طراحی سرورهای شبکه ی دامین
دوستان سلام
من قصد طراحی و پیاده سازی یک شبکه دامین رو دارم .اولین بار هست که همچین طراحی قرار هست انجام بدم .میخوام بدونم تفکیک نقش هر کدوم از سرورها در شبکه باید به چه ترتیب باشه.آیا DNS , DHCP ,Active Directory همگی باید بر روی یک سرور پیاده سازی شود ،اگر جواب منفی است ،نحوه تقسیم وظایف چگونه است؟ .لینک های ارتباطی بین سروها از چه نوع و با چه پهنای باندی باید باشند.
از چه سخت افزاری برای با چه قدرت پردازشی برای سرورها باید استفاده کنم .
نگرانی که من دارم زیر ساختی هست که در حال حاضر شبکه ی فعلی که به صورت Workgroup هست بر روی آن پیاد سازی شده.100 کلاینت که از طریق سوییچ به هم مرتبط شده اند و از آنجا به روتر میکروتیک وصل هستند و از روتر میکروتیک به رادیو و از طریق رادیو با دو دفتر دیگر ارتباط دارند.
من نمیخوام بعد از نصب ویندوز سرورها و ایجاد دامین در شبکه مشکل و محدودیتی برای کاربرهایی که از نرم افزارهای مالی و اداری استفاده میکنند پیش بیاد و برای مثال سرور ها اجازه ی مدیریت کامل کاربرها بر روی نرم افزارها را صلب کنند.
ممنون میشم دوستان راهنمایی کنند
5 پاسخ
دقیقا این کاری که دوستمون میخواد انجام بده رو من این هفته باید توی شرکت اجرا کنم اما من برای نصب اکتیو دایرکتوری و سایر سرویس ها 2 سرور دارم که اتفاقا روی هردو ESXI نصب شده و میخوام بصورت مجازی ویندوز سرور رو نصب کنم . حالا با نکته ای که فرمودید باید چکار کرد که منابع هدر نره؟
سرور ها هر دو دارای 2 س پی یو Intel(R) Xeon(R) CPU E5620 @ 2.40GHz و 32 گی رم هست.
دقیقا مشکلی که با Virtual Machine بوجود میاد چی هست؟
این رو هم اضافه کنم که اینترنت از طریق این روتر به شبکه ی داخلی و از طریق رادیویی که به روتر وصل هست و با رادیویی که در دفتر دیگری می باشد منتقل می شود.یعنی اینکه اینترنت از مودم ADSL به روتر از روتر به سوییچ و از پورت دیگر روتر به رادیو و از طریق رادیو به دفتر دیگر منتقل میشود.
چه طور میتونم از امنیت یه همچین شبکه ای رو حفظ کنم؟ چه فاکنورهایی رو باید مد نظر قرار بدم ؟
خوب دوست عزیز این سئوالی که شما مطرح کردید لازمش ارائه یک طراحی کامل هست که در این بحث جا نداره ، من اینجا می تونم چند نکته رو به شما بگم که در طراحی های خودتون در نظر بگیرید تا مشکلات شما کمتر باشه :
- تعداد کلاینت های شبکه شما کم هست ، با توجه به اینکه در هر جایی ما حداقل دو عدد سرور Domain Controller داریم که یکی به عنوان اصلی و دیگری به عنوان فرعی عمل می کنند ، پس پیشنهاد میشه حتما دو عدد DC داشته باشید.
- توجه کنید که Scale شبکه اونقدر بزرگ نیست ، می تونید براحتی سرویس های DNS DHCP و DC رو روی هر دو سرور Domain Controller داشته باشید ، فقط محظ اطمینان برای DHCP سرور Split Scope ایجاد کنید که روی هر دو سرور DHCP داشته باشید ، اتفاقا در محیط های کوچیک این ساختار کمترین پیچیدگی رو داره و ما هم باید شبکه رو ساده طراحی کنیم فراموش نکنید.
- لینک های ارتباطی بین سرورها بستگی به این داره که شما از چه بستری استفاده می کنید ، معمولا اگر کابل های CAT6 داشته باشید همین کفایت می کنه ، پیچیدگی خاصی نداره ، زمانی پیچیده میشه که شما در محیط های مجازی سازی انتقال ماشین ها رو داشته باشید که مثلا اونجا فیبر استفاده میشه .
- دقت کنید به هیچ عنوان و تاکید می کنم به هیچ عنوان سرورهای اکتیودایرکتوری رو روی Virtual Machine ها قرار ندید و ترجیحا یک سرور فیزیکی برای هر کدوم از اونها در نظر بگیرید ، سرویس های دیگه مجازی باشند اشکالی نداره اما این سرویس رو حتما در محیط فیزیکی نصب کنید.
- کلاینت های شما براشون این مشکلات پیش خواهد آمد که ناراحتشون می کنه ، صفحه دسکتاپ همیشگی رو ندارند ، احساس می کنند محدود شدن و دیگه نمیتونن نرم افزار نصب کنن و کارهاشون مانیتور میشه و از این قبیل مشکلات ، دقت کنید این بعد قضیه روانشناسیه تا فنی ، باید اینطور به کاربران القا کنی که با عضویت در دامین سرویس های حذابی مثل چت و تلوزیون تحت شبکه و بازی و اینجور چیزا براشون ارائه میشه و اگر عضو نشن این خدمات رو ندارند ، دقت کنید اصلا نباید صحبتی از محدودیت بشه چون مقاومن ایجاد می کنه.
- محتویات صفحه دسکتاپ کاربران رو از پروفایل قبلی به پروفایل دامینی منتقل کنید تا کاربر Shortcut ها و فایلهای دسکتاپ و My Documents اش رو حتما ببینه و قطعا بررسی کنید که Permission داره بهشون مشکلی براش پیش نیاد ، کامل تحویلش بدید و آموزش رو در همونجا تموم کنید یک امضا بگیرید که تحویل شد.
- برای ساختن نام کاربری انگلیسی حتما از خود کاربر بخاید اینکار رو انجام بده تا اشتباهی اسم خارجی براش نزارید نتونه کار کنه.
- برای کاربران نرم افزارهای مالی هم ابتدا عضوشون کنید ، برای اینکه مشکلی براشون پیش نیاد در بدو عضویت کاربرشون رو عضو گروه Local Administrators کنید که مشکلی برای اجرای نرم افزار نداشته باشند تا در آینده بتونید راهکار دیگه ای ارائه کنید.
- سخت افزار و قدرت پردازشی رو من نمی تونم در اینجا بگم چون کاملا بر اساس میزان لود کاری روی سرورهای شما و سرویس هایی که راه اندازی کرده اید داره ، اما معمولا برای پیاده سازی پیشنهاد می کنم حداقل دو برابر پیشنهاد مایکروسافت رو برای نصب سرویس ها داشته باشید.
این چیزی بود که به ذهنم می رسید ، باز جایی سئوال داشتی بپرس.
بسیار از پاسختون ممنونم
در این شبکه از یک روتر میکروتیک و دو سرور که یکی از اونا سرور hp با 16 گیگابایت رم هستش استفاده میشه .میخوام بدونم آیا بهتر است که سرویس DHCP رو بر روی روتر پیکربندی کنم یا بر روی سرور hp که قرار است win server 2008 بر روی آن نصب شود و نقش DC , DNS داشته باشد؟
برای ایمن سازی یه همچین شبکه ای از کدام ویژگی ها و سرویس های ویندوز سرور و روتر میکروتیک میتونم استفاده کنم و چه پارامترهایی رو بر روی روتر میتونم ست کنم تا شبکه ی ایمن تری داشته باشم ( مدل روتر RB433GL).
- سعی کنید تا جاییکه ممکن هست Integrated و یکپارچه کار کنید بنابراین پیشنهاد می کنم DHCP رو روی سرور قرار بدید تا راحت تر بتونه با سرویس DNS یکپارچه بشه و دردسرهای Option ها رو با میکروتیک نداشته باشید، DHCP رو روی Windows Server قرار بدید.
- اول از همه سعی کنیم از واژه امن به جای ایمن استفاده کنیم ، امنیت میشه Security و ایمنی میشه Safety دو واژه متفاوت هستند ، سئوالتون خیلی در این خصوص کلیه اصلا جاش این مبحث نیست تقریبا همه چیز رو میشه در حوزه امنیت سرور و کلاینت ها در این مقوله جا داد ، در وهله اول فقط فراموش نکنید همه کاربران شما Limited باشند و از طرفی Mikrotik رو میتونید به عنوان سرویس Accounting اینترنت استفاده کنید ، فعلا در همین حد کفایت میکنه چون واقعاااااااا بحث مفصلی هست که این مقوله نمی گنجه.
- امنیت رو لایه بندی کنید بر اساس لایه های OSI و بعد بر اساس اون چک لیست وار برید جلو ... اون خودش مبحث جدایی هست تقریبا همه شبکه ... D: