آشنایی با Active Directory Partitions

 

بررسی Active Directory Partitions :

همانطور که گفته شد، سرویس دایرکتوری برای نگه داری اطلاعات از Data Store های متعددی استفاده می کند به ویژه یک پایگاه داده (DataBase) به نام ntds.dit.  اطلاعاتی که در دایرکتوری ذخیره می شود، به صورت منطقی در بخش هایی به نام Partition (پارتیشن) جای می گیرند. به هر پارتیشن، Naming Context نیز گفته می شود. این بخش های منطقی یا Parition واحد هایی هستند که در Replication استفاده می شوند. برخی از این پارتیشن ها عبارتند از:

Domain Partition : این پارتیشن معرف هر آنچه در دامین وجود دارد می باشد. همانند (Users ، Computers ، Group policy Containers (GPCs . این اطلاعات در هر دامین مخصوص خودش است و  بین دامین های دیگر Replicate نمی شود، اما بین تمام دامین کنترلر های همان دامین Replication می شود. متداول است که به این پارتیشن Domain NC گفته شود.

Configuration Partition: شامل تنظیمات و ساختار منطقی و فیزیکی اکتیو دایرکتوری است. همانند سایت ها، دامین ها و Subnet ها که در بین تمام دامین کنترلر ها در جنگل Replicate می شود.

Schema Partition : این پارتیشن شامل تمام اشیائی است که می تواند در سراسر یک جنگل (Forest) ساخته شود، همچنین معین کننده نوع  مقادیر آن ها است. که در بین تمام دامین کنترلر ها در جنگل Replicate می شود.

* Replication به عمل یکسان ساری اطلاعات دامین کنترلرها  با هم دیگر گفته می شود.

با توجه به انواع پارتیشن ها،  هر دامین کنترلر حداقل سه Replication دارد. هر دامین کنترلری یک نسخه کپی از پارتیشن های مختلف نگه داری می کند که به آن Replica گفته می شود. Replica به معنی نسخه مشابه است.

در گذشته، تمام Replica ها در تمام دامین کنترلرها خواندنی – نوشتنی بود، اما با Read-only Domain Controller ها  قدری این تفکر را تغییر پیدا می کند. در RODC ها، یک نسخه فقط خواندنی از Replica نگه داری می شود. البته نکته قابل توجه آن است که اطلاعات حیاتی با RODC ها Replicate نمی شود همانند Password ها. هرچند که می توان می توان با استفاده از Password Policy در خصوص RODC ها این امکان را ایجاد کرد، اما به غیر از این مورد، موارد دیگری وجود دارند که هیچ گاه با دامین کنترلر های فقط خواندنی Replicate نمی شوند.

بررسی Global Catalog :

تصور کنید جنگلی شامل ۲ دامین است و هر دامین شامل ۲ دامین کنترلر است. بنابراین جنگل شامل ۴ دامین کنترلر است. تمام این دامین کنترلر ها شامل Schema و Configurarion پارتیشن ها می شوند. دامین کنترلر هایی که در در دامین اولی هستند، Domain NC را بین خود Replicate می کنند و همین طور دامین دومی. اکنون اگر یک کاربر در دامین دوم یک کاربر در دامین اول را جستجو (Search) کند چه اتفاقی خواهد افتاد؟ از آنجایی که دامین کنترلرهای دامین دوم هیچ اطلاعاتی در خصوص Users دامین اول را شامل نمی شوند، به این شکل نمی توان جواب این Query را داد. اینجا است که Global Catalog پایش به میان می آید. GC هم یک پارتیشن است که اطلاعات تمام اشاء (Objects) را روی جنگل (Forest) شامل می شود. اما برای بازدهی بهتر، GC شامل تمام ویژگی های یک شیئ نیست ولی شامل بخشی از اطلاعات است که در جستجوی در اکتیو دایرکتوری مفید هستند. هرچند نادرست اما می توان تصور کرد که GC مشابه یک index برای AC است.

در گذشته قدری در اینجا با GC آشنا شدیم و وظایف مختلف آن را دیدم. همچنین دیدم که چگونه باید یک GC Server را تنظیم کنیم. به صورت ایده آل، تمام دامین کنترلرها GC Server هم هستند، اما شاید در همه جا چنین چیزی امکان پذیر نباشد. به عنوان یک قابلیت باید پذیرفت که شبکه ها با سرعتی قابل ملاحظه در حال دسترسی به این ایده آل هستند. در صورتی که یکی از شرایط زیر برقرار باشد توصیه می شود حتما در هر سایتی حداقل یک GC Server وجود داشته باشد:

۱٫ لینک ارتباطی تا نزدیک ترین GC Server کم سرعت است یا اختلال زیادی دارد.

۲٫ سایت شامل یک کامپیوتری است که Exchange Server را اجرا می کند.

۳٫ نرم افزار های دیگری در سایت موجود است که از GC Server استفاده می کنند.

اگر دامینی تمام دامین کنترلرها GC باشند دیگر مدیریت operarion master ها اهمیت چندانی نخواند داشت. در جنگل های با یک دامین شاید چندان آنکه تمام دامین کنترلرها GC باشند کار سختی نباشد چرا که تمام دامین کنترلرها در واقع تمام ویژگی ها و اشیاء را شامل می شوند و در واقع بار اضافی برای سیستم و شبکه ندارد. اما در صورتی که جنگلی بیش از یک دامین داشته باشد، نیاز به مدیریت خاص در هر شرایط دارد و سرعت و کیفیت لینک ها و میزان ترافیک بین سایت ها پر اهمیت ترین فاکتور این مدیریت هستند.

 

بررسی Application Directory Partitions :

Application Directory Partition، پارتیشن محل ذخیره سازی اطلاعاتی است که مربوط به برنامه ها یا سرویس های غیر از سرویس اکتیو دایرکتوری است. برخلاف سایر پارتیشن ها می توان معین کرد که در بین کدام دامین کنترلر ها Replicate شود. هرچند به صورت پیش فرض بین تمام دامین کنترلرها Replicate می شود. این پارتیشن ها می تواند شامل هر نوعی شیئ باشد به غیر از اشیایی که به نحوی با امنیت مرتبط است همانند Users . از آنجایی که Replication این پارتیشن تحت ضوابط خاصی صورت می گیرد، نتایج خوبی در عملکرد و کنترل ترافیک دارد. راحت ترین مثال برای Application Directory Partition  می تواند Microsoft DNS Server باشد. وقتی که یک Zone یکپارچه با اکتیو دایرکتوری (Active Directory Intergrated Zone) ایجاد می کنید، رکورد های DNS توسط Application Directory Partition بین DNS Server ها Replicate می شود. توجه کنید که این اطلاعات بین تمام DC ها Replicate نمی شود.

این مطلب پیش زمینه ای برای مبحث Replication است که در آینده بحث خواهد شد.

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …