: Active Directory از کجا آمد و چرا بی‌رقیب ماند؟  وقتی اسم Active Directory(AD) می‌آید، باید یاد قلب تپنده‌ی شبکه‌های بزرگ بیفتیم. ریشه‌ی این سرویس به اواخر دهه‌ی ۹۰ و اوایل ۲۰۰۰ میلادی برمی‌گردد، جایی که مایکروسافت به دنبال یک راه حل جامع برای مدیریت هویت‌ها و دسترسی‌ها در شبکه‌های ویندوزی بود. AD فراتر از یک پایگاه داده‌ی ساده است؛ آن یک موتور قدرتمند مرکزی است که مشخص می‌کند چه کسی (کاربر)، چه چیزی (کامپیوتر یا سرور) را می‌تواند در شبکه ببیند یا به آن دسترسی پیدا کند. این زیرساخت امنیتی، مدیریت هزاران کاربر و دستگاه را به کاری ساده تبدیل می‌کند. حالا برویم ببینیم چطور این ابزار حیاتی را روی سرور خودمان برپا کنیم.


  مفاهیم پایه وابزارها و پیش‌نیازها :

Domain) )دامنه :


توضیح ساده: یک منطقه نفوذ یا حوزه حکمرانی در شبکه شماست مثل (MyOfficen nrtwork.local)تمامی کاربران، کامپیوترها و قوانین یکسان در این منطقه زیر نظر AD کنترل می‌شوند.
توضیح فنی: یک مرز منطقی و امنیتی که اشیاء AD را گروه‌بندی می‌کند و یک پایگاه داده مشترک دارد.

. (Domain Controller )(DC) کنترلر دامنه:


توضیح ساده: "تنها سروری" در دامنه است که کپی اصلی پایگاه داده AD و تمام اختیارات را نگهداری می‌کند. این همان سروری است که شما قصد نصب AD روی آن را دارید.
توضیح فنی: سروری که نقش‌های AD DS (سرویس‌های دامنه اکتیو دایرکتوری) را نصب کرده و احراز هویت را انجام می‌دهد.

(Forest ) جنگل:


توضیح ساده: "چتر بالاسری و اصلی‌ترین ساختار" است که می‌تواند شامل یک یا چند Domain باشد. اگر بخواهید چندین شرکت یا دامنه را باهم مرتبط کنید، همه آن‌ها زیر یک Forest قرار می‌گیرند.
توضیح فنی: مجموعه‌ای از یک یا چند Domain که یک شمای مشترک و یک اعتماد دوسویه (Trust Relationship) اتوماتیک با یکدیگر دارند

یادتان باشد،عجله کار شیطان است. در نصب AD، مهم‌ترین بخش آماده‌سازی زیرساخت شبکه است. اگر این مرحله را درست انجام ندهید، حین نصب با خطاهای زیادی مواجه می‌شوید که از نظر فنی کاملاً درست هستند اما وقت شما را تلف می‌کنند.


الف. آماده‌سازی سیستم و هویت


ویندوز سرور(OS): برای این کار حتماً باید یک نسخه‌ی مناسب از سیستم‌عامل ویندوز سرور (مثلاً ۲۰۱۹ یا ۲۰۲۲) نصب شده داشته باشید. روی ویندوزهای کلاینت مثل ۱۰ و ۱۱، چنین سرویسی را نمی‌توانیم نصب کنیم.
حساب کاربری:باید با حسابی وارد شده باشید که دسترسی کامل Administrator) )دارد. این فرآیند، تغییرات بنیادی در سرور شما ایجاد می‌کند و بدون دسترسی بالا، اجازه نصب داده نمی‌شود.

 ب. تنظیم آدرس‌های شبکه: قانون نانوشته AD!


همیشه این را به یاد داشته باشید:کنترلر دامنه (Domain Controller) نباید IP متغیر (DHCP) داشته باشد! اگر اولین بار است که AD نصب می‌کنید، تنظیم IP ثابت و DNS، حساس‌ترین مرحله است.

ثابت کردن IP:


یک راه سریع برای رسیدن به تنظیمات شبکه این است که در Runبا فشردن (Win + R) دستور ncpa.cpl را تایپ و اجرا کنید.
روی کارت شبکه‌تان کلیک راست کرده و Properties را بزنید.
به سراغ TCP/IPv4 بروید و آن را ویرایش کنید.
گزینه Use the following IP address را فعال کنید.یک آدرس IP ثابت مثلا   ( 0192.168.10.5Subnet Mask و Default Gateway مناسب را وارد کنید.


تنظیم DNS اولیه:


در همان پنجره‌ی TCP/IPv4،بخش Preferred DNS server را ببینید.
نکته طلایی:برای نصب اولیه ،بهترین روش استفاده ازادرس  loopback)) هست 

چرا ؟ در حین نصب اولیه سرویس DNS)) هنوز راه اندازی نشده اگر  DNSروی IPخود سرور تنظیم بشه سرور نمی تونه خودش رو resolive کنه

شما میتوانید پس ازتکمیل نصب و ری استارت  DNSرا به ادرس خود سرورتغییر بدید 

اگر اینجا یک DNS بیرونی (مثل ۸.۸.۸.۸) بگذارید، نصب با خطا مواجه می‌شود.

 اموزش تنظیم کردن IPثابت و DNS

 

مراحل آموزش: گام 1 از یک سرور معمولی تا کنترلر قدرتمند


حالا که زیرساخت شبکه را محکم کردیم،می‌توانیم به سراغ نصب Role یا «نقش، قوانین» برویم.

(نصب نقش Active Directory Domain Services (AD DS


ورود به Server Manager:این ابزار مدیریت، معمولاً بلافاصله بعد از بالا آمدن سرور باز می‌شود.
شروع نصب نقش‌ها:
روی Manage کلیک کنید و سپس Add Roles and Features را انتخاب کنید.در پنجره‌ی باز شده،تا رسیدن به بخش Server Roles، فقط Next بزنید (مطمئن شوید Role-based or feature-based installation انتخاب شده باشد)
در لیست نقش‌role،Active Directory Domain Services را پیدا کرده و تیک بزنید.در پنجره‌ی جدیدی که برای اضافه کردن ابزارهای وابسته باز می‌شود،Add Features را بزنید.
چند Next دیگر بزنید و در نهایت Install را کلیک کنید.این قسمت کمی زمان می‌برد

 

 

 

گام ۲. ارتقای سرور: تولد کنترلر دامنه


نصب Role فقط فایل‌های مورد نیاز را کپی می‌کند.حالا باید به ویندوز بگوییم: (این سرور قرار است دامین کنترلر ما باشد!(

شروع پیکربندی: پس از اتمام نصب، در بالای Server Manager، یک علامت پرچم زرد کوچک ظاهر می‌شود. روی آن کلیک کنید و گزینه‌ی Promote this server to a domain controller را انتخاب کنید.

تعیین ساختار (Deployment Configuration):


در شبکه‌ای که برای اولین بار AD نصب می‌شود،ما باید یک ساختار جدید به نام Forest ایجاد کنیم. پس، گزینه‌ی Add a new forest را انتخاب کنید.
در کادر Root domain name،یک نام مناسب برای دامنه‌ی اصلی‌تان انتخاب کنید (مثلاً(MyOfficeNetwork.local MyOfficeNetwork.local). از پسوندهایی استفاده کنید که با دامنه‌های اینترنتی تداخل ندارند.

انتخاب سطح عملکرد و رمز عبور:


Functional Level:بالاترین سطح موجود را انتخاب کنید مگر اینکه قرار باشد سرورهای بسیار قدیمی را به شبکه اضافه کنید. این کار به شما امکان استفاده از جدیدترین ویژگی‌های AD را می‌دهد.
رمز عبور DSRM(Directory Services Restore Mode): )این رمز خیلی مهم است. آن را برای مواقعی که AD خراب می‌شود و نیاز به بازیابی دارد، استفاده می‌کنید. آن را جایی امن بنویسید.


 بررسی و نصب نهایی:

 

در گام بعدی،تنظیمات DNS و NetBIOS را تأیید کنید. سپس به بخش Prerequisites Check می‌رسید. اگر همه چیز درست باشد به ویژه DNS و IPپیام سبز رنگی را مشاهده خواهید کرد.
روی Install کلیک کنید.سرور شروع به پیکربندی نهایی می‌کند و در انتها، حتماً ری‌استارت خواهد شد.


گام ۳. پس از ری‌استارت: 


بعد از ری‌استارت،سرور شما دیگر یک سرور معمولی نیست، بلکه یک Domain Controller است. برای اطمینان از صحت کار:
با حساب DOMAIN\Administrator وارد شوید(حالا نام دامنه‌ی شما قبل از نام کاربری‌تان قرار می‌گیرد).


به Server Manager بروید،روی Tools کلیک کنید و ابزار Active Directory Users and Computers (ADUC) را باز کنید. اگر نام دامنه‌ی شما را در ساختار درختی دیدید، یعنی کار با موفقیت تمام شده است.

اشتباهات رایج و نکات تجربی: 

اینجا چند مورد از رایج‌ترین خطاهایی که باعث می‌شوند نصب AD متوقف یا با مشکل روبرو شود را آوردم

۱). خطای فراموشی DNS (کابوس هر ادمین


مشکل:تنظیم Preferred DNS Server به آدرس Google (8.8.8.8) یا آدرس مودم.
توضیح فنی:Active Directory برای راه‌اندازی، باید رکوردها و اطلاعات خودش را در DNS ثبت کند. اگر DNS روی سرور خودش نباشد، نمی‌تواند این اطلاعات حیاتی را ثبت کند و خطای Failed to configure the local host as the preferred DNS server را می‌گیرید.
راه‌حل تجربی:اگر حین نصب به خطا خوردید، اول از همه بروید و در تنظیمات TCP/IPv4 کارت شبکه، Preferred DNS Server را به IP خود سرور DC تغییر دهید و دوباره اقدام به ارتقا کنید.


2. نام‌گذاری دامنه و تداخل با اینترنت


اشتباه:انتخاب نامی به عنوان نام دامنه‌ی داخلی.
توضیح:فرض کنید شرکت شما یک وبسایت با آدرس اختصاصی دارد. اگر دامنه‌ی داخلی شما هم همین نام باشد، کاربران شبکه دیگر نمی‌توانند به آن وبسایت در اینترنت دسترسی پیدا کنند، چون سرور DNS داخلی، آدرس داخلی را می‌دهد.
نکته امنیتی/تجربی:همیشه از یک ساب‌دامین اختصاصی استفاده کنیدیا از پسوندهای غیرقابل ثبت مانند .local یا .corp استفاده کنید.


۳. مشکل زمان (Time Synchronization)


اشتباه:تفاوت زمانی فاحش بین سرور و کلاینت‌ها (بیش از ۵ دقیقه).
توضیح:Active Directory به شدت به پروتکل زمان‌بندی (Kerberos) وابسته است. اگر ساعت سرور DC و کامپیوترهای کلاینت با هم نخوانند، جوین شدن به دامین یا لاگین کردن ناموفق خواهد بود.
راه‌حل:همیشه مطمئن شوید که سرور DC با یک منبع مطمئن زمان مثل سرویس‌های اینترنتی NTP) همگام‌سازی شده باشد(.


جمع‌بندی

 شما حالا یک کنترلر دامنه‌ی فعال دارید که آماده است تا صدها (یا هزاران!) دستگاه و کاربر را مدیریت کند. این تازه شروع کار است؛ حالا باید به سراغ ساختاردهی چارت سازمانی در قالب OUها و اعمال سیاست‌های امنیتی (GPO) بروید.