرده‌اید آن user عضو Enterprise admin نبوده است.

2-DNS or netbios Nsme are not unic علت اول : اسم دومین را باید عوض کنید چون احتمالا این اسم قبلا بوده است.

3-Domain cannot be connected یعنی دومین را نمی‌تواند پیدا کند.

1-ابتدا ping کنید.

2-DNS را چک کنید شاید درست set نشده باشد.

هدف به ساختن یک Child domain چرا child domain باید داشته باشیم.

برای این که دومین اصلی از حالت مدیریت مرکزی خارج شود بدهیم آن را دست یک مدیر مستقل تا ترافیک کم شود.

شرایط ساختن child : 1-حتما درایوی که قصد نصب child domain در آن را دارید فرمت Nfts داشته باشد.

2-فضای لازم روی درایو باشد.

3-DNS را درست Srt کنیم که 2 راه دارد، راه اول IP آدرس DNS را DNS , IP سرور اصلی قرار دهیم.

راه دوم : روی خود همین Child domain یک secondary zone ایجاد نمائیم.

مراحل نصب child domain Run : dc promo Domain controles for new domain یعنی گزینه‌ی اولی را باید انتخاب کنیم.

چون گزینه دوم فقط برای بک آپ می‌باشد.

user name – pass word : ___ (گزینه دوم) child domain next در اینجا pass word , user مربوط به دومین اصلی را می‌پرسد.

نام net bios را نمایش می دهد نام child domain مثلا It خودش نام دومین parent را می‌آورد.

برای حالت Restore mode کلمه‌ی عبور را می‌پرسد که هر چی می‌تواند باشد اما در ویندوز حتما این کلمه باید complex باشد.

محلی را که باید sys file و log فایل‌ها را کپی کند را می‌پرسد.

البته ممکن است حین نصب باز هم error بدهد آن هم وقتی که این child domain ها قبلا join به دومین اصلی شده باشد که در این صورت خودش اتوماتیک آن را join خارج می‌کند و یک بار سیستم Restart شود تا به کارش ادامه دهد.

تعریف Kerbrous‌ و LDAP پروتوکلی است که برای Athenticat کردن ازش استفاده می‌شود Kerbrous اکتیو دایرکتوری برای Quary گرفتن از این LDAP استفاده می‌کند.

تعریف سرویس رکوردها : سرویس رکوردها توی DNS، رجیستر می‌شوند.

و جواب سئوالاتی مثل این که دومین کجاست و Global catalog کجاست و یا سرویس‌های ker brous یا LDAP کجا قرار دارند مشخص شده است در واقع داخل این سرویس رکوردها یک سری اطلاعات مثل شماره پورت‌ها و تقدم و تاخیر PNS و سایر را معلوم می‌کند و هر کدام که Priroty (تقدم) پائین‌تری داشته باشد.

مقدم‌تر خواهد بود.

در واقع می‌توان این میزان Priority را دستی تنظیم کرد تا ترافیک را کتنرل نمود.

چنانچه ویندوزها هم بالای 2000 است و ویندوز زیر 2000 نداریم بهتر است با باز کردن کنسول Active Directory Users & computer و راست کلیک بر روی آن و انتخاب گزینه‌ی Raise همه را به ویندوز 2003 ارتقا دهیم.

طرح یک سئوال آیا child domain باید توی DNS اصلی رجیستر شود یا خیر؟

توی DNS یک zone برای دومین باید داشته باشیم.

Child domain چون یک دومین جدید است بنابراین توی DNS اصلی باید یک Refrence داشته باشیم که DNS باید جوابش را داشته باشد.

آیا باید یک Zone جدید ایجاد کنیم؟

یادتان باشد Zone‌فقط برای دومین است.

نه child دومین بنابراین فقط زیر همه‌ی zone اصلی باید یک zone به نام child ایجاد شود برای این منظور باید روی دومین راست کلیک New domain به نام مثلا sales ایجاد کنیم که چون محتویاتش خالی است که بایددستی ایجاد کنیم و رکوردهایش هم خالی است که آنها را هم باید دستی ایجاد نمائیم.

حالا به محض این که child دومین بوت شد در DNS اصلی در دومین روت یک سری فولدرهای با سرویس‌های خاص خودش را ایجاد خواهد کرد.

حالا چنانچه در دومین اصلی یا child یا زیر مجموعه‌ی این دو در منوی Run تایپ کنیم.

نام کامپیوتر دومین اصلی یا نام کامپیوتر child \\ بلافاصله بدون این که از ما user name و pass word‌بخواهد کلیه فایل‌های share شده را نمایش می دهد.

یادآوری : حتما در دومین اصلی جایی که Ip را تنظیم می‌کنیم با کلیک بر روی دکمه‌ی advance و انتخاب صفحه‌ی زبانه دار DNS در گزینه apend this domain apend at list نام دومین child را دستی Add نمایند.

یعنی این child را it 2.

Domain1.

Com اضافه نمائید.

داستان trust ها برای این که وضعیت trust را بین دومین‌های اصلی چک کنیم یکی از در دومین روی گزینه domains trust کلیک کرده وضعیت trust‌های بین آن دو را می‌توانیم ببینیم.

چرا باید trust بدهیم؟

عمل Athenticate کردن بین دومین‌ها به طور خودکار انجام شود و مرتبا از user name co user و pass word نخواهد.

در واقع وقتی که بین دومین‌ها اعتماد و ارتباط وجود دارد کاربران راحت‌تر کار می‌کنند.

نحوه تبادل اطلاعات در trustها -incoming -outgoing -دو طرفه کجا trust ها را تعریف کنیم ؟

بر روی گزینه trust ، Active Directory domain راست کلیک کرده و گزینه‌ی properties را انتخاب نمائید.

حالا روی صفحه زبانه دار trust کلیک کرده و گزینه‌ی New را انتخاب کنید.

یادتان باشد که trustت را مابین دومین های مختلف داریم شده بین دومین اصلی و child.

تعریف مفهوم incoming و out going این تعریف خیلی مهم است خوب یاد بگیرید.

Domain Domain B A 1- One way incoming between A and B.

یعنی userها در دومین A بتوانند در دومین B‌، Authen ticate‌ شوند.

اما اگر بخواهیم به عکس این عمل هم اتفاق بیافتد باید از همت B هم یک incoming را بسازیم.

برای این که کاربران هر دو، دومین بتوانند ارتباط دو طرفه داشته باشند.

باید 4 تا trust ایجاد کنیم.

2 تا در دومین A و 2 تا در دومین B Domain Domain B A Incoming out going incoming outgong مفاهیم trust ‌: trasative : اگر A به B، trust داشته باشد و B به C در این صورت حتما A C حتما trust خواهد داشت.

Not trasative : اگر BA، trust نداشته باشد و C B هم trust نداشته باشد حتما CA هم نمی تواند trust داشته باشد.

انواع trust ها : 1-short cut 2-Forest 3-External 4-Real M group policy -از این به بعد group policy را با gp عنوان می‌کنیم.

-gp در تمام سطح قابل اعمال است.

-gp حتی در سطح ؟؟؟

های مختلف نیز قابل اعمال است.

-وقتی پنجره gp را باز کنیم 2 مدل اعمال سیاست داریم.

1-computer config براساس کامپیوتر یعنی به هر کاربر از پای این کامپیوتر خاص (محلی local) یک سری سیاست های خاص اعمال شود.

2-users config براساس کاربران یعنی یک یا تعدادی کاربر خاص از پای هر کامپیوتر که login کنند یک سری سیاست های خاص به آن اعمال شود.

-فرمان Run: gpupdate / force ؟؟؟

سرور، gp خاصی را که تنظیم کرده‌ایم را به آن سطح خاص که تعریف کردهایم، بلافاصله اعمال می کنند.

اولویت اعمال Gpo روی سطوح مختلف site دومین OU OU OU -Blick Policy inheritence اگر این تیک بخورد یعنی ou خاص از بالا دست خودش Gpo خاصی به ارث نخواهد برد.

-چه کار کنیم وقتی از بالا دست Gp اعمال می‌کنیم پائین دستی نتواند آن را تغییر بدهد.

باید گزینه‌ی زیر را در مسیر ….

فعال نمائید.

No Override Prevents Gpo From over policy set in this one از طریق gp می‌توان proxy کاربران را تنظیم نمائید.

User configuration Internet Connection proxy segting آدرس می‌دهیم اول یک script می‌سازیم راست کلیک New txt Net use \\ pdc \ -کاربر عادی حتی login به سرور را ندارد مگر این که loyin localy بهش بدهیم یا عضو admin اش کنیم.

WMI fiter چیست؟

Windows management Instromantion -هنوز زمان که update gp می‌شود کنسول updater gp شده با نشده قدری متفاوت خواهد بود در حالت اخیر باید ابتدا gp مورد نظرمان را ساخته و سپس ؟؟؟

یا گروه خاص را به آن لینک بدهیم.

-gp در دو سطح قابل اعمال خواهد بود -در سطح کامپیوترها -در سطح کاربران مراحل اعمال gp 1-تولید gp سیاست را اعمال کنید نام Gpمورد نظر را تایپ کنید.

ترجیحا یک نامه مرتبط باشد کلا Desktop gp object New gp 2-Edit gp روی نام کامپیوتر یا یوزر راست کلیک Edit و سیاست را اعمال کنید.

3-اینک gp به گروه یا ou خاص مورد نظر را راست کلیک کنید نام gp ها لیست می‌شود.از لیست Desk top را انتخاب و ok کنید این همان سطح اعمال خواهد شد.

Gp ها کی اعمال می‌شود؟

Gpهایی که در سطح کامپیوتر باشند حتما باید کامپیوتر یک بار Restart شوند.

Gpهایی که در سطح کاربران باشند ضمنا باید یک بار log off و log in شوند تا آن سیاست به آنها اعمال شوند.

یک command جالب خروجی gp را می‌گویند cmd gp Resault gp های در سطح کامپیوتر gp های در سطح user همه را لیست می‌کند (خیلی خوبه) کلا دستورات داس را اگر آخرش یک فلش بذاریم و مسیر بدهیم، همه اطلاعاتش را داخل فایلی ذخیره می‌کند.

C:\> … > d:\docunet.txt مثال: C:\> ping 127.0.0.1 – t > d: ping .

txt نیچه ping را داخل یک فایل به نام pig ذخیره میکند.

خود policy management ابزارهای جالبی دارند.

1-روی gp خاص کلیک،‌در صفحه‌ی زبانه دار setting کلید gp هایی را که به آن ou یا گروه اعمال شده را لیست می‌کند که خیلی کمک بزرگی است.

2-gpwizard یک سری اطلاعات در مورد eventriewer ها به ما می‌دهد.

توضیحات صفحات زبانه دار مختلف gp ها 1-توضیح صحنه‌ی زبانه دار scope در قسمت بالا continary را که gp به آن ؟؟؟

شده را نمایش می‌دهد و در قسمت پائین مشخص می‌کند که آن gp به کدام کاربران اعمال شده است.

2-توضیح صحنه‌ی زبانه دار Details می‌توانیم gp را از یک سطحی disable یا Enable ا کنیم.

یا سیاست را فقط به گروه کاربران یا فقط گروه کامپیوترها اعمال شوند.

البته بسته به این که gp به گروه کامپیوتران یا کاربران اعمال شده، می‌توانیم آن را از روی آن گروه موقتا برداریم.

3-توضیح صفحه‌ی زبانه دار Settings کلیه تنظیماتی را که روی gp خاص داده‌ایم را مشخص می‌کند.

4-توضیح صحنه‌ی زبانه دار Deligaution تفویض کردن، وقتی که gp را به یک یا چند نفر بدهیم.

در این صحنه‌ی زبانه دار نام اشخاص را انتخاب کنیم.

چند سطح دسترسی متفاوت می‌توانیم به آن کاربران بدهیم.

1-Read 2-edit setting 3-modify secarity 4-Delete یک ویژگی داریم به نام loop back proccessing برای این که مدیر شبکه از یای کامپیوتر خودش کنسول AD, WIM, DNS و سایر را داشته باشد باید نرم افزار adminpak‌ را پای کامپیوتر خودش نصب کند.

2 تا مُد داریم: 1-Replace mode : یعنی تنظیمات کامپیوتر را جایگزین کاربران کند در واقع این جا اولویت با کامپیوتر خواهد بود.

2-Merge mode : هر دو تنظیمات را ترکیب کند و در صورت confic داشتن کامپیوتر را به کاربر ترجیح دهد.

Refresh interval اگر gp را روی بالاترین سطح راست کلیک Edit کلیه پالیسی‌های gp اینجاست خودتان مطالعه کنید.

Gp interval for computar 2 بار کلیک کنید هر 90 درجه یک gp را update کند.

یعنی در شبکه های بزرگ هر 100 تا کاربر همزمان نروند سراغ up date بلکه در پنج زمانی مشخص این کار انجام شود.

Command های gp را مطالعه کنید.

بعد از اعمال gp با تایپ اجرا این زمان gp بلافاصله به روز می‌شود.

-gp up date / ?

gp بلافاصله به کلیه کامپیوترها یا کاربران اعمال می‌شود.

-gp up data / force بعد از این که gp‌ جدیدی اعمال شد باعث می‌شود سستم کاربر یک بار log off کند تا gp به روز شود.

البته این زمان را زمانی اجرا کنیم که gp در سطح کاربر باشد تا یک بار با log off کردن آن سیاست به آن اعمال نشود.

-gp up date / log off زمانی که یک gp جدیدی در سطح کامپیوترها طراحی و اعمال شده باشد باعث اجرای این زمان باعث می‌شود کامپیوتر کاربر یک بار Restart شود تا آن gp به آن کامپیوتر اعمال گردد.

-gp update / Boot نحوه بک آپ Restore کردن از gp ها بر روی یک gp خاص راست کلیک کرده و گزینه‌ی back up را انتخاب کنید.

(مبحث Group policy از windows 2003 به این قسمت اضافه شود).

Replication Active Directory منظور این است که چطور از اکتیو دایرکتوری نگهداری کنیم چون سرویس AD خیلی مهم است ، از دست رفتن آن مشکلات زیادی به وجود می‌آورد.

بنابراین در نگهداری سرویس AD باید خیلی کوشا بود.

بحث Replication یکی از این مباحث است.

بحث backup domain controller‌ هم یکی دیگر نه آنهاست.

که اگر دومین کنترلر از بین برود سریعا بک آپ‌ جایگزین شود و پایدار ی شبکه را بالا ببرد و ضمنا یک جور تعادل یا Load balancing هم در شبکه به وجود آورد.

بعد از این دومین کنترلر بک آپ بگیریم 1-؟؟؟

یک کامپیوتر جدا از دومین کنترلر اولی یک ویندوز سرور 2003 نصب می‌کنیم.

2-حالا در منوی Run این کامپیوتر دوم تایپ می‌کنیم: DC promo 3-پنجره ظاهر شده را Next می‌کنیم.

4-در پنجره بعدی به روی گزینه Additional domain controller for an existing domaing را انتخاب می‌کنیم.

و باقی پنجره‌ها را دنبال می کنیم.

توجه:‌بک آپ دومین کنترلر عین دومنین کنترلر اولی است (Parent) و ویتامین (DB) هر دو آنها یکی است و این ویتامین در مسیر زیر است.

C: \windows / NTDS انواع Replication 1-Replication داخل یک شبکه یا ساب نت یا سایت 2-Replication بین چند شبکه یا بین چند سایت یا بین چند ساب نت.

سایت یعنی شبکه‌های در نقاط جغرافیایی مختلف.

چرا باید سایت داشته باشیم؟

برایم دیریت کردن بهتر برای این که هر مرکز یا هر ساختمان اکتیو دایرکتوری (AD) خودش را داشته باشد و فقط اکتیو دایرکتوری‌های مختلف بین هم Replicate شوند.

اگرد ر یک سایت 2 تا اکتیو دایرکتوری داشته باشیم هر 15 دقیقه یک بار، عمل Replication انجام می‌شود.

اما اگر اکتیو دایرکتوری ها داخل 2 تا سایت مختلف باشند هر n ثانیه که ما تعریف کردیم عمل Replication انجام خواهد شد.

KCC یک سرویس است که Replication اکتیو دایرکتوری‌های مختلف با با یک الگوریتم ایجاد می‌کند.

برای Replicate کردن بین محیط‌های مختلف (شبکه، یا ساب نت) بیشتر از کنسور Active Directory site and serviceses استفاده می‌کنیم.

اگر 2 تا اکتیو دایرکتوری داشته باشیم خود سرویس Replication یک سری لین هایی سرا بین آنها برقرار می‌کند که قابل دیدن نیست.

هر یک بار Repricate می‌شود.

لینک های بین AD1 و AD2 و از طرفی بین AD2 و AD3 خود به خود به وجود می‌آید و هر 15 دقیقه یک بار Replicate‌می‌شود.

ضمنا خود ما هم می‌توانیم بین AD1 و AD3 یک لینک به وجود بیاوریم که بین این دوهم عمل Replication انجام شود.

اگر سرورهای مختلف را در سایت های مختلف داشته باشیم بین سرورها باید کابل کشی کنیم یعنی بین آنها به صورت دستی لینک برقرار کنیم.

بعضی وقتها که پهنای باند Band width ما محدود است بهتر است که لینک ها را فشرده کنیم این پهنای باند ما را الکی اشغال نمی‌کند.

اما اگر مشکل پهنای باند نداریم خدا وکیلی الکی لینکی را کمپرس نکنیم.

چطور سایت بسازیم؟

کنسول Active Directory را اجرا کرده بر روی پوشه‌ی sites راست کلیک کرده و گزینه‌ی Newsite را انتخاب می‌کنیم ،‌پنجره زیر باز می‌شود در وقت Name برای سایت یک نام تایپ کرده: از پنجره‌ی زیرین روی گزینه‌ی DEFAULT IPSITELINK را انتخاب و پنجره را OK می‌کنیم.

نحوه لینک دادن بین سایت‌ها فرض کنید 2 تا سایت‌ می‌سازیم و عملا هیچ اتفاقی نمی افتد برای این که عمل Replicate بین ؟؟؟

سایت انجام شود البته کنسول Active Directory sites and services را اجرا می‌کنیم سپس گزینه‌ی Sites را باز و سپس مورد Inter – site transports را باز کرده به پروتوکل IP کلیک می‌کنیم.

از پنجره روبرو بر روی DEFAULT LPSITELINK دوبار از پنجره‌ی باز شده بر روی سایت مورد نظر کلیک و با Add کردن به پنجره‌ی سمت چپ آنها را با هم لینک می دهیم.

توجه کنید: فرض IP با SMTP‌ در این است که در پروتوکل SMTP بر خلاف IP اگر برخی اطلاعات را فرستاده باشد.و قطع شود بعدا که لینک برقرار شد از ادامه‌اش آن را می‌فرستد اما IP نه،‌مجددا از اول باید اطلاعات فرستاده شود.

توجه 2 : چون موقع ساختن IP آن را براساس IP لینک می‌دهیم برای اینکه لینک براساس پروتوکل SMTP باشد ابتدا از طریق اجرای برنامه Services.MSC در منوی Run‌ سرویس‌های SMTP را فعال می کنیم و سپس مجددا بر می‌گردیم سایت جدید را بر اساس پروتوکل SMTP می‌سازیم.

توجه 3 : اگر رنج IP های دو سایت با یکدیگر متفاوت بود و بین آنها ؟؟؟

وجود داشت البته کنسول Active Directory sites and services را باز می‌کنیم.

بر روی پوشه‌ی subnets راست کلیک کرده و گزینه‌ی New Subnet را کلیک می‌کنیم.

حالا رنج IP سایت را در این قسمت تایپ می‌کنیم.

این بدان معنی است که این سایت این رنج Ip را دارد به همین سادگی.

توجه 4 : به طور پیش فرض عمل Replicate بین دو سایت هر 180 دقیقه یک بار انجام می‌شود.

چنانچه بخواهیم این زمان را تغییر دهیم.

ابتدا کنسول Active Directory sites and services را باز کرده بر روی پوشه‌ی Inter – site transport کلیک می کنیم حالا بر روی پروتوکل Ip کلیک می‌کنیم و از پانل سمت راستی بر روی DEFAULTIPSI TELINK راست کلیک کرده و گزینه‌ی Properties را انتخاب می‌کنیم.

پنجره زیر باز می‌شود در این پنجره در قسمت Replicate every 180 minutes می‌توانیم با فلش‌های بالا و پائین عدد 180 را کم یا زیاد کنیم.

توجه 5: برای این که عمل Replicate بین دومین کنترلرهای خاص در هر سایت انجام شود باید bridgeserver‌تعریف کنیم.

برای این منظور مراحل زیر را طی می‌کنیم.

propories IP ADD سرور مورد نظر مثلا سرور M AD sites and services properties IP ADD سرور مورد نظر مثلا سرور N2 AD sites and services بدین ترتیب از هر سایت فقط سرورهای N1 و N2 بین هم Replicate می کنند.

البته bridge server توصیه نمی‌شود چون ممکن است یک سرور بخوابد و Replicate نشود.

توجه : در سطح سایت هم می‌توان gp تعریف کرد.

اگر چند تا دومین با هم توی سایت داشته باشیم آن gp به تمام دومین‌های موجود در آن سایت اعمال خواهد شد برای این منظور ابتدا AD sites and services را باز کرده سپس بر روی نام سایت مورد نظر راست کلیک و گزینه‌ی properties را کلیک می‌کنیم پنجره زیر باز خواهد شد (شکل پنجره) از این پنجره روی صفحه زبانه دار group policy یک بار کلیک کرده و سیاست مورد نظر را اعمال می کنیم.

اگر pdc ازک ار بیفتد چه کار کنیم؟

یک سری سرویس‌های خاص روی pdc است که اگر pdc‌ از کار بیفتد دومین کنترلر می‌خوابد برای این منظور این سرویس‌ها را می‌شناسیم و اگر pdc به شکل برخورد سریعا pdc را جایگزین آن کنیم یعنی سرویس‌های خاص را بر روی bdc می‌آوریم.

سرویس‌هایی که بر روی pdc وجود دارند کدامند؟

1- Schem a Master تمام آبجکت‌ های اکتیو دایرکتوری یعنی ساختمان اصلی properties توسط این سرویس تامین می‌شود مثلا این که تعداد فیلدهای زبانه دار General‌ چند تا باشد.

First name‌و last name و Gender و سایر باشد یا خیر همه توسط این سرویس تامین می‌شود.

به طور کلی این سرویس موظف است که چک کند که در یک دومین کنترلر کلیه طرح ها و آبجکت‌ها واحد باشد.

2- domain nameing master این سرویس وظیفه‌اش این است که منحصر به فرد بودن اسمها را در دومین شبکه کنترل کند.

این سرویس کارش خیلی مهم است چون اگر این بنا شد مرتبا دومین پیغام خطا برای مشابه بون اسامی می داد.

3- pdc Emolator در سیستم عامل‌های 2003, 2000, Nt4 کاربرد دارد که باید نقشه‌ی pdc Emolator را داشته باشند.

4- RID Master (Relative ID) محصول منحصر به فرد بودن اسم آبجکت‌ها در AD است.

هر آبجکت در AD ی عدد منحصر به فرد دارد که به آن sid می‌گویند.

کار RID این است که چک کند که حتما هر آبجکت اسامی منحصر به فرد دارد و ادغام پیش نیامده است.

اگر دومین کنترلری که روی آن RID تعریف شده بود به مشکل بخورد و fail شود تا bdc جدید کار RID را نکند امکان ایجاد کاربر جدید نخواهد بود.

5- Infrastructure Master‌ در محیطهای چند دومین کاربرد دارد.

اگر یک دومین داریم این گزینه کاربردی نخواهد داشت اما اگر فرض کنید چند دومین داریم و کاربر از Domain1 به Domain2 تغییر کند حتما Distanguish name نیز تغییر خواهد کرد.

جان کلام !

اگر Infrastructure را تغییر نداده باشیم یک آبجکت را از یک دومین به دومین دیگری نمی‌توان move داد.

نتیجه: پس وقتی pdc، به مشکل می‌خورد باید این 5 اپراتور بالا را که تعریف کردیم را روی bdc برگردانیم.

در ادامه به این مهم می‌پردازیم.

ب به این 5 اپراتور Operation master می‌گوئیم که خیلی مهم هستند.

حالا به بررسی این می‌پردازیم که pdc دچار مشکل شده را حتی سالم است و ما قصد داریم که این 5 تا operation master ها را از روی pdc مشکل دار به bdc منتقل کنیم.

حالت اول : زمانی که pdc سالم است و مشکلی ندارد 1-نحوه انتقال RID از Pdc به bdc : ابتدا به login, pdc کرده و سپس کنسول AD users and computers را اجرا کنید.

حالا راست کلیک و گزینه connection بر روی سرور (نام کامپیوتر سرور pdc ) راست کلیک و گزینه operation master را انتخاب و سپس از صفحه زبانه‌دار RID گزینه‌ی change را کلیک کنید.

با این عمل RID از pdc به bdc مستقل خواهد شد.

به این عمل trans fer کردن می‌گویند.

حالت اول : زمانی که pdc سالم است و مشکلی ندارد اما قرار شده که operation Master ها را به bdc منتقل کنیم که به این عمل transfer کردن می گویند.

1-به سرور login, pdc کرده و سپس کنسول AD users and computers را اجرا کنید حالا بر روی نام سرور pdc راست کلیک و گزینه connect to را انتخاب و نام کامپیوتر سرور pdc را انتخاب کنید تا به pdc متصل شود حالا بر روی نام سرور کامپیوتر pdc راست کلیک و گزینه‌ی operation master را انتخاب و از صفحه‌ی زبانه دار RID بر روی دکمه‌ی change یک بار کلیک و yes‌ را انتخاب کند.

با این عمل RID از pdc به pde منتقل خواهد شد.

حالت دوم: زمانی که pdc، مشکل دار شده حالا ما باید به کامپیوترهای تور شبکه ؟؟؟

که operation Master، bdc است به این عمل seize (سیز) کردن می‌گویند.

توجه خیلی مهم : چنانچه bdc را با seize کردن جایگزین pdc می‌کنیم، به هیچ عنوان نباید pdc را تور شبکه بیاوریم چون هر دو سرور مشکل دار خواهند شد.

ادامه داستان به نحوه seize کردن، pdc 1-در منون Run تایپ کنید : Cmd 2-در خط زمان تایپ کنید: ntdsutil ‌ 3-در خط ntdsutil تایپ می‌کنیم: Roles 4-در خط فرمان Fsmo maintenance تایپ می‌کنیم.

پسوند لاتین، نام لاتین، نام سرور connect to server 2k3text.

Domaintest.

Com 5-در خط فرمان fs mo maintenance تایپ می‌کنیم: connections 6-در خط فرمان server connection تایپ می‌کنیم: quit‌ 7-در خط فرمان Fsmo maintenace seize تایپ می‌کنیم: هر کدام را که خواستیم seize کنیم.

Seize Rid Master Seize PDC Seize infrastruture Master Seize domain haming Master Seize Schema master Guid line های جالب این بخش همواره RID را داخل سایتی بگذاریم که object بالاتری دارد.

Schema master را روی سیستم معتبر و پایدارتر بگذارید.

منظور این است که عملکرد دستگاه بالا باشد مهم نیست که ظرفیتش بالا باشد.

Pdc را روی کامپیوتری نصب کنید که هم عملکرد بالایی داشته باشد و هم ظرفیتش بالا باشد.

Infrastructure Master‌ ترجیحا با global Cataloge‌ توی یک سایت نباشد بهتر است.

برای تنظیم global مسیر زیر را طی می‌کنید.

1-کنسول Active Directory site and servicese را باز کنید.

2-بر روی سرور مورد نظر است کلیک کرده و گزینه‌ی properties را انتخاب کنید.

3-گزینه Global catalog را فعال یا غیر فعال کنید.

نگهداری و مانیتور کردن Active Directory