معرفی نکات مهم در طراحی Site Topology اکتیودایرکتوری
بعد از برسی مفاهیم و اصطلاحات replication همچنین نحوه عملکرد آن نوبت به نحوه طراحی این پروسه مهم می رسد. بیشتر توپولوژی های شبکه بصورت
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- یک نقشه که دارای اطلاعات زیر باشد:
- اطلاعات لازم برای هر سایت
- اطلاعات لازک برای Site linkها
- و اما توصیه های مایکروسافت درباره طراحی Site topology
- Practice های مایکروسافت درباره طراحی Site linkها
- طراحی Site topology طبق BP های مایکروسافت شامل مراحل زیر می باشد.
- ایجاد یک نقشه از مناطق (سایتها) فعالیت سازمان
- قرار دادن Domain controller برای هر یک از این مناطق
- ایجاد سایت برای هر یک از مناطق
- اتصال سایتها توسط Site linkها:
- ظرفیت و گنجایش DCها
* Ring * Hub and Spoke * Complex
می باشد.Forest owner (مسئول کل ساختار AD Forest و مسئول طراحی Site topology) این دو نفر یا تیم طراحی قبل از طراحی و اجرای این پروسه باید اطلاعات زیر را بدست آورند:
یک نقشه که دارای اطلاعات زیر باشد:
- تعداد کاربران و کامپیوترها در هر یک از سایتها
- سرعت لینک ارتباطی سایتها به همدیگر
- IP Address های که به هر یک از سایتها اختصاص می یابد.
اطلاعات لازم برای هر سایت
- اسم سایت
- تعداد کامپیوترها و کاربران
- Domain های سایت
- تعداد DC های که برای هر یک از Domain ها اختصاص می یابد.
- چه تعداد از DC های یک Domain نقش Global Catalog بر روی آن فعال باشد.
اطلاعات لازک برای Site linkها
- هر سایت لینک چه سایتهای را به همدیگر وصل می کند.
- مقدار Cost که به Site link ها اختصاص می یابد.
- زمان بندی و تعداد دفعات Replication برای Site linkها
- محاسبه زمان تاخیر یا Latency بین سایتها.
خدا رو شکر تمام اصطلاحات بالا را در مقالات پیشین توضیح و آموزش دادم.مسئول site topology باید فردی باشد که تمام اطلاعات لازم درباره نحوه عملکرد این پروسه را دارا باشد. چون تعقیراتی که این فرد انجام خواهد داد تاثیر مستقیمی بر روی نحوه Replication در کل فارست دارد. وظایفی که این فرد بر عهده دارد در جدول زیر مشخص است:
و اما توصیه های مایکروسافت درباره طراحی Site topology
مدیر و مسئول این تنظیمات را باید مشخص کنید و مجوز این کار را برای او واگذار کنید. (درباره ساختارهای حرف می زنیم که حداقل 200 سایت دارد نه یک شعبه کوچک که همه کارها را یک نفر انجام دهد)
- در صورت امکان برای inter-site replication تنظیمات را بصورت پیش فرض رها کنید ( Connection object یا Bridgehead server را دستی ایجاد نکنید)
- KCC را غیرفعال نکنید.
- قابلیت Transitive یا Bridge را بر روی Site linkها غیرفعال نکنید.
- در صورت امکان زمان بندی را بصورت Full access تنظیم کنید.
- زمان تاخیر یا Latency بین سایتها را محاسبه کنید.
Practice های مایکروسافت درباره طراحی Site linkها
- سایت لینکها را به WAN linkها مپ کنید.
- یک سایت نباید بصورت مستقیم بیشتر از 20 سایت متصل باشد.
این کانکشن می تواند برای شبکه های بزرگ که از توپولوژی Hub and spoke استفاده می کنند رخ دهد. برای حل این مشکل می توانید سایت hub را به چند سایت تقسیم کنند و تعداد Bridgehead server ها را گسترش دهید تا بتوانند حجم اطلاعات Replication را هندل کنند.
طراحی Site topology طبق BP های مایکروسافت شامل مراحل زیر می باشد.
- ایجاد یک نقشه از مناطق (سایتها) فعالیت سازمان.
- قرار دادن DC در این مناطق.
- ایجاد شی Site برای هر یک از این مناطق.
- اتصال سایتها توسط Site link.
- ظرفیت و گنجایش DC ها.
ایجاد یک نقشه از مناطق (سایتها) فعالیت سازمان
ایجاد نقشه از محلهای فعالیت سازمان برای تعیین محل قرارگیری کاربران و انتخاب بهترین منطقه از نظر Replication با دیگر مناطق. این مناطق یک سگمنت از شبکه می باشند که ارتباط کاربران در آن با سرعت حداقل 10 Mbps می باشد. برای ایجاد این نقشه:
- تمام مناطق که تحت پوشش این سازمان می باشند و در یک فارست فعالیت می کنند را تعیین کنید.
برای هر یک از این مناطق پارامترهای زیر را تعیین کنید.
- تعداد User ها
- تعداد کلاینتها
- Subnetهای مورد استفاده
برای هر یک از لینکهای ارتباطی این مناطق پارامترهای زیر را در نظر بگیرید:
- سرعت لینک ارتباطی
- مقدار استفاده شده از پهنای باند هر کدام از لینکها
شکل زیر نقشه مناطق یک سازمان بر حسب پارمترهای بالا را نشان می دهد:
قرار دادن Domain controller برای هر یک از این مناطق
یکی از چیزهای مهمی که مایکروسافت در ابتدای این مرحله اشاره می کند این است که اگر به هر دلیلی لینک ارتباطی یکی از این مناطق fail شد کاربران آن منطقه باید بتوانند به دومین خود Logon کنند.اولین جائی که باید ارزشیابی شود منطقه اصلی یا hub site می باشد. بعد از تعیین تعداد DCهای سایت اصلی باید اینکار را برای بقیه مناطق انجام دهیم. همچنین ممکن است برای مناطق خیلی کوچک که تعداد کلاینتها و کاربران کمتر از 10 یا 15 عدد باشد DC ی مشخص نشود. در شکل زیر سایتهای سازمان همراه با دومین های آن و تعداد DC های که برای هر Domain مشخص شده است را می بینید:
قانون اول: برای هر Hub site (به علت بزرگ بودن بعضی از ساختارها، سایت اصلی به چندین سایت تقسیم می شود) یک Additional DC از Forest root domain ایجاد کنید. بخاطر داشته باشید برای هر کاربری که می خواهد به منابع دیگر Domain ها دسترسی داشته باشد حتما باید با DC های Forest root domain ارتباط برقرار کند. بخاطر همین دلیل هر سایتی که زیر مجموعه ای از سایتهای دارد، قرار دادن یک Additional DC از Forest root domain الزامی باشد.
For each of your hub sites, place one domain controller from the forest root domain. For each satellite location, evaluate the need for a forest root domain controller. Keep in mind that for a client to access a resource in a domain other than its own, communication must occur with a forest root domain controller. For this reason, any location that has domain controllers from two or more regional domains should also have a forest root domain controller
قانون دوم: برای هر منطقه ای یا سایتی که تعداد کاربران آن زیاد باشد برای تسریع در پروسه Logon کاربران و صرفه جوئی در پهنای باند لینک ارتباطی آنها حتما در آن سایت از یک یا دو DC (حداقل) ایجاد شود.
قانون سوم: هر Domain دارای یک نقش PDC emulator می باشد. DCی که این نقش را نگهداری می کند باید:
بهترین اتصال با بقیه سایتها داشته باشد. (Domain directory partition یکسانی داشته باشند) در سایتی نگهداری شود که بیشترین تعداد کاربران مربوط به آن Domain در آن فعالیت کنند.
قانون چهارم: حداقل برای هر سایت یک GC باید فعال باشد. BP مایکروسافت می گوید بهتر است نیمی از DCهای سایت GC باشند. اگر سازمان شما یک Domain داشته باشد و این دومین در چندین سایت فعالیت می کند بهتر است همه DCها نقش GC بر روی آنها فعال باشد.
ایجاد سایت برای هر یک از مناطق
هر منطقه ای که شامل DC باشد یک سایت را تشکیل می دهد. برای ایجاد سایت:
- نام آن سایت را مشخص کنید.
- Subnetی به آن سایت اختصاص دهید.
- منطقه ای که شامل DC نباشد برای آن Siteی ایجاد نکنید.
اتصال سایتها توسط Site linkها:
Replication بین سایتها بر اساس تنظیمات Site linkها اتفاق می افتد. شیء Site link نشان دهنده لینک ارتباطی می باشد که این سایت را به سایت دیگری متصل می کند. طبق مراحل زیر می توانید نحوه Replication بین سایتها را کنترول کنید:
- سایتها را توسط سایت لینکها (همانطور که در واقعیت هستند) به همدیگر وصل کنید.
- سایت لینکها بر اساس سایتهای که به همدیگر وصل می کنند نام گذاری کنید. مثلا Site-01-to-Site-02
تنظیم پارامترهای زیر برای سایت لینکها:
# Cost # Schedule # Interval
یک نمونه از ارتباطات سایتها با همدیگر در تصویر زیر:
برای تعیین مقدار Cost هر یک از سایت لینکها:
- پهنای باند هر کدام از سایت لینکها را مشخص کنید.
- جدولی ایجاد کنید که شامل پهنای باند تمام Site linkها باشد.
- پهنای باند هر سایت لینک را با جدول زیر مقایسه کنید:
مثلا اگر پهنای باند Site linkی 1Mbps باشد مقدار cost آن 340 می باشد.
نکته: اگر سایت لینکی اتصال آن مورد اطمینان نباشد مقدار Cost آن را بیشتر از بقیه ست کنید.
در مورد Schedule and Interval و مدت زمان Latency در مقالات قبلی توضیحات کافی دادم.
ظرفیت و گنجایش DCها
پروسه های زیر باعث ایجاد Load بر روی DCها می شود:
- Logon کردن یوزرها و کامپیوترها.
- جستجوی دایرکتوری سرویس
- Replication
- رولهای FSMO
- و بقیه سرویسها که بر روی DC در حال اجرا می باشند.
جدول زیر میزان Performance هر یک از DCها بر حسب سرویس و قابلیتهای که دارد را محاسبه می کند.
پیش نیازهای سخت افزاری براساس رول ها و تعداد User ها برای DCها:
95 درصد از خطاهای که در پروسه کاری ما ادمین های شبکه بوجود می آید ناشی از رعایت نکردن Best Practice ها می باشد. اگر از اولین مرحله که همان طراحی شبکه می باشد طبق اصول و ضوابط پیش رویم احتمال مشکلات در آن محیط بصورت قابل توجهی کاهش می یابد. امیدوارم از این چند مقاله در بحث Replication که واقعا بحث اساسی و پایه شبکه های مایکروسافت می باشد بهره کافی را برده باشید.
منبع:
Best Practice Active Directory Design for Managing Windows Networks https://msdn.microsoft.com/en-us/library/bb727085.aspx#EEAA
ما را از دعای خیرتون بی نسیب نگذارید.
نویسنده: احمد جهلولی