اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

ّ آموزش مرحله به مرحله Domain offline Join

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    ّ آموزش مرحله به مرحله Domain offline Join

    سلام خدمت شما عزیزان؛

    در این آموزش توضیحات و مراحل کامل برای اجرای عمل عضو کردن اعضا به صورت آفلاین رو توضیح می دم. در طی این پروسه ، ما یک کامپیوتر رو عضو دامنه می کنیم بدون این که با کنترل کننده دامنه (DC) ارتباط برقرار کنیم. در این آموزش موضوعات زیر بررسی می شود:

    (این آموزش به ساده ترین شکل فارسی شده بازم اگر مشکلی در ترجمه من دیدید بگید)


    مروری بر سناریو عضویت آفلاین در دامنه

    پیش نیازها برای انجام این پروسه

    روند انجام عضویت آفلاین در دامنه و کار با کمند Djoin

    مراحل انجام عضویت آفلاین در دامنه

    مروری بر سناریو عضویت آفلاین در دامنه:

    عوضیت آفلاین در دامنه (Offline Domain Join) یک پروسه جدید است که برای کامپیوتر های دارای ویندوز 7 و ویندوز سرور 2008R2 قابل استفاده است، که در آن یک کامپیوتر را ، بدون ارتباط با دامین کنترلر، می توان به عضویت دامنه در آورد.
    این قابلیت این امکان رو به مدیر سرور ها می ده تا در مواقعی که هیچ ارتباطی با شبکه شرکت شون نداره، کامپیوتر یا کامپیتر هایی رو به عضویت دامنه در بیاره! کاربرد این قابلیت در دیتاسنتر ها مشخص میشه.
    برای مثال، اگر یک شرکت بخواد تعداد ماشین های مجازی شو در دیتا سنترش گسترش بده، این قابلیت به این شرکت این اجازه رو میده که ماشین های مجازی شون رو بلافاصله پس از نصب سیستم عامل، به عضویت دامنه دربیارن! برای کامل شدن عضویت نیز، نیاز به هیچ گونه ریست کردن اضافی کامپیوتر نیست! این پروسه به طور قابل توجهی مدت زمان مورد نیاز برای عضو کردن ماشین ها رو به دامنه، در تعداد زیاد ماشین های مجازی، کاهش میده!
    زمان عضویت در یک دامنه، یک ارتباط مورد اعتماد (Trust Relationship) بین کامپیوتر که دارای سیستم ویندوز هست و یک دامین اکتیو دایرکتوری برقرار میشه! این عمل باعث ایجاد تغییراتی در سرویس دامنه اکتیو دایرکتوری یا (AD DS) و همچنین اون کامپیوتر که در حال عضویت هست، می شود. برای کامل شدن عضویت هم اون کامپیوتر باید بعدا با دامین کنترولر ارتباط برقرار کنه، در این صورت هست که پروسه عضویت کامل میشه!

    پروسه عضویت آفلاین دامنه، مزیت های زیر رو داره:

    1. تغییرات اکتیو دایرکتوری بدون هیچ گونه مصرف ترافیکی برای ارتباط با کامپیوتر عضو شده، انجام میشه!
    2. تغییرات کامپیوتر عضو شده بدون هیچ گونه مصرف ترافیکی برای ارتباط با دامین کنترلر ، انجام میشه!
    3. هر کدام از پروسه های تنظیم شدن تغییرات می توانند در زمان های مختلفی انجام شوند!

    در زیر به توضیح بخشی دیگر از مزایای این عمل می پردازیم:

    الف) کاهش کل هزینه مالکیت در دیتاسنتر ها (در مقاله بعدی کامل ترجمه می کنم)
    ب) بهبود تجربه برای اجرا کردن عضویت دامنه بوسیله RODC یا همان Read Only Domain Controller
    ج) استقرار سرمایه گذاری سریع (بعدا کامل ترجمه می کنم)


    پیش نیاز ها برای اجرای عضویت آفلاین در دامنه

    برای اجرای عضویت آفلاین در دامنه، شما نیاز به کمندهایی دارید که از ابزار جدیدی به نام Djoin.exe استفاده می کنند. از این ابزار برای آماده کردن کامپیوتر اکانت ها در سرویس دامنه اکتیو دایرکتوری AD DS استفاده میشه! همچنین شما از این ابزار برای انتقال اطلاعات کامپیوتر اکانت به کامپیوتر مقصد که می خواید عضو دامنش کنید، استفاده می کنید.
    در عضویت آفلاین، تمام پروسه در یک بازه زمانی خاص به اتمام نمی رسه، بلکه کامپیوتر اکانت ساخته شده در سرویس اکتیو دایرکتوری ، در همان جا باقی می مونه ، مگر این که ادمین سرور تغییراتی بر روی اون ها انجام بده. هرچند بعضی از سازمان ها اسکریپت هایی رو روی سرور اجرا می کنند که هر 30 تا 60 روز کامیوتر اکانت های قدیمی یا اون هایی که مورد استفاده نیستند رو ، از این قسمت پاک می کنند.

    در بخش های بعد پیش نیاز ها و اعتبارنامه های مورد نیاز سیستم عامل برای انجام این عمل رو شرح می دهم.


    پیش نیاز های سیستم عامل برای اجرای پروسه

    شما از ابزار Djoin.exe تنها بر روی ویندوز 7 و سرور 2008R2 می توانید استفاده کنید.کامپیوتری که شما Djoin.exe رو برای تنظیم اطلاعات کامپیوتر اکانت روی AD DS انجام میده، باید دارای ویندوز 7 یا سرور 2008R2 باشه. کامپیوتری که می خواد به دامنه از طریق این قابلیت عضو بشه هم باید دارای یکی از این دو نوع سیتم عامل باشه.

    اعتبارسنجی های مورد نیاز

    برای این که شما بتوانید به وسیله یوزر خودتون، عمل عضویت آفلاین رو اجرا کنید، نیاز به یه سری اختیارات و مجوز ها دارین، اعضای گروه Domain Admins Group به صورت پیش فرض این اختیارات و توانایی ها رو دارن، اگر یوزر شما عضو این گروه نیست و می خواد که عمل عضویت آفلاین رو انجام بده باید یکی از کار های زیر رو بکنه:
    1. استفاده از گروپ پالیسی برای دادن اختیارات مورد نظر به شما
    2. ویرایش کردن لیست کنترل دسترسی ها (ACL) برای انجام عمل انتقال مجوز ها به شما (Delegate)
    3. ساختن یک OU یا واحد سازمانی و ویرایش لیست کنترل دسترسی های اون به منظور دادن مجوز های Create chile - Allow

    #2
    پروسه عضویت آفلاین دامنه و سینتکس Djoin.exe


    خب اول به توضیح به عنوان مقدمه کار میدم بعد هم به صورت عملی مرحله به مرحله توضیح می دم؛
    اول این که شما باید از این سینتکس یعنی Djoin.exe بر روی دو سیستم استفاده کنید یعنی هم دامین کنترولر و هم کامپیوتر مقصد که می خواید عضو دامنش بکنید.
    اول باید از چند تا سویچ این کمند به ویژه سویچ provision استفاده کنید تا یک کامپیوتر اکانت و یک فایل Txt مربوط به اطلاعات کامپیوتر اکانت ، بر روی دامین کنترولر ساخته بشه! ( اطلاعات کامپیوتر اکانت مربوط به کامپیوتر مقصد می باشد).
    بعد می تونید توی کامپیوتر مقصد این کمند رو با سویچ های مخصوص به خودش اجرا کنید و اون فایل Txt رو از سرور اصلی درخواست کنید تا کامل بشه و در این بین ممکنه اتصال بین دامین کنترلر و کامپیوتر مقصد وجود نداشته باشه!
    همچنین شما می تونید این کد هایی رو که برروی کامپیوتر مقصد می زنید در فایل unattend.xml قرار بدید تا خودش بعد از نصب سیستم عامل این کار هارو انجام بده و هنگامی که اولین بار اتصال با دامین کنترلر برقرار بشه ، اطلاعات کامپیوتر اکانت و عمل عضویت کامل میشه!
    این فایل unattend.xml رو برای یک دیتاسنتر که مثلا 100 تا کلاینت داره در نظر بگیرید که مدیر سیستم به جای این که پای این 100 تا سیستم تک تک بره کار خودش رو راحت می کنه!

    کمندی که باید بر روی دامین کنترلر بزنید :


    djoin /provision /domain <domain_name> /machine <destination computer> /savefile <filename.txt>


    یه سری سویچ اضافه هم داره ولی بالایی ها باید حتما باشه، سویچ های اضافه این ها هستند که بعد از سویچ های بالا استفاده میشن:


    [/machineou <OU name>] [/dcname <name of domain controller>] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob] [/rootcacerts] [/certtemplate <name>] [/policynames <name(s)>] [/policypaths <Path(s)>]


    اگر همون کد اصلی رو بزنید می تونید بعدش برید به سرویس یوزر ها و کامپیوتر های اکتیو دایرکتوری و بعدش می بینید که کامپیوتر اکانت ساخته شده و بعضی قسمت ها مثل نوع سیستم عامل و... هنوز خالیه!

    این کد رو هم باید روی کامپیوتر مقصد اجرا کنید:


    djoin /requestodj /loadfile <filename.txt> /windowspath <path to the Windows directory of the offline image> /localos


    سویچ اضافه ای هم نداره!
    اگر اتصال به دامین کانترل برقرار باشه که همون جا عمل عضویت کامل میشه ولی اگه نباشه تا موفع اولین اتصال این اطلاعات باقی می مونه!

    یه نکته مهم: سویچ های زیر مربوط به سرور 2012 می باشند که مربوط به موبایل یوزر ها میشن:


    /rootcacerts, /certtemplate, /policynames, and /policypaths


    توضیح کامل در مورد هر سویچ:

    provision
    یک کامپیوتر اکانت در اکتیو دایرکتوری میسازه!

    domain kian.com
    نام دامنه

    machine pc1
    نام کامپیوتر مقصد

    machineou hesab
    نام اون ou که کامپیوتر اکانت قرار توش ساخته بشه!

    dcname administrator
    اسم DC یا دامین کنترولر که اون کامپیوتر قرار توش ساخته بشه که اگه از این سویچ استفاده نکنید به طور پیش فرض در از DC Locator استفاده میشه برای تعیین دامین کنترولر!

    reuse
    این گزینه تعیین می کنه که از یک کامپیوتر اکانت چند بار استفاده بشه که در این گزینه پسورد برای هر اکانت باید تغییر داده بشه!

    downlevel
    اگر دامین کنترولر تون از سرور 2008R2 جدیدتر باشه، این سویچ اون رو پشتیبانی می کنه!

    savefile filename.txt
    اطلاعات مربوط به سویچ provision تو این فایل ثبت میشه!

    defpwd
    از پسورد خود اون ماشین یا کامیوتر مقصد استفاده می کنه که پیشنهاد میشه استفاده نکنید!

    nosearch
    این باعث میشه از کانفیکت های توقیف اکانت رد بشه ، که اگه این سویچ رو استفاده کنید نیاز به سویچ DCName دارین!

    printblob
    یک Base64-encoded metadata blob برای فایل پاسخ باز می گردونه

    rootcacerts
    سرور 2012 کاربرد داره ===> Optionally include root Certificate Authority certificates

    certtemplate Name
    سرور 2012 کاربرد داره ===>Optional <Name> of machine certificate template. Includes root Certificate Authority certificates.

    policynames Name
    سرور 2012 کاربرد داره ===>Optional semicolon-separated list of Group Policy object (GPO) names. Each name is the displayName of the GPO in AD DS.

    policypaths Path
    سرور 2012 کاربرد داره ===>


    Optional semicolon-separated list of policy paths. Each path is a path to a registry.pol file.

    GPOs store registry-based configuration settings in registry.pol files. To include registry-based configuration settings in the blob data, specify the path and file name using any of the following formats:

    /POLICYPATHS mypolicy.xyz

    /POLICYPATHS .\mypolicy2.xyz

    /POLICYPATHS c:\tmp\mypolicy3.xyz

    /POLICYPATHS \\server\share\mypolicy4.xyz

    /POLICYPATHS mypolicy.xyz;.\mypolicy2.xyz;c:\tmp\mypolicy3.xyz; \\server\share\mypolicy4.xyz

    For more information about registry.pol files, see Registry.pol.

    requestodj
    درخواست عضویت آفلاین رو بعد از اولین استارت می خواد (کامپیوتر مقصد)

    Loadfile
    اون فایل txt که قبلا ساخته شده بود رو لود میکنه!

    windowspath path to the Windows directory of the offline image
    محل دایرکتوری ویندوز رو در ایمیج آفلاین مشخص می کنه، اگر شما از سویچ localos استفاده می کنید ، باید از گزینه های %windir% یا %systemroot% در سویچ windowspath استفاده کنید

    localos
    این سویچ فقط بر روی کامپیوتر مقصد قابل اجرا است و مربوط به محل سیستم عامل می شه که در بالا گزینه هاشو توضیح دادم این سویچ رو نباید برروی دامین کنترلر اجرا کرد(به صورت پیشفرض بلاک شده است) چون باعث اینجکت شدن بلاب دیتا هنگام اجرای لوکلی سیتم عامل میشه!

    کامنت

    در حال انجام ...
    X