۱. مفاهیم پایه و دامین
این دوره، دروازه ورود به دنیای مدیریت شبکههای سازمانی است. ابتدا سیلابسها و نقشه راه (Roadmap) را بررسی میکنیم.
مسیرهای تخصصی مایکروسافت (Azure)
در این دوره جزئیات آزمونهای Microsoft Azure معرفی میشود. این آزمونها برای علاقهمندانی است که قصد دارند پس از اتمام دورههای «ویندوز سرور ۳» دانش خود را بهروز کرده و بدانند برای ورود به این حوزه کلاد چه آزمونهایی را باید پشت سر بگذارند.
دامین چیست و چه تفاوتی با ورکگروپ دارد؟
در شبکههای Workgroup (ورکگروپ) همه چیز غیرمتمرکز (لوکالی) است؛ یعنی برای کارهایی مثل افزودن کاربر و دسترسیها باید تکتک روی هر سیستم این کار را انجام دهیم.
اما دامین (Domain) یک مرز منطقی است که تمامی این عملیاتها را متمرکز میکند. مجموعهای از کامپیوترها که تحت مدیریت مرکزی یک سرور هستند و دایرکتوری مشترکی با آن سرور دارند. نماد دامین در نقشههای شبکه معمولاً یک مثلث است.
راهاندازی دامین، AD DS و دایرکتوری
ویندوز سرور شامل دو بخش Role (نقش) و Feature (ویژگی) است که در مجموع ۲۱ رول اصلی دارد. برای راهاندازی دامین، باید روی یک ویندوز سرور، رول AD DS (Active Directory Domain Services) را نصب کنیم.
- دایرکتوری: دقیقاً مثل یک دفترچه تلفن عمل میکند؛ اطلاعاتی را در آن میگذارید و در زمان نیاز برمیدارید.
- DC (Domain Controller): سروری که رول AD DS روی آن نصب شده و مدیر دامین است (که یک ساختار لاجیکال است).
- عضویت: در شبکه این کامپیوترها هستند که عضو دامین میشوند نه یوزرها. اما یک سیستم عضو میتواند از دامینهای دیگر هم در صورت وجود مجوز استفاده کند.
پایگاه داده SAM در برابر دامین
کاربران عادی و سیستمهای کلاینت دارای فایلی به نام SAM هستند که اطلاعات محلی در آن ذخیره میشود. اما سرور DC به هیچعنوان SAM ندارد و مدیریت در سطح دایرکتوری انجام میشود.
قابلیت جذاب SSO (Single Sign-On)
با استفاده از مکانیزم SSO میتوانیم بدون نیاز به وارد کردن مجدد یوزر و پسورد، در سرورهایی که داخل یک DC هستند کار کنیم. کاربری که در دامین ساخته میشود، هر جای شبکه که مجوز (Permission) داشته باشد میتواند بدون لاگین مجدد وارد شود.
وضعیتهای یک ویندوز سرور
یک ویندوز سرور همیشه در یکی از این سه حالت قرار دارد:
Domain Controller
مدیر اصلی شبکه (DC)
Member Server
عضو دامین تحت فرمان DC
Stand Alone
قرار گرفته در ساختار ورکگروپ
مفهوم FQDN و محدودیت کلاینتها
شبکه ورکگروپ اسمی فلت و تکقسمتی دارد، اما دامین حتماً باید حداقل دو قسمتی باشد (مثل Gam.local یا Network.ir). کامپیوترهای عضو دامین باید اسم یونیک (منحصربهفرد) داشته باشند. بعد از جوین شدن، ساختار نام آنها FQDN میشود (مانند ComputerName.Gam.Local).
در یک دامین میتوان کامپیوتر نامحدود اضافه کرد، اما توصیه مایکروسافت (Recommend) این است که با ساخت یک DC، حتماً یک کپی هم از آن (برای redundancy) بسازیم.
گروههای کاربری و پرمیشنها
- یوزرهایی که در DC ساخته میشوند اتوماتیک عضو Domain Users میشوند که هیچ ویژگی اضافهای نسبت به گروه Users ندارد و پرمیشنهایشان یکی است. این یوزرها اتوماتیک روی کلاینتها به عنوان User ست میشوند.
- Domain Admins: کاربرانی که روی تمامی سیستمهای DC و خود سرور ادمین هستند.
محدودیت لاگین و Cached Credentials
ما میتوانیم یوزر را محدود کنیم که فقط روی یک سیستم خاص بشیند، یا روی هر سیستمی که خواست بنشیند ولی همزمان فقط یک نفر بتواند لاگین کند.
مزیت SAM و Cached Credentials
مزیت فایل SAM روی سیستمهای عادی این است که اگر DC بترکد، میتوانیم لوکالی لاگین کنیم. وقتی کلاینت چندبار با DC ارتباط بگیرد، قابلیتی به نام Cash Credentials اطلاعات را آفلاین میکند تا اگر DC از مدار خارج شد، سیستم مختل نشود. این قابلیت قابل غیرفعالسازی است و تعداد محدودی (نامحدود نیست) پسورد را کش میکند.
لاگین لوکالی روی کلاینت عضو دامین
اگر کامپیوتری عضو دامین است بخواهد در یوزر لوکال خودش وارد شود، باید قبل از اسم از عبارت .\ استفاده کند. ادمین شبکه باید با ابزار مانیتورینگ چک کند که کاربری که عضو دامین است چرا باید نیاز به لاگین لوکالی پیدا کند؟ این موضوعات امنیتی باید بررسی شود.
ساختارهای ورود به سیستم
نامگذاری و ورود به سیستم در ساختارهای مختلف متفاوت است:
- UPN Suffix: با فرمت
UserName@DomainName (مثل Ali@Gam.Local). کاربردش برای سیستمهایی است که نمیفهمند قصد لاگین در دامین را داریم.
- Pre-Windows 2000: با فرمت
Domain\User (مثل Gam\Ali).
- Local Login: وقتی لوکالی بخواهیم لاگین کنیم با فرمت
PC1\Ali وارد میشویم.
ترفند استفاده از Help Desk
مزیت وجود دیتابیس SAM در کلاینتها این است که به جای اینکه بیاییم به هلپدسک بدبخت و بیچاره دسترسی خطرناک Domain Admin بدهیم، میتوانیم یوزر دامین او را فقط روی کلاینت مدنظر به صورت لوکالی ادمین کنیم تا اگر کار کانفیگی بود به راحتی انجام دهد.
Forest (جنگل) چیست؟
فارست به مجموعهای از یک یا چند دامین گفته میشود که دارای اسکیما (Schema) و GC مشترک باشند. به محض اینکه یک دامین درست میکنید، بلافاصله فارست نیز درست میشود. اولین دامینی که در یک فارست ساخته میشود Forest Root Domain نام دارد.
Trust و اشتراکگذاری منابع
شرکتهای مختلف دامینهای مختلفی دارند. وقتی دامینها در ساختار Child و Parent هستند، با دادن پرمیشن میتوان منابعشان را به اشتراک گذاشت. این قابلیت توسط مکانیزمی به نام Trust (اعتماد) رخ میدهد که در برخی جاها خودکار است و در برخی موارد باید تعریف شود.
مسیری که یک یوزر طی میکند تا به منبع در دامین دیگر برسد (بدون اینکه لازم باشد یوزر را مجدداً بسازیم)، اصطلاحاً Trust Path نامیده میشود.
گروه Enterprise Admin
این گروه قدرتمند فقط روی Forest Root Domain قرار دارد اما میتواند درون تمامی دامینها هر کاری انجام دهد.
گلوبال کاتالوگ (GC) چیست؟
سرور GC مخفف Global Catalog یک Domain Controller است که نسبت به دامین خودش اطلاعات کامل و دقیق دارد، اما نسبت به DCهای دامینهای دیگر فقط اطلاعاتی کلی در اختیار دارد. GC نمیداند که پرمیشن دسترسی وجود دارد یا نه، بلکه فقط راهنمایی میکند که "همچین چیزی هست، از این مسیر برو".
به صورت پیشفرض اولین DCای که نصب میکنید نقش GC را نیز دارد. باید دقت داشت که سرورهای GC خیلی از پهنای باند شبکه استفاده میکنند.
اسکیما (Schema) چیست؟
اسکیما شاسی اکتیودایرکتوری است. تمام تبهای Properties یک یوزر که در شبکه مشترک هستند، درون اسکیما تعریف شدهاند. نکته بهشدت مهم این است که اگر اسکیما را تغییر دهیم، این تغییر در کل دامینهای آن Forest اِعمال میشود.
- Principal Object: به هر یوزر، کامپیوتر یا گروهی که دارای SID (شناسه یکتا) باشند میگویند که منحصربهفرد هستند.
پاسخ به جستجو: Active Directory Site چیست؟
در حالی که دامین ساختار منطقی (Logical) شبکه را تعیین میکند، سایت (Site) ساختار فیزیکی (Physical) شبکه شما را نشان میدهد. سایت شامل یک یا چند سابنت (Subnet) است که ارتباط شبکهای سریع با هم دارند. ما از سایت استفاده میکنیم تا ترافیک لاگین و Replication دیتابیس را بین شعبات مختلف فیزیکی شرکت (که ممکن است پهنای باند ضعیفی داشته باشند) مدیریت کنیم تا کلاینتها همیشه به نزدیکترین سرور فیزیکی خود متصل شوند.
ارتباط حیاتی DNS و اکتیودایرکتوری
روی سروری که رول AD DS نصب میکنیم اگر DNS نباشد مطلقاً کار نمیکند، نصب آن حتماً نیاز است. سیستمی که میخواهد جوین دامین بشود اگر آدرس DNS نداشته باشد اصلاً نمیتواند دامین را پیدا کند.
این DNS است که میگوید کدام سیستم سرور DC یا GC است. چون معمولاً در کنار هم نصب میشوند، آیپی DNS کلاینتها دقیقاً همان آیپی خود سرور DC تنظیم میشود.
تفکر اشتباه در مورد انتخاب DC توسط کلاینت
بر فرض مثال اگر ۲ تا DC داشته باشیم و بخواهیم کلاینت سراغ DC دوم برود، همه میگویند اگر آیپی DNS 2 را در کارت شبکه بدهی حتماً سراغ همان میرود. ولی این تفکر اشتباه است. وقتی درخواست به سمت DNS میرود، DNS کاملاً رندوم یک DC را به کلاینت معرفی میکند. البته با تنظیماتی (مثل همان Sites) میتوان کاری کرد که خودکار نباشد و با خواست ما پیش برود.
دسترسی به اینترنت (Forwarder)
وقتی در کلاینت قصد استفاده از اینترنت را دارید، DNS دامین شما آدرس اینترنتی را نمیداند. هیچوقت نباید در DNS داخلی سازمان چیزی غیر از رکوردهای داخلی ثبت شود. برای حل این مشکل، بعداً سرویس Forwarder را اوکی میکنیم تا به سرور بگوییم: "اگر آدرس و آیپیای آمد که روی دیتابیس تو نبود، بفرستش یک سمت دیگه (سمت سرورهای اینترنت)".
نکته پایانی نصب: به ازای هر رول مهم، باید یک ویندوز سرور نصب بشود؛ نه اینکه ۱۰ تا رول را همزمان روی یک سرور بریزیم.
شرایط و قوانین Join شدن
جوین کردن یک سیستم از حالت ورکگروپ به دامین دارای شرایط زیر است:
- کاربر حتماً باید روی سیستمی که میخواهد جوین کند، لوکالی ادمین باشد. یوزر عادی نمیتواند این کار را بکند.
- یک یوزر عادی دامین میتواند تا حداکثر ۱۰ بار سیستم جوین کند (که با تریکهایی میشود بیشترش کرد).
- اما یوزری که Domain Admin باشد، میتواند سیستمها را به صورت نامحدود اضافه کند.
پروتکل کربروس (Kerberos): سگ سهسر
پروتکل احراز هویت در شبکههای دامین توسط کربروس ورژن ۵ اتفاق میافتد (کربروس نام سگ سهسر در اساطیر است). این پروتکل امنیتی فقط مخصوص محصولات مایکروسافت نیست و در سیستمعاملهای دیگر نیز استفاده میشود.
در زمانهای قدیم، به جای کربروس از پروتکل NTLM (NT Lan Management) استفاده میشد.
ارتباط دامین با سیستمهای ورکگروپ
ساختار دامین، مانع ارتباط یک سیستم ورکگروپ با دامین یا بالعکس نمیشود. تفاوت در این است که چون SSO ندارد، در این شرایط برای برقراری ارتباط صرفاً کادر درخواست یوزر و پسورد ظاهر میشود.
تفاوت مدلهای RW و RO در سرورها
در شبکههای اکتیودایرکتوری ما دو مدل Domain Controller داریم:
مدل RW (Read/Write)
در این سرور اصلی میتوانیم پرینسیپالها (یوزر، گروه) را بسازیم، ویرایش کنیم و در دیتابیس تغییرات بدهیم.
مدل RO (Read-Only)
سرور RODC فقط سرویس ارائه میدهد و هیچ تغییری در دیتابیس نمیتواند بدهد. برای امنیت بیشتر، در شبکهها و شعباتی که امنیتشان کمتر است و امکان نفوذ یا سرقت فیزیکی سرور وجود دارد، از این مدل استفاده میکنیم.
انتخاب نسخه سیستمعامل
برای راهاندازی دامین ترجیحاً استیبلترین ورژن و آپدیت را میریزیم. حداقل ۶ ماه از آخرین آپدیت گذشته باشد تا باگ خیلی زیادی نداشته باشد. البته برای محیط تست خیلی این چیزها را در نظر نمیگیریم.
بیس (Base) ویندوزهای سرور و کلاینت
Windows XP
Windows Server 2003
Windows 7
Windows Server 2008
Windows 10
Windows Server 2012 / 2016 / 2019
Windows 11
Windows Server 2022 / 2025
پیشنیازهای حیاتی نصب
قبل از راهاندازی باید تایم سیستم درست ست بشود و حتماً آیپی استاتیک به سرور اختصاص یابد.
مراحل کانفیگ Deployment
بعد از نصب AD DS، در محیط کانفیگ Deployment میتوانیم چند گزینه انتخاب کنیم:
- DC جدید به دامین موجود
- دامین جدید به فارست موجود
- و در نهایت ساخت فارست جدید
مفاهیم DFL و FFL
هر کدام از ورژنهای ویندوز سرور یکسری قابلیت جدید در DC اضافه کردند که به آن Domain Functional Level (DFL) میگویند. اگر DFL را بگذاریم روی ۲۰۱۶، دیگر هیچ سرور DC زیر ورژن ۲۰۱۶ را نمیشود به دامین اضافه کرد. این موضوع فقط برای DC است و هیچ ربطی به سرورهای Member ندارد.
همچنین Forest Functional Level برای کل دامینهای آن فارست است که باید از آن سطح به بالا باشند.
مفاهیم پایهای NetBios، دیتابیس و DSRM
- DSRM: اگر اکتیودایرکتوری به مشکل بخورد، چون SAM ندارد، میرویم در بخش Advanced Boot و پسورد DSRM را میزنیم تا سیستم برایمان بالا بیاید.
- NetBios: اسم کامپیوتر قبل از ویندوز ۲۰۰۰ است که تکقسمتی بوده و این هم نمیتواند تکراری باشد. موقع نصب DC باید اسم نتبایوس را برایش بگذاریم.
- NTDS: نام فایل دیتابیس اصلی اکتیودایرکتوری است.
پاسخ به جستجو: پوشه SYSVOL چیست؟
پوشه SYSVOL یک پوشه اشتراکی و بسیار حیاتی روی سرورهای DC است. زمانی که سروری به DC تبدیل میشود این پوشه ایجاد میگردد. وظیفه اصلی SYSVOL، نگهداری نسخهای از گروپ پالیسیها (GPO) و اسکریپتهای لاگین شبکه است. این پوشه بین تمام سرورهای DC همگامسازی (Replicate) میشود تا اگر کلاینتی از طریق هر سروری لاگین کرد، دقیقاً پالیسیهای یکسانی دریافت کند.