دانلود مقاله Active Directory - اکتیو دایرکتوری

چرا باید در اکتیو دایرکتوری داشته باشیم؟

درست نقطه مقابل Work group, AD است.

در workgroup هر کامپیوتر حول حفظ و نگهداری کامپیوتر خودی می‌باشد.

و در روی هر کامپیوتر برای هر یوزر جداگانه باید user name و Password تعریف شود.

مثلا اگر 4 تا کامپیوتر داشته باشیم برای این که 4 کاربر از پای هر کامپیوتر بتوانند login کنند باید پای هر کامپیوتر 4 تا user name و password تعریف شود یعنی در مجموع 16 بار باید user name و pass word تعریف شود اما اگر اکتیو دایرکتوری نصب کنیم مدیریت این User name و pass word ها واحد می‌شود.

یعنی مرکزی وجود دارد که user name و pass word ها ار چک می‌کند درست مثل نگهبانی‌های خانه‌های سازمانی، آنها در بدو ورود اشخاص دقیقا از آنها می‌پرسند که چه شخصی هستند و با چه مراکزی کار دارند بعد به آنها اجازه ورود می‌دهند یا نمی‌دهند.

در اکتیو دایرکتوری هم دقیقا همین اتفاق می‌افتد یعنی روی یک کامپیوتر AD نصب می‌شود و یک بار کافی است که user name و pass word بر روی آن تعریف شود در این صورت آن کاربر از پای هر دستگاه می‌تواند به شبکه login کند.

توجه 1 :
sam چیست؟

Data Base همان user name و pass word است.
کجا می‌توان sas فایل‌ها را پیدا کرد؟

روی my computdr راست کلیک کرده manage را انتخاب پوشه‌ی local & group را که باز کنیم محتویات user همان SAM ماست
مراحل نصب Active Directory
1-اولا که حتما باید درایوی که AD نصب می‌شود باید Ntfs باشد.

در غیر این صورت ابتدا با دستور زیر آن را به Ntfs تبدیل کنیم.

Run  convedrt : / Fs : Ntfs / v
2-سرویس DNB ترجیحا قبلا نصب شده باشد.

البته در غیر این صورت در حین نصب این کار را خودش انجام می‌دهد.

3-حداقل 256 مگابایت فضا برای نصب نیاز داریم.

4-تنظیمات TCP / IP درست باشد و به صورت دستی تنظیم شده باشد.

5-در منوی Run عبارت dcpromo را تایپ کرده و مراحل نصب را به طریق زیر طی کنید.
دو صفحه اول را با Next رد می‌کنیم:
از پنجره‌ی سوم گزینه زیر را انتخاب می‌کنیم.

Domain controller for new domain  next
از پنجره چهارم گزینه‌ی زیر را انتخاب و Next کنید:
Domain a new forest 
 next پسوند .

نام full DNS name
(domani)  next یک نام Net BIOS که خودش پیشنهاد می‌دهد.
: C: \ windows \ NTDS \ Log file \ Next مسیر DB
چنانچه 2 تا هارد داریم بهتر است این مسیر روی هاردی ابشد که ویندوز روی آن نصب نشده است در غیر این صورت خیلی فرق نخواهد داشت.

یک pass word برای Restore mode می‌خواهد بعدها خواهیم دید موقع Next بوت شدن کامپیوتر با زدن کلید f8 و انتخاب Restore mode می‌توانیم یک سری از کارهای اصلی بر روی دومین انجام دهید.

این pass word را که اینجا از ما می‌رسد برای زمانی است که با Restore mode می‌خواهید به دست شوید.
یک pass word برای Restore mode می‌خواهد بعدها خواهیم دید موقع Next بوت شدن کامپیوتر با زدن کلید f8 و انتخاب Restore mode می‌توانیم یک سری از کارهای اصلی بر روی دومین انجام دهید.

این pass word را که اینجا از ما می‌رسد برای زمانی است که با Restore mode می‌خواهید به دست شوید.

ادامه‌ی مفهوم‌ها … هر عبارت را با چه شکلی نمایش می‌دهیم.

برای 2 ناحیه جغرافیایی متفاوت Domain Ou child domain forest تعریف child domain همیشه اولین دومینی که ایجاد می‌شود به نام Top level domain است، test com top level domain child domain child domain in.

test.

Com seles.

Test.

com تعریف trust هم trust یک طرفه داریم و هم دو طرفه: این اتصال فیزیکی مشخص شده در شکل بین 2 تا تاپ اول به دومین‌ها اجازه می‌دهد که برخی از DB های خودشان را Replicate کنند.

تعریف اسکیما Schema : ساختار properties هر آبجکت ثابت است و توی AD ذخیره می‌شود این ساختار قابل مدیریت کردن می‌باشد به انواع فیلدهایی که وجود دارد schema می‌گویند.

نرم افزار Exchange می‌آید schema های AD را تغییر می‌دهد که کپی خطرناک است.

بنابراین قبلا نسخه پشتیبانی از AD بگیرید.

تعریف Site‌: ما بر حسب ناحیه‌ی جغرافیایی متفاوت می‌توانیم دومین کنترلرهای مختلفی داشته باشیم.

سایت‌ها در واقع AD هایی هستند که از نظر فیزیکی جداگانه هستند.

چرا باید سایت site تعریف کنیم؟

چون در دومین کنترلرهای مختلف مرتبا Daplicate نشود و الکی پهنای باند مشغول نشود، بلکه هر زمان ما خواستیم این اتفاق بیافتد.

در غیر این صورت بین DC ها هر 15 دقیقه یکبار اتفاق می‌افتد.

تعریف Distingush name : وقعی guary می‌گیریم می‌گوید این user مربوط به کدام ou، کدام dc است مثلا CN=user 1, Ou= IT, dc = clomainl, dc=com این مشخصاتی را که از هر user می‌دهند، Dist in gushe می‌گویند.

Domain Trust Gp Gp Gp چطور نرم افزارها از طریق نصب کنیم.

Replication کردن سایتها Global catalog Operation master نگهداری back up ou – group – balk Import چطور تعداد زیادی user وارد کنیم بدون تایپ تک به تک .

توجه کنید: بعد از این که دومینی را ایجاد کردید نمی توانید نام دومین را عوض کنید اما نام کامپیوتر دومین را می‌توانیم عوض کنیم.

نحوه Remove کردن یک دومین کنترلر فرض کنید که دومین کنترلر بک آپ fail شده دومین کنترلر اصلی مرتبا می‌خواهد یک بک آپ خودش Replicate کند که نمی تواند بنابراین مرتبا log های error توی enent viewer بالا می‌رود.

برای آن که بقایای آن دومین کنترلر بک آپ مرحوم را به طور کامل پاک کنیم.

Run : cmd c:\> ntdsutil این را تایپ می‌کنیم Nt dsutil : metadata cleanup این را تایپ می‌کنیم Server conection : connect to server (نام کامل سرور) “server name” : quit نام کامل ضمنا یک سرویس توی AD داریم به نام Global catalog که یک جور دیتابیس است و وظیفه‌اش این است که object های مهم شبکه را در خودش دارد.

در واقع وقتی quary می‌گیریم می‌رود سراغ Global Catalog و از اطلاعات آن استفاده می کند.

Global Catalog کلیه اطلاعات دومین‌های فارست را توی خودش نگهداری می کند.

اولین دومین کنترلر یا همان pdc را که ایجاد می‌کنیم اتوماتیک این گزینه فعال است یعنی اولین دومین کنترلر ما Global catolog را در بر دارد اما زمانی که دومین کنترلر بک اپ ایجاد می‌کنیم این تیک را ندارد یعنی بک آپ دومین کنترلر Golobal catalog نمی‌باشد مگر این که بعدا این اختیار را به آن بدهیم.

حداقل یک gc باید در هر pomain داشته باشیم.

اگر دومین کنترلر که Global catalog بود و خدای ناخواسته fail شد باید روی دومین کنترلر دیگر (بک آپ یا اصلی) این اختیار را به آن تفویض کنیم برای این کار باید مسیر زیر را طی کنید: statrs programs adminstrator tools Aative Directory site and servicals sites Default – first – site – Name Servers بر روی نام کامپیتر بک‌آب دومین نترلر کلیک NTDS راست کلیک properties و گزینه‌ی Global Catalog را فعال کنید.

تست‌هایی که بعد از نصب Active Directory باید انجام دهیم: 1-مرتبا event viewer ها را چک کنید.

2-یک پوشه داریم به نام Net log on sys vol حتما باید share شده باشد باید چک کنید ببینید که آیا حتما این پوشه shave شده است یا خیر.

برای این منظور مراحل زیر را طی کنید.

manage share colders (راست کلیک) My copmputers چک کنید که آیا Net log ، Sysvol حتما shave شده باشد.

shave اشکالات رایج بعد از نصب AD 1-Access deniedت : 2 علت دارد.

علت اول : با Account ، مدیر شبکه Login نکرده‌اید.

علت دوم : با Account که login کرده‌اید آن user عضو Enterprise admin نبوده است.

2-DNS or netbios Nsme are not unic علت اول : اسم دومین را باید عوض کنید چون احتمالا این اسم قبلا بوده است.

3-Domain cannot be connected یعنی دومین را نمی‌تواند پیدا کند.

1-ابتدا ping کنید.

2-DNS را چک کنید شاید درست set نشده باشد.

هدف به ساختن یک Child domain چرا child domain باید داشته باشیم.

برای این که دومین اصلی از حالت مدیریت مرکزی خارج شود بدهیم آن را دست یک مدیر مستقل تا ترافیک کم شود.

شرایط ساختن child : 1-حتما درایوی که قصد نصب child domain در آن را دارید فرمت Nfts داشته باشد.

2-فضای لازم روی درایو باشد.

3-DNS را درست Srt کنیم که 2 راه دارد، راه اول IP آدرس DNS را DNS , IP سرور اصلی قرار دهیم.

راه دوم : روی خود همین Child domain یک secondary zone ایجاد نمائیم.

مراحل نصب child domain Run : dc promo Domain controles for new domain یعنی گزینه‌ی اولی را باید انتخاب کنیم.

چون گزینه دوم فقط برای بک آپ می‌باشد.

user name – pass word : ___ (گزینه دوم) child domain next در اینجا pass word , user مربوط به دومین اصلی را می‌پرسد.

نام net bios را نمایش می دهد نام child domain مثلا It خودش نام دومین parent را می‌آورد.

برای حالت Restore mode کلمه‌ی عبور را می‌پرسد که هر چی می‌تواند باشد اما در ویندوز حتما این کلمه باید complex باشد.

محلی را که باید sys file و log فایل‌ها را کپی کند را می‌پرسد.

البته ممکن است حین نصب باز هم error بدهد آن هم وقتی که این child domain ها قبلا join به دومین اصلی شده باشد که در این صورت خودش اتوماتیک آن را join خارج می‌کند و یک بار سیستم Restart شود تا به کارش ادامه دهد.

تعریف Kerbrous‌ و LDAP پروتوکلی است که برای Athenticat کردن ازش استفاده می‌شود Kerbrous اکتیو دایرکتوری برای Quary گرفتن از این LDAP استفاده می‌کند.

تعریف سرویس رکوردها : سرویس رکوردها توی DNS، رجیستر می‌شوند.

و جواب سئوالاتی مثل این که دومین کجاست و Global catalog کجاست و یا سرویس‌های ker brous یا LDAP کجا قرار دارند مشخص شده است در واقع داخل این سرویس رکوردها یک سری اطلاعات مثل شماره پورت‌ها و تقدم و تاخیر PNS و سایر را معلوم می‌کند و هر کدام که Priroty (تقدم) پائین‌تری داشته باشد.

مقدم‌تر خواهد بود.

در واقع می‌توان این میزان Priority را دستی تنظیم کرد تا ترافیک را کتنرل نمود.

چنانچه ویندوزها هم بالای 2000 است و ویندوز زیر 2000 نداریم بهتر است با باز کردن کنسول Active Directory Users & computer و راست کلیک بر روی آن و انتخاب گزینه‌ی Raise همه را به ویندوز 2003 ارتقا دهیم.

طرح یک سئوال آیا child domain باید توی DNS اصلی رجیستر شود یا خیر؟

توی DNS یک zone برای دومین باید داشته باشیم.

Child domain چون یک دومین جدید است بنابراین توی DNS اصلی باید یک Refrence داشته باشیم که DNS باید جوابش را داشته باشد.

آیا باید یک Zone جدید ایجاد کنیم؟

یادتان باشد Zone‌فقط برای دومین است.

نه child دومین بنابراین فقط زیر همه‌ی zone اصلی باید یک zone به نام child ایجاد شود برای این منظور باید روی دومین راست کلیک New domain به نام مثلا sales ایجاد کنیم که چون محتویاتش خالی است که بایددستی ایجاد کنیم و رکوردهایش هم خالی است که آنها را هم باید دستی ایجاد نمائیم.

حالا به محض این که child دومین بوت شد در DNS اصلی در دومین روت یک سری فولدرهای با سرویس‌های خاص خودش را ایجاد خواهد کرد.

حالا چنانچه در دومین اصلی یا child یا زیر مجموعه‌ی این دو در منوی Run تایپ کنیم.

نام کامپیوتر دومین اصلی یا نام کامپیوتر child \\ بلافاصله بدون این که از ما user name و pass word‌بخواهد کلیه فایل‌های share شده را نمایش می دهد.

یادآوری : حتما در دومین اصلی جایی که Ip را تنظیم می‌کنیم با کلیک بر روی دکمه‌ی advance و انتخاب صفحه‌ی زبانه دار DNS در گزینه apend this domain apend at list نام دومین child را دستی Add نمایند.

یعنی این child را it 2.

Domain1.

Com اضافه نمائید.

داستان trust ها برای این که وضعیت trust را بین دومین‌های اصلی چک کنیم یکی از در دومین روی گزینه domains trust کلیک کرده وضعیت trust‌های بین آن دو را می‌توانیم ببینیم.

چرا باید trust بدهیم؟

عمل Athenticate کردن بین دومین‌ها به طور خودکار انجام شود و مرتبا از user name co user و pass word نخواهد.

در واقع وقتی که بین دومین‌ها اعتماد و ارتباط وجود دارد کاربران راحت‌تر کار می‌کنند.

نحوه تبادل اطلاعات در trustها -incoming -outgoing -دو طرفه کجا trust ها را تعریف کنیم ؟

بر روی گزینه trust ، Active Directory domain راست کلیک کرده و گزینه‌ی properties را انتخاب نمائید.

حالا روی صفحه زبانه دار trust کلیک کرده و گزینه‌ی New را انتخاب کنید.

یادتان باشد که trustت را مابین دومین های مختلف داریم شده بین دومین اصلی و child.

تعریف مفهوم incoming و out going این تعریف خیلی مهم است خوب یاد بگیرید.

Domain Domain B A 1- One way incoming between A and B.

یعنی userها در دومین A بتوانند در دومین B‌، Authen ticate‌ شوند.

اما اگر بخواهیم به عکس این عمل هم اتفاق بیافتد باید از همت B هم یک incoming را بسازیم.

برای این که کاربران هر