نصب اکتیو دایرکتوری | Active Directory

نصب اکتیو دایرکتوری | Active Directory

اول اکتیو دایرکتوری را کامل براتون میگم و بعد نصب اکتیو دایرکتوریو ادییشنال اکتیو دایرکتوری را توضیح میدم
وارد کانال زیر شوید
کانال آموزش شبکه 

Error های مربوط به اکتیو دایرکتوری DC

اکتیو دایرکتوری یک دیتا بیس هست که ما یک دیتا بیس را مدیریت می کنیم از طریق یک سرویس active directory directory service پس این سرویس سرویسی هست که دیتا بیس sqlرا مدیریت میکند ما برای برقراری ارتباط با این سرویس بر اساس پروتوکل Dap هست که مخفف directory accese protocol هست

AD یا اکتیو دایرکتوری دو نوع کامپوننت داره یا دوتا مولفه

مولفه های لاجیکال و مولفه های فیزیکال

مولفه های لاجیکال logical مولفه هایی هستند شامل domain و object , tree و forest

---

domain دومین

اولین مولفه لاجیکال ما domain دومین هست

object آبجکت

ابجکت کوچکترین مولفه ای که در domain هست

درخت tree

مجموعه ی چندین دومین که با همدیگر trust دو طرفه دارند و از یک ساختار نام مشترکاستفاده میکنند

forest

مجموعه ای از چند تا درخت که ساختار مجرا دارند

OU یا organiz unit

واحد سازمانی تقسیم کردن یک دومین از لحاظ لاجیکال logical

---

کامپوننت های فیزیکال AD

سایت site و دومین کنترل domain control هستند

تعریف سایت Site

تعریف سایت ؟ مجموعه کامپیوتر های که با
یک ارتباط پر سرعت محلی با هم در ارتباط باشند

---

نصب اکتیو دایرکتوری | Active Directory

وقتی یک کامپیوتر را تبدیل میکنیم به یک دومین کنترلر همه این ها ایجاد میشه domain ایجاد میشه و tree ایجاد میشه و forest ایجاد میشه و همچنین سایت هم ایجاد میشه
روی DC  دامین کنترلر، سرویس اکتیو دایرکتوری  AD نصب میشود
AD اکتیو دایرکتوری یک سرویس بزرگی است سرور شما را تبدیل میکند به DC دامین کنترلر یعنی تمام مدیریت ها Manage ها و گروه ها و سکیوریتی ها وپالسی ها همه از پشت DC انجام میشود

---

شرایطی که ما بخواهییم یک اکتیو دایرکتوری را نصب کنیم

1- حتما باید روی سیستم عامل سرور نصب شود

2-باید کارت شبکه متصل به شبکه داشته باشیم و حتما متصل باشه

3- حتما باید روی سیستم عامل سرور نصب شود ما اصولا میگیم سرور ها باید ایپی استاتیک داشته باشند و همیشه دوتا از سرور هامون ایپی استاتیک هستند یکی دومین کنترلر domain controler و یکی dhcp

4- باید یه پارتیشن ntfs داشته باشیم چون میخوایم پرمیشن بدیم

---

نصب اکتیو دایرکتوری
دوتا فاز داره یکی فاز فاندیشن fundatin زیر ساخت هایی که کنسول های مدیریتی را نصب میکند و یک فاز دیگر دیتابیس را نصب میکند تا قبل از windows server 2012 با استفاده از یک دستور کامندی به نام dcpromo و الان هم کار میکنه و اموزش ما به صورت گرافیکال هست از ۲۰۱۲ تا ۲۰۱۹ اکتیو دایرکتوری نصب شون مثل هم بودن و تغیری خاصی نکرده

---

اول اسم کامپیوتر را تغییر می دهیم

روی this pc کلیک راست قسمت change seting نام کامپیوتر را تغییر میدهید

روی this pc کلیک راست قسمت change seting نام کامپیوتر را تغییر میدهید

یا با دستور کامندی sconfig و یه گزینه هست به نام computer name که 2 هست و به راحتی میتونین اسم کامپیوتر را عوض کنید

---

نصب اکتیو دایرکتوری

سپس ایپی و Dns رو تنظیم میکنیم

ترجیحا ایپی خودتون را dns قرار دهید

نصب اکتیو دایرکتوری از طریق سرور منیجمنت server managment

ما میرویم قسمت سرور منیجمنت server managment گزینه add roles and features را کلیک میکنیم

---

میگه این ویزارد به شما کمک میکند یک رول را نصب کنید و قبل از اینکه ادامه بدین تسک های زیر را انجام داده باشین اکانت ادمین رمز کامپلکس داشته باشه و ایپی استاتیک ست کرده باشین

---

ما برای نصب دو تا راه داریم یکی از طریق role base and fetures و دیگری ریموت دسک تاپ که ما فعلا با رول بیس کار داریم

---

سرور رو انتخاب میکنیم

---

اکتیو دایرکتوری دومین سرور رو انتخاب میکنیم active directory domain services و تیک add features رو میزنیم تا فیچرها اظافه بشن

میگه اکتیو دایرکتوری دومین سرور اطلاعاتی را در شبکه ذخیره میکنه در رابطه با ابجکت ها و یوزرها و ادمین ها و همچنین اکتیو دایرکتوری از دومین کنترلرز استفاده میکنه برای اینکه یوزرها بتونن به ریسورس ها دسترسی داشته باشن

گزینه next و بعد install رو میزنیم تا کار نصب انجام بشه

بعد از ریستارت تو قسمت سرور منیجمنت promote میکنیم یعنی کانفیگ کردن

---

نصب اکتیو دایرکتوری

add a new forest
این یعنی اولین فارست هست و اولین دومین هم هست

که ما این گزینه رو میزنیم

در قسمت root domain یک نام دو بخشی
انتخاب میکنیم

---

گزینه های دیگر را براتون توضیح میدهم add a new domain to an existing forest
یعنی forest موجوده میخواهیم دومین جدیدی ایجاد کنیم

گزینه های دیگر را براتون توضیح میدهم add a new domain to an existing forest

این گزینه برای ساخت child و tree هست

---

add a domain controler to an existing domain

میخواهیم دومین کنترلر اضافه کنیم به دومینی که که وجوده

این گزینه برای اکتیو دایرکتوری ادیشنال هست

---

---

ما در این جا دوتا مفهوم داریم تحت عنوان forest functional level و domain functional level

---

domain functional level
یعنی سطح عملیاتی دومین هست و برگرفته از سیستم عامل دومین کنترل های شبکه شماست یعنی پایین ترین دومین کنترل هم تایین کننده هست

یعنی اگر دومین فانکشنال لول domain functional leve را بزاریم 2016 دیگه 2012
را نمی تونیم به عنوان دومین کنترل
استفاده کنیم یعین دومین فانکشنال لول ما تایین کننده هست

اگر ما بخواهیم فارست فانشنال لول Forest functional level را ارتقا بدیم باید اول دومین فانشنال لول Domain functional level را ارتقا بدیم

---

قسمت speacify domain control capability میگه ایتم های خاصی را اضافه میکند

Dns
یا domain name system

میگه میخواهید dns رو نصب کنید دوستان DNS خودش یک سرویس مستقل هست ولی بیشترین وابستگی رادومین کنترل با سرویس dns داره و حتما باید تیک Dns
را بزنید وگرنه بعد ها به مشکل برخورد میکنین

در واقع ما دوتا دومین برامون ایجاد میشه یکی اکتیو دایرکتوری دومین و یکی dns domain و اسم هر دوشون رو من yas.com گذاشتم شما میتونین یه اسم چند بخشی بزنین ولی نباید از ۲۵۶ کارکتر
عبور کنه

نصب اکتیو دایرکتوری

Global catalog

تیک Global catalog اطلاعات کاملی از دومین خودش داره و اطلاعات مختصری از دومین های دیگر رو هم توی خودش جمع میکنه و ما توی هر شبکه حتما یه Global catalog داریم

Rodc

تیک Rodc یعنی read only domain control دومین کنترل نسخه خواندنی هست برای زمانی که امنیت کامل و کافی نداشته باشیم و اولین دومین کنترلر شما نمیتونه Rodc باشه حتما باید Writeable باشه به همین خاطر چک مارکش برداشته

dsrm

گزینه بعدی dsrm هست یک پسوردی را به ما میده تحت عنوان پسورد dsrm یعنی Directory service restor mode وقتی ما خواستیم اکتیو دایرکتوری رو ریستور کنیم باید از این رمز استفاده کنیم

---

نام به دو دسته تقسیم میشوند net bios name یا global name zone و fqdn

ما برای اکتیو دایرکتوری یک اسم Fqdn گذاشتیم به نام yas.com و برای اینکه با ساختار های قدیمی قبل از ویندوز های ۲۰۰۰ بتونیم ارتباط برقرار کنیم یک اسم نت بایوسی هم براش در نظر میگیریم

نام های net bios nameنام های هستند تک بخشی و فقط برای همون شبکه هست

یک نکته هم براتون بگم دو تا دومین نباید یک اسم مشترک نت بایوسی داشته باشند

در این قسمت میگه سه تا مسیر انتخاب کن خودش پیش فرض مشخص کرده

1- database folder

2-log file folder

3- sys file folder

دیتا بیس فولدر پوشه ای برای دیتابیس مون هست و log file پوشه ای برای log ها هست

sys file folder

دیتایی که قراره بین دو تا دومین کنترل share بشن

---

کامپیوتر را داریم ارتقا میدم به دومین کنترلر میگه اون ادمینه باش ارتقا پیدا میکنه میشه ادمین کل دومین

---

نصب اکتیو دایرکتوری | Active Directory

توجه کنید که ایپی خودتون را برای Dns
قرار دهید

بعد از نصب دیگه چیزی به نام lsd یا local نداریم

ما دو یا سه تا یوزر داشته باشیم توی لوکال بعد از نصب اکتیو دایرکتوری میرن جزء گروه domain users دومین یوزرز یعنی در سطح کل دومین هستش یعنی هر جای دومین پشت هر کامپیوتری از دومین می تونه log on کنه

یوزر administrator یوزری هست که توی لوکال ادمین بود و توی دومین هم ادمین میشه یعنی در سطح دومین ادمین هست

---

تفاوت Administrators و domain admin و Enterprise

administrator یعنی در یک کامپیوتر ادمین هست

domain admin در سطح دومین ادمین هست

enterprise admin در سطح forest ادمین هست

---

ما بعد از نصب اکتیو دایرکتوری قسمت administrator tools و گزینه active directory users and computer را باز میکنیم حالا ما به یک دیتا بیسی وصل میشویم که داخل آن یک سری object هست

object ها به دو دسته تقسیم میشوند

یکی container ها و یکی leaf object

container object یک ظرف هستند مثل خود yas.com که built in و domain controlers و computers و usersو داخلش هستند

وقتی users رو باز میکنیم داخلش leaf هست برگ هست توجه کنید ک نیست

تفاوت leaf object ها با هم بر اساس صفاتشون هست

---

domain controlers

ما توی container هامون یک container داریم به نام domain controles

که دومین کنترلرز های شبکه هر چند تا باشند میاداینجا و از جنس ou

چون ou ها محل اعمال پالسی ها هستند و دومین کنترل ها را گذاشتند داخل ou چون سیاست های امنیتی خاصی گذاشته شده

---

دستور کامندی اکتیو دایرکتوری dsa.msc هست

---

نصب اکتیو دایرکتوری

جوین کردن سیستم کلاینت به اکتیو دایرکتوری

جوین کردن کلاینت ها به اکتیو دایرکتوری به دو شیوه هست شیوه poststage و prestage اینجا به شیوه poststage میگیم و prestage برای سرویس wds هست

شرایط جوین کردن سیتم کلاینت به اکتیو دایرکتوری

1- باید ارتباط فیزیکال داشته باشیم هم در لایه سوم و هم در لایه هفتم
لایه سوم همون ping ایپی هست و لایه هفتم ping اکتیو دایرکتوری

مثال ping 192.168.10.8

ping yas.com

یعنی Dns تحلیل نامشو درست انجام میده یا نه

حتما باید dns را تنظیم کنیم تا پینگ اکتیو دایرکتوری گرفته شود و ما میتونیم ایپی سرور را dnsخود سرور بزاریم و در کلاینت هم dns را ایپی سرور که اکتیو دایرکتوریمون نصب کردیم بزاریم

---

برای جوین کردن روی my pc کلیک راست گزینه propertice گزینه change را کلیک میکنیم و در قسمت domain نام دومین را میزنیم و یه کادر باز می شود و میگه به واسطه کدوم ادمین میخواهید این سیستم را جوین کنید

کل سیستم هایی که

کل سیستم هایی که جوین کردیم به دومین میرن توی پوشه computer در اکتیو دایرکتوری

برای مدیریت کردن سیستم های کلاینت دراکتیو دایرکتوری در پوشه computer روی سیستم مورد نظر کلیک راست گزینه manage و قسمت computer mangment اون سیستم را براتون میاره

اکر خطایی رخ داد در نمایش computer managment حتما ارتباط سیستم را چک کنید
ping srv1.yas.com
ping 192.168.10.3
ping srv1
nslookup
ipconfig/flushdns

تفاوت جوین کردن یک کامپیوتر به دومین با domain users و domain admin

یوزر های معمولی که در لول domain user هستند فقط 10 سیستم میتونن به دومین جوین کنند ولی domain admin دومین ادمین ها میتونن نامحدود سیستم به دومین جوین کنند

---

نصب اکتیو دایرکتوری

فعال کردن recycle bin در active directory administrative center

حتما باید domain functional leve بالای 2008 R2 باشد

---

شما هر یوزری پاک کنی میره داخل ریسایکل باین Reyciclebin و تا ۹۰ روز میتونه یوزر های پاکشده رو برگردوند

کنسول Adsl Edit

این کنسول برای دسترسی سطح پایین به دیتابیس اکتیو دایرکتوری هست

برای یادگیری و اموزش های بیشتر وارد کانال زیر شوید
کانال شبکه وmcse

---

روتر چیست و چگونه کار میکند

---

---

---

راه اندازی forest وchild و  tree

همانطور که قبلا گفتیم tree مجموعه ای از چندین دومین domain که از یک ساختار نام مشترک استفاده میکنن و بین دومین ها یک trust دو طرفه وجود دارد

forest فارست مجموعه ای از چند تا درخت هست که از یک ساختار نام مشترک استفاده نمی کند

وقتی ما چند تا دومین کنترلر داشته باشیم بین دومین کنترلر هامون یک اتفاقی می افته تحت نام replicate

---

راه اندازی سناریو child

اول یک ریشه فارست foresst ایجاد میکنیم و گزینه add new forest قسمت root domain name یک اسم fqdn دو بخشی میزاریم به نام yas.com و پسورد dsrm را ست میکنیم

این کادر زردرنگی که delegation
هست الان ایرادش گرفته شد چون اسم دومین مون domain را گذاشتیم yas.com و از com به yas هیچ دلیگیتی delegation پیدا نکرده ولی شما برای child بعدا نگاه کنید این دلیگیت delegate را نشون نمیده چون واسه child دومینش وجود داره و اون delegation انجام میشه

---

سناریو به این صورت هست

من یک فارست forest دارم که yas.com هست که در واقع یک دومین کنترلر داریم و یک dns که ایپی 200.1 را دارد

و دومین دوم ما قراره child اولی باشه و دومین کنترلر باشه هم dns با نام it.yas.com و ایپی خودش dns خودش باشه ولی قسمت alternate dns باید ایپی بالایی باشه-وقتی میخواهیم child یکی دیگه باشیم باید یه سری تایید اعتبارهای یا autenticate لازم را دریافت کنه واون قسمت alternate دقیقا همین کار رو میکنه

dns prefer system 192.168.200.2

یعنی ایپی خودش dns هست

alternate domain name service 192.168.200.1

alternate یعنی dns جایگزین

---

نصب اکتیو دایرکتوری | Active Directory

نصب کردن child

بعد از نصب اکتیو دایرکتوری در سیستم itdc به قسمت promote کردن میرویم وما برای اینکه این سیستم را child فارست مون کنیم yas.com گزینه add a new domain to an existing forest

خوب میگه child شما parentش کیه یعنی پدرش کیه که گذاشتیم yas.com

و گزینه select میگه به اعتبار چه کسی تایید میکنید گذاشتیم yas.com ادمین فارست

و قسمت new domain name را اسم دومین را it خالی گذاشتیم چون این خودش جون child بالا میشه yas.com میشه اتوماتیک it.yas.com میشود

---

در کادر بعد

---

delegation
همیشه از بالا به پایین اعمال میشه و از پایین به بالا forward بشه

گزینه های بعدی یک netbios انتخاب میشه و گزینه install را میزنیم تا child ما ساخته بشه

بعد از اینکه نصب شد اول delegation را بگم به قسمت administrative tools برید و کنسول dns را بازکنید یا از دستور کامندی dnsmgmt.msc استفاده کنید -حالا بروید قسمت forward lockup zones اگر نگاه کنید it به طور اتوماتیک delegation شد

---

در administrative tools

حالا domain & trust منظورم active directory domain and trust را باز میکنیم

توی active director domain and trust ساختار forest مون را نگاه میکنیم میگه یک yas.com هست که یک بچه یا زیر مجموعه داره به نام it.yas.com هست

---

توی administrative tools کنسول active directory site and service در قسمت defult first site name میگه شما دوتا سرور دارین

---

نصب اکتیو دایرکتوری | Active Directory

وقتی دومین child با بالایی دومین forest تراست trust دارن یعنی چی؟

یعنی اینکه ما از دومین فارست میتونیم پرمیشن روی یوزر های child اعمال کنیم در واقع همین که ما با یوزر دومین فارست در دومینchild که log on کنیم خودش trust هست

و همین طور با یوزر child در domain forest میتونیم log on کنیم

یه تنظیم گروپ پالسی انجام میدیم در run دستور gpmc.msc را تایپ میکنیم و گروپ پالسی منیجمنت را باز میکنیم و فارست را انتخاب میکنیم و توی دومین روی defult policy راست کلیک Edit قسمت policy قسمت windows setting و security setting و local policies و user rights Assignments و allow logon localy و اونجا add user میزنی و every one میکنیم

سناریو tree

برای یادگیری و اموزش های بیشتر وارد کانال زیر شوید
کانال شبکه وmcse

---

فایل ntds.dit

در active directory , تمامی اطلاعات مربوط به کاربران ، گروهها و سیستم های موجود در دامین در فایل ntds.dit ذخیره میشه ، همچنین پسورد کاربران به صورت hash در این فایل قرار میگیرد

اکتیو دایرکتوری از پروتوکل kerbros برای اتنتیکت ها استفاده میکند

اکتیو دایرکتوری یک قدرتی دارد به نام LDAP برای سرچ آبجکت object استفاده میشود

یعنی موتور جستجوی اکتیو دایرکتوری می باشد

---

نصب اکتیو دایرکتوری

۱- وظیفه KCC چیست ؟

۲-وظیفه فولدر Netlogon چیست ؟

۳-چه عملیاتی را اعضاء Entetprise Amins می توانند انجام دهند که Domain Admins ها نمی توانند ؟

۴-آیتم ،+COM چیست ؟

۵-ماکزیمم در یک دامین چند DC می توان راه اندازی نمود ؟۶- سه توپولوری اصلی برای Replication در AD چیست و چه کاربردی دارد ؟

۷- در AD ، سیستم Claim Based Access چیست و با چه ماژولی پیاده سازی می شود؟

۸-چگونه به شکل Offline می توان سیستم ها را عضو دامین نمود ؟

۹-از دید طراحی ماکزیمم چند کاربر را می توان در یک گروه قرار داد ؟

۱۰- در اکتیو Lingering Object ها چه هستند ؟

۱۱-چگونه Tombstone lifetime را می توان تغییر داد ؟

۱۲- بازه های زمانی Garbage Collection در AD به شکل پیش فرض چند ساعته می باشد ؟

۱۳ -یک سرور AD چند Object را پشتیبانی می کند ؟

۱۳- وظیفه ISTG چیست ؟

۱۴- فرآیند Urgent Replication چیست ؟

۱۵- آیا می توانید Online و Offline defragmentation را توضیح دهید ؟

۱۶-مفهوم Stale چیست ؟

۱۷- گلوبال کاتالوگ به چه پورتی کار می کند ؟

۱۸- فایل edb.chk و edb.log چه نقشی دارند ؟

۱۹- فرآیند LSDOU چیست ؟

۲۰- وظیفه Fine-grained password policy چیست ؟

۲۱- آیا در پشت سرور RODC می توان Object تعریف نمود ؟

۲۲- آیا سرور RODC در KCC topology لحاظ می شود ؟

۲۳- آیا فرایند Replication امکان Roll-Back دارد ؟

نصب اکتیو دایرکتوری

۲۴- چگونه سرور DC خود را به یک سرور DC در Azure پل بزنیم؟

۲۵- آیا می توان RODC یک DC در Azure بود ؟

۲۶- آیا می توان در GPO اجرای فقط دو app را به کاربران یک OU مشخص داد ؟

۲۷- کاربرد اصلی WAP در دامین چیست ؟

۲۸- از Azure AD چه استفاده ای در حوزه BYOD می شود ؟

۲۹- آیتم Self service reset password چیست ؟

۳۰- آیتم PIM چیست ؟

پوشه sysvol اکتیو دایرکتوری

مسیر پوشه sysvol در ویندوز برای اسکریپت ها
C:\Windows\SYSVOL\sysvol

---