Active Directory Child Domain:
اگر قرار است ما برای Forest بیش از یک Child Domain داشته باشیم ، بنابراین نیازمند این هستیم که :
✔️
ابتدا ویندوز Server جدید به مدار اضافه کنید .
✔️
سیستمی که قرار است Child Domain باشد ، حتماً باید IP آن به صورت دستی تنظیم شده باشد و همچنین در بخش تنظیمات DNS از آدرس Loopback استفاده کنید .
( یعنی IP من هر چیزی بود ، خودم DNS خودم هستم ) 👈 127.0.0.1
البته نکته مهمی که حائز اهمیت است ، این سرور قرار است Data را طریق شبکه ، به واسطه Forest بگیرد . لذا حتما باید آدرس Controller 👈 DNS را داشته باشد .
( یعنی در بخش Alternate DNS Servers باید آدرس DNS Server را تایپ کنید ) 👈 10.20.30.1
✔️ البته الزام است که ، کامپیوتر ما از قبل زیر مجموعه Forest مورد نظر باشد . ( بنابراین نیاز است که ابتدا Server 2 را تحت Domain خود قرار دهیم و بعد آن را Child Domain کنیم )
فعال سازی سرویس AD سرور دوم :
✔️ Active Directory جزء Role های ویندوز Server محسوب می شود ، بنابراین در
ویندوز سرور از بخش Server Masnager ، گزینه Add Roles and Features را انتخاب کنید .
✔️ آن چیزی که ما می خواستیم فعال کنیم Role بود نه Feature ، بنابراین در لیست Role ها تیک Active Directory Domain Services را انتخاب کنید .👈 Next و Install .
نصب Promote سرور دوم :
با نصب Active Directory Domain Services فقط زیر ساخت را فراهم کردید و اصل داستان برای اینکه سرور ما Controller دوم باشد ، این است که سرور Promote شود .
بعد از فعال سازی Role ، دو راه جهت Promote وجود دارد :
✔️ گزینه Promote This Server To Domain Controller را در پایان Wizard فعال سازی کلیک کنید .
✔️ یا بر روی Notifications ( پرچم) کلیک کنید .
✔️
در پنجره باز شده گزینه Add a new domain to an existing forest یک Forest وجود دارد و ما Domain آن می شویم .
✔️ New Domain Name : در این قسمت اسم Domain دوم را مشخص کنید . ( Child Domain ساختار Suffix ندارد و Suffix را از Parent به ارث می برد 👈 branch.Hamed.net)
✔️ برای اینکه هر کسی نتواند با یک ویندوز Server وارد شبکه ما شود و خودش را controller معرفی کند و اطلاعاتی از Child Domain ما به دست آورد ، سیستم از ما می خواهد Username و Password وارد کنید . ( با فرمت hamed\administrator 👈 NetBIOS Name )
✔️ در مرحله بعد
Global Catalog (GC) را اختیاری گذاشته است ، زیرا قرار ما بر این بود که ، یک GC کل Forest را کفایت می کند . ( حالا چه اشکالی دارد 2 تا GC داشته باشید )
✔️ پسورد DSRM جهت انجام عمیلات Restory را تایپ کنید . ( ملاحظه می فرمایید هر سرور DSRM خودش را دارد ) 👈 Next و Install
بعد از فعال سازی Child Domain نکاتی حائز اهمیت است :
✔️ در DNS Server مسلماً برای Child Domain یک Zone تشکیل می شود و به یاد داشته باشید که هر Domain رکوردها (SRV Record) و Zone های مربوط به خودش را دارد .
✔️ Parent یک Domain با یک Database است ، Child Domain یک Domain با یک Database دیگر می باشد و این 2 کاملاً از یکدیگر مستقل هستند .
✔️ در DNS Parent آیکن خاکستری رنگی هم نام Domain Child به وجود می آید ، که اصطلاحا به آن DNS Delegation گویند .
داخل آن یک (NS Record) است که Child Domain 👈 Domain Controller را به همراه IP نشان می دهد . در حقیقت آمار Child Domain 👈 DNS در این بخش ثبت می شود .
Trust :
بین Controller های Parent و Child عبارتی به اسم
Trust وجود دارد . Trust یعنی ، اعضای 2 تا Domain که Controller های آنها با هم Trust دارند . این اطمینان و تایید بین Controller ها باعث می شود که اعضای آنها از منابع همدیگر بدون نیاز به User Name و Password استفاده کنند . بنابراین نه تنها کامپیوتر ها و اعضای یک Domain می توانند از منابع همدیگر بی قید و شرط استفاده کنند ، بلکه اعضای 2 تا Domain که Controller های آنها با هم Trust دارند نیز همین شرایط را خواهند داشت .
Trust موفقیت آمیز آن Trust است که ، Controller ها آمار DNS همدیگر را داشته باشند . Parent از طریق DNS Delegation می تواند آمار DNS Child را ببیند ، Child هم از طریق آدرس DNS ثانویه می تواند DNS Parent را ببیند . ( بنابراین Delegation در DNS به این دلیل ساخته شده است که Child Domain رؤیت شود و شما نیازی به تایپ آدرس نداشته باشید )
👈 بررسی شواهد Trust :
برای مشخص کردن اینکه Parent و Child با هم Trust دارند یا خیر ، در بخش Tools سرویس Active Directory Domains And Trusts را فعال کنید . اینکه فقط نام Child Domain را زیر مجموعه Domain شما نشان می دهد از شواهد Trust نیست ، بلکه باید بر روی اسم دامین Propertise گرفته و تب Trust را انتخاب کنید .
Incoming vs Outgoing Trusts :
اگر مثلا ، Domain A به Trust 👈 Domain B داشته باشد ، از دید A این یعنی Outgoing Trusts و از دید B این Incoming Trusts به حساب می آید . البته به یاد داشته باشید که ، Trust خوب ، Trust است که دو طرفه باشد ، یعنی شامل Outgoing Trusts و Incoming Trusts باشد که این باعث می شود استفاده از منابع هم دو طرف باشد .
قائده Transitive :
اگر مثلا ، Domain A به Trust 👈 Domain B داشته باشد و همچنین Domain B به Trust 👈 Domain C داشته باشد ، آنگاه Domain A به Domain C به واسطه Trust 👈 Domain B خواهد داشت ( بنابراین اگر فردا روز Parent صاحب 10 تا Child شد ، شما نیازی ندارید بین Child ها Trust ایجاد کنید ، همه به واسطه پدر Trust دارند )
Remove :
گزینه Remove غیر فعال است ، زیرا این Trust را شما به وجود نیاوردید که بخواهید آن
را Remove کنید .
New Trust :
بعضی اوقات سیستم برای شما Trust ایجاد نمی کند و شما مجبور هستید که شخصاً Trust ایجاد کنید ، بنابرای گزینه New Trust برای روز مبادا طراحی شده است .
👈 یکی از شواهد دیگر Trust این است که ، شما می توانید User ها و Group های Domain Child را از Controller Parent مورد هدف قرار دهید .
مثلا، Folder را در شبکه به اشتراک گذاشتید و می خواهید اعضای Domain Child این فولدر را باز نکنند ، بنابراین Permission باید بر روی Folder قرار دهید . البته جهت اضافه کردن اعضای Child Domain باید گزینه Locations را انتخاب کنید .
👈 قابلیت Change Domain : ( شواهد Trust)
فرض کنید مثلا ، بر روی Child Domain می خواهید یک User بسازید ، اما متأسفانه با خبر شدید که مسئول IT برای یک هفته مرخصی تشریف دارد . حال ما به دنبال یک راه اتصال به غیر از Remote Desktop به Controller هستیم .
✔️ از بخش Tools گزینه Active Directory Users and Computers
را انتخاب کنید .
✔️ بر روی اسم Domain کلیک راست و Change Domain را کلیک کنید .
✔️ نام Child Domain مورد نظر را تایپ کنید .
نکته ای که حائز اهمیت است ، اگر از Child Domain به Parent متصل شوید ، Child Domain هیچ گونه تاثیری را نمی تواند بر روی Parent بگذارد ، زیرا قدرت Enterprise Admins ندارد و به همین دلیل همه چیز را به حالت Read Only می بیند . حتی اگر با تغییر Locations قدرت Enterprise Admins را به User مورد نظر دهید ، به شما Error خواهد داد . این از نشانه های برتری Parent نسبت به Child می باشد . (Parent بر روی Policy Child هم تأثیر می گذارد)