Active Directory คืออะไร และทำงานอย่างไร Active Directory คืออะไร การรับรองความถูกต้องจุดเดียว
ผู้ใช้มือใหม่คนไหนที่เจอตัวย่อ AD สงสัยว่า Active Directory คืออะไร? Active Directory เป็นบริการไดเรกทอรีที่พัฒนาโดย Microsoft สำหรับเครือข่ายโดเมน Windows รวมอยู่ในระบบปฏิบัติการ Windows Server ส่วนใหญ่เป็นชุดกระบวนการและบริการ ในตอนแรก บริการจะจัดการเฉพาะกับโดเมนเท่านั้น อย่างไรก็ตาม ตั้งแต่ Windows Server 2008 เป็นต้นมา AD ได้กลายเป็นชื่อของบริการระบุตัวตนตามไดเร็กทอรีที่หลากหลาย ทำให้ Active Directory สำหรับผู้เริ่มต้นได้รับประสบการณ์การเรียนรู้ที่ดียิ่งขึ้น
คำจำกัดความพื้นฐาน
เซิร์ฟเวอร์ที่เรียกใช้บริการไดเรกทอรีโดเมน Active Directory เรียกว่าตัวควบคุมโดเมน โดยจะตรวจสอบและอนุญาตผู้ใช้และคอมพิวเตอร์ทั้งหมดในโดเมนเครือข่าย Windows กำหนดและบังคับใช้นโยบายความปลอดภัยสำหรับพีซีทุกเครื่อง และการติดตั้งหรืออัปเดตซอฟต์แวร์ ตัวอย่างเช่น เมื่อผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ที่เป็นส่วนหนึ่งของโดเมน Windows Active Directory จะตรวจสอบรหัสผ่านที่ให้มาและพิจารณาว่าหัวข้อนั้นเป็นผู้ดูแลระบบหรือผู้ใช้มาตรฐาน นอกจากนี้ยังเปิดใช้งานการจัดการและการจัดเก็บข้อมูล จัดเตรียมกลไกการตรวจสอบสิทธิ์และการอนุญาต และสร้างกรอบการทำงานสำหรับการปรับใช้บริการอื่นๆ ที่เกี่ยวข้อง: บริการออกใบรับรอง บริการไดเรกทอรีแบบรวมศูนย์และแบบไลท์เวท และการจัดการสิทธิ์
Active Directory ใช้ LDAP เวอร์ชัน 2 และ 3, Kerberos เวอร์ชันของ Microsoft และ DNS
Active Directory - มันคืออะไร? พูดง่าย ๆ เกี่ยวกับความซับซ้อน
การตรวจสอบข้อมูลเครือข่ายเป็นงานที่ใช้เวลานาน แม้แต่บนเครือข่ายขนาดเล็ก ผู้ใช้มักประสบปัญหาในการค้นหาไฟล์เครือข่ายและเครื่องพิมพ์ หากไม่มีไดเร็กทอรีบางประเภท เครือข่ายขนาดกลางถึงขนาดใหญ่จะไม่สามารถจัดการได้ และมักจะประสบปัญหาในการค้นหาทรัพยากร
Microsoft Windows เวอร์ชันก่อนหน้ารวมบริการเพื่อช่วยให้ผู้ใช้และผู้ดูแลระบบค้นหาข้อมูล Network Neighborhood มีประโยชน์ในหลาย ๆ สภาพแวดล้อม แต่ข้อเสียที่ชัดเจนคืออินเทอร์เฟซที่ยุ่งยากและคาดเดาไม่ได้ สามารถใช้ WINS Manager และ Server Manager เพื่อดูรายการระบบได้ แต่ผู้ใช้ปลายทางไม่สามารถใช้งานได้ ผู้ดูแลระบบใช้ตัวจัดการผู้ใช้เพื่อเพิ่มและลบข้อมูลจากออบเจ็กต์เครือข่ายประเภทอื่นโดยสิ้นเชิง แอปพลิเคชันเหล่านี้พิสูจน์แล้วว่าไม่มีประสิทธิภาพในการทำงานบนเครือข่ายขนาดใหญ่ และเกิดคำถามว่าทำไมบริษัทถึงต้องการ Active Directory
โดยทั่วไปแล้ว ไดเร็กทอรีคือรายการออบเจ็กต์ที่สมบูรณ์ สมุดโทรศัพท์เป็นไดเร็กทอรีประเภทหนึ่งที่เก็บข้อมูลเกี่ยวกับบุคคล ธุรกิจ และหน่วยงานของรัฐ และโดยปกติแล้วจะบันทึกชื่อ ที่อยู่ และหมายเลขโทรศัพท์สงสัย Active Directory - คืออะไร พูดง่ายๆ ก็คือเทคโนโลยีนี้คล้ายกับไดเร็กทอรี แต่มีความยืดหยุ่นมากกว่ามาก AD จัดเก็บข้อมูลเกี่ยวกับองค์กร ไซต์ ระบบ ผู้ใช้ การแบ่งปัน และหน่วยงานเครือข่ายอื่น ๆ.
ความรู้เบื้องต้นเกี่ยวกับแนวคิด Active Directory
เหตุใดองค์กรจึงต้องการ Active Directory ตามที่กล่าวไว้ในบทนำของ Active Directory บริการจะจัดเก็บข้อมูลเกี่ยวกับส่วนประกอบของเครือข่ายคู่มือ Active Directory สำหรับผู้เริ่มต้นอธิบายว่าสิ่งนี้ อนุญาตให้ไคลเอ็นต์ค้นหาวัตถุในเนมสเปซของตนทีนี้ คำว่า (เรียกอีกอย่างว่าคอนโซลทรี) หมายถึงพื้นที่ที่สามารถวางส่วนประกอบเครือข่ายได้ ตัวอย่างเช่น สารบัญของหนังสือจะสร้างเนมสเปซซึ่งสามารถกำหนดบทให้กับหมายเลขหน้าได้
DNS เป็นแผนผังคอนโซลที่แก้ไขชื่อโฮสต์ให้เป็นที่อยู่ IP เช่นสมุดโทรศัพท์เป็นเนมสเปซสำหรับแก้ไขชื่อหมายเลขโทรศัพท์สิ่งนี้เกิดขึ้นใน Active Directory ได้อย่างไร AD จัดให้มีแผนผังคอนโซลสำหรับการแก้ไขชื่อวัตถุเครือข่ายให้กับวัตถุนั้นเองและสามารถแก้ไขเอนทิตีได้หลากหลาย รวมถึงผู้ใช้ ระบบ และบริการบนเครือข่าย
วัตถุและคุณลักษณะ
สิ่งใดก็ตามที่ติดตาม Active Directory จะถือเป็นออบเจ็กต์เราสามารถพูดง่ายๆ ว่าสิ่งนี้อยู่ใน Active Directory คือผู้ใช้ ระบบ ทรัพยากร หรือบริการใดๆ มีการใช้คำทั่วไปเนื่องจาก AD สามารถติดตามองค์ประกอบได้หลายอย่าง และวัตถุจำนวนมากสามารถใช้คุณลักษณะร่วมกันได้ มันหมายความว่าอะไร?
คุณลักษณะจะอธิบายออบเจ็กต์ใน Active Directory ตัวอย่างเช่น ออบเจ็กต์ผู้ใช้ทั้งหมดจะใช้คุณลักษณะร่วมกันเพื่อจัดเก็บชื่อผู้ใช้ สิ่งนี้ใช้กับคำอธิบายด้วย ระบบก็เป็นอ็อบเจ็กต์เช่นกัน แต่มีชุดคุณลักษณะแยกต่างหากซึ่งรวมถึงชื่อโฮสต์ ที่อยู่ IP และตำแหน่ง
ชุดคุณลักษณะที่มีสำหรับวัตถุประเภทใดประเภทหนึ่งเรียกว่าสคีมา มันทำให้คลาสอ็อบเจ็กต์แตกต่างจากกัน ข้อมูลสคีมาถูกจัดเก็บไว้ใน Active Directory จริงๆ ลักษณะการทำงานของโปรโตคอลความปลอดภัยนี้มีความสำคัญมาก ซึ่งแสดงให้เห็นได้จากข้อเท็จจริงที่ว่าการออกแบบช่วยให้ผู้ดูแลระบบสามารถเพิ่มคุณลักษณะให้กับคลาสอ็อบเจ็กต์ และกระจายคุณลักษณะเหล่านั้นผ่านเครือข่ายไปยังทุกมุมของโดเมนโดยไม่ต้องรีสตาร์ทตัวควบคุมโดเมนใดๆ
คอนเทนเนอร์ LDAP และชื่อ
คอนเทนเนอร์เป็นออบเจ็กต์ชนิดพิเศษที่ใช้ในการจัดระเบียบการทำงานของบริการ มันไม่ได้แสดงถึงเอนทิตีทางกายภาพเช่นผู้ใช้หรือระบบ แต่จะใช้เพื่อจัดกลุ่มองค์ประกอบอื่นๆ แทน ออบเจ็กต์คอนเทนเนอร์สามารถซ้อนกันภายในคอนเทนเนอร์อื่นได้
ทุกองค์ประกอบใน AD มีชื่อ สิ่งเหล่านี้ไม่ใช่สิ่งที่คุณคุ้นเคยเช่น Ivan หรือ Olga เหล่านี้เป็นชื่อเฉพาะของ LDAP ชื่อที่แตกต่างของ LDAP นั้นซับซ้อน แต่ทำให้คุณสามารถระบุอ็อบเจ็กต์ใดๆ ภายในไดเร็กทอรีได้โดยไม่ซ้ำกัน ไม่ว่าจะเป็นประเภทใดก็ตาม
แผนผังเงื่อนไขและเว็บไซต์
คำว่า tree ใช้เพื่ออธิบายชุดของวัตถุใน Active Directory นี่คืออะไร? พูดง่ายๆ ก็คือ สามารถอธิบายสิ่งนี้ได้โดยใช้การเชื่อมโยงแบบต้นไม้ เมื่อคอนเทนเนอร์และออบเจ็กต์ถูกรวมเข้าด้วยกันตามลำดับชั้น พวกมันมักจะก่อตัวเป็นสาขา - จึงเป็นที่มาของชื่อ คำที่เกี่ยวข้องกันคือแผนผังย่อยต่อเนื่อง ซึ่งหมายถึงลำต้นหลักของต้นไม้ที่ไม่ขาดตอน
คำว่า "ฟอเรสต์" ยังคงใช้คำอุปมาต่อไป โดยอธิบายถึงคอลเลกชันที่ไม่ได้เป็นส่วนหนึ่งของเนมสเปซเดียวกัน แต่ใช้สคีมา การกำหนดค่า และไดเร็กทอรีส่วนกลางร่วมกัน ออบเจ็กต์ในโครงสร้างเหล่านี้จะพร้อมใช้งานสำหรับผู้ใช้ทุกคน หากการรักษาความปลอดภัยอนุญาต องค์กรที่แบ่งออกเป็นหลายโดเมนควรจัดกลุ่มต้นไม้ให้เป็นฟอเรสต์เดียว
ไซต์คือที่ตั้งทางภูมิศาสตร์ที่กำหนดไว้ใน Active Directory ไซต์ต่างๆ สอดคล้องกับเครือข่ายย่อย IP แบบลอจิคัล และด้วยเหตุนี้ แอปพลิเคชันจึงสามารถใช้เพื่อค้นหาเซิร์ฟเวอร์ที่ใกล้ที่สุดบนเครือข่ายได้ การใช้ข้อมูลไซต์จาก Active Directory สามารถลดการรับส่งข้อมูลบน WAN ได้อย่างมาก
การจัดการไดเรกทอรีที่ใช้งานอยู่
คอมโพเนนต์สแน็ปอินผู้ใช้ Active Directory นี่เป็นเครื่องมือที่สะดวกที่สุดสำหรับการจัดการ Active Directory สามารถเข้าถึงได้โดยตรงจากกลุ่มโปรแกรมเครื่องมือการดูแลระบบในเมนูเริ่ม จะแทนที่และปรับปรุงตาม Server Manager และ User Manager จาก Windows NT 4.0
ความปลอดภัย
Active Directory มีบทบาทสำคัญในอนาคตของเครือข่าย Windows ผู้ดูแลระบบจะต้องสามารถปกป้องไดเร็กทอรีของตนจากผู้โจมตีและผู้ใช้ในขณะที่มอบหมายงานให้กับผู้ดูแลระบบรายอื่น ทั้งหมดนี้เป็นไปได้โดยใช้โมเดลการรักษาความปลอดภัยของ Active Directory ซึ่งเชื่อมโยงรายการควบคุมการเข้าถึง (ACL) กับทุกคุณลักษณะของคอนเทนเนอร์และอ็อบเจ็กต์ในไดเร็กทอรี
การควบคุมระดับสูงช่วยให้ผู้ดูแลระบบสามารถให้สิทธิ์แก่ผู้ใช้แต่ละรายและกลุ่มในระดับต่างๆ บนออบเจ็กต์และคุณสมบัติได้ พวกเขายังสามารถเพิ่มคุณลักษณะให้กับวัตถุและซ่อนคุณลักษณะเหล่านั้นจากกลุ่มผู้ใช้บางกลุ่มได้ ตัวอย่างเช่น คุณสามารถตั้งค่า ACL เพื่อให้ผู้จัดการเท่านั้นที่สามารถดูโทรศัพท์บ้านของผู้ใช้รายอื่นได้
การบริหารงานที่ได้รับมอบหมาย
แนวคิดใหม่สำหรับ Windows 2000 Server คือการดูแลระบบที่ได้รับมอบหมาย สิ่งนี้ทำให้คุณสามารถมอบหมายงานให้กับผู้ใช้รายอื่นโดยไม่ต้องให้สิทธิ์การเข้าถึงเพิ่มเติม การดูแลระบบที่ได้รับมอบหมายสามารถกำหนดผ่านออบเจ็กต์เฉพาะหรือแผนผังย่อยไดเร็กทอรีที่อยู่ติดกัน นี่เป็นวิธีการให้สิทธิ์ข้ามเครือข่ายที่มีประสิทธิภาพมากกว่ามาก
ใน เมื่อมีคนได้รับมอบหมายสิทธิ์ของผู้ดูแลระบบโดเมนส่วนกลางทั้งหมด ผู้ใช้สามารถได้รับสิทธิ์ภายในแผนผังย่อยที่ระบุเท่านั้น Active Directory รองรับการสืบทอด ดังนั้นออบเจ็กต์ใหม่จะสืบทอด ACL ของคอนเทนเนอร์ 
คำว่า "ความสัมพันธ์ที่ไว้วางใจ"
คำว่า "ความสัมพันธ์ที่ไว้วางใจ" ยังคงใช้อยู่ แต่มีฟังก์ชันการทำงานที่แตกต่างกัน ไม่มีความแตกต่างระหว่างความไว้วางใจแบบทางเดียวและแบบสองทาง ท้ายที่สุดแล้ว ความสัมพันธ์ที่เชื่อถือได้ของ Active Directory ทั้งหมดเป็นแบบสองทิศทาง ยิ่งกว่านั้นพวกมันทั้งหมดเป็นสกรรมกริยา ดังนั้น หากโดเมน A เชื่อถือโดเมน B และ B เชื่อถือ C ก็จะมีความสัมพันธ์การเชื่อถือโดยนัยโดยอัตโนมัติระหว่างโดเมน A และโดเมน C
การตรวจสอบใน Active Directory - คำง่ายๆคืออะไร? นี่คือคุณลักษณะด้านความปลอดภัยที่ช่วยให้คุณสามารถระบุได้ว่าใครกำลังพยายามเข้าถึงออบเจ็กต์และความพยายามนั้นประสบความสำเร็จเพียงใด
การใช้ DNS (ระบบชื่อโดเมน)
ระบบหรือที่เรียกว่า DNS เป็นสิ่งจำเป็นสำหรับองค์กรใดๆ ที่เชื่อมต่อกับอินเทอร์เน็ต DNS ให้การจำแนกชื่อระหว่างชื่อทั่วไป เช่น mspress.microsoft.com และที่อยู่ IP แบบดิบ ซึ่งคอมโพเนนต์เลเยอร์เครือข่ายใช้ในการสื่อสาร
Active Directory ใช้เทคโนโลยี DNS อย่างกว้างขวางเพื่อค้นหาวัตถุ นี่คือการเปลี่ยนแปลงที่สำคัญจากระบบปฏิบัติการ Windows รุ่นก่อน ซึ่งต้องการให้ชื่อ NetBIOS ได้รับการแก้ไขด้วยที่อยู่ IP และอาศัย WINS หรือเทคนิคการจำแนกชื่อ NetBIOS อื่นๆ
Active Directory ทำงานได้ดีที่สุดเมื่อใช้กับเซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 Microsoft ได้ทำให้ผู้ดูแลระบบสามารถโยกย้ายไปยังเซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 ได้ง่ายขึ้น โดยจัดให้มีตัวช่วยสร้างการโยกย้ายที่แนะนำผู้ดูแลระบบตลอดกระบวนการ
อาจใช้เซิร์ฟเวอร์ DNS อื่น ๆ อย่างไรก็ตาม ผู้ดูแลระบบต้องใช้เวลามากขึ้นในการจัดการฐานข้อมูล DNS ความแตกต่างคืออะไร? หากคุณเลือกที่จะไม่ใช้เซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 คุณต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DNS ของคุณสอดคล้องกับโปรโตคอลการปรับปรุงแบบไดนามิก DNS ใหม่ เซิร์ฟเวอร์อาศัยการอัปเดตบันทึกแบบไดนามิกเพื่อค้นหาตัวควบคุมโดเมน มันไม่สะดวก หลังจากนั้นอีหากไม่รองรับการอัพเดตแบบไดนามิก คุณต้องอัพเดตฐานข้อมูลด้วยตนเอง 
ขณะนี้โดเมน Windows และโดเมนอินเทอร์เน็ตเข้ากันได้อย่างสมบูรณ์แล้ว ตัวอย่างเช่น ชื่อเช่น mspress.microsoft.com จะระบุตัวควบคุมโดเมน Active Directory ที่รับผิดชอบโดเมน ดังนั้นไคลเอ็นต์ใดๆ ที่มีการเข้าถึง DNS จึงสามารถค้นหาตัวควบคุมโดเมนได้ลูกค้าสามารถใช้การแก้ไข DNS เพื่อค้นหาบริการจำนวนเท่าใดก็ได้ เนื่องจากเซิร์ฟเวอร์ Active Directory เผยแพร่รายการที่อยู่ไปยัง DNS โดยใช้คุณสมบัติการอัปเดตแบบไดนามิกใหม่ ข้อมูลนี้ถูกกำหนดให้เป็นโดเมนและเผยแพร่ผ่านบันทึกทรัพยากรบริการ SRV RR เป็นไปตามรูปแบบบริการ.โปรโตคอล.โดเมน.
เซิร์ฟเวอร์ Active Directory ให้บริการ LDAP สำหรับการโฮสต์ออบเจ็กต์ และ LDAP จะใช้ TCP เป็นโปรโตคอลการขนส่งเลเยอร์พื้นฐาน ดังนั้น ไคลเอนต์ที่กำลังมองหาเซิร์ฟเวอร์ Active Directory ในโดเมน mspress.microsoft.com จะค้นหารายการ DNS สำหรับ ldap.tcp.mspress.microsoft.com
แคตตาล็อกทั่วโลก
Active Directory มีแคตตาล็อกส่วนกลาง (GC) และเป็นแหล่งเดียวสำหรับการค้นหาวัตถุใดๆ บนเครือข่ายขององค์กร
Global Catalog เป็นบริการใน Windows 2000 Server ที่ช่วยให้ผู้ใช้สามารถค้นหาออบเจ็กต์ใด ๆ ที่มีการแชร์ได้ ฟังก์ชันการทำงานนี้เหนือกว่าแอปพลิเคชัน Find Computer ที่รวมอยู่ใน Windows รุ่นก่อนหน้ามาก ท้ายที่สุดแล้ว ผู้ใช้สามารถค้นหาออบเจ็กต์ใดๆ ใน Active Directory ได้ ไม่ว่าจะเป็นเซิร์ฟเวอร์ เครื่องพิมพ์ ผู้ใช้ และแอพพลิเคชั่น
ผู้ดูแลระบบเครือข่าย Windows ไม่สามารถหลีกเลี่ยงการทำความคุ้นเคยกับ. บทความทบทวนนี้จะเน้นว่า Active Directory คืออะไรและใช้กับอะไร
ดังนั้น Active Directory จึงเป็นการนำบริการไดเร็กทอรีจาก Microsoft ไปใช้ ในกรณีนี้ บริการไดเรกทอรีหมายถึงชุดซอฟต์แวร์ที่ช่วยให้ผู้ดูแลระบบทำงานกับทรัพยากรเครือข่าย เช่น โฟลเดอร์ที่ใช้ร่วมกัน เซิร์ฟเวอร์ เวิร์กสเตชัน เครื่องพิมพ์ ผู้ใช้ และกลุ่ม
Active Directory มีโครงสร้างแบบลำดับชั้นที่ประกอบด้วยวัตถุ วัตถุทั้งหมดแบ่งออกเป็นสามประเภทหลัก
- บัญชีผู้ใช้และคอมพิวเตอร์
- ทรัพยากร (เช่น เครื่องพิมพ์)
- บริการ (เช่น อีเมล)
แต่ละวัตถุมีชื่อเฉพาะและมีลักษณะเฉพาะหลายประการ สามารถจัดกลุ่มวัตถุได้
คุณสมบัติผู้ใช้ Active Directory มีโครงสร้างฟอเรสต์ ป่ามีต้นไม้หลายต้นที่มีโดเมน ในทางกลับกัน โดเมนจะมีออบเจ็กต์ที่กล่าวมาข้างต้น
โครงสร้าง Active Directory โดยทั่วไป ออบเจ็กต์ในโดเมนจะถูกจัดกลุ่มเป็นหน่วยขององค์กร แผนกต่างๆ ทำหน้าที่สร้างลำดับชั้นภายในโดเมน (องค์กร แผนกอาณาเขต แผนก ฯลฯ) นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับองค์กรที่กระจัดกระจายตามพื้นที่ทางภูมิศาสตร์ เมื่อสร้างโครงสร้าง แนะนำให้สร้างโดเมนให้น้อยที่สุดเท่าที่จะเป็นไปได้ โดยสร้างการแบ่งส่วนหากจำเป็น มันสมเหตุสมผลแล้วที่จะใช้นโยบายกลุ่ม
คุณสมบัติเวิร์กสเตชัน อีกวิธีหนึ่งในการจัดโครงสร้าง Active Directory คือ เว็บไซต์- ไซต์เป็นวิธีการจัดกลุ่มทางกายภาพแทนที่จะเป็นแบบลอจิคัลตามส่วนของเครือข่าย
ดังที่ได้กล่าวไปแล้ว แต่ละออบเจ็กต์ใน Active Directory มีชื่อไม่ซ้ำกัน ตัวอย่างเช่น เครื่องพิมพ์ HPLaserJet4350dtnซึ่งตั้งอยู่ในแผนก ทนายความและในโดเมน primer.ruจะมีชื่อ CN=HPLaserJet4350dtn,OU=ทนายความ,DC=ไพรเมอร์,DC=ru. ซีเอ็นเป็นชื่อสามัญ อู๋- แผนก, ดี.ซี— คลาสอ็อบเจ็กต์โดเมน ชื่อออบเจ็กต์สามารถมีส่วนต่างๆ ได้มากกว่าในตัวอย่างนี้
การเขียนชื่อวัตถุอีกรูปแบบหนึ่งมีลักษณะดังนี้: primer.ru/ทนายความ/HPLaserJet4350dtn- นอกจากนี้ แต่ละออบเจ็กต์ยังมีตัวระบุที่ไม่ซ้ำกันทั่วโลก ( แนวทาง) เป็นสตริง 128 บิตที่ไม่ซ้ำใครและไม่เปลี่ยนรูปซึ่งใช้ใน Active Directory สำหรับการค้นหาและการจำลอง วัตถุบางอย่างยังมี UPN ( ยูพีเอ็น) ในรูปแบบ วัตถุ@โดเมน.
ต่อไปนี้คือภาพรวมว่า Active Directory คืออะไร และเหตุใดจึงจำเป็นบนเครือข่ายท้องถิ่นที่ใช้ Windows ท้ายที่สุด มันสมเหตุสมผลที่จะบอกว่าผู้ดูแลระบบสามารถทำงานกับ Active Directory จากระยะไกลได้ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 7 (KB958830)(ดาวน์โหลด) และ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 8.1 (KB2693643) (ดาวน์โหลด).
โดเมนคือหน่วยการดูแลระบบขั้นพื้นฐานในโครงสร้างพื้นฐานเครือข่ายขององค์กร ซึ่งรวมถึงออบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ การแชร์ ฯลฯ คอลเลกชัน (ลำดับชั้น) ของโดเมนเรียกว่าฟอเรสต์ แต่ละบริษัทสามารถมีโดเมนภายนอกและภายในได้
ตัวอย่างเช่น เว็บไซต์คือโดเมนภายนอกบนอินเทอร์เน็ตที่ซื้อจากผู้รับจดทะเบียนชื่อ โดเมนนี้โฮสต์เว็บไซต์และเซิร์ฟเวอร์อีเมลของเรา lankey.local เป็นโดเมนภายในของบริการไดเรกทอรี Active Directory ที่โฮสต์บัญชีสำหรับผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ เซิร์ฟเวอร์ และแอปพลิเคชันขององค์กร บางครั้งชื่อโดเมนภายนอกและภายในอาจเหมือนกัน
Microsoft Active Directory ได้กลายเป็นมาตรฐานสำหรับระบบไดเรกทอรีรวมขององค์กร โดเมนที่ใช้ Active Directory ได้รับการปรับใช้ในเกือบทุกบริษัทในโลก และ Microsoft แทบไม่มีคู่แข่งเหลืออยู่ในตลาดนี้ ส่วนแบ่งของ Novell Directory Service (NDS) เดียวกันนั้นมีน้อยมาก และบริษัทที่เหลือก็ค่อยๆ ย้ายไปที่ ไดเรกทอรีที่ใช้งานอยู่
Active Directory (Directory Service) เป็นฐานข้อมูลแบบกระจายที่มีออบเจ็กต์ทั้งหมดในโดเมน สภาพแวดล้อมโดเมน Active Directory ให้การรับรองความถูกต้องและการอนุญาตจุดเดียวสำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร การสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้นด้วยการจัดโดเมนและการปรับใช้ Active Directory ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ – ตัวควบคุมโดเมน Active Directory มีบทบาทในระบบปฏิบัติการเซิร์ฟเวอร์ Microsoft Windows Server ปัจจุบัน LanKey กำลังใช้งานโดเมน Active Directory บนระบบปฏิบัติการ Windows Server 2008 R2
การปรับใช้ Active Directory บนเวิร์กกรุ๊ปให้ประโยชน์ดังต่อไปนี้:
- การรับรองความถูกต้องจุดเดียว เมื่อคอมพิวเตอร์ทำงานในเวิร์กกรุ๊ป คอมพิวเตอร์แต่ละเครื่องจะไม่มีฐานข้อมูลผู้ใช้ของตัวเอง ดังนั้น ตามค่าเริ่มต้น ไม่มีผู้ใช้รายใดที่มีการเข้าถึงเครือข่ายไปยังคอมพิวเตอร์หรือเซิร์ฟเวอร์ของผู้ใช้รายอื่น และอย่างที่คุณทราบ จุดประสงค์ของเครือข่ายคือเพื่อให้ผู้ใช้สามารถโต้ตอบได้อย่างแม่นยำ พนักงานจำเป็นต้องแชร์เอกสารหรือใบสมัคร ในเวิร์กกรุ๊ป บนคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง คุณจะต้องเพิ่มรายชื่อผู้ใช้ทั้งหมดที่ต้องการการเข้าถึงเครือข่ายด้วยตนเอง หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง เป็นการดีถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่หากมี 100 หรือ 1,000 เครื่องก็จะยอมรับการใช้เวิร์กกรุ๊ปไม่ได้ เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะมองหาการอนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น “การบัญชี” “ทรัพยากรบุคคล” “แผนกการเงิน” เป็นต้น การตั้งค่าการอนุญาตสำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะสามารถเข้าถึงเอกสารและแอปพลิเคชันได้อย่างเหมาะสม หากมีพนักงานใหม่เข้าร่วมบริษัท บัญชีจะถูกสร้างขึ้นสำหรับเขา ซึ่งจะรวมอยู่ในกลุ่มที่เหมาะสม เท่านี้ก็เรียบร้อย! หลังจากนั้นไม่กี่นาที พนักงานใหม่จะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึง บนเซิร์ฟเวอร์และคอมพิวเตอร์ทุกเครื่อง หากพนักงานลาออก การบล็อกหรือลบบัญชีของเขาก็เพียงพอแล้ว และเขาจะสูญเสียการเข้าถึงคอมพิวเตอร์ เอกสาร และแอปพลิเคชันทั้งหมดทันที
- การจัดการนโยบายจุดเดียว ในเครือข่ายเพียร์ทูเพียร์ (เวิร์กกรุ๊ป) คอมพิวเตอร์ทุกเครื่องมีสิทธิ์เท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมอีกเครื่องได้ คอมพิวเตอร์ทุกเครื่องได้รับการกำหนดค่าต่างกัน และเป็นไปไม่ได้ที่จะตรวจสอบการปฏิบัติตามนโยบายที่เหมือนกันหรือกฎความปลอดภัย เมื่อใช้ Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะมีการกระจายตามลำดับชั้นไปยังหน่วยขององค์กร ซึ่งแต่ละแห่งอยู่ภายใต้นโยบายกลุ่มเดียวกัน นโยบายอนุญาตให้คุณตั้งค่าการตั้งค่าแบบเดียวกันและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ นอกจากนี้ เมื่อใช้นโยบาย คุณสามารถกำหนดเครื่องพิมพ์เครือข่ายให้กับผู้ใช้จากส่วนกลาง ติดตั้งแอปพลิเคชันที่จำเป็น ตั้งค่าความปลอดภัยอินเทอร์เน็ตเบราว์เซอร์ กำหนดค่าแอปพลิเคชัน Microsoft Office ฯลฯ
- บูรณาการกับแอปพลิเคชันและอุปกรณ์ขององค์กร ข้อได้เปรียบที่สำคัญของ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งได้รับการสนับสนุนโดยแอปพลิเคชันหลายร้อยรายการ เช่น เมลเซิร์ฟเวอร์ (Exchange, Lotus, Mdaemon), ระบบ ERP (Dynamics, CRM), พร็อกซีเซิร์ฟเวอร์ (ISA Server, Squid) ฯลฯ นอกจากนี้ นี่ไม่ได้เป็นเพียงแอปพลิเคชันสำหรับ Microsoft Windows เท่านั้น แต่ยังรวมถึงเซิร์ฟเวอร์ที่ใช้ Linux อีกด้วย ข้อดีของการรวมระบบดังกล่าวคือผู้ใช้ไม่จำเป็นต้องจำข้อมูลเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลประจำตัวเดียวกัน เนื่องจาก การรับรองความถูกต้องเกิดขึ้นใน Active Directory เดียว นอกจากนี้พนักงานไม่จำเป็นต้องป้อนชื่อผู้ใช้และรหัสผ่านหลายครั้งเมื่อสตาร์ทคอมพิวเตอร์ก็เพียงพอแล้วและในอนาคตผู้ใช้จะได้รับการรับรองความถูกต้องโดยอัตโนมัติในแอปพลิเคชันทั้งหมด Windows Server จัดเตรียมโปรโตคอล RADIUS สำหรับการทำงานร่วมกับ Active Directory ซึ่งได้รับการสนับสนุนโดยอุปกรณ์เครือข่ายจำนวนมาก ดังนั้นจึงเป็นไปได้ที่จะรับรองความถูกต้องของผู้ใช้โดเมนเมื่อเชื่อมต่อกับเราเตอร์ CISCO ผ่าน VPN
- พื้นที่เก็บข้อมูลการกำหนดค่าแอปพลิเคชันแบบรวม แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server หรือ Office Communications Server การปรับใช้บริการไดเรกทอรี Active Directory ถือเป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน คุณยังสามารถจัดเก็บการกำหนดค่าเซิร์ฟเวอร์ชื่อโดเมน DNS ไว้ในบริการไดเร็กทอรีได้ การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีให้ประโยชน์ด้านความยืดหยุ่นและความน่าเชื่อถือ ตัวอย่างเช่น ในกรณีที่เซิร์ฟเวอร์ Exchange ล้มเหลวโดยสมบูรณ์ การกำหนดค่าทั้งหมดจะยังคงอยู่เหมือนเดิม เนื่องจาก เก็บไว้ใน Active Directory และหากต้องการคืนค่าฟังก์ชันการทำงานของเมลองค์กร การติดตั้งเซิร์ฟเวอร์ Exchange ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว
- เพิ่มระดับความปลอดภัยของข้อมูล การใช้ Active Directory จะเพิ่มระดับความปลอดภัยของเครือข่ายอย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในเครือข่ายแบบเพียร์ทูเพียร์ ข้อมูลรับรองผู้ใช้จะถูกจัดเก็บไว้ในฐานข้อมูลบัญชีท้องถิ่น (SAM) ซึ่งสามารถถูกแฮ็กในทางทฤษฎีได้โดยการครอบครองคอมพิวเตอร์ ในสภาพแวดล้อมของโดเมน รหัสผ่านผู้ใช้โดเมนทั้งหมดจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ตัวควบคุมโดเมนเฉพาะ ซึ่งโดยปกติจะได้รับการปกป้องจากการเข้าถึงจากภายนอก ประการที่สอง เมื่อใช้สภาพแวดล้อมโดเมน โปรโตคอล Kerberos จะใช้สำหรับการตรวจสอบสิทธิ์ซึ่งมีความปลอดภัยมากกว่า NTLM ซึ่งใช้ในกลุ่มงานมาก คุณยังสามารถใช้การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้สมาร์ทการ์ดเพื่อบันทึกผู้ใช้เข้าสู่ระบบ เหล่านั้น. เพื่อให้พนักงานสามารถเข้าถึงคอมพิวเตอร์ได้ เขาจะต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่าน รวมทั้งใส่สมาร์ทการ์ดด้วย
ความสามารถในการปรับขนาดและความยืดหยุ่นของ Active Directory
บริการไดเรกทอรี Microsoft Active Directory สามารถปรับขนาดได้สูง สามารถสร้างอ็อบเจ็กต์ได้มากกว่า 2 พันล้านอ็อบเจ็กต์ในฟอเรสต์ Active Directory ซึ่งช่วยให้สามารถใช้งานบริการไดเร็กทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างลำดับชั้นของโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีได้อย่างยืดหยุ่นไปยังทุกสาขาและแผนกระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท คุณสามารถสร้างโดเมนแยกต่างหากพร้อมนโยบายของตนเอง ผู้ใช้และกลุ่มของตนเองได้ สำหรับแต่ละโดเมนลูก อำนาจการบริหารสามารถมอบหมายให้กับผู้ดูแลระบบภายในเครื่องได้ ในขณะเดียวกัน โดเมนย่อยยังคงอยู่ภายใต้การปกครองของผู้ปกครอง
นอกจากนี้ Active Directory ยังช่วยให้คุณกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์โดเมนได้ แต่ละบริษัทมีฟอเรสต์โดเมนของตัวเอง โดยแต่ละบริษัทมีทรัพยากรของตัวเอง แต่บางครั้งคุณจำเป็นต้องให้สิทธิ์ในการเข้าถึงทรัพยากรขององค์กรแก่พนักงานจากบริษัทคู่ค้า ตัวอย่างเช่น เมื่อเข้าร่วมโครงการร่วมกัน พนักงานจากบริษัทคู่ค้าอาจต้องทำงานร่วมกันในเอกสารหรือแอปพลิเคชันทั่วไป ในการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะช่วยให้พนักงานจากองค์กรหนึ่งสามารถเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้
รับประกันความผิดพลาดของบริการไดเร็กทอรีโดยการปรับใช้เซิร์ฟเวอร์ 2 ตัวขึ้นไป - ตัวควบคุมโดเมนในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองแบบโดยอัตโนมัติระหว่างตัวควบคุมโดเมน หากตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว การทำงานของเครือข่ายจะไม่ได้รับผลกระทบ เนื่องจาก ส่วนที่เหลือยังคงทำงานต่อไป ระดับการยอมรับข้อผิดพลาดเพิ่มเติมมีให้โดยการวางเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งอนุญาตให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายเซิร์ฟเวอร์ที่ให้บริการโซนโดเมนหลัก และหากเซิร์ฟเวอร์ DNS ตัวใดตัวหนึ่งล้มเหลว เซิร์ฟเวอร์ที่เหลือจะยังคงทำงานต่อไป และจะสามารถเข้าถึงได้ทั้งสำหรับการอ่านและการเขียน ซึ่งไม่สามารถรับประกันได้โดยใช้ ตัวอย่างเช่น เซิร์ฟเวอร์ BIND DNS ที่ใช้ Linux
ประโยชน์ของการอัพเกรดเป็น Windows Server 2008 R2
แม้ว่าบริษัทของคุณมีบริการไดเร็กทอรี Active Directory ที่ทำงานบน Windows Server 2003 อยู่แล้ว แต่คุณก็สามารถเก็บเกี่ยวผลประโยชน์หลายประการได้โดยการอัพเกรดเป็น Windows Server 2008 R2 Windows Server 2008 R2 มีคุณสมบัติเพิ่มเติมดังต่อไปนี้:
ตัวควบคุมโดเมนแบบอ่านอย่างเดียว RODC (ตัวควบคุมโดเมนแบบอ่านอย่างเดียว) ตัวควบคุมโดเมนจัดเก็บบัญชีผู้ใช้ ใบรับรอง และข้อมูลที่ละเอียดอ่อนอื่นๆ อีกมากมาย หากเซิร์ฟเวอร์ตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัย คุณก็สามารถสบายใจเกี่ยวกับความปลอดภัยของข้อมูลนี้ได้ แต่จะทำอย่างไรถ้าตัวควบคุมโดเมนตั้งอยู่ในสำนักงานสาขาในสถานที่ที่สาธารณะเข้าถึงได้ ในกรณีนี้ มีความเป็นไปได้ที่เซิร์ฟเวอร์จะถูกขโมยโดยผู้โจมตีและถูกแฮ็ก จากนั้นพวกเขาก็ใช้ข้อมูลนี้เพื่อจัดระเบียบการโจมตีเครือข่ายองค์กรของคุณเพื่อขโมยหรือทำลายข้อมูล เป็นการป้องกันกรณีดังกล่าวที่สำนักงานสาขาติดตั้งตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC) ประการแรก ตัวควบคุม RODC จะไม่จัดเก็บรหัสผ่านของผู้ใช้ แต่เพียงแคชรหัสผ่านเพื่อเพิ่มความเร็วในการเข้าถึง และประการที่สอง ตัวควบคุมใช้การจำลองแบบทางเดียว จากเซิร์ฟเวอร์กลางไปยังสาขาเท่านั้น แต่จะไม่สำรองข้อมูลกลับ และแม้ว่าผู้โจมตีจะเข้ายึดตัวควบคุมโดเมน RODC พวกเขาจะไม่ได้รับรหัสผ่านผู้ใช้และจะไม่สามารถสร้างความเสียหายให้กับเครือข่ายหลักได้
การกู้คืนวัตถุ Active Directory ที่ถูกลบ ผู้ดูแลระบบเกือบทุกคนต้องเผชิญกับความจำเป็นในการกู้คืนบัญชีผู้ใช้ที่ถูกลบโดยไม่ตั้งใจหรือกลุ่มผู้ใช้ทั้งหมด ใน Windows 2003 จำเป็นต้องกู้คืนบริการไดเร็กทอรีจากข้อมูลสำรองซึ่งมักไม่มีอยู่จริง แต่แม้ว่าจะมีอยู่ก็ตาม การคืนค่าก็ใช้เวลานานพอสมควร Windows Server 2008 R2 เปิดตัว Active Directory Recycle Bin ตอนนี้ เมื่อคุณลบผู้ใช้หรือคอมพิวเตอร์ มันจะไปที่ถังรีไซเคิล ซึ่งสามารถกู้คืนได้ภายในไม่กี่นาทีภายใน 180 วัน โดยคงคุณลักษณะดั้งเดิมทั้งหมดไว้
การจัดการที่ง่ายขึ้น Windows Server 2008 R2 มีการเปลี่ยนแปลงหลายอย่างซึ่งจะช่วยลดภาระของผู้ดูแลระบบลงอย่างมาก และทำให้โครงสร้างพื้นฐานด้านไอทีจัดการได้ง่ายขึ้น ตัวอย่างเช่น เครื่องมือดังกล่าวปรากฏเป็น: การตรวจสอบการเปลี่ยนแปลง Active Directory แสดงว่าใครเปลี่ยนแปลงอะไรและเมื่อใด นโยบายความซับซ้อนของรหัสผ่านสามารถกำหนดค่าได้ในระดับกลุ่มผู้ใช้ ก่อนหน้านี้สามารถทำได้ในระดับโดเมนเท่านั้น เครื่องมือการจัดการผู้ใช้และคอมพิวเตอร์ใหม่ แม่แบบนโยบาย การจัดการโดยใช้บรรทัดคำสั่ง PowerShell ฯลฯ
การใช้ Active Directory
บริการไดเรกทอรี Active Directory เป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กร หากล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด และงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์หรือเข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้นบริการไดเรกทอรีจะต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวังโดยคำนึงถึงความแตกต่างที่เป็นไปได้ทั้งหมด ตัวอย่างเช่น โครงสร้างของไซต์ควรสร้างขึ้นบนพื้นฐานของโทโพโลยีทางกายภาพของเครือข่ายและความจุของช่องทางระหว่างสาขาหรือสำนักงานของบริษัท เนื่องจาก สิ่งนี้ส่งผลโดยตรงต่อความเร็วของการเข้าสู่ระบบของผู้ใช้ รวมถึงการจำลองแบบระหว่างตัวควบคุมโดเมน นอกจากนี้ ขึ้นอยู่กับโทโพโลยีของไซต์ Exchange Server 2007/2010 ดำเนินการกำหนดเส้นทางเมล คุณยังจำเป็นต้องคำนวณจำนวนและตำแหน่งของเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่เก็บรายการกลุ่มสากลและแอตทริบิวต์ที่ใช้กันทั่วไปอื่น ๆ ทั่วทั้งโดเมนทั้งหมดในฟอเรสต์อย่างถูกต้อง นี่คือสาเหตุที่บริษัทต่างๆ มอบหมายงานในการนำไปใช้ จัดระเบียบใหม่ หรือย้ายบริการไดเร็กทอรี Active Directory ให้กับผู้วางระบบ อย่างไรก็ตาม คุณไม่ควรทำผิดพลาดเมื่อเลือกผู้วางระบบ คุณควรตรวจสอบให้แน่ใจว่าเขาได้รับการรับรองให้ทำงานประเภทนี้และมีความสามารถที่เหมาะสม
LanKey เป็นผู้รวมระบบที่ได้รับการรับรองและมีสถานะ Microsoft Gold Certified Partner LanKey มีความสามารถด้านแพลตฟอร์ม Datacenter (โซลูชันโครงสร้างพื้นฐานขั้นสูง) ซึ่งยืนยันประสบการณ์และคุณสมบัติของเราในเรื่องที่เกี่ยวข้องกับการปรับใช้ Active Directory และการใช้งานโซลูชันเซิร์ฟเวอร์จาก Microsoft
งานทั้งหมดในโครงการนี้ดำเนินการโดยวิศวกรที่ผ่านการรับรองจาก Microsoft MCSE, MCITP ซึ่งมีประสบการณ์กว้างขวางในโครงการขนาดใหญ่และซับซ้อนเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีและใช้โดเมน Active Directory
LanKey จะพัฒนาโครงสร้างพื้นฐานด้านไอที ปรับใช้บริการไดเร็กทอรี Active Directory และรับรองการรวมทรัพยากรขององค์กรที่มีอยู่ทั้งหมดไว้ในพื้นที่ข้อมูลเดียว การใช้งาน Active Directory จะช่วยลดต้นทุนรวมในการเป็นเจ้าของระบบข้อมูล รวมทั้งเพิ่มประสิทธิภาพในการแบ่งปันทรัพยากรที่ใช้ร่วมกัน LanKey ยังให้บริการสำหรับการโยกย้ายโดเมน การรวมและการแยกโครงสร้างพื้นฐานด้านไอทีในระหว่างการควบรวมกิจการ การบำรุงรักษาและการสนับสนุนระบบข้อมูล
ตัวอย่างของโครงการใช้งาน Active Directory บางโครงการที่ LanKey นำมาใช้:
| ลูกค้า | คำอธิบายของโซลูชัน |
|
ในส่วนที่เกี่ยวข้องกับการทำธุรกรรมการซื้อหุ้น 100% ของบริษัท OJSC SIBUR-Minudobreniya (ต่อมาเปลี่ยนชื่อเป็น OJSC SDS-Azot) Holding Company Siberian Business Union ในเดือนธันวาคม 2554 ความจำเป็นเกิดขึ้นเพื่อแยกโครงสร้างพื้นฐานด้านไอทีของ OJSC SDS - Azot" จากเครือข่าย SIBUR Holding บริษัท LanKey ย้ายบริการไดเรกทอรี Active Directory ของแผนก SIBUR-Minudobreniya จากเครือข่ายการถือครอง SIBUR ไปยังโครงสร้างพื้นฐานใหม่ บัญชีผู้ใช้ คอมพิวเตอร์ และแอปพลิเคชันก็ถูกย้ายเช่นกัน จากผลของโครงการได้รับจดหมายแสดงความขอบคุณจากลูกค้า |
|
| ในส่วนที่เกี่ยวข้องกับการปรับโครงสร้างธุรกิจ มีการใช้บริการไดเรกทอรี Active Directory สำหรับสำนักงานกลางและร้านค้า 50 แห่งในมอสโกและภูมิภาค บริการไดเร็กทอรีให้การจัดการทรัพยากรขององค์กรทั้งหมดแบบรวมศูนย์ ตลอดจนการรับรองความถูกต้องและการอนุญาตของผู้ใช้ทั้งหมด | |
| ในฐานะส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีระดับองค์กร LanKey ได้ปรับใช้โดเมน Active Directory สำหรับบริษัทจัดการและแผนกระดับภูมิภาค 3 แห่ง มีการสร้างไซต์แยกต่างหากสำหรับแต่ละสาขา โดยมีการใช้ตัวควบคุมโดเมน 2 ตัวในแต่ละไซต์ มีบริการออกใบรับรองด้วย บริการทั้งหมดถูกปรับใช้บนเครื่องเสมือนที่ใช้ Microsoft Hyper-V การตรวจสอบคุณภาพของงานของ บริษัท LanKey ได้รับการสังเกต | |
| บริการไดเร็กทอรี Active Directory ได้รับการปรับใช้โดยใช้ Windows Server 2008 R2 ซึ่งเป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างระบบข้อมูลองค์กร ระบบถูกปรับใช้โดยใช้เทคโนโลยีเซิร์ฟเวอร์เสมือนจริงที่ใช้ Microsoft Hyper-V บริการไดเร็กทอรีให้การรับรองความถูกต้องและการอนุญาตแบบรวมศูนย์สำหรับพนักงานโรงพยาบาลทุกคน และยังรับประกันการทำงานของแอปพลิเคชัน เช่น Exchange, TMG, SQL เป็นต้น | |
|
|
บริการไดเรกทอรี Active Directory ถูกปรับใช้บน Windows Server 2008 R2 เพื่อลดต้นทุน การติดตั้งได้ดำเนินการในระบบเซิร์ฟเวอร์เสมือนจริงที่ใช้ Microsoft Hyper-V |
| ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีระดับองค์กร มีการปรับใช้บริการไดเร็กทอรีที่ใช้ Windows Server 2008 R2 ตัวควบคุมโดเมนทั้งหมดถูกปรับใช้โดยใช้ระบบการจำลองเสมือนของเซิร์ฟเวอร์ Microsoft Hyper-V คุณภาพของงานได้รับการยืนยันจากการตอบรับที่ได้รับจากลูกค้า | |
|
|
ฟังก์ชันการทำงานของบริการไดเรกทอรี Active Directory ได้รับการกู้คืนในเวลาที่สั้นที่สุดที่เป็นไปได้ในสถานการณ์ทางธุรกิจที่สำคัญ ผู้เชี่ยวชาญของ LanKey กู้คืนฟังก์ชันการทำงานของโดเมนรูทอย่างแท้จริงภายในเวลาเพียงไม่กี่ชั่วโมง และเขียนคำแนะนำสำหรับการกู้คืนการจำลองแบบของสำนักงานสาขา 80 แห่ง เราได้รับผลตอบรับจากลูกค้าถึงประสิทธิภาพและคุณภาพของงาน |
| ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที โดเมน Active Directory จึงถูกปรับใช้โดยใช้ Windows Server 2008 R2 มั่นใจได้ถึงการทำงานของบริการไดเร็กทอรีโดยใช้ตัวควบคุมโดเมน 5 ตัวที่ติดตั้งบนคลัสเตอร์ของเครื่องเสมือน บริการไดเร็กทอรีได้รับการสำรองข้อมูลโดยใช้ Microsoft Data Protection Manager 2010 และได้รับการตรวจสอบคุณภาพแล้ว | |
|
ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างระบบข้อมูลองค์กร บริการไดเรกทอรีแบบรวม Active Directory ได้รับการปรับใช้โดยใช้ Windows Server 2008 โครงสร้างพื้นฐานด้านไอทีถูกสร้างขึ้นโดยใช้การจำลองเสมือน Hyper-V หลังจากเสร็จสิ้นโครงการได้มีการสรุปข้อตกลงในการบำรุงรักษาระบบสารสนเทศต่อไป คุณภาพของงานได้รับการยืนยันจากการทบทวน |
|
| เทคโนโลยีน้ำมันและก๊าซ | ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที ไดเร็กทอรี Active Directory เดียวจึงถูกปรับใช้บน Windows Server 2008 R2 โครงการแล้วเสร็จภายใน 1 เดือน หลังจากเสร็จสิ้นโครงการ ได้มีการสรุปข้อตกลงในการบำรุงรักษาระบบต่อไป คุณภาพของงานได้รับการยืนยันจากการทบทวน |
| Active Directory ถูกปรับใช้บน Windows Server 2008 โดยเป็นส่วนหนึ่งของโครงการการใช้งาน Exchange Server 2007 | |
| จัดระเบียบบริการไดเรกทอรี Active Directory ใหม่โดยใช้ Windows Server 2003 ก่อนที่จะใช้ Exchange Server 2007 คุณภาพของงานได้รับการยืนยันจากผลตอบรับ | |
| บริการไดเรกทอรี Active Directory ถูกปรับใช้บน Windows Server 2003 R2 หลังจากเสร็จสิ้นโครงการ ได้มีการลงนามในสัญญาการบำรุงรักษาระบบเพิ่มเติม คุณภาพของงานได้รับการยืนยันจากการทบทวน | |
|
|
Active Directory ถูกปรับใช้บน Windows Server 2003 หลังจากเสร็จสิ้นโครงการ มีการลงนามข้อตกลงเพื่อสนับสนุนระบบเพิ่มเติม |
ข้อมูลพื้นฐานเกี่ยวกับ Active Directory
บริการ ไดเรกทอรีที่ใช้งานอยู่
บริการไดเร็กทอรีที่ขยายและปรับขนาดได้ คล่องแคล่ว ไดเรกทอรีช่วยให้คุณจัดการทรัพยากรเครือข่ายได้อย่างมีประสิทธิภาพ
คล่องแคล่ว ไดเร็กทอรีเป็นที่เก็บข้อมูลที่จัดระเบียบตามลำดับชั้นเกี่ยวกับออบเจ็กต์เครือข่าย ซึ่งให้วิธีที่สะดวกในการค้นหาและใช้ข้อมูลนี้- คอมพิวเตอร์กำลังทำงานอยู่ไดเร็กทอรีที่เรียกว่า ตัวควบคุมโดเมน . กับ ไดเรกทอรีที่ใช้งานอยู่งานธุรการเกือบทั้งหมดเกี่ยวข้องกัน
เทคโนโลยี Active Directory เป็นไปตามมาตรฐาน โปรโตคอลอินเทอร์เน็ตและช่วยกำหนดโครงสร้างเครือข่ายให้ชัดเจน
ไดเรกทอรีที่ใช้งานอยู่และ DNS
ใน คล่องแคล่ว ผู้อำนวยการยมีการใช้ระบบชื่อโดเมน
โดเมนชื่อ System (DNS) เป็นบริการอินเทอร์เน็ตมาตรฐานที่จัดกลุ่มคอมพิวเตอร์ออกเป็นโดเมนโดเมน DNS มีโครงสร้างแบบลำดับชั้นที่เป็นพื้นฐานของอินเทอร์เน็ต ระดับต่างๆ ของลำดับชั้นนี้จะระบุคอมพิวเตอร์ โดเมนองค์กร และโดเมนระดับบนสุด DNS ยังทำหน้าที่แก้ไขชื่อโฮสต์ เช่น z eta.webatwork.com ไปยังที่อยู่ IP ที่เป็นตัวเลข เช่น 192.168.19.2 เมื่อใช้ DNS ลำดับชั้นโดเมน Active Directory สามารถรวมเข้ากับพื้นที่อินเทอร์เน็ต หรือปล่อยให้เป็นอิสระและแยกจากการเข้าถึงภายนอก
เพื่อเข้าถึงทรัพยากรต่างๆ ใน โดเมนใช้ชื่อโฮสต์แบบเต็ม เช่น zeta.webatwork.com ที่นี่zกทพ- ชื่อของคอมพิวเตอร์แต่ละเครื่อง webatwork - โดเมนขององค์กร และ com - โดเมนระดับบนสุด โดเมนระดับบนสุดเป็นรากฐานของลำดับชั้น DNS และถูกเรียกว่า โดเมนราก (โดเมนราก) มีการจัดระเบียบทางภูมิศาสตร์ โดยมีชื่อตามรหัสประเทศที่มีตัวอักษรสองตัว (รุสำหรับรัสเซีย) ตามประเภทองค์กร (ร้อยสำหรับองค์กรการค้า) และเพื่อวัตถุประสงค์ที่ตั้งใจไว้ (ล้าน สำหรับองค์กรทางทหาร)
โดเมนปกติ เช่น microsoft.com ถูกเรียกว่า ผู้ปกครอง (โดเมนหลัก) เนื่องจากเป็นพื้นฐานของโครงสร้างองค์กร โดเมนหลักสามารถแบ่งออกเป็นโดเมนย่อยของสาขาต่างๆ หรือสาขาระยะไกลได้ ตัวอย่างเช่น ชื่อเต็มของคอมพิวเตอร์ที่สำนักงานในซีแอตเทิลของ Microsoft อาจเป็น jacob.seattle.microsoft.com , ที่ไหน เจเอคอบ- ชื่อคอมพิวเตอร์ สจทั้งหมด - โดเมนย่อย และ microsoft.com เป็นโดเมนหลัก อีกชื่อหนึ่งสำหรับโดเมนย่อยคือ โดเมนย่อย (โดเมนย่อย)
ส่วนประกอบ คล่องแคล่ว ไดเรกทอรี
Active Directory ผสมผสานโครงสร้างทางกายภาพและตรรกะสำหรับส่วนประกอบเครือข่าย โครงสร้างเชิงตรรกะของ Active Directory ช่วยจัดระเบียบวัตถุไดเรกทอรีและจัดการบัญชีเครือข่ายและการแชร์ โครงสร้างเชิงตรรกะประกอบด้วยองค์ประกอบต่อไปนี้:
หน่วยองค์กร - กลุ่มย่อยของคอมพิวเตอร์ ซึ่งมักจะสะท้อนถึงโครงสร้างของบริษัท
โดเมน ( โดเมน) - กลุ่มคอมพิวเตอร์ที่ใช้ฐานข้อมูลแค็ตตาล็อกทั่วไปร่วมกัน
ต้นไม้โดเมน (โดเมน ต้นไม้) - โดเมนตั้งแต่หนึ่งโดเมนขึ้นไปที่ใช้เนมสเปซที่ต่อเนื่องกัน
โดเมนฟอเรสต์ - ข้อมูลไดเร็กทอรีการแชร์ต้นไม้อย่างน้อยหนึ่งรายการ
องค์ประกอบทางกายภาพช่วยวางแผนโครงสร้างเครือข่ายจริง ขึ้นอยู่กับโครงสร้างทางกายภาพ การเชื่อมต่อเครือข่ายและขอบเขตทางกายภาพของทรัพยากรเครือข่ายจะเกิดขึ้น โครงสร้างทางกายภาพประกอบด้วยองค์ประกอบต่อไปนี้:
ซับเน็ต ( ซับเน็ต) - กลุ่มเครือข่ายที่มีพื้นที่ที่อยู่ IP ที่ระบุและเน็ตเวิร์กมาสก์
เว็บไซต์ ( เว็บไซต์) - หนึ่งหรือหลายเครือข่ายย่อย ไซต์นี้ใช้เพื่อกำหนดค่าการเข้าถึงไดเร็กทอรีและสำหรับการจำลองแบบ
หน่วยงานองค์กร
หน่วยองค์กร (OU) คือกลุ่มย่อยภายในโดเมนที่มักสะท้อนถึงโครงสร้างการทำงานขององค์กร OU คือคอนเทนเนอร์แบบลอจิคัลที่จัดเก็บบัญชี การแบ่งปัน และ OU อื่นๆ ตัวอย่างเช่น คุณสามารถสร้างในโดเมนได้ ไมโครซอฟที. ดอทคอมหน่วยงาน ทรัพยากร, มัน, การตลาด- สคีมานี้สามารถขยายให้มีหน่วยย่อยได้
อนุญาตให้วางเฉพาะออบเจ็กต์จากโดเมนหลักใน OP ตัวอย่างเช่น OU จากโดเมน Seattle.microsoft.com มีวัตถุจากโดเมนนั้นเท่านั้น เพิ่มวัตถุจากที่นั่นมย. มไม่อนุญาตให้ใช้ icrosoft.com OP สะดวกมากเมื่อสร้างฟังก์ชันหรือ โครงสร้างธุรกิจองค์กรต่างๆแต่นี่ไม่ใช่เหตุผลเดียวสำหรับการใช้งาน
OP ช่วยให้คุณสามารถกำหนดนโยบายกลุ่มสำหรับชุดทรัพยากรขนาดเล็กในโดเมนโดยไม่ต้องนำไปใช้กับทั้งโดเมน OP สร้างมุมมองออบเจ็กต์ไดเร็กทอรีในโดเมนที่กะทัดรัดและจัดการได้มากขึ้น ซึ่งช่วยให้คุณจัดการทรัพยากรได้อย่างมีประสิทธิภาพมากขึ้น
OP ช่วยให้คุณสามารถมอบสิทธิ์และควบคุมการเข้าถึงทรัพยากรโดเมนของผู้ดูแลระบบ ซึ่งช่วยกำหนดขีดจำกัดของสิทธิ์ของผู้ดูแลระบบในโดเมน คุณสามารถให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ A สำหรับ OU เดียวเท่านั้น และในเวลาเดียวกันก็โอนสิทธิ์ผู้ดูแลระบบให้กับผู้ใช้ B สำหรับ OU ทั้งหมดในโดเมน
โดเมน
โดเมน Active Directory คือกลุ่มคอมพิวเตอร์ที่ใช้ฐานข้อมูลไดเร็กทอรีทั่วไปร่วมกัน ชื่อโดเมน Active Directory จะต้องไม่ซ้ำกัน ตัวอย่างเช่น ไม่สามารถมีสองโดเมนได้ มicrosoft.com แต่อาจมีโดเมนหลัก microsoft.com ที่มีโดเมนลูก seattle.microsoft.com และ มy.microsoft.com. หากโดเมนเป็นส่วนหนึ่งของเครือข่ายปิด ชื่อที่กำหนดให้กับโดเมนใหม่จะต้องไม่ขัดแย้งกับชื่อโดเมนที่มีอยู่ในเครือข่ายนั้น หากโดเมนเป็นส่วนหนึ่งของอินเทอร์เน็ตทั่วโลก ชื่อโดเมนนั้นก็ไม่ควรขัดแย้งกับชื่อโดเมนใดๆ ที่มีอยู่บนอินเทอร์เน็ต เพื่อให้แน่ใจว่าชื่อจะไม่ซ้ำกันบนอินเทอร์เน็ต ชื่อโดเมนหลักจะต้องลงทะเบียนผ่านองค์กรจดทะเบียนที่ได้รับอนุญาต
แต่ละโดเมนมีนโยบายความปลอดภัยของตนเองและความสัมพันธ์ที่เชื่อถือได้กับโดเมนอื่นๆ บ่อยครั้งที่โดเมนมีการกระจายไปตามสถานที่ตั้งทางกายภาพหลายแห่ง กล่าวคือ ประกอบด้วยหลายไซต์ และไซต์รวมเครือข่ายย่อยหลายเครือข่าย ฐานข้อมูลไดเร็กทอรีโดเมนจัดเก็บออบเจ็กต์ที่กำหนดบัญชีสำหรับผู้ใช้ กลุ่ม และคอมพิวเตอร์ รวมถึงทรัพยากรที่ใช้ร่วมกัน เช่น เครื่องพิมพ์และโฟลเดอร์
ฟังก์ชั่นของโดเมนถูกจำกัดและควบคุมโดยโหมดการทำงานของโดเมน มีโหมดการทำงานของโดเมนสี่โหมด:
โหมดผสม Windows 2000 (โหมดผสม) - รองรับตัวควบคุมโดเมนที่ใช้ Windows นท 4.0, วิ ndows 2000 และ หน้าต่าง เซิร์ฟเวอร์ 2003;
โหมดเนทีฟของ Windows 2000 - รองรับตัวควบคุมโดเมนที่ใช้ Windows 2000 และ หน้าต่าง เซิร์ฟเวอร์ 2003;
โหมดกลาง หน้าต่าง เซิร์ฟเวอร์ 2003 ( ชั่วคราว โหมด) - รองรับการทำงานของตัวควบคุมโดเมน หน้าต่าง นท 4.0 และ หน้าต่าง เซิร์ฟเวอร์ 2003;
โหมด วินโดวส์เซิร์ฟเวอร์ 2003 - รองรับตัวควบคุมโดเมนที่ใช้ Windows Server 2003
ป่าไม้และต้นไม้
ทุกโดเมน คล่องแคล่ว ไดเรกทอรีมี DNS-พิมพ์ชื่อ ไมโครซอฟต์.ดอทคอม โดเมนที่แชร์ข้อมูลไดเร็กทอรีในรูปแบบฟอเรสต์ ชื่อโดเมนฟอเรสต์ในลำดับชั้นชื่อ DNS คือ ไม่ต่อเนื่องกัน(ไม่ต่อเนื่องกัน) หรือ ที่อยู่ติดกัน(ติดกัน).
โดเมนที่มีโครงสร้างการตั้งชื่อต่อเนื่องกันเรียกว่าแผนผังโดเมน หากโดเมนฟอเรสต์มีชื่อ DNS ที่ไม่ต่อเนื่องกัน จะสร้างแผนผังโดเมนที่แยกจากกันในฟอเรสต์ ป่าอาจรวมถึงต้นไม้ตั้งแต่หนึ่งต้นขึ้นไป คอนโซลใช้เพื่อเข้าถึงโครงสร้างโดเมนคล่องแคล่ว ไดเรกทอรี- โดเมนและความไว้วางใจ (คล่องแคล่วไดเรกทอรี โดเมนและ ไว้วางใจ)
หน้าที่ของป่าไม้ถูกจำกัดและควบคุมโดยระบอบการทำงานของป่าไม้ มีสามโหมดดังกล่าว:
วินโดว์ 2000 - รองรับตัวควบคุมโดเมนที่ใช้ Windows NT 4.0, Windows 2000 และ Windows เซิร์ฟเวอร์ 2003;
ระดับกลาง ( ชั่วคราว) หน้าต่าง เซิร์ฟเวอร์ 2003 - รองรับตัวควบคุมโดเมนที่ใช้ Windows NT 4.0 และ Windows Server 2003;
วินโดวส์เซิร์ฟเวอร์ 2003 - รองรับตัวควบคุมโดเมนที่ใช้ Windows Server 2003
คุณลักษณะ Active Directory ที่ทันสมัยที่สุดจะพร้อมใช้งานในโหมด Windows Server 2003 หากโดเมนทั้งหมดในฟอเรสต์ทำงานในโหมดนี้ คุณสามารถเพลิดเพลินกับการจำลองแบบแค็ตตาล็อกส่วนกลางที่ได้รับการปรับปรุงและการจำลองแบบข้อมูล Active Directory ที่มีประสิทธิภาพมากขึ้น คุณยังสามารถปิดการใช้งานคลาสสคีมาและแอตทริบิวต์ ใช้คลาสตัวช่วยแบบไดนามิก เปลี่ยนชื่อโดเมน และสร้างความสัมพันธ์ที่เชื่อถือได้แบบทางเดียว สองทาง และแบบสกรรมกริยาในฟอเรสต์
ไซต์และซับเน็ต
เว็บไซต์ คือกลุ่มของคอมพิวเตอร์บนเครือข่ายย่อย IP หนึ่งเครือข่ายขึ้นไปที่ใช้ในการวางแผนโครงสร้างทางกายภาพของเครือข่าย การวางแผนไซต์เกิดขึ้นโดยไม่คำนึงถึงโครงสร้างเชิงตรรกะของโดเมน Active Directory ช่วยให้คุณสร้างหลายไซต์ในโดเมนเดียวหรือไซต์เดียวที่ครอบคลุมหลายโดเมน
ต่างจากไซต์ซึ่งสามารถขยายขอบเขตที่อยู่ IP ได้หลายขอบเขต เครือข่ายย่อยมีขอบเขตที่อยู่ IP และเน็ตมาสก์ที่ระบุ ชื่อซับเน็ตถูกระบุในรูปแบบ เครือข่าย/บิตมาสก์, ตัวอย่างเช่น 192.168.19.0/24 โดยที่ที่อยู่เครือข่าย 192.168.19.0 และ netmask 255.255.255.0 รวมกันเป็นชื่อเครือข่ายย่อย 192.168.19.0/24
คอมพิวเตอร์ถูกกำหนดให้กับไซต์ตามตำแหน่งบนซับเน็ตหรือชุดของซับเน็ต หากคอมพิวเตอร์บนเครือข่ายย่อยสามารถสื่อสารด้วยความเร็วสูงเพียงพอได้จะถูกเรียก เชื่อมต่ออย่างดี (เชื่อมต่อกันอย่างดี).
ตามหลักการแล้ว ไซต์ประกอบด้วยเครือข่ายย่อยและคอมพิวเตอร์ที่เชื่อมต่อกัน หากการรับส่งข้อมูลระหว่างเครือข่ายย่อยและคอมพิวเตอร์ช้า คุณอาจต้องสร้างหลายไซต์ การเชื่อมต่อที่ดีทำให้ไซต์มีข้อได้เปรียบบางประการ
เมื่อไคลเอนต์เข้าสู่ระบบโดเมน ขั้นตอนการรับรองความถูกต้องจะค้นหาตัวควบคุมโดเมนภายในเครื่องในไซต์ของลูกค้าก่อน ซึ่งหมายความว่าตัวควบคุมภายในเครื่องจะถูกสอบถามก่อนเมื่อเป็นไปได้ ซึ่งจะจำกัดการรับส่งข้อมูลเครือข่ายและเพิ่มความเร็วในการตรวจสอบสิทธิ์
ข้อมูลไดเร็กทอรีถูกจำลองแบบบ่อยขึ้น ข้างใน เว็บไซต์มากกว่า ระหว่าง เว็บไซต์ ซึ่งจะช่วยลดการรับส่งข้อมูลข้ามเครือข่ายที่เกิดจากการจำลองแบบและทำให้มั่นใจได้ว่าตัวควบคุมโดเมนภายในเครื่องจะได้รับข้อมูลที่อัปเดตอย่างรวดเร็ว
คุณสามารถกำหนดค่าลำดับในการจำลองข้อมูลไดเร็กทอรีได้ ลิงค์เว็บไซต์ (ลิงก์ไซต์) ตัวอย่างเช่น กำหนด เซิร์ฟเวอร์บริดจ์เฮด (bridgehead) สำหรับการจำลองแบบระหว่างไซต์
โหลดจำนวนมากจากการจำลองแบบข้ามไซต์จะตกอยู่บนเซิร์ฟเวอร์เฉพาะนี้ แทนที่จะอยู่บนเซิร์ฟเวอร์ของไซต์ที่มีอยู่ เว็บไซต์และซับเน็ตได้รับการกำหนดค่าในคอนโซล ไดเรกทอรีที่ใช้งานอยู่ -เว็บไซต์และบริการ(ไซต์และบริการ Active Directory)
การทำงานกับโดเมน ไดเรกทอรีที่ใช้งานอยู่
ออนไลน์ หน้าต่าง เซิร์ฟเวอร์บริการปี 2546 คล่องแคล่วไดเรกทอรีกำหนดค่าพร้อมกันด้วยDNS- อย่างไรก็ตาม โดเมน Active Directory และโดเมน DNS มีวัตถุประสงค์ที่แตกต่างกัน โดเมน Active Directory ช่วยจัดการบัญชี ทรัพยากร และความปลอดภัย
ลำดับชั้นของโดเมน DNS ได้รับการออกแบบมาเพื่อการจำแนกชื่อเป็นหลัก
คอมพิวเตอร์ที่ใช้ Windows XP Professional และ Windows 2000 สามารถใช้ประโยชน์จาก Active Directory ได้อย่างเต็มที่ โดยทำงานบนเครือข่ายเป็นไคลเอ็นต์ Active Directory และสามารถเข้าถึงความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาที่มีอยู่ในแผนผังหรือฟอเรสต์ของโดเมน ความสัมพันธ์เหล่านี้อนุญาตให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงทรัพยากรในโดเมนใดก็ได้ในฟอเรสต์
ระบบ Windows Server 2003 ทำหน้าที่เป็นตัวควบคุมโดเมนหรือเป็นเซิร์ฟเวอร์สมาชิก เซิร์ฟเวอร์สมาชิกจะกลายเป็นตัวควบคุมหลังจากติดตั้ง Active Directory ตัวควบคุมจะถูกลดระดับไปยังเซิร์ฟเวอร์สมาชิกหลังจากที่ Active Directory ถูกเอาออก
ดำเนินการทั้งสองกระบวนการตัวช่วยสร้างการติดตั้ง Active Directory สามารถมีตัวควบคุมได้หลายตัวในโดเมน พวกเขาจำลองข้อมูลไดเร็กทอรีระหว่างกันโดยใช้โมเดลการจำลองแบบหลายหลัก ซึ่งช่วยให้แต่ละตัวควบคุมสามารถประมวลผลการเปลี่ยนแปลงไดเร็กทอรี จากนั้นเผยแพร่ไปยังตัวควบคุมอื่นๆ ด้วยโครงสร้างแบบมัลติมาสเตอร์ คอนโทรลเลอร์ทั้งหมดมีความรับผิดชอบเท่ากันตามค่าเริ่มต้น อย่างไรก็ตาม คุณสามารถให้ความสำคัญกับตัวควบคุมโดเมนบางตัวเหนือตัวอื่นๆ สำหรับงานบางอย่าง เช่น การสร้างเซิร์ฟเวอร์บริดจ์เฮดที่มีลำดับความสำคัญเมื่อจำลองข้อมูลไดเร็กทอรีไปยังไซต์อื่น
นอกจากนี้ งานบางอย่างยังทำได้ดีกว่าบนเซิร์ฟเวอร์เฉพาะอีกด้วย เซิร์ฟเวอร์ที่ประมวลผลงานประเภทเฉพาะเรียกว่า หลักของการดำเนินงาน (หัวหน้าฝ่ายปฏิบัติการ)
บัญชีจะถูกสร้างขึ้นสำหรับคอมพิวเตอร์ Windows 2000, Windows XP Professional และ Windows Server 2003 ทั้งหมดที่เข้าร่วมกับโดเมน และเช่นเดียวกับทรัพยากรอื่นๆ บัญชีเหล่านั้นจะถูกจัดเก็บเป็นวัตถุ Active Directory บัญชีคอมพิวเตอร์ใช้เพื่อควบคุมการเข้าถึงเครือข่ายและทรัพยากรในเครือข่าย ก่อนที่คอมพิวเตอร์จะสามารถเข้าถึงโดเมนโดยใช้บัญชีได้ คอมพิวเตอร์จะต้องผ่านขั้นตอนการรับรองความถูกต้องก่อน
โครงสร้างไดเร็กทอรี
ข้อมูลไดเร็กทอรีมีให้สำหรับผู้ใช้และคอมพิวเตอร์ผ่าน คลังข้อมูล (ที่เก็บข้อมูล) และ ไดเร็กทอรีสากล (ทั่วโลกแคตตาล็อก- แม้ว่าคุณสมบัติส่วนใหญ่คล่องแคล่วไดเรกทอรีส่งผลต่อการจัดเก็บข้อมูล Global Catalog (GCs) ก็มีความสำคัญไม่น้อยเพราะใช้สำหรับเข้าสู่ระบบและค้นหาข้อมูล หากไม่มี GC ผู้ใช้ทั่วไปจะไม่สามารถเข้าสู่ระบบโดเมนได้วิธีเดียวที่จะแก้ไขเงื่อนไขนี้ได้คือการแคชสมาชิกในเครื่อง กลุ่มสากล
การเข้าถึงและการกระจายข้อมูล Active Directory มีให้โดยวิธีการ โปรโตคอลการเข้าถึงไดเรกทอรี (ไดเรกทอรี เข้าถึงโปรโตคอล) และ การจำลองแบบ (การจำลองแบบ).
จำเป็นต้องมีการจำลองเพื่อกระจายข้อมูลที่อัปเดตไปยังตัวควบคุม วิธีการหลักในการกระจายการอัปเดตคือการจำลองแบบหลายต้นแบบ แต่การเปลี่ยนแปลงบางอย่างจะถูกประมวลผลโดยตัวควบคุมพิเศษเท่านั้น - ผู้เชี่ยวชาญด้านการดำเนินงาน (ผู้เชี่ยวชาญด้านปฏิบัติการ)
วิธีการจำลองแบบหลายต้นแบบใน Windows Server 2003 ก็เปลี่ยนไปเช่นกันด้วยการเปิดตัว ส่วนแคตตาล็อก การใช้งาน (แอปพลิเคชันไดเรกทอรีพาร์ติชัน- ผู้ดูแลระบบสามารถสร้างพาร์ติชันการจำลองแบบในฟอเรสต์โดเมน ซึ่งเป็นโครงสร้างทางลอจิคัลที่ใช้เพื่อจัดการการจำลองแบบภายในฟอเรสต์โดเมนได้ ตัวอย่างเช่น คุณสามารถสร้างพาร์ติชันที่จะจัดการการจำลองข้อมูล DNS ภายในโดเมน ระบบอื่นๆ ในโดเมนไม่ได้รับอนุญาตให้จำลองข้อมูล DNS
พาร์ติชันไดเรกทอรีของแอปพลิเคชันอาจเป็นลูกของโดเมน ลูกของพาร์ติชันแอปพลิเคชันอื่น หรือแผนภูมิใหม่ในฟอเรสต์ของโดเมน แบบจำลองของพาร์ติชันสามารถโฮสต์บนตัวควบคุมโดเมน Active Directory ใดๆ รวมถึงแค็ตตาล็อกส่วนกลาง แม้ว่าพาร์ติชันไดเรกทอรีของแอปพลิเคชันจะมีประโยชน์ในโดเมนและฟอเรสต์ขนาดใหญ่ แต่ก็ทำให้ต้นทุนการวางแผน การดูแลระบบ และการบำรุงรักษาเพิ่มขึ้น
การจัดเก็บข้อมูล
พื้นที่เก็บข้อมูลประกอบด้วยข้อมูลเกี่ยวกับออบเจ็กต์ที่สำคัญที่สุดของบริการไดเรกทอรี Active Directory - บัญชี ทรัพยากรที่ใช้ร่วมกัน OP และนโยบายกลุ่ม บางครั้งเรียกง่ายๆ ว่าคลังข้อมูล แคตตาล็อก (ไดเรกทอรี) บนตัวควบคุมโดเมน ไดเร็กทอรีจะถูกจัดเก็บไว้ในไฟล์ NTDS.DIT ซึ่งตำแหน่งจะถูกกำหนดเมื่อมีการติดตั้ง Active Directory (จะต้องเป็นไดรฟ์ NTFS) ข้อมูลไดเร็กทอรีบางส่วนสามารถจัดเก็บแยกต่างหากจากที่จัดเก็บหลัก เช่น นโยบายกลุ่ม สคริปต์ และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในการแชร์ระบบ SYSVOL
การแชร์ข้อมูลไดเร็กทอรีเรียกว่า สิ่งพิมพ์ (เผยแพร่). ตัวอย่างเช่น เมื่อเปิดเครื่องพิมพ์เพื่อใช้บนเครือข่าย เครื่องพิมพ์นั้นจะถูกเผยแพร่ ข้อมูลโฟลเดอร์ที่ใช้ร่วมกันได้รับการเผยแพร่ ฯลฯ ตัวควบคุมโดเมนจำลองการเปลี่ยนแปลงส่วนใหญ่ในที่เก็บข้อมูลในรูปแบบหลายหลัก ผู้ดูแลระบบในองค์กรขนาดเล็กหรือขนาดกลางมักไม่ค่อยจัดการการจำลองพื้นที่จัดเก็บข้อมูลเนื่องจากเป็นไปโดยอัตโนมัติ แต่สามารถกำหนดค่าให้เหมาะกับสถาปัตยกรรมเครือข่ายเฉพาะได้
ข้อมูลไดเร็กทอรีบางส่วนไม่ถูกจำลองแบบ เฉพาะ:
ข้อมูลโดเมน - ข้อมูลเกี่ยวกับออบเจ็กต์ในโดเมน รวมถึงออบเจ็กต์ของบัญชี ทรัพยากรที่ใช้ร่วมกัน OP และนโยบายกลุ่ม
ข้อมูลการกำหนดค่า - ข้อมูลเกี่ยวกับโทโพโลยีไดเร็กทอรี: รายการโดเมน ต้นไม้ และฟอเรสต์ทั้งหมด รวมถึงตำแหน่งของตัวควบคุมและเซิร์ฟเวอร์ GC
ข้อมูลสคีมา - ข้อมูลเกี่ยวกับออบเจ็กต์และประเภทข้อมูลทั้งหมดที่สามารถจัดเก็บไว้ในไดเร็กทอรี สคีมา Windows Server 2003 มาตรฐานอธิบายวัตถุบัญชี วัตถุทรัพยากรที่ใช้ร่วมกัน ฯลฯ และสามารถขยายได้โดยการกำหนดวัตถุและคุณลักษณะใหม่ หรือเพิ่มคุณลักษณะให้กับวัตถุที่มีอยู่
แคตตาล็อกทั่วโลก
หากแคชสมาชิกท้องถิ่น ไม่ได้ดำเนินการกลุ่มสากล การเข้าสู่ระบบเครือข่ายขึ้นอยู่กับข้อมูลเกี่ยวกับการเป็นสมาชิกในกลุ่มสากลที่กำหนดโดยประมวลกฎหมายแพ่ง
นอกจากนี้ยังมีการค้นหาไดเรกทอรีทั่วทั้งโดเมนในฟอเรสต์อีกด้วย คอนโทรลเลอร์, การสวมบทบาทเซิร์ฟเวอร์ GK เก็บแบบจำลองแบบเต็มของวัตถุไดเร็กทอรีทั้งหมดในโดเมนและแบบจำลองบางส่วนของวัตถุในโดเมนอื่นของฟอเรสต์
จำเป็นต้องมีคุณสมบัติอ็อบเจ็กต์เพียงเล็กน้อยเท่านั้นสำหรับการเข้าสู่ระบบและการค้นหา ดังนั้นจึงสามารถใช้เรพลิกาบางส่วนได้ ในการสร้างแบบจำลองบางส่วน การจำลองแบบต้องมีการถ่ายโอนข้อมูลน้อยลง ซึ่งจะลดการรับส่งข้อมูลเครือข่าย
ตามค่าเริ่มต้น ตัวควบคุมโดเมนตัวแรกจะกลายเป็นตัวควบคุมโดเมนหลัก ดังนั้น หากมีตัวควบคุมเพียงตัวเดียวในโดเมน แสดงว่าเซิร์ฟเวอร์โดเมนหลักและตัวควบคุมโดเมนนั้นเป็นเซิร์ฟเวอร์เดียวกัน คุณสามารถวาง GC บนคอนโทรลเลอร์อื่นเพื่อลดเวลาที่ใช้ในการรอการตอบกลับเมื่อเข้าสู่ระบบและเพิ่มความเร็วในการค้นหา ขอแนะนำให้สร้าง GC หนึ่งรายการในแต่ละไซต์โดเมน
มีหลายวิธีในการแก้ปัญหานี้ แน่นอน คุณสามารถสร้างเซิร์ฟเวอร์ GC บนตัวควบคุมโดเมนตัวใดตัวหนึ่งในสำนักงานระยะไกลได้ ข้อเสียของวิธีนี้คือเพิ่มภาระบนเซิร์ฟเวอร์ GK ซึ่งอาจต้องใช้ทรัพยากรเพิ่มเติมและการวางแผนเวลาการทำงานของเซิร์ฟเวอร์นี้อย่างระมัดระวัง
วิธีแก้ปัญหาอื่นคือการแคชสมาชิกกลุ่มสากลภายในเครื่อง ในกรณีนี้ ตัวควบคุมโดเมนใดๆ สามารถให้บริการคำขอเข้าสู่ระบบภายในเครื่อง โดยไม่ต้องติดต่อกับเซิร์ฟเวอร์โดเมนหลัก สิ่งนี้จะช่วยเร่งความเร็วขั้นตอนการเข้าสู่ระบบและทำให้สถานการณ์ง่ายขึ้นในกรณีที่เซิร์ฟเวอร์ GK ล้มเหลว นอกจากนี้ ยังช่วยลดการรับส่งข้อมูลการจำลองอีกด้วย
แทนที่จะอัปเดตทั้งกลุ่มทั่วทั้งเครือข่ายเป็นระยะ การอัพเดตข้อมูลที่แคชไว้เกี่ยวกับการเป็นสมาชิกกลุ่มสากลก็เพียงพอแล้ว โดยค่าเริ่มต้น การอัปเดตจะเกิดขึ้นทุก ๆ แปดชั่วโมงบนตัวควบคุมโดเมนแต่ละตัวที่ใช้การแคชสมาชิกกลุ่มสากลภายในเครื่อง
สมัครสมาชิกใน กลุ่มสากลแยกกันสำหรับแต่ละไซต์ ให้เราระลึกว่าไซต์เป็นโครงสร้างทางกายภาพที่ประกอบด้วยเครือข่ายย่อยตั้งแต่หนึ่งเครือข่ายขึ้นไปที่มีชุดที่อยู่ IP และเน็ตเวิร์กมาสก์แยกกัน ตัวควบคุมโดเมน หน้าต่าง Server 2003 และ GC ที่เข้าถึงต้องอยู่ในไซต์เดียวกัน หากมีหลายไซต์ คุณจะต้องกำหนดค่าแคชในเครื่องในแต่ละไซต์ นอกจากนี้ ผู้ใช้ที่เข้าสู่ระบบไซต์ต้องเป็นส่วนหนึ่งของโดเมน Windows Server 2003 ที่ทำงานในโหมดฟอเรสต์ Windows Server 2003
การจำลองแบบใน Active Directory
ไดเร็กทอรีจัดเก็บข้อมูลสามประเภท: ข้อมูลโดเมน ข้อมูลสคีมา และข้อมูลการกำหนดค่า ข้อมูลโดเมนถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด ตัวควบคุมโดเมนทั้งหมดมีสิทธิ์เท่าเทียมกัน เช่น การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นจากตัวควบคุมโดเมนใด ๆ จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่น ๆ ทั้งหมด ข้อมูลการออกแบบและการกำหนดค่าจะถูกจำลองแบบไปยังโดเมนทั้งหมดในแผนภูมิหรือฟอเรสต์ นอกจากนี้ วัตถุทั้งหมดของแต่ละโดเมนและคุณสมบัติบางอย่างของวัตถุฟอเรสต์จะถูกจำลองแบบใน GC ซึ่งหมายความว่าตัวควบคุมโดเมนจะจัดเก็บและจำลองแบบแผนสำหรับแผนภูมิหรือฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในแผนภูมิหรือฟอเรสต์ และวัตถุไดเรกทอรีทั้งหมดและคุณสมบัติสำหรับโดเมนของตัวเอง
ตัวควบคุมโดเมนที่ GC ถูกเก็บไว้ประกอบด้วยและจำลองข้อมูลเค้าร่างสำหรับฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในฟอเรสต์ และชุดคุณสมบัติที่จำกัดสำหรับวัตถุไดเรกทอรีทั้งหมดในฟอเรสต์ (มันถูกจำลองแบบเฉพาะระหว่างเซิร์ฟเวอร์ GC เท่านั้น) รวมถึงวัตถุไดเรกทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของคุณ
เพื่อให้เข้าใจสาระสำคัญของการจำลองแบบ ให้พิจารณาสถานการณ์จำลองนี้สำหรับการตั้งค่าเครือข่ายใหม่
1. ในโดเมน ติดตั้งคอนโทรลเลอร์ตัวแรกแล้ว เซิร์ฟเวอร์นี้เป็นตัวควบคุมโดเมนเท่านั้น เขายังเป็นเซิร์ฟเวอร์ GK อีกด้วย การจำลองแบบไม่เกิดขึ้นในเครือข่ายดังกล่าว เนื่องจากไม่มีตัวควบคุมอื่น
2. ในโดเมน และติดตั้งคอนโทรลเลอร์ตัวที่สองแล้ว และการจำลองเริ่มต้นขึ้น คุณสามารถกำหนดให้คอนโทรลเลอร์ตัวหนึ่งเป็นโครงสร้างพื้นฐานหลักและอีกตัวเป็นเซิร์ฟเวอร์ GC เจ้าของโครงสร้างพื้นฐานตรวจสอบและร้องขอการอัปเดต GL สำหรับอ็อบเจ็กต์ที่เปลี่ยนแปลง ตัวควบคุมทั้งสองนี้ยังจำลองข้อมูลสคีมาและการกำหนดค่าอีกด้วย
3. ในโดเมน และมีการติดตั้งคอนโทรลเลอร์ตัวที่สามซึ่งไม่มีชุดควบคุมหลัก ตรวจสอบโครงสร้างพื้นฐานหลักสำหรับการปรับปรุง GC ร้องขอสำหรับวัตถุที่เปลี่ยนแปลง และจากนั้น จำลองการเปลี่ยนแปลงไปยังตัวควบคุมโดเมนที่สาม คอนโทรลเลอร์ทั้งสามตัวยังจำลองข้อมูลสคีมาและการกำหนดค่าอีกด้วย
4. มีการสร้างโดเมน B ใหม่และมีการเพิ่มตัวควบคุมเข้าไป เซิร์ฟเวอร์ GC ในโดเมน A และโดเมน B จะจำลองข้อมูลสคีมาและการกำหนดค่าทั้งหมด รวมถึงชุดย่อยของข้อมูลโดเมนจากแต่ละโดเมน การจำลองแบบภายในโดเมน A ดำเนินต่อไปตามที่อธิบายไว้ข้างต้น บวกกับการจำลองแบบภายในโดเมน B เริ่มต้นขึ้น
คล่องแคล่วไดเรกทอรีและ แอลดีเอพี
Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลมาตรฐานสำหรับการเชื่อมต่ออินเทอร์เน็ตในเครือข่าย TCP/IP LDAP ได้รับการออกแบบมาโดยเฉพาะสำหรับการเข้าถึงบริการไดเรกทอรีโดยมีค่าใช้จ่ายน้อยที่สุด LDAP ยังกำหนดการดำเนินการที่ใช้ในการสืบค้นและเปลี่ยนแปลงข้อมูลไดเรกทอรีอีกด้วย
ลูกค้า Active Directory ใช้ LDAP เพื่อสื่อสารกับคอมพิวเตอร์ที่ใช้ Active Directory ทุกครั้งที่เข้าสู่ระบบเครือข่ายหรือค้นหาทรัพยากรที่ใช้ร่วมกัน LDAP ช่วยลดความยุ่งยากในการเชื่อมต่อโครงข่ายไดเรกทอรีและการโยกย้ายไปยัง Active Directory จากบริการไดเรกทอรีอื่นๆ เพื่อปรับปรุงความเข้ากันได้ คุณสามารถใช้อินเทอร์เฟซ Active Directory Services (คล่องแคล่วไดเรกทอรี บริการ- อินเทอร์เฟซ, ADSI).
บทบาทหลักปฏิบัติการ
ต้นแบบการดำเนินงานจัดการงานที่ไม่สะดวกในการดำเนินการในแบบจำลองการจำลองแบบหลายต้นแบบ มีบทบาทหลักในการดำเนินงานห้าบทบาทที่สามารถกำหนดให้กับตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไป บทบาทบางอย่างต้องไม่ซ้ำกันในระดับฟอเรสต์ ในขณะที่บทบาทอื่นๆ จำเป็นต้องไม่ซ้ำกันในระดับโดเมน บทบาทต่อไปนี้ต้องมีอยู่ในแต่ละฟอเรสต์ Active Directory:
ต้นแบบสคีมา) - จัดการการอัปเดตและการเปลี่ยนแปลงสคีมาไดเร็กทอรี หากต้องการอัปเดตสคีมาไดเรกทอรี คุณต้องมีสิทธิ์เข้าถึงสคีมาต้นแบบ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นสคีมาหลักในโดเมนในปัจจุบัน เพียงเปิดหน้าต่างบรรทัดคำสั่งแล้วป้อน: เซิร์ฟเวอร์ dsquery -มีฉสโม สคีมา
ต้นแบบการตั้งชื่อโดเมน - จัดการการเพิ่มและการลบโดเมนในฟอเรสต์ หากต้องการเพิ่มหรือลบโดเมน คุณต้องเข้าถึงต้นแบบการตั้งชื่อโดเมน หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นต้นแบบการตั้งชื่อโดเมนในปัจจุบัน เพียงป้อนในหน้าต่างบรรทัดคำสั่ง: เซิร์ฟเวอร์ dsquery -มีฉสโม ชื่อ.
บทบาทเหล่านี้ซึ่งเหมือนกันกับป่าไม้โดยรวมจะต้องมีเอกลักษณ์เฉพาะตัว
บทบาทต่อไปนี้จำเป็นในทุกโดเมน Active Directory
ต้นแบบรหัสญาติ - จัดสรรตัวระบุสัมพันธ์กับตัวควบคุมโดเมน ทุกครั้งที่คุณสร้างผู้ใช้ ให้จัดกลุ่มออบเจ็กต์ หรือตัวควบคุมคอมพิวเตอร์กำหนดวัตถุให้เป็นตัวระบุความปลอดภัยเฉพาะ ซึ่งประกอบด้วยตัวระบุความปลอดภัยของโดเมนและตัวระบุเฉพาะที่ได้รับการจัดสรรโดยต้นแบบตัวระบุแบบสัมพันธ์ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นเจ้าของตัวระบุแบบสัมพันธ์ในโดเมนในปัจจุบัน เพียงป้อนในหน้าต่างบรรทัดคำสั่ง: แบบสอบถามเซิร์ฟเวอร์ -มีฉสโมกำจัด.
โปรแกรมจำลอง PDC - ในโหมดโดเมนผสมหรือระดับกลาง ทำหน้าที่เป็นตัวควบคุมโดเมนหลักของ Windows NT ตรวจสอบการเข้าสู่ระบบ Windows NT จัดการการเปลี่ยนแปลงรหัสผ่าน และจำลองการอัปเดตไปยัง P DC หากต้องการทราบว่าเซิร์ฟเวอร์ใดในปัจจุบันเป็นโปรแกรมจำลอง PDC ในโดเมน เพียงป้อนในหน้าต่างบรรทัดคำสั่ง แบบสอบถาม เซิร์ฟเวอร์ - ฮาสโม พีดีซี.
เจ้าของโครงสร้างพื้นฐาน ผู้เชี่ยวชาญ ) - อัปเดตลิงก์ออบเจ็กต์โดยการเปรียบเทียบข้อมูลแค็ตตาล็อกกับข้อมูล GK หากข้อมูลล้าสมัย ระบบจะร้องขอการอัปเดตจาก GC และจำลองข้อมูลเหล่านั้นไปยังตัวควบคุมที่เหลืออยู่ในโดเมน หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นเจ้าของโครงสร้างพื้นฐานในโดเมนในปัจจุบัน เพียงในหน้าต่างบรรทัดคำสั่งแล้วป้อน แบบสอบถามเซิร์ฟเวอร์ -hasfsmo infr
บทบาทเหล่านี้ ซึ่งเป็นเรื่องปกติสำหรับทั้งโดเมน จะต้องไม่ซ้ำกันภายในโดเมน กล่าวอีกนัยหนึ่ง คุณสามารถกำหนดค่าต้นแบบข้อมูลประจำตัวแบบสัมพันธ์ได้เพียงหนึ่งรายการ โปรแกรมจำลอง PDC หนึ่งรายการ และต้นแบบโครงสร้างพื้นฐานหนึ่งรายการต่อโดเมนเท่านั้น
โดยทั่วไปบทบาทหลักของการดำเนินงานจะได้รับการกำหนดโดยอัตโนมัติ แต่สามารถมอบหมายใหม่ได้ เมื่อติดตั้งเครือข่ายใหม่ ตัวควบคุมโดเมนแรกของโดเมนแรกจะรับบทบาทหลักของการดำเนินงานทั้งหมด หากมีการสร้างโดเมนลูกหรือโดเมนรากใหม่ในภายหลังในแผนผังใหม่ บทบาทหลักของการดำเนินงานจะถูกกำหนดให้กับตัวควบคุมโดเมนแรกโดยอัตโนมัติด้วย ในฟอเรสต์โดเมนใหม่ ตัวควบคุมโดเมนได้รับการกำหนดบทบาทหลักของการดำเนินงานทั้งหมด หากโดเมนใหม่ถูกสร้างขึ้นในฟอเรสต์เดียวกัน ตัวควบคุมจะได้รับมอบหมายบทบาทของตัวระบุหลักแบบสัมพันธ์ นั่นคือโปรแกรมจำลอง PดีC และเจ้าของโครงสร้างพื้นฐาน บทบาทของสคีมาหลักและต้นแบบการตั้งชื่อโดเมนยังคงอยู่กับโดเมนแรกในฟอเรสต์
หากมีตัวควบคุมเพียงตัวเดียวในโดเมน โดเมนนั้นจะทำหน้าที่หลักในการดำเนินงานทั้งหมด หากมีเพียงไซต์เดียวบนเครือข่าย ตำแหน่งมาตรฐานของศูนย์ปฏิบัติการหลักจะเหมาะสมที่สุด แต่เมื่อคุณเพิ่มตัวควบคุมโดเมนและโดเมน บางครั้งคุณจำเป็นต้องย้ายบทบาทหลักของการดำเนินงานไปยังตัวควบคุมโดเมนอื่น
หากมีตัวควบคุมโดเมนตั้งแต่สองตัวขึ้นไปในโดเมน ขอแนะนำให้กำหนดค่าตัวควบคุมโดเมนสองตัวให้ทำหน้าที่เป็นบทบาทหลักของการดำเนินงาน ตัวอย่างเช่น กำหนดให้ตัวควบคุมโดเมนหนึ่งตัวเป็นข้อมูลหลักในการดำเนินงาน และอีกตัวหนึ่งเป็นข้อมูลสำรอง ซึ่งจำเป็นหากตัวควบคุมหลักล้มเหลว
การบริหาร ไดเรกทอรีที่ใช้งานอยู่
คเมื่อใช้บริการ Active Directory บัญชีคอมพิวเตอร์จะถูกสร้างขึ้น เชื่อมต่อกับโดเมน และคอมพิวเตอร์ ตัวควบคุมโดเมน และหน่วยองค์กร (OU) จะได้รับการจัดการ
มีเครื่องมือการดูแลระบบและสนับสนุนเพื่อจัดการ Active Directory เครื่องมือที่แสดงด้านล่างนี้ยังถูกนำมาใช้เป็นสแน็ปอินคอนโซล MMC (ไมโครซอฟต์ การจัดการคอนโซล):
Active Directory - ผู้ใช้และคอมพิวเตอร์ (Active Directory ผู้ใช้ และ คอมพิวเตอร์) ช่วยให้คุณจัดการผู้ใช้ กลุ่ม คอมพิวเตอร์ และหน่วยองค์กร (OU)
คล่องแคล่ว ไดเรกทอรี- โดเมนและความไว้วางใจ ( คล่องแคล่ว ไดเรกทอรี โดเมนและ เชื่อถือ ) ทำหน้าที่ทำงานร่วมกับโดเมน แผนผังโดเมน และฟอเรสต์โดเมน
ไดเรกทอรีที่ใช้งานอยู่ - เว็บไซต์ และบริการ (ไซต์และบริการ Active Directory) ช่วยให้คุณสามารถจัดการไซต์และเครือข่ายย่อยได้;
ผลลัพธ์ นโยบาย (ชุดนโยบายผลลัพธ์) ใช้เพื่อดูนโยบายปัจจุบันของผู้ใช้หรือระบบและเพื่อกำหนดเวลาการเปลี่ยนแปลงนโยบาย
ใน ใน Microsoft Windows 2003 Server คุณสามารถเข้าถึงสแน็ปอินเหล่านี้ได้โดยตรงจากเมนูเครื่องมือการดูแลระบบ
เครื่องมือการดูแลระบบอีกอย่างหนึ่งคือสแน็ปอิน โครงการ คล่องแคล่วไดเรกทอรี (คล่องแคล่ว ไดเรกทอรี สคีมา) - ช่วยให้คุณสามารถจัดการและแก้ไขไดเร็กทอรีสคีมา
ยูทิลิตี้บรรทัดคำสั่ง คล่องแคล่ว ไดเรกทอรี
เพื่อจัดการวัตถุ คล่องแคล่ว ไดเรกทอรีมีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:
ดีเอสเอดี - เพิ่มไปยัง คล่องแคล่ว ไดเรกทอรีคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP และผู้ใช้
ดีเอสเก็ต - แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ที่ลงทะเบียน คล่องแคล่ว ไดเรกทอรี.
ดีเอสเอ็มดี - เปลี่ยนคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียน คล่องแคล่ว ไดเรกทอรี.
ดีสโมฟ - ย้ายวัตถุเดี่ยวไปยังตำแหน่งใหม่ภายในโดเมนหรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
DSQXJERY - ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ คล่องแคล่ว ไดเรกทอรีตามเกณฑ์ที่กำหนด
ดีเอสอาร์เอ็ม - นำวัตถุออกจาก คล่องแคล่ว ไดเรกทอรี.
NTDSUTIL - ช่วยให้คุณสามารถดูข้อมูลเกี่ยวกับไซต์ โดเมน หรือเซิร์ฟเวอร์ จัดการได้ ผู้เชี่ยวชาญด้านการดำเนินงาน (การดำเนินงาน อาจารย์) และดูแลรักษาฐานข้อมูลคล่องแคล่ว ไดเรกทอรี.
Active Directory - บริการไดเรกทอรี Active Directory ที่ขยายและปรับขนาดได้ช่วยให้คุณจัดการทรัพยากรเครือข่ายได้อย่างมีประสิทธิภาพ
ไดเรกทอรีที่ใช้งานอยู่เป็นที่เก็บข้อมูลที่จัดระเบียบตามลำดับชั้นเกี่ยวกับออบเจ็กต์เครือข่าย ซึ่งให้วิธีที่สะดวกในการค้นหาและใช้ข้อมูลนี้ คอมพิวเตอร์ที่เรียกใช้ Active Directory เรียกว่าตัวควบคุมโดเมน งานการดูแลระบบเกือบทั้งหมดเกี่ยวข้องกับ Active Directory
เทคโนโลยี Active Directory ขึ้นอยู่กับโปรโตคอลอินเทอร์เน็ตมาตรฐานและช่วยในการกำหนดโครงสร้างของเครือข่ายอย่างชัดเจน อ่านเพิ่มเติมเกี่ยวกับวิธีการปรับใช้โดเมน Active Directory ตั้งแต่เริ่มต้นที่นี่
ไดเรกทอรีที่ใช้งานอยู่และ DNS
Active Directory ใช้ระบบชื่อโดเมน
เมื่อใช้บริการ Active Directory บัญชีคอมพิวเตอร์จะถูกสร้างขึ้น เชื่อมต่อกับโดเมน และมีการจัดการคอมพิวเตอร์ ตัวควบคุมโดเมน และหน่วยองค์กร (OU)
มีเครื่องมือการดูแลระบบและสนับสนุนเพื่อจัดการ Active Directory เครื่องมือที่แสดงด้านล่างยังถูกนำมาใช้เป็นสแน็ปอินในคอนโซล MMC (Microsoft Management Console):
Active Directory - ผู้ใช้และคอมพิวเตอร์ (ผู้ใช้ Active Directory และคอมพิวเตอร์) ช่วยให้คุณสามารถจัดการผู้ใช้ กลุ่ม คอมพิวเตอร์ และหน่วยองค์กร (OU)
Active Directory - โดเมนและทรัสต์ (Active Directory Domains and Trusts) ใช้เพื่อทำงานกับโดเมน แผนผังโดเมน และฟอเรสต์โดเมน
ไซต์และบริการ Active Directory ช่วยให้คุณสามารถจัดการไซต์และเครือข่ายย่อยได้
ชุดนโยบายผลลัพธ์จะใช้เพื่อดูนโยบายปัจจุบันของผู้ใช้หรือระบบ และเพื่อกำหนดเวลาการเปลี่ยนแปลงนโยบาย
ใน Microsoft Windows 2003 Server คุณสามารถเข้าถึงสแน็ปอินเหล่านี้ได้โดยตรงจากเมนูเครื่องมือการดูแลระบบ
เครื่องมือการดูแลระบบอีกอย่างหนึ่งคือสแนปอิน Active Directory Schema ช่วยให้คุณสามารถจัดการและแก้ไขไดเร็กทอรีสคีมาได้
ในการจัดการอ็อบเจ็กต์ Active Directory มีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:
DSADD - เพิ่มคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OU และผู้ใช้ใน Active Directory
DSGET - แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OU ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory
DSMOD - เปลี่ยนคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory
DSMOVE - ย้ายวัตถุเดี่ยวไปยังตำแหน่งใหม่ภายในโดเมนหรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
DSQXJERY - ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม OP ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ใน Active Directory ตามเกณฑ์ที่ระบุ
DSRM - ลบวัตถุออกจาก Active Directory
NTDSUTIL - ช่วยให้คุณสามารถดูข้อมูลเกี่ยวกับไซต์ โดเมน หรือเซิร์ฟเวอร์ จัดการหลักการดำเนินงาน และดูแลรักษาฐานข้อมูล Active Directory