مساء الخير ، أعزائي القراء والمشتركين ، شيء لم أخبركم به عن مجالات Windows لفترة طويلة ، اليوم سأصلحه وسنحلل موضوعًا أساسيًا مثل كيفية تسمية مجال الدليل النشط بشكل صحيح ، نظرًا لأن هذا ستعمل كذلك على تصحيح أداء خدماتك ، وتقليل عدد المشاكل التي قد تنشأ مع الاسم الخاطئ لخدمات المجال.
أخطاء في اختيار اسم Active Directory
إذا كنت تقرأ مدونتي لفترة طويلة أو انضممت للتو ، فسوف أذكرك بمقدمة المقالة التمهيدية لـ Active Directory ، حيث حاولت أن أخبرك ما هو AD وكيف يعمل ، والأهم من ذلك ، ما هي مكوناته يتكون من. إذا قرأت بعناية ، فأنت تعلم أن Active Directory لا يمكن أن يعمل بدون خوادم DNS.
- أنا متأكد من أن معظمكم يعلم أن أسماء DNS على الإنترنت مبنية وفقًا لمبدأ معين ، فهي تتكون فقط من أرقام وحروف ونقاط وشرطات (لا أتحدث عن أنواع مختلفة من سجلات DNS) ..com. يوجد معيار من مستند RFC 1123 حول تسمية المجالات ، حيث يتم كتابته باللونين الأبيض والأسود أن الأحرف الخاصة التالية يجب ألا تكون موجودة في الأسماء: علامة الكلب @ ، التلدة ~ ، علامة الرقم # ، الشرطة المائلة / و \ ، شرطة سفلية ، إذا كنت جاهلاً بمعرفتك ، فقد اخترت شيئًا يحتوي على شرطة سفلية كاسم مجال ، فعلى سبيل المثال ستواجه مشكلات كبيرة مع خادم بريد MS Exchange. لو لم تكن هناك معايير لكانت هناك فوضى.
- كأسماء Active Directory محلية ، يختار الأشخاص عناوين خارجية ، أو بالأحرى أسماء من المستوى الثاني. مثال بسيط ، لنفترض أن لدي مؤسسة Pyatilistnik.inc وقرر المسؤول تثبيت وحدة تحكم Active Directory وإنشاء بنية مجال ، لكنه اتخذ pyatilistnik كاسم محلي لها .. تخيل الفوضى التي ستبدأ عندما يحتاج الناس إلى الوصول إليه من الشبكة المحلية ، سيكون هناك تعارض مع اسم AD ، من أجل حل المشكلة ، سيتعين عليك الاحتفاظ بمنطقة DNS الخارجية والمنطقة الداخلية ، وهو أمر غير مناسب وسيؤدي إلى حدوث أخطاء. أدناه سوف أخبرك بكيفية تسمية مجال الدليل النشط بشكل صحيح.
- أسماء المناطق ليست في السجل العام العالمي ICANN.الأمثلة هي المناطق المحلية أو .nn على سبيل المثال ، على الرغم من أنني متأكد من أن المعيار سيصل إليهم ، لأنه من المربح لهذه المنظمة أن تجني الأموال من فراغ ببيع الأسماء ، وهي المجالات التي لن تجدها الآن ، ولكن هذا ليس عن ذلك اليوم. هذه الأسماء غير صحيحة للاستخدام في دليل Activer ، نظرًا لأنه لا يمكن استخدامها خارج مكتبك ، فلن يكون من الممكن إصدار شهادة ssl لـ.
على الرغم من أنك إذا كنت تقوم بذلك في بيئة اختبار ، فيمكنك ذلك
- Disjoint Namespace> توجد مواقف عندما لا يتطابق اسم DNS لوحدة تحكم المجال أو الكمبيوتر مع اسم NETBIOS الخاص به ، على سبيل المثال ، إذا كان لدى وحدة التحكم الخاصة بي اسم NETBIOS dc6 والمجال dc.site. هذه الإنشاءات قابلة للتطبيق ويمكن أن تكون في حالة اندماج المؤسسات ، ولكن مع مساحة اسم منفصلة قد يكون هناك أشعل النار مع نفس MS Exchenge. يوجد أدناه مثال على تطابق لكل من أسماء NETBIOS و DNS.
كيفية تسمية مجال الدليل النشط بشكل صحيح
لقد فهمنا وعرفنا مدى الخطأ في القيام بذلك ، والآن سنفعل كل شيء بشكل جميل ، وسأكرر على الفور أنه إذا كان لديك بيئة اختبار لتسمية AD ، فيمكنك تسميتها كما تريد ، على الأقل microsoft.com. لكن بجدية ، دعنا نعود إلى شركتنا Pyatilistnik.inc. بالنسبة لمنطقة مجال Active Directory ، سأختار منطقة المستوى الثالث ، ad.site. سيتم تعليق موقع الويب الخاص بالشركة على موقع منطقي. بفضل هذا ، لن تكون هناك مشاكل مع خادم MS Exchange. إذا كان لديك عدة فروع ، فإنني أنصحك باستخدام غابة واحدة ، على سبيل المثال نيجني نوفغورود وموسكو ، بالنسبة لموسكو اخترت ad..ad.site. أتمنى أن تفهم الآن كيف أنه من الأفضل والأكثر صحة تسمية مجال Active Directory.
بالأمس ، تلقى الاستوديو الخاص بنا رسالة من قارئنا العادي Andrei ، مع السؤال:
أنا أستمتع بقراءة مدونتك ، وتعلمت الكثير من الأشياء المفيدة لنفسي ، وأردت أن أعرف رأيك في اسم مجال Active Directory ، وكتب الكثيرون أنه يجب أن يطلق عليه اسم * Organization * .local ، وكتب أحدهم أنه يجب أن يطلق عليه نفس المجال.
دعنا نلقي نظرة سريعة على أفضل اسم يمكن استخدامه عند تسمية مجال داخل مؤسسة.
كما تبين الممارسة ، فإن اختيار اسم المجال يمكن أن يربك حتى مسؤول النظام ذو الخبرة. عند بدء تشغيل الأداة دكبروموسيتم إنشاء اسم المجال تلقائيًا وعشوائيًا ، إذا لم يتم مواءمة اسم المجال مع القواعد الضرورية بالفعل في هذه المرحلة ، فسيكون من الصعب تغيير اسم المجال في المستقبل. دعونا نلقي نظرة على الخيارات حسب شعبيتها.
1. اسم المجال example.local
قائد موكب الضربة لدينا هو اسم مجال ينتهي بـ محلي.هناك اختلافات أخرى حول هذا الموضوع ، على سبيل المثال اختبار, فيرما, مصنع, nn, مكان، إلخ. الآن لا تتذكر حتى من أين أتى هذا الحب ؛ ففي جميع كتبها ، تستخدم Microsoft دائمًا تسمية النموذج الخاصة بها contoso.comحيث يمكننا رؤيته بوضوح تنسيق تسمية المجال. ومع ذلك ، لما يقرب من 10 سنوات المجال .محلياحتلت مكانة رائدة. بدأ الوضع في الاستقرار مع ظهور الخدمات التي تستخدم في عملهم شهادات SSL. حيث يصبح استخدام المجالات "لا تهتم ولذا ستفعل" يصبح مستحيلاً. انظر ، افترض أن شركتك تستخدم داخليًا خادم تبادل، والذي يحتاج إلى شهادة SSL لتشفير اتصالات العميل. وفقًا للسيناريو الخاص بك ، فأنت بحاجة إلى شهادة لإنجاز هذه المهمة مرجع مصدق خارجي، حيث يجب عليك تحديد جميع أسماء الخوادم المستخدمة للاتصال الخارجي. يبدو أن مثل هذا الشيء ، نقوم بتدوين جميع أسماء الخوادم ونقدم طلبًا لإصدار الشهادات ، ولكن هناك شيء واحد. مع اسم هذا المجال لن تكون قادرًا على التحقق من صحة، نظرًا لأن المجال "لا تهتم وهكذا ستفعل" غير موجود وستتلقى رفضًا بسيطًا عند محاولة الشرح لسلطة تصديق خارجية أنك بحاجة إلى وضع اسم FQDN لمجال غير موجود في SAN :
هذا غير ممكن ، نحن نصدر شهادات فقط لأسماء النطاقات الحقيقية.
لكن هناك مشكلة أخرى. باستخدام اسم المجال لا تملكهافي اسم المجال يمكن أن يؤدي إلى عواقب وخيمة. تخيل الوضع إذا كانت المنطقة محليستكون عامة. مثل منطقة كومأو en. لا أعتقد أن الأمر يستحق الاستمرار.
2. اسم المجال هو نفسه اسم المجال الخارجي
المكان الثاني من موكب الضربة. على الرغم من حقيقة أن مثل هذا السيناريو أقل شعبية ، إلا أنه لا يزال له الحق في الحياة. بالإضافة إلى حقيقة أنك ستستمر في مواجهة بعض الإزعاج في المستقبل القريب عند صيانة الشبكة ، فلا شيء آخر يهددك. تكمن المشكلة الرئيسية في هذا السيناريو في أنه سيتعين عليك الاحتفاظ بخادمي DNS: داخلي وخارجي. في ظل هذه الحالة ، ستستخدم أجهزة الكمبيوتر داخل الشبكة خادم DNS الداخلي لتحليل الاسم ، وستستخدم أجهزة الكمبيوتر الموجودة خارج محيط الشركة خادمًا خارجيًا. افترض أن المجال الخاص بك له اسم فخور example.com. في المنطقة المجردة من السلاحالمنطقة التي لديك موقع الكترونيالشركات المسماة example.com. في السيناريو الموضح أعلاه ، تقع أجهزة الكمبيوتر في داخلالمنظمات لا تستطيعالوصول إليه لأن example.com بالنسبة لهم اسم النطاقوعند إدخال هذا العنوان في المتصفح ، سوف ينتقلون إلى وحدة تحكم المجال. كما أشرت أعلاه ، بصرف النظر عن الإزعاج ، لن يؤدي هذا إلى أي شيء. يمكنك دائمًا استخدام العكازات التي ستنقلك إلى موقع خارجي ، لكن توافق على أن هذا ليس عملاً مزدوجًا ضروريًا ، أو استخدم اسم موقع يبدأ بـ wwwاو خارجه.
3. اسم المجال من كلمة واحدة
ربما يكون الخيار الأكثر خطأ مما ورد أعلاه. مجالات المستوى الفردي: مجال تسمية واحدةهو مجال يحتوي فقط على مكون واحد. من الواضح أنها بدأت في استخدامها في أيام NT ، عندما تبنت Microsoft التجربة الناجحة لـ Novell. لقد حدث في البداية أنني كنت مسؤول FreeBSD وأسطولًا كبيرًا من خوادم NetWare بدءًا من الإصدار 4.11 ، لذلك في تلك العصور القديمة ، استخدم NetWare Bindery في عمله ، وهي مجرد أسماء مخطط المجال أحادي المستوى، والتي استحوذت عليها Microsoft لاحقًا.
أفضل الممارسات
حان الوقت لتلخيص ذلك. ما اسم المجال لاستخدامه؟ فقط مجال من المستوى الثالث في المجال الذي تملكه. لا تستخدم أسماء النطاقات الأكثر جمالا لأشخاص آخرين :-). يمكنك مشاهدة مثال على هذا المجال أدناه.
في حالات نادرة ، قد يواجه مسؤول خدمات المجال مهمة إعادة تسمية المجال الحالي. قد تكون الأسباب مختلفة ، لكن هذا الموقف ممكن تمامًا. على الرغم من حقيقة أنه لا يمكن تسمية هذه المهمة بأنها تافهة ، ولكن في بعض الأحيان يتعين عليك التعامل معها ، فمن المهم للغاية القيام بكل شيء بشكل صحيح ، وإلا فإن نتيجة الأحداث يمكن أن تكون خطيرة للغاية ، حتى البنية التحتية للشركة غير العاملة تمامًا. لذلك ، لاحقًا في هذه المقالة ، ستتعرف على المتطلبات الأساسية لإجراء هذه العملية ، وبعض القيود ، وكيف يمكنك إعادة تسمية المجال الخاص بك. قبل أن نبدأ ، نطلب منك عدم تنفيذ هذه الخطوات في بيئة إنتاج حتى تقوم بإعادة تسمية مجال الاختبار الخاص بك بنجاح في بيئة معملية. لنبدأ.
المتطلبات الأساسية
قبل البدء في إعادة تسمية المجال الخاص بك ، تأكد من مراعاة المعلومات التالية:
- المستوى الوظيفي للغابات الدليل النشط. لا يمكنك تنفيذ مهام إعادة تسمية المجال إلا إذا كانت كافة المجالات في الغابة تعمل بنظام Windows Server 2003 على الأقل (لا توجد قيود على الإصدار في هذه الحالة). علاوة على ذلك ، يجب رفع المستوى الوظيفي إلى مستوى Windows Server 2003 على الأقل. أي إذا كان لديك المستوى الوظيفي لنظام التشغيل Windows Server 2000 محددًا في الغابة ، فإن العملية التالية تصبح ببساطة مستحيلة ؛
- موقع المجال. يمكن أن تكون هناك مستويات مختلفة من المجالات في مجموعة تفرعات Active Directory. بمعنى ، يمكن أن يكون هناك مجال واحد ، أو يمكن للمجموعة أن تتضمن مجالات تابعة. في حالة تغيير موقع وحدة تحكم المجال داخل الغابة ، سيكون عليك إنشاء علاقة ثقة ؛
- منطقة DNS. حتى قبل إجراء عملية إعادة تسمية المجال ، تحتاج إلى إنشاء منطقة DNS جديدة ؛
- أوراق الاعتماد الإدارية. لتنفيذ عملية إعادة تسمية المجال ، يجب أن تقوم بتسجيل الدخول باستخدام حساب إداري يكون عضوًا في مجموعة Enterprise Admins ؛
- خوادم نظام الملفات الموزعة (DFS). إذا كانت بيئة شركتك بها ملفات تعريف DFS منشورة أو متجولة تم تكوينها ، فالرجاء ملاحظة أن خوادم جذر DFS يجب أن تعمل على الأقل Windows Server 2000 Service Pack 3 أو أنظمة تشغيل أحدث ؛
- عدم التوافق مع خوادم Microsoft Exchange. الأمر الأكثر إزعاجًا هو أنه إذا تم نشر خادم بريد Microsoft Exchange Server 2003 Service Pack 1 في مجموعة Active Directory الخاصة بك ، فسيتم إكمال إعادة تسمية المجال دون أي مشاكل ، ولكن يجب إجراء حساب المستخدم الذي سيتم تنفيذ عملية إعادة تسمية المجال بموجبه أن تكون عضوًا في مجموعة مسؤول Exchange الكامل. جميع خوادم البريد الأحدث (بما في ذلك Exchange Server 2016) غير متوافقة مع عمليات إعادة تسمية المجال.
لاحظ أيضًا أنه يجب عليك تجميد جميع عمليات تكوين غابات Active Directory القادمة أثناء إعادة تسمية المجال. بمعنى آخر ، يجب عليك التأكد من عدم تغيير تكوين المجموعة الخاصة بك حتى تكتمل عملية إعادة تسمية المجال بالكامل (انظر أدناه للحصول على تفاصيل حول كيفية تنفيذ هذا الإجراء). تتضمن هذه العمليات: إنشاء أو إزالة المجالات داخل مجموعة Active Directory الخاصة بك ، وإنشاء أقسام دليل التطبيق أو إزالتها ، وإضافة أو إزالة وحدات تحكم المجال في الغابة ، وإنشاء أو إزالة الثقة المنشأة مباشرة ، وإضافة السمات التي سيتم نسخها نسخًا متماثلاً إلى العمومية أو إزالتها فهرس.
فقط في هذه الحالة ، أنصحك أيضًا بعمل نسخة احتياطية كاملة لحالة النظام على كل وحدة تحكم مجال في غابة Active Directory. إذا اكتملت هذه المهمة ، فلن يكون هذا الاحتياط ضروريًا بالتأكيد.
في حالة استيفاء بنيتك الأساسية للمتطلبات المذكورة أعلاه وعمل جميع النسخ الاحتياطية المطلوبة ، يمكنك متابعة عملية إعادة تسمية المجال.
عملية إعادة تسمية مجال الدليل النشط
بادئ ذي بدء ، من أجل التحقق من الاسم الأصلي لنطاقك ، يمكنك فتح نافذة خصائص النظام. كما ترون في الرسم التوضيحي المقابل ، اسم المجال الخاص بي هو "Biopharmaceutic.local":
أرز. 1. التحقق من اسم مجال Active Directory الأصلي
نحن الآن بحاجة إلى إنشاء منطقة DNS جديدة "biopharm.local" بحيث بعد الانتهاء بنجاح من إعادة تسمية المجال ، يمكن لخوادم الأعضاء والعملاء الانضمام بسهولة إلى اسم المجال الجديد. للقيام بذلك ، افتح مدير DNS» ( مدير DNS) والتواجد في " منطقة البحث الأمامي» ( منطقة البحث الأمامي) حدد خيار إنشاء منطقة جديدة. بشكل أساسي ، يتم إنشاء المنطقة كالمعتاد: في الصفحة الأولى من معالج المنطقة الجديدة ، اقرأ المعلومات التمهيدية وانتقل إلى الصفحة الثانية. في صفحة نوع المنطقة ، حدد المنطقة الأساسية ( المنطقة الأولية) وتأكد من تمكين خيار حفظ المنطقة في Active Directory. في صفحة نطاق النسخ المتماثل للمنطقة ، اترك الخيار محددًا بشكل افتراضي - " لجميع خوادم DNS التي تعمل على وحدات تحكم المجال في هذا المجال: Biopharmaceutic.local» ( لجميع خوادم DNS التي تعمل على وحدات تحكم المجال في هذا المجال: Biopharmaceutic.local). في صفحة اسم المنطقة ، يجب تحديد اسم المجال الجديد (biopharm.local) ، وفي صفحة التحديث الديناميكي ، اترك الخيار أيضًا " السماح فقط بالتحديثات الديناميكية الآمنة (موصى بها لـ Active Directory)» ( السماح فقط بالتحديثات الديناميكية الآمنة (موصى بها لـ Active Directory)) ، والذي يتم تحديده افتراضيًا. يمكنك مشاهدة عدة مراحل لإنشاء منطقة جديدة أدناه:
أرز. 2. قم بإنشاء منطقة DNS جديدة
الخطوة التالية في إعادة تسمية المجال هي إنشاء وصف للحالة الحالية للمجموعة. في الواقع ، هذه هي عملية إعادة تسمية المجال الأولى التي ستستخدم الأداة المساعدة لسطر الأوامر رندوم. ستنشئ هذه الأداة المساعدة وصفًا نصيًا لبنية الغابة الحالية كملف XML يسمى Domainlist.xml. يحتوي هذا الملف على قائمة بجميع أقسام دليل المجال بالإضافة إلى أقسام دليل التطبيق الموجودة في مجموعة تفرعات Active Directory. يتم تحديد كل إدخال لكل مجال وقسم دليل التطبيق بعلامات XML
لإنشاء مثل هذا الملف ، افتح موجه الأوامر تحت الحساب المناسب وقم بتشغيل الأمر " عشوائي / قائمة". سيتم حفظ الملف الذي تم إنشاؤه في الدليل الجذر لحساب المستخدم الخاص بك. بعد ذلك ، ستحتاج إلى فتح هذا الملف باستخدام أي محرر نصوص.
داخل هذا الملف ، تحتاج إلى تغيير اسم المجال داخل القسم المحدد بالعلامات
في الرسم التوضيحي التالي ، سترى عملية تنفيذ الأمر أعلاه ، وموقع ملف Domainlist.xml ، والتغييرات في القسم الأول من هذا الملف. في حالتي ، سيتم تغيير اسم المجال في هذا التكوين 4 مرات:
أرز. 3. إنشاء وتعديل ملف Domainlist.xml
للتأكد من أنك أجريت التغييرات المطلوبة على الملف المقابل ، يمكنك تشغيل الأمر " عشوائي / Showforest". كما ترى في الرسم التوضيحي التالي ، فقد تغيرت جميع إدخالاتي إلى "Bopharm":
أرز. 4. عرض التغييرات المحتملة
عند تنفيذ الأمر التالي ( عشوائي / تحميل) ، تقوم الأداة المساعدة Rendom بترجمة بنية الغابة الجديدة المحددة في الملف المحرر إلى سلسلة من إرشادات تحديث الكتالوج التي سيتم تشغيلها محليًا وعن بعد على كل وحدة تحكم مجال في الغابة. بشكل عام ، ستُجري هذه الخطوة تغييرات على قسم دليل التكوين في "معالج تسمية المجال" لإعادة تسمية مجال Active Directory. بالإضافة إلى ذلك ، سيتم إنشاء ملف Dclist.xml يتم استخدامه لتعقب التقدم وحالة كل وحدة تحكم مجال في مجموعة التفرعات لعملية إعادة تسمية المجال. بالمناسبة ، في هذه المرحلة ، تقوم الأداة المساعدة Rendom بتجميد مجموعة Active Directory الخاصة بك من إجراء أي تغييرات على تكوينها. تظهر عملية تنفيذ هذا الأمر أدناه:
أرز. 5. قم بتشغيل rendom / upload
يتم تشغيل الأمر التالي للتحقق من جاهزية وحدات التحكم بالمجال قبل عملية إعادة تسمية المجال. أثناء هذه الخطوة ، يجب عليك تشغيل أمر الفحص التحضيري في كل وحدة تحكم مجال في الغابة. هذا للتأكد من أن قاعدة بيانات Active Directory على كل وحدة تحكم مجال في الغابة في الحالة الصحيحة وجاهزة لإجراء تغييرات تسمح لك بإعادة تسمية المجال الخاص بك. ومن ثم قم بتشغيل الأمر " عشوائي / تحضير"، كما هو موضح في الرسم التوضيحي التالي:
أرز. 6. تجهيز المجال لإعادة التسمية
أهم لحظة. تنفيذ الأمر " عشوائي / تنفيذ". عند تشغيل هذا الأمر على المجال ، يتم تنفيذ التعليمات لإعادة تسمية المجال. جوهريًا ، في هذه اللحظة بالذات ، يتم الاتصال بكل وحدة تحكم مجال في الغابة على حدة ، مما يتسبب في قيام كل وحدة تحكم بالمجال بتنفيذ تعليمات لإعادة تسمية المجال. عند الانتهاء من هذه العملية ، سيتم إعادة تشغيل كل وحدة تحكم مجال. راجع الرسم التوضيحي التالي للتعرف على عملية إعادة تسمية المجال:
أرز. 7. عملية إعادة تسمية المجال
ولكن هذا ليس كل شيء. على الرغم من أنه قد تمت بالفعل إعادة تسمية المجال الخاص بك ، إلا أنه لا يزال لديك مهمة إصلاح كائنات نهج المجموعة ومراجعها بعد اكتمال عملية إعادة تسمية المجال. يتم استخدام أداة سطر الأوامر المساعدة لاستعادة كائنات نهج المجموعة وارتباطات كائن نهج المجموعة في كل مجال تمت إعادة تسميته. gpfixup.exe. لا يمكن إهمال هذا الإجراء لأنه بدونه ، بعد اكتمال عملية إعادة تسمية المجال في مجموعة التفرعات الجديدة ، لن تعمل سياسات المجموعة بشكل صحيح. لاحظ أنه يجب تشغيل هذا الأمر مرة واحدة على كل مجال تمت إعادة تسميته. ومن ثم قم بتشغيل الأمر مرة واحدة gpfixupمع المعلمات /olddns: Biopharmaceutic.local(الاسم القديم للمجال الذي أعدت تسميته) و / newdns: Biopharm.local(الاسم الجديد للمجال المعاد تسميته) ثم الأمر gpfixupمع المعلمات / oldnb: الأدوية الحيويةو / newnb: Biopharm(على التوالي ، اسم NETBIOS القديم والجديد للمجال الخاص بك). هذا الإجراء مرئي أدناه:
أرز. 8. تحديد كائنات نهج المجموعة
لم يتبق سوى أمران للتنفيذ: الأمر " عشوائي / نظيف"، والذي يسمح لك بإزالة جميع الإشارات إلى أسماء النطاقات القديمة داخل Active Directory ، بالإضافة إلى الأمر" عشوائي / نهاية"، في الواقع ، إلغاء تجميد غابة Active Directory من إجراء تغييرات على تكوينها. يمكنك مشاهدة عملية تنفيذ هذه الأوامر في الرسم التوضيحي التالي:
أرز. 9. أكمل إعادة تسمية مجال Active Directory
لكي تسري التغييرات على الخوادم الأعضاء وعلى العملاء النهائيين ، سيتعين عليك إعادة تشغيل أجهزة الكمبيوتر الخاصة بهم مرتين. ومع ذلك ، سيتعين عليك إعادة تسمية وحدات التحكم بالمجال يدويًا. كما ترى في الرسم التوضيحي التالي ، لا يزال اسم وحدة التحكم بالمجال الخاص بي كما هو.
ما هي وحدة تحكم المجال
توفر وحدة التحكم بالمجال إدارة مركزية لأجهزة الشبكة ، أي المجالات. يخزن جهاز التحكم جميع المعلومات من حسابات وإعدادات مستخدمي الشبكة. هذه هي إعدادات الأمان ، والنهج المحلي ، وغيرها الكثير. هذا نوع من الخادم يتحكم بشكل كامل في شبكة معينة أو مجموعة شبكات. وحدة التحكم بالمجال هي نوع من مجموعة البرامج الخاصة التي تدير العديد من خدمات Active Directory. تعمل وحدات التحكم على تشغيل أنظمة تشغيل معينة ، مثل Windows Server 2003. يسمح لك Active Drive Setup Wizard بإنشاء وحدات تحكم بالمجال.
في نظام التشغيل Windows NT ، يتم استخدام وحدة تحكم المجال الأساسية كخادم أساسي. يتم استخدام الخوادم الأخرى المستخدمة كوحدات تحكم احتياطية. يمكن لوحدات تحكم PDC الرئيسية أداء العديد من المهام المتعلقة بعضوية مجموعة المستخدمين ، وإنشاء كلمات المرور وتغييرها ، وإضافة المستخدمين ، والعديد من المهام الأخرى. بعد ذلك ، يتم إرسال البيانات إلى وحدات تحكم BDC إضافية.
يمكن استخدام برنامج Samba 4 كوحدة تحكم بالمجال إذا تم تثبيت نظام تشغيل Unix. يدعم هذا البرنامج أيضًا أنظمة تشغيل أخرى مثل windows 2003 و 2008 و 2003 R2 و 2008 R2. يمكن توسيع كل نظام من أنظمة التشغيل ، إذا لزم الأمر ، اعتمادًا على متطلبات ومعلمات محددة.
تطبيق وحدات تحكم المجال
يتم استخدام وحدات التحكم بالمجال من قبل العديد من المؤسسات التي تستضيف أجهزة كمبيوتر متصلة ببعضها البعض وبالشبكة. يخزن المتحكمون بيانات الدليل ويتحكمون في تسجيل دخول المستخدمين وتسجيل خروجهم ، فضلاً عن إدارة التفاعل بينهم.
تحتاج المؤسسات التي تستخدم وحدة تحكم المجال إلى تحديد عدد وحدات التحكم بالمجال التي سيتم استخدامها ، والتخطيط لأرشفة البيانات ، والأمن المادي ، وترقيات الخادم ، والمهام الضرورية الأخرى.
إذا كانت شركة أو مؤسسة صغيرة وتستخدم شبكة مجال واحدة فقط ، فيكفي استخدام وحدتي تحكم يمكن أن توفر ثباتًا عاليًا وتسامحًا مع الأخطاء ومستوى عالٍ من توفر الشبكة. في الشبكات المقسمة إلى عدد معين من المواقع ، يتم تثبيت وحدة تحكم واحدة على كل منها ، مما يتيح لك تحقيق الأداء والموثوقية اللازمين. باستخدام وحدات التحكم في كل موقع ، يمكن جعل تسجيل دخول المستخدم أسهل بكثير وأسرع.
يمكن تحسين حركة مرور الشبكة ، للقيام بذلك ، تحتاج إلى ضبط الوقت لتحديثات النسخ المتماثل عندما يكون الحمل على الشبكة في حده الأدنى. سيؤدي إعداد النسخ المتماثل إلى تبسيط عملك بشكل كبير وجعله أكثر إنتاجية.
يمكنك تحقيق أقصى أداء في عمل وحدة التحكم إذا كان المجال عبارة عن كتالوج عام ، مما يسمح لك بالاستعلام عن أي كائنات بوزن معين. ومع ذلك ، من المهم أن تتذكر أن تمكين الكتالوج العام ينتج عنه زيادة كبيرة في حركة مرور النسخ المتماثل.
من الأفضل ترك وحدة تحكم المجال المضيف بدون تمكين إذا تم استخدام أكثر من وحدة تحكم مجال واحدة. عند استخدام وحدة تحكم المجال ، من المهم جدًا الاهتمام بالأمان ، لأنه يصبح في متناول المهاجمين الذين يرغبون في الحصول على البيانات اللازمة للخداع.
اعتبارات لتثبيت وحدات تحكم المجال الإضافية
لتحقيق موثوقية أعلى في تشغيل خدمات الشبكة الضرورية ، من الضروري تثبيت وحدات تحكم مجال إضافية. نتيجة لذلك ، يمكن تحقيق قدر أكبر من الاستقرار والموثوقية والسلامة التشغيلية. سيصبح أداء الشبكة في هذه الحالة أعلى بكثير ، وهو معلمة مهمة جدًا للمؤسسات التي تستخدم وحدة تحكم المجال.
لكي تعمل وحدة تحكم المجال بشكل صحيح ، يجب القيام ببعض الأعمال التحضيرية. أول شيء يجب القيام به هو التحقق من إعدادات TCP / IP ، يجب ضبطها بشكل صحيح للخادم. أهم شيء هو التحقق من أسماء DNS للتعيينات.
لكي تعمل وحدة التحكم بالمجال بشكل آمن ، يجب استخدام نظام الملفات NTFS ، الذي يوفر أمانًا أعلى من أنظمة الملفات FAT 32. للتثبيت على خادم ، تحتاج إلى إنشاء قسم واحد في نظام ملفات NTFS يحتوي على وحدة تخزين النظام. مطلوب أيضًا الوصول إلى خادم DNS من الخادم. يتم تثبيت خدمة DNS على هذا الخادم أو على خادم إضافي يجب أن يدعم سجلات الموارد.
لتكوين وحدة تحكم المجال بشكل صحيح ، يمكنك استخدام معالج التكوين ، والذي يسمح لك بإضافة تنفيذ أدوار محددة. للقيام بذلك ، سوف تحتاج إلى الذهاب إلى قسم الإدارة من خلال لوحة التحكم. يجب عليك تحديد وحدة تحكم المجال كدور الخادم.
لا غنى عن وحدة تحكم المجال اليوم للشبكات والمواقع التي تستخدمها مختلف المنظمات والمؤسسات والشركات في جميع مجالات النشاط البشري. بفضله ، يتم ضمان الأداء العالي في العمل والأمن ، وهو أمر ذو أهمية خاصة في شبكات الكمبيوتر. يعد دور وحدة تحكم المجال مهمًا جدًا ، لأنه يسمح لك بإدارة مناطق المجال المبنية على شبكات الكمبيوتر. يحتوي كل نظام تشغيل على بعض الفروق الدقيقة المرتبطة بتشغيل وحدات التحكم بالمجال ، لكن المبدأ والغرض منه متماثلان في كل مكان ، لذا فإن التعامل مع الإعدادات ليس بالصعوبة التي قد تبدو عليها في البداية. ومع ذلك ، من المهم جدًا أن يتم تكوين وحدات التحكم بالمجال بواسطة خبراء من أجل تحقيق أداء وأمان عاليين أثناء التشغيل في نهاية المطاف.
لقد جاء الربيع ، ومعه رغبة متزايدة في ولادة مادة أساسية تجيب على سؤال يبدو واضحًا ، ولكن في نفس الوقت أمر بالغ الأهمية في التصميم: ما الاسم الذي يجب أن نطلقه على مجال Active Directory حتى لا يكون أمرًا مؤلمًا مؤلم لاحقا؟
في هذه المقالة ، سأحاول نقلك من أسوأ الخيارات لاسم مجال Active Directory إلى ما أعتقد أنه الخيار الأفضل ، على طول الطريق مشيرا إلى أشعل النار للتغلب عليها.
لا يمكن استخدام المجال الذي يحمل اسمًا أحادي التسمية في بيئة الإنتاج ، والطريقة الصحيحة الوحيدة هي التخلص منه في أسرع وقت ممكن.
أحرف غير صالحة في اسم المجال
على سبيل المثال ، الشرطة السفلية. بينما كان هذا الحرف مسموحًا به في الإصدارات السابقة من Windows Server عند اختيار اسم مجال DNS ، فإنه لا يتوافق مع RFC 1123 لـ DNS. لم تعد الإصدارات الجديدة من Windows Server تسمح لك بتسمية المجالات المخالفة للمعيار. إذا تم توريث مجال يحمل اسمًا يحتوي على شرطة سفلية ، فمن المتوقع حدوث مشكلة كبيرة. على سبيل المثال ، لا يمكنك تثبيت Exchange 2007 والإصدارات الأحدث. لا يوجد سوى حل واحد - للتخلص من الأحرف غير الصالحة في اسم المجال عن طريق الترحيل إلى مجال آخر (مفضل) ، أو عن طريق إعادة تسمية المجال (غير آمن).
مساحة الاسم المنفصلة
إحدى الحالات الخاصة لمساحة الاسم المنفصلة هي عندما يختلف اسم Netbios للمجال عن الجزء الموجود في أقصى اليسار من اسم DNS للمجال.
اسم Netbios = اختبار
اسم DNS = lab.site
من حيث الوظيفة ، هذا التكوين مدعوم بالكامل. لكني ما زلت أوصي بتجنبه حتى لا يحدث لبس وغموض.
.local أو ICANN
في العديد من البرامج التعليمية ، سترى أسماء نطاقات مثل company.local. وبالفعل ، لا جريمة في استخدام مثل هذه الأسماء للأغراض التعليمية والاختبارية. إنه أسوأ عندما يتم استدعاء المجالات الحقيقية وفقًا لنفس المخطط:
- الاسم مخالف لأيديولوجية DNS العالمية: فهو لا يضمن عدم وجود تصادمات مع مجالات أخرى مماثلة (عندما يحين وقت إقامة علاقات ثقة)
- لا يمكن استخدام هذا الاسم للوصول من الشبكة العالمية (عندما يحين وقت النشر)
- لا يمكن الحصول على مجال لا يمكن التحقق من ملكيته بشهادة SSL عامة. هذا القيد وثيق الصلة بشكل خاص بتطوير الخدمات السحابية ، عندما تكون الحدود بين الخدمات في مكان العمل والخدمات السحابية غير واضحة. مجرد مثال: يتطلب تسجيل الدخول الأحادي مع خدمات Office 365 خدمات اتحاد AD بشهادة عامة
لذلك ، أوصي عند تسمية مجال ، باستخدام دائمًا اسمًا عالميًا مسجلًا رسميًا في التسلسل الهرمي لـ ICANN (شركة الإنترنت للأسماء والأرقام المخصصة) ، والذي يضمن القضاء على العيوب الموضحة أعلاه.
موقع الكتروني
أرجون.كوم
irom.info
حدد أو ادمج
دعنا نتخيل أننا نصمم بنية مجال لـ Argon ، التي لديها موقع ويب في الموقع ، وتستخدم أيضًا عناوين بريد إلكتروني في نفس المجال. لكن الأفضل عدم القيام بذلك للأسباب التالية:
- إذا أدخلنا العنوان http: // site / داخل شبكة مثل هذه المؤسسة في المتصفح ، فلن نصل إلى موقع الشركة على الويب ، ولكن إلى أول وحدة تحكم بالمجال تظهر.
- من الصعب إدارة سجلات DNS العامة والداخلية: يجب تكرار جميع سجلات DNS العامة في منطقة الموقع المستخدمة من الشبكة الداخلية في منطقة DNS الداخلية. من الضروري أيضًا التأكد بطريقة أو بأخرى من مزامنة هذه السجلات.
على سبيل المثال ، يوجد على الإنترنت موقع www.site. لكي يتمكن المستخدمون من الشبكة الداخلية من الوصول إليها ، تحتاج إلى إنشاء سجل مشابه في منطقة DNS الداخلية
- هناك احتمال حدوث تضارب بين أسماء الموارد الداخلية والخارجية.
على سبيل المثال ، يتم استخدام خادم ftp.site على نطاق واسع على الشبكة الداخلية. فجأة كانت هناك حاجة لتزويد مستخدمي الإنترنت بخدمة الملفات على نفس العنوان ftp.site. ماذا حدث؟ يتعذر على المستخدمين الداخليين الاتصال بالخدمة الخارجية بالاسم المحدد ...
وبالتالي ، من الأفضل أن يكون لمجال Active Directory مساحة اسم مخصصة (مساحة الاسم) تختلف عن مساحة الاسم على الإنترنت (موقع الشركة على الويب ، وما إلى ذلك). وهنا أيضًا ، هناك خيار:
- استخدم اسمًا مختلفًا تمامًا لـ AD (موقع للموقع ، argon.com.ru لـ AD)
- استخدم اسم الطفل لـ AD (موقع لموقع ، lab.site للإعلان)
يلبي كلا الخيارين أيديولوجية DNS وخالٍ من العيوب المذكورة أعلاه ، ولكن الخيار الثاني مع مجال تابع قد يكون أكثر ملاءمة من حيث:
- دعم أسماء النطاقات المسجلة (الدفع للتسجيل واستضافة DNS لمجال واحد فقط)
- توافر أسماء جميلة للتسجيل (لا حاجة للتسجيل)
- الحصول على شهادات SSL عامة (يمكن استخدام شهادة بدل واحدة فقط لكل من موقع الشركة وعند نشر موارد الشبكة الداخلية)
لذلك ، أقترح اختيار مجال مخصص لـ AD ، ولكنه تابع لموقع المنظمة على الويب.
lab.site
corp.microsoft.com
انقسام الدماغ
يعني نظام DNS المقسم باستخدام اسم مجال واحد لنشر الموارد على كل من الشبكة الداخلية وعلى الإنترنت. في الوقت نفسه ، تحل خوادم DNS للشبكة الداخلية عناوين مثل portal.lab.site إلى عناوين IP الداخلية ، وخوادم DNS العامة على الإنترنت ، على التوالي ، إلى عناوين IP الخارجية. مثال:
| اسم DNS | على الشبكة الداخلية | في الإنترنت |
|---|---|---|
| portal.lab.site | 10.18.0.20 | 77.37.182.47 |
| smtp.lab.site | 10.18.0.40 | 78.107.236.18 |
نظرًا لانقسام الدماغ ، يتم تحقيق هذه الأشياء المفيدة كعناوين موحدة للوصول إلى الموارد من الشبكة الداخلية ومن الإنترنت. ويكفي للمستخدم معرفة عنوان portal.lab.site واحد يمكنه من خلاله الوصول إلى مستنداته ، ولا يهم مكان وجوده: في مكتب الشركة أو في فندق.
من وجهة نظر البنية التحتية ، من الملائم أن يكون لديك نفس العنوان لـ CRL أو OCSP في شهادات SSL الصادرة عن المراجع المصدقة الداخلية.
في حالة عدم وجود تقسيم الدماغ ، قد يكون من الضروري إنشاء ما يسمى بمناطق التحديد على خوادم DNS الداخلية ، وستحتوي مناطق "النقاط" هذه فقط على تلك السجلات التي تحتاج إلى استبدال القيم "العامة" بـ "الخاص" تلك الخاصة بالشبكة الداخلية (وضع مشابه للوضع الموصوف تحت العنوان "اختر أو ادمج").
مثال على منطقة محددة:
| اسم DNS | على الشبكة الداخلية | في الإنترنت |
|---|---|---|
| _sipinternaltls._tcp.lab.site | sip.lab.site | lync.argon.com.ru |
توضيح أو تلخيص
في الأدبيات ، يمكنك العثور على نصيحة لتسمية المجالات (خاصةً الجذر) بكلمة عامة ، مثل Bank أو Company أو Corp. هناك أسباب لذلك ، حيث يمكن للشركات أن تختبر بانتظام عمليات الاندماج والاستحواذ وتغيير العلامة التجارية في عصرنا. واسم المجال ، كما تعلم ، من الصعب جدًا تغييره.
من ناحية أخرى ، مع نفس الدمج والاستحواذ على الشركات ، من المحتمل جدًا انتقال المستخدمين من مجال إلى آخر. من الناحية العملية ، صادفت موقفًا كان من الضروري فيه ترحيل المستخدمين من عشرات المجالات التي تحمل نفس الاسم Bank. كما تعلم ، لا يمكن إنشاء علاقات ثقة بين المجالات التي تحمل نفس الأسماء (سواء كانت DNS أو Netbios). سيكون عليك إما إعادة تسمية هذه المجالات ، أو ترحيل البيانات على مرحلتين ، من خلال مجال ثالث.
أميل إلى فكرة أنه من الأفضل تسمية مجال على وجه التحديد والتمسك بالاسم القديم بعد إعادة تسمية الشركة ، بدلاً من تسميته بشكل عام ولديك مشاكل فنية خطيرة إذا كنت بحاجة إلى الترحيل أو إنشاء علاقة ثقة.
اللمسات الأخيرة على طريق التميز
- مسجل عالميًا
- مخصص (تابع لمجال موقع الشركة)
- محدد
- استخدام تقسيم الدماغ
lab.site
corp.microsoft.com
ومع ذلك ، سيكون من الأفضل استخدام عناوين أقصر للبريد الإلكتروني وعناوين SIP في Lync [بريد إلكتروني محمي]موقع الكتروني . لا شيء يمنعنا من القيام بذلك ، ولكن سيكون هناك إزعاج.
عنوان البريد الإلكتروني للمستخدم = [بريد إلكتروني محمي]الموقع ، تسجيل الدخول = معمل / مستخدم ، اسم المستخدم الأساسي = [بريد إلكتروني محمي]موقع الكتروني . من السهل الخلط هنا ليس فقط من قبل المستخدم ، ولكن أيضًا من خلال برامج مثل Outlook و Lync.
بعد إجراء تعديلات طفيفة على الحساب ، سيكون لدى المستخدمين اسم مستخدم رئيسي يساوي عنوان بريدهم الإلكتروني. سيكون هناك ارتباك أقل ، وستتوقف برامج مثل Lync و Outlook عن طلب تسجيل دخول المستخدم ، وسيكون كافياً بالنسبة لهم معرفة البريد الإلكتروني أو عنوان SIP.
أعمالي الأساسية:
مقالات عن موارد أخرى:
- اعتبارات تسمية مجال Active Directory - وهنا يأتي دليل جاف من Microsoft
- اصطلاحات التسمية في Active Directory لأجهزة الكمبيوتر والمجالات والمواقع والوحدات التنظيمية - راجع القسم الفرعي الغابات المتصلة بالإنترنت
- لماذا لا يجب عليك استخدام .local في اسم مجال Active Directory الخاص بك - مقالة مماثلة من زميل أجنبي
| عنوان | |
|---|---|
| العلامات | |
| نشرت |