RSS

เจาะลึก Active Directory Database

05 ส.ค.

รูปภาพ

Active Directory Database สำหรับคนที่เคยใช้ SQL Server คงจะคุ้นเคยกับ Record และ Field แต่ถ้าเป็นใน Active Directory Database  Recordมันจะเรียกว่า Object หรือ Class ส่วนField มันจะเรียกว่า Attribute  ต่อมาครับ Class ของ Active Directory คืออะไร มันก็คือ User,Computer,Group ส่วน Attribute มันก็คือ First name,Last name,Phone,SIDส่วน Services ที่ใช้ก็มีพวก Kerberos ใช้ในการ Authentication เช่นเวลาจะมี User เข้าใช้Active Directory มันจะไป Check  Username,Password,SID ที่ SRV Record ใน DNS จากนั้นมันจะอาศัย Services Kerberos ในการ Authentication เข้า Active Directory ส่วนDNS มันจะช่วยResolve name ปกติ DNS มันจะมีหน้าที่ในการเก็บข้อมูล computer เอาไว้ วาแต่ล่ะเครื่องIP Address อะไร มันจะเก็บไว้ที่นี้ DNS Database ,Active Directory มันก็จะถามSID SRV Record ใน DNS ด้วย ส่วนการ Replication ก็คือ Services ที่ช่วยทำให้ DC อื่นๆเข้าถึงข้อมูลใน Database ของ DC ได้อย่างเท่าเทียมกัน   ถ้าเราอยากจะแก้ไข Active Directory Database ก็มีเครื่องมือให้เลือกใช้พวก API ของ .Net,VBScript,Windows PowerShell แต่เราก็จะต้องเข้าใจโครงสร้างของ Active Directory และSyntaxของ LDAP ถ้าเราไม่รู้ Syntax ไม่แนะนำให้เข้าไปทำการแก้ไข เพราะอาจทำให้ Database นั้นเสียไปเลย

NTDS.DIT อยู่ใน C:\Windows\NTDS.DIT

Schemaเป็นPartitionsหนึ่งในNTDS.DITและเป็น Logical partitions  schema คือ Class+Attribute  ClassในActive Directory คือ User,Computer ส่วนAttribute ใน Active DirectoryคือFirst name,Last name,Phone เวลาReplication มันจะReplication ทั้ง Forest 

Configuration Partitions คือ Partitions ที่เอาไว้เก็บการเปลี่ยนแปลงทาง Topology ของ Active Directory ไม่ว่าเพิ่มchild domain ลบ child domain ปรับปรุงค่าต่างๆในเชิง Topology มันจะเก็บค่า update ไปที่ partitions นี้ เวลาReplication มันจะReplication ทั้ง Forest เพื่อให้ทุก Domain Controllers รับรู้การเปลี่ยนแปลง Topology ทั้งForest

Domain Partitions คือ partitions ที่เก็บObject ที่ถูกสร้างขึ้น  สร้าง user,computer ถ้ามีการสร้าง object 10000 คนมันจะถูกเก็บใน Partitions นี้ ทำให้ partitions นี้โตสุดใน Database ntds.dit ของ Active Directory  มันเลยมีการ * ไว้เพื่อให้ทราบว่ามันเป็น Partitions ที่โตที่สุด มันจะReplication เฉพาะในDomainเท่านั้น หรือแค่ในรูปภาพสามเหลี่ยมที่เป็นสัญลักษณ์แสดงแทน Domain

DNS Partitions หรือเรียกอีกชื่อหนึ่งว่า Application Partitions ซึ่งถ้าอยู่ใน NTDS.DIT มันจะถูกเรียกว่า DNS Integrated Zone ซึ่งปกติ DNS กับ Active Directory มันจะทำงานคู่กันปกติ DNS จะมีหน้าที่เก็บข้อมูล computer เอาไว้ ว่าคอมพิวเตอร์แต่ละเครื่องมีชืออะไร ip address อะไรบ้างเก็บไว้ที่ตัวมันเพื่อทำการเปลี่ยนหรือ resolve name ให้เพราะคอมพิวเตอร์คุณเป็น ip สิ่งที่มันเก็บไร เก็บรายชื่อของคอมพิวเตอร์ทุกเครื่อง ip address มันจะเก็บใน database ของมันเอง ที่นี้พอมันเก็บใน database ของมันเองที่นี้ ถ้าเกิดเครื่องนี้ตายล่ะ สิ่งที่มันเก็บในเครื่องนี้หายไปด้วยเลย ที่นี้มีประเด็นคือในเมื่อตอนนี้มี database AD อยู่แล้ว เช่น AD เรามีอยู่ 2 เครื่องก็เป็น ou อยู่2เครื่อง เราก็เอา database  dns ไปเก็บที่ dc เลยถ้า database เก็บที่ dc เป็น database primary เราเปลี่ยนได้นะ มันจะทำของมันเอง โยก Database dns ไปเก็บที่ dc เลยซึ่งจะเก็บใน partitions  application Partitions หรือว่า dns จะมี application เดียวที่เก็บใน นั้นได้ เก็บใน database ได้ จากเดิมมันเก็บใน database ของมันเอง เราเปลี่ยนสถานที่เก็บให้มัน ไปเก็บในdatabase ของ dc แทนแล้ว Partitions  นี้จะ Replication ไปที่นี้ด้วย เช่น อาจจะเป็นที่ DC2 คือ Application Partitions  มันจะเรียกในข้อสอบว่า dns integrated zone มันจะReplication เฉพาะในDomain แต่เราสามารถปรับขอบเขตในการ Replication ได้

Global Catalog (GC)หรือเรียกอีกอย่างว่า Partial Attribute Set(PAS) มันจะทำหน้าที่เก็บข้อมูลพวก Common use คือพวกข้อมูลที่เราใช้บ่อยๆ ถ้ายังนึกภาพไม่ออกว่ามันทำงานอย่างไรผมจะขอยกตัวอย่างเช่น เวลาเราจะเปิดหนังสือ เวลาเราต้องการหาเนื้อหาที่ต้องการอย่างรวดเร็ว เราก็ต้องไปดูที่สารบัญ เพื่อให้ทราบว่ามันเรื่องๆนี้มันอยู่ในหน้าอะไร เช่นเดียวกันครับ ถ้าActive Directory มันจะค้นหาข้อมูลของคนๆหนึ่ง สมมุติว่ามีข้อมุลอยู่2พันล้าน Object Active Directory ลำพังตัวมันค้นหาได้ครับแต่ช้า Active Directory มันเลยไปถามที่ Global Catalog ว่า Object A นี้มันอยู่ตำแหน่งใดใน Active Directory

SYSVOL คือ Database ของ GPO

GPO AD กับ GPO แยกกันนะครับคือ policy map driver ,ติดตั้ง software นั้น group policy database config กันมันจะมี database เรียกว่า SYSVOL  เป็น Folder อยู่ใน C:\Windows\SYSVOL  จะเก็บพวก logon scriptและPolicies เอาไว้ ถ้าเกิด Folder นี้โดนลบทิ้งหรือไป Stop Share มัน default มันจะ share อยุ่มันจะไม่สามารถ Replication GPO ไปที่เครื่องอื่นได้ คุณมี DC 2 เครื่อง เพราะฉะนั้นสำคัญมาก SYSVOL ก็เก็บ SYSVOL  GPO เหมือนกันถูกป่ะ ถ้า SYSVOL มีปัญหาโดนลบทิ้ง GPO เสียเลย ครับ คือใช้ไม่ได้ นี้คือ SYSVOL แยกกัน เขาเรียก ทั้งหมดนี้ว่า Active Diretory Data Store คือ เก็บ database ของ AD และGPO เอาไว้

NTDS.DIT+SYSVOL=Active Diretory Data Store

By q

 
ใส่ความเห็น

Posted by บน สิงหาคม 5, 2012 in Computer

 

ป้ายกำกับ:

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

 
%d bloggers like this: