

مفاهیم Active Directory:
Active Directory Schema
در واقع الگو و اساس Active Directory است. Schema شامل دو بخش Object Class ها و Attribute ها می باشد.
Object Class ها شامل: User ها، Group ها، OU ها، Computer ها و… است. (در واقع تمام چیزهایی که می توان در Active Directory ایجاد کرد)
Attribute ها شامل: Username، First Name، Last Name، Description، Title و… و همچنین Custom Attribute ها و به طور کلی تمامی صفات و ویژگی های Object های Active Directory می باشد.
در واقع Attribute ها به Object Class ها لینک شده اند.
نکته: می توان برای Active Directory، برنامه نویسی کرد و مایکروسافت اجازه داده است که با ابزارهای مختلف بتوان Schema را تغییر داد. به این ترتیب می توان در Schema یک Object Class و یا یک Attribute ایجاد کرد و یا یک Attribute را به یک Object Class، لینک نمود
تغییر دادن Schema را Extending می نامند. بطور مثال با Extend کردن Schema می توان Attribute هایی مانند: جنس کاربر، عکس کاربر و … را به Attribute های یک User، اضافه کرد.
نکته: برخی از نرم افزارها، با نصب خود Schema را Extend می کنند (مانند Exchange)
نکته مهم: کل یک Forest از یک Schema استفاده می کند. بدین ترتیب اگرSchema در Forest Root Domain، به هر ترتیبی Extend شود، در تمامی Domain های Forest این تغییرات اعمال می گردد.
تعریف دیگری از Forest: یک Forest، مجموعه Domain هایی هستند که از یک Schema استفاده می کنند.
C: Child Domain
TR: Tree Root Domain
FR: Forest Root Domain
Global Catalog
Global Catalog یک دیتابیس کوچکتر از Active Directory است که بعضی از Attribute های مناسب برای Search یک Object را دارا می باشد.
کاربردهای Global Catalog:
-
Search in Active Directory
-
Universal Group Membership Checking
Global Catalog نیز بر روی اولین DC یک Forest قرار دارد یعنی این DC هم Schema Master و هم Global Catalog می باشد.
Microsoft توصیه می کند که در هر Active Directory Site، یک Global Catalog قرار داده شود.
نکته: هرگاه Global Catalog وجود نداشته باشد و یا به هر علتی دسترسی به DC نگهدارنده Global Catalog میسر نباشد، اجازه Login به کاربر داده نمی شود (به جز Administrator). نوع Error هنگام در دسترس نبودن Global Catalog، وقتی که کاربر در حال Login است، عبارت: Account is Restricted می باشد.
تعریف دیگری از Forest، “مجموعه ای از Domain ها که همگی دارای یک Global Catalog هستند”، می باشد.
در یک Forest می توان بیش از یک سرور Global Catalog داشت اما همگی دارای Global Catalog یکسانی هستند. (بر خلاف Schema Master که در یک Forest، یکتا (Unique) است)
DC هایی که در یک Forest، نقش Global Catalog Server را دارند، باید Global Catalog خود را با یکدیگر Replicate نمایند.
نکته: باید در هر Active Directory Site، یک GC قرار داده شود تا عملیات Login کاربران که به بررسی عضویت کاربر در گروه های Universal و در نتیجه به GC وابسته است و همچنین عملیات Search، کند نشود.
قابلیتی بنام Universal Group Membership Caching وجود دارد که با فعال نمودن آن در یک سایت، می توان در آن سایت GC قرار نداد (بدین ترتیب Replication میان GC های موجود در سایت های دیگر بوجود نمی آید و ترافیک لینک میان این سایت و سایت های دیگر بوجود نمی آید). با فعال Cache شدن عضویت کاربران در گروه های Universal توسط این قابلیت، دیگر نیازی به Check شدن این عضویت ها در GC سایت های دیگر وجود ندارد و login سریعتر می شود اما این قابلیت کار Search را انجام نمی دهد و بنابراین برای Search به GC های دیگر سایت ها مراجعه می گردد.
نکته مهم: چندین Domain را در نظر بگیرید که همگی در یک Forest قرار دارند. اگر در یک Active Directory Site، چند DC از هرکدام از این Domain ها وجود داشته باشند، کافی است که تنها یکی از آنها دارای Global Catalog باشند. به عبارت دیگر برای هر سایت Active Directory وجود یک GC Server، بدون توجه به تعداد Domain های موجود در آن سایت، کفایت می کند. این GC Server در یک سایت می تواند حتی متعلق به پایین ترین Child Domain باشد.
وابستگی های سرویس Active Directory به DNS:
-
برای Join کردن کلاینت ها به Domain، آدرس DC از DNS پرسیده می شود.
-
برای Login کردن به کامپیوتری که Join به Domain شده است، به منظور check کردن Username و password، آدرس سرور دارای Kerberos از DNS پرسیده می شود.
-
برای Search در Active Directory آدرس سرور دارای LDAP از DNS پرسیده می شود.
-
هنگام Login یا Search کردن در Active Directory، برای بررسی عضویت کاربر در گروههای Universal، آدرس سرور دارای Global Catalog، از DNS پرسیده می شود
-
DC ها هنگام Replication، آدرس یکدیگر را از DNS می پرسند.
نکاتی در مورد دیتابیس Active Directory:
هنگامی که آخرین محصول مایکروسافت، ویندوز NT بود، فایل دیتابیس Directory Service به نام SAM File خوانده می شد (Security Account Manager) اما امروزه فایل دیتابیس Active Directory، به نام NTDS.DLT نام گذاری شده است.
SID (Security ID) یک User در تمام یک Forest یکتا (Unique) است. SID در یک Domain، هنگام ایجاد یک User و یا یک Group برای آن ایجاد می شود. یک مفهوم دیگر بنام GUID (Globally Unique ID) وجود دارد که برای هر Object که در Active Directory ساخته می شود، وجود دارد. GUID هر Object در تمام دنیا Unique است و از دو قسمت تشکیل می شود:
-
Domain Security ID
-
Relative ID
هر Domain که در یک Forest ایجاد می شود، Domain Security ID خاص خودش را دارد بنابراین با Unique بودن قسمت Relative ID در یک Domain، کل GUID در تمام Forest، یکتا (Unique) خواهد بود.
یکی از DC های Domain، دارای نقش RID Master (Relative ID Master) است. RID Master تضمین می کند که در یک Domain، شناسه Relative ID یکسان به دو Object متفاوت داده نشود.
اگر در یک Domain، سرور RID Master از کار بیافتد یا سرویس RID آن Fail شود، Administrator آن Domain دیگر قادر به ساختن User و یا هر Object دیگری نمی باشد.
نکته: هرگاه یک DC برای ساختن یک Object به RID Master مراجعه می کند تا از آن GUID برای آن Object بگیرد، بجای یک GUID، تعداد ۱۲۸ عدد GUID میگیرد تا برای دفعات بعدی نیازی به مراجعه به RID Master نداشته باشد.
Active Directory Partitions
فایل NTDS.DIT که فایل دیتابیس Active Directory است و در محل: %Windir%\NTDC قرار گرفته است، پارتیشن بندی شده است. این فایل دارای چهار پارتیشن است:
الف- Domain Partition: در داخل این پارتیشن، تمامی Object های Active Directory قرار می گیرد. از آنجایی که Object های موجود در یک DC با DC های دیگر در همان Domain، باید Replicate شوند، لذا Domain Partition با DC های دیگر در همان دامین، Replicate می گردد.
ب- Configuration Partition: در داخل این پارتیشن، Forest Topology و یا به بیان بهتر Logical Structure مربوط به Active Directory ذخیره می گردد. این پارتیشن با تمامی DC های یک Forest، تبادل (Replicate) می گردد.
ج- Application Partition: بعضی از نرم افزارها، Active Directory Aware هستند. بدین معنی که اینگونه نرم افزارها می توانند با Active Directory کار کنند و مفهوم Active Directory را درک می کنند. اگر این نرم افزارها بخواهند اطلاعاتی را در Active Directory ذخیره کنند، آن اطلاعات را در Application Partition قرار می دهند. در یک DC ممکن است چند Application Partition وجود داشته باشد. بطور مثال Exchange یک نرم افزار Active Directory Aware است که دارای یک Application Partition می باشد.
نکته: یک DNS Server که دارای AD Integrated Zone باشد، این Zone را در یک Application Partition به نام DNS Data ذخیره می نماید.
Application Partition با DC هایی در یک Forest، تبادل (Replicate) می گردد که Administrator تعیین می نماید.
یادآوری مهم: با Set نبودن ساعت تمامی کامپیوتر های یک شبکه Domain با DC، ممکن است Login صورت نپذیرد. برای تنظیم ساعت کامپیوترهای یک شبکه با یک کامپیوتر خاص، نظیر DC از فرمان زیر استفاده می کنیم:
<<Net Time /Set \\<< IP Address Of Specific Computer
Active Directory Replication Topology
سرویس KCC (Knowledge Consistency Checker)، ساختار Replication Topology را میان DC های یک Domain و یا Forest، ایجاد می کند.
Active Directory Replication Topology، که توسط KCC درون یک سایت ایجاد می گردد، معمولا” Ring است. اگر تعداد DC ها کوچکتر یا مساوی هفت باشد، KCC، توپولوژی Ring را ایجاد می کند اما اگر تعداد DC ها بیش از عدد ۷ باشد، KCC از توپولوژی Mesh استفاده می کند. KCC با ایجاد Mesh، سعی بر آن دارد که حداکثر فاصله Replication میان دو DC بیش از دو Hope نباشد و با این کار میزان Latency (تاخیر) کاسته می شود.
KCC برای Replication میان سایت ها، از توپولوژی Spanning Trees استفاده می کند. بدین معنا که در هر سایت یک DC را به عنوان Bridgehead تعیین می کند و کم هزینه ترین مسیر را برای Replication با آن DC در سایت، انتخاب می کند.
نکته: فولدر Sysvol، فولدری است که DC ها برای Replication از آن استفاده می کنند. فولدر Sysvol حتما” باید بر روی پارتیشن NTFS قرار داشته باشد.
چند نکته راجع به راه اندازی DC:
-
هنگام راه اندازی DC، کارت شبکه DC حتما” متصل باشد
-
برای راه اندازی DC تست، نمی توان از کارت شبکه Loop Back استفاده کرد.
-
IP Address متعلق به DC حتما” Static باشد
چند نکته در مورد DNS:
برای راه اندازی یک DNS Server بر روی یک DC فاقد DNS:
-
بر روی DC، سرویس DNS را نصب می کنیم
-
یک Zone به نام Domain و یک Zone به نام Domain Name ایجاد می کنیم
-
سرویس Netlogon را Restart می نماییم