نشر وحدات التحكم بمجال AD DS

مكتمل

تصادق وحدات التحكم بالمجال على جميع المستخدمين وأجهزة الكمبيوتر في المجال. لذلك، من الضروري ضمان العدد والموضع الأمثل لوحدات التحكم بالمجال في أي بيئة DS AD، خاصة في البيئات الأكبر الموزعة مثل تلك التي تنتقل إليها شركة Contoso.

توزيع وحدات التحكم بمجال AD DS في بيئة داخلية

تتألف عملية توزيع وحدات التحكم بالمجال من خطوتين. أولاً، تثبيت الثنائيات الضرورية لتنفيذ دور وحدة التحكم بالمجال. لهذا الغرض، يمكنك استخدام مركز إدارة Windows أو إدارة الخادم. في نهاية عملية التثبيت الأولية، قمت بتثبيت ملفات AD DS؛ ولكنك لم تقم بعد بتكوين AD DS على الخادم. الخطوة الثانية هي تكوين دور AD DS. أبسط طريقة لتنفيذ هذا التكوين هي باستخدام ⁧⁩معالج تكوين خدمات مجال Active Directory⁧⁩. يمكنك تشغيل المعالج بتحديد ارتباط AD DS في إدارة الخادم.

وكجزء من تكوين دور AD DS، تحتاج إلى تقديم إجابات عن الأسئلة الموجودة في الجدول التالي:

السؤال التعليقات
هل تقوم بتثبيت غابة جديدة أو شجرة جديدة أو وحدة تحكم إضافية لمجال موجود؟ تحدد الإجابة عن هذا السؤال المعلومات الإضافية التي قد تحتاج إليها، مثل اسم المجال الأصل.
ما هو اسم نظام أسماء المجالات (DNS) للمجال AD DS؟ عند إنشاء وحدة التحكم الأولى لمجال ما، يجب عليك تحديد اسم المجال المؤهل بالكامل (FQDN). عند إضافة وحدة تحكم إلى مجال موجود أو غابة، يمكنك استخدام اسم المجال الموجود.
ما هو المستوى الذي ستختاره للمستوى الوظيفي للغابة؟ يحدد المستوى الوظيفي للغابة ميزات الغابة المتوفرة ونظام تشغيل وحدة التحكم بالمجال المدعوم. يعين هذا أيضًا المستوى الوظيفي الأدنى للمجالات في الغابة.
ما هو المستوى الذي ستختاره للمستوى الوظيفي للمجال؟ يحدد المستوى الوظيفي للمجال ميزات المجال التي ستكون متوفرة، وأنظمة تشغيل وحدة التحكم بالمجال المدعومة.
هل ستكون وحدة التحكم بالمجال خادم DNS؟ يمكنك تثبيت دور DNS كجزء من توزيع وحدة التحكم بالمجال.
هل ستقوم وحدة التحكم بالمجال باستضافة الكتالوج العمومي؟ يتم تحديد هذا الخيار بشكل افتراضي.
هل ستكون وحدة التحكم بالمجال وحدة تحكم بالمجال للقراءة فقط (RODC)؟ هذا الخيار غير متوفر لوحدة التحكم بالمجال الأولى في الغابة.
ماذا ستكون كلمة مرور «وضع استعادة خدمات الدليل» (DSRM)؟ هذا ضروري لاستعادة كائنات قاعدة بيانات AD DS من نسخة احتياطية.
ما هو اسم NetBIOS لمجال AD DS؟ عند إنشاء وحدة التحكم بالمجال الأولى لمجال ما، يجب عليك تحديد اسم NetBIOS لهذا المجال.
أين سيتم إنشاء قاعدة البيانات وملفات السجل ومجلدات SYSVOL؟ بشكل افتراضي، يوجد مجلد ملفات قاعدة البيانات وملفات السجل في ⁧⁩C: ⁧\⁩ Windows\NTDS⁧⁩. بشكل افتراضي، يقع مجلد SYSVOL في ⁧⁩C: ⁧\⁩ Windows ⁧\⁩ SYSVOL⁧⁩.

⁩يتم تعيين لقطة شاشة لصفحة تكوين توزيع معالج تكوين خدمات مجال Active Directory لإضافة وحدة تحكُّم إلى مجال موجود.⁧

قم بتثبيت وحدة التحكم بالمجال باستخدام خيار التثبيت Server Core الخاص بـ Windows Server

لا يحتوي الكمبيوتر المتضمن Windows Server، ويقوم بتشغيل خيار التثبيت Server Core على واجهة المستخدم الرسومية (GUI) لإدارة الخادم. لذلك، يجب استخدام أساليب بديلة؛ لتثبيت الملفات لدور وحدة التحكم بالمجال، وتثبيت دور وحدة التحكم بالمجال نفسه. يمكنك استخدام مركز إدارة Windows أو إدارة الخادم أو Windows PowerShell أو أدوات إدارة الخادم البعيد (RSAT) المثبتة على أي إصدار Windows Server مدعوم يحتوي على ميزة ⁧⁩Desktop Experience⁧⁩ أو أي عميل Windows مدعوم مثل Windows 10.

تثبيت وحدة تحكم بالمجال من الوسائط

إذا كان لديك اتصال شبكة بين المواقع، وكان هذا الاتصال بطيئًا أو غير موثوق به أو مكلفًا، فقد تجد أنه من المفيد إضافة وحدة تحكُّم أخرى بالمجال في موقع بعيد أو موقع فرعي. في هذا السيناريو، لتقليل مقدار نسبة استخدام الشبكة بشكل ملحوظ عبر ارتباط شبكة الاتصال واسعة النطاق (WAN)، يمكنك إنشاء نسخة احتياطية من AD DS (ربما إلى محرك أقراص USB)، وأخذ هذه النسخة الاحتياطية إلى الموقع البعيد. عندما تكون في الموقع البعيد وتقوم بتشغيل إدارة الخادم لتثبيت AD DS، يمكنك تحديد خيار ⁧⁩Install from media⁧⁩. يحدث معظم النسخ محليًا. في هذا السيناريو، ينقل ارتباط WAN فقط نسبة استخدام الشبكة المتعلقة بالأمان وتغييرات AD DS بعد النسخ الاحتياطي. يساعد ارتباط WAN أيضًا على التأكد من أن وحدة التحكم بالمجال الجديدة تتلقى أي تغييرات تم إجراؤها على مجال AD DS المركزي بعد إنشاء النسخة الاحتياطية «Install from media».

اعتبارات الموقع الفرعي

عند نشر وحدة تحكم بالمجال في موقع فرعي لا يمكنه ضمان الأمان الفعلي، يمكنك استخدام تدابير إضافية؛ لتقليل تأثير خرق الأمان. أحد الخيارات هو نشر وحدة تحكم بالمجال للقراءة فقط (RODC). تحتوي وحدة RODC على نسخة للقراءة فقط من قاعدة بيانات AD DS، وبشكل افتراضي، لا تقوم بالتخزين المؤقت لكلمات مرور المستخدمين. ومع ذلك، يمكنك تكوين RODC لتقوم بالتخزين المؤقت لكلمات مرور المستخدمين في الموقع الفرعي. إذا تم اختراق RODC، فإن المخاطرة المحتملة بفقدان المعلومات تكون أقل بكثير من وجود وحدة تحكم بالمجال كاملة للقراءة/الكتابة.

ترقية وحدات التحكم بالمجال من الإصدار السابق

عملية ترقية وحدة التحكم بالمجال واحدة بالنسبة لأي إصدار من Windows Server بدءًا من Windows Server 2012 R2 وحتى Windows Server 2019. يمكنك الترقية إلى مجال Windows Server 2019 باستخدام أي من الطرق التالية:

  • ترقية نظام التشغيل على وحدات التحكم بالمجال الموجودة التي تقوم بتشغيل Windows Server 2012 R2 أو إصدار أحدث.
  • إضافة خوادم تعمل بنظام التشغيل Windows Server 2019 كوحدات تحكم بالمجال في مجال يحتوي بالفعل على وحدات تحكم بالمجال تعمل بإصدارات Windows Server السابقة.

نوصي بالطريقة الأخيرة؛ لأنه عند الانتهاء سيكون لديك تثبيت نظيف لكل من نظام التشغيل Windows Server 2019 وقاعدة بيانات AD DS. كلما قمت بإضافة وحدة تحكم جديدة بالمجال، سيقوم Windows Server تلقائيًا بتحديث سجلات DNS للمجال بحيث يتمكَّن العملاء من تحديد موقع وحدة التحكم بالمجال هذه واستخدامها.

توزيع وحدات التحكم بالمجال لـ DS AD في أجهزة Azure الظاهرية (VMs)

يوفر Azure البنية الأساسية كخدمة (IaaS)، وهي منصة ظاهرية مستندة إلى السحابة. عند نشر AD DS على Azure IaaS، يتم تثبيت وحدة التحكم بالمجال على جهاز ظاهري؛ لذا يتم تطبيق كل القواعد التي تنطبق على ظاهرية وحدة التحكم بالمجال على نشر AD DS في Azure.

عند تطبيق AD DS في Azure، خذ بعين الاعتبار ما يلي:

  • طبولوجيا الشبكة. لتلبية متطلبات AD DS، يجب إنشاء شبكة Azure ظاهرية وإرفاق الأجهزة الظاهرية الخاصة بك بها. إذا كنت تنوي الانضمام إلى بنية أساسية DS AD داخلية موجودة، يمكنك توسيع اتصال الشبكة إلى بيئتك الداخلية. يمكنك تحقيق ذلك من خلال أساليب الاتصال المختلط؛ مثل: اتصال شبكة خاصة ظاهرية (VPN) أو دائرة Azure ExpressRoute، اعتمادًا على مستويات السرعة والموثوقية والأمان التي تتطلبها مؤسستك.
  • طبولوجيا الموقع. كما هو الحال مع موقع فعلي، يجب تعريف وتكوين موقع AD DS الذي يتوافق مع مساحة عنوان IP الخاص بشبكة Azure الظاهرية.
  • عناوين IP. تتلقى جميع أجهزة Azure الظاهرية عناوين بروتوكول التكوين الديناميكي للمضيف (DHCP) بشكل افتراضي؛ ولكن يمكنك تكوين عناوين ثابتة ستستمر عبر عمليات إعادة التشغيل وإيقاف التشغيل.
  • نظام أسماء المجالات (DNS). لا يفي نظام أسماء السجلات (DNS) المضمن في Azure بمتطلبات AD DS؛ مثل: سجلات موارد الخدمة (SRV) ونظام أسماء المجالات الديناميكية. لتوفير وظيفة DNS لبيئة AD DS في Azure، يمكنك استخدام دور خادم DNS لـ Windows Server أو حلول DNS الأخرى المتوفرة في Azure، مثل مناطق DNS الخاصة في Azure.
  • الأقراص. يمكنك التحكم في التخزين المؤقت لتكوينات قرص جهاز Azure الظاهري. عند تثبيت AD DS إلى جهاز Azure ظاهري، يجب وضع ملفات NTDS.DIT وSYSVOL على أحد أقراص البيانات الخاصة به، وتعيين إعداد ⁧⁩Host Cache Preference⁧⁩ لهذا القرص على ⁧⁩NONE⁧⁩.