सक्रिय निर्देशिका क्या है?
सक्रिय निर्देशिका डोमेन सेवाएँ Microsoft की निर्देशिका सर्वर है। यह प्रमाणीकरण और प्राधिकरण तंत्र के साथ-साथ एक ढांचा प्रदान करता है जिसके भीतर अन्य संबंधित सेवाओं को तैनात किया जा सकता है (AD प्रमाणपत्र सेवा, AD Federated Services, आदि)। यह एक LDAP अनुरूप डेटाबेस है जिसमें ऑब्जेक्ट्स होते हैं। सबसे अधिक इस्तेमाल की जाने वाली वस्तुएं उपयोगकर्ता, कंप्यूटर और समूह हैं। इन वस्तुओं को किसी भी तार्किक या व्यावसायिक आवश्यकताओं के द्वारा संगठनात्मक इकाइयों (OU) में व्यवस्थित किया जा सकता है। समूह नीति ऑब्जेक्ट्स (GPOs) को तब किसी संगठन में विभिन्न उपयोगकर्ताओं या कंप्यूटरों के लिए सेटिंग्स को केंद्रीकृत करने के लिए OUs से जोड़ा जा सकता है।
जब लोग कहते हैं "सक्रिय निर्देशिका" वे आम तौर पर "सक्रिय निर्देशिका डोमेन सेवाओं" का उल्लेख कर रहे हैं। यह ध्यान रखना महत्वपूर्ण है कि अन्य सक्रिय निर्देशिका भूमिकाएं / उत्पाद हैं जैसे कि सर्टिफिकेट सर्विसेज, फेडरेशन सर्विसेज, लाइटवेट डायरेक्ट्री सर्विसेज, राइट्स मैनेजमेंट सर्विसेज आदि। यह उत्तर विशेष रूप से सक्रिय निर्देशिका डोमेन सेवाओं को संदर्भित करता है।
एक डोमेन क्या है और एक जंगल क्या है?
एक जंगल एक सुरक्षा सीमा है। जब तक प्रत्येक अलग जंगल के व्यवस्थापक उनके बीच एक विश्वास पैदा नहीं करते, तब तक अलग-अलग जंगलों की वस्तुएँ एक-दूसरे के साथ बातचीत करने में सक्षम नहीं होती हैं। उदाहरण के लिए, एक एंटरप्राइज़ एडमिनिस्ट्रेटर खाता domain1.com
, जो सामान्य रूप से किसी जंगल का सबसे विशेषाधिकार प्राप्त खाता है, के पास एक दूसरे जंगल में नामित किसी domain2.com
भी प्रकार की कोई अनुमति नहीं होगी , भले ही वे वन उसी लैन के भीतर मौजूद हों, जब तक कि वहां कोई भरोसा न हो। ।
यदि आपके पास कई अलग-अलग व्यावसायिक इकाइयाँ हैं या अलग-अलग सुरक्षा सीमाओं की आवश्यकता है, तो आपको कई वनों की आवश्यकता है।
एक डोमेन एक प्रबंधन सीमा है। डोमेन एक जंगल का हिस्सा हैं। एक जंगल में पहले डोमेन को वन रूट डोमेन के रूप में जाना जाता है। कई छोटे और मध्यम संगठनों (और यहां तक कि कुछ बड़े लोग) में, आप केवल एक ही जंगल में एक ही डोमेन पाएंगे। फ़ॉरेस्ट रूट डोमेन फ़ॉरेस्ट के लिए डिफ़ॉल्ट नामस्थान को परिभाषित करता है। उदाहरण के लिए, यदि किसी नए फ़ॉरेस्ट में पहले डोमेन का नाम है domain1.com
, तो वह फ़ॉरेस्ट रूट डोमेन है। यदि आपके पास चाइल्ड डोमेन के लिए व्यवसाय की आवश्यकता है, उदाहरण के लिए - शिकागो में एक शाखा कार्यालय, तो आप चाइल्ड डोमेन का नाम दे सकते हैं chi
। चाइल्ड डोमेन का FQDN होगाchi.domain1.com
। आप देख सकते हैं कि चाइल्ड डोमेन का नाम प्रीपेड फ़ॉरेस्ट रूट डोमेन नाम था। यह आमतौर पर यह कैसे काम करता है। आप एक ही जंगल में नामस्थानों को विस्थापित कर सकते हैं, लेकिन यह एक अलग समय के लिए कीड़े के पूरे अलग-अलग डिब्बे हो सकते हैं।
ज्यादातर मामलों में, आप एक ही विज्ञापन डोमेन के लिए हर संभव कोशिश करना चाहते हैं। यह प्रबंधन को सरल करता है, और AD के आधुनिक संस्करण OU के आधार पर नियंत्रण को सौंपना बहुत आसान बनाते हैं, जो बाल डोमेन की आवश्यकता को कम करता है।
मैं अपने डोमेन को नाम दे सकता हूं जो भी मैं चाहता हूं, ठीक है?
ज़रुरी नहीं। dcpromo.exe
, एक डीसी को सर्वर के प्रचार को संभालने वाला उपकरण बेवकूफ-प्रूफ नहीं है। यह आपको अपने नामकरण के साथ बुरे निर्णय लेने देता है, इसलिए यदि आप अनिश्चित हैं तो इस खंड पर ध्यान दें। (संपादित करें: dcpromo सर्वर 2012 में पदावनत है। Install-ADDSForest
PowerShell cmdlet का उपयोग करें या प्रबंधक प्रबंधक से AD को स्थापित करें।)
सबसे पहले, TLD जैसे .Local, .lan, .corp या उस अन्य किसी भी बकवास का उपयोग न करें। जो TLD आरक्षित नहीं हैं । ICANN अब TLD को बेच रहा है, इसलिए आप mycompany.corp
जो आज उपयोग कर रहे हैं, वह वास्तव में कल किसी का हो सकता है। यदि आप के मालिक हैं mycompany.com
, तो ऐसा करने के लिए स्मार्ट बात की तरह कुछ का उपयोग करें internal.mycompany.com
या ad.mycompany.com
अपने आंतरिक ई नाम के लिए। यदि आप mycompany.com
बाहरी रूप से resolvable वेबसाइट के रूप में उपयोग करते हैं , तो आपको अपने आंतरिक AD नाम के रूप में अच्छी तरह से उपयोग करने से बचना चाहिए, क्योंकि आप एक विभाजन-मस्तिष्क DNS के साथ समाप्त करेंगे।
डोमेन नियंत्रक और वैश्विक कैटलॉग
एक सर्वर जो प्रमाणीकरण या प्राधिकरण अनुरोधों का जवाब देता है वह एक डोमेन नियंत्रक (DC) है। ज्यादातर मामलों में, एक डोमेन नियंत्रक ग्लोबल कैटलॉग की एक प्रति रखेगा । एक ग्लोबल कैटलॉग (जीसी) एक जंगल में सभी डोमेन में वस्तुओं का एक आंशिक सेट है । यह सीधे खोजे जाने योग्य है, जिसका अर्थ है कि क्रॉस-डोमेन क्वेरीज़ को आमतौर पर लक्ष्य डोमेन में डीसी के लिए एक रेफरल की आवश्यकता के बिना जीसी पर किया जा सकता है। यदि पोर्ट 3268 (SSL का उपयोग करते हुए 3269) पर एक डीसी को क्वेर किया जाता है, तो GC को क्वियर किया जा रहा है। यदि पोर्ट 389 (636 यदि SSL का उपयोग कर रहा है) को क्वेर किया जाता है, तो एक मानक LDAP क्वेरी का उपयोग किया जा रहा है और अन्य डोमेन में मौजूद वस्तुओं को रेफरल की आवश्यकता हो सकती है ।
जब कोई उपयोगकर्ता अपने AD क्रेडेंशियल्स का उपयोग करके AD से जुड़ने वाले कंप्यूटर में लॉग इन करने का प्रयास करता है, तो नमकीन और हैशेड यूज़रनेम और पासवर्ड संयोजन दोनों उपयोगकर्ता खाते और लॉग इन करने वाले कंप्यूटर खाते के लिए DC को भेजे जाते हैं। हाँ। कंप्यूटर लॉग इन भी करता है। यह महत्वपूर्ण है, क्योंकि यदि AD में कंप्यूटर खाते के साथ कुछ होता है, जैसे कोई व्यक्ति खाता रीसेट करता है या उसे हटाता है, तो आपको एक त्रुटि मिल सकती है जो कहती है कि कंप्यूटर और डोमेन के बीच एक विश्वास संबंध मौजूद नहीं है। भले ही आपके नेटवर्क क्रेडेंशियल्स ठीक हैं, कंप्यूटर को अब डोमेन में लॉग इन करने के लिए भरोसा नहीं किया जाता है।
डोमेन नियंत्रक उपलब्धता चिंताएं
मैं सुनता हूं "मेरे पास एक प्राथमिक डोमेन नियंत्रक (पीडीसी) है और एक बैकअप डोमेन नियंत्रक (बीडीसी) स्थापित करना चाहता हूं" और अधिक बार मैं विश्वास करना चाहूंगा। पीडीसी और बीडीसी की अवधारणा विंडोज एनटी 4 के साथ मृत्यु हो गई। PDCs के लिए अंतिम गढ़ एक Windows 2000 संक्रमणकालीन मिश्रित मोड AD में था जब आपके पास अभी भी NT4 DC था। मूल रूप से, जब तक आप एक 15+ वर्ष पुरानी स्थापना का समर्थन नहीं कर रहे हैं, जिसे कभी अपग्रेड नहीं किया गया है, तो आपके पास वास्तव में पीडीसी या बीडीसी नहीं है, आपके पास केवल दो डोमेन नियंत्रक हैं।
एकाधिक डीसी एक साथ विभिन्न उपयोगकर्ताओं और कंप्यूटरों से प्रमाणीकरण अनुरोधों का जवाब देने में सक्षम हैं। यदि कोई विफल हो जाता है, तो दूसरे आपको "प्राथमिक" बनाने के लिए बिना प्रमाणीकरण सेवाओं की पेशकश करना जारी रखेंगे, जैसे कि आपको एनटीआर दिनों में करना होगा। प्रति डोमेन कम से कम दो डीसी होना सबसे अच्छा अभ्यास है । ये DC दोनों GC की एक प्रति रखना चाहिए और दोनों DNS सर्वर होने चाहिए जो आपके डोमेन के लिए सक्रिय निर्देशिका एकीकृत DNS ज़ोन की एक प्रति भी रखते हैं।
FSMO रोल्स
"तो, अगर कोई पीडीसी नहीं हैं, तो एक पीडीसी की भूमिका क्यों है जो केवल एक डीसी हो सकती है?"
मैं यह बहुत सुनता हूं। इसमें पीडीसी एमुलेटर भूमिका है। यह पीडीसी होने से अलग है। वास्तव में, 5 लचीले एकल मास्टर संचालन भूमिकाएं (FSMO) हैं । इन्हें ऑपरेशन मास्टर भूमिका भी कहा जाता है। दो शब्द विनिमेय हैं। वे क्या हैं और वे क्या करते हैं? अच्छा प्रश्न! 5 भूमिकाएँ और उनके कार्य हैं:
डोमेन नामकरण मास्टर - प्रति वन केवल एक डोमेन नामकरण मास्टर है। डोमेन नामकरण मास्टर यह सुनिश्चित करता है कि जब एक नया डोमेन एक जंगल में जोड़ा जाता है कि यह अद्वितीय है। यदि इस भूमिका को रखने वाला सर्वर ऑफ़लाइन है, तो आप AD नामस्थान में परिवर्तन नहीं कर पाएंगे, जिसमें नए चाइल्ड डोमेन को जोड़ना जैसी चीजें शामिल हैं।
स्कीमा मास्टर - एक जंगल में केवल एक स्कीमा संचालन मास्टर होता है। यह सक्रिय निर्देशिका स्कीमा को अद्यतन करने के लिए ज़िम्मेदार है। ऐसे कार्यों की आवश्यकता होती है, जैसे कि एक डीसी या एक्सचेंज की स्थापना के रूप में विंडोज सर्वर के नए संस्करण के लिए विज्ञापन तैयार करना, स्कीमा संशोधनों की आवश्यकता होती है। इन संशोधनों को स्कीमा मास्टर से किया जाना चाहिए।
Infrastructure Master - प्रति डोमेन एक Infrastructure Master है। यदि आपके पास अपने जंगल में केवल एक ही डोमेन है, तो आपको वास्तव में इसके बारे में चिंता करने की आवश्यकता नहीं है। यदि आपके पास एक से अधिक वन हैं, तो आपको यह सुनिश्चित करना चाहिए कि यह भूमिका एक सर्वर के पास नहीं है जो कि एक GC धारक भी है जब तक कि जंगल में प्रत्येक DC एक GC नहीं है । बुनियादी ढांचा मास्टर यह सुनिश्चित करने के लिए जिम्मेदार है कि क्रॉस-डोमेन संदर्भ ठीक से संभाले जाते हैं। यदि एक डोमेन के उपयोगकर्ता को किसी अन्य डोमेन के समूह में जोड़ा जाता है, तो प्रश्न में डोमेन के लिए बुनियादी ढांचा मास्टर यह सुनिश्चित करता है कि इसे ठीक से संभाला जाए। यदि यह वैश्विक कैटलॉग पर है तो यह भूमिका सही ढंग से काम नहीं करेगी।
आरआईडी मास्टर - रिलेटिव आईडी मास्टर (आरआईडी मास्टर) डीसी को आरआईडी पूल जारी करने के लिए जिम्मेदार है। प्रति डोमेन एक RID मास्टर है। AD डोमेन में किसी भी ऑब्जेक्ट की एक अद्वितीय सुरक्षा पहचानकर्ता (SID) है। यह डोमेन आइडेंटिफ़ायर और एक रिश्तेदार आइडेंटिफ़ायर के संयोजन से बनता है। किसी दिए गए डोमेन की प्रत्येक वस्तु में एक ही डोमेन आइडेंटिफायर होता है, इसलिए सापेक्ष पहचानकर्ता वह है जो वस्तुओं को विशिष्ट बनाता है। प्रत्येक DC में उपयोग करने के लिए संबंधित ID का एक पूल होता है, इसलिए जब DC एक नई वस्तु बनाता है, तो वह एक RID को जोड़ देता है जिसका उसने अभी तक उपयोग नहीं किया है। चूंकि डीसी गैर-अतिव्यापी पूल जारी किए जाते हैं, प्रत्येक आरआईडी को डोमेन के जीवन की अवधि के लिए अद्वितीय रहना चाहिए। जब कोई DC अपने पूल में ~ 100 RID को छोड़ता है, तो वह RID मास्टर से एक नए पूल का अनुरोध करता है। यदि RID मास्टर समय की विस्तारित अवधि के लिए ऑफ़लाइन है, तो ऑब्जेक्ट निर्माण विफल हो सकता है।
PDC एम्यूलेटर - अंत में, हम उन सभी की सबसे व्यापक रूप से गलत समझा भूमिका, PDC एम्यूलेटर भूमिका प्राप्त करते हैं। प्रति डोमेन एक पीडीसी एमुलेटर है। यदि कोई विफल प्रमाणीकरण प्रयास है, तो उसे PDC एमुलेटर पर भेज दिया जाता है। पीडीसी एमुलेटर "टाई-ब्रेकर" के रूप में कार्य करता है यदि एक डीसी पर एक पासवर्ड अपडेट किया गया था और अभी तक दूसरों को दोहराया नहीं गया है। पीडीसी एमुलेटर भी सर्वर है जो पूरे डोमेन में समय सिंक को नियंत्रित करता है। अन्य सभी डीसी पीडीसी एमुलेटर से अपना समय सिंक करते हैं। सभी क्लाइंट अपना समय उस डीसी से सिंक करते हैं जो उन्होंने लॉग इन किया था। यह महत्वपूर्ण है कि सब कुछ एक दूसरे के 5 मिनट के भीतर रहे, अन्यथा केर्बरोस टूट जाता है और जब ऐसा होता है, तो सभी रोते हैं।
याद रखने वाली महत्वपूर्ण बात यह है कि ये सर्वर जिन भूमिकाओं पर चलते हैं, वे पत्थर में सेट नहीं होती हैं। यह आमतौर पर इन भूमिकाओं को स्थानांतरित करने के लिए तुच्छ है, इसलिए जब कुछ डीसी दूसरों की तुलना में थोड़ा अधिक करते हैं, अगर वे कम समय के लिए चले जाते हैं, तो आमतौर पर सब कुछ सामान्य रूप से कार्य करेगा। यदि वे लंबे समय से नीचे हैं, तो भूमिकाओं को पारदर्शी रूप से स्थानांतरित करना आसान है। यह NT4 PDC / BDC दिनों की तुलना में बहुत अच्छा है, इसलिए कृपया अपने डीसी को उन पुराने नामों से बुलाना बंद करें। :)
तो, उम ... अगर वे एक-दूसरे के स्वतंत्र रूप से कार्य कर सकते हैं तो डीसी कैसे जानकारी साझा करते हैं?
प्रतिकृति, बिल्कुल । डिफ़ॉल्ट रूप से, एक ही साइट में समान डोमेन से संबंधित डीसी 15 सेकंड के अंतराल पर एक दूसरे को अपना डेटा दोहराएंगे। यह सुनिश्चित करता है कि सब कुछ अपेक्षाकृत अद्यतित है।
कुछ "तत्काल" घटनाएं हैं जो तत्काल प्रतिकृति को ट्रिगर करती हैं। ये घटनाएँ हैं: बहुत से विफल लॉगिन के लिए एक खाता बंद कर दिया जाता है, डोमेन पासवर्ड या तालाबंदी की नीतियों में बदलाव किया जाता है, LSA रहस्य को बदल दिया जाता है, पासवर्ड को DC के कंप्यूटर खाते में बदल दिया जाता है, या RID मास्टर भूमिका को स्थानांतरित कर दिया जाता है एक नए डीसी के लिए। इनमें से कोई भी घटना तत्काल प्रतिकृति घटना को ट्रिगर करेगी।
पासवर्ड परिवर्तन अत्यावश्यक और गैर-जरूरी के बीच में आते हैं और विशिष्ट रूप से नियंत्रित किए जाते हैं। यदि किसी उपयोगकर्ता का पासवर्ड बदल दिया गया है DC01
और एक उपयोगकर्ता एक कंप्यूटर में लॉग इन करने की कोशिश करता है जो DC02
प्रतिकृति होने से पहले के खिलाफ प्रमाणित कर रहा है, तो आप उम्मीद करेंगे कि यह विफल हो, सही? सौभाग्य से ऐसा नहीं होता है। मान लें कि यहां एक तीसरा डीसी DC03
भी है जिसे पीडीसी एमुलेटर भूमिका कहते हैं। जब DC01
उपयोगकर्ता के नए पासवर्ड के साथ अपडेट किया जाता है, तो उस परिवर्तन को तुरंत DC03
भी दोहराया जाता है । जब आप प्रमाणीकरण के प्रयास DC02
विफल हो जाते हैं, DC02
तो उस प्रमाणीकरण प्रयास को आगे बढ़ाते हैं DC03
, जो यह सत्यापित करता है कि यह वास्तव में अच्छा है, और लॉगऑन की अनुमति है।
आइए DNS के बारे में बात करते हैं
DNS ठीक से काम करने वाले विज्ञापन के लिए महत्वपूर्ण है। आधिकारिक Microsoft पार्टी लाइन यह है कि किसी भी DNS सर्वर का उपयोग किया जा सकता है यदि इसे ठीक से सेट किया गया हो। यदि आप अपने AD क्षेत्रों को होस्ट करने के लिए BIND का उपयोग करते हैं, तो आप उच्च स्तर पर हैं। गंभीरता से। AD इंटीग्रेटेड DNS ज़ोन का उपयोग करने के साथ चिपकाएँ और अन्य ज़ोन्स के लिए सशर्त या वैश्विक फ़ॉर्वर्डर्स का उपयोग करें यदि आप अवश्य करें। आपके क्लाइंट को आपके AD DNS सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए, इसलिए यहां अतिरेक होना महत्वपूर्ण है। यदि आपके पास दो डीसी हैं, तो उन दोनों को DNS चलाएं और अपने ग्राहकों को नाम समाधान के लिए दोनों का उपयोग करने के लिए कॉन्फ़िगर करें।
इसके अलावा, आप यह सुनिश्चित करना चाहते हैं कि यदि आपके पास एक से अधिक DC हैं, तो वे स्वयं को DNS रिज़ॉल्यूशन के लिए पहले सूचीबद्ध नहीं करते हैं। यह एक ऐसी स्थिति पैदा कर सकता है, जहां वे "प्रतिकृति द्वीप" पर हैं, जहां वे एडी प्रतिकृति टोपोलॉजी के बाकी हिस्सों से काट दिए गए हैं और पुनर्प्राप्त नहीं कर सकते हैं। यदि आपके पास दो सर्वर हैं DC01 - 10.1.1.1
और DC02 - 10.1.1.2
फिर उनकी DNS सर्वर सूची को इस तरह कॉन्फ़िगर किया जाना चाहिए:
सर्वर: DC01 (10.1.1.1)
प्राइमरी DNS - 10.1.1.2
सेकेंडरी DNS - 127.0.0.1
सर्वर: DC02 (10.1.1.2)
प्राथमिक DNS - 10.1.1.1
माध्यमिक DNS - 127.0.0.1
ठीक है, यह जटिल लगता है। मैं AD का उपयोग क्यों करना चाहता हूं?
क्योंकि एक बार जब आप जानते हैं कि आप क्या कर रहे हैं, तो आप का जीवन असीम रूप से बेहतर हो जाता है। AD उपयोगकर्ता और कंप्यूटर प्रबंधन के केंद्रीकरण के साथ-साथ संसाधन के उपयोग और उपयोग के केंद्रीकरण की अनुमति देता है। एक ऐसी स्थिति की कल्पना करें जहां आपके कार्यालय में 50 उपयोगकर्ता हैं। यदि आप प्रत्येक उपयोगकर्ता को प्रत्येक कंप्यूटर पर अपना लॉगिन करना चाहते हैं, तो आपको प्रत्येक पीसी पर 50 स्थानीय उपयोगकर्ता खातों को कॉन्फ़िगर करना होगा। AD के साथ, आपको केवल एक बार उपयोगकर्ता खाता बनाना होगा और यह डिफ़ॉल्ट रूप से डोमेन पर किसी भी पीसी में लॉग इन कर सकता है। यदि आप सुरक्षा को सख्त करना चाहते हैं, तो आपको इसे 50 बार करना होगा। एक बुरे सपने की तरह, है ना? यह भी कल्पना करें कि आपके पास एक फ़ाइल साझा है जिसे आप केवल उन लोगों में से आधे को प्राप्त करना चाहते हैं। यदि आप AD का उपयोग नहीं कर रहे हैं, तो आपको या तो उनके उपयोगकर्ता नाम और पासवर्ड को सर्वर पर हाथ से दोहराने की आवश्यकता होगी, जो आपको बिना किसी कारण के एक्सेस दे सकता है, या आपको ' d को एक साझा खाता बनाना होगा और प्रत्येक उपयोगकर्ता को उपयोगकर्ता नाम और पासवर्ड देना होगा। एक तरह से इसका मतलब है कि आप जानते हैं (और लगातार अपडेट करना होगा) उपयोगकर्ताओं के पासवर्ड। दूसरे तरीके का मतलब है कि आपके पास कोई ऑडिट ट्रेल नहीं है। अच्छा नहीं, है ना?
जब आप AD सेट अप कर लेते हैं तो आपको समूह नीति का उपयोग करने की क्षमता भी प्राप्त होती है। समूह नीति उन वस्तुओं का एक समूह है जो OU से जुड़े होते हैं जो उन OU में उपयोगकर्ताओं और / या कंप्यूटर के लिए सेटिंग्स को परिभाषित करते हैं। उदाहरण के लिए, यदि आप इसे बनाना चाहते हैं ताकि "शटडाउन" 500 लैब पीसी के लिए स्टार्ट मेन्यू पर न हो, तो आप ग्रुप पॉलिसी में एक सेटिंग में कर सकते हैं। हाथ से उचित रजिस्ट्री प्रविष्टियों को कॉन्फ़िगर करने में घंटों या दिनों के खर्च करने के बजाय, आप एक बार एक समूह नीति ऑब्जेक्ट बनाते हैं, इसे सही OU या OUs से लिंक करते हैं, और इसके बारे में फिर कभी नहीं सोचना पड़ता। सैकड़ों GPO हैं जिन्हें कॉन्फ़िगर किया जा सकता है, और समूह नीति का लचीलापन प्रमुख कारणों में से एक है कि Microsoft उद्यम बाजार में बहुत प्रभावी है।