Designing Windows 2000 Active Directory

تا اينجا درباره ساختار Organization Units، Domain، DNS و Group Policy صحبت شد. اينها ملموس ترين مواردی هستند که در اجرای يک شبکه ويندوز 2000 با آنها سر و کار خواهيد داشت و نياز به تصميم گيری مستقيم شما دارد و سيستم بطور خودکار در آن دخالتی نخواهد داشت.
طراحی FSMO و Global Catalog نياز به تجربه و دانش نسبتاً عميقی دارد و در سيستمهايی که شبکه از نظر جغرافيايی گسترده است و يا تعداد سرويس دهنده ها دو و يا بيشتر است نياز است که يک بررسی و تاملی داشته باشيم. از آنجايی که اين مفاهيم کمتر مورد توجه هستند و ممکن است غريب به نظر برسند سعی ميکنم توضيح بيشتری ارائه دهم.
يکی از تفاوتهای عمده ای که ويندوز 2000 سرور با ويندوز NT سرور دارد نحوه انجام Replication و يا synchronization بين سرورهاست که در تکنولوژی ويندوز 2000 سرور Multimaster Replication نام دارد و بدان معناست که کليه سرورها برخلاف ويندوز NT که به دو دسته PDC و BDC تقسيم ميشدند در اينجا همه دارای ارزشی يکسان ميباشند و هر کدام دارای نسخه های قابل نوشتن از Active Directory هستند. مساله ای که در اينجا بروز ميکند اين است که نياز است برای بعضی از مسئوليتها و فرايندهای خاص فقط يک مرجع خاص تعيين شود تا از برخی از اختلالات احتمالی جلوگيری نمود.
FSMO مخفف عبارت Flexible Single Master Operation است و شامل پنج نقشی ميشود که مهندسین مايکروسافت تشخيص داده اند بايد سرپرستی هر کدام به يک منبع خاص واگذار شود. اين پنج نقش عبارتند از:

Schema Master
فقط يک سرور در کل Forest ميتواند نگهدارنده اين نقش باشد و تغيير در Schema که اغلب بواسطه نصب سرويسها و يا برنامه های خاص ايجاد ميگردد بدون در دسترس نبودن اين سرويس دهنده امکاپذير نيست. بعنوان نمونه Exchange Server سرويسی است که تغييرات بسياری را در طول نصب در Schema ايجاد ميکند و چنانچه سرور نگهدارنده نقش Schema Master در دسترس نباشد نصب Exchange متوقف ميشود.

Domain Naming Master
فقط يک سرور در کل Forest ميتواند نگهدارنده اين نقش باشد و مسئول ايجاد و حذف Domainها در شبکه ميباشد. بعنوان مثال چنانچه شما قصد اضافه کردن يک دامين جديد بعنوان Child باشيد و اين سرويس دهنده نگهدارنده اين نقش در دسترس نباشد Wizard مربوط به Active Directory متوقف ميشود و همينطور اگر بخواهيد يک دامين را حذف کنيد. فرض کنيد شرکتی از چندين دفتر نمايندگی تشکيل شده و يکی از دفاتر تصميم داشته باشد يک Domain جديد ايجاد کند و نگهدارنده نقش Domain Naming Master هم واقع در دفتر مرکزی باشد. در اين صورت اگر ارتباط بين دو دفتر از يک اتصال کم سرعت و يا نا پايدار تشکيل شده باشد ممکن است سرور شما نتواند با سرور Domain Naming Master ارتباط برقرار کند و عمليات نصب متوقف شود و يا ممکن است در حين نصب سرور مورد نياز درحال ارتقاء باشد که در اين صوت با در اختيار داشتن خطوط پر سرعت مخابراتی نيز مشکل همچنان پابرجا خواهد بود. يکی از ديگر از مواردی که به نصب ناموفق يک Domain ميانجامد ميتواند مشغول بودن بيش از جد سرور Domain Naming Master عدم توانايی در پاسخگويی سريع باشد.

PDC Emulator

در هر دامين بايد يک سرور نگهدارنده اين نقش باشد. وظيفه آن معتبر ساختن تغييرات رمز عبور، Group Policy و شبيه سازی يک PDC برای سرورهای NT که نقش BDC دارند ميباشد. همانطور که ملاحظه ميکنيد اين نقش بيشتر مربوط به موارد امنيتی ميشود و از آنجايی که هر Domain در واقع يک مرز امنيتی ايجاد ميکند و خيلی اوقات هم ما هدفمان از ايجاد يک دامين جديد نياز به استقلال از نظر سياستهای امنيتی داريم پس ميبينيم که نياز به يک PDC Emulator در هر دامين غير منطقی به نظر نميرسد.

RID Master
در هر دامين بايد يک سرور نگهدارنده اين نقش باشد و مسئوليت اين نقش واگذاری و ايجاد شناسه ها (RIDs) به کاربرها و گروههای جديد است. هر دامين تعدادی RID از پيش توليد ميکند و به محض ايجاد يک کاربر و يا گروه جديد به آن اهدا ميکند ولی چنانچه سرور RID Master در دسترس نباشد و ذخيره RIDهای توليد شده هم به پايان رسيده باشد قادر به ايجاد کاربر و يا گروه جديد نيستيد.

Infrastructure Master
در هر دامين بايد يک سرور نگهدارنده اين نقش باشد و مسئول بروز رسانی و کنترل عضويت کاربر در گروه هاست. هنگامی که يک کاربر از يک گروه به گروه ديگر منتقل ميشود و يا نام کاربری را تغيير ميدهيم اين وظيفه Infrastructure Master است که اين تغييرات را اعمال و از طريق replication به ديگر سرورها انتقال دهد.

چنانچه شما با سيستمهای کوچک و تک سرور سروکار داريد زياد نگران طراحی FSMO نباشيد چراکه اولين Domain Controller در شبکه بطور خودکار بعنوان نگهدارنده همه اين نقشها در شبکه تعیین خواهد شد و فقط در شبکه هایی که از چندين سرور تشکيل شده و يا دارای گستردگی جغرافيايی است بايد اين ملاحضات را در نظر داشته باشيد.
بحث Active Directory بسيار گسترده و پيچيده است و منابع بسياری در سايت مايکروسافت موجود است که علاقه مندان جهت کسب اطلاعات بيشتر ميتوانند به آن مراجعه کنند:

www.microsoft.com/technet

ادامه در قسمت بعدی...