إدارة مسؤولي عمليات AD DS
يستخدم AD DS عملية متعددة المسؤولين لنسخ البيانات بين وحدات التحكم بالمجال، وينفذ تلقائيًا خوارزمية لحل التعارض تعالج التحديثات المتزامنة والمتعارضة. تسمح هذه العناصر بنموذج إدارة موزع، حيث يمكن للعديد من المستخدمين والتطبيقات تطبيق التغييرات بشكل متزامن على كائنات AD DS الموجودة على وحدات التحكم بالمجال المختلفة. هذا النموذج ضروري لدعم أية بيئة AD DS بوحدتي تحكم بالمجال أو أكثر. ومع ذلك، فهو ضروري بشكل خاص للبيئات الموزعة الأكبر مثل بيئة شركة Contoso. ومن المهم تذكر أنه لا يمكن إجراء عمليات معينة إلا من خلال دور محدد، على وحدة تحكم معينة بالمجال.
من هم مسؤولو عمليات AD DS؟
تكون أدوار مسؤولي عمليات AD DS مسؤولة عن تنفيذ العمليات غير المناسبة لنموذج متعدد المسؤولين. تعد وحدة التحكم بالمجال التي تحتوي على أحد هذه الأدوار مسؤول عمليات. يعرف دور مسؤول العمليات أيضا بدور عملية رئيسية واحدة مرنة (FSMO ). هناك خمسة أدوار لمسؤولي العمليات:
- المخطط الرئيسي
- مسؤول تسمية المجالات
- المسؤول عن البنية الأساسية
- مسؤول المعرف النسبي (RID)
- مسؤول محاكي PDC
بشكل افتراضي، تستضيف وحدة التحكم الأولى بالمجال المثبتة في غابة ما الأدوار الخمسة كافةً. ومع ذلك، يمكنك نقل هذه الأدوار بعد توزيع وحدات التحكم الإضافية بالمجال. عند إجراء تغييرات خاصة بمسؤول العمليات، يجب عليك الاتصال بوحدة التحكم بالمجال باستخدام الدور. تشتمل أدوار مسؤولي العمليات الخمسة على التوزيع التالي:
- كل غابة لها مخطط رئيسي واحد ومسؤول تسمية مجالات واحد.
- يحتوي كل مجال DS AD على مسؤول معرف نسبي (RID) واحد، ومسؤول واحد عن البنية الأساسية، ومحاكٍ واحد لوحدة التحكم بالمجال الأساسية (PDC).
يمكنك وضع جميع الأدوار الخمسة في وحدة تحكم واحدة بالمجال، أو توزيعها عبر عدة وحدات تحكم بالمجال.
رؤساء عمليات الغابة
تشمل الغابة أدوار رؤساء العمليات التالية:
- مسؤول تسمية المجالات. عبارة عن وحدة تحكم بالمجال يجب الاتصال بها عند إضافة أو إزالة مجال أو إجراء تغييرات على اسم المجال.
هام
إذا لم يتوفر مسؤول تسمية المجالات، فلن تتمكن من إضافة مجالات إلى الغابة.
- المخطط الرئيسي. عبارة عن وحدة التحكم بالمجال التي تقوم فيها بإجراء كل تغييرات المخطط.
هام
إذا لم يكن المخطط الرئيسي متوفرًا، فلن تتمكن من إجراء تغييرات على المخطط.
إشعار
يعرض أمر Get-ADForestWindows PowerShell ، من الوحدة النمطية Active Directory ل Windows PowerShell، خصائص الغابة، بما في ذلك تسمية المجال الرئيسي والمخطط الرئيسي الحالي.
مسؤول عمليات المجال
يحتوي المجال على أدوار مسؤولي العمليات التالية:
- مسؤول المعرف النسبي (RID). كلما قمت بإنشاء أساس أمان مثل مستخدم أو كمبيوتر أو مجموعة في AD DS، تقوم وحدة التحكم بالمجال حيث قمت بإنشاء الكائن بتعيين رقم تعريف فريد للعنصر يعرف باسم معرف الأمان (SID). للتأكد من عدم قيام وحدتي تحكم بالمجال بتعيين نفس معرف الأمان لكائنين مختلفين، يخصص مسؤول المعرف النسبي ( RID) كتل المعرف النسبي (RID) لكل وحدة تحكم بالمجال داخل المجال؛ لاستخدامها عند إنشاء معرفات الأمان.
هام
إذا كان مسؤول المعرف النسبي (RID) غير متوفر، فقد تواجه صعوبات في إضافة حسابات أمان أساسية إلى المجال. أيضًا، نظرًا لأن وحدات التحكم بالمجال تستخدم المعرفات النسبية الموجودة الخاصة بها، فإنها تنفد منها في النهاية، وتكون غير قادرة على إنشاء كائنات جديدة.
- المسؤول عن البنية الأساسية. يحتفظ هذا الدور بمراجع الكائنات بين المجالات، ومن مثل ذلك عندما يكون لمجموعة في مجال ما عضو من مجال آخر. في هذه الحالة، يدير المسؤول عن البنية الأساسية عملية الحفاظ على تكامل هذا المرجع. على سبيل المثال، عند مراجعة علامة تبويب الأمان الخاصة بعنصر ما، يشير النظام إلى معرفات الأمان المدرجة ويترجمها إلى أسماء. في غابة متعددة المجالات، يقوم المسؤول عن البنية الأساسية بتحديث المراجع إلى معرفات الأمان من مجالات أخرى بأسماء حسابات الأمان الأساسية المقابلة.
هام
إذا كان المسؤول عن البنية الأساسية غير متوفر، فلن تتمكن وحدات التحكم بالمجال التي لا تمثل كتالوجات عمومية من تنفيذ ترجمة أسماء حسابات الأمان الأساسية لمعرفات الأمان.
هام
يجب ألا يتواجد دور المسؤول عن البنية الأساسية على وحدة التحكم بالمجال التي تستضيف دور الكتالوج العمومي، إلا إذا تم تكوين كل وحدة تحكم بالمجال في الغابة لتعمل ككتالوج عمومي. في هذه الحالة، يكون دور المسؤول عن البنية الأساسية غير ضروري؛ لأن كل وحدة تحكم بالمجال تعرف كل كائن في الغابة.
- مسؤول محاكي PDC. تعمل وحدة التحكم بالمجال التي تمثل مسؤول محاكي PDC كمصدر وقت للمجال. يقوم مسؤول محاكي PDC في كل مجال في غابة ما بمزامنة وقته مع مسؤول محاكي PDC في المجال الجذر للغابة. يمكنك تعيين مسؤول محاكي PDC في مجال الجذر للغابة للمزامنة مع مصدر وقت خارجي موثوق. بالإضافة إلى ذلك، بشكل افتراضي، يتم كتابة التغييرات إلى كائنات نهج المجموعة (GPOs) بشكل افتراضي إلى مسؤول محاكي PDC. مسؤول محاكي PDC هو أيضًا وحدة تحكم بالمجال تتلقى تغييرات كلمات المرور العاجلة. إذا تغيرت كلمة مرور مستخدم ما، تتلقى وحدة التحكم بالمجال التي تتضمن دور مسؤول محاكي PDC هذه المعلومات على الفور. هذا يعني أنه إذا حاول المستخدم تسجيل الدخول، فستتصل وحدة التحكم بالمجال في الموقع الحالي للمستخدم بوحدة التحكم بالمجال التي تتضمن دور مسؤول محاكي PDC؛ للتحقق من التغييرات الأخيرة. سيحدث هذا حتى إذا قامت وحدة تحكم بالمجال في موقع مختلف بمصادقة المستخدم، ولم تكن وحدة التحكم تلك قد تلقت بعد معلومات كلمة المرور الجديدة.
هام
إذا لم يتوفر مسؤول محاكي PDC، فقد يواجه المستخدمون مشكلة في تسجيل الدخول حتى يتم نسخ تغييرات كلمة المرور الخاصة بهم إلى جميع وحدات التحكم بالمجال.
إشعار
يعرض أمر Get-ADDomainWindows PowerShell ، من الوحدة النمطية Active Directory ل Windows PowerShell، خصائص المجال، بما في ذلك مسؤول RID الحالي، والبنية الأساسية الرئيسية، ولوحة محاكي PDC الرئيسية.
إدارة مسؤولي عمليات AD DS
في بيئة AD DS حيث تقوم بتوزيع أدوار مسؤولي العمليات بين وحدات التحكم بالمجال، قد تحتاج إلى نقل دور من وحدة تحكم بالمجال إلى أخرى. عند تنفيذ نقل بطريقة مخططة بين وحدتي تحكم بالمجال عبر الإنترنت، تعرف النقلة بنقل الدور. في حالات الطوارئ، إذا لم يكن صاحب الدور الحالي متوفرا، فإن هذه الخطوة تعرف باسم الاستيلاء على الدور. عند نقل دور، يتم نسخ أحدث البيانات من وحدة التحكم بالمجال في هذا الدور إلى الملقم الهدف.
هام
يجب عليك أن تستحوذ على الدور فقط كحل أخير عندما لا تكون هناك فرصة لاستعادة صاحب الدور الحالي.
نقل أدوار مسؤولي العمليات
يمكنك نقل أدوار مسؤولي العمليات باستخدام أدوات AD DS الإضافية التي يسردها الجدول التالي.
الدور
الأداة الإضافية
المخطط الرئيسي
Active Directory Schema
مسؤول تسمية المجالات
Active Directory Domains and Trusts
المسؤول عن البنية الأساسية
Active Directory Users and Computers
مسؤول المعرف النسبي (RID)
Active Directory Users and Computers
مسؤول محاكي PDC
Active Directory Users and Computers
الاستحواذ على أدوار مسؤولي العمليات
لا يمكنك استخدام أدوات AD DS الإضافية؛ للاستحواذ على أدوار مسؤولي العمليات. بدلا من ذلك، يجب استخدام أداة سطر الأوامر ntdsutil.exe أو Windows PowerShell للاستيلاء على الأدوار.
إشعار
يمكنك أيضًا استخدام هذه الأدوات لنقل الأدوار.
تتماثل صيغتا نقل دور والاستحواذ على دور داخل Windows PowerShell، كما يوضح سطر الصيغة التالي:
Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force
للحصول على الصيغة السابقة، فإن التعريفات التالية جديرة بالملاحظة:
- اسم الخادم. اسم وحدة التحكم بالمجال المستهدفة التي تقوم بنقل دور واحد أو أكثر إليها.
- قائمة أسماء الأدوار. قائمة بأسماء أدوار AD DS مفصولة بفاصلات التي سيتم نقلها إلى الملقم الهدف.
- -القوة. معلمة اختيارية تقوم بتضمينها للاستحواذ على دور بدلاً من نقله.
التوضيح
يوضح الفيديو التالي كيفية:
- تحديد موضع أدوار مسؤولي العمليات.
- نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال.
وتتمثل الخطوات الرئيسية في هذه العملية فيما يلي:
- إنشاء بيئة AD DS. إنشاء غابة AD DS ذات مجال واحد تحتوي على وحدتي تحكم بالمجال.
- التحقق من موضع أدوار مسؤولي العمليات. تحديد أي من وحدتي التحكم بالمجال تستضيف أدوار مسؤولي العمليات.
- نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال باستخدام أدوات واجهة المستخدم الرسومية. استخدام أدوات واجهة المستخدم الرسومية لنقل أدوار مسؤولي العمليات من وحدة التحكم بالمجال التي حددتها في الخطوة السابقة إلى وحدة التحكم الأخرى.
- نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال باستخدام أدوات سطر الأوامر. استخدام أدوات سطر الأوامر لنقل أدوار مسؤولي العمليات إلى وحدة التحكم الأولى بالمجال.