Embed Size (px)
Citation preview
آموزش شبکه
(MCSEMCSEMCSEMCSE))))
Active Directory :دوره
��د :�ا
ww ۱۳۸۷-١٣٨۶ :سالw.Shoo.ir
١
تا کامپيوتر۴هر گروه شامل : پيش نياز
. ها تنظيم شود Administrator و رمز SV4 تا SV1اسم کامپيوترها
: DCنصب اولين -۱
� Domain برابر Test.com باشد
هر کدام چه معني مي دهند ؟Forest و Tree گزينه مربوط به ۳ �
� Restore Passwordکجاها کاربرد دارد ؟
� Ntds و SysVolچيست؟
مي کنيم Join شوند ؟ کامپيوترهاي ديگر را Domain به Joinچه سيستم عامل هايي نمي توانند �
مورد ۲ چه مواردي را چک مي کنيم ؟ Joinبالفاصله بعد از -۲
مورد ۵ شود ؟ حداقل Domain شدن به Login شدن يا Joinمي توانند باعث مشکل در چه مواردي -۳
۴- Policy در سطح Domain
رمز ساده و بدون الزام براي طول رمز �
هاي ساده User براي Shutdownاجازه �
Shutdown/Restart موقع Commentبرداشتن پنجره �
Login قبل از Ctrl+Alt+Delبرداشت الزام براي �
DCفرق برنامه هاي زير بر روي -۵
� Gpedit.msc
� Domain Controller Security Policy
� Domain Security Policy
� Dsa.msc : برگهGroup Policy
دوم بسازيد ضمنا منظور از هر يک از گروههاي زير چيست ؟Adminيک -۶
Domain Admins Enterprise Admins
Schema Admins Group Policy Creator Owner
Backup Operators Print Operators
Server Operators Pre Win2000 Compatible Access
Domain Computers Domain Controllers
)خط فرماني( هاي زير را بسازيد Ouساختار -۷
و کالينت ديگر را Train آن را عضو Userسپس يکي از کالينتها و �
. کنيدSales آن را عضو Userو
.کند Login اختصاصي بتواند Userکامپيوتر هر کالينت فقط يک �
تنظيم Policy بر روي کالينت ضد اين Local. ر را بردارد مانيتوSetting تنظيم کرده ايم که برگه Domain:Policy فرض کنيد در سطح -۸
يک غلبه مي کند ؟ نتيجه چيست ؟ کرده ايم کدام
منظور از گزينه هاي زير چيست ؟ -۹
Block Policy Inheritance - No Overide
Test.com
Left
Train
Right
Sales www.Shoo.ir
٢
. تنظيم مي شوند Domainسطح مورد که فقط در ۲ قابل پياده سازي و تنظيم نيستند ؟ OU هايي ذاتا در سطح Policyچه -۱۰
. کنيدDomain اين کالينت را عضو Joiner به نام DC عادي بر روي User کنيد سپس با يک WorkGroupيکي از کالينت ها را دوباره عضو -۱۱
. کندLocal Login هم DC بتواند بسازد و به User فقط ،Train بتواند فقط در Creator عادي به نام Userمي خواهيم يک -۱۲
۱۳- DC2/Dns2 بدهد را روي يک ماشين نصب و تنظيم کنيد طوريکه واقعا جواب .
. استفاده مي کنيمMulti Segment و در يک شبکه Single Segment را در يک شبکه DC2/Dns2اصال چرا -۱۴
چيست ؟Gpupdate /Force با Gpupdateفرق -۱۵
در دسترس نيست را DC هاي روي کالينت را براي مواقعي که User شدنCache: بطوريکه OU ، Right بسازيد در سطح Policyيک -۱۶
Disable کند .
از قبل Mina تنظيم کنيم که اگر Policyحاال . کند Login صبح بتواند ۹ الي ۷ بسازيم فقط در ساعات Mina به نام Userمي خواهيم يک -۱۷
Login کرده بود او را بيرون بياندازد .
بريد به چه ترتيبي بايستي عمل کنيم ؟ ها را از بين بDCکل -۱۸
جواب
۱-
. بشوند Domain 2003 ها نمي توانند عضو Samba و Nt4 Sp3 ،95امپيوترهاي ک �
� Restore Password اول اينکه موقع اجراي :دارد جا کاربرد ۲ که در ويزارد مي پرسد Recovery Console بر روي DC و دوم اينکه موقع
Restore کردن Backup ، AD .Backup گرفتن از System State باعث مي شود از Registery - Sysvol - NTDS ، Backup شود گرفته .
چيز را چک مي کنيم ۲ کرديم بالفاصله Domain در Joinپس از اينکه کامپيوترها -۲
. داشته باشد Host(A)هر کامپيوتر بايستي : Dns: اول
. داشته باشد Computer Accountر کامپيوتر بايستي هComputers در ظرف ADداخل : دوم
. شدن مشکل ايجاد کند Join يا در Domain شدن کالينت به Loginموارد زير مي تواند در -۳
. خود را درست تنظيم نکرده باشد Preferred DNSکالينت �
� Username و Pass که موقع Joinشدن وارد مي کنيم مجوز الزم را نداشته باشد .
� Timezone ، DC با Timezoneکالينت جور نباشد .
. جلوتر باشد DCساعت کالينت يا تاريخ آن از ساعت يا تاريخ �
Domainاين چک باکس باعث مي شود کالينت عضو هر . آن خالي باشد و چک باکس آن تيک داشته باشد More، Suffixکالينت در قسمت �
. نمي رود DNSاگر اين قسمت مشکل داشته باشد کالينت داخل . گيرد خود بSuffixبشود نام آن را به عنوان
.… Register This Connection. تيک داشته باشد DNSچک باکس زير بر روي �
۱۰- Password Policy و Account Lockout Policy فقط در سطح Domain قابل پياده سازي و تعريف هستند نه OU
را Delegate of Control کليک راست کنيم و Domain کند بايستي روي Domain عادي بتواند کالينتي را عضو User اگر مي خواهيم يک -۱۱
.اجرا کنيم
www.Shoo.ir
٣
قبلي Domain و نام همان Additional Domain Controller و DCPromo روي آن با دستور ADنصب : اول-۱۳
روي آن DNSنصب : دوم
AD Integrated Zone از نوع Forward Zoneايجاد : سوم
. را تنظيم مي کنيم Alternate و Preferred و در نهايت کالينت ها هم Zone نام – Domain نام
Login سرعت -Fault Tolerance ۲ -۱: به دو دليل -۱۴
۱۵- Gpupdate : کالينت آخرينPolicyو خود را باآنها هايي که نسبت به دفعه قبل تعريف شده است را مي خواند Refresh مي کند .
Gpupdate /Force : کالينت تمامPolicy هاي تعريف شده بر روي DC را مي خواند و خود را Refreshمي کند .
Gpupdate /target: Computer : کالينت فقط تحت تاثيرPolicy هايي بر روي DC قرار مي گيرد که در Computer Configuration تعريف
. اندشده
Gpupdate /target: User : فقط تحت تاثيرUser Configurationقرار مي گيرد .
Security Options- Interactive Logon-Number of Previous Logon to Cache مسير -۱۶
اندازيم کرده باشد او را بيرون بيLogin اگر از قبل User مي خواهيم Logon Hours بعد از تعيين کردن -۱۷
Security Options – Network Security:Logoff When Hours expire: مسير
Active Directoryمباحث جديد در
هستند يا نيستند Domain/SubDomain که Domainبيش از يک -۱
۲- Trust يا لينک بين Domain ها
۳- GC
۴- Domain Functional Level
NetDomدستورات خط فرماني جديد مثل -۵
۶- Scope گروهها :Universal – Global – Domain Local
بين سايت ها Replicateو لينک بين سايت و : )Site(سايت ها -۷
Active Directory ؟چيست
ها در داخل ان OU ها، گروهها ، سايت ها و Policy ها ، User هاي مختلف مثل Object است که اطالعات Database است يعني Directoryيک
. مي گوييمNDS(Novell Directory Service) مي گوييم ودر ناول به آن ADدر ويندوز سرور به آن . مي شود يرهذخ
: AD هدف
. مي گوييم DCهدف آن اين است که مديريت در شبکه از يک يا چند نقطه مرکزي انجام شود ، اين کامپيوترهاي مرکزي را
Schema Admins ؟چيست
يک سري Object Class و هر OU و User، Group، Computer داريم مثل Object Class است ، در اين ساختار يک سري ADمنظور ساختار
Attributeمثال . داردUser داراي First Name – Last Name - Office – Telephone و غيره مي باشد اگر کسي بخواهد اين ساختار Schema را
بسازد احتياجي به اينکه عضو Mina با نام User باشد ولي اگر کسي بخواهد مثال يک Schema Admins بايستي عضو APIعوض کند با برنامه نويسي
. اين گروه باشد نيست
www.Shoo.ir
٤
Pre Win2000 Compatible Accessچيست؟
او را عضو اين گروه کنيم به طور کند بايستي Domain ، Login به 98 يا NT مثل 2000 بخواهد از روي يک کالينت قديمي زير Userاگر يک
. خود عضو اين گروه است Everyoneپيش فرض
ها Site/ ها Forest / ها Domainتوصيه هاي مايکروسافت در مورد
بنابراين هر قسمتي به هم وصل هستندFast و Reliable است که به شکل Subnetسايت مجموعه اي از يک يا چند :Active Directory Site تعريف -۱
تا سايت ۲ دارد بايستي براي آن سايت مجزا در نظر بگيريم در شکل زير WAN ندارد يعني اتصال Reliableاز شبکه که به بقيه شبکه اتصال
.مي خواهيم
کل يک سايت
را مصرف نکند و ترافيک زيادي ايجاد نکند ، Wan شبکه Bandwidth ، هاDC بين Replicateاستفاده مي کنيم براي اينست که دليل اينکه از سايت
Replicate پس از اينکه تغييري بر روي يکي از درون سايتي بالفاصلهDC ها انجام مي گيرد اعمال مي گردد ، پس اگر براي اهواز و تهران کال يک
. صحيح است Config طراحي و ۲ پايين مي آيد پس شکل Performance بين اهواز و تهران مرتبا انجام مي شود وReplicateسايت بگيريم
ايت داريم ولي کل شبکه مي تواند تا س۲ استفاده کنيد مثال در شکل فوق با اينکه Domain و يک Forestحتي المقدور براي کار شبکه از يک -۲
. باشد Domainيک
استفاده مي کنيم ؟ Domain چه زماني از چند تا -۳
رمز آن Minimum شود مثال يک قسمت شبکه Set اگر مي خواهيم متفاوت Password Policy هاي خاص مثل Policyبعضي سياستها و : اول اينکه
. قابل تنظيم نيست OU خاص روي Policy در نظر بگيريم چون اين Domainبراي هر قسمت يک کاراکتر باشد ۳ کاراکتر و يک قسمت ۱۰
Domain Admins مي سازيم و آن را عضو User جداگانه داشته باشد براي اين منظور يک Full Adminهر قسمت شبکه مي خواهيم : دوم اينکه
جاري مي شود Domain مدير Userمي کنيم که اين
استفاده مي کنيم ؟ Tree تا ۲ يا Forest تا ۲اني از چه زم -۴
Mina.com و Micro.com قسمت شبکه سيستم نامگذاري مجزا داشته باشد مثال ۲هر زمان بخواهيم : اول
راني و هوا فضا بين آنها انجام نشود مثل طراحي شبکه براي سازمان کشتيReplicate قسمت شبکه همديگر را ببينند ولي ۲هر زمان بخواهيم : دوم
Site2 Site1
تا ۳شبکه اهواز با
Subnet
تا ۲ با تهرانشبکه
Subnet
WAN
Site2 Site1
WAN
DCT1
DCT3 DCT2
DCA1
DCA3 DCA2
www.Shoo.ir
٥
Trust Relationship: تا ۲ رابطه منطقي يا لينک منطقي است که بين Domain تا ۲ بوجود مي آوريم ، اين Domain نسبت به هم Parent/Child
مي توانند باشند يا نباشند
: اهداف
. دسترسي داشته باشد Domain شود و به منابع آن Authenticate ديگر DC توسط Domain از يک Userيک : اول
. هاي اضافي دارد Config که البته احتياج به Domain هاي دو تا DC بين Replicateايجاد : دوم
2000/2003 با NT در Active Directoryتفاوت
است Non Transitive و Trust، One Way مدل NTدر : فرق مي کند NT در Trust مدل -۱
. است Transitive و Two way پيش فرض Trustدل م2000/2003اما در
2003 مدل NT مدل
)Backup DC به BDC) Primary DC به PDCت از يکطرفه اسReplicate جهت NTدر -۲
هايي پيش فرض ساخته مي شود ؟Trustچه : سئوال �
۱- Parent/Child Trust : به محض اينکه يکSub Domain مي سازيم Trust شود آن خود بخود ايجاد مي .
۲- Root Trust: تا ۲ لينک بين Tree در باالترين سطح Domainشود هاي آنها اتوماتيک ايجاد مي .
Trust
Access
Trusting Trusted
B.com A.com
A.com
B.com
C.com
A
C
D
B
A
C
D
B
Root Trust
A.com
S.A.com
B.com
S.B.com
www.Shoo.ir
٦
Domainگذاري در سيستم نام
: DNگذاري سيستم نام
CN: Mina, Ou=IR, OU=Sales, DC=Micro, DC=Com
CN: Ahmad, CN=Users, DC=Micro, DC=Com
DC مسير کامل شيء است
DC بايستي در کل Forest ، uniqueباشد .
:RDNگذاري سيستم نام
RDN بايستي در ظرف جاري uniqueباشد .
:UPNگذاري سيستم نام
com.Micro@Mina. ها بکار مي رود Userفقط براي نام گذاري
GUid:Globally Unique IDگذاري سيستم نام
را حذف مي کنيم و دوباره Mina به نام Userوقتي . Guid براي آن ساخته مي شود به اسم Uniqueهر موضوعي که مي سازيم يک شماره سريال
. آن تغيير نمي کند Guid کنيم Rename را Mina آن يکي نيست و تغيير مي کند ولي اگر Guidمي سازيم
Domain در محيط Authenticateپروتکل هاي
درخواست از طرف کالينت -۱
۲- DC نام کاربري و رمز را مي پرسد ،
.کالينت موارد درخواستي را وارد مي کند -۳
۴- DC چک مي کند
. انجام مي شود NTLM يا پروتکل Kerberos مرحله يا با پروتکل ۴اين
Kerberos v5
. استفاده مي شود Domain 2000/2003 يعني در Domainفقط در محيط -۱
. فعال است Defaultايجاد پروتکل -۲
۳- User وقتي User/pass ، را وارد مي کند DC آنرا چک مي کند و يک Key يا Ticket يا شماره تصادفي براي آن توليد مي کند
۴- User پس از وارد شدن وقتي مي خواهد مثال به يک Share دسترسي پيدا کند DC ، User/pass و در عين حال Ticket کند آن را چک مي.
. است User ، Encrypt براي هر Ticketاين -۵
. توليد مي کند Ticket يا Keyري که کامپيوتKDC(Key Destribution Center) مي گوييم DCبه -۶
NTLM
۱- Authenticate در محيط WorkGroup
. است NTLM برابر با Authenticate باشد پروتکل NT باشد مثال 2000 آن زير DC يک سر آن يعني کالينت آن يا Domainهر وقت در يک -۲
۳- NTLM از Key يا Ticket کند استفاده نمي .
. باشد که پيش فرض فعال کرد را فعال يا غير فعالKerberos ، پروتکل G Policy در برگه Dsa.mscگرفت در Domain، Propertiesمي توان از
Micro.com
Sales
IR Mina
Users
Ahmad
www.Shoo.ir
٧
GCچيست؟ Global Catalog
ض را روي آن نصب مي کنيم پيش فرActive Directory ايجاد مي کنيم يعني کل محيط يعني ماشيني که اولين Forest که در محيط Dc اولين
GC هم هست اما DC هاي ديگر را هم مي توان GC کرد .
در . ديگري دارد Domain ها و کامپيوترهاي User جاري و اطالعات ناقصي از Domain ها و کامپيوترهاي User اطالعات کامل دارد از GCهر
. دارد Domain C و Domain B و اطالعات ناقص از Domain A اطالعات کامل از GCشکل
GC اهداف
Trust مي خواهيم اما با Trust ما Domain تا ۲ کند و دسترسي داشته باشد طبيعتا بين آن Login ديگر Domain وقتي کاربري مي خواهد به -۱
GCشيده باشيم ها را بهبود بخDomain و جستجو بين Browse را بهبود ببخشيم و امکان Login براي اينکه سرعت ، پايين است Loginخالي سرعت
. مي سازيم
را Domain B از User کند و دسترسي پيدا کند بايستي Domain B ، Login نشسته است مي خواهد به Cدر شکل فرض کنيد کارمندي در دفتر
پاس مي دهد بنابراين 1DCBگيرد هندل نمي کند و آن را به درخواست را مي 1DCC ساخته باشيم GCاگر ) . com.DomainB@UserB(بدهد
. ديگر را Domain هاي User هاي خود را چک مي کند و هم User کرده باشيم هم GC را DCC1کند مي شود ولي اگر
. معمولي نمي تواند آن را چک کند و اجازه ورود بدهد DC باشد Universal Group عضو User هر وقت يک -۲
کجا نوشته مي شوند ؟Active Directory هاي مربوطه Logfile: السئو �
File Replication Service و Event Viewer ، Directory Serviceداخل
Directory Service مربوط به خود Active Directoryاست مثل نصب و غيره ....
File Replication Service مربوط به Replicate بين DCها مي باشد .
نيز است که توضيحات مربوط به نصب DCpromoui.log است و AD مي باشد که مربوط به Windows\Debugs\DCPROMO.logروش ديگر آن در
. است ADو حذف
DCC1 DCB1 DCA1 DCA2
Domain-A Domain-B Domain-C
www.Shoo.ir
٨
Domain Functional Levelمعرفي
را ايجاد مي کنيم Domainد پيش فرض وقتي که حالت مختلف دار۳ و اينکه چه کارهايي بتوان در آن انجام داد Domainقدرت يک
2000 Mixed 2000 است مي تواند Native مي باشد 2003 هم داشته باشد که قوي ترين آن 2003 و .
� Group Nesting : گروهي عضو گروه ديگر باشد
� Converting Group : تبديل بهUniversal به Global
. کرد يعني مي توان باال برد نه اينکه پايين آورد Raise را فقط مي توان Domainسطح يک
Forest 2003 ۲-Forest 2000-۱. حالت دارد ۲ هاي آن است و Domain و تمام Forestسطح کارايي کل : Forest Functional Level :تذکر �
:طريقه تنظيم
AD Domain and و بر روي گزينه AD Domain And Trust ، بعد در برنامه ۲۰۰۳نيم به حالت ها را بايستي تبديل کDomainبايستي تک تک : اول
Trust راست کليک کرده و Raise Forest Functional Level را اجرا کنيم .
ها Forest کرد و مي توان بين Rename ها را Domainاينست که اسم : Forest 2003مزيت
Trust آورد بوجود .
بهتر است که خط فرماني صورت بگيرد Domain کردن Rename و DC کردن Rename :نکته �
Active Directory ابزارهاي
۱- AD Users and computers : ابزاري براي ساختنObject هاي مختلف مثل User ، هاOU ، ها Group ها در سطح Domain جاري )Dsa.msc(
۲- AD Sites and Services: جاد سايت لينک ، اسکجول کردن تعريف سايتها ، ايReplicate بين سايتها )Dssite.msc(
۳- AD Domains and Trusts: موارد زير داخل آن انجام مي شود)Domain.msc(
Forest Functional Level تغيير دادن -۳-۱
ها Domain بين Trust ايجاد -۳-۲
UPN Suffix تعريف کردن -۳-۳
2003 2000 Native 2000 Mix عنوان
2003 2000/2003 NT/2000/2003 نوعDCها
Enable Enable Enable:Distribution
Enable Enable Disable:Security
Universal Group
Enable Enable Disable Group Nesting
Enable Enable Disable Converting Group
Enable Disable Disable Rename کردن DC
Trust
Forest 1
Forest 2
www.Shoo.ir
٩
UPN Suffixچيست؟
Login وارد شوند و Domain ديگر به اين Domain کاربران مي خواهند از Sales.Europe.micro.com ما طوالني باشد مثل Domainوقتي اسم
يا پسوند ساده مي سازيم تا Suffixآن يک مابجاي com.micro.Europe.Sales@1User را وارد کند مثال Domain از اين Userبايستي يک . کنند
. کنند Login کاربران با اين مي توانند به راحتي com.Test@1Userمثال . کار را راحت کند
. مي کنيم Add مورد نظر را Suffix مي رويم وUPN Suffix مي گيريم و به برگه Properties اصلي Title روي AD Domain and Trustبرنامه -۱
را قرار Micro.com ، Test.com را انتخاب مي کنيم بجاي Suffix و Account و برگه User از Properties مي رويم و Dsa.mscدر برنامه -۲
. مي دهيم
. ويندوز نصب کنيم CDغير از دستورات خط فرماني زير بقيه دستورات را بايستي از روي
Dsadd – Dsmod – Dsmove – DsRm – Dsquery – Dsget
Dsmove :Move کردن يا Rename يک موضوع داخل يک Domain که در دو حالت –Newparent و –NewName
. نصب مي کنيم Support\Tools\Subtools.msi ويندوز در مسير CDاول از همه خط فرماني جديد را از روي
MoveTreeدستور
. ديگر Domain مي کند به يک Rename آن را Move مي کند يا حين Domain ، Move را از داخل يک Objectدستور يک اين
:شکل دستور بدين صورت است
Movetree /start /check /s /d /sdn /ddn /u /p
/Start: دستور واقعا کار مي کند يعني عمل Move باشد انجام مي شود ولي بدون اين سوئيچ تست مي کند که آدرس مقصد درست .
/Check: باشد تست مبدا و مقصد را انجام مي دهد که وجود داشته .
/S (Source) : مسيرDN مبدا )DC مبدا(
/D (distination) : مسيرDN مقصد )DCصد مق(
/SDN : مسيرDN خود موضوع( مبدا (
/DDn : مسيرDN خود موضوع( مقصد (
/U /P :Username / Passwordکه اجازه اين کار را داشته باشند .
. شود Mona منتقل کنيم طوري که در مقصد اسم آن Sony.com در Info.ou به Micro.com را از Minaطبق شکل مي خواهيم : مثال �
Movetree /start /check /s Server1.micro.com /d Server30.sony.com /sdn cn=mina, ou=sales, dc=micro, dc=com /ddn cn=Mona,
ou=info, dc=Sony, dc=com /u micro\administrator /p15160
Sony.com Micro.com
Info ou Sales
Mina
DC Server30 DC Server1 www.Shoo.ir
١٠
ACLDiag دستور
هايي دارد ، عضو چه گروههايي است و به کجاهـا در Permission آن چيست يعني چه ACL يا يک موضوع Userيک اين دستورنشان مي دهد که
Active Directory دسترسي دارد .
. را مشاهده کنيم ACL ، Minaمي خواهيم : مثال �
ACLdiag "cn=mina, cn=users, dc=micro, dc=com"
نـيم کـه در خروجـي ايـن فرمـان اختيـارات مشاهده مي کنـيم ضـمنا اينکـه بايـستي دقـت ک Self است را در قسمت Minaکارهايي که مربوط به
Authenticated Users و Everyone در حد Read و Change Password باشد .
DCdiag دستور
را انجام مي دهد با سوئيچهاي مختلف DCاين ابزار چک کردن
Dcdiag /s: server160دستور اين DC را چک مي کند از نظـر Connectivity آن وصـل اسـت و کـه آيـا کـارت شـبکهPing مـي شـود ، از نظـر
Aplication نظر از Netlogon يعني اينکه چک مي کند Authenticate خير انجام دهد يا .
Domain در DC کردن Renameخط فرماني
. تبديل کنيم Server 2003 را به Function Level ، Domainبايستي -۱
. تفاده کنيم اسNetDom بايستي از دستور خط فرماني DCبر روي -۲
مراحل کار
۱- Add کردن اسم جديد در DC
NetDom Computername: استفاده مي کنيمDC کردن Renameاز اين دستور براي
com.NewAD.160Server:Add /160ClientNetDom Computername
Client160 :اسم قبلي Server160.newAD.com :جديد به طور کامل ماس
۲- DCيا اصلي کنيم ، اسم جديد را بايستي اسم موثر دو تا اسم پيدا مي کند)Primary(
com.NewAD.160Server:MakePrimary /160ClientNetDom Computername
۳- Restart کردنDC
: وجود دارد DCچک مي کنيم آيا هر دو اسم در -۴
160Server : اسم جديد Enumerate /160ServertDom Computername Ne
حذف کردن اسم قبلي -۵
com.NewAD.160Client:Remove /160ServerNetDom Computername
کنيم Domain عضو XP يک کامپيوتر را که مثال سيستم عامل سرور دارد يا سيستم عامل DCمي خواهيم از روي : سئوال �
استفاده مي کنيم NetDom Joinاز دستور
10: REB/ :*PasswordO/ Administrator: UserO/ :*PasswordD/ Joiner: UserD/ com.newAD: d/ 161ServerNetDom Join
Server161 :کالينتي که مي خواهيم عضو شود ماس /d:newAD.com: نامDomainجاري
/UserD: نامUser از Domain که اجازه Join کردن را داشته باشد /UserO : نامUser از کالينت که اجازه اينکار را داشته باشد
REB : زمان برايRestart براي اينست که رمز پرسيده شود *عالمت / سيستم
www.Shoo.ir
١١
قـرار بگيـرد ،در ظـرف Computers در اين دستور مي توانيم مشخص کنيم بجاي اينکه کامپيوتر به طور پيش فرض در ظـرف OU/با سوئيچ : نکته �
OU:ou=Train,DC=newAD,DC=com/. قرار بگيرد OUر يک خاصي مثال د
خواهد Rename هم AD آن داخل Computer Account کنيم که البته Rename را Domain يک کامپيوتر عضو DCمي خواهيم از روي :سئوال �
؟ شد
NetDom RenameComputer: مي کند Rename را Domainاين فرمان کامپيوترهاي عضو
r Administrato:UserO:* /PasswordD/Administrator :UserD /160Server:Newname/ 160ClientRenameComputer NetDom
/PasswordD:* /REB:3 /Force
Client160: نام قبلي کالينت/Newname:ر نام به نام جديد سوئيچ تغيي /Force : تاييدYes يا NO ديگر نمي پرسد
UserO/. را ننويسيم و الزامي براي آن نيست object userالبته مي توانيم
را مشاهده کنيم Domain هاي عضو member Serverمي خواهيم ليست : مثال �
NetDom Query براي مشاهده ليست از دستور روبرو استفاده مي کنيم
Trust /fsmo/DC/Workstation/Servercom .newAD:d/NetDom query
Fsmo: نشان دهندهRule اصلي در محيط Domain روي چه DC هايي قرار دارد .
Trust : ليستTrust هاي اين Domain با Domainهاي ديگر
؟ وجود دارد يا خيرDomain و يک کالينت عضو DC بين Kerberos از نوع Secureمي خواهيم چک کنيم آيا يک ارتباط درست و : سئوال �
com .newAD:d /169ServerNetDom Verifyکالينت مورد نظر :169Server: استفاده مي کنيم NetDom Verifyاز دستور
آن را حذف کنيم يا چک کنيم ؟Trust بسازد يا Trust ديگر Domain ما با يک Domainمي خواهيم به شکل خط فرماني : مثال �
NetDom A.com /d:B.com /UserD:Administrator /PasswordD:* /UserO:Administrator /PasswordO:* /Verify /Add /Remove /Rem
/Two way /One side /Transitive
A.com :نامTrusting Domain B.com : نامTrusted Domain /Verify : فقط چک مي کند
/add: Trust مي سازد /Remove يا /Rem: حذف Trust /Two way يا /One way: دو طرفه يا يک طرفه بودن Trust
Transitive: يعني اگر B با C ، Trust باشد پس A به C ، Trust شود مي.
. بيرون بياندازيمDc است مي خواهيم آن را از رويDomainيک کامپيوتري عضو : مثال �
استفاده مي کنيم NetDom Removeاز فرمان براي اين کار
NetDom Remove Server161 /d:newAD.com /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reb:5
Rename کردن Domain
. شرکت عوض شده است اسم Domainمعموال به اين دليل است که بعد از طراحي -۱
مي رويم Domain and trust در برنامه Forestکه براي . باشد ۲۰۰۳ آن در حالت Function Level ما بايستي Forest و هم Domainهم -۲
استفاده کنـيم ، ايـن ابـزار پـيش فـرض نـصب نمـي شـود و در بعـضي از سـي دي هـاي مايکروسـافت در مـسير Domren.exeبايستي از ابزار -۳
ValueAdd\msft\mgmt قرار دارد در غير اينصورت بايستي از سايت مايکروسافت آن را بگيريم .
. مي گوييم Restruct به اين تغيير Forest در Domain عوض کردن جاي کل -Domain ۲تغيير نام -۱. کار مي توان انجام داد ۲با اين ابزار
www.Shoo.ir
١٢
در شبکه Domainايجاد چند تا
داشته باشد DC مي تواند يک يا چند Domainهر -۱
استفاده مي کنيم Domainچرا از چند تا -۲
اسـتفاده کننـد ، چـون Domain تـا ۲ مختلـف مـي خواهنـد بايـستي از Password Policy تـا ۲ قـسمت شـبکه ۲مثال اگر : Policy به داليل -اول
Password Policy ها رويOU نيستند ها قابل پياده سازي.
انجام نشود امـا DC ، Replicate تا ۲ هميشه انجام مي شود اگر بخواهيم بين Domain هاي يک DC بين Replicate :Replicate محدود کردن -دوم
در شـکل . هاي مجزا استفاده کننـد Domain داشته باشند و کامپيوترهاي دو طرف بتواند به هم دسترسي داشته باشند بايستي از Trustدر عين حال
DC1 و DC2 با هم Replicate ، مي کنند DC3 و DC4 هم با هم Replicate مي کننـد ولـي DC هـاي دو طـرف بـا هـمReplicate نمـي کننـد امـا
. ديگر دسترسي داشته باشند Domain مي توانند به منابع Domainکامپيوترهاي هر
جديد درسـت کنـيم کنـار Domain 2003 همچنان کار کند و آن را حفظ کنيم ، يک داريم و مي خواهيمNT Domain اگر در شبکه از قبل -سوم
. ايجاد خواهد شد Domain تا ۲آن کار کند پس طبيعتا
دوم اينکـه . براي پشتيباني درسـت کنـيم DC2 دارد مي خواهيم اول اينکه براي آن يک DC که يک newAD.com داريم به اسم Domain: مثال �
DC با يک BabyAD.com درست کنيم به اسم Child Domainبراي آن يک
:۱فاز
اول Domain براي همان DC1نصب -۱
DC2مراحل نصب �
. است غلط باشدWorkGroup شده باشد اگر Domain باشد يعني عضو Member Server بايستي DC2اول خود -۱
را انتخاب مي کنـيم و در Additional Domain Controller for and Existing Domain را اجرا مي کنيم و گزينه دوم يعني DCpromoروي آن -۲
. قبلي است بدون هيچ تغييري Domain همان Domain را مي دهيم اسم Domain Adminsبرگه بعدي
. نيست پس هنوز کامل نيست DNS روي آن DC2 بين آنها انجام مي شود ، Replicateاتوماتيک -۳
. موجود باشد Domain دقيقا برابر با اسم Zone ، اسم AD Integrated بسازيم از نوع Forward Zone دوم بايستي DNSروي -۴
Sub Domain ساخت :۲فاز
۱- Sub Domain خودش از Zone بااليي يعني Parent Domain استفاده مي کند در اين مثال Parent و Child Domain از يک ۲ هر Zone استفاده
newAD.com به اسم DNSمي کنند داخل
۲- DC که مي خواهيم براي Baby استفاده شود آن را ابتدا عضو Parent مي کنيم .
۳- DCpromo را روي آن اجرا مي کنيم و گزينه اول را مي زنيم Domain Controller for a new Domain
Parent شوند و عده اي هم عضو Babyعده اي از کالينت ها مي توانند عضو -۴
. هاي آنها وجود ندارد DC بين Replicate وجود دارد و دوطرفه است اما Child ، Trust و Parentبين هميشه پيش فرض -۵
www.Shoo.ir
١٣
SubDomainنکات
را Child Domain و هـم Parent Domain کردن مـي توانـد هـم Login مي تواند باشد اما موقع Domain يک Joinکالينت در يک زمان فقط -۱
. ببيند
بسازد و تغيير دهد يعنـي Parent جاري فقط Domain کرده باشيم فقط مي تواند در Domain Admins عضو Parent DCبرروي را Userاگر يک -۲
Parent Domain را مي تواند تغيير دهد ، اگر عضو Enterprise Admins باشد مي تواند بـر روي تمـام Domain هـا و تمـام Active Directory هـا
و AD Users and Computers کليــک راســت روي – AD هــاي ديگــر داخــل Domainمــديريت روي بــراي .مــديريت انجــام دهــد
Connect to Domain… را اجرا مي کنيم .
۳- Enterprise Admins فقط روي Parent DC وجود دارد يعني در Parent مي توانيم User داشته باشـيم کـه Child نـد ولـي خـود را مـديريت ک
. برعکس خير
. Enterprise Admins اسـت و هـم عـضو Domain Admins کـه هـم عـضو Parent Administrator پـيش فـرض داريـم Administratorدو تا -۴
Child Administrator که فقط عضو Domain Admins است يعني فقط Active Directory کند خودش را مي تواند مديريت .
۵- Domain ها در واقع قسمتهايي هستند کهDomain Admin هاي جداگانه دارند و Replicateهم نمي کنند .
داشـته باشـيم در هـر دو User1 هاي ديگر داشته باشـند مـثال Domain هاي هم نام و هم نوع نسبت به Objectها و User مي تواند Domainهر -۶
Domain . چرا قبول مي کند ؟ چونDNفاوت است ولي دو تا آنها با هم متUser در يک Domainنمي گنجد .
Parent DC خط فرماني بر روي Userساختن -۷
باشد Enterprise Admins يا Domain Admins سازنده بايستي عضو -۷-۱
DsAdd User "CN=New2,CN=Users,DC=NewAD,DC=com"
۷-۲- User در Parent Domain مي سازد که مي تواند سازنده عضو Domain Adminsباشد .
DsAdd User "CN=New2,CN=Users,DC=Baby,DC=NewAD,DC=com"
۷-۳- User در Child Domain مي سازد که بايستي سازنده عضو Enterprise Admins باشـد يـا بايـد بـا خـود Administrator در Child Domain ،
Login کرده باشد .
۸- Child DC داراي DNS نيست از نظـر DNS وابـسته اسـت بـه Parent DC .Child Zone ـ اسـت از نـوع Parent Zoneر مجموعـه اي از خـود زي
Active Directory Integrated Zone
. نداردDNS اصال Child DC بدهد چون Parent DC را بايستي Preferred DNS بشود SubDomain به Joinکالينت موقعي که مي خواهد -۹
چـرا ؟ چـون . وصـل شـود Child ديگر يعني عـضو Domainبه کامپيوتري عضو کند مي تواند به راحتي Domain ، Loginکالينت وقتي که به -۱۰
Trust دارد .
۱۱- Trust رابطه منطقي است در Active Directory تا ۲ بين Domain ، Replicate ايجاد نمي کند بلکه باعث Access از يک Domain به Domain
. شودديگر مي
Tree/Child Trust ۲-Tree/root Trust -۱. پيش فرض ساخته مي شود Trustدو تا -۱۲
NetDom Trust استفاده مي کنيم يا دستور خط فرماني AD Domain and Trust از Domain ، Trustبراي ايجاد -۱۳
۱۴- Trust تا ۲ تکراري بين Domain نمي توانيم بسازيم
www.Shoo.ir
١٤
:مي پرسد شامل جديد پارامترهايي را از ما Trustموقع ساختن يک -۱۵
. داريم Trust نوع ۶کال ( Parent Child Trustمثال نوع ) : Trust) Trust Type نوع -۱۵-۱
۱۵-۲- Trust Direction :
� Oneway in Coming : ازB به A
� Oneway outgoing : ازA به B
� Twoway : دو طرفه
۱۵-۳- Transitive Trust
۱۵-۴- Trust password : تا ۲روي هر رمزي که Domain بايستي يکي باشد تا Trust ايجاد شود .
Selective Authenticate : پيش فرض همهUser ها پس از Trust مي توانند به Domain ديگر Access داشته باشند ، سطح Access آنها بستگي دارد
. هاي خاصUser را محدود کنيم براي Trust ها ، اما مي توانيم خود Share Permissionبه
چيست ؟Trustانواع
۱- Parent and Child: Two way و :Transitive هرزمان که يک Child Domain مي سازيم اتوماتيک اين Trustساخته مي شود .
۲- Tree-root : Two wayو :Transitive هرزمان که يک Tree جديد مي سازيم داخل Forest بين ريشه هاي Tree آنهـا ايـن ها در باالترين سـطح
Trust ساخته مي شود .
۳- External :One way يا Two way ، Non transitive : زمانيکه بخواهيم بين اينDomain 2003 با يک NT Domain لينک ايجاد کنيم از اين Trust
. استفاده مي کنيم
۴- Realm: Two way يا One way و Non transitive يا Transitive: هر وقت بخواهيم Domain لينـک شـود بـه يـک Domain غيـر وينـدوز مثـل
. کنيم استفاده مي Trustلينوکس از اين
۵- Forest: One way يا Two way و Transitive: تا ۲ هر وقت بخواهيم Forest رادر Root يکديگر به هم وصل کنيم تا Domain ها در يک Forest
.سازيم را مي Trust ديگر دسترسي داشته باشند اين Forest هاي Domainبه
۶- Shortcut: Two way يا One way و Transitive: در شکل الزم نيـست بـين A و D ، Trust سـاخته شـود امـا اگـر کـامپيوتري در A بخواهـد در
Authenticate و زمـان Login نتيجه اينکه زمان D مي رود و بعد به C مي رود بعد به B دسترسي داشته باشد درخواست آن اول به Dکامپيوتري در
. سازيم مي Shortcut Trustکند خواهد شد بنابراين
Transitive Transitive Transitive
Shortcut Trust
A B C D www.Shoo.ir
١٥
: سناريو �
Parent مي خواهيم در هر طرف يک کالينت را عضو DC تا ۲ کنيد پس براي هر طرف حداقل SubDomain و Domainهر طرف کالس را يک -۱
. کنند Login ها هم مي توانند Domainهر کدام از چک کنيد که به هم دسترسي دارند به . کنيد Childو يک کالينت را عضو
۲- Image ها را برگردانيد بعد در هر سمت کالس دو تا Domain ايجاد کنيد که نسبت به هم Parent Child نباشند.
به شکل زير ايجاد کنيد :سناريو �
۱- Child DC را اول عضوParent Domainبرگه . نکنيدForwardersدر را چگونه تنظيم کنيم DNS .
۲-
۳-
\\com.ms.160Client. ديگر نرويم Domainدر آدرس دهي براي يافتن کالينت مورد نظر بصورت کامل آدرس را مي نويسيم تا اشتباهي به �
مـي کنـيم و Refresh آنها را Stop مي کنيم و البته بعد از Start و Stop را DNS ساخته نشده بود يکبار DNS را در Child Domainدر صورتي که �
. مي کنيم Refresh هم آن را Startبعد از
Only.com يا baby.ms.com دوم را کامل مي نويسيم مثال DNS آدرس Forwarderدر برگه �
را Domain Macro بعـد وقتـي - 192.168.100.162. د آن خـودش مـي شـو Preferred DNS را راه اندازي کرده ايـم Domain Microاگر اول �
. 192.168.100.162 مي دهيم Domain Micro آن را Preferred DNSمي خواهيم بسازيم
مي دهيم Domain Macro.comخود را Subdomain MK.Macro.com براي Preferred DNSاما �
MS.com
Baby.MS.com
Trustاتوماتيک
Only.com Just.com
Transitive
Macro.com Micro.com
MK.Macro.com US.micro.com Shortcut Trust
www.Shoo.ir
١٦
Active Directory Partition
Active Directory ۳ قسمت اصلي و غيرقابل تفکيک دارد به نامهاي Domain Partition ، Schema Partition ، Configuration Partition
۱- Schema Partition : شاملObject Type ) مثل خود نـوعUsers ( وAttribute آنهـا مـي باشـد ، تنظيمـات Schema بايـستي بـين همـه DC هـا
Replicate شود در کل Forestهمه و بين Domain ها
۲- Configuration Partition: تنظيمات مربوط به پيکره بندي هاي خود Active Directory ، Trust ها و يا Site باشد بين همه ها مي DC ها در کـل
Forest بايستي Replicate شود .
۳- Domain Partition: شامل Object هاي مختلف مثل User ، ها Group ها و کامپيوترها در Domain بـين . باشـد جـاري مـيDC هـاي Domain
. مي شود Replicateجاري فقط
� Replicate Trigger: رويدادي است که Replicate را شروع مي کند مثل تغيير دادن يک Object يا رسيدن يک Schedule
: ها DC بين Replicateچند نوع
)Inter site(رون سايتي بي-۲) Intra site( درون سايتي -۱
. استفاده مي کند SMTP يا RPC over IP براي کارکردن از - KCC :Knowledge Consistency Checker سرويس
KCC براي DC ما يک Inbound connection مي سازد که اطالعات و داده ها را از DC ديگر قبول مي کند DC ديگر وقتي تغيير مـي کنـد Trigger
شروع مي شود ايـن رفـت و برگـشت بـا سـرويس Replicate و DC ما يک درخواست مي زند به DC ما ، بعدا DC مي زند به Notifyمي خورد يک
KCCانجام مي شود .
Inter site
Intra site Intra site
WAN
Site 1
DC1 DC2
Site 2
DC1 DC2
Inter site Intra Site
WAN LAN: Fast / Reliable نوع ارتباط( لينک(
YES NO Schedule
YES NO Auto Compress
KCC KCC سرويس انجام دهنده
SMTP or RPC over IP دقيقه۱۸۰پيش فرض
RPC over IP پروتکل مورد استفاده
www.Shoo.ir
١٧
:Siteتعريف
تـا ۲ وصل مي شوند مثال اگر WAN ديگر به صورت Siteاما به . وصل شده اند LAN است که خود به هم بصورت Subnetمجموعه اي از يک يا چند
. تا سايت داريم ۲دفتر داريم در اهواز و تهران پس
:Site هدف
داشـتيم و WAN ، Repicate داشـتيم در نتيجـه مرتـب روي Intra site Replicateاگر براي اهواز و تهران فقط يک سايت در نظر مي گرفتيم ، پس
WAN ي خواهيم ، سپس تا سايت م۲ ما از کار مي افتاد ، پسInter site Replicate داريم که Schedule ضمنا استفاده از سـايتها جداگانـه . مي شود
شـود کـه سـرعت DC ، Authenticate در هر کدام باعث مي شود هر کالينت توسط نزديکتـرين DCبراي اهواز و تهران و قرار دادن حداقل يک
. بهتري خواهد داشت
: ها Siteنکات
عـضو آن مـي شـود Default-first-site ، DCاتوماتيک يک سـايت سـاخته مـي شـود بـه اسـم ) Forestدرکل ( را که نصب مي کنيم DCاولين -۱
. کنيم Renameمي توانيم آن را
دارد ، Subnet تـا IP ۳ نظر کنيم ، فرض کنيد شبکه تهران ازAssociate يا Link تعريف کنيم و به آن Subnetبراي هر سايت بايستي يک يا چند -۲
. کنــــيم Add را بايــــستي تعريـــف و Subnet تـــا Active Directory Sites and services ۳ در برنامـــه ActiveDirectoryيعنـــي در
Subnetراست کليک روي
. شده اند Link مطمئن شويم که به سايت مورد نظر General بگيريم در برگهProperties ها بايستي از آنها Subnetپس از تعريف -۳
. طيف آن را نمي توان عوض کرد Subnetپس از ساختن -۴
۵- Additional DC را که نصب مي کنيم اتوماتيک IP خودش را با Subnet هاي تعريف شده مقايسه مي کند وارد Subnet و Site مربوطه مي شـود
. مي شود Default-first-siteاي تعريفي يکي نبود خود بخود وارد هSubnetو اگر با هيچکدام از
. مي کنيم Associate هاي آن را هم تعريف کرده و Subnet تعريف کرده ، Siteبه همين ترتيب براي اهواز هم يک -۶
. شود Site جور باشد تا وارد آن Subnet آن با يک Net ID بايستي DCهر -۷
بـين سـايتها Site Link ايجـاد -۲ تعريـف سـايتها -۱ : ن سايتها انجام شود بايستي مـواردي انجـام شـده باشـد بيReplicateبراي اينکه -۸
۳-Properties گرفتن از اين Site Link تعريف -۴ اجباري استBridge و Bridge Head server اختياري است .
سايتهايي که مي خواهيم بين آنها لينک شـود – New – Site Link راست کليک – Inter site transport – IPجديد مسير Site Linkبراي ساختن -۹
. يعني اهواز و تهران را انتخاب مي کنيم
. نيست SMTP است و Schedule رايج تر است چون قابل SMTP از RPC Over IPپروتکل -۱۰
مي گيريم Properties ساخته شده Site Linkاز -۱۱
آنرا باالتر مي بريم تا اولويت انتخاب آن پايين بيايد Costلينکي که سرعت کمتري دارد : Costگزينه
)Interval. ( انجام شود Inter site Replicateهر چند دقيقه : Replicate Everyگزينه
۱۲- Site Link هايي که مي سازيم هميشه پيش فرض Transitiveگر و دوطرفه هستند اTransitive نباشند Replicate نمي تواند به سادگي بين آنهـا
. شودانجام
www.Shoo.ir
١٨
Site Link Bridgeچيست ؟
لينک از تهران تا تبريز هـم وجـود خواهـد Transitiveفرض کنيد از تهران به اهواز لينک ساخته ايم از اهواز به تبريز هم لينک ساخته ايم به دليل
ــت ــرعت و . داشـ ــل سـ ــه دليـ ــا بـ ــک Performanceامـ ــوانيم يـ ــي تـ ــر مـ ــد Bridge بهتـ ــي باشـ ــاري مـ ــه اختيـ ــه البتـ ــسازيم کـ . بـ
Site Transport – Inter – Site link Bridge Newمسير
WAN تـا شـهر مـثال تهـران و تبريـز ۲ برقرار باشد اگر بـين WANال تا سايت ارزش دارد که از نظر فيزيکي بين آنها واقعا اتص۲ بين Site linkزماني
. بسازيم Bridgeداشتيم بايستي
Bridge Head serverچيست ؟
هـاي ديگـر DC به آن وارد مـي شـود بعـد بـه Inter site Replicate است که DC آن Bridge Head server داشته باشد DCاگر يک سايت چندين
وارد مي شود ، وارد سايت مـي شـويم DC3 و DC2 دريافت مي شود بعد به DC1 که از سايت ديگر مي آيد ابتدا توسط Replicateمي رود در شکل
bridge head server مي کنيم در نتيجـه سـرور نـسبت بـه ايـن پروتکـل هـا Add را SMTP يا IP مي گيريم پروتکل Propertiesاز سرور مورد نظر
. مي کنند bridge head server ها را DCموال در هر سايت فقط يکي از اين مي شود ، مع
:سناريو
تا را به عنوان تهران در نظر بگيـريم بـا شـرايط ۲ تا از کامپيوترها را به عنوان اهواز و ۲ داشته باشيد در اين گروه Domainدر گروه خود فقط يک
:زير
تا سايت مي خواهيم۲ -۱
. تا دفتر را به هم وصل مي کند ۲ در نظر بگيريد که اين LAN Routerافه را هم به عنوان يک کامپيوتر اض -۲
. کنيد Router ، Set را با توجه به وجود Net IDطيف -۳
. کنيد Associate تعريف و Subnetبراي هر يک از سايتها -۴
. دوم هم ايجاد کنيد Subnet ، DCدر هر -۵
يد بسازLinkبين اهواز و تهران -۶
. تعريف کنيد Bridge head serverدر هر کدام -۷
۸- Replicate ساعت يکبار با پروتکل ۵ بين تهران و اهواز مي خواهيم فقط روزهاي فرد انجام شود در ساعت مشخصي هر IP.
. مي باشد Additional بصورت DC4 تا DC2 که DC4 و DC3 و بعد DC2 و DC1بعد . روتر را راه اندازي مي کنيم : اول
Replicate فوري بين DC1 و DC2 - Schedule ، Replicate ۲ و ۱ بين سايت
Router1
Site Ahwaz
DC1 DC2
Site Tehran
DC3 DC4 www.Shoo.ir
١٩
: سناريو
هـم داريـم ، طبـق شـکل هـم DC در هـر سـايت يـک VPN به هم وصل هستند بصورت WAN تا شهر داريم تهران و اهواز با ۲ داريم Domainيک
: هستند مي خواهيم شرايط زير را ايجاد کنيم DCRRAS عضو ۲ و هم کالينت۱کالينت
۴ انجام شود هر WAN روي DNSمي خواهيم ترانسفر بين . چک شود DC1 توسط ۱ چک شود و کالينت DC2 کردن توسط Login موقع ۲کالينت
داريـم کـه WAN بـين دو قـسمت اتـصال -۱ چـون ساعت يکبار ، سايت هم مـي خـواهيم ۴ ها هم انجام شود هر DCساعت يک بار ، ترانسفر بين
Reliable) مي خواهيم -۲نيست ) قابل اعتماد Replicate بين DC ها را Schedule کنيم .
:مراحل انجام کار
۱- DC1 و DC2 کارت شبکه داشته باشند ۲ هر کدام بايد .
. را چک مي کنيم که اتصال مستقيم به اينترنت داشته باشد DCهر -۲
. آن نصب مي کنيم Additional به عنوان DC2 يک را نصب مي کنيم بعد DCاول -۳
۴- DNS2 را روي DC2 نصب بايد بکنيم از نوع Active Integrated zone که نام Zone برابر با DCRRAS.com باشد بايد .
. غير فعال مي کنيم راNotify ساعت قرار مي دهيم و ۴ را روي Refresh Interval سرور پارامتر DNS تا ۲روي -۵
. مي شوند Domain به Joinکالينت ها -۶
. و کالينت ديگر بالعکس آن Alternate DNS=DC2 و Preferred DNS=DC1يک کالينت -۷
. راه اندازي مي کنيم Demand Dial Router تا سرور راه اندازي مي کنيم بعد روي آن ۲ را بين VPNاول -۸
، Sublink مربوط بـه Properties تعريف مي کنيم در Subnetيم ، سايت لينک پيش فرض را از بين مي بريم ، سايت و سايت لينک تعريف مي کن -۹
Schedule تعريف مي کنيم .
:سناريو
داريـم WAN فقـط در تهـران اسـت ، بـين تهـران و اهـواز DNS داريـم امـا DC در هر کدام يک Subdomain و Domainبين اهواز و تهران يک
. مي توان ايجاد کرد DNSآيا ساختار بهتري براي . ساعت يکبار انجام شود ۴ هر DC تا ۲ بين Replicateمي خواهيم
Demand-Dial Router
VPN
WAN
Site Tehran
۱کالينت
DC1\VPN1\DNS1
Site Ahwaz
۲کالينت
DC2\VPN2\DNS2
www.Shoo.ir
٢٠
GCچيست ؟
مـي گيـريم NTDS Settings ، properties را انتخـاب مـي کنـيم و از DC هـا بـين سـايت هـا هـر DC کـردن Moveبعد از سـاختن سـايت هـا و
. هم انتخاب شده باشد GC بعنوان DC حداقل يک Domain را تيک مي زنيم ، توصيه مايکروسافت در هر Global Catalogو
:اهداف
نشـسته A.com هاي ديگر را افزايش مي دهد ، فرض کنيد شخصي بر روي کالينـت عـضو Domain به Login بدين ترتيب سرعت GCاستفاده از -۱
هـاي User نگه مـي دارد از Full اطالعات را GC ساخته شده است هر B.com که برروي Mina مثل User با يکB.com مي کند به Loginاست اما
Domain جاري اما اطالعات ازبقيه Partial نگه مي دارد از User هاي Domain ديگر پس DCدرخواست را به الزم نيست DCB1 پاس بدهد خـودش
. کند Authenticateمي تواند
هـا قابـل User نداشته باشيم ايـن GC اگر Sope:Universal ساخته ايم که همگي عضو يک گروه هستند Domain بر روي Userفرض کنيد چندين
. نگه داشته مي شود GC بودن بر روي Universalپس خاصيت . بودن ندارند Universal هستند اما خاصيت Loginاستفاده و
Windows Server 2003 يا Native 2000 کرده باشيم به Riaseا بايستي رDomain : نکته �
Domain Local Scope ، Global Scope ، Universal Scope
� Universal : اين گروه مي تواند شاملUser ، هاGlobal Group ها و Universal Group ها باشد از هر Domain ، Universal را پـس از سـاختن
. کرد Domain Local يا Globalمي توان تبديل به
� Global Group : اعضاي آن مي تواند User ها يا Global Group هاي ديگري باشد از همان Domain جاري .Global Group را پس از ساختن
د نمي توان تبديل کرDomain Local مي توان تبديل کرد به Universalفقط به
� Domain Local Group : مثل Universal Group مي توانند شامل User هايي از هر Domain باشند پس از سـاختن هـم بـه Universal تبـديل
. خير Globalمي شوند اما به
توجيه استفاده
. ده مي کنيم استفاGlobal Group جاري باشند از Domainاگر مي خواهيم که تمام اعضاي يک گروه مربوط به -۱
استفاده مي کنيم با اين دقت کـه اگـر Domain Local يا Universal ديگري باشند از Domainاگر مي خواهيم بعضي از اعضاي گروه مربوط به -۲
DC هايNT در شبکه داشته باشيم آنها Universal Group پشتيباني نمي کنند ها را .
Domain Admins و Domain Users = Global Enterprise Admins = Universal Group
www.Shoo.ir
