සක්‍රීය නාමාවලි වසම් සේවා යනු කුමක්ද සහ එය ක්‍රියාත්මක වන්නේ කෙසේද?

මෙය සක්‍රීය නාමාවලි වසම් සේවා (AD DS) පිළිබඳ කැනොනිකල් ප්‍රශ්නයකි .

ක්‍රියාකාරී නාමාවලිය යනු කුමක්ද? එය කරන්නේ කුමක්ද සහ එය ක්‍රියාත්මක වන්නේ කෙසේද?

සක්‍රීය නාමාවලිය සංවිධානය කරන්නේ කෙසේද: වනාන්තර, ළමා වසම, රුක්, අඩවිය, හෝ OU

දිනපතාම පාහේ ඒ පිළිබඳ පොදු දැනුමක් යැයි මා සිතන දේ පැහැදිලි කිරීමට මට හැකි විය. මෙම ප්‍රශ්නය බොහෝ මූලික ක්‍රියාකාරී නාමාවලි ප්‍රශ්න සඳහා කැනොනිකල් ප්‍රශ්නයක් සහ පිළිතුරක් වනු ඇත. ඔබට මෙම ප්‍රශ්නයට පිළිතුර වැඩිදියුණු කළ හැකි යැයි ඔබට හැඟේ නම්, කරුණාකර සංස්කරණය කරන්න.

ක්‍රියාකාරී නාමාවලිය යනු කුමක්ද?

සක්‍රීය නාමාවලි වසම් සේවා යනු මයික්‍රොසොෆ්ට් හි නාමාවලි සේවාදායකයයි. එය සත්‍යාපනය සහ බලය පැවරීමේ යාන්ත්‍රණයන් මෙන්ම වෙනත් අදාළ සේවාවන් යෙදවිය හැකි රාමුවක් ද සපයයි (AD සහතික සේවා, AD ෆෙඩරල් සේවා, ආදිය). එය වස්තු අඩංගු LDAP අනුකූල දත්ත ගබඩාවකි. බහුලව භාවිතා වන වස්තූන් වන්නේ පරිශීලකයින්, පරිගණක සහ කණ්ඩායම් ය. මෙම වස්තූන් ඕනෑම තාර්කික හෝ ව්‍යාපාරික අවශ්‍යතා අනුව ආයතනික ඒකක (OU) ලෙස සංවිධානය කළ හැකිය. සංවිධානයක් හරහා විවිධ පරිශීලකයින් හෝ පරිගණක සඳහා සැකසුම් කේන්ද්‍රගත කිරීම සඳහා කණ්ඩායම් ප්‍රතිපත්ති වස්තු (GPOs) OU සමඟ සම්බන්ධ කළ හැකිය.

මිනිසුන් "ක්‍රියාකාරී නාමාවලිය" යැයි පැවසූ විට ඔවුන් සාමාන්‍යයෙන් යොමු දක්වන්නේ "ක්‍රියාකාරී නාමාවලි වසම් සේවා" වෙතය. සහතික සේවා, සම්මේලන සේවා, සැහැල්ලු නාමාවලි සේවා, අයිතිවාසිකම් කළමනාකරණ සේවා වැනි වෙනත් ක්‍රියාකාරී නාමාවලි භූමිකාවන් / නිෂ්පාදන ඇති බව සැලකිල්ලට ගැනීම වැදගත්ය. මෙම පිළිතුර විශේෂයෙන් සක්‍රීය නාමාවලි වසම් සේවා වෙත යොමු වේ.

වසමක් යනු කුමක්ද සහ වනාන්තරයක් යනු කුමක්ද?

වනාන්තරයක් යනු ආරක්ෂක මායිමකි. වෙනම වනාන්තරවල වස්තූන් එකිනෙකා සමඟ අන්තර් ක්‍රියා කිරීමට නොහැකි අතර, එක් එක් වෙනම වනාන්තරයේ පරිපාලකයින් ඔවුන් අතර විශ්වාසයක් ඇති කරන්නේ නම් මිස . නිදසුනක් වශයෙන්, domain1.comසාමාන්‍යයෙන් වනාන්තරයක වඩාත්ම වරප්‍රසාද ලත් ගිණුමක් වන ව්‍යවසාය පරිපාලක ගිණුමකට , domain2.comඑම වනාන්තර එකම LAN තුළම පැවතියද, එම ස්ථානයේ විශ්වාසයක් නොමැති නම් , නම් කරන ලද දෙවන වනාන්තරයක කිසිදු අවසරයක් නොමැත. .

ඔබට බහුවිධ ව්‍යාපාර ඒකක තිබේ නම් හෝ වෙනම ආරක්ෂක සීමාවන් අවශ්‍ය නම්, ඔබට වනාන්තර කිහිපයක් අවශ්‍ය වේ.

වසමක් යනු කළමනාකරණ සීමාවකි. වසම් වනාන්තරයක කොටසකි. වනාන්තරයක පළමු වසම වනාන්තර මූල වසම ලෙස හැඳින්වේ. බොහෝ කුඩා හා මධ්‍යම සංවිධානවල (සහ සමහර විශාල ආයතනවල), ඔබට සොයාගත හැක්කේ එක් වනාන්තරයක තනි වසමක් පමණි. වනාන්තර මූල වසම වනාන්තරයේ පෙරනිමි නාම අවකාශය අර්ථ දක්වයි. උදාහරණයක් ලෙස, නව වනාන්තරයක පළමු වසම නම් කර ඇත්නම් domain1.com, එය වනාන්තර මූල වසමයි. ඔබට ළමා වසමක් සඳහා ව්‍යාපාර අවශ්‍යතාවයක් තිබේ නම්, උදාහරණයක් ලෙස - චිකාගෝ හි ශාඛා කාර්යාලයක්, ඔබට ළමා වසම නම් කළ chiහැකිය. මෙම FQDN දරුවා වසමේ වනු ඇතchi.domain1.com. ළමා වසමේ නම වනාන්තර මූල වසමේ නමට පෙර සකස් කර ඇති බව ඔබට පෙනේ. මෙය සාමාන්‍යයෙන් එය ක්‍රියාත්මක වන ආකාරයයි. ඔබට එකම වනාන්තරයේ වි j ටන නාම අවකාශ තිබිය හැකිය, නමුත් එය වෙනස් කාලයක් සඳහා පණුවන්ගේ වෙනමම කෑන් ය.

බොහෝ අවස්ථාවන්හීදී, ඔබට තනි AD වසමක් ලබා ගැනීමට හැකි සෑම දෙයක්ම කිරීමට උත්සාහ කිරීමට අවශ්‍ය වනු ඇත. එය කළමනාකරණය සරල කරන අතර AD හි නවීන අනුවාදයන් OU මත පදනම්ව පාලනය පැවරීම ඉතා පහසු කරයි, එය ළමා වසම්වල අවශ්‍යතාවය අඩු කරයි.

මට අවශ්‍ය ඕනෑම දෙයක් මගේ වසමට නම් කළ හැකිය, නේද?

ඇත්තෙන්ම නැහැ. dcpromo.exe, ඩීසී වෙත සේවාදායකයක් උසස් කිරීම හසුරුවන මෙවලම මෝඩ-සාධනය නොවේ. එය ඔබගේ නම් කිරීම සමඟ නරක තීරණ ගැනීමට ඉඩ සලසයි, එබැවින් ඔබට සැක සහිත නම් මෙම කොටස කෙරෙහි අවධානය යොමු කරන්න. (සංස්කරණය කරන්න: dcpromo 2012 සර්වරයෙන් ඉවත් කර ඇත . Install-ADDSForestPowerShell cmdlet භාවිතා කරන්න හෝ සේවාදායක කළමණාකරු වෙතින් AD DS ස්ථාපනය කරන්න .)

පළමුවෙන්ම, .local, .lan, .corp වැනි TLDs හෝ වෙනත් කිසිම කපටිකමක් භාවිතා නොකරන්න. එම ටීඑල්ඩී වෙන් කර නැත . ICANN දැන් TLDs විකුණයි, එබැවින් mycompany.corpඔබ අද භාවිතා කරන දේ ඇත්ත වශයෙන්ම හෙට කෙනෙකුට අයිති විය හැකිය. ඔබ සතු නම් mycompany.com, එසේ නම් එසේ කිරීමට ස්මාර්ට් දෙයක් වගේ භාවිතය දෙයක් internal.mycompany.comහෝ ad.mycompany.com, ඔබේ අභ්යන්තර ක්රි.ව නම. ඔබ mycompany.comබාහිරව විසඳිය හැකි වෙබ් අඩවියක් ලෙස භාවිතා කරන්නේ නම් , ඔබ එය ඔබේ අභ්‍යන්තර AD නම ලෙස භාවිතා කිරීමෙන් වැළකී සිටිය යුතුය, මන්ද ඔබ බෙදී යන මොළයේ DNS සමඟ අවසන් වනු ඇත.

වසම් පාලක සහ ගෝලීය නාමාවලි

සත්‍යාපනය හෝ බලය පැවරීමේ ඉල්ලීම් වලට ප්‍රතිචාර දක්වන සේවාදායකයක් වසම් පාලකය (DC) වේ. බොහෝ අවස්ථාවන්හීදී, වසම් පාලකයෙකු ගෝලීය නාමාවලියෙහි පිටපතක් තබා ගනී . ගෝලීය නාමාවලිය (GC) යනු වනාන්තරයක ඇති සියලුම වසම්වල අර්ධ වස්තු සමූහයකි . එය කෙලින්ම සෙවිය හැකි ය, එයින් අදහස් කරන්නේ ඉලක්කගත වසමේ ඩීසී වෙත යොමු කිරීමකින් තොරව හරස් වසම් විමසීම් සාමාන්‍යයෙන් ජීසී මත සිදු කළ හැකි බවයි. වරාය 3268 (එස්එස්එල් භාවිතා කරන්නේ නම් 3269) හි ඩීසී විමසනු ලැබුවහොත්, ජීසී විමසනු ලැබේ. වරාය 389 (එස්එස්එල් භාවිතා කරන්නේ නම් 636) විමසන්නේ නම්, සම්මත LDAP විමසුමක් භාවිතා කරනු ලබන අතර වෙනත් වසම්වල පවතින වස්තු සඳහා යොමු කිරීමක් අවශ්‍ය විය හැකිය .

පරිශීලකයෙකු ඔවුන්ගේ AD අක්තපත්‍ර භාවිතා කරමින් AD වෙත සම්බන්ධ වූ පරිගණකයකට පිවිසීමට උත්සාහ කරන විට, ලුණු දැමූ සහ හැෂ් කළ පරිශීලක නාමය සහ මුරපද සංයෝජනය DC වෙත පරිශීලක ගිණුම සහ පිවිසෙන පරිගණක ගිණුම යන දෙකටම යවනු ලැබේ. ඔව්, පරිගණක ලොග් වීමත්. මෙය වැදගත් ය, මන්ද යමෙක් ක්‍රි.ව. හි පරිගණක ගිණුමට යමක් සිදුවුවහොත්, යමෙකු ගිණුම නැවත සකස් කිරීම හෝ මකා දැමීම වැනි, පරිගණකය සහ වසම අතර විශ්වාස සම්බන්ධතාවයක් නොපවතින බව ඔබට දෝෂයක් ඇතිවිය හැකිය. ඔබගේ ජාල අක්තපත්‍ර හොඳ වුවද, වසමට පිවිසීමට පරිගණකය තවදුරටත් විශ්වාස නොකරයි.

වසම් පාලක ලබා ගැනීමේ හැකියාව

මට අසන්නට ලැබෙන්නේ “මට ප්‍රාථමික වසම් පාලකයක් (පීඩීසී) ඇති අතර මම විශ්වාස කිරීමට කැමති බොහෝ විට උපස්ථ වසම් පාලකයක් (බීඩීසී) ස්ථාපනය කිරීමට අවශ්‍යය. පීඩීසී සහ බීඩීසී යන සංකල්පය වින්ඩෝස් එන්ටී 4 සමඟ මිය ගියේය. පීඩීසී සඳහා අවසාන බලකොටුව වූයේ ඔබ තවමත් එන්ටී 4 ඩීසී ඇති විට වින්ඩෝස් 2000 සංක්‍රාන්ති මිශ්‍ර මාදිලියේ ක්‍රි.ව. මූලික වශයෙන්, ඔබ කිසි විටෙකත් උත්ශ්‍රේණිගත නොකළ අවුරුදු 15+ පැරණි ස්ථාපනයකට සහය නොදක්වන්නේ නම්, ඔබට ඇත්ත වශයෙන්ම පීඩීසී හෝ බීඩීසී නැත, ඔබට ඇත්තේ වසම් පාලක දෙකක් පමණි.

විවිධ පරිශීලකයින්ගෙන් සහ පරිගණක වලින් සත්‍යාපන ඉල්ලීම්වලට එකවර පිළිතුරු සැපයීමට බහු ඩීසී වලට හැකියාව ඇත. එකක් අසමත් වුවහොත්, අනෙක් අය ඔබට එන්ටී 4 දිනවලදී කළ යුතුව තිබූ පරිදි "ප්‍රාථමික" එකක් නොකර සත්‍යාපන සේවා ලබා දෙනු ඇත. වසමකට අවම වශයෙන් DC දෙකක්වත් තිබීම වඩාත් සුදුසුය . මෙම ඩීසී දෙකම GC පිටපතක් තබා ගත යුතු අතර දෙකම ඔබගේ වසම සඳහා සක්‍රීය නාමාවලි ඒකාබද්ධ DNS කලාපවල පිටපතක් ඇති DNS සේවාදායකයන් විය යුතුය.

FSMO කාර්යභාරය

"ඉතින්, පීඩීසී නොමැති නම්, එක් ඩීසී එකකට පමණක් තිබිය හැකි පීඩීසී භූමිකාවක් ඇත්තේ මන්ද?"

මට මේක ගොඩක් ඇහෙනවා. ඒ නිසා එය PDC ප්රොජෙක්ට් භූමිකාව. එය පීඩීසී වීමට වඩා වෙනස් ය. ඇත්ත වශයෙන්ම, නම්යශීලී තනි මාස්ටර් මෙහෙයුම් භූමිකාවන් 5 ක් ඇත (FSMO) . මේවා ඔපරේෂන් මාස්ටර් භූමිකාවන් ලෙසද හැඳින්වේ. පද දෙක එකිනෙකට හුවමාරු වේ. ඔවුන් මොනවාද සහ ඔවුන් කරන්නේ කුමක්ද? හොඳ ප්රශ්නයක්! භූමිකාවන් 5 සහ ඒවායේ ක්‍රියාකාරිත්වය:

වසම් නම් කිරීමේ මාස්ටර් - වනාන්තරයකට ඇත්තේ එක් වසම් නම් කිරීමේ මාස්ටර් පමණි. වසමකට නව වසමක් එකතු කළ විට එය අද්විතීය බව වසම් නම් කිරීමේ මාස්ටර් සහතික කරයි. මෙම භූමිකාව දරණ සේවාදායකය නොබැඳි නම්, ඔබට නව ළමා වසම් එකතු කිරීම වැනි දෑ ඇතුළත් වන AD නාම අවකාශයේ වෙනස්කම් කිරීමට නොහැකි වනු ඇත.

ස්කීමා මාස්ටර් - වනාන්තරයක ඇත්තේ එක් ස්කීමා මෙහෙයුම් මාස්ටර් පමණි. සක්‍රීය නාමාවලි යෝජනා ක්‍රමය යාවත්කාලීන කිරීම එහි වගකීම වේ. ඩීසී ලෙස ක්‍රියා කරන වින්ඩෝස් සේවාදායකයේ නව සංස්කරණයක් සඳහා ක්‍රි.ව. සූදානම් කිරීම හෝ හුවමාරුව ස්ථාපනය කිරීම වැනි මේ සඳහා අවශ්‍ය කාර්යයන් සඳහා යෝජනා ක්‍රම වෙනස් කිරීම් අවශ්‍ය වේ. මෙම වෙනස් කිරීම් ස්කීමා මාස්ටර් වෙතින් කළ යුතුය.

යටිතල පහසුකම් මාස්ටර් - වසමකට එක් යටිතල පහසුකම් මාස්ටර් ඇත. ඔබේ වනාන්තරයේ ඇත්තේ තනි වසමක් පමණක් නම්, ඔබ ඒ ගැන කරදර විය යුතු නැත. ඔබට වනාන්තර කිහිපයක් තිබේ නම්, වනාන්තරයේ සෑම ඩීසී එකක්ම ජීසී එකක් නොවන්නේ නම්, මෙම භූමිකාව ජීසී දරන්නෙකු වන සේවාදායකයකු විසින් ඉටු නොකිරීමට වග බලා ගත යුතුය . හරස් වසම් යොමු කිරීම් නිසි ලෙස හසුරුවා ඇති බවට වග බලා ගැනීම යටිතල පහසුකම් මාස්ටර්ගේ වගකීම වේ. එක් වසමක පරිශීලකයෙකු වෙනත් වසමක කණ්ඩායමකට එකතු කරනු ලැබුවහොත්, සැක සහිත වසම් සඳහා යටිතල පහසුකම් මාස්ටර් එය නිසි ලෙස හැසිරවීමට වග බලා ගන්න. ගෝලීය නාමාවලියක තිබේ නම් මෙම භූමිකාව නිවැරදිව ක්‍රියා නොකරනු ඇත.

RID Master - DC වලට RID තටාක නිකුත් කිරීමේ වගකීම සාපේක්ෂ ID මාස්ටර් (RID Master) සතුය. එක් වසමකට එක් RID මාස්ටර් ඇත. AD වසමක ඇති ඕනෑම වස්තුවකට අද්විතීය ආරක්ෂක හඳුනාගැනීමක් (SID) ඇත. මෙය සෑදී ඇත්තේ වසම් හඳුනාගැනීමේ සහ සාපේක්ෂ හඳුනාගැනීමේ සංයෝජනයකිනි. දී ඇති වසමක ඇති සෑම වස්තුවකටම එකම වසම් හඳුනාගැනීමක් ඇත, එබැවින් සාපේක්ෂ අනන්‍යතාවය යනු වස්තු අද්විතීය කරයි. සෑම DC එකකටම භාවිතා කිරීමට සාපේක්ෂ හැඳුනුම්පත් සංචිතයක් ඇත, එබැවින් එම DC නව වස්තුවක් නිර්මාණය කරන විට, එය තවමත් භාවිතා කර නොමැති RID එකක් එකතු කරයි. DC වලට අතිච්ඡාදනය නොවන තටාක නිකුත් කර ඇති බැවින්, සෑම RID එකක්ම වසමේ ආයු කාලය සඳහා අද්විතීය විය යුතුය. DC යකට එහි සංචිතයේ R 100 RID ප්‍රමාණයක් ඉතිරි වූ විට, එය RID ස්වාමියාගෙන් නව සංචිතයක් ඉල්ලා සිටී. RID මාස්ටර් දිගු කාලයක් නොබැඳි නම්, වස්තු නිර්මාණය අසාර්ථක විය හැකිය.

පීඩීසී ඉමුලේටරය - අවසාන වශයෙන්, ඔවුන් සියල්ලන්ගේම වඩාත්ම වැරදියට වටහාගෙන ඇති භූමිකාව වන පීඩීසී ඉමුලේටර් භූමිකාව වෙත අපි පිවිසෙමු. එක් වසමකට එක් පීඩීසී ඉමුලේටරයක් ​​ඇත. සත්‍යාපනය කිරීමේ උත්සාහයක් අසාර්ථක වුවහොත් එය පීඩීසී ඉමුලේටරය වෙත යොමු කරනු ලැබේ. එක් ඩීසී එකක මුරපදයක් යාවත්කාලීන කර ඇති අතර අනෙක් ඒවාට තවමත් අනුරූපණය කර නොමැති නම් පීඩීසී ඉමුලේටරය “ටයි බ්‍රේකර්” ලෙස ක්‍රියා කරයි. පීඩීසී ඉමුලේටරය ද වසම හරහා කාල සමමුහුර්තකරණය පාලනය කරන සේවාදායකය වේ. අනෙකුත් සියලුම DC යන් ඔවුන්ගේ කාලය PDC Emulator වෙතින් සමමුහුර්ත කරයි. සියලුම සේවාදායකයින් තමන් පිවිසී ඇති DC වෙතින් ඔවුන්ගේ කාලය සමමුහුර්ත කරයි. සෑම දෙයක්ම මිනිත්තු 5 ක් ඇතුළත පැවතීම වැදගත්ය, එසේ නොමැතිනම් කර්බෙරෝස් කැඩී යන අතර එය සිදු වූ විට, සියල්ලෝ අ .ති.

මතක තබා ගත යුතු වැදගත්ම දෙය නම්, මෙම භූමිකාවන් ක්‍රියාත්මක වන සේවාදායකයන් ගල් වලින් සකසා නොමැති බවයි. මෙම භූමිකාවන් එහා මෙහා ගෙනයාම සාමාන්‍යයෙන් සුළුපටු ය, එබැවින් සමහර ඩීසී යන් අනෙක් ඒවාට වඩා තරමක් වැඩි යමක් කරයි, ඒවා කෙටි කාලයක් සඳහා බැස ගියහොත්, සියල්ල සාමාන්‍යයෙන් ක්‍රියාත්මක වේ. ඔවුන් දීර් down කාලයක් තිස්සේ පහත් නම්, විනිවිද පෙනෙන ලෙස භූමිකාවන් මාරු කිරීම පහසුය. එය එන්ටී 4 පීඩීසී / බීඩීසී දිනවලට වඩා හොඳයි, එබැවින් කරුණාකර ඔබේ ඩීසී යන් එම පැරණි නම් වලින් ඇමතීම නවත්වන්න. :)

ඉතින්, ම් ... ඩීසී වලට එකිනෙකාගෙන් ස්වාධීනව ක්‍රියා කළ හැකි නම් තොරතුරු බෙදාගන්නේ කෙසේද?

අනුරූකරණය, ඇත්ත වශයෙන්ම . පෙරනිමියෙන්, එකම වෙබ් අඩවියේ එකම වසමට අයත් DCs තත්පර 15 ක පරතරයකින් ඔවුන්ගේ දත්ත එකිනෙකාට අනුකරණය කරයි. සෑම දෙයක්ම සාපේක්ෂව යාවත්කාලීනව පවතින බවට මෙය සහතික කරයි.

ක්ෂණික අනුරූකරණයක් අවුලුවන "හදිසි" සිදුවීම් කිහිපයක් තිබේ. මෙම සිදුවීම් නම්: බොහෝ අසාර්ථක පිවිසුම් සඳහා ගිණුමක් අගුළු දමා ඇත, වසම් මුරපදය හෝ ලොක out ට් ප්‍රතිපත්ති වල වෙනසක් සිදු කර ඇත, LSA රහස වෙනස් කර ඇත, DC පරිගණක පරිගණක ගිණුමක මුරපදය වෙනස් කර ඇත, නැතහොත් RID මාස්ටර් භූමිකාව මාරු කරනු ලැබේ. නව ඩීසී එකකට. මෙම ඕනෑම සිදුවීමක් ක්ෂණික අනුරූකරණ සිදුවීමක් අවුලුවනු ඇත.

මුරපද වෙනස් කිරීම හදිසි හා හදිසි නොවන අතර කොතැනක හෝ වැටෙන අතර ඒවා අද්විතීය ලෙස හසුරුවනු ලැබේ. පරිශීලකයාගේ මුරපදය වෙනස් කර ප්‍රතිවිකුණුම් සිදුවීමට පෙර DC01සත්‍යාපනය කරන පරිගණකයකට පරිශීලකයෙකු පිවිසීමට උත්සාහ කරන්නේ නම් DC02, මෙය අසාර්ථක වනු ඇතැයි ඔබ අපේක්ෂා කරයි නේද? වාසනාවකට එය සිදු නොවේ. DC03පීඩීසී ඉමුලේටර් භූමිකාව දරණ තුන්වන ඩීසී එකක් ද මෙහි ඇතැයි උපකල්පනය කරන්න . DC01පරිශීලකයාගේ නව මුරපදය සමඟ යාවත්කාලීන කළ විට , එම වෙනස වහාම ප්‍රතිවර්තනය වේ DC03. ඔබ සත්‍යාපනය කිරීමේ උත්සාහය DC02අසාර්ථක වූ විට, DC02එම සත්‍යාපන උත්සාහය ඉදිරියට DC03යොමු කරයි, එය සත්‍ය වශයෙන්ම හොඳ බව සනාථ කරන අතර පිවිසුමට අවසර ඇත.

අපි DNS ගැන කතා කරමු

නිසියාකාරව ක්‍රියාත්මක වන ක්‍රි.ව. නිල මයික්‍රොසොෆ්ට් පක්ෂ රේඛාව නම් ඕනෑම ඩීඑන්එස් සේවාදායකයක් නිසියාකාරව සකසා ඇත්නම් එය භාවිතා කළ හැකි බවයි. ඔබගේ AD කලාප සත්කාරකත්වය දැක්වීමට ඔබ උත්සාහ කර BIND භාවිතා කරන්නේ නම්, ඔබ ඉහළයි. බරපතල ලෙස. AD ඒකාබද්ධ DNS කලාප භාවිතා කරමින් රැඳී සිටින්න සහ ඔබට අවශ්‍ය නම් වෙනත් කලාප සඳහා කොන්දේසි සහිත හෝ ගෝලීය ඉදිරියට යවන්නන් භාවිතා කරන්න. ඔබේ සේවාදායකයින් සියල්ලම ඔබගේ AD DNS සේවාදායකයන් භාවිතා කිරීම සඳහා වින්‍යාසගත කළ යුතුය, එබැවින් මෙහි අතිරික්තයක් තිබීම වැදගත්ය. ඔබට ඩීසී දෙකක් තිබේ නම්, ඔවුන් දෙදෙනාම ඩීඑන්එස් ධාවනය කර ඔබේ සේවාදායකයින්ට නාම විභේදනය සඳහා ඒ දෙකම භාවිතා කිරීමට වින්‍යාස කරන්න.

එසේම, ඔබට ඩීසී එකකට වඩා තිබේ නම්, ඔවුන් ඩීඑන්එස් විසර්ජනය සඳහා පළමුවෙන්ම ලැයිස්තුගත නොකරන බවට වග බලා ගැනීමට ඔබට අවශ්‍ය වනු ඇත. මෙය ඔවුන් "අනුරූකරණ දූපතක" සිටින විට AD හි අනුරූකරණ ස්ථලකයේ සෙසු කොටස් වලින් විසන්ධි වී ඇති අතර නැවත ලබා ගත නොහැකි තත්වයකට මඟ පෑදිය හැකිය. ඔබට සේවාදායක දෙකක් තිබේ නම් DC01 - 10.1.1.1සහ DC02 - 10.1.1.2ඔවුන්ගේ DNS සේවාදායක ලැයිස්තුව මේ ආකාරයට වින්‍යාසගත කළ යුතුය:

සේවාදායකය: DC01 (10.1.1.1)
ප්‍රාථමික DNS - 10.1.1.2
ද්විතීයික DNS - 127.0.0.1

සේවාදායකය: DC02 (10.1.1.2)
ප්‍රාථමික DNS - 10.1.1.1
ද්විතීයික DNS - 127.0.0.1

හරි, මෙය සංකීර්ණ බවක් පෙනේ. මට කිසිසේත් AD භාවිතා කිරීමට අවශ්‍ය ඇයි?

මන්ද ඔබ කරන්නේ කුමක්දැයි දැනගත් පසු, ඔබේ ජීවිතය අනන්තවත් යහපත් වේ. පරිශීලක සහ පරිගණක කළමනාකරණය කේන්ද්‍රගත කිරීමට මෙන්ම සම්පත් ප්‍රවේශය සහ භාවිතය කේන්ද්‍රගත කිරීමට AD ඉඩ දෙයි. ඔබ කාර්යාලයක පරිශීලකයින් 50 ක් සිටින තත්වයක් ගැන සිතන්න. සෑම පරිගණකයකටම එක් එක් පරිශීලකයාට තමන්ගේම පිවිසුමක් ලබා ගැනීමට ඔබට අවශ්‍ය නම්, ඔබට සෑම පරිගණකයකම දේශීය පරිශීලක ගිණුම් 50 ක් වින්‍යාස කිරීමට සිදුවේ. AD සමඟ, ඔබට කළ යුතුව ඇත්තේ එක් වරක් පමණක් වන අතර එයට පෙරනිමියෙන් වසමේ ඕනෑම පරිගණකයකට පිවිසිය හැකිය. ඔබට ආරක්ෂාව දැඩි කිරීමට අවශ්‍ය නම්, ඔබට එය 50 වතාවක් කළ යුතුය. බියකරු සිහිනයක් වර්ග කිරීම නේද? ඔබට ලිපිගොනු හුවමාරුවක් ඇති බව සිතන්න, ඔබට අවශ්‍ය වන්නේ එම පුද්ගලයින්ගෙන් අඩක් පමණි. ඔබ AD භාවිතා නොකරන්නේ නම්, ඔබට පෙනෙන පරිදි ප්‍රවේශය ලබා දීම සඳහා ඔවුන්ගේ පරිශීලක නාමය සහ මුරපද සේවාදායකයේ අතින් පිටපත් කිරීමට අවශ්‍ය වනු ඇත, නැතහොත් ඔබ හවුල් ගිණුමක් සාදා සෑම පරිශීලකයෙකුටම පරිශීලක නාමය සහ මුරපදය ලබා දිය යුතුය. එක් ක්‍රමයක් නම් පරිශීලකයින්ගේ මුරපද ඔබ දන්නා (සහ නිරන්තරයෙන් යාවත්කාලීන කළ යුතුය). අනෙක් ක්‍රමය නම් ඔබට විගණන මාර්ගයක් නොමැති බවයි. හොඳ නෑ නේද?

ඔබ AD පිහිටුවන විට කණ්ඩායම් ප්‍රතිපත්තිය භාවිතා කිරීමේ හැකියාවද ඔබට ලැබේ. කණ්ඩායම් ප්‍රතිපත්තිය යනු OU සමඟ සම්බන්ධ වී ඇති වස්තු සමූහයකි, එම පරිශීලකයින් සහ / හෝ එම OU වල පරිගණක සඳහා සැකසුම් අර්ථ දක්වයි. උදාහරණයක් ලෙස, විද්‍යාගාර 500 ක් සඳහා ආරම්භක මෙනුවේ "වසා දැමීම" නොමැති වන පරිදි ඔබට එය සෑදීමට අවශ්‍ය නම්, කණ්ඩායම් ප්‍රතිපත්තියේ එක් සැකසුමකින් ඔබට එය කළ හැකිය. නිසි රෙජිස්ට්‍රි ඇතුළත් කිරීම් අතින් වින්‍යාස කිරීමට පැය හෝ දින ගත කරනවා වෙනුවට, ඔබ එක් වරක් කණ්ඩායම් ප්‍රතිපත්ති වස්තුවක් නිර්මාණය කර, එය නිවැරදි OU හෝ OU සමඟ සම්බන්ධ කරන්න, නැවත කිසි දිනෙක ඒ ගැන සිතීමට අවශ්‍ය නැත. වින්‍යාසගත කළ හැකි GPO සිය ගණනක් ඇති අතර, කණ්ඩායම් ප්‍රතිපත්තියේ නම්‍යශීලීභාවය ව්‍යවසාය වෙළඳපොළ තුළ මයික්‍රොසොෆ්ට් මෙතරම් ප්‍රමුඛ වීමට එක් ප්‍රධාන හේතුවකි.

සටහන: වනාන්තර, ළමා වසම්, ගස්, අඩවි සහ OU අතර ඇති වෙනස්කම් ගැන විමසූ වෙනස් ප්‍රශ්නයකින් මෙම පිළිතුර මෙම ප්‍රශ්නයට ඒකාබද්ධ කරන ලදි. මෙම නිශ්චිත ප්‍රශ්නයට පිළිතුරක් ලෙස මෙය මුලින් ලියා නැත.

වන

ඔබට ආරක්ෂක සීමාවක් අවශ්‍ය වූ විට නව වනාන්තරයක් නිර්මාණය කිරීමට ඔබට අවශ්‍යය. උදාහරණයක් ලෙස, ඔබ AD සමඟ කළමනාකරණය කිරීමට බලාපොරොත්තු වන පරිමිත ජාලයක් (DMZ) තිබිය හැක, නමුත් ආරක්ෂක හේතූන් මත ඔබේ අභ්‍යන්තර AD පරිමිතිය ජාලය තුළ ලබා ගැනීමට ඔබට අවශ්‍ය නැත. මෙම අවස්ථාවේ දී, එම ආරක්ෂක කලාපය සඳහා නව වනාන්තරයක් නිර්මාණය කිරීමට ඔබට අවශ්‍ය වනු ඇත. ඔබ එකිනෙකා විශ්වාස නොකරන බහු ආයතන තිබේ නම් ඔබට මෙම වෙන්වීම අවශ්‍ය විය හැකිය - නිදසුනක් ලෙස ස්වාධීනව ක්‍රියාත්මක වන තනි ව්‍යාපාර ඇතුළත් වන ෂෙල් සංස්ථාව. මෙම අවස්ථාවේ දී, ඔබට අවශ්‍ය වන්නේ එක් එක් ආයතනයට තමන්ගේම වනාන්තරයක් තිබීමයි.

ළමා වසම

ඇත්ත වශයෙන්ම, ඔබට මේවා තවදුරටත් අවශ්‍ය නොවේ. ඔබට ළමා වසමක් අවශ්‍ය විට හොඳ උදාහරණ කිහිපයක් තිබේ. උරුම වීමට හේතුව විවිධ මුරපද ප්‍රතිපත්ති අවශ්‍යතා නිසා වන නමුත් මෙය තවදුරටත් වලංගු නොවේ, මන්ද 2008 සේවාදායකයේ සිට සියුම් මුරපද ප්‍රතිපත්ති තිබේ. ඔබට ඇත්ත වශයෙන්ම ළමා වසමක් අවශ්‍ය වන්නේ ඔබට ඇදහිය නොහැකි දුර්වල ජාල සම්බන්ධතාවයක් ඇති ප්‍රදේශ තිබේ නම් සහ ඔබට අවශ්‍ය නම් අනුරූකරණ ගමනාගමනය විශාල ලෙස අඩු කිරීම සඳහා - චන්ද්‍රිකා WAN සම්බන්ධතාවය සහිත නෞකාවක් හොඳ නිදසුනකි. මෙම අවස්ථාවෙහිදී, සෑම ක ship ස් නෞකාවක්ම තමන්ගේම ළමා වසමක් විය හැකි අතර, එම සමාගමෙන් වෙනත් වසම් වලට සමාන වනාන්තරයක සිටීමේ වාසි ලබා ගැනීමට හැකි වන අතරම සාපේක්ෂව ස්වයං අන්තර්ගතය සඳහා.

ගස

මෙය අමුතු බෝලයකි. තනි වනාන්තරයක කළමනාකරණ ප්‍රතිලාභ පවත්වා ගැනීමට ඔබට අවශ්‍ය වූ විට නව ගස් භාවිතා කරන නමුත් නව ඩීඑන්එස් නාම අවකාශයක වසමක් තිබේ. උදාහරණයක් ලෙස corp.example.comවනාන්තර මූල විය හැකි නමුත් ඔබට ad.mdmarra.comනව ගසක් භාවිතා කරමින් එකම වනාන්තරයක සිටිය හැකිය. ළමා වසම් සඳහා එකම නීති සහ නිර්දේශ මෙහි අදාළ වේ - ඒවා අරපිරිමැස්මෙන් භාවිතා කරන්න. ඒවා සාමාන්‍යයෙන් නූතන AD වල අවශ්‍ය නොවේ.

අඩවිය

වෙබ් අඩවියක් ඔබේ ජාලයේ භෞතික හෝ තාර්කික මායිම නියෝජනය කළ යුතුය. උදාහරණයක් ලෙස ශාඛා කාර්යාල. විවිධ ප්‍රදේශවල වසම් පාලකයන් සඳහා අනුරූකරණ හවුල්කරුවන් බුද්ධිමත්ව තෝරා ගැනීමට අඩවි භාවිතා කරයි. අඩවි නිර්වචනය නොකර, සියලුම ඩීසී යන් එකම භෞතික ස්ථානයක සිටිනු ලෙස සලකනු ලබන අතර දැල ස්ථලකයක අනුරූපණය වේ. ප්‍රායෝගිකව, බොහෝ සංවිධාන වින්‍යාසගත කර ඇත්තේ තර්කානුකූලව කේන්ද්‍රස්ථානයක වන අතර එබැවින් මෙය පිළිබිඹු වන පරිදි අඩවි සහ සේවාවන් වින්‍යාසගත කළ යුතුය.

වෙනත් යෙදුම් අඩවි සහ සේවාවන් ද භාවිතා කරයි. DFS එය නාම අවකාශ යොමු කිරීම් සහ අනුරූකරණ සහකරු තෝරා ගැනීම සඳහා භාවිතා කරයි. විමසීමට "ළඟම" ගෝලීය නාමාවලිය සොයා ගැනීමට හුවමාරුව සහ ඉදිරි දැක්ම එය භාවිතා කරයි. ඔබගේ වසමට සම්බන්ධ වූ පරිගණක එය සත්‍යාපනය කිරීම සඳහා "ළඟම ඇති" ඩීසී (ය) සොයා ගැනීමට භාවිතා කරයි. මෙය නොමැතිව, ඔබේ අනුරූකරණ සහ සත්‍යාපන ගමනාගමනය වයිල්ඩ් වෙස්ට් වැනි ය.

ආයතනික ඒකකය

මේවා නිර්මාණය කළ යුත්තේ ඔබේ සංවිධානයේ අවසරය සහ කණ්ඩායම් ප්‍රතිපත්ති යෙදුම සඳහා වන අවශ්‍යතාවය පිළිබිඹු වන අයුරිනි. බොහෝ සංවිධානවලට එක් වෙබ් අඩවියකට එක් OU එකක් ඇත, මන්ද ඔවුන් GPO ඒ ආකාරයට යොදන බැවිනි - මෙය මෝඩ වැඩකි, මන්ද ඔබට අඩවි සහ සේවාවන්ගෙන් වෙබ් අඩවියකට GPO අයදුම් කළ හැකිය. වෙනත් සංවිධාන දෙපාර්තමේන්තුව හෝ ක්‍රියාකාරිත්වය අනුව OU වෙන් කරයි. මෙය බොහෝ දෙනෙකුට අර්ථවත් කරයි, නමුත් ඇත්ත වශයෙන්ම OU නිර්මාණය ඔබේ අවශ්‍යතා සපුරාලිය යුතු අතර එය නම්යශීලී වේ. එය කිරීමට "එක් මාර්ගයක්" නොමැත.

බහුජාතික සමාගම ඉහල මට්ටමේ සවනේසේ තිබිය හැක North America, Europe, Asia, South America, Africaඒ නිසා ඔවුන් මහාද්වීපය මත පදනම් පරිපාලන වරප්රසාද නියෝජිතයන්ට භාර දිය හැකි බව. වෙනත් සංවිධාන ඉහල මට්ටමේ සවනේසේ තිබිය හැක Human Resources, Accounting, Sales, ආදිය ඒවා සඳහා වඩාත් තේරුමක් නම්. වෙනත් සංවිධානවලට අවම ප්‍රතිපත්ති අවශ්‍යතා ඇති අතර සාධාරණ Employee Usersහා සමග “පැතලි” පිරිසැලසුමක් භාවිතා කරන්න Employee Computers. මෙහි ඇත්ත වශයෙන්ම නිවැරදි පිළිතුරක් නැත, එය ඔබේ සමාගමේ අවශ්‍යතා සපුරාලන ඕනෑම දෙයකි.