اکتیو دایرکتوری (Active directory) یک سرویس برای مدیریت منابع شبکه است که منابع موجود درون شبکه را به صورت متمرکز و سلسله مراتبی درون دامین مدیریت میکند.
ما در اینجا با دو مفهوم مهم داریم:
- object: هر آن چه درون AD ساخته می شود مثل ساختن کاربران گروه ها.
- structure: به ساختار دامین می گویند که مدیران ارشد شبکه درگیر این موضوع هستند.
Structure Active Directory
ساختار Structure active directory از دو بخش تشکیل شده است:
Logical -1: زیرساخت های منطقی اکتیودایرکتوری، شامل:
- domain
- Ou
- Tree
- forest
Physical – 2: زیرساختارهای فیزیکی اکتیودایرکتوری، شامل:
- Site
در ادامه این بخش ها را بصورت مختصر توضیح می دهیم:
دامین (Domain)
برای بهتر متوجه شدن مفهوم دامین، با مثال توضیح میدهیم:
فرض کنید ما در کلاس شبکه هستیم و اسم کلاس ما A هست.
به ما می گویند فقط کلاس A دسترسی به فایل تدریس شبکه را دارد. در واقع یک خط مرزی دور این کلاس ایجاد شد . حال به مجموعه کامپیوترهای کلاس که تحت یک اسم واحد، سیاست های مدیریتی و همچنین پایگاه داده متمرکز به آنها اعمال میشود دامین گفته میشود.
Domain controller
به سیستمی که active directory روی آن نصب میشوند DC گفته میشود. نکته مهم در سیستمی که میخواد dc شود این است که حتما باید windows server 2003 به بالا باشد، اگر DC از بین برود کلا میتوان گفت کل شبکه از بین میرود. در حقیقیت اکتیو دایرکتوری back bone شبکه میشود.
یعنی یک بخشی از سیستم که خراب شد کل سیستم متوقف میشود.
بزرگترین ایراد شبکه ای که کلا یک DC دارد spof (Singe point of failure) است.
کسانی که کارشناس شبکه هستن حتما در نظر داشته باشند که هرگز زیر بار شبکه ای که یک dc دارد، نروند یا یک DC دیگر درکنار آن راه اندازی کنند. هیچ محدودیتی برای راه اندازی تعداد DC نداریم .
نکته مهم این است که DC ها هر 15 ثانیه باهم replicate میکنند یعنی اطلاعاتشان را باهم یکی میکنند.
Organization unites
Ou یک object هست که برای دسته بندی سایر object ها مورد استفاده قرار میگیرد. ساده تر بگوییم مثل یک فولدر می ماند.فرض کنید یک فولدر میسازیم به اسم حسابداری، تمام کاربران واحد حسابداری و گروه های مربوط به حسابداری را درون آن میریزیم و یا یک گروه میسازیم به اسم بازرگانی تمام کاربران بازرگانی را درون آن میریزیم، همان طور که مشخص است داریم یک دسته بندی ایجاد میکنیم.
ویژگی های ou:
- برروی ou ها میتوان police تعریف کرد و مدیریت کرد
- Ou قابلیتی دارند به اسم administrative delegation (تعویض اختیار یعنی میتوان یک نفر را admin ou کرد که بتواند تغییراتی را بر روی ou ایجاد کند)
- ou شبکه را نظام بند و قانونمند میکند
Ou بر اساس چارت سازمانی و سیاست های شرکت انتخاب میشوند
Tree یا همان درخت
جدا سازی یک بخش دامین از یک بخش دیگر به صورت logical .
فرض کنید ما یک دامین به اسم itgardan.com داریم حال برای ایزوله کردن کامل این بخش دامین جدیدی ایجاد میکنیم به اسم it.itgardan و یک دامین دیگر به اسم forosh.itgardan.com داریم که زیر شاخه ی itgardan میباشند، به این ساختار درخت گفته می شود و به بالاترین دامین، روت دامین می گویند.
Forest
اگر یک نفر بخواهد از دامین 1 به دامین 2 وصل شود یک یوزر و پسورد در دامین 2 تعریف شده است که از ما آن را میخواهد.
در اینجا مفهومی به وجود می آید به اسم trust
اگر بتوانیم trust به وجود آوریم میتوان کاری کرد که تیکت های(کارها درخواست ها و…) دامین 1 در دامین 2 هم جواب داده شود.
انواع trust :
- one way trust
trust یک طرفه: فقط دامین A به دامین trust ،B کرده یعنی یوزرهای دامین b میتوانند روی دامین A بدون اینکه احراز هویت کنند از منابع A استفاده کنند.
- two way trust
trust دوطرفه: هر دو طرف به هم trust دارند و میتواند کاربران از طرف مقابل بدون احراز هویت از منابع استفاده کنند.
- two way trust Transitive
از این قانون ریاضی پیروی میکند که
A=b
B=c
a=> c
اگر دامین a و b two way trustداشته باشند و دامین b و c two way trust در نتیجه two way trust مابین دامین a و c ایجاد میشود.
به مجوعه از دامنه ها که بین آنها به صورت two way trust Transitive ایجاد شده که این trust به صورت اوتوماتیک ایجاد میشود قابل پاک شدن هم نیست farset گویند.
object
User, tree, ou از یکسری عناصر تشکیل شده اند، مثل عناصر تشکیل دهنده کاربر، نام، نام خانوادگی، شماره ایمیل و….
عناصری که از روی آنها object ها ساخته میشود atribut گفته میشود.
Schema : لیستی از atribut ها درون آن است.
Global catalog: یک دیتابیس از مجموعه atribut ها قابل جست و جو object کل فارست در خودش نگهداری میکند این دیتابیس indexing جهت سرچ کردن در کل فارست میباشد .
نکته: حدودا 40 الی 60 درصد atribut های هر object قابل سرچ کردن هستند.
نکته 2: همه دسترسی یه gc دارند چون برای خواندن میباشد .
site
اگر ما 2 دامین، یکی در اصفهان و دیگری در تهران داشته باشیم و یک خط مثلا 5MB ما بین این دو باشد، بهترین حالت این هست که 2 DC در هر طرف داشته باشیم.
اولین مشکلی که پیش می آید این است که هر 15 ثانیه dc ها باهم replicate میکنند که باعث میشود پهنای باند گرفته شود.
حال اگر کاربربخواهد لاگین کند از کدام DC استفاده میکند ؟
DNS استعلام میگیرد که DC ها چه کسانی هستند و مشخص نیست که کدام DC پاسخ میدهد که در اینجا مشکل پیش می آید بدلیل اینکه ممکن است یک dc در سمت مخالف بخواهد پاسخ دهد که باعث میشود پهنای باند را بگیرد و خط را اشغال کند.
ما در اینجا از site استفاده میکنیم و در active directory تعریف می کنیم که DC1 و DC2 در یک نقطه جغرافیایی و DC3 و DC4 در یک نقطه دیگر هستنند، در نتیجه DC ها بین site های مختلف هر 3 ساعت به صورت پیش فرض باهم replacte میکنند که پهنای باند کمتر اشغال شود .
و اگر کاربری در تهران است ترجیحا DC1 , DC2 را به آن معرفی و اگر مشکلی بود بعد DC3 و DC4 را به آن معرفی می کنیم.
بدون دیدگاه