محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

چرا Infrastructure Master و Global Catalog نباید روی یک DC باشند؟

اگر با مباحث مربوط به FSMO Role ها در اکتیودایرکتوری آشنایی داشته باشید حتما اساتید شما در سر کلاس به شما گفته اند که در میان این 5 Role موجود یکی از آنها به نام Infrastructure Master نبایستی در کنار Global Catalog بر روی یک Domain Controller قرار بگیرند.یکی از ابهاماتی که دانشجویان در سر کلاس دارند این است که دلیل اینکه نمی توان ایندو را در کنار هم بر روی یک Domain Controller قرار داد چیست ؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

آیا نمی توان آنها را در کنار هم قرار داد یا اینکه نباید قرار داد ؟ چه مشکلاتی ممکن است بعد از اینکه ایندو را بر روی یک Domain Controller قرار می دهیم برای ساختار Domain و Forest ما ایجاد شود ؟ جالب اینجاست اکثر دوستان و اساتیدی که دروس مایکروسافت را تدریس می کنند اشاره به این مسئله را صرفا به اندازه همین که نباید بر روی یک Domain Controller باشند بسنده می کنند و دلیل اصلی آن را عنوان نمی کنند. در این مطلب می خواهیم با هم بررسی کنیم که چرا پیشنهاد می شود ایندو در کنار یکدگیر قرار نگیرند و آیا می توان آنها را در کنار هم قرار داد یا خیر ؟

بطور خلاصه شما می توانید در یک ساختار اکتیودایرکتوری هر دوی Infrastructure Master و Global Catalog را بر روی یک سرور قرار دهید ، در هر Domain ای این امکان وجود دارد و یک الزام نیست اما بر حسب طراحی ساختار اکتیودایرکتوری ممکن است مشکلاتی برای شما به وجود بیاید که آنها را با هم بررسی خواهیم کرد. بنابراین از لحاظ فنی شما براحتی می توانید Infrastructure Master را بر روی سروری داشته باشید که Global Catalog نیز هست.

اما نکات مهم از اینجا شروع می شود ، شما صرفا از لحاظ طراحی و جلوگیری از به وجود آمدن مشکلاتی که در ادامه ذکر می کنیم ، زمانی مجاز به قرار دادن( IM ( Infrastructure Master بر روی یک( GC ( Global Catalog سرور هستید که تمامی Domain Controller های موجود در مجموعه Forest شما در نقش Global Catalog باشند و این نقش را بر روی خود داشته باشند. شایعه ای که گفتیم به دلیل عدم درک درست از مفهوم این دو نقش است.


تداخل Global Catalog و Infrastruture Master در اکتیودایرکتوری



وظیفه و کار IM این است که اشیاء موجود در Local Domain را با سایر اشیاء موجود در سایر Domain ها در همان Forest مقایسه کند.اگر سرویس که IM بر روی آن قرار دارد دارای نقش GC باشد از نظر IM هیچ تفاوتی بین اشیاء در Domain های مختلف وجود ندارد زیرا نسخه کوچکی از کلیه اشیائی که در سایر Domain ها وجود دارد در GC نگهداری می شود. در واقع GC یک نسخه از کلیه اشیائی که در ساختار forest شما وجود دارد را در خود نگه می دارد ، بنابراین IM در Domain خود هیچ کاری برای انجام دادن نخواهد داشت.


به هر حال اگر هر Domain Controller ای در مجموعه Domain ما یک GC سرور هم باشد دیگر IM کاری برای انجام دادن نخواهد داشت زیرا تمامی اطلاعات مربوط به اشیاء موجود در سایر Domain ها را در خود دارد. بنابراین مشکل در همین عدم بروز رسانی اطلاعات IM است ، در محیط های تک Domain ای هیچ مشکلی برای قرار گرفتن GC و IM در کنار هم بر روی یک Domain Controller وجود ندارد

اما در محیط های چند Domain ای و ساختارهای Forest حتما ایندو باید بر روی سرورهای جداگانه ای قرار بگیرند تا اطلاعات خود را بروز کنند. در محیط های تک Domain ای نیازی به بروز رسانی اطلاعات از سایر Domain ها وجود ندارد و بنابراین به نوعی IM بیکار می شود.البته نکات در این زمینه بسیار زیاد است که بهتر است در صورت نیاز به اطلاعات بیشتر در ادامه مطلب عنوان کنید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات