148
Keling, mumkin bo‘lgan parametrlarni ko‘rib chiqaylik:
1.
O‘rmon va domen funksional darajasi. Bitta o‘rmondagi domenlar
bortdagi Windows Server versiyasiga qarab turli rejimlarda ishlashi mumkin.
O‘rmon tarkibidagi “eng qadimgi” domendan yuqori bo‘lmagan rejimga ega bo‘lishi
kerak.
Chunki
biz
faqat
Windows
Server
2016
dan
foydalanishni
rejalashtirmoqdamiz, keyin biz o‘rmon va domen uchun ushbu rejimni qoldiramiz;
2. DNS server. Agar siz ilgari Rollarni qo‘shish
ustasida DNS server rolini
faollashtirmagan bo‘lsangiz, buni hozir qilishingiz mumkin (hatto sizga ushbu
parametr sukut bo‘yicha taklif qilinadi);
3.Domen boshqaruvchisi Global Katalog serveri vazifasini bajarishi kerakmi;
4. Active Directory ma’lumotlar bazasining faqat o‘qish rejimini yoqish
kerakmi. RODC texnologiyasi tomonidan amalga oshiriladigan asosiy vazifa - bu
DC roliga ega serverni fizik himoya qilish qiyin bo‘lgan
masofaviy filiallar va
ofislarda o‘z domen kontrolleringizni xavfsiz o‘rnatish qobiliyati. RODC domen
boshqaruvchisi Active Directory ma’lumotlar bazasining faqat o‘qish uchun
mo‘ljallangan nusxasini o‘z ichiga oladi. Bu shuni anglatadiki,
hech kim, hatto
bunday domen boshqaruvchisiga fizik kirish huquqiga ega bo‘lsa ham, AD
ma’lumotlarini o‘zgartira olmaydi (shu jumladan domen ma’muri parolini tiklash)
(ma’lumot shu erdan olingan).
Ammo keling, 3-bandni batafsil ko‘rib chiqaylik, bu juda qiziq.
Yuqorida aytib o‘tganimdek, har bir domen boshqaruvchisi o‘z domenidagi
barcha obyektlar haqida to‘liq va keng qamrovli ma’lumotlarga ega. Agar domenda
bir nechta kontrollerlar mavjud bo‘lsa, ular ham domen obyektlari bilan ma’lumotlar
bazasining bir nechta yangilangan nusxalarini saqlab,
replikatsiya mexanizmida
ishtirok etadilar. Ma’lum bo‘lishicha, domendagi ish stantsiyasi ushbu domendagi
istalgan obyekt haqida ma’lumotni eng yaqin domen boshqaruvchisidan o‘rganishi
mumkin.
Ammo ish stantsiyasi boshqa domendan obyekt haqida ma’lumot olishi kerak
bo‘lsa-chi? Va bu уerda Active Directory texnologiyasining yana bir muhim
mexanizmi ishga tushadi, bu global katalog deb ataladi.
149
Umuman olganda, “Global katalog” nima? Microsoft-ga ko‘ra, bu
o‘rmondagi barcha AD obyektlarining qisman ko‘rinishini saqlaydigan
taqsimlangan ma’lumotlar do‘koni. Ushbu ombor ixtiyoriy Global Katalog Server
roliga ega bo‘lgan domen kontrollerlarida joylashgan.
GC serveri oddiy domen
boshqaruvchisidan, birinchi navbatda, o‘z domenidagi barcha obyektlarning to‘liq
nusxasidan tashqari, o‘rmonning boshqa domenlaridagi barcha obyektlar
to‘g‘risidagi qisman ma’lumotlarni ham saqlashi bilan farq qiladi.
Bu nimaga erishishga imkon beradi? Tasavvur qilaylik, ish stantsiyasi boshqa
domendan obyekt haqida ma’lumot so‘ragan. U eng
yaqin GC serveriga ushbu
obyekt haqida ma’lumot berish so‘rovi bilan murojaat qiladi. GC server, o‘z
navbatida:
1.Yoki ish stantsiyasiga kerakli ma’lumotlarni darhol bering (agar GC-
serverda bu ma’lumotlar mavjud bo‘lsa);
2. Yoki so‘rovni to‘g‘ri domen nazoratchisiga yo‘naltiring, bu ma’lumot,
albatta, qaerda joylashgan bo‘ladi. Qaysi domen tekshiruvi so‘rovni qayta
yo‘naltirishi kerakligini tushunish uchun GC qidiruvi amalga oshiriladi.
Qaysi atributlar global katalogga o‘tishi haqidagi ma’lumot AD administratori
sozlashi mumkin bo‘lgan Qisman Atributlar To‘plamida (PAS) aniqlanadi. Misol
uchun, agar ma’mur ish stantsiyalari global katalogda mavjud bo‘lmagan atributga
tez-tez kirishini tushunsa, u o‘sha atributni qo‘shishi mumkin. Keyin ushbu atributni
o‘qishda ish stantsiyalarining so‘rovlari
ancha tezroq bajariladi, chunki eng yaqin
GC server ularga kerakli barcha ma’lumotlarni taqdim eta oladi.
Biroq, agar o‘rmonda faqat bitta domen bo‘lsa (bizda mavjud bo‘lgani kabi),
u holda Global katalog domendagi obyektlarning to‘liq nusxasini o‘z ichiga oladi va
tamom.
Xo‘sh, Domen xizmatlarini sozlash ustasi biz uchun allaqachon qo‘ygan GC
katagiga qayting. Agar siz uni o‘chirib qo‘ymoqchi bo‘lsangiz, uni o‘chira
olmasligingizga ishonch hosil qiling. Buning sababi shundaki, ADdagi har bir
domen kamida bitta GC serveriga ega bo‘lishi kerak va birinchi kontroller domenga
qo‘shilganda, bu kontroller darhol GC serveri sifatida belgilanadi.
150
Xo‘sh, keling, ushbu “tanlovi” bilan rozi bo‘laylik
va ushbu skrinshotdagi
oxirgi variantga o‘tamiz - katalog xizmatlarini tiklash rejimi uchun parol. Bu
administratorga AD ma’lumotlar bazasi bilan ishlash imkonini beruvchi maxsus
Windows Server Secure Boot rejimidir. Ushbu rejim, masalan, quyidagi hollarda
qo‘llaniladi:
• Active Directory ma’lumotlar bazasi shikastlangan va uni tuzatish kerak;
• AD ma’lumotlar bazasiga texnik xizmat ko‘rsatishni amalga oshirishingiz
kerak (siqishni, xatolarni tahlil qilish);
• siz AD ma’lumotlar bazasining zaxira nusxasini tiklamoqchi bo‘lsangiz;
• administrator parolini o‘zgartirishingiz kerak.
Ha, ha, siz to‘g‘ri eshitdingiz. Ma’lumotlar bazasi zahirasini oddiygina tiklash
uchun siz mashinani qayta ishga tushirishingiz va maxsus “xavfsiz”
rejimda
yuklashingiz kerak. Bu siz uchun Linux emas.
Fuh, qandaydir tushundim. Keling, DNS delegatsiyasini sozlash taklif
qilingan bosqichga o‘tamiz.
