آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory Domain Services / ساختار منطقی Active Directory

ساختار منطقی Active Directory

اینکه شما بخواهید یک شبکه domain را پیاده سازی کرده و آن را از با Active Directory مدیریت کنید، بایستی به روابط بینcontainer  ها دقت کنید. قبل از اینکه ساختار منطقی Active Directory شبکه خود را طراحی کنید، باید مشخص کنید که به چه مواردی نیاز دارید، برای مثال، چند کاربر دارید، چه تعداد domain نیاز دارید، کدام اطلاعات و منابع شبکه باید دردسترس کدام کاربران قرار گیرد و … بالاترین سطح در یک شبکه، forest است. درون forest، یک یا چندین domain قرار داشته و درون domain ها،organizational unit  (OU) ها وجود دارند. به این سلسله مراتب logical model یا ساختار منطقی گفته می شود، زیرا این ساختار به جنبه های فیزیکی پیاده سازی شبکه مانند، توپولوژی شبکه و یا تعداد domain controller های هر domain بستگی دارد. ساختار فیزیکی active directory نیز شامل domain controller ها و sites است که در ادامه مباحث به آنها اشاره شده است.ساختار کامل Active Directory عبارتند از:

Active Directory data store

همانطور که می دانید، AD DS تمامی identity های خود را (تمامی مواردی که باعث شناسایی یک object در محیط domain می شود) در directory (محل ذخیره اطلاعات در domain controller ها) ذخیره می کند. Directory یک فایل دیتابیس به نامNtds.dit  بوده و در مسیر %system root%\Ntds folder روی domain controller ها قرار دارد. این database به چندین پارتیشن شامل ،schema، configuration، domain naming context (این سه پارتیشن اطلاعات مربوط به domain را در خود ذخیره می کنند) تقسیم می شود.(توضیحات کامل در بخش مربوط partition ها آورده شده است)

Domain Controller

DC یا domain controller، همان سرورهایی هستند که active directory domain services یا AD DS روی آنها نصب شده و نقش active directory را به عهده می گیرند. همچنین این سرورها یک کپی از directory و اطلاعات مهم مربوط به domain را نگهداری می کند. یکی از مهمترین وظیفه این سرورها (DC)، اجرای سرویس Kerberos Key Distribution Center (KDC) بوده که مسئول احراز هویت (authentication) و دیگر سرویس های active directory است.

Domain

یک domain، یک ساختار مدیریتی بوده که درون آن یک یا چندین domain controller وجود دارد. در یک محیط domain، تمامی domain controller ها اطلاعات ذخیره شده درون پارتیشن های domain را با یکدیگر replicate می کنند، این بدان معناست که اطلاعات پارتیشن های (شامل یوزرها، کامپیوترها، گروه ها و دیگر اطلاعات) هر DC، با یکدیگر sync شده و هر DC از تغییرات DC های دیگر مطلع می شوند، زیرا همه ی DC ها اطلاعات identity مشابهی را در خود داشته و هر DC می تواند وظیفه authentication را در محیط domain به عهده بگیرد. همچنین domain، مرزی را بین تاثیر policy ها (مربوط بهgroup policy) به یوزرها و گروه ها ایجاد می کند، برای مثال، وقتی یک policy مانند password complexity را به یک domain اعمال می کنید، فقط به اعضای آن domain اعمال شده و به domain های دیگر تاثیری ندارد.

forest

یک forest، مجموعه ای از یک یا چندین domain است. اولین domain ای که در forest ایجاد می شود، forest root domain نام دارد. یک forest دارای یک network configuration و یک schema یکتا بوده و directory مخصوص به خود را دارد، این به معنای آنست که هیچگونه replication ای بین directory های دو forest اتفاق نمی افتد، مگر اینکه بین آنهاtrust  برقرار گردد(مفهوم trust در بخش مربوط به خود توضیح داده شده است.)

Tree

همانطور که می دانید، برای ایجاد یک domain، نیاز به یک اسمی دارید که DNS بتواند آن را resolve کند. به این اسمdomain ، فضای نامی یا DNS namespace گفته می شود. هر domain یک namespace دارد که در forest یک tree را می سازد. اگر domain ای به عنوان subdomain یک domain دیگر باشد، هر دو domain یک tree را می سازد، یعنی یکdomain  با هر تعداد child domain خود، یک tree را ایجاد می کند. برای مثال، اگر یک domain به نام Microsoft.com باchild domain  های windows.microsoft.com و learning.microsoft.com داشته باشید، تمامی این domain ها تشکیل یک tree را می دهند. شکل زیر یک forest را به همراه tree های آن نشان می دهد.

tree & forest

شکل بالا، دو forest مربوط به دو شرکت Nokia و Microsoft را نشان می دهد که با یکدیگر two-way transitive trust برقرار کرده اند و در واقع به یک forest تبدیل شده اند. این forest دارای دو tree است. یک tree شامل دامینMicrosoft.com  و تمامی child domain های آن مانند، servers.microsoft.com ، wp.microsoft.com ،app.wp.microsoft.com ، developer.wp.microsoft.com و product.microsoft.com بوده و tree دیگر نیز شامل دامین Nokia.com و child domain آن sales.nokia.com است.

Functional level

تمامی قابلیت ها و عملکرد یک active directory domain یا forest به functional level بستگی دارد. functional level یکی از تنظیمات مربوط به AD DS بوده که ویژگی های پیشرفته active directory را در سطح domain و forest، فراهم می آورد. برای ویندوز سرور 2008 R2 شش domain functional level و پنج forest functional level وجود دارد.

وقتی functional level را در حد 2003 قرار دهید، برخی ویژگی های 2008 را نخواهید داشت. برای مثال با بالا بردنfunctional level  به 2008 R2، ویندوز سرور قابلیت و ویژگی Recycle Bin را خواهد داشت. با active directory Recycle Bin می توان object های حذف شده از active directory را بازیابی کرد و به حالت قبل از حذف شدن برگرداند. توجه داشته باشید که functional level نسبت به ورژن ویندوز متغیر است. برای مثال، برای اینکه بتوانید functional level را به 2008 R2 ارتقا دهید، بایستی خود ویندوز سرور نیز 2008 R2 باشد.

Organizational unit

هنگامی که active directory را نصب می کنید، یکسری ویژگی ها اضافه می شوند. هنگامی که Active Directory Users And Computers snap-in را باز کنید، تعدادی پوشه مانند، Users، Computers و … خواهید دید که بصورت پیشفرض (Built-in) ایجاد شده اند. به هر کدام از این پوشه ها که برخی object ها را درون خود ذخیره کرده اند، container گفته می شود. این نوع container ها را نمی توان مدیریت کرده و هیچگونه policy به آنها اعمال نمی شود، اما نوعی container به نامorganizational unit  یا همان OU وجود داشته که قابل مدیریت بوده و از اعمال policy تاثیر می پذیرد. بنابراین، اگر قصد اعمال Group Policy objects (GPOs) به برخی از object ها را دارید، بایستی آن object ها را به یک OU منتقل کنید. مباحث مربوط به group policy در بخش خود توضیح داده شده اند.

Site

برخی از شبکه ها، به قدری بزرگ و گسترده هستند، که برخی DC ها در موقعیت های جغرافیایی متفاوتی قرار می گیرند. ممکن است ارتباط این DC ها با یکدیگر، به روش های متفاوتی صورت گیرد. Active directory site یک object ایست که می توانDC  ها و پهنای باند بین آنها را بهتر مدیریت کرد. یک site، مرزی را بین replication و سرویس های هر بخش ایجاد می کند. هر کدام از این موارد، در بخش خود به تفضیل بحث شده اند.