اصول طراحی سایت اکتیو دایرکتوری و نکات آن
سلام
وقت بخیر
من چند سوال داشتم در خصوص طراحی سایت اکتیو دایرکتوری
دلیل استفاده از Site یا forest در ویندوز سرور برای شبکه چی هست؟!
یعنی من اینطوری فکر میکنم اگه ساختاری مثل شکل زیر باشه
و بخواهیم همچین چیزی رو راه اندازی کنیم اینطوری میشه که من کاربر ها رو در AD که DC هم بهش جوین شدن ایجاد کنم؟! و سپس هرکدومشون از سایت های دیگه در شهرها و مراکز دیگه با همون نام کاربری و رمز عبورشون وصل بشن؟!
یا اینکه اگه سیاست خاصی رو بخوام اعمال کنم در AD اصلی اعمال کرده و نتیجه در زیر دامنه های شبکه اعمال میشه؟!
منظورم این هستش که اگر بخوام در ساعات خاصی یک سیاست مثلا تغییر طول کلمه عبور؟!
یا استفاده از RemoteApp خاصی یا اجرا شدن اسکریپت خاص و یا تعریف کاربر در دامنه اصلی و یا تغییر یک Share Folder خاص برای یوزها بصورت Map و......
انجام شود. این تغییرات در دامنه وابسته اعمال خواهد شد؟! یا کلا مرتبط نیست؟!
ممنون میشم یک اطلاعات کلی در این خصوص بهم بدید.... آیا کلا برداشت من از این موضوع غلط و اشتباه هست؟! یا درسته؟!
موضوع انگلیسی یا فارسی هم باشه ممنون میشم
تشکر از لطف شما
27 پاسخ
نه لازم نیست انجام بدید به صورت خودکار سایت در طرف دیگه هم مشاهده میشه و همانطوری که استاد عزیز AM Virgo فرمودند عملیات replicate به صورت خودکار این همگام سازی رو انجام میده
خوب شما برای اینکه یه کلاینت جدید به dc دوم که اینجا همون child هست اضافه بکنی باید از یوز و پس ادمین خود child domain استفاده بکنی یعنی همون سرور 2008
و در واقع شما نباید کاربران dc اول توی dc دوم داشته باشید فلسفه سایت همینه دیگه اگه قرار باشه همون کاربران در سایت دوم داشته باشی که دیگه چرا سایت راه اندازی کردی یه ادیشنال راه اندازی میکردی دیگه
خواهش میکنم دوست عزیز ببینید در پنجره گروپ پالیسی از قسمت security filtring شما میتونی مشخص بکنی که gp شما به چه یوزر یا گروه و یا کامپیوتری اعمال بشه برای اعمال شدن همین پالیسی به سیستم مورد نظر در پروژه شما باید از قسمت location دامنه مورد نظر از لیست انتخاب بکنید سپس نام یوزر و یا گروه و یا کامپیوتر مورد نظر وارد بکنید اینطوری پالیسی شما به درستی عمل خواهد کرد اگه مشکلی در پیدا کردن دارید بگید تا به صورت تصویری براتون توضیح بدم
دوست عزیز یه سوال شما وقتی میخوای یه سیستم به dc 2008 وصل بکنی نام دامین چی مینویسی؟وهمینطور نام کاربری که میخوای عملیات جوین انجام بده؟
خوب مشکل اساسی من این هستش!
من تو AD 2012 سایت میخوام طراحی کنم!
بعدش بیام تو 2008 ادامه عملیات رو انجام بدم!
و موقع تبدیل 2008 به DC من بعد اجرای DCPROMO گزینه
EXISTING FOREST
ADD A DOMAIN CONTROLLER TO EXISTING DOMAIN
انتخاب کردم و با دادن یوزر و پسورد Administrator ویندوز سرور 2012 عملیات رو ادامه دادم.
الان اسم DC 2008 من بصورت
city1.kian.local هستش که kian.local همون AD 2012 هستش!
دوست عزیز من منظورتون درست متوجه نشدم لطفا واضحتر توضیح بدید در ضمن یه نکته بگم برای اعمال تغییرات از دستور زیر هم میتونید استفاده بکنید :
repadmin /syncall
اینم یه لینک مفید برای عملیات replication
ببینید یه نکته به ذهنم رسید گفتم شاید امتحان نکرده باشید اونم اینکه شما وقتی میخواید با یوزر که در دامین tosinso.com قرار داره یه کلاینت به network.tosinso.com جوین بکنید ترتیب کار به این صورت است که در قسمت نام دامین network.tosinso.com مینویسید سپس زمانی که از شما نام کاربری و رمز عبور میخواد نام کاربری تعریف شده در tosinso.com مینویسید به صورت زیر :
username@tosinso.com
سپس رمز عبور بزنید و اکی کنید امیدوارم مشکلتون حل بشه.
دوست عزیز در run تایپ کنید gpmc.msc
سپس پالیسی مورد نظر انتخاب بکنید در ستون سمت راست از قسمت security filtring گزینه Add را انتخاب بکنید
بعد در پنجره باز شده قسمت location انتخاب بکنید و از پنجره دوم لیست را باز کرده و دامین مورد نظر که میخواهید این پالیسی بر روی آن اعمال شود انتخاب بکنید
سپس در قسمت سوم نام user یا group و یا computer مورد نظر وارد بکنید
امیدوارم بتونید مشکلتون حل بکنید من در خدمتم
اگر دوستان متخصص تو این زمینه هم مثل سایر موارد آموزشهایی رو هم آماده کنند که بتونیم از اونها استفاده کنیم که خیلی خوب و عالی میشه. مخصوصا برای همون سناریو دوست عزیمون جناب AM Virgo و یا سناریویی که من توش مشکل دارم/
چون واقعا با هزینه ناچیز که دوستان زحمت میکشند برای ساخت آموزشها کلی اطلاعات در این مورد بدست میاریم.
باز هم ممنون.
Ip Address Server 2012:192.168.10.5/24
Ip Address Server 2008:192.168.10.7/24
بله تست کردم.
چون میتونن همدیگر رو ببینن.و موقع نصب DC در سرور 2008 ، سرور رو عضو AD 2012کردم و الان تو بخش Active Directory site And Service ویندوز 2012 وجود داره. میتونم با کاربری که در سرور 2012 تعریف کردم از طریق سرور 2008 که DC هست وارد بشم.
اما الان من تو سرور 2012 کاربر که تعریف میکنم.طبق چیزی که متوجه شدم باید تو Active Directory Users And computers سرور 2008 نشون داده بشه! اگه درست متوجه شده باشم!
اگه هم من اشتباه متوجه شدم! که هیچ!
حالا با همون کاربر جدید و یا Administrator که در سرور 2012 هست و از طریق اونها میتونم به سرور 2012 از طرسق سرور 2008 ، Login کنم!
با ویندوز Xp که میخوام به DC 2008 جوین کنم نمیتوتنم!
چون کاربر های تعریف شده در 2012 رو تو سرور 2008 ندارم!
مشکل من این هست!
یعنی نمیتونم بین این 2 تا ارتباط از نوع site برقرار کنم
دوست عزیز اگه امکان داره تنظیمات شبکتون بنویسید منظورم ای پی ها و ... منظورم اینه که آیا تست کردید که از سرور 2008 با سرور 2012 ارتباط دارید؟
سلام
در بحث شعبات (Branch Office) شما با توجه به ساختار شبکه و نیازمندیها تعدادی DC دارید که از نظر مسافت و جغرافیا با هم فاصله دارند، حالا این فاصله می تونه به اندازه فاصله 3 طبقه یا ساختمان و یا فاصله دو شهر از هم باشه. وقتی Branch Office راه اندازی می کنید Database در تمام شعبات یکی هستش، تمامی سرویس های در دسترس یکی هستش. منظور از Database یکسان، تعداد کاربران در تمام DC ها یکی هستند، تمامی کاربران موجود در سایت تهران در DC سایت گرگان هم وجود دارند و با العکس. تمامی کاربران در سر تا سر کشور حالا با توجه به تعداد شعبات از یک فایل سرور یکسان استفاده می کنند و غیره.
یک مثال بزنم: یکی از مراکز استان تحت پوشش، یک شعبه داشت که داروخانه بود و با وجود سرویس های متعدد و پهنای باند ضعیف زمان احراز هویت یا استفاده از برخی از سرویس ها زمان زیادی صرف می کرد، چی کار کردیم یک سرور DC دیگه راه اندازی کردیم البته در قالب Branch Office و اون سرور را داخل داروخانه قرار دادیم، حالا صرف زمان به خاطر کندی بهتر شده بود و همچنین تنظیم کردیم که سایت مرکز و سایت داروخانه در زمان مشخصی با هم ارتباط بگیرند تا تغییرات را به راحتی با هم مبادله کنند.
بر فرض شما پالیسی بسازید اون پالیسی را را در کنسول Group Policy تمام شعبات می بینید اما با ساختاری ک در Active Directory پیاده کردید می تونید مشخص کنید به کی یا چی اعمال بشه یا نشه.
اگر منظورتون را درست متوجه نشدم بگید تا اصلاح کنم، اگر هم صحیح هستش که...
تو بحث Trust ها شما زمانی بین دامین ها در یک فارست یا دامین ها در فارست متفاوت و یا بین فارست های متفاوت Trust برقرار می کنید که بر فرض دامین مقابل سرویسی داره ک بنا به دلایلی شما ترجیح می دید از اون سرویس استفاده کنید تا بیاید و اون سرویس را برای خودتون راه اندازی کنید، وقت بگذارید و یا هزینه کنید.
یک مثال دیگه بزنم: به هر دلیلی قرار شد ما یک دامین دیگه راه اندازی کنیم و داخل اون دامین FTP بیاریم بالا تا شعبات و مراکز خارج کشور به همراه کاربران دامین خودمون هم ازش استفاده کنند. خب بماند که کاربرای استان ها و مراکز را ایجاد کردیم و دسترسی هاشون را دادیم ولی دیگه ظلم بزرگی بود که به ازای کاربرای دامین خودمون تو دامین مقابل هم کاربر متناظر بسازیم، پس اومدیم یک Trust بین دو دایمن ایجاد کردیم و دسترسی به FTP را به کاربرای دایمن خودمون هم دادیم.
دوست عزیز یه نگاه به مقاله زیر بندازید امیدوارم مشکلتون حل بشه
اینم یه لینک از اساتید توسینسو
دوست عزیز دستت درد نکنه!
همین الان تست کردم و مشکلم حل شد و تونستم سیستم کلاینت رو با نام کاربری تعریف شده در سرور 2012 ب همون روشی که شما فرمودین به DC 2008 جوین کنم
ممنون از بابت وقتی که شما و سایر دوستان گذاشتن.
الان من یک سوال بپرسم در خصوص پالیسی
من بخوام یک سیاست خاصی رو اعمال کنم به این صورت که مثلا منوی Start گزینه Run نداشته باشه!
یا برای Desktop کلاینتها یک تصویر خاص باشه!
اگه تو سرور 2012 پالیسی رو اعمال کنم به زیر مجموعه هم اعمال میشه؟!
یا باید کار خاصی بکنم.
خوب شما برای اینکه یه کلاینت جدید به dc دوم که اینجا همون child هست اضافه بکنی باید از یوز و پس ادمین خود child domain استفاده بکنی یعنی همون سرور 2008 و در واقع شما نباید کاربران dc اول توی dc دوم داشته باشید فلسفه سایت همینه دیگه اگه قرار باشه همون کاربران در سایت دوم داشته باشی که دیگه چرا سایت راه اندازی کردی یه ادیشنال راه اندازی میکردی دیگه
دوست عزیز من دقیق متوجه نشدم که شما فرمودین. اگه ما نمیتونیم به کاربران سایت اصلی منظورم تو این مشکل خودم AD2012 و به پالیسی های تعریف شده اون دسترسی داشته باشیم.خوب چرا سایت راه اندازی میشه؟!
یعنی اینطوری بپرسم مشکل من دقیقا همین هستش!
همونطور که قبلا گفتم میخوام وقتی کاربر یا گروه یا یک سیاست خاصی در سرور 2012 خودم انجام دادم بتونم اون تغییرات رو تو زیر مجموعه ادغام شده به سرور 2012 مشاهده کنم.
یعنی این مقدور هست؟! یا نیست؟!
تشکر از شما
من خودم بصورت آزمایشی همین مواردی که دوست عزیزمون جناب AM Virgo فرمودن من تا حدودی پیاده سازی کردم.
به این صورت که AD رو روی Server 2012 DataCenter پیاده سازی کردم.بعد توی Hyper-V اومدم 2 تا DC 2008R2 بصورت مثلا City1,City2و 2 ویندوز XP بعنوان کلاینت هر شهر مشخص کردم.
بعد تو سرور 2012 کاربر و گروه و یک گروپ پالیسی خیلی معمولی طراحی کردم.
حالا میخوام اون کلاینت های XP رو عضو DC بکنم!
با کاربری که تو سرور 2012 تعریف کردم! اما مشکل این هست که کاربر تعریف شده در 2012 رو تو DC های 2008 نمیتونم ببینم.یعنی عملا امکان جوین ندارم.
بحث همسان سازی رو هم بصورت دستی انجام دادم حتی زمانش رو هم تغییر دادم ولی راستی نمیدونم که درست کار کردم! یا کلا اشتباه! که نتیجه نمیده!
در ضمن DC 2008R2 رو بصورت یک عضو از forest 2012 انجام دادم!
اسمشون هم تو بخش Active Directory Site And Service میتونم ببینم!
من برای اینکار 2 حالت رو استفاده کردم
1-نام دامنه اصلی سرور 2012 که نتیجه نداد! با نام کاربری و رمزعبوری که تعریف کردم و حتی از کاربر Administrator استفاده کردم!
2-نام دامنه سرور 2008 با نام کاربری که تو سرور 2012 ایجاد کردم!
اما نام کاربری که تو سرور 2008 ایجاد کردم استفاده نکردم چون میدونم این نوع ارتباط مشکل نداره و به راحتی میتونم کلاینت رو به سرور 2008 جوین کنم.
کلا هدف من استفاده از کاربر و گروه و پالیسی هایی هست که تو سرور 2012 میخوام ایجاد بکنم.در DC ها و کلاینت های عضو شده به DC ها هست
سلام
اول پیشنهاد می کنم هر وقت خواستید DC جدیدی اضافه کنید اول اون سرور را به دامین Join کنید وسپس نسبت به اضافه کردن DC اقدام کنید.
دوم به صورت پیش فرض تغییرات بین سایت ها هر 180 دقیقه یکبار اتفاق می افتد ک شما می تونید این زمان را کاهش یا افزایش دهید و DC های داخل هر سایت هر 5 دقیقه.
سوم شما Child Domain راه انداختید؟!!! نه فکر نمی کنم چون تو چند پست قبلتون اشاره کزدین این گزینه رو انتخاب کردید:
EXISTING FOREST>ADD A DOMAIN CONTROLLER TO EXISTING DOMAIN
به نظر من شما جایی اشتباه نکردی فقط زمان Replication ها رو درست تنظیم کنی تغییرات رو مشاهده می کنی.
اما برای اطمینان از کار خودتون این لینک ها رو هم ی مطالعه ای بکنید.
دوست عزیز شما فقط میتونید با کاربر ادمین عملیات جوین انجام بدید
یه سوال شما داری توی یه دامین 2 تا سایت طراحی میکنی ؟یا dc 2008 یه child domain هست؟
تشکر از دوستان که زحمت کشیدن ممنون از همتون
من در اصل کل موضوع رو متوجه شدم و مفاهیم رو خیلی خوب درک کردم.
فقط اگر مقدور باشه در این خصوص یک موضوع آموزشی یا سناریویی که آموزش داده شده هم برام زحمت بکشید.چون من هم میخوام همچین چیزی رو پیاده سازی کنم.ولی با مباحثی که خوندم بصورت آزمایشی تو Hyper-V چیزی شبیه به مطالبی که شما ذکر کردین رو پیاده سازی کردم.ولی راستش یا من بلد نیستم و یا نمیتونم نتیجه درست ببینم.همین که کاربر تعریف کردم ولی در DC جوین شده به AD 2012 نتیجه دیده نمیشه و کاربر من یا گروه و پالیسی من فقط تو سرور 2012 دیده میشه و به DC اعمال نمیشه.
مطمئن هستم که من جایی اشتباه کردم.نمیدونم کجا.
به همین خاطر دنبال یک منبع آموزشی بصورت پیاده سازی شده هستم.حتی انگلیسی هم باشه فرق نمیکنه
سلام دوست عزیز می تونید لینک های زیر رو مشاهده کنید