چک لیست طراحی اکتیودایرکتوری

0 806
Telegram_GEEKBOY

checklist1

بسیاری از دوستان از بنده درخواست یک چک لیست رو داشتند که وقتی میخان اکتیودایرکتوری رو طراحی و پیاده سازی کنند از اون استفاده کنند و موردی رو از قلم نندازند، بنده یک چک لیست آماده کردم که از این طریق شما هیچ مشکلی در طراحی و پیاده سازی ساختار اکتیودایرکتوری نخواهید داشت، البته این چک لیست بر اساس یک سازمان ایده آل در نظر گرفته شده و شما میتونید بر حسب نیازتون بعضی از موارد رو در طراحی در نظر نگیرید و یا از مواردی هم در ساختار forest استفاده نکنید، اما در هر صورت این مقاله میتونه کمک مفیدی به شما در طراحی اکتیودایرکتوری در محیط های کوچک و شبکه های محلی و داخلی بکنه، بریم سراغ چک لیست:

1.سیستم نامگذاری و سرویس DNS خود را درست طراحی کنید: همیشه و در بدو ایجاد یک شبکه می بایست یک نامگذاری مناسب برای ساختار DNS و اکتیودایرکتوری انتخاب کنید، عوض کردن نام دامنه پس از ایجاد آن کار بسیار دشواری است، همیشه به خاطر بسپارید که یک آدرس ثابت IP برای سرور خود انتخاب کنید و در صورتیکه از IP ورژن 6 استفاده نمی کنید، آنرا غیر فعال کنید. پیشنهاد من این است که در صورتیکه شبکه شما به داخل سرویس می دهد از پسوند local در طراحی آن استفاده کنید.

2.کنترل کننده های دامنه یا Domain Controllers: همیشه بیش از یک دامین کنترلر در شبکه خود در نظر بگیرید، داشتن دو یا حتی سه عدد DC به شما کمک می کند که دیگر نیازی به بازگردانی اطلاعات از Backup نداشته باشید. تا حد امکان سعی کنید که سرویس هایی مانند File Sharing و یا Web Server را در سرور های عضو دامین قرار دهید و دامین کنترلر را طوری در نظر بگیرید که صرفا کار Name Resolution یا تبدیل نامها و یا احزار هویت Authentication را بر عهده داشته باشد  اینکار باعث می شود که براحتی سرویس های شما قابل انتقال به جای دیگر باشند و وابستگی کمتری به سرویس ها بوجود خواهد آمد.

3.نامگذاری NetBIOS: در صورتیکه قرار است از سرور WINS در شبکه داخلی خود استفاده کنید، حتما برای نامگذاری سرورهای خود راه حل داشته باشید، نامگذاری WINS همیشه نکته ای اساسی در تعیین سهولت دسترسی به سروها خواهد بود.

4.بروز رسانی با Upgrade: اگر قصد بروزرسانی سرور خود را از سرور های قدیمی تر مانند سرور 2000 یا 2003 به سرور 2008 یا 2012 را دارید به احتمال زیاد شما نیاز به آماده سازی بستر برای بروز رسانی به سرور جدید با به گقته کارشناسان فنی Prepare کردن دامین را خواهید داشت. شما با استفاده از یک ابزار تحت داس به نام adprep.exe که معمولا با DVD محصول سرور جدیدتر ارائه می شود می توانید سرور را آماده بروزرسانی کنید. یکی از مهمترین کارهایی که این دستور انجام می دهد بروز رسانی schema یا اسکیما با توجه به اسکیمای سرور جدید است.

5.دستور dcpromo: قبل از ویندوز سرور 2008 (در ویندوز سرور 2003 و 2000 (از این دستور برای ایجاد عملیات promote کردن یا تبدیل کردن سرور یه سرور اکتیودایرکتوری استفاده می شده است اما در سرور 2008 علاوه بر اینکه میتوانید از این دستور استفاده کنید از طریق کنسول هم میتوانید عملیات promote را انجام دهید، در ویندوز سرور 2008 پس از اجرای دستور dcpromo بهتر است از دکمه Advanced برای نصب استفاده کنید زیرا امکانات بیشتری را در اختیار شما قرار می دهد. البته در سرور 2012 به بعد دیگر امکان استفاده از این دستور وجود ندارد و فقط باید از کنسول استفاده نمایید.

6.رمز Restore Mode: همیشه یکی از مسائلی که ما ایرانی ها با آن مواجه هستیم در راه اندازی یک دامین کنترلر این است که رمز Restore Mode سیستم را فراموش میکنیم، این رمز در حقیقت برای بازگردانی اطلاعات شما بکار می رود و در صورتیکه دچار مشکل شوید از این رمز برای ورود به سیستم در حالت local استفاده خواهید کرد، این رمز در آخرین مراحل نصب Active directory و عملیات dcrpomo از شما خواسته میشود و به جای اینکه در اکتیودایرکتوری ذخیره شود در فایل SAM داخلی سیستم نگهداری می شود.

7.Replication: بعد از اینکه اکتیودایرکتوری رانصب کردید، در صورتیکه چندین دامین کنترلر در شبکه دارید حتما Replication و رد و بدل شدن اطلاعات در بین آنها را چک کنید تا دچار مشکل نشود. هرگونه خطا را در این زمینه به سرعت پیگیری کنید.

8.تنظیمات زمان و تاریخ: همیشه سعی کنید که زمان درست را به سروری که دارای نقش PDC Emulator در شبکه هست را بدهید، زمان بین المللی را بر حسب تاریخ تهران و بروز رسانی از طریق اینترنت را فعال کنید. همانطور که میدانید تمامی کامپیوتر های شبکه از طریق سرویس زمان یا همان time به سرور ورود می کنند پس تمهیدات زمانی را نظر بکیرید. اگر شبکه شما دارای NTP سرور هست آنرا به عنوان سرور زمان یا time server در شبکه در نظر بگیرید و به PDC emulator معرفی کنید.

9. مجازی سازی: ایجاد دامین کنترلر و ساختار اکتیودایرکتوری در ساختار مجازی سازی کاملا کار می کند اما باید تمهیداتی را نیز در نظر داشته باشید. از استفاده از امکان Snapshot و REDO در ساختار مجازی سازی برای سرور اکتیودایرکتوری استفاده نکنید و همیشه هماهنگ سازی زمان یا time Synchronization را در نظر داشته باشید.

10.Global Catalog: در یک محیط تک دامینی یا Single Domain همیشه تمامی سرور هایی را که در نقش دامین کنترلر هستند را به عنوان Global Catalog معرفی کنید اما در محیط هایی که چندین دامین مختلف در آن وجود دارد تداخل Infrastructure و Global Catalog سرور ممکن است ساختار شما را دچار مشکل کند پس برای این موارد حتما برنامه ریزی و طراحی نحوه قرار گیری GC را انجام دهید.

11.Operation Master Roles یا FSMO: این نقش ها بصورت پیشفرض بر روی اولین دامین کنترلر نصب شده در شبکه قرار می گیرند. حتما توجه کنید که هر کدام از این نقش ها به نوبه خود اهمیت خاصی در شبکه دارند و میتوانند در صورت بروز مشکل شبکه را دچار اختلال کنند، در ساختار هایی که از چندین دامین بصورت درختی استفاده می شود شما می بایست نحوه قرار گیری این نقش ها را حتما در نظر داشته باشید و برای آنها طرح داشته باشید، ممکن است نیاز به جابجایی برخی از این نقوش در شبکه وجود داشته باشد.

12.نصب ابزارهای اضافی: بعضی از ابزارهای مدیریتی ویندوز سرور 2000 و 2003 بصورت پیشفرض بر روی آن نصب نشده اند که میتوانید از آنها استفاده کنید، یکی از این ابزارها به نام support tools می باشد که در پوشه support سی دی ارائه شده توسط مایکروسافت وجود دارد و به شما در مدیریت ویندوز سرور بسیار کمک خواهد کرد. اما در ویندوز سرور 2008 به بعد بسیاری از این ابزار ها به عنوان ابزار کابردی در ویندوز بصور پیشفرض نصب و راه اندازی شده است. به عنوان مثال GPMC یا Group Policy Management Console در ویندوز سرور 2003 به عنوان یک ابزار جانبی نصب میشد که در ویندوز سرور 2008 به بعد به عنوان یک ابزار داخلی وجود دارد که تنها راه مدیریت GPO ها در سرور 2008 به بعد است.

13.Backup و Restore: اگر از سیستم خود Backup می گیرید، حتما Backup گیری از اطلاعات Active Directory را مد نظر داشته باشید، همچنین از طریق کنسول GPMC از Group Policy هم یک Backup تهیه کنید البته اگر تنظیمات خاصی بر روی آن انجام داده اید.

14.Functional Level: برای استفاده از بیشترین امکانات ممکن از سیستم عامل ها می بایست Functional Level های موجود را اصطلاحا Raise کرده و به بالاترین سطح قرار دهید، توجه کنید که این عمل یک طرفه است و راه برگشتی وجود ندارد، پس مطمئن شوید که سروری با سیستم عامل ورژن قبلی در شبکه به عنوان Domain Controller فعالیت نمیکند.

15.امنیت: همیشه امنیت را هر چند در حداقل اعمال کنید، Password Policy برای رمز های عبور تعیین کنید، از کلیه عملیات ها سیستم Log برداری کنید و سایز پوشه log ها را افزایش دهید، log ها را به امان خدا نگذارید و حتما آنها را چک کنید تا سلامت سیستم خود اطمینان حاصل کنید. قبل از انجام هرگونه تمهیدات امنیتی ابتدا آنرا در یک محیط تست، آزمایش کرده و بعد از آزمایش در محیط عملیاتی اعمال کنید. همیشه امنیت را بصورت بومی سازی شده استفاده کنید و از قالب های آماده امنیتی بصورت یکجا در شبکه استفاده نکنید. مثلا از template های Group Policy موجود در MMC بصورت کامل استفاده نکنید و آنها را بومی سازی کنید و تست کنید.

16.فایروال ها: Domain Controller ها بصورت پیشفرض از قابلیت Allocation Dynamic Port استفاده می کنند و این در برخی اوقات میتواند در برقراری ارتباط بین خود دامین کنترلر و کلاینت ها و حتی Member Server ها مشکلاتی ایجاد کند. همیشه در صورت امکان استفاده از فایروال در شبکه و بر روی دامین کنترلر ها از قبل تمامی پورتهای مورد استفاده و سرویس های مورد نظر را مشخص نموده و بر اساس آن فایروال خود را تنظیم کنید.

17.طرح نگهداری: همیشه برای خود یک طرح نگهداری تهیه و تنظیم کنید، به عنوان مثال برای خود تعداد و مدت زمانی را برای توجه و مرور log های موجود بر روی سرور ها اختصاص دهید. بویژه log ها موجود بر روی دامین کنترلر ها که از همه سرور ها مهمتر هستند. همیشه به یاد داشته باشید که log ها فقط برای نگهداری نیستند و باید آنها را در وهله های زمانی منظم چک کرد. حتما با استفاده از ابزارهای کاربردی وضعیت سلامتی سرور های خود ار کنترل کنید، پیشنهاد من همیشه پیاده سازی یک سیستم مانیتورینگ تجهیزات و سرور ها بصورت مرکزی در شبکه است که کار شما را بسیار آسانتر خواهد کرد.

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.