الفصل : 3
الجزء : 1
العنوان : ال Active Directory
كل قارئ لهذا الكتاب سيكون لديه مجموعة مهارات مكتسبة ومستوى من الخبرة مع بيئة Windows Server. كما ذكرت سابقًا، القدرة على تشغيل الأنظمة التشغيلية على الخوادم أمر رائع وخطوة أولى مهمة جدًا للعمل الحقيقي في بيئتك. لكن حتى تعرف وتفهم الغرض من الأدوار الرئيسية المتاحة لتشغيل Windows Server 2022، فإن الخادم الجديد الخاص بك لا يفعل شيئًا سوى استهلاك الكهرباء.
الخادم مصمم لخدمة البيانات. نوع البيانات التي يخدمها والغاية منها يعتمد بالكامل على الأدوار التي تحددها للخادم ليقوم بها. لذلك، يجب عليك تثبيت الأدوار داخل Windows Server 2022 لجعله يقوم بشيء ما. نحن نعرف بالفعل كيفية تثبيت الأدوار على الخادم الخاص بنا ولكن لم نتحدث عن الأغراض وراء هذه الأدوار. على مدار الفصول القادمة، سنبدأ في النظر إلى ما أشير إليه عادة بالأدوار التحتية الأساسية المتاحة داخل Windows Server. يتضمن ذلك مناقشة الغرض العام من الدور، وكذلك بعض المهام المحددة المتعلقة بهذه الأدوار التي ستكون مسؤولاً عن القيام بها في مهامك اليومية كمسؤول عن الخادم.
نبدأ مع الدور الأهم في كل عالم مايكروسوفت المحلي، Active Directory. AD، كما يشار إليه عادة، هو خدمة دليل تعمل كنوع من قاعدة البيانات، حيث تخزن وتتمركز أنواع مختلفة من المعلومات حول مؤسستك. حسابات المستخدمين، حسابات الكمبيوتر، الشهادات، السياسات، DNS، وحتى تكرار الملفات هي أمور يمكن العثور عليها متصلة بـ AD. عندما نستعرض أجزاء AD، سيتضح ما هي المعلومات المخزنة فيها ولماذا هي مهمة جدًا. إذا كنت جديدًا في مجال تكنولوجيا المعلومات ولم تحصل بعد على فهم جيد لـ AD، تأكد من تعلم هذه التقنية! AD هو المحور الذي تدور حوله تقريبًا كل شيء في عالم Windows Server. هل من الممكن استخدام خوادم Windows بدون أن تكون متصلة ومتصلة بـ Active Directory؟ نعم. هل من المحتمل أن تجد هذا السيناريو في العالم الحقيقي؟ لا. في هذا الفصل، سنتعلم ما يلي:
* ما هو جهاز تحكم المجال (domain controller)؟
* إنشاء المجال (domain) الأول الخاص بك
* أجهزة تحكم المجال المتعددة لضمان التكرار
* مستخدمو ومجموعات Active Directory
* مجالات وثقات Active Directory
* مواقع وخدمات Active Directory
* مركز إدارة Active Directory
* سلة مهملات Active Directory
* أجهزة تحكم المجال للقراءة فقط
* أدوار FSMO
* تخفيض رتبة جهاز تحكم المجال القديم
* سياسة المجموعة ( Group Policy)
ما هو جهاز تحكم المجال (domain controller)؟
إذا كنا سنناقش خدمات البنية التحتية الأساسية التي تحتاج إلى تجميع شبكتك المدفوعة بمايكروسوفت، فلا يوجد مكان أفضل للبدء منه من جهاز تحكم المجال. جهاز تحكم المجال، الذي يُشار إليه عادة بـ DC، هو ببساطة خادم يستضيف Active Directory. إنه نقطة الاتصال المركزية، أو "المحور" المركزي، الذي يتم الوصول إليه قبل تقريبًا أي اتصال يتم بين العميل والخادم في شبكتك. ربما يكون أسهل طريقة لوصفه هو كحاوية تخزين لكل التعريفات التي تحدث على الشبكة. أسماء المستخدمين، كلمات المرور، حسابات الكمبيوتر، مجموعات الكمبيوتر، الخوادم، مجموعات ومجموعات الخوادم، السياسات الأمنية، خدمات تكرار الملفات، والعديد من الأشياء الأخرى التي تُخزن وتُدار بواسطة DCs. إذا لم تكن تخطط لأن يكون DC أحد أول الخوادم في شبكتك المدفوعة بمايكروسوفت، فقد لا تبدأ حتى في بناء تلك الشبكة. DCs ضرورية لطريقة تواصل أجهزتنا و أجهزتنا مع بعضها البعض ومع البنية التحتية للخادم داخل شركاتنا.
خدمات مجال Active Directory
إذا توقفت عن القراءة عند هذه النقطة لتثبيت دور جهاز تحكم المجال على الخادم الخاص بك، مرحبًا بعودتك! لا يوجد دور يسمى جهاز تحكم المجال. الدور الذي يوفر كل هذه القدرات يُسمى Domain Services Active Directory، أو AD DS. هذا هو الدور الذي تحتاج إلى تثبيته على خادم. من خلال تثبيت ذلك الدور، ستقوم بتحويل الخادم الخاص بك إلى جهاز تحكم بالمجال. الغرض من تشغيل DC هو بالفعل إنشاء دليل، أو قاعدة بيانات، للكائنات في شبكتك. تُعرف هذه القاعدة البيانية باسم Active Directory، وهي منصة تبني داخلها هيكلًا هرميًا لتخزين الكائنات، مثل أسماء المستخدمين، وكلمات المرور، وحسابات الكمبيوتر. قد تفكر، "ألم نقول للتو هذه الكلمات بنفس الطريقة تقريبًا؟" وأنت لست مخطئًا. AD مهم، وأريد التأكد من أنك تعرف ذلك. ضمان مهنة في تكنولوجيا المعلومات يضمن أنك ستتعامل مع AD في عملك بشكل ما.
معظم الوقت عندما تسمع أي شخص يتحدث عن "Active Directory" فمن المحتمل أن ما يعنيه حقًا هو مجال واحد داخل الدليل. هناك تسلسل هرمي كامل داخل مخطط Active Directory، يشمل الغابات، الأشجار، المجالات، والوحدات التنظيمية. سنناقش كل من هذه المستويات التنظيمية لـ Active Directory ونحن نتنقل عبر الأدوات التي ستستخدمها للتفاعل مع AD لاحقًا في هذا الفصل.
بمجرد أن تقوم بإنشاء مجال يمكنك من خلاله تخزين الحسابات، الكائنات، والأجهزة، يمكنك بعد ذلك إنشاء حسابات المستخدمين وكلمات المرور لموظفيك لاستخدامها في المصادقة. يمكنك بعد ذلك أيضًا ربط خوادم وأجهزة الكمبيوتر الأخرى بهذا المجال حتى تتمكن من قبول والاستفادة من بيانات اعتماد المستخدمين تلك. الحصول والانضمام إلى مجال هو السر الذي يسمح لك بالانتقال من جهاز كمبيوتر إلى جهاز كمبيوتر داخل شركتك وتسجيل الدخول إلى كل منها باسم المستخدم وكلمة المرور الخاصة بك، حتى عندما لم تقم بتسجيل الدخول إلى ذلك الكمبيوتر من قبل. الأكثر قوة هو حقيقة أنه يتيح للتطبيقات القادرة على الدليل أن تصدق مباشرة ضد Active Directory عندما تحتاج إلى معلومات مصادقة. على سبيل المثال، عندما أقوم كـ مستخدم للمجال بتسجيل الدخول إلى جهاز الكمبيوتر الخاص بي في العمل باستخدام اسم المستخدم وكلمة المرور الخاصة بي، يصل نظام التشغيل Windows الذي يعمل على جهاز الكمبيوتر الخاص بي إلى خادم جهاز التحكم بالمجال للتحقق من صحة كلمة المرور الخاصة بي.
بمجرد أن يؤكد أنني فعلاً من أقول أنني أنا، يصدر رمز مصادقة إلى جهاز الكمبيوتر الخاص بي ويمكنني تسجيل الدخول. ثم، بمجرد أن أكون على سطح المكتب الخاص بي وأفتح تطبيقًا - لنقل أنني أفتح Outlook للوصول إلى بريدي الإلكتروني - فإن هذا البرنامج المصمم يصل إلى خادم البريد الإلكتروني الخاص بي، المسمى خادم Exchange، ويصدق عليه للتأكد من عرض صندوق البريد الخاص بي وليس صندوق بريد شخص آخر. هل يعني هذا أنني بحاجة إلى إعادة إدخال اسم المستخدم وكلمة المرور الخاصة بي لـ Outlook، أو لأي تطبيق آخر أفتحه من جهاز الكمبيوتر الخاص بي؟ عمومًا لا. والسبب في عدم الحاجة إلى إعادة إدخال بيانات الاعتماد الخاصة بي مرارًا وتكرارًا هو أن اسم المستخدم الخاص بي، وجهاز الكمبيوتر الخاص بي، وخوادم التطبيقات كلها جزء من نفس المجال.
عندما يكون هذا صحيحًا، وهو الحال بالنسبة لمعظم الشبكات التجارية، يمكن مشاركة رمز المصادقة الخاص بي بين برامجي. لذلك، بمجرد أن أسجل الدخول إلى الكمبيوتر نفسه، يمكن لتطبيقاتي أن تفتح وتطلق وتقدم بيانات الاعتماد الخاصة بي إلى خادم التطبيق، دون أي إدخال إضافي مني كمستخدم. سيكون من تجربة محبطة للغاية إذا كنا نطلب من المستخدمين إدخال كلمات المرور طوال اليوم، كل يوم عند فتح البرامج التي يحتاجون إليها لأداء عملهم.
ال Active Directory نفسه هو موضوع واسع بما فيه الكفاية ليستحق كتابه الخاص، وفي الواقع قد كتبت العديد من الكتب حول الموضوع (مؤلف هذا الكتاب). الآن بعد أن أصبح لدينا فهم أساسي لما هو ولماذا هو ضروري في بيئة Windows Server الخاصة بنا، دعنا نتعمق في استخدام بعض الأدوات التي يتم تثبيتها على جهاز التحكم بالمجال الخاص بك أثناء عملية تثبيت دور AD DS.
إنشاء المجال الأول الخاص بك (Creating your first domain)
يجب أن أعترف بأنني قد غشيت قليلاً وكنت أعمل بالفعل داخل مجال لغرض أخذ لقطات الشاشة للكتاب حتى هذه النقطة. مختبري التجريبي يحتوي بالفعل على خادم DC1 يعمل، وعليه قمت بتكوين مجال يسمى contoso.local. ومع ذلك، فإن قول "المجالات مهمة" وعدم إظهار كيفية إنشاء واحد لن يكون مفيدًا لك، القارئ، ولذلك سنقوم ببناء مجال جديد تمامًا الآن، على خادم جديد تمامًا.
ربما تعرف "Contoso" إذا قرأت من قبل أي من دروس مايكروسوفت أو وثائق التكوين المثال، لأنه واحد من عدة أسماء شركات وهمية تستخدمها مايكروسوفت بشكل متكرر في الوثائق أو لغرض إظهار السيناريوهات النموذجية. أنا أستخدمه هنا أيضًا، ولكن يمكنك تسمية مجالك بأي اسم تريده. لإنشاء المجال الثاني الخاص بنا، سأستخدم اسم شركة أخرى من حقيبة مايكروسوفت، Fabrikam.
أحد أول الأشياء التي يجب اتخاذ قرار بشأنها قبل أن تتمكن من بناء مجال هو اسم المجال. لا نريد مناقشة DNS بعمق هنا لأن هناك فصلًا آخر لهذا، ولكن الجميع يستخدم DNS كل يوم سواء أدركوا ذلك أم لا. في كل مرة تقوم فيها بكتابة أي اسم موقع ويب - microsoft.com، google.com، bing.com، وهكذا - فإنك تقوم بإدخال اسم يقوم DNS بعد ذلك بتحويله إلى عنوان IP. كما تعرف أن نهاية أسماء المواقع يمكن أن
تتخذ أشكالًا عديدة. الأكثر شيوعًا هو .com، ولكنك قد تزور مواقع تنتهي أيضًا بـ .org، .biz، .info، .tech، .edu، .mil، والمزيد.
دعنا نأخذ microsoft.com كمثال. إذا قمت بزيارة microsoft.com ببساطة، سترى الموقع الرئيسي للشركة. إذا قمت بزيارة learn.microsoft.com، ستصل إلى صفحة التوثيق ومنصة التعلم الخاصة بهم. زيارة portal.microsoft.com تأخذك إلى صفحة تسجيل الدخول إلى Office 365، وإذا كان لديك حساب Office 365 يمكنك تسجيل الدخول هنا وأداء العديد من الوظائف. العناوين المختلفة التي تقوم بكتابتها في متصفح الويب تأخذك إلى صفحات ونظم ويب مختلفة تمامًا، ومع ذلك فإن أسماء المجالات التي يتم استدعاؤها في المتصفح كلها تنتهي بنفس microsoft.com. هذا يعني أن microsoft.com هو اسم المجال الأساسي لكل هذه الأشياء، والمعروف أيضًا باسم لاحقة المجال أو مجال المستوى الأعلى (top-level domain).
لماذا أدخل في هذا الأمر؟ لأن هذه معلومات مهمة لفهمها عند تحديد اسم المجال الداخلي الخاص بك. تمامًا مثل لاحقة المجال على الإنترنت، عندما تبني مجالك الداخلي ثم بعد ذلك تنضم إلى أجهزة الكمبيوتر والخوادم لهذا المجال، سيكون لكل من هذه الأجهزة اسم حقيقي كامل مثل computername.domainname.something. في مجالي الحالي، contoso.local، الاسم الكامل للخادم الموجود حاليًا هو DC1.contoso.local.
معظم المجالات الداخلية التي واجهتها في العالم تنتهي بـ .local. هل من الممكن تسمية مجالك الداخلي بشيء ينتهي بواحدة من هذه اللاحقات المستندة إلى الإنترنت، مثل Contoso.com؟ نعم! يمكنك تسمية مجالك الداخلي بأي شيء تريده، وفي الواقع إذا كنت تخطط لاستضافة البريد الإلكتروني في Office 365، فإن استخدام مجال داخلي يتطابق مع اسم المجال العام المستخدم للبريد الإلكتروني يحمل بعض المزايا. قد يفكر البعض منكم في هذه النقطة، "أنا بالفعل أملك contoso.com (أدخل اسم موقع الويب الخاص بعملك هنا)، أليس أقل ارتباكًا بشكل عام إذا سميت أيضًا مجالي الداخلي بنفس الشيء؟ contoso.com؟" الجواب هو نعم ولا. بالنسبة لسيناريوهات معينة تتضمن موارد سحابية، مثل Office 365 وAzure، نعم، استخدام مجال داخلي بـ .com يمكن أن يجعل الانتقال إلى السحابة أكثر سلاسة. ومع ذلك، قبل هذه التقنيات السحابية كانت توصية مايكروسوفت دائمًا أن تنتهي مجالك الداخلي بـ .local. سنتحدث أكثر عن سبب هذا في الفصل الرابع، DNS وDHCP، عندما نناقش شيء يسمى DNS ذو الدماغ المنشق (split-brain DNS).
تحضير جهاز التحكم بالمجال الخاص بك (Prep your domain controller)
حسنًا، لقد قررت استخدام fabrikam.local كاسم المجال الداخلي الخاص بي.
الآن، كيف أجعل ذلك واقعًا؟ نحتاج فقط إلى خادم واحد لبناء مجال، الخادم الذي تريده أن يكون جهاز التحكم بالمجال. لدي الآن Windows Server 2022 VM جديد يعمل ومتصلاً بشبكة، ولكن حتى الآن لم أقم بتكوين أي شيء على الخادم. هناك ثلاثة أشياء بسيطة تحتاج إلى الحدوث على أي خادم تخطط لتحويله إلى جهاز تحكم بالمجال:
1. تعيين عنوان IP ثابت - توجه إلى خصائص NIC الخاصة بك وحدد عنوان IP ثابت لهذا الخادم. حتى لو كان لديك بالفعل خادم DHCP يعمل في شبكتك لتوزيع عناوين IP، فإنك لا تريد أن تتغير عناوين IP لخوادم التحكم بالمجال. من الممكن القيام بذلك، ولكن الأمر صعب للغاية. لذا، تنص الممارسة المثلى على أن أي عنوان IP تحدده لخادم التحكم بالمجال يجب أن يكون عنوانه إلى الأبد.
2. تعيين اسم مضيف جيد - مثل عناوين IP على خادم التحكم بالمجال، لا يوصى بتغيير اسم خادم DC على الإطلاق. في الواقع، هذا الأمر أكثر تعقيدًا من عناوين IP، ويجب عليك بالتأكيد التخطيط لأن الاسم الذي تمنحه لخادمك اليوم سيبقى اسمه في شبكتك حتى اليوم الذي تقوم فيه بإيقاف تشغيل هذا الخادم بالكامل.
3. تعيين عنوان خادم DNS - توجه مرة أخرى إلى خصائص NIC الخاصة بك وقم بتكوين عنوان خادم DNS الذي يبحث عنه جهاز التحكم بالمجال ليكون نفسه. ماذا؟ نفسه؟ إنه ليس خادم DNS! ليس بعد، ولكن بخلاف الحالات النادرة جدًا، فإن معظم أجهزة التحكم بالمجال ستصبح أيضًا خوادم DNS. يدمج DNS مع Active Directory وهناك الكثير من الفوائد لاستضافة هذه الخدمات معًا، لذا فإن معظم بيئات مايكروسوفت التي تواجهها ستحتوي على AD DS وDNS مثبتين معًا على خوادم التحكم بالمجال. عمومًا، عند إعداد جهاز التحكم بالمجال الأول، ستبدأ دائمًا بتوجيه إعدادات DNS الخاصة بـ NIC إلى عنوان IP الخاص بالخادم نفسه.
يمكنك رؤية في الشكل 3.1 أنني قد سميت الآن خادمي الجديد FAB-DC1، وقمت بتكوين عنوان IP ثابت، وأشرت DNS إلى نفسه:
تثبيت دور AD DS
الآن وقد تم إعداد الخادم ليكون جهاز تحكم بالمجال، سنقوم بتثبيت الدور! بما أنك بالفعل على دراية بعملية إضافة الأدوار إلى الخوادم، فلن نعيد شرح العملية بالكامل. ببساطة استخدم Server Manager أو PowerShell لتثبيت المكونات التالية على الخادم الجديد:
كما ذكرنا، سأقوم بتثبيت AD DS لخدمة Active Directory، وDNS Server حتى يتمكن جهاز التحكم بالمجال من أن يكون خادم DNS حقيقيًا لشركتنا الجديدة. أثناء تقدمك في معالج تثبيت الدور، ستصادف بعض النصوص المعلوماتية التي من المفيد قراءتها، ولكن لا ينبغي أن تكون هناك أي خيارات إضافية تحتاج إلى تحديدها لتثبيت كلا الدورين على الخادم.
تكوين المجال (Configure the domain)
بعد تثبيت الأدوار، ستلاحظ علامة تعجب صفراء بالقرب من أعلى Server Manager. بالنقر على هذا الرمز، يمكنك رؤية نص يشير إلى أن بعض التكوين مطلوب لدور Active Directory Domain Services:
انقر على الرابط الذي يقول Promote this server to a domain controller. سيفتح هذا الرابط معالج التكوين الذي سيوجهنا لتحويل الخادم إلى DC حقيقي.
الأشجار، الغابات، والمجالات (domains)؟
لحظة، الشاشة الأولى التي نواجهها في معالج الترقية حيث نحتاج لاتخاذ قرار تتحدث عن الأشجار. ماذا يحدث؟ تعرف بالفعل أن المجال يشبه قاعدة البيانات، ويحتوي على معلومات حول أنواع عديدة من الكائنات، ولكن في المقام الأول حسابات المستخدمين وحسابات الكمبيوتر التي هي جزء من هذا المجال. ما لم نناقشه حقًا بعد هو أن المجال ليس هو الطبقة العليا من وجوده، بل هو يوجد داخل غابة. هذان هما المصطلحان الفنيان اللذان ستصادفهما عند العمل داخل Active Directory، المجال والغابة، والإشارات إلى الشجرة هي أكثر استعارة، تتعلق بتخطيط الغابة مع المجالات تحت الغابة، مع إمكانية وجود مجالات فرعية تحت المجالات. قد يشبه المخطط كله عندما يتم رسمه على الورق العديد من فروع الشجرة، ومن هنا جاء مصطلح الشجرة.
الغابة هي الطبقة العليا في Active Directory، ويمكن أن يكون لديك العديد من المجالات المختلفة داخل نفس الغابة. لماذا قد ترغب في القيام بذلك؟ معظم الشركات لا تفعل ذلك، وفي أغلب الأحيان ستجد أن أي شركة معينة لديها مجال داخلي واحد، يقيم داخل غابة واحدة، وهذا كل شيء. أحد الأسباب التي قد تجعلك تجد مجالات متعددة داخل نفس الغابة هو إذا كانت الشركة لديها أقسام أو وحدات عمل مختلفة تحتاج إلى أن تكون مصادقاتها وأنظمتها منفصلة عن بعضها البعض. في مجال واحد، تذكر أن أي مستخدم للمجال يمكنه غالبًا المصادقة وتسجيل الدخول إلى أي جهاز كمبيوتر في المجال، وربما كنت ترغب في ضمان أن لا أحد في DivisionA كان قادرًا على تسجيل الدخول إلى أجهزة الكمبيوتر التي تملكها DivisionB. إنشاء مجالات متعددة سيكون طريقة واحدة لتحقيق ذلك.
أثناء تقدمك في معالج تكوين المجال الذي قمنا بتشغيله للتو على الخادم الجديد، سترى خيارات عديدة لنوع جهاز التحكم بالمجال الذي يمكن أن يصبحه هذا الخادم. قد تكون تضيف DC إلى مجال موجود، أو تضيف مجالًا جديدًا إلى غابة موجودة، أو تنشئ غابة جديدة تمامًا. اختيار كل من هذه الخيارات في المعالج سيقدم لك خيارات فرعية مختلفة تتعلق بهذا الاختيار. إذا قمت بالنقر على Add a new domain to an existing forest، ستجد أن لديك خيارات لإنشاء مجال فرعي جديد، أو مجال شجرة. المجال الفرعي سيكون مجالًا جديدًا يوجد تحت مجال موجود في شجرة AD الهرمية، بينما مجال الشجرة سيكون مجالًا جديدًا يقيم مباشرة تحت الغابة نفسها وسيكون بجانب أي مجالات موجودة.
اليوم، ليس لدينا أي شيء في شبكة Fabrikam. لا غابة، لا مجالات، لا مجالات فرعية. لذلك سنختار الخيار الثالث، Add a new forest. كل ما يحتاج إلى اتخاذ قرار على هذه الشاشة هو اسم المجال الجذري، حيث سأدخل fabrikam.local، الذي قررنا عليه سابقًا:
خيارات جهاز التحكم بالمجال
الآن بعد أن فهمت أن هناك على الأقل طبقتين لكل Active Directory، على الأقل غابة واحدة ومجال واحد، من المهم فهم أن كل من هذه الأشياء له مستوى وظيفي خاص به. تصنف المستويات الوظيفية للغابة والمجال حسب إصدارات نظام التشغيل Windows Server المختلفة. على سبيل المثال، مستوى Windows Server 2016 الوظيفي يحتوي على ميزات وإضافات أكثر من Server 2012 R2، وهكذا. شيء مثير للاهتمام هو أن Windows Server 2019 و2022 لا يملكان مستوى وظيفي جديد، أحدث ما يمكنك اختياره هو Server 2016، حتى عند إنشاء غابة جديدة تمامًا مع جهاز تحكم بالمجال على Windows Server 2022.
لماذا يسأل المعالج هذا السؤال؟ ألن يكون من المنطقي دائمًا اختيار الأحدث من هذه القائمة؟
في معظم الحالات، الجواب هو نعم. أحد الأسباب التي قد تحتاج إلى اختيار مستوى وظيفي أقدم إما للغابة أو للمجال هو إذا كانت بعض التقنيات التي تخطط لتطبيقها أو بعض إصدارات الأجهزة التي تخطط للانضمام إلى ذلك المجال تتطلب إصدارًا قديمًا من المستوى الوظيفي. هذا يبرز سيناريو آخر صالحًا قد يتطلب من الشركة بناء مجال ثانوي تحت غابة موجودة، إذا كانت تقنية معينة ترغب في تنفيذها للعمل تحمل بعض المتطلبات المحددة التي تجعلك ملزمًا بإصدار معين من المستوى الوظيفي، ولكن مجالك الإنتاجي الرئيسي لا يمكنه تلبية هذه المتطلبات لأي سبب كان.
لغرضنا اليوم، سنترك كلا من المستويات الوظيفية للغابة والمجال على الإعداد الافتراضي وهو Windows Server 2016. على هذه الشاشة من المعالج، لديك أيضًا خيارات لتحديد ما إذا كان جهاز التحكم بالمجال هذا سيكون أيضًا خادم DNS (عادة نعم)، وما إذا كان سيكون خادم Global Catalog (أيضًا عادة نعم)، أو جهاز تحكم بالمجال للقراءة فقط، والذي سنناقشه لاحقًا في هذا الفصل. الخيار الثالث، والوحيد الذي يتطلب انتباهك بشكل مطلق، هو تحديد كلمة مرور لوضع استعادة خدمات الدليل. آمل بصدق ألا تضطر أبدًا للدخول إلى وضع استعادة Active Directory لاستعادة المعلومات أو الدليل الخاص بك، ولكن إذا فعلت ذلك – ستكون هذه الكلمة المرور مهمة جدًا لهذه العملية:
مثال توضيحي
تخيل أن لديك مؤسسة كبيرة تتكون من عدة أقسام مثل الإدارة والمالية والموارد البشرية. يمكنك إنشاء غابة واحدة تحتوي على المجالات المختلفة لكل قسم. داخل هذه الغابة، يمكن أن تكون لديك شجرة تحتوي على المجالات المختلفة مثل:
الexample.com (المجال الرئيسي)
الhr.example.com (المجال الفرعي للموارد البشرية)
الfinance.example.com (المجال الفرعي للمالية)
الadmin.example.com (المجال الفرعي للإدارة)
في هذا السيناريو، الغابة هي "example.com" وتحتوي على شجرة من المجالات الفرعية التي تتشارك في نفس مساحة الأسماء "example.com".
إذا كنت تستخدم Windows Server 2016 للمجالين والغابة، فإنك تستفيد من الميزات الجديدة التي جاءت مع هذا الإصدار. لكن، إذا كانت لديك بعض الأجهزة القديمة أو التطبيقات التي تحتاج إلى مستوى وظيفي أقدم، يمكنك ضبط المستوى الوظيفي إلى Windows Server 2012 أو أي إصدار أقدم.
خيارات DNS
إذا كنت تنشئ جهاز تحكم بالمجال/خادم DNS جديدًا يعيش داخل شجرة موجودة وخاصة إذا كان الخادم الجديد سيلعب دور الطفل، فإنك تريد عادةً التأكد من أن مناطق DNS الرئيسية لديها تفويض لخادم DNS الجديد الذي تقوم بإنشائه، لضمان أنه يمكن حل الأسماء في مجالك بنجاح في المجال الرئيسي أيضًا. إنشاء هذا التفويض DNS هو الخيار الوحيد على هذه الشاشة، وفي الحالات التي نقوم فيها بإنشاء غابة ومجال جديدين، لا يوجد منطقة رئيسية معتمدة موجودة، لذا هناك رسالة تحذير متوقعة على الشاشة:
وبما أننا نقوم ببناء غابة جديدة، فليس هناك ما يتعين علينا القيام به مع رسالة التحذير هذه ببساطة انقر فوق التالي للمتابعة.
خيارات إضافية (Additional Options)
يجب أن يملأ اسم مجال NetBIOS تلقائيًا في المعالج وسيكون الجزء الأول من اسم مجالك. في مثالي، تم إدخال الكلمة FABRIKAM في هذا الحقل. يبدو أن الكثير من الناس يعتقدون أن NetBIOS عفا عليه الزمن، لكنه لا يزال يستخدم من قبل التطبيقات لتمرير البيانات في العديد من الحالات، لذا فإن الخيارات لتكوينه هنا لا تزال مهمة. ليس عليك القيام بأي شيء على هذه الشاشة سوى التأكد من أن اسم NetBIOS قد تم تعبئته في المعالج والمتابعة.
المسارات (Paths)
يخزن Active Directory قدرًا كبيرًا من المعلومات الهامة جدًا على خادم جهاز التحكم بالمجال الخاص بك. إذا كنت ترغب، هنا يمكنك تحديد المسارات لتخزين هذه البيانات إذا كنت تريد أن تقيم في مكان خاص، مثل على قرص صلب مخصص. الخيارات الافتراضية كلها داخل مجلد C:\Windows، وهو المكان الذي يتركه فيه الجميع عادة.
مراجعة الخيارات، التحقق من المتطلبات المسبقة، التثبيت
هذا هو! لقد قمت الآن بتعبئة جميع الخيارات المتاحة، ويتم تقديمك بشاشة تسمح لك بمراجعة الاختيارات التي قمت بها. بمجرد التأكد من أن كل شيء يبدو جيدًا على هذه الشاشة، سيقوم المعالج بتشغيل فحص المتطلبات المسبقة على الخادم الخاص بك لضمان أنه جاهز ليصبح جهاز تحكم بالمجال. هذه هي النقطة التي، إذا نسيت تعيين عنوان IP ثابت أو تعيين خادم DNS في خصائص NIC، سيفشل المعالج في فحص المتطلبات المسبقة ويعطيك بعض التحذيرات. في الواقع، من المحتمل أن ترى واحدًا أو اثنين من التحذيرات حتى إذا كنت قد قمت بكل شيء بشكل صحيح: واحدة تتعلق بالتفويض DNS الذي تحدثنا عنه بالفعل وواحدة أخرى تتعلق بخوارزميات التشفير. هذا هو السلوك الطبيعي لتكوين غابة/مجال جديد تمامًا على Windows Server 2022.
أجهزة تحكم بالمجال المتعددة للتكرار
الآن بعد أن قمنا بتكوين أول جهاز تحكم بالمجال الخاص بنا، يجب علينا القفز وبدء إعداد الكائنات داخل Active Directory، أليس كذلك؟ ليس بعد! بالطبع يمكنك القفز والبدء في استخدام الأدوات التي تتفاعل مع AD، والتي سنتحدث عنها فورًا بعد هذا القسم من فصلنا. ولكن إذا كنت تقوم بإعداد بيئة حقيقية وليس مجرد التجريب في مختبر تجريبي، سيكون من المهم جدًا أن تؤسس التكرار في مجالك (redundancy).
الـ Redundancy في بيئة الـ Active Directory (AD) تعني توفير تكرار للموارد والخدمات لضمان استمرار العمل وتوفير الحماية ضد الفشل.
إضافة جهاز تحكم بالمجال الثاني أسهل حتى من تشغيل الأول. ببساطة اتبع نفس الخطوات التي اتبعتها في المرة السابقة، مع استثناء واحد لطريقة تكوين NIC:
1. تشغيل خادم جديد.
2. تعيين عنوان IP ثابت.
3. تكوين اسم مضيف دائم جيد.
4. الاختلاف عن السابق: بدلاً من تكوين إعدادات خادم DNS الخاص بـ NIC للإشارة إلى الخادم الجديد نفسه، وجه DNS الأساسي إلى عنوان IP لجهاز التحكم بالمجال الحالي.
الآن عندما تضيف أدوار AD DS وDNS server وتسير خلال معالج التكوين نفسه الذي شاهدناه قبل بضع دقائق، هذه المرة ستختار الخيار Add a domain controller to an existing domain. ثم كل ما عليك فعله هو تحديد أو كتابة اسم المجال وتوفير بيانات اعتماد إدارية على ذلك المجال:
بقية المعالج مباشرة إلى حد ما، ولكنك ستلاحظ أن لديك قائمة منسدلة جديدة على شاشة Domain Controller Options التي تسمح لك بتحديد اسم الموقع. إذا كان لديك مواقع AD متعددة، ستحدد هنا الموقع الذي يتم تثبيت DC الجديد فيه. سنناقش المزيد عن مواقع وخدمات Active Directory في قسم لاحق من هذا الفصل. ستلاحظ أيضًا أنه يجب عليك مرة أخرى إنشاء كلمة مرور لوضع استعادة خدمات الدليل. يتم تكوين هذه الكلمة المرور لكل جهاز تحكم بالمجال، لذا يمكن أن تكون مختلفة لكل من خوادم DC الخاصة بك.
إذا تذكرت كل ما قمنا به حتى الآن، ستدرك أن كلا خادمي جهاز التحكم بالمجال لدينا يشيران الآن إلى FAB-DC1 كخادم DNS الأساسي الخاص بهما، كما هو محدد داخل خصائص NIC. طالما يمكن لكل DC الاتصال بخادم DNS، فإن مجالك سيعمل بشكل صحيح، ولكن الآن بعد أن قمنا بإنشاء جهازي DC لغرض التكرار، سيكون الحل العام لديك أفضل إذا تأكدت من أن كلا جهاز التحكم بالمجالين على دراية ببعضهما البعض من منظور DNS. هناك طريقتان مختلفتان للقيام بذلك، وكلاهما يعتبر ممارسة جيدة:
* تكوين كل جهاز تحكم بالمجال ليكون له عنوان خادم DNS أساسي خاص به، وعنوان خادم DNS ثانوي ليكون جهاز التحكم بالمجال الآخر. هذا يجعل عمليات بحث DNS على تلك الخوادم تحدث بشكل أسرع قليلاً ولكن له العيب المحتمل أنك قد تضطر إلى انتظار حدوث تكرار Active Directory بين الخوادم قبل أن تكون سجلات DNS التي تم إنشاؤها حديثًا متاحة على كلا الخوادم.
* تكوين كلا (أو كل) أجهزة التحكم بالمجال لاستخدام خادم DNS واحد كخادم DNS الأساسي على شبكتك، واستخدام أنفسهم كخادم DNS ثانوي. إذا كان كل من أجهزة التحكم بالمجال ينظر إلى خادم DNS مركزي، فإن أي تحديثات أو إضافات تجريها على ذلك الخادم DNS ستكون متاحة فورًا على جميع أجهزة التحكم بالمجال. ومع ذلك، إذا تعطل ذلك الخادم DNS المركزي، سيسبب ذلك بعض المتاعب والتأخيرات لجميع أجهزة التحكم بالمجال الأخرى حيث سيتعين عليها إدراك أنها تحتاج الآن إلى التحول إلى أنفسها لحل الأسماء.
عذرًا، قلت أن هناك طريقتين للقيام بذلك، وعادةً ستجد أن الخيار #1 أو الخيار #2 أعلاه هما الطريقة التي يتم بها تكوين DNS في معظم البيئات. ولكن هناك احتمال ثالث هنا وهو نوع من المزيج بين الاثنين. يمكنك تكوين إعدادات NIC لكل جهاز تحكم بالمجال بحيث يكون خادم DNS الأساسي هو خادم DNS مختلف في بيئتك، ثم جعل خادم DNS الثانوي يشير إلى نفسه. هذا يجعل عمليات بحث DNS تحدث دائمًا عبر الشبكة، مما يولد مزيدًا من الحركة من الخيارات الأخرى ولكنه يضمن أيضًا أن كل جهاز تحكم بالمجال يمكنه الوقوف بمفرده إذا فشل الآخر. في هذا السيناريو الثالث، إذا كان هناك جهازي DC في الشبكة، فأنت تشير إليهما ببساطة إلى بعضهما البعض، بينما تستخدم أنفسهم كنسخة احتياطية.
لا أستطيع أن أخبرك بما هو الأفضل لبيئتك الخاصة، ولكن ما أفعله في معظم الأحيان هو تكوين كل جهاز تحكم بالمجال ليكون له خادم DNS الأساسي نفسه، وأدرك فقط أنه عندما أقوم بإنشاء سجلات DNS جديدة قد يستغرق الأمر بضع دقائق حتى يتم تكرارها بين أجهزة التحكم بالمجال.
عندما تقوم بتكوين جهاز تحكم بالمجال للإشارة إلى نفسه كخادم DNS أساسي، يُوصى عمومًا باستخدام عنوان IP الخاص بـ localhost 127.0.0.1، بدلاً من عنوان IPv4 الفعلي لـ DC.
ملاحظة مهمة أخرى حول موضوع إدخال معلومات خادم DNS في خصائص NIC لخوادم جهاز التحكم بالمجال الخاص بك. لا تقم أبدًا بتكوين أجهزة التحكم بالمجال للإشارة إلى خوادم DNS العامة. إدخال 8.8.8.8 أو شيء مشابه في إعدادات DNS الخاصة بـ NIC هو شيء شائع القيام به لأجهزة الكمبيوتر المنزلية المتصلة بالإنترنت. ليس للخوادم. لا تحمل هذه العقلية إلى عملك. يجب أن تسجل أجهزة التحكم بالمجال سجلات خاصة داخل Active Directory، والإشارة إلى خادم DNS العام في NIC سيؤدي إلى فشل هذه العملية.
لقد اضطررت بالفعل إلى تنظيف هذه الفوضى، التي سببتها هذا السيناريو بالضبط – كانت الشركة تواجه بعض مشكلات الاتصال بالإنترنت، وكجزء من استكشاف الأخطاء وإصلاحها، قرر شخص ما في تكنولوجيا المعلومات استبدال معلومات خادم DNS الفعلي داخل خصائص NIC لكل خادم في الشبكة بـ 8.8.8.8. لنقل فقط أن ذلك لم ينجح بشكل جيد.
النهاية
نكون هنا انتهينا من الجزء 1 من الفصل 3 تماما من شهادة MCSA المقدمة من Microsoft الأن نغوص في الأعماق
و لا بد وانت تقرا ان تكون مركز جيدا لكل معلومة ومعك ورقة وقلم , لانك بالتاكيد ستحتاجها
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم Sparrow اتمنى ان تدعوا لي وتتذكروني في الخير دوما
