Windows Server 2012

Өмнө нь хэлж байсанчлан бид Windows Server 2012 ыг туршиж үзэх процессийг эхлүүлж байна. Үүний тулд та Windows Server 2012 үйлдлийн системийг суулгасан байх шаардлагатай юм. Windows Server 2012 -ыг суулгах нь зарим нэгийнх нь хувьд энгийн амархан зүйл байж болох хэдий ч хэрэв хэрхэн суулгахаа мэдэхгүй хүн байгаа бол дараах бичлэгээс үзэж сонирхоно уу. Өөрийн суулгаж буй процессоо бичлэг хийж тавих нь цаг үрсэн ажил мэт санагдсан учраас шууд бэлэн бичлэг орууллаа. 

Анхаарах зүйлс:

• GUI interface сонгох
• Сервер 2012 үйлдлийн системийн интерфэйс нь Windows 8 үйлдлийн системтэй ерөнхий дүр зургийн хувьд төстэй хэдий ч зарим нэгэн /Start Menu/  зэрэг зүйлсээрээ ялгаатай юм. 

ADDS - Active Directory Directory Services

Постын энэхүү хэсэгт Windows Server 2012 -ийн ADDS (AD in WinServer 2008 and 2003)-ийн талаар авч үзнэ. 

Энд бид ADDS гэж юу болох, үүгээр юу хийдэг, ямар бүтэцтэй вэ гэх мэтчилэн үндсэн ойлголтуудыг авах юм. 

Эдгээр ойлголтуудыг системийн админы талаас нь тайлбарлах тул та систем зохион байгуулж удирдаж байгаа хүн мэтээр өөрийгөө төсөөлвөл ойлгоход хялбар байх болно. 

Өнөөдрийн постоор хэлэлцэгдэх нэр томьёонууд: 

• Domain
• Tree 
• Forest
• Trust гэсэн үгсийг хэрэглэх бөгөөд энэхүү постыг уншсаны дараа танд эдгээр үгс ойлгомжтой болно гэсэн үг. 

ADDS буюу Active Directory нь Windows Server-ийн хамгийн чухал хэсэг нь бөгөөд чухам энэ л зүйл Windows Server-ийг бизнест үнэ цэнэтэй, чухал хэрэгцээтэй зүйл болгож байгаа юм. Тиймээс ADDS-ийг ойлгох нь Windows Server -ийг судлах хамгийн чухал суурь ойлголт болно. 

ADDS нь Windows орчны хэрэглэгчдэд систем дэх компьютерийг хэрэглэх эрх олгох /permissions/ мөн аюулгүй байдлыг нь хангах зориулалт бүхий серверийн сервис юм. Яагаад Unix, Linux биш заавал Windows-ыг ашиглах ёстой гэж асууж магадгүй юм. Хэрэв бид корпорацийн түвшинд ажилладаг хэдэн арван мянган ажилчинтай компанид ажиллаж байгаа бол Windows -ийн серверийг ашигласнаар цаг хугацааг маш хэмнэж, хялбархан байдлаар систем дэх хэрэглэгчдийг удирдан зохион байгуулж тэдэнд системийг хэрэглэх зохих эрхийг нь олгох боломжтой болдог. Жишээлбэл та корпораци, эсвэл группийн түвшинд үйл ажиллагаа явуулдаг газар ажилладаг гэж үзье. Энэ тохиолдолд та өөрийн гэсэн нэр болон нууц үг (username, password)-ийг ашиглан системд нэвтэрснээр танд тухайн системийн өөр зөвшөөрөгдсөн бүхэн рүү саадгүй хандаж ажиллах боломжтой болно. Мөн эсрэгээрээ танд зөвшөөрөгдөөгүй хэсэг рүү та хандах боломжгүй байх юм. Өөрөөр хэлбэл танд олгогдож буй сүлжээнд байгаа принтер ашиглах эрх, shared files - руу хандах эрх VPN ашиглан сүлжээн дээгүүр холболт хийх эрх гэх мэт олон зүйлсийг тухайн хэрэглэгчийн хаяг эсвэл тухайн компьютерийн (user account or computer account) хаягийг ашиглан олгох эсвэл хаах (block) хийдэг юм. Энгийнээр хэлбэл ADDS нь системийн админуудад ганц газраас /console/ дээрээс системд байгаа компьютер бүрт хэрэглэх эрх /permission/-ийг олгох боломжоор хангадаг юм. Хэрэв та мянга эсвэл хэдэн мянгаар хэмжигдэх компьютерүүдтэй ажиллалаг бол энэхүү Server Service - ийн ямар хүчирхэг болохыг нь мэдэрнэ гэдэгт итгэлтэй байна. 

ADDS -ийг ашиглан юуг хийж болох талаар жишээнүүдийг дурдья. Ингэснээр танд үүнийг ашиглан юу хийж болох талаар ойлголт буух байх. 

• Хэрэглэгчдэд файл болон фолдерт хандах эрх өгөх /permissions to files and folders/
• Хэрэглэгчид принтер лүү хандах эрх /permissions to printers/
• Хэрэглэгчид VPN холболт руу холбогдох эрх 

Мөн түүнчлэн компьютеруудын Security Policies - гэдэг зүйлийг ашиглан дараах зүйлсийг тохируулах боломжтой. 

• Компьютерийн дэлгэцийн зургийг солих боломжтой эсэхийг тохиуулах 
• CD Drive - луугаа хандах боломжтой эсэх 
• Компьютерийнхээ Control Panel руу хандах боломжтой эсэх

Өөрөөр хэлбэл Security Policies гэдэг зүйлийг ашиглан хэрэглэгчид юуг хэрэглэгчийн хэрэглэх боломжгүй зүйлсийг нь түгжих, хаах боломжтой. Эдгээр зүйлсийг хэрэглэж болох хамгийн энгийн жишээ нь хэрэв танай байгууллагад нэгээс олон хүн дундаа хэрэглэдэг эсвэл олон нийтийн дунд каталогоос юм хайх гэх мэт зүйлд ашигладаг компьютер байвал түүнийг үндсэн хийх үйлдлээс бусдыг нь хааж өгснөөр үүсэх магадлалтай эрсдэл буурах юм. 

Дээр дурдсан зүйлсийг Group Policy Objects - гэгдэх зүйлийн Security Policies- ийг ашиглан хийдэг. 

Domain Controller - DC

ADDS -ийг удирддаг сервер компьютерийг Domain controller - DC гэдэг. DC (ADDS ажиллаж байгаа сервер програм бүхий компьютер) дээр хэрэглэгчийн хаяг, компьютерийн хаяг нууц үг, ID (User account, Computer account, Password, ID) гэх мэт мэдээллүүдийг агуулдаг. Өөрөөр хэлбэл системд шинээр хэрэглэгч үүсгэх үед DC дээр байх мэдээллийн санд (database) хэрэглэгчийн нэр, компьютерийн ID гэх мэт мэдээллүүдийг нэмж схем (schema) - үүсгэдэг. Schema гэдэг нь user account, computer account гэх мэт AD дээр байх мэдээллүүд юм. Жишээлбэл User account Schema нь хэрэглэгчийн нэр, нууц үг, и-мэйл хаяг (username, password, e-mail address) гэх мэт олон мэдээллүүдийг агуулдаг гэсэн үг. 

ADDS -ийг хүчирхэг болгож байгаа зүйл нь дээр дурдсан schema нь өргөтгөгдөх боломжтой юм. Энэ нь юу гэсэн үг вэ гэхээр хэрэв сервер дээр нэмэлт програм суух үед тухайн програмтай холбоотой мэдээлэл schema дээр нэмэгдэн орж болдог гэсэн үг. Жишээлбэл Microsoft exchange -ийг суусан бол түүнтэй холбоотой мэйлийн талаарх мэдээлэл тухайн schema руу нэмэгддэг гэсэн үг. 

Groups

ADDS-ийг ашиглахын бас нэгэн давуу тал нь үүний аюулгүй байдал юм. Security-гээр системд байгаа компьютер ямар ямар file, folder луу хандах эрхтэй эсэх, VPN рүү холбогдох боломжтой эсэх мөн ямар ямар web хуудас руу хандах боломжтой эсэх гэх мэт тохиргоог хийж болдог. Үүний тулд хэрэглэгчид эсвэл компьютеруудыг групп-д хийж бүлэглэдэг. Ингэснээр тухайн группууддээ сүлжээний өөр өөр нөөцүүдэд хандах эрхийг зааж өгдөг. 

Жишээ: Танайд санхүүгийн албаныхан ажилладаг тусгай файл байдаг гэж үзье. Энэ файлд бусад газар хэлтэс хандах эрх байхгүй. Энэ тохиолдолд ADDS дээр санхүү гэсэн групп-ийг үүсгэж түүндээ санхүүгийн бүх ажилтанг оруулах бөгөөд ингээд энэхүү групп дээрээ тухайн файлд хандах эрхийг нь нээж өгнө гэсэн үг. Ингээд хэрэв тухайн газарт шинээр ажилтан ирвэт тухайн хүнийг санхүүгийн албаны группд оруулна. Эсрэгээрээ санхүүгийн албанаас хүн халагдвал тухайн хүнийг санхүүгийн групп-ээс хасахад л бүх зүйл болно гэсэн үг. 

Group-ийг аюулгүй байдлын (Security by using GPO - Group Policy Object) тохиргооны зориулалтаар хэрэглэдэг. 

Organizational Unit - OU

OU нь групптэй төстэй гэхдээ энэ нь удирдлагын зориулалтаар хэрэглэгддэг. 

Дээрх зураг дээр 3 OU байна. Эдгээр OU нь юунд хэрэгтэй вэ гэхээр OU бүр дээр тухайн OU-д байгаа хэрэглэгчдийг удирдах эрх бүхий 1 хэрэглэгчийг үүсгэн админ эрх олгодог. Энэхүү админ эрх бүхий хэрэглэгч нь тухайн OU дотроо өөрийн админ эрхийг хэрэгжүүлнэ. Өөрөөр хэлбэл шинээр програм суулгах, устгах эсвэл дэлгэцийн зураг солих гэх мэт үйлдлийг тухайн OU-гийн админы тусламжтайгаар хийчих боломжтой болдог гэсэн үг. 

Domain

Дээрх зурганд үзүүлсний дагуу домайн гэдэг нь компьютерийн сүлжээ бөгөөд энд нэг эсвэл олон (clustered) ADDS-ийг ажиллуулж байгаа серверүүд байх бөгөөд эдгээр серверүүд нь тухайн домайны user account, computer account гэх мэт мэдээллүүдийг агуулж байдаг бөгөөд сүлжээнд байгаа төхөөрөмжүүдийг бүртгэх удирдах үйлдлийг хийдэг. ADDS-ийг ажиллуулж буй серверүүдийг Domain controller (DC) гэж нэрлэдэг. 

Subdomain 

Subdomain нь өөрийн гэсэн DC-тэй тусдаа домэйн юм. 

subdomain үүсгэснээр үндсэн (google.com)-ийн хэрэглэж буй схем (schema)-г subdomain-ууд нь хэрэглэдэг. Мөн түүнчлэн ингэснээр үндсэн домайн болон subdomain-уулын хооронд 2 чиглэлт implicit, transitive trust гэдэг зүйл үүсгэгддэг. transitive гэдэг нь хэрэв нэг subdomain нь үндсэн домайндаа trust үүсгэсэн бол тухайн үндсэн домайнд байгаа бусад subdomain-д мөн trust хийж байгаа гэсэн үг. Дээрх зураг дээр тайлбарлавал euroupe.google.com нь google.com руу trust үүсгэж байгаа учраас asia.google.com -тай автоматаар trust үүсч байна гэсэн үг. 

Эсрэгээрээ хэрэв asia.google.com нь google.com-ын subdomain болсон бол google.com домайнтай trust үүсээд зогсохгүй түүний subdomain болох europe.google.com-той давхар trust үүсгэнэ гэсэн үг. Өөрөөр хэлбэл transitive гэдэг нь үндсэн домайны үүсгэсэн бүхий л subdomain-ууд бусад subdomain-даа trust үүсгэдэг гэж ойлгож болно. 

Trust гэдэг нь тухайн domain болон subdomain - ны альных нь хэрэглэгч гэдгээс нь үл хамааран тухайн системийн аль нэг домайн дээр үүссэн хэрэглэгчийг шууд бусад домайн эсвэл subdomain-ны files, folders, resource руу хандах эрхийг нь trust - ыг ашиглан шууд нэмж өгөх боломж юм. Жишээлбэл google.com - дээр үүссэн хэрэглэгч europe.google.com - руу томилолтоор ажиллах хэрэгтэй болвол google.com-оос өгсөн trust-ын дагуу тухайн хэрэглэгчийн хуучин user account дээр нь europe.google.com-ын системийн нөөцийг ашиглах эрхийг олгодог. Цаашлаад тухайн домайны групп, OU зэрэгт нэмж оруулах боломжтой байдаг. Өөрөөр хэлбэл subdomain or main domain- аль нь ч хамаагүй та тухайн газар очиж ажиллахдаа өөрийн ашигладаг нэр нууц үгээ ашиглан системд нэвтэрч хэрэглэдэг системийн нөөцдөө хандах боломжоор хангаж байгаа юм. 

Tree and Forest

Өмнөх хэсэгт тайлбарлагдсан domain болон subdomain-уудыг нийтэд нь мод буюу tree гэж нэрлэдэг. Энэхүү мод гэсэн ойлголтоос дараагийн томоохон корпорациудад хэрэгтэй forest гэсэн ойлголт үүсдэг. Энэхүү ойлголтыг дээрх зураг дээр үндэслэн тайлбарлая. 

google компани нь motorola компанийг худалдан авсан бөгөөд өөрийн төв оффис дээрээс google.com/bold гэсэн хэрэглэгчийг motorola компани руу илгээж тэнд ажиллуулах хэрэгтэй болсон гэж үзье. Энэ тохиолдолд motorola -гаас нэг чиглэлт explicit trust гэдэг зүйлийг хэрэглэдэг. Энэ нь тухайн bold -гэсэн хэрэглэгч өөрийн google.com домайнд хэрэглэж байсан хаягаараа motorola.com домайн дахь folders, files гэх мэт зүйлс рүү хандах эрхтэй болдог. Үүнийг motorola компани нь trust хийсэн учраас тухайн google.com/bold гэсэн хэрэглэгчид motorola -гийн системийн нөөцөд хандах эрхийг олгодог. Хэрэв motorola компаниас мэргэжилтэнгүүд google.com домайнд ажиллах хэрэгтэй болвол google.com домайны tree нь motorola.com руу мөн ижил one way explicit trust үүсгэж болно. Энэ нь маш хялбархнаар компьютер болон хэрэглэгчдэд системийн нөөцийг хэрэглэх эрх олгох мөн аюулгүй байдлыг (security) хангах гэх мэт олон давуу талуудыг олгодог. 

Active Directory Infrastructure

AD - буюу Active Directory нь Windows орчинд байгаа компьютерууд хэрэглэгчдийн user account, computer account, permissions, security зэргийг маш олон хэрэглэгчдэд харьцангуй хялбараар тохируулах боломжийг олгодог серверийн сервис юм.

What is Domain? 

Домайн гэж тухайн DC (Domain Controller)-д холбогдсон сервер компьютерууд, мөн тэдгээр серверүүдээс сервис авч буй домайнд бүртгэлтэй клиент компьютеруудын нийтэд нь хэлдэг. Дараах зурагт логик Домайныг харууллаа.

Энэхүү домайнд олон DC байгаа нь харагдаж байна. Олон DC тэй байх нь юунд хэрэгтэй вэ гэхээр эдгээр Redundancy, Fault tolerance, Load balance - гэдэг ойлголтуудыг хэрэгжүүлэх боломжтой болдог.  Өөрөөр хэлбэл эдгээр Domain Controller-үүд нь нэг кластер болж ажиллаж байгаа юм. Ингэснээр аль нэг сервер нь унах, аль нэг серверт алдаа үүсэх, мөн ачаалал нь ихсэх үед тэдгээрийг бусад серверүүд рүүгээ шилжүүлэн системийн хэвийн ажиллагааг хангаж ажилладаг. 

Replication strategy: Энэ нь кластер болж ажиллаж буй серверүүд хэрхэн хоорондоо өгөгдлөө солилцох стратеги юм. Ингэснээр хэрэглэгч аль сервер лүү хандахаас үл хамааран тасалдалгүй үйлчилгээг үзүүлэх юм. Жишээлбэл эхний хэрэглэгч кластерийн эхний серверт хандаж нууц үгээ өөрчлөөд дараа нь холбогдохдоо fault tolerance, redundancy, load balance зэргээс хамааран 2 дахь сервер лүү холбогдсон хэдий ч 2 дахь сервер нь хэрэглэгчийн шинээр өөрчилсөн нууц үгийг мэдэж байна гэсэн үг. 

Тиймээс кластер үүсгэж байгаа бол бүх серверүүд нь replication хийх боломжтой байх ёстой гэсэн үг. 

Site: Маш хурдан хоорондоо өгөгдлөө солилцох боломжтой (able to replicate) олон DC-г нийлүүлээд site гэж нэрлэдэг. Жишээлбэл танай байгууллагын HeadQuarter дээр 20 ширхэг DC байдаг бөгөөд эдгээр нь gbps-ийн хурдаар replicate хийх чадвартай бол үүнийг нэг site гэж нэрлэнэ. 

Хэрэв таны хэрэглэж буй домайн нь газарзүйн хувьд өөр өөр байрлалд олон хэрэглэгчтэй бол эдгээр хэрэглэгчид интернэт сүлжээн дээгүүр дамжин домайнд холбогдож түүнээс мэдээлэл авах хэрэгтэй болно. Хэрэглэгчийн тоо олон байвал эдгээр дата нь сүлжээнд ачаалал ихээр үзүүлэх учраас бид газарзүйн алслагдсан байрлалд site үүсгэдэг. Энэ нь тухайн газар тусдаа DC эсвэл Cluster of DCs-ийг үүсгэх бөгөөд энэхүү site-аа бусад site-тайгаа ижил өгөгдөлтэй байлгахын тулд replication strategy-г хэрэглэдэг. Ингэснээр өөр өөр site-д байгаа DC-гүүд нь хоорондоо хугацааны давтамжтайгаар (цагт нэг удаа, өдөрт нэг удаа гэх мэт) өгөгдлөө солилцон ажилладаг.

2 site-ийг холбож байгаа холболтыг sitelink гэнэ. (Replication хийгдэх үндсэн холболт)

Үндсэн замаас гадна бусад site-ууд хоорондоо холболттой байж болох ба энэ холболтыг BridgeHead гэдэг энэ нь үндсэн холболт тасарсан эсвэл алдаа үүссэн үед хэрэглэн replication хийх нөөц холболт гэсэн үг юм. Дараах зурагт site болон холболтуудыг дүрсэллээ.  

Мөн түүнчлэн газарзүйн тусгаарлагдсан байрлалд байгаа site бүр дээр global catalog үүсгэх нь зүйтэй. Global Catalog нь хайлтын системийн index юм. Энэ нь хэрэглэгчдийн мэдээллийн хайлтыг хурдан шуурхай болгодог. 

Түүнээс гадна Windows Server -ийг хэрэглэж байгаа тохиолдолд Windows DNS server, Windows DHCP server-үүдийг хэрэглэх нь зохистой байдаг. Хэдийгээр та router гэх мэт сүлжээний төхөөрөмжүүдээсээ DNS болон DHCP-г сервисийг хэрэглэж болох ч гэлээ Windows Server-ийн DNS, DHCP-г ашиглах нь танд дараах давуу талуудыг өгнө. 

Аюулгүй байдал талаасаа та серверийнхээ аюулгүй байдлыг л хангахад анхаарах нь цаг хугацаа болон зардал хэмнэдэг. Мөн эдгээр DNS, DHCP нь windows орчинд сайн зохицон ажилладаг. Түүнээс гадна хэрэв нэг сервер нь унасан тохиолдолд бусад серверүүд нь redundancy байдлаар ажиллах боломжтой байдаг учир танд ганцхан DNS, DHCP биш redundancy, fault tolerance, load balance бүхий DNS, DHCP байна гэж ойлгож болно. 

Эх сурвалж: 

https://en.wikipedia.org/wiki/Windows_domain

https://www.youtube.com/watch?v=lFwek_OuYZ8&index=5&list=PLuKPzrLdzovHvHQXt92XSOrdluTaEdT3M
https://www.youtube.com/watch?v=hxgz7MR7MGQ&list=PLuKPzrLdzovHvHQXt92XSOrdluTaEdT3M&index=6