ADS Active Directory Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Distributed Systems Guide

Winteacher.com > Part2 > ADS > Part 1 > Active Directory Logical Structure               

Active Directory Logical Structure

در این بخش به ساختار ADS در شبکه برداخته می شود .

تمامی  Resource های شبکه در ADS بصورت یک Object می باشد .

 
 
Active Directory Domain Hierarchy

این Object ها می تواند سیستم ها و سرویسها و User ها و ... با شد

در داخل هر Domain یک سری امتیاز ها و

Policy های مختلف وجود دارد که در داخل همان Domain ارزش دارند

و نه خارج از آن اما در اینجا یک نکته وجود دارد

که همانند شکل تمامی امتیازها و Policy های موجود در Parent Domain به

دیگر Child Domain ها انتقال می یابد

و آنها از این امتیازها می توانند استفاده کنند معمولا Policy مربوط به یک گروه خاص

به یک Organization Unit OU داده می شود تا این

امتیازات و Policy ها خاص همان گروه قرار بگیرد .در شکل 1.1 می توان

دید که Domain1 در اینجا Parent و بالاتر  از Domain2 می باشد .

در شکل رابطه دوطرفه بین دو Domain مشخص می باشد و همچنین Object های موجود در هر OU .

 

Figure 1.1 Example of a Domain Hierarchy (Organizational Units and Objects)

 

هرDomain می تواند Parent و یا Child دیگر Domain باشد در شکل 1.2 می توانید این مورد را مشاهده کنید .

Figure 1.2 Example of a Domain Hierarchy (Parent/Child)

 
Active Directory Domain Names

از Windows 2000 به بعد برای Name Resolution از DNS استفاده می شود برای مشخص

شدن اینکه کدام  Domain بالاتر و پایین تر می باشد از FQDN استفاده می شود .

برای مشخص شدن نام هر Object درون ADS از NameSpace استاندارد که

توسط DNS  ایجاد شده استفاده می شود .مثلا هر User,Computer توسط این

NameSpace می باشد که مشخص می شود در کجا قرار دارد و عضو کدام گروه می باشد و IP Address آن چه می باشد و ...

پس متوجه شدیم که DNS چه نقش مهمی برای ADS بازی می کند .دیگر NameSpace های متداول در شبکه مانند

NetBIOSهمانند DNS توانایی تقسیم بندی و استفاده مطلوب برای ADS را ندارند میدانید که FQDN بسیار مطلوبتر

می باشد نسبت به NetBIOS Name.در FQDN شما 255 کارکتر می توانید داشته باشید ولی در NetBIOS فقط 16 کارکتر و این یکی

از محدودیتهای NetBIOS می باشد .15 کارکتر + . = 16

با این حال چون از NetBIOS در WIN NT 4 ,WIN95,98 استفاده می شود در شبکه های 2000 این مورد نیز پشتیبانی می شود .

WINS and NetBIOS are not required in an environment where computers run only Windows 2000, but WINS is required for interoperability between Windows 2000–based domain controllers, computers that are running earlier versions of Windows, and applications that depend on the NetBIOS namespace — for example, applications that call NetServerEnum and other "Net*" application programming interfaces (APIs) that depend on NetBIOS.
 
DNS Naming Conventions
A DNS hierarchy is enforced by the following requirements:1. A child domain can have exactly one parent domain. 2. Two children of the same parent cannot have the same name.

قوانینی برای DNS NameSpace وجود دارد اول اینکه یک Child Domain نمی تواند 2 Parent داشته باشد دوم اینکه دو Child Domain مربوط به یک Parent نمی توانند نام یکسان

داشته یاشند .موارد مربوط به DNS و FQDN در قسمت DNS سایت توضیح داده شده .برای اطلاعات بیشتر به این قسمت رجوع کنید .

 
NetBIOS Domain Names

Windows 2000 برای پشتیبانی کردن از سیستم هایی که از NetBIOS برای برقراری ارتباط استفاده می کنند

باید یک NetBIOS Name نیز داشته باشد .درواقع این نام را Domain Controller DC باید

به خود بگیر این نام را در زمان ساختن یک Domain شما باید مشخص کنید این نام 15 کارکتر می باشد

 
Active Directory and DNS

ADS برای مشخص کردن محل خود ودیگر Resource ها  از آدرس DNS استفاده می کنند و دیگر Resource ها نیز

برای پیداکردن DC و Domain ها از طریق DNS Query می باشد که آدرس مقصد را بدست می آورند .

شما در Windows 2000 Server و Windows 2000 Advanced Server می توانید از سرویس

DNS استفاده کنید در زمان نصب سیستم عامل  و در زمان نصب ADS و یا بعد از نصب سیستم عامل می توانید DNS را نصب کنید .

 
DNS Hierarchy and Active Directory

هر سیستمی در DNS یک نام دارد و هر Windows 2000 Domain نیز در DNS یک DNS Name دارد مانند Enterprise.com

هر سیستمی که در داخل آن Domain وجود دارد یک نام کامل یا FQDN دارد مانند Serv2003.Enterprise.com دارد .

این آدرسها در دو جا وجود دارد یکی در ADS و دیگری در DNS Zone که از هر دوی آنها برای عمل Name Resolution استفاده می شود .

DNS stores zones and resource records, and Active Directory stores domains and domain objects. Both systems use a database to resolve names.
DNS resolves domain names and computer names to resource records through requests received by DNS servers as DNS queries to the DNS database.

Active Directory resolves domain object names to object records through requests that are received by domain controllers as LDAP search requests or as modify requests to the Active Directory database.

 

DNS and the Internet

The Internet is a TCP/IP network. Every computer on the Internet or on any other TCP/IP network has an IP address. DNS locates TCP/IP hosts by resolving the computer names that end users understand to the IP addresses that computers understand. For example, the computer name DC1.reskit.com is resolved to the IP address 172.16.44.1. The addresses on the Internet are managed by using the globally distributed DNS database, but DNS can also be implemented locally to manage addresses within private TCP/IP networks. To create a presence on the Internet, it is recommended that an organization register its domain name with an Internet DNS registration agency so that other computers on the Internet can locate its servers, and vice versa. Registration is important to ensure that another organization does not use the same domain name.

Because DNS is the organizational structure of the Internet, the entire Internet is a single global namespace that is subdivided into a set of top-level domains that are then further subdivided into second-level domains. The root of the Internet domain namespace is managed by an Internet authority that is responsible for delegating administrative responsibility for the top-level domains of the DNS namespace and for registering second-level domain names. The top-level domains are the basic domain categories, such as commercial (.com), educational (.edu), and governmental (.gov). Second-level domains represent namespaces that are formally registered to individuals and to institutions and, thus, provide an Internet presence for these individuals and institutions. Their presence is supported by pointers in the relevant top-level domains to DNS servers that are authoritative for an individual's or organization's root domain; for example, name servers that are authoritative for the .com DNS database contain pointers to DNS name servers in the root domain of the private domain (reskit.com). These DNS pointers enable other domains to use the Internet to find the reskit.com domain. Similarly, DNS servers that are authoritative for the root domain for an individual or organization provide pointers to all DNS servers in child domains of the root domain, and so on down the hierarchy. DNS name servers on a private network likewise can contain pointers to Internet name servers if you want to be able to locate other domains on the Internet.

 

Active Directory and the Internet

Active Directory can exist within the scope of the global Internet DNS namespace. When an Internet presence is required by an individual or organization, the Active Directory namespace is maintained as one or more hierarchical Windows 2000 domains beneath a root domain that is registered as a DNS namespace. Registration of individual and organizational root domain DNS names ensures the global uniqueness of all DNS names and provides for the assignment of network addresses that are recorded in the global DNS database. Registration of the DNS name for the root domain of the individual or organization also grants that individual or organization the authority to manage its own hierarchy of child domains, zones, and hosts within the root domain.

Note

An organization might or might not choose to be part of the global Internet DNS namespace. However, even if the organization's root domain is not registered as an Internet DNS namespace, the DNS service is required to locate Windows 2000–based computers in general and Windows 2000–based domain controllers in particular.

 
DNS Host Names and Windows 2000 Computer Names

تاقبل از win2k سیستم های Pre-Win2000 از NetBIOS Name برای عمل Name Resolution استفاده می کردند.

در آنجا سرویس WINS نقش مهمی را ایفا می کرد اما در شبکه های 2000 به بعد این Host Name و یا DNS Name می باشد

که این نقش را برعهده دارند .در شبکه های 2000 برای اینکه یکجور درآمیختگی  بین NetBios Name و Host Name ایجاد

کنند FQDN را بوجود آوردند که تشکیل شده از دو قسمت اول HostName or NetbiosName و دوم DNS Domain Name/DNS Suffix

 

FQDN = Host Name / NetBIOS Name + DNS Domain Name (Primary DNS Suffix)

DC.Enterprise.com

Host Name = DC , DNS Suffix = Enterprise.com

Client1.Reskit.com

Host Name = Client1 , DNS Suffix = Reskit.com

 
 
DNS Name Servers and Zones

در شکل زیر شما می توانید مشاهده کنید که یک FQDN چکونه به کمک دو سرویس ADS,DNS تشکیل می شود .

انواع DNS Zone و چگونگی نصب این سرویس در قسمت DNS کاملا شرح داده شده به همین دلیل شرح بیشتری داه نمی شود .

فقط به این نکته اشاره می شود که یک DNS Zone می تواند اطلاعاتش درون یک فایل Text ذخیره سازی شود و با اینکه اطلاعاتش

درون Active Directory  ذخیره شود که دارای امنیت و فواید بیشتری می باشد (ADS-Integrated DNS Zone).

Figure 1.4 The Client1.reskit.com Computer Object in Active Directory and Its Host Record in DNS

 

در این رابطه برای اطلاعات بیشتر می توانید

به بخش Active Directory Integration and Multimaster Replication در DNS رجوع کنید .

 
Active Directory–Integrated DNS

زمانی که شما اطلاعات DNS را در ADS ذخیره کنید همانند شکل زیر کلیه اطلاعات DNS Zone ها از ADS Database

گرفته می شود در این مورد بدلیل توضیحات در بخش DNS مواردی برای شرح وجود ندارد .

 

Figure 1.5 DNS Zones and DNS Nodes Stored in Active Directory

برای دیدن اطلاعات موجود مانند شکا Figure 1.5 شما در Active Directory Users and Computers می توانید مراحل

زیر را انجام دهید تا اطلاعاتی را  که  بصورت Object در ADS وجود دارد را مشاهده کنید .

To view zones stored in Active Directory

  1. Click Start, point to Programs and Administrative Tools, and then click Active Directory Users and Computers.
  2. In the View menu, click Advanced Features.
  3. Double-click the Domain object, the System object, and then the MicrosoftDNS object to display the dnsZone objects.
  4. Double-click the zone that you want to view.

Example 1.5 DNS Nodes Stored in Active Directory

"Active Directory Users and Computers (MMC)"

 
Support for Dynamic Updates

زمانی که DNS Zone درون ADS ذخیره می شود این feature در دسترس می باشد برای UpDate شدن اطلاعات درون Zone

توسط Client ها در این حالت می باشد که شما بصورت Dynamic و بدون دخالت Admin می توانید همیشه یک Zone پویا و به روز

از اطلاعات داشته باشید در این حالت A Resource Record , PTR Record بصورت Dynamic در DNS Zone برای هر

Computer ایجاد می شود .برای اطلاعات بیشتر به قسمت Dynamic Update and Secure Dynamic Update در DNS رجوع کنید .

در زمانی که DNS Zone درون ADS ذخیره شود بصورت پیش فرض حالت Dynamic Update را پشتیبانی می کند

در حالت Secure Dynamic Update سرویس فقط به سیستم هایی که در شبکه شناسایی می شوند و به رسمیت شناخته

می شوند از طرف ADS اجازه داده می شود که در DNS Zone دارای رکورد باشند این روش امنیت شبکه را بسیار بالا برده .

 
 
ADS Active Directory Service (Farsi User Guide)

LastUpdate:2005/04/05

Winteacher.com > Part2 > ADS > Part 1 > Active Directory Logical Structure