Sistemet Active Directory 2010 Procesi i Dizenjimit

Data 16 Mars,

Procesi i Dizenjimit
Pasi mbledhim nje ekip dizenjimi, bejme nje analize te biznesit dhe te rrjetit, dhe implementojme nje mjedis testimi, ne jemi gati te fillojme planifikimin e infrastruktures. Procesi i dizenjimit te infrastruktures konsiston ne kater fazat e meposhtme: 1. 2. 3. 4. Krijimi i nje plani Forest Krijimi i nje plani Domain-i Krijimi i nje plani per OU-te Krijimi i nje plani per topologjine e Site-ve.

Pergjate cdo faze, duhet te konsultohemi me dokumentacionet qe kemi mbledhur nga analiza teknike dhe ajo e biznesit ne menyre qe te vleresojme saktesisht kerkesat e kompanise ku ne punojme. Faza 1 Krijimi i nje plani Forest Pasi analizojme kerkesat e kompanise ku ne punojme per rrjetin qe do te ndertojme, hapi i pare eshte krijimi i nje plani forest per te percaktuar numrin e forest-ve te Active Directory qe do te duhet te kemi. Duke qene se perdorimi i me shume se nje forest kerkon me shume administrim duke qene se duhet te mirembahen me shume se nje skeme, katalog global, truste si dhe kerkon qe perdoruesit te kalojne ne hapa komplekse per te perdorur me shume se nje direktori, ne duhet qe te mundohemi qe te perdorim vetem nje forest ne organizaten tone. Gjithsesi, ne duhet te konsiderojme krijimin e me shume se nje forest ne disa nga situatat e meposhtme: Administrimi i rrjetit eshte ndare ndermjet shume grupeve autonome te cilet duk kane lidhje besimi tek njeri-tjetri. Njesite e biznesit kane jane te ndare ne grupe autonome me politika te ndara. Njesite e biznesit duhet te mirembahen ne menyre te ndare. Eshte e nevojshme te behet izolimi i skemes, katalogut global, te konfigurimit. Eshte e nevojshme te limitohen lidhjet trust-relationship midis domaineve ose pemeve te domaineve.

Ne kete faze ne mund te krijojme dhe nje politike te ndryshimit te skemes se Active Directory, qe ne vetvete eshte nje plan qe do te percaktoje se kush do te kete kontroll ne skeme dhe se si do te administrohen modifikimet qe mund te ndikojne tek foresti. Nese ne duhet te modifikojme skemen per arsyet e mesiperme, ne duhet te dizenjojme nje plan modifikimi. Faqe 1 nga 12

Sistemet Active Directory 2010 Faza 2 Krijimi i nje plani per domain-e

Data 16 Mars,

Pasi te analizojme kerkesat e organizates tone, hapi i pare ne krijimin e nje plani per domain-et eshte percaktimi i domaineve qe nevojiten. Duke qene se shtimi i domaineve tek nje forest do te rrisi koston e hardware dhe te menaxhimit, ne duhet ta minimizojme numrin e domain-ve ne minimumin e mundshem. Pasi ne krijojme nje domain, ky i fundit nuk mund te levizet apo te riemerohet lehtesisht. Ne duhet te konsiderojme perdorimin e me shume se nje domaini ne disa nga rastet e meposhtme: Per te plotesuar kerkesat per konfigurimet e sigurise qe linkohen tek domain-et. Per te plotesuar kerkesa te ndryshme per administrim, sic jane kerkesat per privatesi. Per te optimizuar trafikun e replikimit. Per te hequr domainet e Windows NT. Per te krijuar nje hapsire te re emerimi. (psh nese root domain eshte uamd.al, mund te nevojitet te krijojme shlp.uamd.al.)

Hapi i dyte ne krijimin e nje plani per domain eshte percaktimi i Forest Root Domain. Ne mund te zgjedhim nje domain ekzistues per forest root domainin ose mund te krijojme nje te ri per te sherbyer si forest root domain i dedikuar. Perdorimi i nje forest root domain te dedikuar ofron lehtesi ne lidhje me administrimin dhe replikimin. Ne duhet ta percaktojme forest root domain-in tone me shume kujdes, pasi menjehere pasi ta emerojme ne nuk mund ta ndryshojme ate pa bere ndryshime net e gjithe pemen e Active Directory. Hapi i trete ne krijimin e nje plani per domain-et eshte percaktimi i hierarkise dhe percaktimi i emrave te domain-ve. Per te percaktuar hierarkine e domain-ve ne duhet te kryejme veprimet e meposhtme: Percaktimi i pemeve Dizenjimi i domaineve kryesore te quajtur root per cdo peme. Vendosja e nendomaineve ne hierarkine nen domain-et root.

Faqe 2 nga 12

Sistemet Active Directory 2010 Per te riemeruar domain-et ne duhet te kryejme veprimet e meposhtme:

Data 16 Mars,

Vendosja e nje emeri DNS per cdo Forest Root Domain (pra domaini root tek nje forest), per cdo forest ne organizate. Vendosja e nje emri DNS per cdo Tree Root Domain (domaini root tek nje peme ose tree). Vendosja e nje emri DNS per cdo nendomain qe ndodhet ne hierarki sipas pozicionit qe ka ne te.

Pasi planifikojme vendosjen e serverave DNS, ne gjithashtu planifikojme dhe zonat shtese qe do te na duhen. Rezultati final i nje dizenjimi te nje plani te tille do te jete nje diagrame e hierarkise se domain-ve qe do te perfshije emrat e domain si dhe zonat e planifikuara. Faza 3 Krijimi i nje plani OU Pasi analizohen kerkesat e kompanise, per te krijuar nje plan te OU, ne duhet te percaktojme nje strukture te njesive organizative. Arsyet per krijimin e nje OU-je jane: Per te deleguar administrimin Per te fshehur objektet Per te administruar Group Policy.

Arsyeja primare per krijimin e nje OU eshte per te deleguar administrimin. Delegim administrimi do te thote te delegosh pergjegjesine e administrimit te nje grupi objektesh, sic jane objektet qe ndodhen brenda nje OU, tek nje administrator ose nje grup administratoresh ose perdorusish. Pasi ne percaktojme nje strukture OU, ne duhet te vendosim llogarite e perdoruesve tek OU-te perkatese. Rezultati final i nje plani OU eshte nje diagrame e struktures se OU-ve per cdo domain dhe nje liste perdoruesish per cdo OU. Faza 4 Krijimi i nje topologjie per Sitet Pasi analizojme kerkesat e kompanise ku ne punojme, hapi i pare ne krijimin e nje plani per topologjine e Site-ve eshte percaktimi i Site-ve. Qellimi kryesor i nje site eshte grupimi fizik i kompjuterave per te optimizuar trafikun e rrjetit. Ne Active Directory, struktura e Site-ve duhet te pasqyroje vendndodhjen fizike te perdoruesve. Ne duhet te krijojme nje site ne secilin nga rastet e meposhtem: Per cdo LAN ose grup LAN-sh qe lidhen nga nje linje me shpejtesi te larte. Per cdo vendndodhje qe nuk ka nje lidhje direkte me pjesen tjeter te rrjetit dhe qe arrihet vetem duke perdorur emailet SMTP. Faqe 3 nga 12

Sistemet Active Directory 2010

Data 16 Mars,

Hapi i dyte per krijimin e nje plani per Sitet eshte vendosja e domain controller-ve. Duke qene se disponueshmeria e Active Directory varet ne disponueshmerine e Doman Controller-ve, nje domain controller duhet te jete gjithmone i disponueshem ne menyre qe perdoruesit te autentifikohen. Per te arritur nje kohe pergjigje optimale dhe disponueshmeri te aplikacioneve, ju duhet te vendosni te pakten: Nje domain controller ne cdo site Dy domain controller-a ne cdo domain

Per me teper, nevojitet te vendosni domain shtese ne site ne rast se: Ka nje numer te larte perdoruesish ne nje site dhe nese linku tek ai site eshte i ngadalte dhe eshte afer kapacitetit maksimal. Linku tek nje site eshte ne menyre historike i pasigurte.

Hapi i trete ne krijimin e nje plani per site-t eshte per te percaktuar nje strategji replikimi. Nje strategji replikimi efektive ofron fault tolerance dhe replikim eficent. Ne kete hap ne duhet te konfigurojme Site link-e, qe perfshijne dizenjimin e metodave te replikimit, koston e site link-ve, shpeshtesine e replikimeve, dhe disponueshmerine e replikimeve.

Faqe 4 nga 12

Sistemet Active Directory 2010

KRIJIMI I NJE STRATEGJIE EMERIMI

Data 16 Mars,

Krijimi i strategjise se emerimit Krijimi i nje strategjie emerimi kerkon qe ne te mendojme kerkesat per sa i perket emrave ne kendveshtrimin e Active Directory-se dhe te DNS. Klientet perdorin DNS per te perkthyer adresat IP te serverave duke ofruar sherbime te rendesishme rrjeti per Active Directory-ne, dhe kjo gje do te thote qe Active Directory dhe DNS jane te lidhura ne menyre te pashmangshme. Ne DNS emrat vendosen ne menyre hierarkike nga domaini prind, psh microsoft.com, tek domaini child, psh al.microsoft.com. Dhe domaini al.microsoft.com mund te kete nje child domain tjeter dr.al.microsoft.com. Cdo domain emerohet sipas menyres qe ai identifikohet ne DNS. Active Directory ndjek konvencionet e emerimit te DNS. Kur krijojme domainin e pare me Active Directory, ai behet domaini qendrore (root) per forestin dhe domaini qendrore per pemen e pare ne ate forest. Root domaini i pare inicion hapesiren e emerimit. Dhe cdo domain qe shtojme nen kete root domain, merr emrin nga domainit prind dhe gjithashtu vendoset ne hierarkine perkatese. Te gjithe emrat e domainit te Active Directory identifikohen nga emrat e DNS dhe nga nje emer tjeter qe quhet Network Basic Input/Output System (NetBIOS), qe eshte nje sistem emerimi qe eshte perdorur ne sistemet me te hershme te Windows dhe suportohet akoma ne Windows Server 2003. Ne ndryshim nga DNS, qe perdor nje menyre hierarkike te emerimit, NetBIOS perdor nje strukture emerimi te sheshte, ku cdo burim ne rrjet (domainet, kompjuterat, etj) ka nje emer te vetem qe perkthehet ne IP. Kur ne instalojme Windows-in dhe i veme nje emer kompjuterit, eshte pikerisht emri i NetBIOS qe ne po vendosim. Windows gjeneron ne menyre automatike nje emer NetBIOS per cdo sherbim qe ekzekutohet ne nje kompjuter duke ngjitur pas emrit te kompjuterit nje karakter shtese. Nje shembull i emrave NetBIOS dhe DNS per nje domain te njejte: Emri NetBIOS durres durres.microsoft.com

Fully Qualified Domain Name (FQDN)

Faqe 5 nga 12

Sistemet Active Directory 2010

Data 16 Mars,

Pergjithesisht, emir NetBIOS eshte i njejte me pjesen e pare te emrit tek emri i DNS. Gjithsesi, emri NetBIOS mund te jete vetem 16 karaktere i gjate, dhe karakteri i fundit specifikon sherbimin NetBIOS. Cdo emer, ne konvencionet e emerimit te DNS mund te kete mbi 64 karaktere, qe do te thote qe emrat DNS qe jane me te gjate se 15 karaktere nuk mund te perdoren si emra NetBIOS pa u copetuar. Gjate instalimit, ne mund te kryejme konfigurimet ne menyre te tille qe cdo emer te plotesoje kerkesat tona. Kjo do te thote qe ne mund te specifikojme nje emer NetBIOS dhe nje emer DNS qe te jene te ndryshem ne nje domain te vetem. Gjithsesi duhet te kemi parasysh qe nje dizenjim i mire duhet ta anashkaloje kete opsion, sepse te kesh me shume se nje emer per nje njesi do te krijonte shume konfuzion. Nese ne do te krijojme nje strukture te re te Active Directory, ne duhet ti krijojme emrat DNS qe te pershtaten me konvencionet e emrave NetBIOS. Per shembull duke limituar emrat DNS ne 15 karaktere.

Faqe 6 nga 12

Sistemet Active Directory 2010

ADMINISTRIMI I ACTIVE DIRECTORY

Data 16 Mars,

Dy mjetet kryesire qe perdoren per administrimin e Active Directory jane: Konsolet e administrimit te Active Directory Mjetet specifike te Active Directory qe ndodhen ne Windows Support Tools

Konsolet e administrimit te Active Directory Konsolet e administrimit te Active Directory instalohen autamatikisht ne kompjutera te cilet konfigurohen si domain controllera me system Windows Server 2003 dhe ne momentin e instalimit te Active Directory. Konsolet e administrimit mund te instalohen edhe ne kompjutera te tjere qe kane windows server 2003 dhe nuk kane Active Direktory, thjesht duke perdorur paketat qe permbajne keto mjete administrimi. Ne kete menyre behet e mundur administrimi i Active Directory nga nje kompjuter qe nuk eshte domain controller. Disa nga konsolet e administrimit qe ndodhen ne keto paketa qe ndodhen tek te gjithe domain controllerat Windows Server 2003 jane: Konsolja Active Directory Domains dhe Trusts Konsolja Active Directory Sites dhe Services Konsolja Active Directory Users dhe Computers

Skema e Active Directory gjithashtu ndodhet ne kompjuterat e konfiguruar si domain controller, por duhet te instalohet manualisht. Konsolja Active Directory Domains dhe Trusts Konsolja Active Directory Domains dhe Trusts ofron nje nderfaqe per menaxhimin e domaineve dhe lidhjeve trust midis domaineve dhe forest-ve. Duke perdorur keto konsole mund te kryejme disa nga funksionet e meposhtme: Ofron bashkeveprim me domaine te tjere (si domain para windows 2000 ose domaine ne foreste te tjera) duke menaxhuar ne menyre eksplicite trustet e domaineve. Ndryshohet niveli funksional i domainit (qe njihet ndryshe si domain mode) i nje domaini Windows Server 2003 nga Windows 2000. Ndryshohet niveli funksional i Windows 2000 ne Windows Server 2003.

Faqe 7 nga 12

Sistemet Active Directory 2010 Nivelet funksionale te domain-ve

Data 16 Mars,

Niveli funksional i nje domain-i ofron nje menyre per te aktivizuar disa tipare te Active Directory ne rrjetin tone. Ka gjithsej 4 nivele funksionale te domaineve: Windows 2000 mixed(default), Windows 2000 native, Windows Server 2003 interim, dhe Windows Server 2003. Windows 2000 mixed Kur instalojme ose i bejme upgrade nje domain controller-i per here te pare me Windows Server 2003, domain controller-i punon me funksionet e Windows 2000 mixed. Ky nivel funksional lejon qe domain controller-at Windows Server 2003 te nderveprojne me domain controller-a qe cilet operojne me Microsoft Windows NT, Windows 2000, ose Windows Server 2003. Windows 2000 native Niveli funksional i Windows 2000 native lejon nje domain controller qe operon me sistemin Windows Server 2003 te nderveproje me domain controller-a te cilet operojne me sistemin Windows 2000 ose Windows Server 2003. Ne mund ta rrisimi nivelin funksional te nje domainin ne Windows 2000 native ne rast se domain controller-t ne domain operojne me Windows 2000 server ose versione te mevonshme. Windows Server 2003 interim Niveli funksional i Windows Server 2003 lejon nje domain controller qe operon me Windows Server 2003 te nderveproje me domain controller-t ne domain te cilet operojne me Windows NT 4 ose Windows Server 2003. Niveli funksional i Windows Server 2003 interim eshte opsion vetem kur bejme upgrade domainin e pare Windows NT ne nje forest te rid he mund te konfigurohet manualisht pas upgrade. Ky nivel funksional nuk suporton domain controller-a qe operojne me Windows 2000. Windows server 2003 Niveli funksional Windows Server 2003 lejon qe nje domain controller qe operon me sistemin Windows Server 2003 te nderveproje vetem me domain controller-t ne domain te cilet operojne me Windows Server 2003. Ne mund ta lartesojme nivelin funksional te nje domaini ne Windows Server 2003 vetem nese te gjithe domain controller-t ne domain operojne me Windows Server 2003

Faqe 8 nga 12

Sistemet Active Directory 2010

Data 16 Mars,

Faqe 9 nga 12

Sistemet Active Directory 2010 Niveli funksional i Forest

Data 16 Mars,

Niveli funksional i forest ofron nje menyre per te aktivizuar tiparet e Active Directory ne nje forest brenda rrjetit qe administrojme. Ka gjithsej 4 nivele funksionale te Forest qe jane: Windows 2000 (default), Windows Server 2003 interim, Windows Server 2003. Windows 2000 Kur instalojme ose bejme upgrade te nje domain controlleri qe operon me Windows Server 2003 per here te pare, forest-i operon me nivel funksional Windows 2000. Niveli funksional Windows 2000 lejon nje domain controller Windows 2003 te nderveproje me domain controller-t ne forest qe operojne me Windows NT 4, Windows 2000, ose Windows Server 2003. Windows Server 2003 interim Niveli funksional Windows server 2003 interim lejon nje domain controller qe operon me Windows Server 2003 te nderveproje me domain controller-t ne domain te cilet operojne me Windows NT 4 ose Windows Server 2003. Niveli funksional Windows Server 2003 interim eshte nje opsion vetem ne rastin kur bejme upgrade domainit te pare Windows NT tek nje forest te ri dhe mund te konfigurohet manualisht. Ky nivel funksional nuk suporton domain controller qe operojne me Windows 2000. Windows Server 2003 Niveli funksional Windows Server 2003 lejon qe nje domain controller qe operon me Windows Server 2003 te nderveproje vetem me domain controller-t ne domain te cilet operojne me Windows Server 2003. Ne mund ta lartesojme nivelin funksional te nje foresti ne Windows Server 2003 vetem ne rast se te gjithe domain controllerat ne forest operojne me Windows Server 2003 dhe te gjithe nivelet funksionale ne forest jane ne nivelin Windows Server 2003.

Pasi niveli funksional i nje foresti lartesohet ne nje nivel si ne rastin Windows Server 2003, domain conroller-t qe operojne me sisteme operimi me te hershem nuk mund te paraqiten ne forest.

Faqe 10 nga 12

Sistemet Active Directory 2010

Data 16 Mars,

Konsolja Active Directory Sites dhe Services Me ane te kesaj konsoleje ne ofrojme informacion rreth structures fizike te rrjetit tone duke publikuar sitet tek Active Directory duke perdorur kete konsole. Active Directory e perdor kete informacion per te percaktuar se sit e replikoje informacionin e direktorive dhe se si te perballoje kerkesat per sherbime te ndryshme Konsolja Active Directory Users dhe Computers Kjo konsole na lejon te shtojme, modifikojme, fshijme, dhe te organizojme llogarite e perdoruesve, llogarite e kompjuterave, sigurine dhe grupet, si dhe te publikojme burime ne direktorite e rrjetit. Mjetet specifike te Active Directory qe ndodhen ne Windows Support Tools

Faqe 11 nga 12

Sistemet Active Directory 2010

Data 16 Mars,

Faqe 12 nga 12