প্রশ্ন অ্যাক্টিভ ডিরেক্টরি ডোমেন সার্ভিসেস এবং এটি কীভাবে কাজ করে?


এটা একটা ক্যানোনিকাল প্রশ্ন অ্যাক্টিভ ডিরেক্টরি ডোমেন সার্ভিসেস (এডি ডিএস) সম্পর্কে।

সক্রিয় ডিরেক্টরি কি? এটা কি করে এবং কিভাবে কাজ করে?

কিভাবে সক্রিয় ডিরেক্টরি সংগঠিত হয়: বন, শিশু ডোমেন, বৃক্ষ, সাইট, বা OU


আমি নিজেকে অনুমান কিছু খুঁজে ব্যাখ্যা প্রায় এটি প্রায় সাধারণ জ্ঞান। এই প্রশ্ন, আশা করি, একটি ক্যানোনিকাল প্রশ্ন হিসেবে কাজ করবে এবং সর্বাধিক মৌলিক অ্যাক্টিভ ডিরেক্টরিগুলির প্রশ্নের উত্তর দেবে। আপনি যদি মনে করেন যে আপনি এই প্রশ্নের উত্তরটি উন্নত করতে পারেন তবে দয়া করে দূরে সম্পাদনা করুন।


136
2018-06-27 03:47


উত্স


আমি দেখতে চাই না যে আমি রেপ-হোয়িং করছি, কিন্তু আমার মনে হয় এটি AD- এর একটি অ-প্রযুক্তিগত বর্ণনা লিঙ্কিংয়ের সাথেও মূল্যযুক্ত, যদি আপনি কোনও পরিস্থিতিতে যান তবে আপনাকে কম প্রযুক্তিগত বিবরণে এটি বর্ণনা করতে হবে: serverfault.com/q/18339/7200 - Evan Anderson
এই প্রশ্নের জন্য সম্ভাব্য লিঙ্ক: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... মাত্র কয়েক নাম. হয়তো একটি ক্যানোনিকাল @ এমডমারা অর্ডার - TheCleaner


উত্তর:


সক্রিয় ডিরেক্টরি কি?

অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিষেবাদি মাইক্রোসফ্ট এর ডিরেক্টরি সার্ভার। এটি প্রমাণীকরণ এবং অনুমোদন প্রক্রিয়া পাশাপাশি একটি কাঠামো সরবরাহ করে যার মধ্যে অন্যান্য সম্পর্কিত পরিষেবাগুলি স্থাপন করা যেতে পারে (এডি শংসাপত্র পরিষেবাদি, এডি ফেডারেটেড পরিষেবাদি ইত্যাদি)। এটি একটি দ্বারা LDAP বস্তু ধারণকারী কম্পাইল ডাটাবেস। সর্বাধিক ব্যবহৃত বস্তু ব্যবহারকারী, কম্পিউটার, এবং গ্রুপ। এই বস্তুগুলিকে সাংগঠনিক ইউনিটগুলিতে (ওউএস) কোনও লজিক্যাল বা ব্যবসায়িক প্রয়োজন দ্বারা সংগঠিত করা যেতে পারে। গ্রুপ পলিসি অবজেক্টস (জিপিও) তারপরে সংগঠন জুড়ে বিভিন্ন ব্যবহারকারী বা কম্পিউটারগুলির জন্য সেটিংস কেন্দ্রীভূত করতে OUs সাথে লিঙ্ক করা যেতে পারে।

যখন লোকেরা "অ্যাক্টিভ ডিরেক্টরি" বলে থাকে তখন তারা সাধারণত "অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিষেবাদি" উল্লেখ করে। এটি গুরুত্বপূর্ণ যে এতে অন্যান্য সক্রিয় ডিরেক্টরি ভূমিকা / পণ্য যেমন সার্টিফিকেট পরিষেবাদি, ফেডারেশন পরিষেবাদি, লাইটওয়েট ডিরেক্টরি পরিষেবা, রাইটস ম্যানেজমেন্ট পরিষেবাদি ইত্যাদি রয়েছে। এই উত্তরটি বিশেষভাবে অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিষেবাদিগুলিতে উল্লেখ করা হয়।

একটি ডোমেইন কি এবং একটি বন কি?

একটি বন একটি নিরাপত্তা সীমানা। পৃথক বনের বস্তু একে অপরের সাথে যোগাযোগ করতে পারবেন না, যতক্ষণ না প্রতিটি পৃথক বন প্রশাসক একটি তৈরি আস্থা তাদের মধ্যে. উদাহরণস্বরূপ, একটি এন্টারপ্রাইজ প্রশাসক অ্যাকাউন্টের জন্য domain1.com, যা সাধারণত একটি বন সবচেয়ে অনুমোদিত অ্যাকাউন্ট, নামে, একটি দ্বিতীয় বন মধ্যে সব অনুমতি নেই domain2.comএমনকি যদি সেই বনগুলিও একই ল্যানের মধ্যে বিদ্যমান থাকে, তবে এটিতে কোনও বিশ্বাস নেই।

আপনার যদি একাধিক বিযুক্ত ব্যবসা ইউনিট থাকে বা পৃথক সুরক্ষা সীমানাগুলির প্রয়োজন হয় তবে আপনাকে একাধিক বন দরকার।

একটি ডোমেন একটি ম্যানেজমেন্ট সীমানা। ডোমেইন একটি বন অংশ। একটি বন প্রথম ডোমেইন বন রুট ডোমেইন হিসাবে পরিচিত হয়। অনেক ছোট এবং মাঝারি সংস্থায় (এবং এমনকি কিছু বড় বেশী), আপনি শুধুমাত্র একটি বন মধ্যে একটি একক ডোমেন খুঁজে পাবেন। বন রুট ডোমেইন বন জন্য ডিফল্ট নামস্থান নির্ধারণ করে। উদাহরণস্বরূপ, যদি একটি নতুন বন প্রথম ডোমেইন নামকরণ করা হয় domain1.com, তারপর যে বন রুট ডোমেইন। আপনার যদি কোনও শিশু ডোমেনের জন্য ব্যবসায়ের প্রয়োজন হয়, উদাহরণস্বরূপ - শিকাগোতে একটি শাখা অফিস, আপনি সন্তানের ডোমেন নাম দিতে পারেন chi। দ্য FQDN সন্তানের ডোমেইন হতে হবে chi.domain1.com। আপনি দেখতে পারেন যে সন্তানের ডোমেনের নাম বনমূল্যের ডোমেনের নাম পূর্ববর্তী ছিল। এটি সাধারণত এটি কিভাবে কাজ করে। আপনি একই বন মধ্যে বিযুক্ত নামস্থান থাকতে পারে, কিন্তু এটি একটি ভিন্ন সময়ের জন্য কীট সম্পূর্ণ পৃথক হতে পারে।

বেশিরভাগ ক্ষেত্রেই, আপনি একক এড ডোমেন থাকা সবার পক্ষে চেষ্টা করতে এবং করতে চান। এটি পরিচালনাকে সহজ করে তোলে এবং এডি এর আধুনিক সংস্করণগুলি OU- এর উপর ভিত্তি করে নিয়ন্ত্রণকে প্রতিনিধিত্ব করা খুব সহজ করে তোলে যা শিশু ডোমেনগুলির প্রয়োজন কমিয়ে দেয়।

আমি আমার ডোমেন নাম্বার যাই হোক না কেন নাম দিতে পারি, তাই না?

আসলে তা না. dcpromo.exe, যে কোনও সার্ভারকে একটি ডিসি তে প্রচারের হাতিয়ারটি নির্বোধ-প্রমাণ নয়। এটি আপনাকে আপনার নামকরণের সাথে খারাপ সিদ্ধান্ত নিতে দেয়, তাই আপনি যদি নিশ্চিত না হন তবে এই বিভাগে মনোযোগ দিন। (সম্পাদনা: dcpromo অব্যবহৃত হয় সার্ভার 2012. ব্যবহার করুন Install-ADDSForest PowerShell cmdlet বা সার্ভার ম্যানেজার থেকে AD DS ইনস্টল করুন।)

সর্বোপরি, তৈরি করা TLDs ব্যবহার করবেন না। লোকাল, .lan, .corp, বা অন্য যে কোনও বাজে। যারা TLDs হয় না সংরক্ষিত। আইসিএএনএএন এখন টিএলডি বিক্রি করছে, তাই আপনার mycompany.corp আপনি আজ ব্যবহার করছেন যে আসলে আগামীকাল কেউ অন্তর্গত হতে পারে। আপনি যদি মালিক হন mycompany.com, তারপর স্মার্ট জিনিস মত কিছু ব্যবহার করা হয় internal.mycompany.com অথবা ad.mycompany.com আপনার অভ্যন্তরীণ এডি নাম জন্য। আপনি ব্যবহার করেন mycompany.com একটি বহিরাগত সমাধানযোগ্য ওয়েবসাইট হিসাবে, আপনাকে আপনার অভ্যন্তরীণ AD নাম হিসাবে এটি ব্যবহার করা উচিত নয়, যেহেতু আপনি একটি বিভক্ত-মস্তিষ্ক DNS দিয়ে শেষ করবেন।

ডোমেইন কন্ট্রোলার এবং গ্লোবাল ক্যাটালগ

একটি সার্ভার যা প্রমাণীকরণ বা অনুমোদনের অনুরোধগুলিতে প্রতিক্রিয়া দেয় একটি ডোমেন কন্ট্রোলার (ডিসি)। বেশিরভাগ ক্ষেত্রে, একটি ডোমেন কন্ট্রোলার একটি অনুলিপি রাখা হবে গ্লোবাল ক্যাটালগ। একটি গ্লোবাল ক্যাটালগ (জিসি) বস্তুর আংশিক সেট সব একটি বন ডোমেইন। এটি সরাসরি অনুসন্ধানযোগ্য, যার অর্থ ক্রস ডোমেনের প্রশ্নগুলিকে সাধারণত লক্ষ্যমাত্রার ডোমেনে রেফারেল প্রয়োজন ছাড়াই জিসি তে সঞ্চালিত হতে পারে। একটি ডিসি জিজ্ঞাসা করা হয় পোর্ট 3268 (SSL ব্যবহার করে 3269), তাহলে জিসি জিজ্ঞাসা করা হচ্ছে। যদি পোর্ট 389 (SSL ব্যবহার করে 636) জিজ্ঞাসা করা হয়, তাহলে একটি স্ট্যান্ডার্ড LDAP ক্যোয়ারী ব্যবহার করা হচ্ছে এবং অন্য ডোমেনে বিদ্যমান বস্তুগুলির প্রয়োজন হতে পারে রেফারেল

যখন কোনও ব্যবহারকারী তাদের এড্রেডের শংসাপত্র ব্যবহার করে AD তে যোগদানকারী কম্পিউটারে লগ ইন করার চেষ্টা করে, তখন লবণাক্ত এবং হ্যাশেড ব্যবহারকারীর নাম এবং পাসওয়ার্ড সমন্বয় উভয় ব্যবহারকারীর অ্যাকাউন্ট এবং লগ-ইন করা কম্পিউটার অ্যাকাউন্টের জন্য ডিসিকে পাঠানো হয়। হ্যাঁ, কম্পিউটার লগ খুব। এটি গুরুত্বপূর্ণ, কারণ AD তে কম্পিউটার অ্যাকাউন্টে কিছু ঘটে গেলে, যেমন কেউ অ্যাকাউন্টটি রিসেট করে বা মুছে ফেলার মতো, আপনি একটি ত্রুটি পেতে পারেন যা বলে যে একটি ট্রাস্ট সম্পর্ক কম্পিউটার এবং ডোমেনের মধ্যে বিদ্যমান নয়। যদিও আপনার নেটওয়ার্ক প্রমাণপত্রাদি জরিমানা, কম্পিউটারটি আর ডোমেনে লগ ইন করার জন্য বিশ্বস্ত নয়।

ডোমেইন কন্ট্রোলার প্রাপ্যতা Concerns

আমি শুনেছি "আমার একটি প্রাথমিক ডোমেন কন্ট্রোলার (PDC) রয়েছে এবং আমি বিশ্বাস করতে চাই যে প্রায়শই ঘন ঘন একটি ডোমেন কন্ট্রোলার (বিডিসি) ইনস্টল করতে চাই।" উইন্ডোজ এনটি 4 এর সাথে পিডিসি এবং বিডিসিগুলির ধারণা মারা গেছে। পিডিসিগুলির জন্য সর্বশেষ বুনিয়াদটি উইন্ডোজ 2000 ট্রান্সশিউশনাল মিশ্র মোডে AD তে ছিল যখন আপনার এখনও এনটি 4 ডিসি ছিল। মূলত, যদি আপনি একটি 15+ বছর বয়সী সমর্থন না করা যেটি আপগ্রেড করা হয়নি সেটি ইনস্টল করুন, আপনার কাছে একটি পিডিসি বা একটি বিডিসি নেই, আপনার দুটি ডোমেন কন্ট্রোলার রয়েছে।

একাধিক ডিসি বিভিন্ন ব্যবহারকারী এবং কম্পিউটার থেকে একযোগে প্রমাণীকরণ অনুরোধের উত্তর দিতে সক্ষম। যদি কেউ ব্যর্থ হয়, তবে অন্যরা এনটি 4 দিনের মধ্যে একটি "প্রাথমিক" তৈরি না করেই প্রমাণীকরণ পরিষেবাদি প্রদান চালিয়ে যাবেন। এটা আছে ভাল অনুশীলন অন্তত ডোমেইন প্রতি দুই ডিসি। এই ডিসিগুলির উভয়ই জিসি একটি অনুলিপি থাকা উচিত এবং উভয়ই DNS সার্ভার থাকা উচিত যা আপনার ডোমেনের জন্য Active Directory ইন্টিগ্রেটেড DNS জোনগুলির একটি অনুলিপি ধারণ করে।

FSMO ভূমিকা

"সুতরাং, যদি কোনও পিডিসি না থাকে তবে কেন এমন একটি পিডিসি ভূমিকা রয়েছে যা শুধুমাত্র একটি ডিসি থাকতে পারে?"

আমি এই অনেক শুনতে। সেখানে একটি পিডিসি এমুলেটর ভূমিকা. এটি একটি পিডিসি হচ্ছে ভিন্ন। আসলে, আছে 5 নমনীয় একা মাস্টার অপারেশন ভূমিকা (FSMO)। এই অপারেশন মাস্টার ভূমিকা হিসেবে ভাল বলা হয়। দুটি পদ বিনিময়যোগ্য হয়। তারা কি এবং তারা কি করবেন? ভাল প্রশ্ন! 5 ভূমিকা এবং তাদের ফাংশন হয়:

ডোমেইন নামকরণ মাস্টার - বন প্রতি শুধুমাত্র একটি ডোমেইন নামকরণ মাস্টার আছে। ডোমেন নামকরণ মাস্টার নিশ্চিত করে যে যখন একটি নতুন ডোমেন কোনও বনটিতে যুক্ত হয় তখন এটি অনন্য। যদি এই ভূমিকাটি ধারণকারী সার্ভার অফলাইনে থাকে তবে আপনি এড নেমস্পেসে পরিবর্তন করতে পারবেন না, এতে নতুন শিশু ডোমেন যোগ করার মতো জিনিসগুলি অন্তর্ভুক্ত রয়েছে।

স্কিমা মাস্টার - একটি বন মধ্যে শুধুমাত্র এক স্কিমা অপারেশন মাস্টার আছে। এটি সক্রিয় ডিরেক্টরি স্কিম আপডেট করার জন্য দায়ী। এটির প্রয়োজন এমন কাজগুলি, যেমন ডিসি হিসাবে উইন্ডোজ সার্ভারের একটি নতুন সংস্করণের জন্য AD তৈরি করা বা এক্সচেঞ্জ ইনস্টলেশনের জন্য স্কিমা সংশোধন প্রয়োজন। এই পরিবর্তন স্কিমা মাস্টার থেকে সম্পন্ন করা আবশ্যক।

ইনফ্রাস্ট্রাকচার মাস্টার - প্রতি ডোমেইন একটি Infrastructure মাস্টার আছে। আপনি যদি শুধুমাত্র আপনার বন মধ্যে একটি একক ডোমেন আছে, আপনি সত্যিই এটি সম্পর্কে চিন্তা করতে হবে না। আপনি যদি একাধিক বন আছে, তাহলে আপনি এই ভূমিকা নিশ্চিত করা উচিত একটি সার্ভারের দ্বারা অনুষ্ঠিত হয় না যা একটি জিসি ধারক না হওয়া পর্যন্ত বন প্রতি ডিসি একটি জিসি হয় না। ক্রস ডোমেন রেফারেন্স সঠিকভাবে পরিচালনা করা হয় তা নিশ্চিত করার জন্য ইনফ্রাস্ট্রাকচার মাস্টার দায়ী। যদি ডোমেনের কোনও ব্যবহারকারী অন্য ডোমেনে একটি গোষ্ঠীতে যোগ করা হয় তবে ডোমেনগুলির জন্য অবকাঠামোগত মাস্টার নিশ্চিতভাবেই এটি পরিচালনা করে। গ্লোবাল ক্যাটালগ থাকলে এই ভূমিকা সঠিকভাবে কাজ করবে না।

RID মাস্টার - আপেক্ষিক আইডি মাস্টার (RID মাস্টার) ডিসিগুলিতে RID পুলগুলি সরবরাহ করার জন্য দায়ী। ডোমেইন প্রতি এক RID মাস্টার আছে। কোনও এডি ডোমেনে কোনও বস্তু অনন্য সিকিউরিটি আইডেন্টিফায়ার (এসআইডি)। এটি ডোমেন শনাক্তকারী এবং একটি আপেক্ষিক সনাক্তকারীর সমন্বয়ের গঠিত। প্রদত্ত ডোমেনে প্রতিটি বস্তুর একই ডোমেন সনাক্তকারী আছে, তাই আপেক্ষিক শনাক্তকারী যা বস্তুকে অনন্য করে তোলে। প্রতিটি ডিসি ব্যবহার করার জন্য আপেক্ষিক আইডিগুলির একটি পুল রয়েছে, তাই যখন ডিসি একটি নতুন বস্তু তৈরি করে, এটি এমন একটি RID যুক্ত করে যা এটি এখনও ব্যবহার করা হয় নি। যেহেতু ডিসিগুলি অ-ওভারল্যাপিং পুলগুলি জারি করে, তাই প্রতিটি RID ডোমেনের জীবনকালের জন্য অনন্য থাকা উচিত। যখন একটি ডিসি তার পুলে ~ 100 টি RID অবশিষ্ট থাকে, তখন এটি RID মাস্টার থেকে একটি নতুন পুলের অনুরোধ করে। RID মাস্টারটি যদি বর্ধিত সময়ের জন্য অফলাইনে থাকে তবে বস্তুর সৃষ্টি ব্যর্থ হতে পারে।

পিডিসি এমুলেটর- অবশেষে, আমরা তাদের সবাইকে ব্যাপকভাবে ভুল বুঝেছি, পিডিসি এমুলেটর ভূমিকা। ডোমেইন প্রতি এক PDC এমুলেটর আছে। একটি ব্যর্থ প্রমাণীকরণ প্রচেষ্টা আছে, এটি পিডিসি এমুলেটর ফরওয়ার্ড করা হয়। পিডিসি এমুলেটরটি "টাই-ব্রেকার" হিসাবে কাজ করে, যদি কোনও ডিসি তে পাসওয়ার্ড আপডেট করা হয় এবং অন্যের কাছে পুনর্লিপ্ত না হয়। পিডিসি এমুলেটর এছাড়াও সার্ভার যা সময় জুড়ে সময় সিঙ্ক নিয়ন্ত্রণ করে। অন্যান্য সমস্ত ডিসি তাদের সময় পিডিসি এমুলেটর থেকে সিঙ্ক করে। সমস্ত ক্লায়েন্ট তারা যে লগ ইন ডিসি থেকে তাদের সময় সিঙ্ক। এটি গুরুত্বপূর্ণ যে সবকিছু একে অপরের 5 মিনিটের মধ্যে থাকে, অন্যথায় কার্বোসোস বিরতি দেয় এবং যখন এটি ঘটে, তখন সবাই কাঁদতে থাকে।

মনে রাখা গুরুত্বপূর্ণ ব্যাপার হল যে সার্ভারগুলি যে এই ভূমিকাগুলি চালায় তা পাথরের মধ্যে স্থাপন করা হয় না। প্রায়শই এই ভূমিকাগুলি সরানোর জন্য এটি সাধারণত তুচ্ছ, তাই কিছু ডিসি অন্যদের তুলনায় কিছুটা বেশি করে, যদি তারা অল্প সময়ের জন্য নিচে যান তবে সবকিছু স্বাভাবিকভাবেই কাজ করবে। তারা যদি দীর্ঘ সময়ের জন্য ডাউন হয়, স্বচ্ছভাবে ভূমিকা স্থানান্তর করা সহজ। এটি এনটি 4 পিডিসি / বিডিসি দিনের চেয়ে অনেক নিকৃষ্ট, তাই দয়া করে সেই পুরানো নামগুলি দ্বারা আপনার ডিসিগুলিকে কল করা বন্ধ করুন। :)

সুতরাং, ওম ... যদি তারা একে অপরের স্বাধীনভাবে কাজ করতে পারে তবে ডিসি কীভাবে তথ্য ভাগ করে?

অবশ্যই, প্রতিলিপি। ডিফল্টরূপে, একই সাইটের একই ডোমেনের ডিসি 15 সেকেন্ডের অন্তরে তাদের তথ্যকে একে অপরকে প্রতিলিপি করবে। এই সবকিছু অপেক্ষাকৃত আপ টু ডেট নিশ্চিত করে তোলে।

কিছু "জরুরী" ঘটনা রয়েছে যা অবিলম্বে প্রতিলিপি ট্রিগার করে। এই ঘটনাগুলি হল: অনেক অ্যাকাউন্টে লগইন করার জন্য একটি অ্যাকাউন্ট বন্ধ করা হয়েছে, ডোমেন পাসওয়ার্ড বা লকআউট নীতিগুলিতে একটি পরিবর্তন করা হয়েছে, LSA গোপন পরিবর্তন করা হয়েছে, ডিসি কম্পিউটার অ্যাকাউন্টে পাসওয়ার্ড পরিবর্তন করা হয়েছে, অথবা RID মাস্টার ভূমিকা স্থানান্তর করা হয়েছে একটি নতুন ডিসি। এই ঘটনা কোন একটি অবিলম্বে প্রতিলিপি ইভেন্ট ট্রিগার হবে।

পাসওয়ার্ড পরিবর্তনের জরুরী এবং অ জরুরী মধ্যে কোথাও পতিত হয় এবং অনন্যভাবে পরিচালিত হয়। একটি ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করা হয় DC01 এবং একজন ব্যবহারকারী যে কোনও কম্পিউটারে লগ-ইন করার চেষ্টা করে যা অনুমোদন করে DC02 প্রতিলিপি আগে, আপনি এই ব্যর্থ ব্যর্থ হবে আশা করি? ভাগ্যক্রমে যে ঘটবে না। এখানে একটি তৃতীয় ডিসি বলা আছে যে অনুমান DC03 যে পিডিসি এমুলেটর ভূমিকা ঝুলিতে। কখন DC01 ব্যবহারকারীর নতুন পাসওয়ার্ড দিয়ে আপডেট করা হয়, যে পরিবর্তন অবিলম্বে প্রতিলিপি করা হয় DC03 এছাড়াও। যখন আপনি প্রমাণীকরণ প্রচেষ্টা DC02 ব্যর্থ হয়, DC02 তারপর এগিয়ে যে অনুমোদন প্রচেষ্টা DC03, যা সত্যই সত্য, যাচাই করে, এবং লগন অনুমোদিত হয়।

আসুন DNS সম্পর্কে কথা বলি

DNS সঠিকভাবে কার্যকরী AD এর জন্য গুরুত্বপূর্ণ। অফিসিয়াল মাইক্রোসফ্ট পার্টি লাইন এটি সঠিকভাবে সেট আপ করা হয় যে কোনো DNS সার্ভার ব্যবহার করা যেতে পারে। আপনি যদি আপনার AD জোন্স হোস্ট করার জন্য BIND ব্যবহার করে এবং ব্যবহার করেন তবে আপনি উচ্চ। সিরিয়াসলি। AD ইন্টিগ্রেটেড DNS জোনগুলি ব্যবহার করে আটকে থাকা এবং অন্যান্য জোনের জন্য শর্তযুক্ত বা বিশ্বব্যাপী ফরওয়ার্ডারগুলি ব্যবহার করতে থাকুন। আপনার ক্লায়েন্টদের আপনার AD DNS সার্ভারগুলি ব্যবহার করার জন্য কনফিগার করা উচিত, তাই এখানে অকার্যকর থাকা গুরুত্বপূর্ণ। যদি আপনার দুটি ডিসি থাকে তবে তাদের উভয়ই DNS চালান এবং আপনার ক্লায়েন্টগুলিকে তাদের নাম সমাধান করার জন্য উভয়টি ব্যবহার করার জন্য কনফিগার করুন।

এছাড়াও, আপনি নিশ্চিত করতে চাইছেন যে আপনার যদি একাধিক ডিসি থাকে, তবে তারা নিজেদেরকে DNS রেজোলিউশনের জন্য প্রথমে তালিকাভুক্ত করবে না। এটি একটি অবস্থানে হতে পারে যেখানে তারা একটি "প্রতিলিপি দ্বীপ" যেখানে তারা এডি প্রতিলিপি টোপোলজি বাকি থেকে সংযোগ বিচ্ছিন্ন এবং পুনরুদ্ধার করতে পারবেন না। আপনি দুটি সার্ভার আছে DC01 - 10.1.1.1 এবং DC02 - 10.1.1.2, তারপরে তাদের DNS সার্ভার তালিকাটি এইভাবে কনফিগার করা উচিত:

সার্ভার: DC01 (10.1.1.1)
  প্রাথমিক DNS - 10.1.1.2
  সেকেন্ডারি DNS - 127.0.0.1

সার্ভার: DC02 (10.1.1.2)
  প্রাথমিক DNS - 10.1.1.1
  সেকেন্ডারি DNS - 127.0.0.1

ঠিক আছে, এই জটিল মনে হয়। কেন আমি এডি ব্যবহার করতে চাই?

কারণ আপনি একবার যা করছেন তা জানেন, আপনি জীবন অসীম হয়ে উঠেন। এডি ব্যবহারকারী এবং কম্পিউটার পরিচালনার কেন্দ্রীকরণের পাশাপাশি সম্পদ অ্যাক্সেস এবং ব্যবহারের কেন্দ্রিককরণের অনুমতি দেয়। আপনি একটি অফিসে 50 ব্যবহারকারী আছে যেখানে একটি পরিস্থিতির কল্পনা করুন। প্রতিটি কম্পিউটারে প্রতিটি ব্যবহারকারীর নিজের লগইন থাকা চাইলে, প্রতিটি পিসিতে 50 টি স্থানীয় ব্যবহারকারী অ্যাকাউন্ট কনফিগার করতে হবে। এডি দিয়ে, আপনাকে শুধুমাত্র একবার ব্যবহারকারীর অ্যাকাউন্ট তৈরি করতে হবে এবং এটি ডিফল্টরূপে ডোমেনে কোনও পিসি লগ ইন করতে পারে। আপনি যদি নিরাপত্তা শক্ত করতে চান তবে আপনাকে 50 বার এটি করতে হবে। একটি দুঃস্বপ্ন সাজানোর, অধিকার? এছাড়াও কল্পনা করুন যে আপনার কাছে একটি ফাইল ভাগ রয়েছে যা আপনি কেবলমাত্র সেই অর্ধেক লোককে পেতে চান। আপনি যদি এডি ব্যবহার না করেন তবে আপনাকে অবশ্যই ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলি অনুরুপ অ্যাক্সেস দেওয়ার জন্য সার্ভারে হস্তান্তর করতে হবে, অথবা আপনাকে একটি ভাগ করা অ্যাকাউন্ট তৈরি করতে হবে এবং প্রতিটি ব্যবহারকারীর ব্যবহারকারী নাম এবং পাসওয়ার্ড দিতে হবে। এক উপায় মানে আপনি জানেন (এবং ক্রমাগত আপডেট করতে হবে) ব্যবহারকারীর পাসওয়ার্ড। অন্য উপায় মানে আপনার কোন অডিট ট্রিল নেই। ভাল না, ঠিক আছে?

আপনি যখন AD সেট আপ করেন তখন আপনি গ্রুপ নীতি ব্যবহার করার ক্ষমতা পাবেন। গ্রুপ নীতি এমন বস্তুর একটি সেট যা OUs এর সাথে সংযুক্ত, যা সেই OU ব্যবহারকারীদের এবং / অথবা কম্পিউটারগুলির জন্য সেটিংস নির্ধারণ করে। উদাহরণস্বরূপ, আপনি যদি এটি করতে চান তবে "শাটডাউন" 500 ল্যাব পিসিগুলির জন্য শুরু মেনুতে নয়, আপনি এটি গোষ্ঠী নীতিতে একটি সেটিংসে করতে পারেন। হাত দ্বারা সঠিক রেজিস্ট্রি এন্ট্রি কনফিগার করার সময় বা দিন কাটানোর পরিবর্তে, আপনি একবার একটি গ্রুপ নীতি অবজেক্ট তৈরি করেন, এটি সঠিক OU বা OUs এর সাথে লিঙ্ক করুন এবং এটিকে আবারও মনে করতে হবে না। কয়েকটি জিপিও রয়েছে যা কনফিগার করা যায় এবং গ্রুপ নীতির নমনীয়তা এন্টারপ্রাইজ মার্কেটে এতটাই প্রভাবশালী যে প্রধান কারণগুলির মধ্যে একটি।


146
2018-06-27 03:47



ভাল কাজ, মার্ক। Awesome QA। - EEAA
@TheCleaner সম্মত, কিন্তু স্ট্যাক এক্সচেঞ্জ মিশন অংশ একটি নির্দিষ্ট বিষয়ে সব দরকারী তথ্য কেন্দ্রীয় সংগ্রহস্থল হতে হয়। সুতরাং, উইকিপিডিয়ার তথ্যটি সাধারণত খুব সঠিক এবং প্রাসঙ্গিক হলেও, এখানে লোকেদের গাড়ি চালানো হয় না এবং সবকিছু এখানে প্রশাসনের প্রশাসনের জন্য "এখানে" এক-স্টপ-শপ হওয়া উচিত। - MDMarra
@ রায়ানবোলার এটি সব সত্য, কিন্তু এই প্রশ্ন & একটি একটি নববধূ দিকে তৈরি করা হয়। সমর্থনযোগ্যতা একটি বড় উদ্বেগ, এবং মাইক্রোসফ্ট একেবারে হবে না যদি আপনি BIND (অথবা অন্য কিছু) চালাচ্ছেন তবে এটি সম্পর্কিত একটি ইস্যু সমস্যা সমাধান করতে সহায়তা করে যা DNS সম্পর্কিত হতে পারে। এটি এমন একটি উন্নত কনফিগারেশন যা কোনও ব্যক্তির জন্য প্রস্তাবিত নয় যে "এড কী এবং এটি কীভাবে কাজ করে।" এটি সব উপরে, DNS একটি লো লোড ভূমিকা। আপনার যদি ইতিমধ্যে ডিসি থাকে তবে তাদের ক্ষেত্রে DNS চালানো না করা এবং আপনার বাকি DNS অবকাঠামোগুলিতে বিশ্বব্যাপী ফরওয়ার্ডার থাকা কঠিন। - MDMarra
@ রায়ানবোলার - এমডি মামার সাথে একমত। ফ্রেডের ইতিমধ্যে একটি কার্যকরী এবং জটিল অভ্যন্তরীণ DNS অবকাঠামো রয়েছে, তাহলে ফ্রেড এসএফ-এ পোস্ট করা হবে না "তাই, আমি এই সক্রিয় ডিরেক্টরি জিনিসটি ইনস্টল করতে চলেছি - দয়া করে এটি সম্পর্কে আমাকে সব বলুন?" - mfinni
আপনার উত্তরটি আমাকে আমার উত্তরাধিকারী নেটওয়ার্কের ডোমেন নিয়ামকগুলিতে DNS সার্ভার অনুসন্ধানের ক্রমটি চেক করার জন্য মনে করিয়ে দিয়েছে ... হ্যাঁ তারা নিজেরাই উল্লেখ করেছে! - myron-semack


বিঃদ্রঃ: এই প্রশ্নের জবাব একটি ভিন্ন প্রশ্ন থেকে বিচ্ছিন্ন হয়েছিল যা বন, শিশু ডোমেন, গাছ, সাইট এবং ওউএসের মধ্যে পার্থক্য সম্পর্কে জিজ্ঞাসা করেছিল। এটি মূলত এই নির্দিষ্ট প্রশ্নের উত্তর হিসাবে লিখিত ছিল না।


বন। জংগল

আপনি একটি নিরাপত্তা সীমানা প্রয়োজন যখন আপনি একটি নতুন বন তৈরি করতে চান। উদাহরণস্বরূপ, আপনার একটি পেরিমিটার নেটওয়ার্ক (DMZ) থাকতে পারে যা আপনি এডি দিয়ে পরিচালনা করতে চান তবে আপনি নিরাপত্তার কারণে পেরিমিটার নেটওয়ার্কে আপনার অভ্যন্তরীণ AD উপলব্ধ করতে চান না। এই ক্ষেত্রে, আপনি যে নিরাপত্তা জোন জন্য একটি নতুন বন তৈরি করতে চান। আপনি যদি একে অপরের উপর বিশ্বাস না করে একাধিক সত্তা আছে এমন বিভাজনও করতে পারেন - উদাহরণস্বরূপ একটি শেল কর্পোরেশন যা স্বাধীনভাবে পরিচালিত পৃথক ব্যবসাগুলিকে অন্তর্ভুক্ত করে। এই ক্ষেত্রে, আপনি প্রতিটি সত্তা তার নিজস্ব বন চাই।


শিশু ডোমেন

সত্যিই, আপনি আর এই প্রয়োজন হয় না। আপনি একটি শিশু ডোমেইন চান যখন কয়েক ভাল উদাহরণ আছে। একটি বৈধ কারণ ভিন্ন পাসওয়ার্ড নীতির প্রয়োজনীয়তাগুলির কারণে, তবে এটি আর বৈধ নয়, কারণ সার্ভার ২008 সাল থেকে ফাইন-গ্রেন্ড পাসওয়ার্ড নীতিগুলি উপলব্ধ রয়েছে। আপনার যদি অবিশ্বাস্য দরিদ্র নেটওয়ার্ক সংযোগের ক্ষেত্রগুলি থাকে এবং আপনি চান ব্যাপকভাবে প্রতিলিপি ট্রাফিক হ্রাস - উপগ্রহ WAN সংযোগ সঙ্গে একটি ক্রুজ জাহাজ একটি ভাল উদাহরণ। এই ক্ষেত্রে, প্রতিটি ক্রুজ জাহাজটি তার নিজস্ব সন্তানের ডোমেন হতে পারে, যাতে একই কোম্পানির অন্যান্য ডোমেনগুলির মতো একই বন হতে বেনিফিটগুলি লাভ করতে সক্ষম হওয়া সত্ত্বেও অপেক্ষাকৃত স্বতঃস্ফূর্ত হওয়া।


গাছ

এটি একটি অদ্ভুত বল। যখন আপনি একটি বন ব্যবস্থাপনার সুবিধাগুলি বজায় রাখতে চান তবে নতুন গাছগুলি ব্যবহার করা হয় তবে একটি নতুন DNS নামস্থানতে একটি ডোমেন আছে। উদাহরণ স্বরূপ corp.example.com বন রুট হতে পারে, কিন্তু আপনি থাকতে পারে ad.mdmarra.com একটি নতুন গাছ ব্যবহার করে একই বন। শিশু ডোমেনগুলির জন্য একই নিয়ম এবং সুপারিশগুলি এখানে প্রযোজ্য - তাদের কমপক্ষে ব্যবহার করুন। তারা সাধারণত আধুনিক ADS প্রয়োজন হয় না।


সাইট

একটি সাইট আপনার নেটওয়ার্কের শারীরিক বা যৌক্তিক সীমানা প্রতিনিধিত্ব করা উচিত। উদাহরণস্বরূপ, শাখা অফিস। সাইট বুদ্ধিমান বিভিন্ন এলাকায় ডোমেন কন্ট্রোলার জন্য প্রতিলিপি অংশীদার নির্বাচন করতে ব্যবহার করা হয়। সাইটগুলি সংজ্ঞায়িত না করে, সমস্ত ডিসিদের একই শারীরিক অবস্থানে ছিল এবং জাল টোপোলজিতে পুনঃলিপি হিসাবে গণ্য করা হবে। বাস্তবে, বেশিরভাগ প্রতিষ্ঠানগুলি হাব-এবং-স্পোক লজিক্যালভাবে কনফিগার করা হয়, তাই সাইটগুলি এবং পরিষেবাদিগুলি এটিকে প্রতিফলিত করতে কনফিগার করা উচিত।

অন্যান্য অ্যাপ্লিকেশন সাইট এবং পরিষেবাদি ব্যবহার। DFS এটি নেমস্পেস রেফারেল এবং প্রতিলিপি অংশীদার নির্বাচনের জন্য ব্যবহার করে। এক্সচেঞ্জ এবং আউটলুক এটি ব্যবহার করার জন্য "নিকটতম" গ্লোবাল ক্যাটালগ খুঁজে পেতে ব্যবহার করে। আপনার ডোমেন-সংযুক্ত কম্পিউটারগুলির বিরুদ্ধে প্রমাণীকরণের জন্য "নিকটতম" ডিসি (গুলি) সনাক্ত করতে এটি ব্যবহার করুন। এই ছাড়া, আপনার প্রতিলিপি এবং প্রমাণীকরণ ট্রাফিক বন্য পশ্চিম মত।


সাংগঠনিক ইউনিট

এগুলি এমনভাবে তৈরি করা উচিত যা আপনার প্রতিষ্ঠানের অনুমতি এবং গোষ্ঠী নীতি প্রয়োগের প্রতিনিধিদলের প্রয়োজনীয়তা প্রতিফলিত করে। অনেক প্রতিষ্ঠানের প্রতি একাউন্টে একটি OU রয়েছে, কারণ তারা জিপিওকে এভাবে প্রয়োগ করে - এটি নির্বোধ, কারণ আপনি সাইট এবং পরিষেবাদির সাইট থেকে জিপিও প্রয়োগ করতে পারেন। অন্যান্য প্রতিষ্ঠান বিভাগ বা ফাংশন দ্বারা OUs পৃথক। এই অনেক মানুষের জন্য ইন্দ্রিয় তোলে, কিন্তু সত্যিই OU নকশা আপনার চাহিদা পূরণ করা উচিত এবং বরং নমনীয়। এটা করতে কোন "এক উপায়" আছে।

একটি বহুজাতিক কোম্পানির শীর্ষ স্তরের OUs থাকতে পারে North America, Europe, Asia, South America, Africa যাতে তারা মহাদেশের উপর ভিত্তি করে প্রশাসনিক সুবিধা delegate করতে পারেন। অন্যান্য প্রতিষ্ঠানের শীর্ষ স্তরের OUs হতে পারে Human Resources, Accounting, Sales, ইত্যাদি যে তাদের জন্য আরো জ্ঞান করে তোলে। অন্যান্য সংস্থার ন্যূনতম নীতির প্রয়োজন আছে এবং কেবলমাত্র "ফ্ল্যাট" লেআউটটি ব্যবহার করুন Employee Users এবং Employee Computers। এখানে কোনও সঠিক উত্তর নেই, এটি আপনার কোম্পানির প্রয়োজনীয়তাগুলি পূরণ করে।


17
2018-01-28 17:06



কেউ তার এডি খুব সুন্দরভাবে জানেন .. +1 - NickW
@ নিকড এডি প্রশ্নগুলি যেখানে আমার 72.9 কেপির 7২ কিলোমিটার রিপন সম্ভবত এসেছে: ডি - MDMarra
এবং এখনও একটি মহান টেকনিক নিবন্ধ এই সব পরে পড়তে: technet.microsoft.com/en-us/library/bb727030.aspx - কিছু অংশ superseded হয়েছে কিন্তু স্পষ্টভাবে পড়া মূল্য। - TheCleaner