در بسیاری از سناریو ها لازم است امنیت دامین کنترلر ها به بالاتر این شکل ممکن تامین گردد و ریسک نفوذ مینیم شود در این شرایط ممکن است استفاده از نسخه Server Core Installation ویندوز سرور 2008 می تواند مفید واقع شود. Core Installation نصبی از ویندوز با اولیه ترین امکانات است که حتی شامل Windows Explorer GUI هم نیست. بنابراین لازم است مدیر شبکه های بر پایه ویندوز سرور 2008 آشنایی مناسبی با خط فرمان داشته باشد. در این بخش به نحوه نصب AD DS روی Core Installation پرداخته می شود. از این پس Windows Server Core Installation را به اختصار Server Core می گوییم. در Server Core همانطور که گفته شد تمام Role ها و Feature ها در دسترس نیست اما می تواند امنیت را بهبود ببخشد. هر چند در Server Core دسترسی به GUI وجود ندارد و باید از Command line جهت مدیریت استفاده کرد اما امکان مدیریت به صورت Remote موجود است و می توان با استفاده از MMC به مدیریت Romote سرور پرداخت. همانطور که گفته شد در Server Core از تمام Role ها پشتیبانی به عمل نمی آید و فقط از 9 Role مهم زیر پشتیبانی می شود:

• AD DS
• AD LDS
• DHCP Server
• DNS Server
• File Services
• Print Server
• Streaming Media Services
• IIS – با توجه به آنکه از net Framework. پشتیبانی نمی شود، از ASP.net پشتیبانی نمی شود
• Hyper-V

همچنین Server Core تنها از 11 Feature زیر پشتیبانی می کند:

• MS Failover Cluster
• Network Load Balancing
• Subsystem For Unix base App
• Windows Backup
• Multiple IO
• Removable Storage Managment
• Windows BitLocker
• SNMP
• WINS
• Telnet Client
• QoS

با توجه به آنکه در Server Core از تمام ویژگی ها پشتیبانی نمی شود، Server Core نیاز های سخت افزای کمتری دارد. به عنوان مثال با 256MB RAM می توان Server Core را اجرا کرد. یکی از استفاده های مناسب از Server Core می تواند در محیط آموزشی باشد که نیاز های سخت افزاری موجود در دسترس نیست و با استفاده از hyper-V به مجازی سازی چند سرور روی یک کامپیوتر واقعی پرداخت.

افزودن رول AD DS :

از آنجایی که هیچ Wizard برای راه اندازی سرویس وجود ندارد باید از دستور DCPromo.exe با استفاده از سوییچ های مناسب استفاده کرد. از سوییچ ?/ می توان برای کمک گرفتن در مورد سوییچ های دیگر استفاده کرد. یک راه حل مناسب دیگر نصب به صورت Unattended است. همان طور که گفته شد، در ویزارد نصب امکان Export Settings وجود دارد. می توان روی یک کامپیوتر ویندوز سرور 2008 را نصب کرده و سپس ویزارد نصب AD DS را انجام داده و یک Answer File ساخت. همچنین می توان به صورت دستی Answer File را آماده کرد که به جهت وقت گیر بودن توصیه نمی شود. در اینجا ابتدا با استفاده از روش اول به تنظیم یک Server Core به صورت کامل می پردازیم و سپس از روش نصب با استفاده از یک Answer File اقدام به نصب می کنیم.

گام اول : نصب ویندوز

اولین گام نصب Windows Server 2008 Server Core Installation است که نحوه نصب در اینجا مشروح نمی گردد.

گام دوم: تنظیمات اولیه

1. تنظیم IP Address :

پیش از نصب AD DS  لازم است سرور یک IP به صورت Static داشته باشد با استفاده از دستور Netsh interface ipv4 می توان یک IP Address ورژن 4 به سرور اختصاص داد. به عنوان مثال:

netsh interface ipv4 set address name="local area connection"

source=static address=10.0.0.12 mask=255.255.255.0

gateway=10.0.0.1

netsh interface ipv4 set dns name="local area connection"

source=static address=10.0.0.5 primary

2. فعال سازی ویندوز:

cscript c:\windows\system32\slmg.vbs -ato

3. فعال سازی Remote Desktop :

Cscript %windir%\system32\SCRegEdit.wsf /ar 0

4. عضو دامین شدن:

NETDOM /Domain:MYDOMAIN /user:adminuser /password:apassword MEMBER MYCOMPUTER /JOINDOMAIN

5. راه اندازی مجدد:

shutdown -r -t 0

گام سوم: نصب AD DS

در این مرحله نصب سرویس AD DS را آغاز می کنیم. پیش نیاز نصب AD DS ممکن است راه اندازی DNS Server باشد. از این رو ابتدا با نحوه نصب DNS Server آشنا می شویم، هرچند که جزئیات در اینجا پوشش نمی یابند.

در خط فرمان وارد کنید: OCSetup … سورپرایز!!! یه کم گرافیک در اینجا فقط می تواند سبب رفع خستگی شود اما به هیچ عنوان کمکی نمی کند! OK را وارد بزنید تا پنچره بسته شود.

در خط فرمان وارد کنید:

ocsetup DNS-Server-Core-Role

* توجه داشته باشید که فرمان فوق Case Sensitive است. (بزرگی و کوچکی حروف رعایت شود.)

برای کنترل آنکه آیا DNS Server به طور صحیح نصب شده است وارد کنید:

oclist

در ادامه به راه اندازی اولین دامین کنترلر می پردازیم و دستور زیر را در خط فرمان وارد کنید:

dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName: Contoso.com
     /ConfirmGC:Yes /UserName:Contoso\Administrator /Password:*****
     /safeModeAdminPassword: P@ssword!

چنانچه کلمه عبور پرسیده شد، در اینجا باید کلمه عبور Administrator در Contosoرا وارد کنید. مراحل نصب در اینجا پایان می پذیرد.

ساخت یک Answer File :

ساختن یک Answer File به اندازه ای که برخی می گویند دشوار نیست و حتی می تواند بدون نوشتن مستقیم صورت پذیرد. نصب با استفاده از یک Answer File، که معمولا بین مدیران شبکه نصب Unattend گفته می شود، نیاز حضور یک مدیر را برای نصب Active Directory و استفاده از ویزارد DCPromo را حذف می کند. همچنین این روش می تواند در Core Server با توجه به نبود GUI می تواند کمکی بزرگ در به خاطر سپاری دستورات کمتر و افزایش سرعت نسبت به وارد کردن دستورات باشد . برای ساختن یک Answer File دو روش وجود دارد. روش اول ساختن آن فایل به صورت دستی و یا یک کپی پیست کردن ساده در یک فایل متنی است که در اینجا به تفصیل بررسی شده است. روش دیگر گذرندان ویزارد DCPromo است و در زمان اتمام ذخیره تنظیمات در یک فایل و کنسل کردن عملیات. نحوه ساخت Answer File به صورت دستی را با ذکر چند مثال ساده در فرا می گیریم.

به روش دستی:

تذکر در خواندن ادامه مطلب: در ادامه مطلب ممکن است از لغاتی استفاده گردد که با معانی و تعاریف آن ها تا کنون آشنا نشده ایم. این موارد در آینده مورد بررسی قرار خواهند گرفت و با باز یادگیری ساخت Answer File می توانید به آن مسلط شوید.

1. قسمت های در بخش “[DCINSTALL]” مربوط به نصب و یا حذف قرار می گیرد. اینجا تنها در خصوص نصب چند نمونه ذکر می شود. برای اطلاعات بیشتر می توانید به مقاله شماره ی KB 947034 در مایکروسافت مراجعه کنید.

[DCINSTALL]

InstallDNS=yes

NewDomain=forest

NewDomainDNSName=erfan.local

DomainNetBiosName=erfan

SiteName=Default-First-Site-Name

ReplicaOrNewDomain=domain

ForestLevel=3

DomainLevel=3

DatabasePath="%systemroot%\NTDS"

LogPath="%systemroot%\NTDS"

RebootOnCompletion=yes

SYSVOLPath="%systemroot%\SYSVOL"

SafeModeAdminPassword=P@ssw0rd1

2.DomainLevel : این قسمت domain functional level را مشخص می کند. و زمانی که دامین جدیدی در جنگل موجود ساخته می شود بر اساس مقادیر زیر تعیین می شود:
0 برای Windows 2000 Server native mode
2 برای Windows Server 2003
3 برای Windows Server 2008

3. ForestLevel : این قسمت forest functional level را مشخص می کند و زمانی که جنگل جدید ساخته می شود بر اساس مقادیر زیر تغیین می شود:
0 برای Windows 2000 Server
2 برای Windows Server 2003
3 برای Windows Server 2008

تذکر: زمانی که دامین جدیدی را در جنگل موجود می سازید نباید از این قسمت استفاده کنید. این قسمت جایگزین SetForestVersio در ویندوز سرور 2003 شده است.

4. RebootOnSuccess : مشخص کننده این است که در پایان سرور restart شود یا نه. به یاد داشته باشید که برای اعمال تغییرات restart الزامی است. مقادیر موجود عبارت اند از :
Yes و No و NoAndNoPromptEither

برای یک Child Domain به مثال زیر توجه فرمایید:

[DCINSTALL]

ParentDomainDNSName=erfan.local

UserName=administrator

UserDomain=erfan

Password=P@ssw0rd1

NewDomain=child

ChildName=test

SiteName=Default-First-Site-Name

DomainNetBiosName=test

ReplicaOrNewDomain=domain

DomainLevel=3

DatabasePath="%systemroot%\NTDS"

LogPath="%systemroot%\NTDS"

SYSVOLPath="%systemroot%\SYSVOL"

InstallDNS=yes

CreateDNSDelegation=yes

DNSDelegationUserName=administrator

DNSDelegationPassword= P@ssw0rd1

SafeModeAdminPassword=P@ssw0rd1

RebootOnCompletion=yes

5.  CreateDNSDelegation : این قسمت مشخص می کند که آیا یک DNS delegation برای یک دی ان اس سرور جدید ایجاد شود و یا نه. در خصوص AD DS–integrated DNS تنها کار می کند.

6. DNSDelegationPassword : این قسمت مشخص کننده ی کلمه عبوری است که برای ساخت و یا حذف DNS delegation استفاده می شود. می توانید از * برای سوال کردن از کاربر استفاده کنید.

7. DNSDelegationUserName : این قسمت مشخص کننده ی نام کاربری است که برای ساخت و یا حذف DNS delegation استفاده می شود. اگر مقداری برای این قسمت مشخص نشود، به صورت پیش فرض از اعتباری که برای نصب اکتیو دایرکتوری استفاده شده است، استفاده خواهد شد.

8. SiteName : به صورت پیش فرض Default-First-Site-Name است و مشخص کننده ی site name است البته زمانی که جنگل جدید ساخته می شود.

برای ساختن درخت جدید در یک جنگل موجود:

[DCINSTALL]

UserName=administrator

UserDomain=erfan

Password=P@ssw0rd1

NewDomain=tree

NewDomainDNSName=otherlab.local

SiteName=Default-First-Site-Name

DomainNetBiosName=otherlab

ReplicaOrNewDomain=domain

DomainLevel=3

DatabasePath="%systemroot%\NTDS"

LogPath="%systemroot%\NTDS"

SYSVOLPath="%systemroot%\SYSVOL"

InstallDNS=yes

CreateDNSDelegation=yes

DNSDelegationUserName=administrator

DNSDelegationPassword= P@ssw0rd1

SafeModeAdminPassword=P@ssw0rd1

RebootOnCompletion=yes

برای Additional Domain Controller :

[DCINSTALL]

UserName=administrator

UserDomain=erfan

Password=P@ssw0rd1

DatabasePath="%systemroot%\NTDS"

LogPath="%systemroot%\NTDS"

SYSVOLPath="%systemroot%\SYSVOL"

SafeModeAdminPassword=P@ssw0rd1

CriticalReplicationOnly=no

SiteName=Default-First-Site-Name

ReplicaOrNewDomain=replica

ReplicaDomainDNSName=erfan.local

ReplicationSourceDC=dc1.erfan.local

ReplicateFromMedia=yes

ReplicationSourcePath=

RebootOnCompletion=yes

9. – ReplicateFromMedia : مشخص کننده ی فرایند برداشتن اطلاعات اکتیودایرکتوری در متد IFM است.

10. ReplicationSourcePath : مشخص کننده محلی است که فایل های IFM در آن قرار دارند.

برای دامین کنترلر های فقط خواندنی یا RODC :

[DCINSTALL]

UserName=administrator

UserDomain=petrilab

Password=P@ssw0rd1

PasswordReplicationDenied=

PasswordReplicationAllowed =

DelegatedAdmin=

SiteName=Default-First-Site-Name

CreateDNSDelegation=no

CriticalReplicationOnly=yes

ReplicaOrNewDomain=ReadOnlyReplica

ReplicaDomainDNSName=petrilab.local

DatabasePath="%systemroot%\NTDS"

LogPath="%systemroot%\NTDS"

SYSVOLPath="%systemroot%\SYSVOL"

InstallDNS=yes

ConfirmGC=yes

RebootOnCompletion=yes

با استفاده از ویزارد:

روی یک کامپیوتر دیگر ویزارد DCPromo را با استفاده از تایپ دستور DCPromo و روش عادی نصب اکتیودایرکتوری پیش بگیرید و در پایان تنظیمات را در یک فایل ذخیره نمایید. ( این ویژگی جدید در ویندوز سرور 2008 است) و با زدن دکمه یExport Settings  یک فایل در %systemdrive% ایجاد می شود.

برای استفاده از فایل پاسخ answer file ای که ساخته اید از دستور زیر و سوییچ /unattend استفاده کنید:

dcpromo /unattend:<مسیر Answer File>

توجه : این ویزارد بدون چک کردن موارد مورد نیاز به شما اجاره نمی دهد که از یک صفحه ی ویزارد به صفحه بعدی بروید. پس از یک دامین کنترلر نمی توانید برای ساخت Answer File استفاده کنید.
همچنین اگر نسخه اصلی هنوز ساخته نشده نمی توانید از این ویزارد برای ساخت replica استفاده کنید. در هر صورت دانستن اطلاعات روش اول لازم است.

توجه : نحوه حذف کردن یک دامین کنترلر و سرویس AD DS در آینده مورد بررسی قرار می گیرد.