Active Directory Domain services
Dengan
menggunakan Active Directory ® Domain Services (AD DS) peran server,
Anda dapat menciptakan infrastruktur scalable, aman, dan dikelola untuk
pengguna dan manajemen sumber daya, dan Anda dapat menyediakan dukungan
untuk aplikasi direktori-enabled, seperti Microsoft ® Exchange Server.
Pada
bagian berikut, mempelajari lebih lanjut tentang AD DS, fitur di AD DS,
dan pertimbangan perangkat lunak dan perangkat keras. Untuk
informasi lebih lanjut tentang perencanaan, penggelaran, dan operasi
peran AD DS Server, lihat Directory Services Domain Aktif
(http://go.microsoft.com/fwlink/?LinkID=48547 [Link ini berada di luar
Wiki TechNet. Ini akan membuka di jendela baru])..Apa itu Direktori sebuah?
Suatu direktori, dalam arti paling umum, adalah daftar lengkap dari objek. Sebuah buku telepon adalah jenis direktori yang menyimpan informasi tentang orang, bisnis, dan organisasi pemerintah. Buku telepon biasanya mencatat nama, alamat, dan nomor telepon. AD DS ini mirip dengan buku telepon dalam beberapa cara, dan itu jauh lebih fleksibel. AD
DS akan menyimpan informasi tentang organisasi, situs, komputer,
pengguna, saham, dan hampir semua objek jaringan lain yang dapat Anda
bayangkan. Tidak
semua objek adalah sebagai mirip satu sama lain seperti yang disimpan
dalam buku telepon, jadi AD DS mencakup kemampuan untuk merekam berbagai
jenis informasi tentang objek yang berbeda.Lightweight Directory Access Protocol (LDAP)
AD DS mencerminkan tren Microsoft menuju mengandalkan protokol standar. Akses Protokol Direktori Ringan (LDAP) adalah produk dari IETF (Internet Engineering Task Force). Ini mendefinisikan bagaimana klien dan server bertukar informasi tentang direktori. LDAP versi 2 dan versi 3 digunakan dalam AD DS.Distinguished Nama
Hal
ini sangat penting untuk memahami struktur nama terhormat, karena Anda
akan menyebut mereka sering dalam perjalanan pekerjaan Anda. Membedakan nama saya adalah / O = Internet / DC = COM / DC = Microsoft / DC = MSPress / CN = Users / CN = Tony Northrup. Perhatikan gambar berikut, yang menunjukkan bagaimana saya masuk ke dalam pohon sampel AD DS. Nama
yg saya berikan mulai membuat beberapa akal-itu mengidentifikasi setiap
kontainer dari puncak sampai ke objek tertentu saya. Setiap wadah dipisahkan dengan garis miring dan identifier. Sebagai contoh, COM, Microsoft, dan MSPress masing-masing diawali dengan / DC =. DC singkatan Komponen Domain, yang mengidentifikasi domain DNS.
Bb742424.f11ih09 (id, TechNet.10). GifNama Distinguished menggambarkan lokasi sebuah objek di pohon.
Untuk menyederhanakan nama terhormat, nama yg relatif juga dapat digunakan. Nama
dibedakan relatif dari contoh sebelumnya adalah CN = Tony Northrup,
mengidentifikasi nama pengguna tetapi tidak konteks di mana ia berada. Konteksnya harus diketahui sudah untuk membedakan nama relatif menjadi pengenal yang efektif.Pengguna Kepala Sekolah Nama
Nama Distinguished yang besar untuk komputer tapi terlalu rumit bagi orang untuk mengingat. Orang-orang telah terbiasa dengan e-mail, sehingga AD DS menyediakan alamat-alamat sebagai jalan pintas untuk nama objek penuh. Dalam Gambar 11-9, Tony Northrup adalah pengguna dari domain mspress.microsoft.com. Seorang
administrator dapat membuat nama pengguna utama dalam domain
microsoft.com untuk memungkinkan akses mudah untuk account pengguna saya
terus tempat untuk alamat e-mail saya, seperti northrup@microsoft.com.
Pengguna akan mengandalkan nama pengguna utama mereka untuk masuk ke komputer mereka. Dengan kata lain, nama pengguna utama akan menggantikan nama pengguna digunakan dalam jaringan Windows yang lebih tua. Jelas, ini membantu pengguna dengan menyimpannya kesulitan mengetik nama dibedakan mereka. Namun,
juga menguntungkan pengguna karena nama pengguna utama akan tetap sama
bahkan jika administrator memindahkan atau mengubah nama akun pengguna
yang mendasarinya.Apa peran AD DS Server?
AD
DS menyediakan database terdistribusi yang menyimpan dan mengelola
informasi tentang sumber daya jaringan dan aplikasi-spesifik data dari
aplikasi direktori-enabled. Administrator
dapat menggunakan AD DS untuk mengatur elemen jaringan, seperti
pengguna, komputer, dan perangkat lain, menjadi struktur penahanan
hirarkis. Struktur hirarkis penahanan termasuk AD DS hutan, domain di hutan, dan unit organisasi (OU) di setiap domain. Sebuah server yang menjalankan AD DS disebut domain controller.
Pengorganisasian elemen jaringan ke dalam struktur hirarki penahanan memberikan manfaat berikut ini:
Hutan berperan sebagai pembatas keamanan bagi suatu organisasi dan mendefinisikan ruang lingkup kewenangan untuk administrator. Secara default, hutan berisi satu domain, yang dikenal sebagai domain root hutan.
Domain
tambahan dapat dibuat di hutan untuk menyediakan partisi data AD DS,
yang memungkinkan organisasi untuk replikasi data hanya tempat yang
membutuhkan. Hal ini memungkinkan untuk AD DS untuk skala global melalui jaringan yang telah membatasi bandwidth yang tersedia. Sebuah
domain AD DS juga mendukung sejumlah fungsi inti lainnya yang terkait
dengan administrasi, termasuk jaringan-lebar identitas pengguna,
otentikasi, dan hubungan kepercayaan.
OU menyederhanakan pendelegasian wewenang untuk memfasilitasi pengelolaan sejumlah besar objek. Melalui delegasi, pemilik dapat mengalihkan kekuasaan penuh atau terbatas atas objek untuk pengguna lain atau kelompok. Delegasi
adalah penting karena membantu untuk mendistribusikan pengelolaan
sejumlah besar objek untuk sejumlah orang yang dipercaya untuk melakukan
tugas manajemen.
Fitur di AD DS
Keamanan terintegrasi dengan AD DS melalui otentikasi logon dan kontrol akses ke sumber daya dalam direktori. Dengan logon jaringan tunggal, administrator dapat mengelola data direktori dan organisasi di seluruh jaringan mereka. Pengguna
jaringan yang berwenang juga dapat menggunakan logon jaringan tunggal
untuk mengakses sumber daya di mana saja dalam jaringan. Kebijakan Administrasi berbasis memudahkan pengelolaan bahkan jaringan yang paling kompleks.
Tambahan AD DS fitur termasuk berikut ini:
Satu
set aturan, skema, yang mendefinisikan kelas dari objek dan atribut
yang tercantum dalam direktori, kendala dan batasan pada contoh
benda-benda, dan format nama mereka.
Sebuah katalog global yang berisi informasi tentang setiap objek dalam direktori. User
dan administrator dapat menggunakan katalog global untuk menemukan
informasi direktori, terlepas dari domain dalam direktori benar-benar
berisi data.
Sebuah
query dan mekanisme indeks, sehingga benda-benda dan sifat mereka dapat
dipublikasikan dan ditemukan oleh pengguna jaringan atau aplikasi.
Sebuah layanan replikasi yang mendistribusikan data direktori di dalam jaringan. Semua
kontroler domain dapat ditulis dalam domain berpartisipasi dalam
replikasi dan berisi salinan lengkap dari semua informasi direktori
untuk domain mereka. Setiap perubahan data direktori direplikasi ke semua domain controller dalam domain tersebut.
Operasi tuan peran (juga dikenal sebagai fleksibel operasi penguasa tunggal atau FSMO). Domain
controller yang memegang peran operasi master ditunjuk untuk melakukan
tugas khusus untuk memastikan konsistensi dan menghilangkan entri yang
saling bertentangan dalam direktori.
Identity Management untuk UNIX
Identity Management untuk UNIX adalah layanan peran AD DS yang dapat diinstal hanya pada kontroler domain. Dua
Identity Management untuk UNIX teknologi, Server untuk Sinkronisasi NIS
dan Password, membuatnya lebih mudah untuk mengintegrasikan komputer
yang menjalankan Microsoft Windows ® menjadi perusahaan yang ada UNIX
Anda. AD DS administrator dapat menggunakan Server untuk NIS untuk mengelola Network Information Service (NIS) domain. Sinkronisasi password secara otomatis mensinkronisasikan password antara Windows dan sistem operasi UNIX.Baru AD DS fitur di Windows Server 2008 R2Fitur Deskripsi
Direktori Aktif Pusat Administrasi
Direktori
Aktif Pusat Administrasi menyediakan pengguna dan administrator
jaringan dengan pengalaman manajemen data ditingkatkan dan user
interface yang kaya grafis (GUI) untuk melakukan tugas umum objek
Direktori Manajemen aktif. Dibangun
pada Windows PowerShell ™ teknologi, Direktori Aktif Pusat Administrasi
memungkinkan pengguna dan administrator jaringan untuk mengelola objek
direktori layanan melalui kedua navigasi berbasis data dan berorientasi
pada tugas navigasi.
Active Directory modul untuk Windows PowerShell
Modul
Active Directory untuk Windows PowerShell adalah antarmuka baris
perintah yang administrator dapat digunakan untuk mengkonfigurasi dan
mendiagnosa semua contoh Active Directory Domain Services (AD DS) dan
Active Directory Services Directory Ringan (AD LDS) di lingkungan
mereka.
Fitur ini mencakup seperangkat cmdlets Windows PowerShell dan penyedia. Penyedia menghadapkan database Active Directory melalui sistem navigasi hirarkis, yang sangat mirip dengan sistem file. Seperti
drive di sistem file (C:, D :), Anda dapat menghubungkan drive Windows
PowerShell ke domain Active Directory dan LDS AD kasus, serta foto
Active Directory.
Active Directory Recycle Bin
Active
Directory Recycle Bin meminimalkan downtime layanan direktori dengan
meningkatkan kemampuan untuk melestarikan dan mengembalikan sengaja
menghapus objek Active Directory tanpa harus mengembalikan data Active
Directory dari backup, restart AD DS, atau restart kontroler domain. Ketika
atribut Active Directory Recycle Bin diaktifkan, semua link-dihargai
dan non-link-nilai dari objek dihapus yang diawetkan dan objek
dikembalikan secara utuh ke negara logis yang sama konsisten bahwa
mereka dalam segera sebelum penghapusan. Sebagai
contoh, account pengguna dikembalikan secara otomatis mendapatkan
kembali semua grup dan hak akses yang sesuai yang mereka punya di dalam
dan di domain segera sebelum penghapusan. Active Directory Recycle Bin fungsional untuk kedua AD DS dan AD LDS lingkungan.
Active Directory Recycle Bin memerlukan Windows Server 2008 R2 tingkat fungsional hutan, dan dinonaktifkan secara default. Untuk mengaktifkannya, Anda dapat menggunakan Ldp.exe atau Windows PowerShell Aktifkan-ADOptionalFeature cmdlet.
Aktif Web Directory Services (ADWS)
ADWS
adalah layanan Windows yang menyediakan antarmuka layanan Web untuk AD
DS dan kasus AD LDS dan layanan direktori Active Directory untuk
snapshot yang berjalan pada server Windows Server 2008 R2 yang sama
sebagai ADWS. ADWS terinstal secara otomatis saat Anda menambahkan AD DS atau AD LDS peran server ke Server Anda Windows server 2008 R2.
Otentikasi Mekanisme Jaminan
Otentikasi
Mekanisme Jaminan paket informasi tentang jenis metode logon (kartu
pintar atau nama pengguna / kata sandi) yang digunakan untuk otentikasi
pengguna domain di dalam setiap pengguna Kerberos token. Bila
fitur ini diaktifkan dalam lingkungan jaringan yang telah menyebarkan
identitas federasi infrastruktur manajemen, seperti Active Directory
Federation Services (AD FS), informasi dalam token kemudian dapat
diekstraksi setiap kali pengguna mencoba untuk mengakses aplikasi-klaim
menyadari bahwa telah dikembangkan untuk menentukan otorisasi berdasarkan metode logon pengguna.
Otentikasi Mekanisme Jaminan memerlukan Windows Server 2008 R2 domain tingkat fungsional.
Domain Offline bergabung
Domain
yang online sekarang bergabung adalah sebuah proses baru bahwa komputer
yang menjalankan Windows ® 7 atau Windows Server 2008 R2 yang dapat
digunakan untuk bergabung sebuah domain. Situs online sekarang gabung proses dapat menyelesaikan domain tersebut bergabung dengan operasi tanpa konektivitas jaringan.Instalasi peran AD DS Server
Setelah
Anda selesai menginstal sistem operasi, Anda dapat menggunakan Tugas
Konfigurasi Awal atau Server Manager untuk menginstal peran server. Untuk
menginstal peran AD DS Server, klik Add peran untuk memulai Wisaya
Peran Add, kemudian klik Layanan Domain Direktori Aktif. Ikuti langkah-langkah dalam Wizard Peran Tambahkan ke menginstal file untuk peran server AD DS. Setelah Anda menyelesaikan Wizard Peran Add, klik link untuk memulai wizard Active Directory Domain Jasa Instalasi.
Ikuti
langkah-langkah di Direktori Domain Wizard Aktif Jasa Instalasi untuk
menyelesaikan instalasi dan konfigurasi kontroler domain Anda. Halaman penyihir paling memiliki link Bantuan untuk informasi lebih lanjut tentang pengaturan yang dapat dikonfigurasi.
Untuk
mengotomatisasi instalasi domain controller, Anda dapat menggunakan
file jawaban atau Anda dapat menentukan parameter instalasi tanpa
pengawasan pada baris perintah. Untuk
informasi lebih lanjut tentang menginstal AD DS, lihat Instalasi AD DS
dan Penghapusan Langkah-Langkah Panduan
(http://go.microsoft.com/fwlink/?LinkId=110897 [Link ini berada di luar
Wiki TechNet. Ini akan membuka di jendela baru])..Mengelola peran AD DS Server
Anda dapat mengelola peran server dengan Microsoft Management Console (MMC) snap-in. Untuk
mengelola domain controller (yaitu, sebuah server yang menjalankan AD
DS), klik Mulai, klik Panel Kontrol, klik Alat Administratif, kemudian
klik dua kali tepat snap-in:
Untuk
mengelola objek Active Directory dengan menggunakan alat GUI terbaru,
dengan pilihan ditingkatkan untuk melihat dan mengelola data Active
Directory, klik Active Directory Pusat Administrasi.
Untuk
mengelola objek Active Directory dengan menggunakan satu set standar
dari Windows PowerShell cmdlets dan penyedia, klik Modul Active
Directory untuk Windows PowerShell.
Untuk mengelola pengguna dan account komputer, klik Active Directory User dan Komputer (dsa.msc).
Untuk
mengelola kepercayaan Active Directory, tingkat fungsional, dan
hutan-lebar peran operasi master, klik Domain dan Trust Direktori Aktif
(domain.msc).
Untuk mengelola situs Active Directory dan link situs, klik Active Directory Situs dan Jasa (dssite.msc).
Sebagai
alternatif, Anda dapat mengklik dua kali snap-in yang sesuai pada
halaman Layanan Domain Direktori Aktif di Server Manager.Keamanan
AD DS memainkan peran penting dalam masa depan jaringan Windows. Administrator
harus mampu melindungi direktori mereka dari penyerang dan pengguna,
sementara mendelegasikan tugas kepada administrator lain yang
diperlukan. Ini
semua mungkin menggunakan AD DS model keamanan, yang rekan sebuah
daftar kontrol akses (ACL) dengan masing-masing kontainer, objek, dan
atribut objek dalam direktori. Gambar
berikut menunjukkan langkah dari Delegasi Pengendalian wizard, utility
yang sangat membantu untuk menetapkan hak akses untuk objek AD DS.
Bb742424.f11ih01 (id, TechNet.10). GifDelegasi Pengendalian Wizard memudahkan untuk memberikan izin ke obyek.
Ini
tingkat kontrol yang tinggi memungkinkan administrator untuk memberikan
pengguna individu dan kelompok berbagai tingkat izin untuk objek dan
sifat mereka. Administrator
bahkan dapat menambahkan atribut untuk objek dan menyembunyikan
atribut-atribut dari kelompok-kelompok tertentu dari pengguna. Sebagai contoh, administrator bisa mengatur ACL sehingga manajer hanya bisa melihat nomor telepon rumah dari pengguna lain. Nonmanagers bahkan tidak akan tahu bahwa atribut ada.
Sebuah konsep baru untuk Windows Server didelegasikan administrasi. Hal
ini memungkinkan administrator untuk menetapkan tugas-tugas
administrasi ke pengguna lain, sementara tidak memberi kuasa para
pengguna lebih dari yang diperlukan. Administrasi didelegasikan dapat diberikan atas benda tertentu atau sub pohon bersebelahan direktori. Ini
adalah metode yang jauh lebih efektif memberikan otoritas atas
jaringan; bukan pemberian seseorang semua hak akses Administrator Domain
kuat, ia dapat diberikan izin hanya untuk komputer-komputer dan
pengguna dalam subtree tertentu. AD DS mendukung warisan, sehingga setiap objek baru mewarisi ACL wadah mereka.
Cobalah untuk melupakan apa yang telah Anda pelajari tentang kepercayaan domain Windows NT. Mempercayai istilah ini masih digunakan, tetapi trust memiliki fungsi yang sangat berbeda. Tidak ada perbedaan antara satu arah dan dua arah trust karena semua AD DS trust adalah dua arah. Selanjutnya, semua kepercayaan adalah transitif. Jadi,
jika Domain domain trust B, dan B mempercayai Domain Domain C, maka ada
kepercayaan implisit otomatis antara A dan Domain Domain C. Ini fungsi
baru ditunjukkan pada gambar berikut.
Gambar 11-2: Windows 2000 Server adalah kepercayaan dua arah dan transitif.Trust Server Windows adalah dua arah dan transitif.
Lain AD DS fitur keamanan audit. Sama seperti Anda dapat mengaudit partisi NTFS, objek dan wadah dalam AD DS dapat diaudit. Ini adalah cara yang berguna untuk menentukan siapa yang mencoba untuk mengakses obyek, dan apakah mereka berhasil.Penggunaan DNS (Domain Name System)
Domain Name System, atau DNS, diperlukan untuk setiap organisasi yang terhubung ke Internet. DNS
menyediakan resolusi nama antara nama umum, seperti
mspress.microsoft.com, dan IP baku alamat-alamat jaringan komponen
lapisan gunakan untuk berkomunikasi. AD DS ekstensif menggunakan teknologi DNS dan bergantung pada DNS untuk menemukan objek di dalam AD DS. Ini
adalah perubahan besar dari sistem operasi Windows yang memerlukan nama
NetBIOS harus diselesaikan ke alamat IP sebelumnya, dan mengandalkan
WINS atau NetBIOS nama lain teknik resolusi.
AD DS yang terbaik bila digunakan dengan berbasis Windows Server server DNS. Microsoft
telah membuat administrator mudah untuk transisi ke Windows Server
berbasis server DNS dengan menyediakan penyihir migrasi yang berjalan
administrator melalui proses. Lain DNS server dapat digunakan, tetapi administrator akan perlu menghabiskan lebih banyak waktu mengelola database DNS. Jika
Anda memutuskan untuk tidak menggunakan Windows Server berbasis server
DNS, Anda harus memastikan Anda DNS server sesuai dengan protokol DNS
baru yang dinamis update. AD
DS server mengandalkan update dinamis untuk memperbarui catatan
penunjuk mereka, dan klien mengandalkan catatan-catatan untuk menemukan
domain controller. Jika update dinamis tidak didukung, Anda harus memperbarui database secara manual.
Catatan: DNS dinamis pembaruan protokol didefinisikan dalam RFC 2136.
Domain Windows dan domain internet sekarang benar-benar kompatibel. Sebuah
nama domain seperti mspress.microsoft.com akan mengidentifikasi AD DS
domain controller bertanggung jawab untuk domain, sehingga setiap klien
dengan akses DNS dapat menemukan domain controller. AD
DS klien dapat menggunakan resolusi DNS untuk menemukan sejumlah
layanan karena AD DS server mempublikasikan daftar alamat ke DNS
menggunakan fitur baru dari update dinamis. Alamat ini mengidentifikasi baik domain dan layanan yang disediakan dan diterbitkan melalui Layanan Resource Records (SRV RR). RRS SRV mengikuti format ini:
service.protocol.domain
AD
DS server menyediakan layanan LDAP untuk lokasi objek, dan LDAP
mengandalkan TCP sebagai protokol transport-layer yang mendasarinya. Oleh
karena itu, klien mencari sebuah server AD DS dalam domain
mspress.microsoft.com akan mencari catatan DNS untuk
ldap.tcp.mspress.microsoft.com.Global di katalog
AD DS menyediakan katalog global (GC). Tidak, ini tidak berarti bahwa Anda dapat menemukan setiap bagian dari informasi di planet-tetapi masih sangat signifikan. AD DS menyediakan satu sumber untuk mencari objek apapun dalam jaringan organisasi.
Para
katalog global adalah layanan dalam Server Windows yang memungkinkan
pengguna untuk menemukan benda yang mereka telah diberikan akses. Fungsi
ini jauh melampaui dari aplikasi Komputer Cari disertakan dalam versi
Windows sebelumnya, karena pengguna dapat mencari objek dalam AD DS:
server, printer, pengguna, dan aplikasi. Sebagai
contoh, gambar berikut menunjukkan bagaimana pengguna dapat mencari
semua printer warna dalam nya atau bangunan nya yang memiliki kemampuan
untuk mencetak dokumen dua sisi.
Bb742424.f11ih03 (id, TechNet.10). GifKatalog global yang membantu pengguna menemukan sumber daya jaringan.
Fitur ini sangat penting karena kompleksitas nama LDAP. Versi Windows mengandalkan 15-karakter komputer nama NetBIOS, yang pengguna sering ingat. Hanya sedikit orang akan dapat memanggil kembali nama LDAP, seperti berikut:
/ O = Internet / DC = COM / DC = Microsoft/ DC = MSPress / CN = Komputer / CN = Server1.
Karena pengguna dapat dengan mudah mencari objek, mengingat nama jauh kurang penting.
GC adalah indeks disimpan pada server AD DS. Ini berisi nama semua objek dalam server AD DS, terlepas dari bagaimana server telah dipartisi. GC juga berisi beberapa atribut dicari untuk setiap objek. Sebagai
contoh, GC akan menyimpan nama-nama terhormat, nama pertama dan nama
terakhir dari semua pengguna-yang memungkinkan seseorang untuk mencari
orang bernama Tony dan menemukan nama terkemuka pengguna. Katalog global adalah subset dari AD DS, dan menyimpan hanya atribut yang pengguna cenderung mencari di. Berguna
default disediakan oleh Microsoft, dan administrator dapat menentukan
atribut lain untuk dapat dicari dengan menggunakan AD DS Schema,
dijelaskan kemudian dalam bab ini.
Tidak Semua Indeks Diciptakan Sama!
Jika
Anda telah melakukan semua administrasi database, Anda sudah tahu bahwa
beberapa jenis informasi yang lebih berguna untuk indeks dibandingkan
jenis lainnya. Tentu, Anda harus atribut indeks yang akan dicari sering, tetapi ada faktor lain yang terlibat. Indeks mengambil ruang, sehingga tidak efisien untuk segala sesuatu indeks. Indeks juga memperlambat update dan insert-jika atribut diindeks dimodifikasi, indeks harus diubah juga. Pengindeksan bekerja lebih baik ketika data disimpan bervariasi dari pengguna ke pengguna. Oleh karena itu, tidak pernah indeks atribut benar atau salah atau atribut dengan kurang dari lima nilai yang mungkin. Nama merupakan atribut yang sangat baik untuk indeks sejak mereka hampir unik untuk setiap pengguna. Akhirnya,
jangan atribut indeks yang biasanya tidak terisi Jika beberapa pengguna
memasukkan nilai untuk nama tengah mereka, pengindeksan atribut yang
adalah pemborosan.
Sebagai obyek baru diciptakan di AD DS, mereka diberikan sebuah nomor yang disebut GUID (pengidentifikasi unik secara global). GUID berguna karena tetap sama untuk setiap objek yang diberikan, terlepas dari mana objek tersebut akan dipindahkan. GUID
adalah sebuah identifikasi 128-bit, yang tidak terlalu berarti bagi
pengguna, tapi aplikasi yang referensi objek inAD DS dapat merekam GUIDs
untuk objek dan menggunakan katalog global untuk menemukan mereka
bahkan setelah mereka telah pindah.Replikasi
Administrator yang melaksanakan AD DS akan segera menyadari bahwa jaringan mereka sangat bergantung pada layanannya. Ketergantungan
ini berarti bahwa AD DS harus tersedia di beberapa server-sehingga jika
server tunggal gagal, klien dapat menghubungi server dengan layanan
duplikat dan informasi. Berbeda
dengan database domain Windows NT yang digunakan dengan versi
sebelumnya dari Windows NT, update ke database dapat dikirim ke salah
satu server AD DS. Meskipun
hal ini mempersulit proses replikasi, menghilangkan kemungkinan bahwa
kegagalan kontroler domain tunggal akan menghentikan update ke database.
Hal ini juga mengurangi beban tinggi ditempatkan pada Windows NT 4.0 domain controller utama.
AD DS mencakup komponen replikasi yang membuat tugas sederhana untuk administrator. Cukup menambahkan kontroler domain ke AD DS cukup untuk memulai proses replikasi.
Salah
satu bagian paling kompleks membuat pekerjaan berlebihan server patut
mereplikasi informasi dan memastikan bahwa semua server memiliki paling
up-to-date konten. AD
DS menggunakan replikasi multimaster, yang merupakan cara lain untuk
menyatakan bahwa update dapat terjadi pada setiap server AD DS. Setiap
server melacak yang update yang diterima dari yang server, dan cerdas
hanya dapat meminta pembaruan yang diperlukan jika terjadi kegagalan.Bagaimana Replikasi AD DS Bekerja
Update Tiap sendiri 64-bit nomor urut unik (USN) dari counter yang bertambah setiap kali perubahan dibuat. Pembaruan ini sistem-spesifik, sehingga setiap server AD DS mempertahankan counter terpisah.
Ketika server ulangan update untuk kontroler domain lainnya AD DS, ia akan mengirimkan USN bersama dengan perubahan. Setiap server memelihara daftar internal mitra replikasi dan USN tertinggi terima dari mereka. Server menerima update meminta hanya perubahan-perubahan dengan USNS lebih tinggi dari sebelumnya diterima. Metode
ini memiliki manfaat tambahan untuk menghentikan update dari
menyebarkan tanpa henti antara kontroler domain AD beberapa DS.
Satu
masalah yang melekat dalam skema replikasi multimaster adalah bahwa
perubahan kepada satu objek dapat terjadi di banyak tempat pada saat
yang sama. Misalnya,
jika administrator di Boston mengubah nama pengguna dari "Curt" untuk
"Kurt" dan administrator di Chicago secara bersamaan mengubah nama
pengguna yang sama dari "Curt" menjadi "Kirk," tabrakan replikasi akan
terjadi. Ada dua masalah untuk berurusan dengan ketika tabrakan terjadi: mendeteksi tabrakan dan menyelesaikan tumbukan.
AD DS nomor properti toko versi untuk memungkinkan deteksi replikasi tabrakan. Jumlah
ini khusus untuk setiap properti dari setiap objek dalam AD DS dan
diperbarui setiap kali properti tersebut dimodifikasi. Nomor-nomor
ini disebarkan melalui AD DS bersama dengan perubahan, sehingga server
yang menerima dua update yang berbeda untuk properti yang sama dengan
nomor versi properti yang sama dapat menyimpulkan bahwa tabrakan telah
terjadi replikasi.
AD DS domain controller mengatasi tabrakan dengan menerapkan pembaruan dengan timestamp nanti. Timestamp
dibuat oleh server yang diprakarsai perubahan, sehingga sangat penting
untuk menjaga waktu sistem disinkronisasi antara server.
Catatan: Gunakan layanan built-in sinkronisasi waktu terdistribusi untuk menyimpan semua server bekerja bersama-sama!Partisi
Jaringan yang besar dapat berisi ratusan ribu objek. Windows NT dibutuhkan beberapa domain untuk memungkinkan bahwa banyak benda untuk dapat diolah. Administrator sering dibagi pengguna dan sumber daya ke dalam domain terpisah dan menciptakan kepercayaan antara domain. Struktur database sama sekali tidak memungkinkan mereka untuk tumbuh hingga ratusan ribu objek. Keterbatasan ukuran kurang faktor dalam domain AD DS, untungnya. Namun, mendukung AD DS yang sangat besar bisa menjadi beban yang luar biasa untuk setiap domain controller tunggal.
Direktori Aktif dapat dipartisi untuk mengurangi beban ini. Partisi
memungkinkan kontroler domain yang berbeda untuk mengelola bagian yang
berbeda dari database, mengurangi beban pada server individu. Klien dapat menggunakan sumber daya yang terletak di dalam partisi yang berbeda AD DS secara transparan. Oleh
karena itu, administrator dapat mengelola AD DS domain besar-besaran
tanpa memerlukan pengontrol domain untuk menangani seluruh database.Objek
Banyak orang yang awalnya bingung dengan hubungan antara kelas objek, atribut, dan obyek itu sendiri. Objek diciptakan berdasarkan kelas objek. Atribut menggambarkan kelas objek. Ketika sebuah objek dibuat, itu mewarisi semua atribut kelas obyeknya. Di sinilah ia mendapat rumit: kelas objek dan atribut juga objek di AD DS. Untungnya, antarmuka pengguna yang paling menyembunyikan fakta ini.
Sebuah objek dapat berupa referensi untuk sesuatu yang konkret atau informasi yang berguna itu sendiri. Misalnya, setiap bit informasi tentang user account disimpan di dalam AD DS. Namun, hanya mengacu pada volume disk disimpan di AD CS. Sedangkan referensi tidak berguna dengan sendirinya, itu digunakan untuk menemukan volume pada file server. Ketika
membuat kelas objek baru, hati-hati mempertimbangkan apakah objek akan
menyimpan referensi ke sesuatu yang eksternal atau apakah semua
informasi yang diperlukan akan terkandung dalam atribut objek. Sementara
AD DS sangat nyaman, tidak harus digunakan untuk menyimpan sejumlah
besar informasi, terus berubah informasi, atau informasi jarang
digunakan.
Setiap kali Anda menambahkan user atau komputer ke AD DS, Anda membuat objek. Menciptakan
sebuah objek sering disebut sebagai penerbitan, karena dimulai proses
mereplikasi informasi baru di semua kontroler domain AD DS di domain.Skema: Atribut dan Kelas Obyek
Skema adalah satu set atribut yang digunakan untuk menggambarkan kelas objek tertentu dalam AD DS. Berbagai jenis informasi perlu dilacak untuk kelas objek yang berbeda, dan itulah mengapa skema ini begitu penting. Sebagai
contoh, kelas objek Pengguna perlu atribut untuk nama depan, nama
belakang, nomor telepon, alamat e-mail, dan alamat surat. Kelas
objek Printer harus memiliki banyak atribut yang berbeda-pengguna akan
ingin tahu seberapa cepat printer adalah dan apakah itu bisa duplex atau
mencetak dalam warna. Atribut ini dapat dilihat dan diedit menggunakan AD DS Schema MMC snap-in, seperti ditunjukkan pada gambar berikut.
Programmer
berpengalaman dan administrator sistem dapat mengatur skema AD DS,
tetapi AD DS Schema snap-in tidak diinstal secara default. Selain itu, file schmmgmt.dll (regsvr32 schmmgmt.dll) harus terdaftar dari command prompt sebelum snap-in dapat diinstal. Skema
AD DS tidak memiliki ikon dalam menu Start, Anda harus meluncurkan
antarmuka MMC dan menambahkan snap-in bernama AD DS Schema.
Bb742424.f11ih04 (id, TechNet.10). GifSkema AD DS memungkinkan kelas dan atribut untuk dimodifikasi.
Secara default, kelas objek datang dengan satu set logis dari atribut yang sesuai dengan kebutuhan organisasi kebanyakan. Namun, banyak organisasi perlu untuk melacak informasi tambahan tentang kelas-kelas objek tertentu. Misalnya, jika karyawan diberi nomor lencana, hal ini berguna untuk melacak informasi bahwa di kelas objek. Langkah pertama adalah membuat sebuah atribut yang disebut BadgeID, seperti terlihat pada gambar berikut. Langkah kedua adalah membuat atribut baru opsional untuk kelas Pengguna.
Gambar 11-5: Atribut dapat ditambahkan dengan Skema Direktori Aktif snap-in.Atribut dapat ditambahkan dengan AD DS Schema snap-in.
Skema tersebut disimpan dalam AD DS seperti objek lainnya. Oleh karena itu, skema mewarisi kemampuan untuk secara otomatis direplikasi di seluruh domain. Ini
juga manfaat dari fitur keamanan dari AD DS, dan memungkinkan
administrator untuk mendelegasikan otoritas atas skema untuk pengguna
yang berbeda dan kelompok. Dengan
mengubah ACL pada objek skema, administrator dapat memungkinkan user
untuk menambahkan atau memodifikasi atribut untuk kelas objek. Contoh pada gambar berikut menunjukkan bahwa kelompok East Coast Administrator telah diberikan kontrol penuh atas skema.
Gambar 11-6: Memodifikasi skema dapat didelegasikan kepada kelompok-kelompok dan pengguna.Memodifikasi skema dapat didelegasikan kepada kelompok-kelompok dan pengguna.
Atribut baru memiliki beberapa properti yang harus ditetapkan. User
yang membuat atribut baru harus menentukan nama atribut (seperti ID
Badge #), jenis data yang akan disimpan (seperti string atau angka), dan
batas rentang (seperti panjang string). Sebuah Object Identifier unik (OID) juga harus disediakan. Atribut baru dapat diindeks, yang menambahkan atribut ke katalog global. Indeks harus dibuat untuk atribut yang pengguna akan mencari bersama. Dalam contoh ini, jika keamanan perlu mencari account pengguna dengan jumlah ID Badge, atribut ini harus diindeks. Untuk pencarian terjadi pada atribut nonindexed, beberapa langkah lambat dan prosesor-intensif pohon direktori harus dilakukan.
Mana Identifier Obyek Berasal?
Satu-satunya cara untuk memastikan Identifier Obyek yang unik secara global adalah memiliki lembaga pusat yang memberikan OIDs. Hal
ini sudah biasa dilakukan di Internet; InterNIC menugaskan nama domain
dan Internet Assigned Numbers Authority (IANA) memberikan subnet IP. Identifier Obyek ditugaskan oleh Otoritas Registrasi Nasional, atau NRA. NRAS bervariasi dari negara ke negara. Di Amerika Serikat, American National Standards Institute (ANSI) menyediakan layanan NRA. Untuk biaya sederhana, ANSI dapat menyediakan organisasi Anda dengan OID root. Setiap
benda yang diciptakan oleh organisasi Anda akan memiliki akar OID
sebagai awalan, memastikan bahwa Identifier Obyek secara global unik.
Tidak ada komentar:
Posting Komentar