ویندوز سرور دارای یک کنسول مدیریتی قدرتمند و مجتمع است که شما میتوانید تمام Role های شبکه را در یک جا (Server Manager) مدیریت کنید. از دیگر امکانات جالب ویندوز سرور ...
با اینکه چیزی حدود یک سال از انتشار رسمی ویندوز سرور 2008 میگذرد به جرات میتوانم بگویم معدود مدیران شبکهای در ایران وجود دارند که سیستمهای سرور خود را به ویندوز سرور 2008 ارتقا داده باشند. شما با این سیستم عامل هر سناریویی را که در سر بپرورانید میتوانید انجام دهید. اما متاسفانه در ایران هنوز بازار ویندوز سرور 2003 داغ است و حرکت به سوی این فناوری عظیم(win2k8) به کندی صورت میگیرد. و این در حالی است که در همایشهای PDC و winHEC نسخه windows 2008 server R2 هم به صورت آزمایشی رونمایی شد.
در اینجا فقط به معرفی نسخه R2 ویندوز سرور 2008 خواهم پرداخت.
این ویرایش 4 قابلیت اصلی را در محوریت قرار داده است:
ویندوز سرور دارای یک کنسول مدیریتی قدرتمند و مجتمع است که شما میتوانید تمام Roleهای شبکه را در یک جا (Server Manager) مدیریت کنید. از دیگر امکانات جالب ویندوز سرور server core آن است شما با این توانمندی میتوانید ویندوز خود را در حالت مینیمال نصب کنید و بدون رابط گرافیکی(GUI) آن را اجرا کنید. هیچ چیز لذت بخشتر از این نیست که شما با یک کیبورد، صفحه نمایش سیاه و یک خط فرمان کل شبکهتان را مدیریت کنید!! کابران یونیکس،ناول و لینوکس خوب میدانند در مورد چه چیزی صحبت می کنم.!
جالب است بدانید در win2k8-R2 از نسخه دوم نرم افزار power shell به طور پیش فرض استفاده شده است شما به کمک این نرم افزار قدرت زیادی در خط فرمان این سیستم عامل خواهید داشت و البته بسیار راحت میتوانید به اسکریپت نویسی بپردازید. این سیستم عامل در حجم کاری و پردازشهای بالا به طور خودکار پردازشها را کنترل و on یا off میکند و در زمان کاهش بار کاری به پردازشها سرعت میبخشد این عمل در نهایت منجر به کاهش مصرف برق میگردد که در دیتا سنترها تاثیر بسزایی دارد. R2 به گونهایی توسعه داده میشود که کارهای مدیریتی روزانه و تکراری شما را تشخیص میدهد و آنها را به طور خودکار به کنسول مدیریتی میسپارد و در نهایت شما آسانتر و سریعتر به مدیریت دادهها میپردازید.
با این فناوری سیتم عامل شما تبدیل به ماشین مجازی سازی میشود یعنی اینکه میتوانید سیستم عاملها و نرم افزارهای دیگر را به صورت مجازی روی آن سیستم عامل نصب کنید. پیش از این نرم افزارهای جدا از ویندوز این کار را انجام میدانند، اما با کمک فناوری هایپروایزر(hyper-v) مایکروسافت این فناوری با ویندوز سرور 2008 یکپارچه شد و در سال اخیر پیشرفتهایی چشمگیری در این زمینه حاصل شد و هنوز ادامه دارد. با این فناوری میتوانید حداکثر بهرهوری از منابع سخت افزاری را داشته باشید و در نهایت کاهش هزینهها
ویندوز سرور 2008 از IIS7 برای مدیریت وب سایتها استفاده میکند یک سیستم کاملا ماجولگرا دارد و شما هر بخش را میتوانید جداگانه نصب کنید و این به کارایی و امنیت سیستم شما کمک خواهد کرد. IIS7 از asp.net و php پشتیبانی میکند و دیگر نیازی به پلت فرم NET. نخواهید داشت. هدف win2k8-R2 راحتتر کردن مدیریت پلت فرمهای تحت وب و پشتیبانی از نرم افزار های تحت وب میباشد.
شاید قبلا مایکروسافت این حرف را برای ویستا میزد اما ظاهرا تبلیغات منفی رسانهای کار خودش را کرده است و در نسخه R2 دیگر خبری از ویستا نیست. همانطور که میدانید نسل بعدی کلاینتهای مایکروسافت ویندوز 7 خواهد بود. مایکروسافت تمام تلاش خود را خواهد کرد تا فناوریهای استفاده شده در این دو سیستم عامل با هم منطبق و طراحی یکپارچهای داشته باشند. از این قسمت نتیجه خواهیم گرفت که تا چند سال آینده خبری از نسل بعدی ویندوز سرور نخواهد بود و این نشان از قدرت کنونی ویندوز سرور 2008 است.
از آنجایی که بر اساس آمار در کشور آمریکا مدیران شبکه با تجربه در زمینه شبکه یک یا دو بار در محیط واقعی اکتیو دایرکتوری را در تمام طول عمر خود نصب کرده اند، احتمالا برای مدیران تازه کار هیچ گاه فرصت نصب اکتیو دایرکتوری در محیط واقعی پیش نیاید. من در اینجا بسیار به این مسئله اکتیو دایرکتوری بسیار توجه می کنم، تا مدیران ایرانی هم بتوانند مرجع مناسب و به روزی در این خصوص داشته باشند.
در این مقاله قصد دارم تا پیش نیاز های لازم برای نصب این سرویس مهم در ویندوز ۲۰۰۸ را مورد بررسی قرار بدهم، در مقالات بعدی در خصوص نصب این سرویس بسیار صحبت خواهد شد.
همچنین توصیه می کنم مقاله نیاز های سخت افزاری نصب اکتیو دایرکتوری برای یک دامین برنامه ریزی شده بخوانید.
ابتدا نگاهی سریع به آنچه باید آماده کنیم را ذکر می کنم:
۱) حداقل یک پارتیشن NTFS با فضای خالی مناسب
۲) یک اشتراک کاربری مدیر (نام کاربری و کلمه عبور) در ویندوز سرور ۲۰۰۸
۳) کارت شبکه متصل به شبکه (به یک سوییچ، هاب hub و یا یک کامپیوتر دیگر) و IP ثابت
۴) یک DNS Server که می تواند و در برخی موارد توصیه می شود با خود نصب DC و DCpromo نصب شود.
۵) دور اندیشی و برنامه ریزی و...
۱) حداقل یک پارتیشن NTFS با فضای خالی مناسب:
شاید گفتن این مطلب دیگر الزامی نباشد چرا که دیگر اغلب از فایل سیستم NTFS استفاده می شود، اما بر حسب عادت از گذشته و احتمال وجود چنین مسئله این را متذکر می شوم. فلدر SYSVOL باید در یک پارتیشن با فایل سیستم NTFS قرار گیرد. به صورت معمول در %systemdrive% که اغلب C هست قرار می گیرد. حال انکه بسیار بهتر است در یک پارتیشن دیگر قرار گیرد. چنانچه یک پارتیشن NTFS ندارید، از دستور زیر برای تبدیل یکی از پارتیشن ها به NTFS استفاده کنید.
توصیه: فایل سیستم NTFS از سایر فایل سیستم ها بسیار کارا تر است، اگر محدودیتی ندارید حتما از NTFS استفاده کنید.
convert c:/fs:ntfs
معمولا به ۲۵۰ مگابایت (۲۵۰MB) فضای خالی روی پارتیشنی که روی آن فایل های اکتیودایرکتوری قرار می گیرند نیاز است. توجه داشته باشید که این فضا زمانی که از Object ها، Users و Group های بسیاری استفاده کنید بیشتر نیاز است. ضمن انکه در آینده خواهید دید، اکیدا توصیه می شود در صورت امکان برخی فایل ها را روی دو هارد دیسک ذخیره کنید.
۲) یک اشتراک کاربری مدیر (نام کاربری و کلمه عبور) در ویندوز سرور ۲۰۰۸ :
به یاد داشته باشید که فقط local Administrators می توانند اولین دامین را در یک جنگل جدید ایجاد کنند و سایر سناریوها مثل Additional Domain Controller (دامین کنترلر اضافی) به Domain Admins و در سناریوی دامین جدید در درخت موجود به Enterprise Admins نیاز است.
همچنین به ورژن مناسب ویندوز توجه کنید، در اینجا ورژن های Standard ، Enterprise یا Data Center کارا خواهند بود. در خصوص نصب اکتیودایرکتوری در Windows Server ۲۰۰۸ Core با توجه به عدم دسترسی به هیچ GUI در این حالب قدری متفاوت است و در آینده بیشتر در خصوص آن صحبت می کنیم. البته مقاله "نصب اکتیودارکتوری به صورت غیر حضوری Unattended " می تواند قدری به شما در این مورد کمک کند.
۳) کارت شبکه متصل به شبکه (به یک سوییچ، هاب hub و یا یک کامپیوتر دیگر) و IP ثابت :
سرور ضمن داشتن حداقل یک اتصال به حداقل یک شبکه ، باید دارای IP Address به صورت Static هم باشد. برای این منظور چنانچه یک DHCP Server در شبکه دارید، ابتدا حدودیی (Scope) که DHCP Server در آن IP اختصاص می دهد را بررسی کنید و سپس با یافتن یک IP که معمولا در زمان تنطیمات DHCP Server ، برای رشد شبکه و اختصاص به سرور ها رزرو می شود، این آدرس را به صورت دستی به سرور اختصاص دهید. در ضمن چنانچه در DHCP Sever در شبکه استفاده نمی شود ( که عجیب است!!!) به صورت دستی IP ها را در یک Subnet مناسب قرار دهید. معمولا از کلاس C برای اختصاص IP در شبکه های کوچک استفاده می شود. همچنین اگر با IP آشنایی ندارید مقاله "آشنایی اولیه با IP" را بخوانید. چنانچه در زمان نصب اکتیودایرکتوری این شرایط را فراهم نیاورید با پیغام زیر مواجه خواهید شد.
۴) یک DNS Server که می تواند و در برخی موارد توصیه می شود با خود نصب DC و DCpromo نصب شود :
من در خصوص نصب DNS Server در زمان نصب اکتیودایرکتوری (Active Directory) در ویندوز ۲۰۰۳ سرور توصیه کرده بودم که " به صورت دستی و پیش از نصب Active Directory این کار را انجام دهید. اما در ویندوز سرور ۲۰۰۸ به شما توصیه می کنم، چنانچه اولین دامین در یک درخت جدید را ایجاد می کنید، اجازه دهید تا این کار خودکار انجام شود.
اسامی یک قسمتی در DNS Name مشکل ساز خواهند شد:
مایکروسافت اکیدا توصیه می کند تا از اسامی یک قسمتی مثل ( com، Net،Example،ErfanTaheri) استفاده نکنید. همچنین به شما توصیه می کنم که از پسوند local برای تاکید جدایی از وب سایت شرکتتان روی اینترنت استفاده کنید. این مسئله خود باعث جلوگیری از برخی مشکلات( هرچند مشکلات ابتدایی هستند) می شود. مثلا از ErfanTaheri.local و یا Example.local استفاده کنید. البته بسیاری واژه local را در انتهای اسم دامینشان نمی پسندند.
۵) دور اندیشی و برنامه ریزی :
رشد شبکه، مقاومت در برابر خطا و صدها فاکتور دیگر را پیش از نصب اکتیو دایرکتوری در محیط واقعی باید در نظر بگیرید. اشتباهات شما سبب به دردسر افتادن شرکت ها و کارمندان می شود. ضمن آنکه ممکن است عواقبی برای خودتان داشته باشد ، می تواند زیان های مالی و یا معنویی به شرکت ها وارد کند. پس باید در این مرحله بسیار اندیشید و یک طرح و برنامه ریزی دقیق داشت. اکتیو داریکتوری اصلی ترین سرویس در یک شبکه هست و اکثر سرویس های دیگر متاثر از این سرویس خواهند بود.
همچنین برای نصب Active Directory در میحط واقعی باید دارای تجربه و دانش کافی باشید.
در اینجا به بررسی نحوه انجام Replication به صورت Interasite (در یک سایت) و Intersite (بین چند سایت) می پردازیم. در هر دو حالت DC ها برای بهینه سازی ترافیک Replication از یک روش استفاده می کنند. هر چند که یکی از دلایل اصلی برای ساخت سایت ها و مدیریت لینک ها، مدیریت ترافیک Replication است. از آنجایی که سرعت لینک در یک سایت بالا فرض می شود، Replication در یک سایت برای حداکثر سرعت و کمترین نا پیدایی بهینه سازی شده است. نا پیدایی عبارت است مدت زمانی که طول می کشد تا یک شیئ ساخته شده در یک دامین کنترلر در سایر دامین کنترلر های همان سایت از طریق Replication ساخته شود. اما زمانی که سرعت لینک (ها) کم باشد، استفاده بهینه از پهنای باند موجود مهمترین مسئله است. با استفاده از ساختن سایت ها می توانیم، با استفاده از تکنیک های فشرده سازی و زمان بندی کردن Schedule کردن، ترافیک Replication را به بهینه ترین شکل ممکن دربیاوریم.
در Intrasite Replication شرایط زیر موجود است:
معمولا نیازی به ویرایش تنظیمات پیش فرض Intrasite Replication وجود ندارد. با این وجود می توانید گروهی از این تنظیمات را تغییر دهید:
در Intersite Replication شرایط زیر موجود است:
با توجه به فرآیندی که برای Replication در Windows Server 2008 گفته شد، زمانی پس ار به روز رسانی یک Object سپری می شود تا آن به روز رسانی در تمام دامین کنترلر ها اعمال شود. به این مدت زمان، ناپیدایی یا Latency گفته می شود. معمولا محاسبه مدت ناپیدایی ساده است. با توجه به مطالبی که پیش تر در خصوص Replication در یک سایت گفته شد و توپولوژی Replication که در آینده بررسی می شود، حداکثر مدت زمان ناپیدایی در یک سایت با تنظیمات پیش فرض ۱ دقیقه است.
محاسبه زمان ناپیدایی در بین چند سایت، قدری دشوار تر است. برای این منظور ابتدا باید مدت زمان ناپیدایی از DCای که در آن تغییرات اعمال شده تا bridgehead همان سایت محاسبه کرد. پس از مدت زمانی که طول می کشد تا Replication بین دو bridgehead انجام شود باید محاسبه شود. این محاسبه به فاکتور هایی همچون زمان بندی و سرعت لینک دارد. به صورت پیش فرض ۳ساعت فاصله زمانی سیکل های Replication است. بنابراین با فرض داشتن سرعت قابل قبول لینک و عدم وقوع خطا، برای محاسبه حداکثر مدت زمان ۳ ساعت باید به زمان ناپیدایی اضافه شود. همچنین باید مدت زمان ۱ دقیقه برای سیکل Replication در site مقصد در نظر گرفته شود. حداکثر مدت زمان ۳ساعت و ۲ دقیقه ای در صورت مساعد بودن شرایط، ممکن است قابل قبول نباشد، از این رو می توان با کاهش فواصل Replication این زمان را کاهش داد. در نقاط حساس با تنظیم ۱۵ دقیقه برای لینک های مناسب، این زمان به حدود ۱۵ تا ۱۷ دقیقه کاهش می یابد. تعداد hop ها در هر site این اختلاف ۲ دقیقه ای را ایجاد می کند. اگر مدت زمان کمتری مد نظر است، لازم است تا تمام DCها در یک سایت باشند، هر چند اگر لینک های MAN، WAN در شبکه موجود باشند، این مسئله عملی نیست. محاسبه زمان ناپیدایی مطلوب در هر شبکه ای رابطه ی مستقیم با احتمالات مربوط به خطرات و حساسیت امنیتی شبکه دارد و رابطه ی معکوس با سرعت لینک.
در برخی موارد، مدت زمان ناپیدایی گفته شده، بسیار زیاد است و خطر آفرین است. در این شرایط AD DS به روز رسانی هایی که به مسائل امنیتی مرتبط است را با استفاده از متد Urgent Replication به روز می کند. در این شرایط دامین کنترلر های در یک سایت، به روز رسانی را در کمتر از ۱ ثانیه دریافت می کنند. این مسئله مربوط به Replication بین سایت ها نمی باشد. تغییرات زیر از Urgent Replication استفاده می کنند:
توجه داشته باشید که تغییر Password کاربران از این متد استفاده نمی کند اما زمانی که کاربر Password خود را ویرایش می کند، این به روز رسای مستقیما با PDC Emulator در دامین Replicate می شود. این به روز رسانی دخالاتی به site ها و لینک ها ندارد و دامین کنترلری که در آن تغییر انجام شده با استفاده از یک کانکشن (اتصال) RPC به روز رسانی را انجام می دهد و پس از آن فرآیند Replication به صورت عادی انجام می شود. لازم به یاد آوری است که زمانی که کاربرمی خواهد Login کند، دامین کنترلری که username و password را بررسی می کند با PDC Emulator تغییر password را چک می کند.
یکی از موضوعاتی که می تواند درک بهتری از Replication به شما بدهد، Replication Topology است. به صروت پیش فرض، این کار به عهده ی AD DS است و آن را اتوماتیک انجام می دهد هرچند که می توان این کار را به صورت دستی هم انجام داد. اغلب توپولوژی اتوماتیک AD DS بهترین توپولوژی ممکن است. برای ساخت یک توپولوؤی موفق باید عناصر زیر به طور مناسب پیکربندی شوند:
KCC فرآیندی است که در هر DC برای ساختن یک توپولوژی Replication اجرا می شود. از زمانی که دامین کنترلر به محیط AD DS اضافه می شود، KCC کار خود را برای ساختن یک توپولوژی که هم موثر و هم مقاوم در برابر خطا (Fault tolerant) باشد آغاز می کند. زمانی که دامین کنترلر یا سایت به محیط اضافه می شود KCC با اطلاعات سرور ها، سایت ها، لینک ها و زمان بندی (Schedule) به ساخت بهترین توپولوژی ممکن می پردازد. KCC به طور مجزا در هر دامین کنترلر اجرا می شود و از اطلاعات Configuration Directory Partition استفاده می کند. از آنجایی که تمام دامین کنترلر از یک اطلاعات و یک الگوریتم برای محاسبه توپولوژی استفاده می کنند، توپولوژی ساخته شده در تمام دامین کنترلر ها یکسان خواهد بود.
KCC ساخت توپولوژی را به صورت داینامیک دنبال می کند تا با هر تغییری توپولوژی را اصلاح نماید. به عنوان مثال اگر یک دامین کنترلر برای مدتی در دسترس نباشد، KCC در توپولوژی تجدید نظر می کند. به صورت پیش فرض در هر دامین کنترلر KCC توپولوژی را در هر ۱۵ دقیقه بازمحاسبه می کند. می توان در هر زمانی KCC را مجبور کرد تا توپولوژی را بازمحاسبه نماید. برای این منظور در کنسول Active Directory Sites and Services روی NTDS Setting کلیک راست کرده و در منوی All Tasks مورد Check Replication Topology را بزنید. همچنین با استفاده از دستور Repadmin /kcc DCName می توانید این کار را انجام دهید.
زمانی که KCC یک توپولوژی ایجاد می کند در واقع گروهی از Connection Object را ایجاد می کند که در Configuration Directory ذخیره می شود. Connection Object در واقع دامین کنترلر هایی هستند که از لحاظ منطقی به صورت مستقیم به هم متصل اند و برای Replicate کردن اطلاعات به کار گرفته می شوند. KCC توپولوژی ایجاد می کند که هم مقاوم در برابر خطا باشد و هم موثر باشد برای این منظور، KCC هر تعداد Connection Object که مورد نیاز باشد می سازد.
Connection Object ها به صورت یک طرفه – کشیدنی ساخته می شوند. این موضوع به دلیل ماهیت فرآیند Replication است که به صورت کشیدنی است. کشیدنی به این منظور که دامین کنترلر مقصد تقاضای دریافت به روز رسانی را می کند و سپس دامین کنترلر ارسال کننده اطلاعات را ارسال می کند. در اکثر شرایط بهترین توپولوژی، توپولوژی است که KCC می سازد. اما ممکن است به دلایلی همچون بر طرف کردن مشکلات، لازم باشد توپولوژی به صورت دستی منظم گردد. هم امکان ویرایش Connection Object های موجود وجود دارد هم امکان اضافه کردن یک Connection Object جدید بنابراین به هر صورت مورد علاقه می توان توپولوژی را تغییر داد. زمانی که یک Connection Object را ویرایش می کنید، نام آن از <automatically-generated> به GUID آن شیئ تغییر می کند. KCC هیچ کدام از Connection Object هایی که به صورت دستی ایجاد یا ویرایش شده را ویرایش یا حذف نمی کند اما سایر ارتباط را که ویرایش می کند تا با اشیائی که دستی ساخته شده را در اساس الگوریتمش جبران کند.
یندوز سرور2008 از دو نوع پیکربندی دیسک به صورت Basic و Dynamic پشتیبانی مینماید. دیسکهای Basic به پارتیشنها تقسیم میشوند و میتوانند در نسخههای قبلی ویندوز نیز مورد استفاده قرار گیرند. دیسکهای Dynamic به volume ها تقسیم میشوند و ویندوز سرور 2000 و نسخههای بعدی ویندوز از آن پشتیبانی بعمل میآورند.
هنگامیکه یک دیسک Initialize میشود، به صورت اتوماتیک از نوع Basic ایجاد میشود اما هنگامیکه یک Fault-tolerance Volume Set جدید ساخته میشود، دیسکهای قرارگرفته در مجموعه (Set)، به دیسکهای Dynamic تبدیل میشوند. امکانات مرتبط با Fault-tolerance و قابلیت ویرایش دیسکها بدون نیاز راه اندازی مجدد سیستم، ویژگیهایی است که دیسکهای Dynamic را از دیسکهای Basic متمایز میسازند.
یک دیسک Basic میتواند به سادگی و بدون از دست دادن اطلاعات به یک دیسک Dynamic تبدیل شود. هنگامیکه یک دیسک Basic تبدیل میشود، پارتیشنها به صورت اتوماتیک به Volume های مناسب تبدیل میشوند. هرچند باید این نکته را در نظر داشته باشید که تبدیل دیسکهای Dynamic به Basic کار چندان سادهای نیست. ابتدا باید از دادههای قرارگرفته بر روی دیسک Dynamic پشتیبان تهیه شود و یا دادههای آن به محل دیگری منتقل گردد و سپس باید تمامی Volume های دیسک حذف شوند. بعد از انتقال دادهها و حذف Volume ها میتوانید دیسک Dynamic را به دیسک Basic تبدیل نمایید.
عملیاتهای زیر را میتوانید بر روی یک دیسک Basic انجام دهید:
عملیاتهای زیر را میتوانید بر روی یک دیسک Dynamic انجام دهید: